| 4.5.2016 | DE | Amtsblatt der Europäischen Union | L 119/1 | 4.5.2016 | EN | Official Journal of the European Union | L 119/1 | 4.5.2016 | HR | Službeni list Europske unije | L 119/1 |
| VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES | REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL | UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA |
| vom 27. April 2016 | of 27 April 2016 | od 27. travnja 2016. |
| zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) | on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) | o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) |
| (Text von Bedeutung für den EWR) | (Text with EEA relevance) | (Tekst značajan za EGP) |
| DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION — | THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, | EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE, |
| gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16, | Having regard to the Treaty on the Functioning of the European Union, and in particular Article 16 thereof, | uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 16., |
| auf Vorschlag der Europäischen Kommission, | Having regard to the proposal from the European Commission, | uzimajući u obzir prijedlog Europske komisije, |
| nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, | After transmission of the draft legislative act to the national parliaments, | nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima, |
| nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (1), | Having regard to the opinion of the European Economic and Social Committee (1), | uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora (1), |
| nach Stellungnahme des Ausschusses der Regionen (2), | Having regard to the opinion of the Committee of the Regions (2), | uzimajući u obzir mišljenje Odbora regija (2), |
| gemäß dem ordentlichen Gesetzgebungsverfahren (3), | Acting in accordance with the ordinary legislative procedure (3), | u skladu s redovnim zakonodavnim postupkom (3), |
| in Erwägung nachstehender Gründe: | Whereas: | budući da: |
| (1) | Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) sowie Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten. | (1) | The protection of natural persons in relation to the processing of personal data is a fundamental right. Article 8(1) of the Charter of Fundamental Rights of the European Union (the ‘Charter’) and Article 16(1) of the Treaty on the Functioning of the European Union (TFEU) provide that everyone has the right to the protection of personal data concerning him or her. | (1) | Zaštita pojedinaca s obzirom na obradu osobnih podataka temeljno je pravo. Člankom 8. stavkom 1. Povelje Europske unije o temeljnim pravima („Povelja”) te člankom 16. stavkom 1. Ugovora o funkcioniranju Europske unije (UFEU) utvrđuje se da svatko ima pravo na zaštitu svojih osobnih podataka. |
| (2) | Die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollten gewährleisten, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben. Diese Verordnung soll zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts sowie zum Wohlergehen natürlicher Personen beitragen. | (2) | The principles of, and rules on the protection of natural persons with regard to the processing of their personal data should, whatever their nationality or residence, respect their fundamental rights and freedoms, in particular their right to the protection of personal data. This Regulation is intended to contribute to the accomplishment of an area of freedom, security and justice and of an economic union, to economic and social progress, to the strengthening and the convergence of the economies within the internal market, and to the well-being of natural persons. | (2) | Načela i pravila o zaštiti pojedinaca u vezi s obradom njihovih osobnih podataka trebala bi poštovati njihova temeljna prava i slobode, a posebno njihovo pravo na zaštitu osobnih podataka, bez obzira na nacionalnost ili boravište pojedinaca. Ovom Uredbom želi se doprinijeti uspostavi područja slobode, sigurnosti i pravde te gospodarske unije, gospodarskom i socijalnom napretku, jačanju i približavanju gospodarstava na unutarnjem tržištu te dobrobiti pojedinaca. |
| (3) | Zweck der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (4) ist die Harmonisierung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten. | (3) | Directive 95/46/EC of the European Parliament and of the Council (4) seeks to harmonise the protection of fundamental rights and freedoms of natural persons in respect of processing activities and to ensure the free flow of personal data between Member States. | (3) | Direktivom 95/46/EZ Europskog parlamenta i Vijeća (4) nastoji se uskladiti zaštita temeljnih prava i sloboda pojedinaca u vezi s obradom podataka kao i osigurati slobodan protok osobnih podataka između država članica. |
| (4) | Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden. Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der Charta anerkannt wurden und in den Europäischen Verträgen verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, Gedanken-, Gewissens- und Religionsfreiheit, Freiheit der Meinungsäußerung und Informationsfreiheit, unternehmerische Freiheit, Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren und Vielfalt der Kulturen, Religionen und Sprachen. | (4) | The processing of personal data should be designed to serve mankind. The right to the protection of personal data is not an absolute right; it must be considered in relation to its function in society and be balanced against other fundamental rights, in accordance with the principle of proportionality. This Regulation respects all fundamental rights and observes the freedoms and principles recognised in the Charter as enshrined in the Treaties, in particular the respect for private and family life, home and communications, the protection of personal data, freedom of thought, conscience and religion, freedom of expression and information, freedom to conduct a business, the right to an effective remedy and to a fair trial, and cultural, religious and linguistic diversity. | (4) | Obrada osobnih podataka trebala bi biti osmišljena tako da bude u službi čovječanstva. Pravo na zaštitu osobnih podataka nije apsolutno pravo; mora ga se razmatrati u vezi s njegovom funkcijom u društvu te ga treba ujednačiti s drugim temeljnim pravima u skladu s načelom proporcionalnosti. Ovom se Uredbom poštuju sva temeljna prava i uvažavaju slobode i načela priznata Poveljom koja su sadržana u Ugovorima, osobito poštovanje privatnog i obiteljskog života, doma i komuniciranja, zaštita osobnih podataka, sloboda mišljenja, savjesti i vjeroispovijedi, sloboda izražavanja i informiranja, sloboda poduzetništva, pravo na učinkoviti pravni lijek i pošteno suđenje te pravo na kulturnu, vjersku i jezičnu raznolikost. |
| (5) | Die wirtschaftliche und soziale Integration als Folge eines funktionierenden Binnenmarkts hat zu einem deutlichen Anstieg des grenzüberschreitenden Verkehrs personenbezogener Daten geführt. Der unionsweite Austausch personenbezogener Daten zwischen öffentlichen und privaten Akteuren einschließlich natürlichen Personen, Vereinigungen und Unternehmen hat zugenommen. Das Unionsrecht verpflichtet die Verwaltungen der Mitgliedstaaten, zusammenzuarbeiten und personenbezogene Daten auszutauschen, damit sie ihren Pflichten nachkommen oder für eine Behörde eines anderen Mitgliedstaats Aufgaben durchführen können. | (5) | The economic and social integration resulting from the functioning of the internal market has led to a substantial increase in cross-border flows of personal data. The exchange of personal data between public and private actors, including natural persons, associations and undertakings across the Union has increased. National authorities in the Member States are being called upon by Union law to cooperate and exchange personal data so as to be able to perform their duties or carry out tasks on behalf of an authority in another Member State. | (5) | Gospodarska i društvena integracija proizašla iz funkcioniranja unutarnjeg tržišta dovela je do znatnog povećanja prekograničnih protoka osobnih podataka. Povećala se razmjena osobnih podataka između javnih i privatnih sudionika, uključujući pojedince, udruženja i poduzetnike širom Unije. U skladu s pravom Unije nacionalna tijela država članica pozivaju se na suradnju i razmjenu osobnih podataka kako bi mogla izvršavati svoje dužnosti ili izvršavati zadaće u ime tijela u drugoj državi članici. |
| (6) | Rasche technologische Entwicklungen und die Globalisierung haben den Datenschutz vor neue Herausforderungen gestellt. Das Ausmaß der Erhebung und des Austauschs personenbezogener Daten hat eindrucksvoll zugenommen. Die Technik macht es möglich, dass private Unternehmen und Behörden im Rahmen ihrer Tätigkeiten in einem noch nie dagewesenen Umfang auf personenbezogene Daten zurückgreifen. Zunehmend machen auch natürliche Personen Informationen öffentlich weltweit zugänglich. Die Technik hat das wirtschaftliche und gesellschaftliche Leben verändert und dürfte den Verkehr personenbezogener Daten innerhalb der Union sowie die Datenübermittlung an Drittländer und internationale Organisationen noch weiter erleichtern, wobei ein hohes Datenschutzniveau zu gewährleisten ist. | (6) | Rapid technological developments and globalisation have brought new challenges for the protection of personal data. The scale of the collection and sharing of personal data has increased significantly. Technology allows both private companies and public authorities to make use of personal data on an unprecedented scale in order to pursue their activities. Natural persons increasingly make personal information available publicly and globally. Technology has transformed both the economy and social life, and should further facilitate the free flow of personal data within the Union and the transfer to third countries and international organisations, while ensuring a high level of the protection of personal data. | (6) | Zbog brzog tehnološkog razvoja i globalizacije pojavili su se novi izazovi u zaštiti osobnih podataka. Opseg prikupljanja i razmjene osobnih podataka značajno se povećava. Tehnologijom se privatnim društvima i tijelima javne vlasti omogućuje uporaba osobnih podataka u dosada nedosegnutom opsegu radi ostvarenja njihovih djelatnosti. Pojedinci svoje osobne informacije sve više čine dostupnima javno i globalno. Tehnologija je preobrazila i gospodarstvo i društveni život te bi trebala dalje olakšavati slobodan protok osobnih podataka u Uniji i prijenos trećim zemljama i međunarodnim organizacijama, osiguravajući pri tome visoku razinu zaštite osobnih podataka. |
| (7) | Diese Entwicklungen erfordern einen soliden, kohärenteren und klar durchsetzbaren Rechtsrahmen im Bereich des Datenschutzes in der Union, da es von großer Wichtigkeit ist, eine Vertrauensbasis zu schaffen, die die digitale Wirtschaft dringend benötigt, um im Binnenmarkt weiter wachsen zu können. Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen. Natürliche Personen, Wirtschaft und Staat sollten in rechtlicher und praktischer Hinsicht über mehr Sicherheit verfügen. | (7) | Those developments require a strong and more coherent data protection framework in the Union, backed by strong enforcement, given the importance of creating the trust that will allow the digital economy to develop across the internal market. Natural persons should have control of their own personal data. Legal and practical certainty for natural persons, economic operators and public authorities should be enhanced. | (7) | Za takav razvoj potreban je čvrst i usklađeniji okvir za zaštitu podataka u Uniji koji se temelji na odlučnoj provedbi s obzirom na važnost stvaranja povjerenja koje će omogućiti razvoj digitalne ekonomije na čitavom unutarnjem tržištu. Pojedinci bi trebali imati nadzor nad vlastitim osobnim podacima. Pravnu i praktičnu sigurnost pojedinaca, gospodarskih subjekata i tijela javne vlasti trebalo bi poboljšati. |
| (8) | Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen. | (8) | Where this Regulation provides for specifications or restrictions of its rules by Member State law, Member States may, as far as necessary for coherence and for making the national provisions comprehensible to the persons to whom they apply, incorporate elements of this Regulation into their national law. | (8) | Ako se ovom Uredbom predviđaju specifikacije ili ograničenja njezinih pravila pravom države članice, države članice mogu, u mjeri u kojoj je to potrebno radi usklađenosti i kako bi nacionalne odredbe bile razumljive osobama na koje se primjenjuju, elemente ove Uredbe uključiti u svoje nacionalno pravo. |
| (9) | Die Ziele und Grundsätze der Richtlinie 95/46/EG besitzen nach wie vor Gültigkeit, doch hat die Richtlinie nicht verhindern können, dass der Datenschutz in der Union unterschiedlich gehandhabt wird, Rechtsunsicherheit besteht oder in der Öffentlichkeit die Meinung weit verbreitet ist, dass erhebliche Risiken für den Schutz natürlicher Personen bestehen, insbesondere im Zusammenhang mit der Benutzung des Internets. Unterschiede beim Schutzniveau für die Rechte und Freiheiten von natürlichen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten in den Mitgliedstaaten, vor allem beim Recht auf Schutz dieser Daten, können den unionsweiten freien Verkehr solcher Daten behindern. Diese Unterschiede im Schutzniveau können daher ein Hemmnis für die unionsweite Ausübung von Wirtschaftstätigkeiten darstellen, den Wettbewerb verzerren und die Behörden an der Erfüllung der ihnen nach dem Unionsrecht obliegenden Pflichten hindern. Sie erklären sich aus den Unterschieden bei der Umsetzung und Anwendung der Richtlinie 95/46/EG. | (9) | The objectives and principles of Directive 95/46/EC remain sound, but it has not prevented fragmentation in the implementation of data protection across the Union, legal uncertainty or a widespread public perception that there are significant risks to the protection of natural persons, in particular with regard to online activity. Differences in the level of protection of the rights and freedoms of natural persons, in particular the right to the protection of personal data, with regard to the processing of personal data in the Member States may prevent the free flow of personal data throughout the Union. Those differences may therefore constitute an obstacle to the pursuit of economic activities at the level of the Union, distort competition and impede authorities in the discharge of their responsibilities under Union law. Such a difference in levels of protection is due to the existence of differences in the implementation and application of Directive 95/46/EC. | (9) | Ciljevi i načela Direktive 95/46/EZ i dalje su utemeljeni, no njome nisu spriječeni rascjepkanost provedbe zaštite podataka u Uniji, pravna nesigurnost ili rasprostranjeno javno mišljenje da osobito kod internetskih aktivnosti postoje znatni rizici povezani sa zaštitom pojedinaca. Razlike u razini zaštite prava i sloboda pojedinaca, a posebno prava na zaštitu osobnih podataka, koje pružaju države članice u vezi s obradom osobnih podataka mogu spriječiti slobodni protok osobnih podataka u Uniji. Te razlike stoga mogu predstavljati prepreku obavljanju gospodarskih djelatnosti na razini Unije, narušiti tržišno natjecanje te spriječiti nadležna tijela u ispunjenju njihovih odgovornosti na temelju prava Unije. Do takve razlike u razinama zaštite došlo je zbog postojanja razlika u provedbi i primjeni Direktive 95/46/EZ. |
| (10) | Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. Hinsichtlich der Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, sollten die Mitgliedstaaten die Möglichkeit haben, nationale Bestimmungen, mit denen die Anwendung der Vorschriften dieser Verordnung genauer festgelegt wird, beizubehalten oder einzuführen. In Verbindung mit den allgemeinen und horizontalen Rechtsvorschriften über den Datenschutz zur Umsetzung der Richtlinie 95/46/EG gibt es in den Mitgliedstaaten mehrere sektorspezifische Rechtsvorschriften in Bereichen, die spezifischere Bestimmungen erfordern. Diese Verordnung bietet den Mitgliedstaaten zudem einen Spielraum für die Spezifizierung ihrer Vorschriften, auch für die Verarbeitung besonderer Kategorien von personenbezogenen Daten (im Folgenden „sensible Daten“). Diesbezüglich schließt diese Verordnung nicht Rechtsvorschriften der Mitgliedstaaten aus, in denen die Umstände besonderer Verarbeitungssituationen festgelegt werden, einschließlich einer genaueren Bestimmung der Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist. | (10) | In order to ensure a consistent and high level of protection of natural persons and to remove the obstacles to flows of personal data within the Union, the level of protection of the rights and freedoms of natural persons with regard to the processing of such data should be equivalent in all Member States. Consistent and homogenous application of the rules for the protection of the fundamental rights and freedoms of natural persons with regard to the processing of personal data should be ensured throughout the Union. Regarding the processing of personal data for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Member States should be allowed to maintain or introduce national provisions to further specify the application of the rules of this Regulation. In conjunction with the general and horizontal law on data protection implementing Directive 95/46/EC, Member States have several sector-specific laws in areas that need more specific provisions. This Regulation also provides a margin of manoeuvre for Member States to specify its rules, including for the processing of special categories of personal data (‘sensitive data’). To that extent, this Regulation does not exclude Member State law that sets out the circumstances for specific processing situations, including determining more precisely the conditions under which the processing of personal data is lawful. | (10) | Kako bi se osigurala postojana i visoka razina zaštite pojedinaca te uklonile prepreke protoku osobnih podataka unutar Unije, razina zaštite prava i sloboda pojedinaca u vezi s obradom takvih podataka trebala bi biti jednaka u svim državama članicama. U čitavoj Uniji trebalo bi osigurati postojanu i homogenu primjenu pravila za zaštitu temeljnih prava i sloboda pojedinaca u vezi s obradom osobnih podataka. U pogledu obrade osobnih podataka za usklađivanje s pravnom obvezom, za izvršavanje zadaće od javnog interesa ili pri obavljanju službene ovlasti dodijeljene voditelju obrade državama članicama trebalo bi dopustiti da zadrže ili uvedu nacionalne odredbe kako bi se dodatno odredila primjena pravila iz ove Uredbe. Zajedno s općim i horizontalnim zakonodavstvom o zaštiti podataka kojim se provodi Direktiva 95/46/EZ, države članice imaju nekoliko posebnih zakona za pojedine sektore u onim područjima u kojima su potrebne konkretnije odredbe. Ovom Uredbom također se državama članicama pruža prostor za djelovanje kako bi bolje odredile njezina pravila uključujući obradu posebnih kategorija osobnih podataka („osjetljivi podaci”). U tom smislu ovom se Uredbom ne isključuje pravo države članice kojim se utvrđuju okolnosti posebnih situacija obrade, što uključuje preciznije određivanje uvjeta pod kojima je obrada osobnih podataka zakonita. |
| (11) | Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie — in den Mitgliedstaaten — gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung. | (11) | Effective protection of personal data throughout the Union requires the strengthening and setting out in detail of the rights of data subjects and the obligations of those who process and determine the processing of personal data, as well as equivalent powers for monitoring and ensuring compliance with the rules for the protection of personal data and equivalent sanctions for infringements in the Member States. | (11) | Djelotvorna zaštita osobnih podataka širom Unije zahtijeva jačanje i detaljno određivanje prava ispitanika i obveza onih koji obrađuju i određuju obradu osobnih podataka, kao i jednake ovlasti praćenja i osiguravanja poštovanja pravila za zaštitu osobnih podataka i jednake sankcije za kršenja u državama članicama. |
| (12) | Artikel 16 Absatz 2 AEUV ermächtigt das Europäische Parlament und den Rat, Vorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten zu erlassen. | (12) | Article 16(2) TFEU mandates the European Parliament and the Council to lay down the rules relating to the protection of natural persons with regard to the processing of personal data and the rules relating to the free movement of personal data. | (12) | Člankom 16. stavkom 2. UFEU-a Europskom parlamentu i Vijeću nalaže se utvrđivanje pravila o zaštiti pojedinaca s obzirom na obradu osobnih podataka i pravila u vezi sa slobodnim kretanjem takvih podataka. |
| (13) | Damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, ist eine Verordnung erforderlich, die für die Wirtschaftsteilnehmer einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtssicherheit und Transparenz schafft, natürliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten gewährleistet. Das reibungslose Funktionieren des Binnenmarkts erfordert, dass der freie Verkehr personenbezogener Daten in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird. Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen. Für die Definition des Begriffs „Kleinstunternehmen sowie kleine und mittlere Unternehmen“ sollte Artikel 2 des Anhangs zur Empfehlung 2003/361/EG der Kommission (5) maßgebend sein. | (13) | In order to ensure a consistent level of protection for natural persons throughout the Union and to prevent divergences hampering the free movement of personal data within the internal market, a Regulation is necessary to provide legal certainty and transparency for economic operators, including micro, small and medium-sized enterprises, and to provide natural persons in all Member States with the same level of legally enforceable rights and obligations and responsibilities for controllers and processors, to ensure consistent monitoring of the processing of personal data, and equivalent sanctions in all Member States as well as effective cooperation between the supervisory authorities of different Member States. The proper functioning of the internal market requires that the free movement of personal data within the Union is not restricted or prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data. To take account of the specific situation of micro, small and medium-sized enterprises, this Regulation includes a derogation for organisations with fewer than 250 employees with regard to record-keeping. In addition, the Union institutions and bodies, and Member States and their supervisory authorities, are encouraged to take account of the specific needs of micro, small and medium-sized enterprises in the application of this Regulation. The notion of micro, small and medium-sized enterprises should draw from Article 2 of the Annex to Commission Recommendation 2003/361/EC (5). | (13) | Kako bi se osigurala dosljedna razina zaštite pojedinaca širom Unije i spriječila razilaženja koja ometaju slobodno kretanje osobnih podataka na unutarnjem tržištu, potrebna je Uredba radi pružanja pravne sigurnosti i transparentnosti gospodarskim subjektima, uključujući mikropoduzeća, mala i srednja poduzeća, te pružanja pojedincima u svim državama članicama istu razinu pravno primjenjivih prava i obveza te odgovornosti za voditelje obrade i izvršitelje obrade kako bi se osiguralo postojano praćenje obrade osobnih podataka i jednake sankcije u svim državama članicama, kao i djelotvornu suradnju između nadzornih tijela različitih država članica. Za ispravno funkcioniranje unutarnjeg tržišta ne ograničava se niti zabranjuje slobodno kretanje osobnih podataka u Uniji zbog razloga povezanih sa zaštitom pojedinaca u vezi s obradom osobnih podataka. Ova Uredba sadržava odstupanja za organizacije u kojima je zaposleno manje od 250 osoba s obzirom na vođenje evidencije, radi uzimanja u obzir posebnih situacija mikropoduzeća, malih i srednjih poduzeća. Osim toga, institucije i tijela Unije te države članice i njihova nadzorna tijela potiču se da u primjeni ove Uredbe uzmu u obzir posebne potrebe mikropoduzeća, malih i srednjih poduzeća. Pojam mikropoduzeća, malih i srednjih poduzeća trebao bi se temeljiti na članku 2. Priloga Preporuci Komisije 2003/361/EZ (5). |
| (14) | Der durch diese Verordnung gewährte Schutz sollte für die Verarbeitung der personenbezogenen Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gelten. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person. | (14) | The protection afforded by this Regulation should apply to natural persons, whatever their nationality or place of residence, in relation to the processing of their personal data. This Regulation does not cover the processing of personal data which concerns legal persons and in particular undertakings established as legal persons, including the name and the form of the legal person and the contact details of the legal person. | (14) | Zaštita koja se pruža ovom Uredbom u vezi s obradom osobnih podataka trebala bi se odnositi na pojedince bez obzira na njihovu nacionalnost ili boravište. Ovom se Uredbom ne obuhvaća obrada osobnih podataka koji se tiču pravnih osoba, a osobito poduzetnika koji su ustanovljeni kao pravne osobe, uključujući ime i oblik pravne osobe i kontaktne podatke pravne osobe. |
| (15) | Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen. Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen. | (15) | In order to prevent creating a serious risk of circumvention, the protection of natural persons should be technologically neutral and should not depend on the techniques used. The protection of natural persons should apply to the processing of personal data by automated means, as well as to manual processing, if the personal data are contained or are intended to be contained in a filing system. Files or sets of files, as well as their cover pages, which are not structured according to specific criteria should not fall within the scope of this Regulation. | (15) | Radi sprečavanja stvaranja ozbiljnog rizika zaobilaženja propisa, zaštita pojedinaca trebala bi biti tehnološki neutralna i ne bi smjela ovisiti o upotrebljavanim tehnologijama. Zaštita pojedinaca trebala bi se primjenjivati na obradu osobnih podataka automatiziranim sredstvima, kao i na ručnu obradu, ako su osobni podaci pohranjeni ili ih se namjerava pohraniti u sustav pohrane. Dokumenti ili skupovi dokumenata, kao i njihove naslovne stranice, koji nisu strukturirani prema posebnim mjerilima ne bi trebali biti obuhvaćeni područjem primjene ove Uredbe. |
| (16) | Diese Verordnung gilt nicht für Fragen des Schutzes von Grundrechten und Grundfreiheiten und des freien Verkehrs personenbezogener Daten im Zusammenhang mit Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, wie etwa die nationale Sicherheit betreffende Tätigkeiten. Diese Verordnung gilt nicht für die von den Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik der Union durchgeführte Verarbeitung personenbezogener Daten. | (16) | This Regulation does not apply to issues of protection of fundamental rights and freedoms or the free flow of personal data related to activities which fall outside the scope of Union law, such as activities concerning national security. This Regulation does not apply to the processing of personal data by the Member States when carrying out activities in relation to the common foreign and security policy of the Union. | (16) | Ova se Uredba ne primjenjuje na pitanja zaštite temeljnih prava i sloboda ili slobodnog protoka osobnih podataka u vezi s djelatnostima koje ne ulaze u područje primjene prava Unije, kao što su djelatnosti u vezi s nacionalnom sigurnošću. Ova se Uredba ne primjenjuje na obradu osobnih podataka od strane država članica pri obavljanju djelatnosti povezanih sa zajedničkom vanjskom i sigurnosnom politikom Unije. |
| (17) | Die Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates (6) gilt für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, sollten an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst und im Lichte der vorliegenden Verordnung angewandt werden. Um einen soliden und kohärenten Rechtsrahmen im Bereich des Datenschutzes in der Union zu gewährleisten, sollten die erforderlichen Anpassungen der Verordnung (EG) Nr. 45/2001 im Anschluss an den Erlass der vorliegenden Verordnung vorgenommen werden, damit sie gleichzeitig mit der vorliegenden Verordnung angewandt werden können. | (17) | Regulation (EC) No 45/2001 of the European Parliament and of the Council (6) applies to the processing of personal data by the Union institutions, bodies, offices and agencies. Regulation (EC) No 45/2001 and other Union legal acts applicable to such processing of personal data should be adapted to the principles and rules established in this Regulation and applied in the light of this Regulation. In order to provide a strong and coherent data protection framework in the Union, the necessary adaptations of Regulation (EC) No 45/2001 should follow after the adoption of this Regulation, in order to allow application at the same time as this Regulation. | (17) | Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća (6) primjenjuje se na obradu osobnih podataka koju obavljaju institucije, tijela, uredi i agencije Unije. Uredba (EZ) br. 45/2001 i drugi pravni akti Unije primjenjivi na takvu obradu osobnih podataka trebali bi se prilagoditi načelima i pravilima iz ove Uredbe i primjenjivati s obzirom na ovu Uredbu. Kako bi se osigurao čvrst i usklađen okvir za zaštitu podataka u Uniji, nakon donošenja ove Uredbe trebale bi uslijediti potrebne prilagodbe Uredbe (EZ) br. 45/2001 kako bi se omogućila istovremena primjena obiju uredaba. |
| (18) | Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten. Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen. | (18) | This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities. However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities. | (18) | Ova se Uredba ne primjenjuje na obradu osobnih podataka koju fizičke osobe obavljaju u okviru isključivo osobne ili kućne aktivnosti te stoga nije povezana s profesionalnom ili komercijalnom djelatnošću. U osobne ili kućne aktivnosti može se ubrajati korespondencija i posjedovanje adresa ili društveno umrežavanje te internetske aktivnosti poduzete u kontekstu takvih aktivnosti. Međutim, ova se Uredba primjenjuje na voditelje obrade ili izvršitelje obrade koji pružaju sredstva za obradu osobnih podataka za takve osobne ili kućne aktivnosti. |
| (19) | Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, sowie der freie Verkehr dieser Daten sind in einem eigenen Unionsrechtsakt geregelt. Deshalb sollte diese Verordnung auf Verarbeitungstätigkeiten dieser Art keine Anwendung finden. Personenbezogene Daten, die von Behörden nach dieser Verordnung verarbeitet werden, sollten jedoch, wenn sie zu den vorstehenden Zwecken verwendet werden, einem spezifischeren Unionsrechtsakt, nämlich der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates (7) unterliegen. Die Mitgliedstaaten können die zuständigen Behörden im Sinne der Richtlinie (EU) 2016/680 mit Aufgaben betrauen, die nicht zwangsläufig für die Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, ausgeführt werden, so dass die Verarbeitung von personenbezogenen Daten für diese anderen Zwecke insoweit in den Anwendungsbereich dieser Verordnung fällt, | als sie in den Anwendungsbereich des Unionsrechts fällt. In Bezug auf die Verarbeitung personenbezogener Daten durch diese Behörden für Zwecke, die in den Anwendungsbereich dieser Verordnung fallen, sollten die Mitgliedstaaten spezifischere Bestimmungen beibehalten oder einführen können, um die Anwendung der Vorschriften dieser Verordnung anzupassen. In den betreffenden Bestimmungen können die Auflagen für die Verarbeitung personenbezogener Daten durch diese zuständigen Behörden für jene anderen Zwecke präziser festgelegt werden, wobei der verfassungsmäßigen, organisatorischen und administrativen Struktur des betreffenden Mitgliedstaats Rechnung zu tragen ist. Soweit diese Verordnung für die Verarbeitung personenbezogener Daten durch private Stellen gilt, sollte sie vorsehen, dass die Mitgliedstaaten einige Pflichten und Rechte unter bestimmten Voraussetzungen mittels Rechtsvorschriften beschränken können, wenn diese Beschränkung in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz bestimmter wichtiger Interessen darstellt, wozu auch die öffentliche Sicherheit und die Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung zählen, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. Dies ist beispielsweise im Rahmen der Bekämpfung der Geldwäsche oder der Arbeit kriminaltechnischer Labors von Bedeutung. | (19) | The protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security and the free movement of such data, is the subject of a specific Union legal act. This Regulation should not, therefore, apply to processing activities for those purposes. However, personal data processed by public authorities under this Regulation should, when used for those purposes, be governed by a more specific Union legal act, namely Directive (EU) 2016/680 of the European Parliament and of the Council (7). Member States may entrust competent authorities within the meaning of Directive (EU) 2016/680 with tasks which are not necessarily carried out for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and prevention of threats to public security, so that the processing of personal data for those other purposes, in so far as it is within the scope of Union law, falls within the scope of this Regulation. | With regard to the processing of personal data by those competent authorities for purposes falling within scope of this Regulation, Member States should be able to maintain or introduce more specific provisions to adapt the application of the rules of this Regulation. Such provisions may determine more precisely specific requirements for the processing of personal data by those competent authorities for those other purposes, taking into account the constitutional, organisational and administrative structure of the respective Member State. When the processing of personal data by private bodies falls within the scope of this Regulation, this Regulation should provide for the possibility for Member States under specific conditions to restrict by law certain obligations and rights when such a restriction constitutes a necessary and proportionate measure in a democratic society to safeguard specific important interests including public security and the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security. This is relevant for instance in the framework of anti-money laundering or the activities of forensic laboratories. | (19) | Zaštita pojedinaca s obzirom na obradu osobnih podataka koju obavljaju nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i slobodnom kretanju takvih podataka i njihovo sprečavanje, podliježe posebnom pravnom aktu Unije. Stoga se ova Uredba ne bi trebala primjenjivati na aktivnosti obrade u te svrhe. No, osobni podaci koje su obradila tijela javne vlasti u skladu s ovom Uredbom trebali bi, kada se upotrebljavaju u te svrhe, biti uređeni posebnim pravnim aktom Unije i to Direktivom (EU) 2016/680 Europskog parlamenta i Vijeća (7). Države članice mogu povjeriti nadležnim tijelima u smislu Direktive (EU) 2016/680 zadaće koje se ne provode nužno u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, tako da je obrada osobnih podataka za te druge svrhe, u mjeri u kojoj potpada pod područje primjene prava Unije, obuhvaćena područjem primjene ove Uredbe. | U vezi s obradom osobnih podataka koju obavljaju ta nadležna tijela u svrhe koje su obuhvaćene područjem primjene ove Uredbe, države članice trebale bi biti u mogućnosti zadržati ili uvesti preciznije odredbe kojima se prilagođava primjena pravila ove Uredbe. Tim se odredbama mogu detaljnije utvrditi posebni zahtjevi za obradu osobnih podataka koju obavljaju ta nadležna tijela u te druge svrhe, uzimajući u obzir ustavnu, organizacijsku i administrativnu strukturu dotične države članice. Kada osobne podatke obrađuju privatna tijela i takva obrada ulazi u područje primjene ove Uredbe, ova Uredba trebala bi predvidjeti mogućnost da države članice pod posebnim uvjetima zakonom ograniče određene obveze i prava kada takvo ograničenje predstavlja nužnu i proporcionalnu mjeru u demokratskom društvu za očuvanje posebnih važnih interesa, uključujući javnu sigurnost te sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje. To je, na primjer, relevantno u okviru borbe protiv pranja novca ili djelatnosti forenzičkih laboratorija. |
| (20) | Diese Verordnung gilt zwar unter anderem für die Tätigkeiten der Gerichte und anderer Justizbehörden, doch könnte im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt werden, wie die Verarbeitungsvorgänge und Verarbeitungsverfahren bei der Verarbeitung personenbezogener Daten durch Gerichte und andere Justizbehörden im Einzelnen auszusehen haben. Damit die Unabhängigkeit der Justiz bei der Ausübung ihrer gerichtlichen Aufgaben einschließlich ihrer Beschlussfassung unangetastet bleibt, sollten die Aufsichtsbehörden nicht für die Verarbeitung personenbezogener Daten durch Gerichte im Rahmen ihrer justiziellen Tätigkeit zuständig sein. Mit der Aufsicht über diese Datenverarbeitungsvorgänge sollten besondere Stellen im Justizsystem des Mitgliedstaats betraut werden können, die insbesondere die Einhaltung der Vorschriften dieser Verordnung sicherstellen, Richter und Staatsanwälte besser für ihre Pflichten aus dieser Verordnung sensibilisieren und Beschwerden in Bezug auf derartige Datenverarbeitungsvorgänge bearbeiten sollten. | (20) | While this Regulation applies, inter alia, to the activities of courts and other judicial authorities, Union or Member State law could specify the processing operations and processing procedures in relation to the processing of personal data by courts and other judicial authorities. The competence of the supervisory authorities should not cover the processing of personal data when courts are acting in their judicial capacity, in order to safeguard the independence of the judiciary in the performance of its judicial tasks, including decision-making. It should be possible to entrust supervision of such data processing operations to specific bodies within the judicial system of the Member State, which should, in particular ensure compliance with the rules of this Regulation, enhance awareness among members of the judiciary of their obligations under this Regulation and handle complaints in relation to such data processing operations. | (20) | Iako se ova Uredba primjenjuje, među ostalim, na aktivnosti sudova i drugih pravosudnih tijela, u pravu Unije ili pravu države članice moglo bi se odrediti radnje i postupke obrade u vezi s obradom osobnih podataka koju obavljaju sudovi i druga pravosudna tijela. Nadležnost nadzornih tijela ne bi smjela obuhvaćati obradu osobnih podataka kada sudovi djeluju u sudbenom svojstvu kako bi se zaštitila neovisnost pravosuđa u obavljanju njegovih sudskih zadaća, među ostalim u donošenju odluka. Trebalo bi biti moguće povjeriti nadzor takvih radnji obrade podataka posebnim tijelima u okviru pravosudnog sustava države članice, koja bi posebno trebala osigurati sukladnost s pravilima ove Uredbe, promicati svijest djelatnika u pravosuđu s o njihovim obvezama na temelju ove Uredbe i rješavati pritužbe u vezi s takvom obradom osobnih podataka. |
| (21) | Die vorliegende Verordnung berührt nicht die Anwendung der Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates (8) und insbesondere die der Vorschriften der Artikel 12 bis 15 jener Richtlinie zur Verantwortlichkeit von Anbietern reiner Vermittlungsdienste. Die genannte Richtlinie soll dazu beitragen, dass der Binnenmarkt einwandfrei funktioniert, indem sie den freien Verkehr von Diensten der Informationsgesellschaft zwischen den Mitgliedstaaten sicherstellt. | (21) | This Regulation is without prejudice to the application of Directive 2000/31/EC of the European Parliament and of the Council (8), in particular of the liability rules of intermediary service providers in Articles 12 to 15 of that Directive. That Directive seeks to contribute to the proper functioning of the internal market by ensuring the free movement of information society services between Member States. | (21) | Ovom se Uredbom ne dovodi u pitanje primjena Direktive 2000/31/EZ Europskog parlamenta i Vijeća (8), posebno pravila o odgovornosti posrednih davatelja usluga iz članaka od 12. do 15. Tom se Direktivom nastoji doprinijeti ispravnom funkcioniranju unutarnjeg tržišta putem osiguravanja slobodnog kretanja usluga informacijskog društva između država članica. |
| (22) | Jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union sollte gemäß dieser Verordnung erfolgen, gleich, ob die Verarbeitung in oder außerhalb der Union stattfindet. Eine Niederlassung setzt die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Die Rechtsform einer solchen Einrichtung, gleich, ob es sich um eine Zweigstelle oder eine Tochtergesellschaft mit eigener Rechtspersönlichkeit handelt, ist dabei nicht ausschlaggebend. | (22) | Any processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union should be carried out in accordance with this Regulation, regardless of whether the processing itself takes place within the Union. Establishment implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in that respect. | (22) | Svaka obrada osobnih podataka u Uniji s obzirom na djelatnosti poslovnog nastana voditelja obrade ili izvršitelja obrade trebala bi se obavljati u skladu s ovom Uredbom, neovisno o tome obavlja li se sama obrada u Uniji. Poslovni nastan podrazumijeva djelotvorno i stvarno obavljanje djelatnosti putem stabilnih aranžmana. Pravni oblik takvih aranžmana, bilo kroz podružnicu ili društvo kćer s pravnom osobnošću, nije odlučujući čimbenik u tom pogledu. |
| (23) | Damit einer natürlichen Person der gemäß dieser Verordnung gewährleistete Schutz nicht vorenthalten wird, sollte die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter dieser Verordnung unterliegen, wenn die Verarbeitung dazu dient, diesen betroffenen Personen gegen Entgelt oder unentgeltlich Waren oder Dienstleistungen anzubieten. Um festzustellen, ob dieser Verantwortliche oder Auftragsverarbeiter betroffenen Personen, die sich in der Union befinden, Waren oder Dienstleistungen anbietet, sollte festgestellt werden, ob der Verantwortliche oder Auftragsverarbeiter offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Dienstleistungen anzubieten. Während die bloße Zugänglichkeit der Website des Verantwortlichen, des Auftragsverarbeiters oder eines Vermittlers in der Union, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist, hierfür kein ausreichender Anhaltspunkt ist, können andere Faktoren wie die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der Union befinden, darauf hindeuten, dass der Verantwortliche beabsichtigt, den Personen in der Union Waren oder Dienstleistungen anzubieten. | (23) | In order to ensure that natural persons are not deprived of the protection to which they are entitled under this Regulation, the processing of personal data of data subjects who are in the Union by a controller or a processor not established in the Union should be subject to this Regulation where the processing activities are related to offering goods or services to such data subjects irrespective of whether connected to a payment. In order to determine whether such a controller or processor is offering goods or services to data subjects who are in the Union, it should be ascertained whether it is apparent that the controller or processor envisages offering services to data subjects in one or more Member States in the Union. Whereas the mere accessibility of the controller's, processor's or an intermediary's website in the Union, of an email address or of other contact details, or the use of a language generally used in the third country where the controller is established, is insufficient to ascertain such intention, factors such as the use of a language or a currency generally used in one or more Member States with the possibility of ordering goods and services in that other language, or the mentioning of customers or users who are in the Union, may make it apparent that the controller envisages offering goods or services to data subjects in the Union. | (23) | Kako bi se osiguralo da pojedincima nije uskraćena zaštita na koju imaju pravo na temelju ove Uredbe, na obradu osobnih podataka ispitanika koji se nalaze u Uniji, a koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji, trebala bi se primjenjivati ova Uredba ako su aktivnosti obrade povezane s ponudom robe ili usluga takvim ispitanicima, bez obzira na to ima li ta ponuda veze s plaćanjem. Kako bi se utvrdilo nudi li takav voditelj obrade ili izvršitelj obrade robu ili usluge ispitanicima koji se nalaze u Uniji, trebalo bi utvrditi je li očito da voditelj obrade ili izvršitelj obrade namjerava ponuditi usluge ispitanicima koji se nalaze u jednoj ili više država članica Unije. Iako su sama dostupnost internetskih stranica voditelja obrade, izvršitelja obrade ili posrednika u Uniji ili adrese elektroničke pošte i drugih kontaktnih podataka ili korištenje jezikom koji je općenito u uporabi u trećoj zemlji u kojoj voditelj obrade ima poslovni nastan nedovoljni za utvrđivanje takve namjere, čimbenici kao što je korištenje jezikom ili valutom koji su općenito u uporabi u jednoj ili više država članica s mogućnošću naručivanja robe i usluga na tom drugom jeziku, ili spominjanje kupaca ili korisnika koji se nalaze u Uniji, mogu jasno pokazati da voditelj obrade namjerava nuditi robu ili usluge ispitanicima u Uniji. |
| (24) | Die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter sollte auch dann dieser Verordnung unterliegen, wenn sie dazu dient, das Verhalten dieser betroffenen Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. Ob eine Verarbeitungstätigkeit der Beobachtung des Verhaltens von betroffenen Personen gilt, sollte daran festgemacht werden, ob ihre Internetaktivitäten nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen. | (24) | The processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union should also be subject to this Regulation when it is related to the monitoring of the behaviour of such data subjects in so far as their behaviour takes place within the Union. In order to determine whether a processing activity can be considered to monitor the behaviour of data subjects, it should be ascertained whether natural persons are tracked on the internet including potential subsequent use of personal data processing techniques which consist of profiling a natural person, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes. | (24) | Na obradu osobnih podataka ispitanika koji se nalaze u Uniji, a koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji, također bi se trebala primjenjivati ova Uredba kada se odnosi na praćenje ponašanja takvih ispitanika ako se njihovo ponašanje odvija unutar Unije. Kako bi se odredilo može li se aktivnost obrade smatrati praćenjem ponašanja ispitanika, trebalo bi utvrditi prati li se pojedince na internetu među ostalim mogućom naknadnom upotrebom tehnika obrade osobnih podataka koje se sastoje od izrade profila pojedinca, osobito radi donošenja odluka koje se odnose na njega ili radi analize ili predviđanja njegovih osobnih sklonosti, ponašanja i stavova. |
| (25) | Ist nach Völkerrecht das Recht eines Mitgliedstaats anwendbar, z. B. in einer diplomatischen oder konsularischen Vertretung eines Mitgliedstaats, so sollte die Verordnung auch auf einen nicht in der Union niedergelassenen Verantwortlichen Anwendung finden. | (25) | Where Member State law applies by virtue of public international law, this Regulation should also apply to a controller not established in the Union, such as in a Member State's diplomatic mission or consular post. | (25) | Kada se pravo države članice primjenjuje na temelju međunarodnog javnog prava, ova Uredba trebala bi se primjenjivati i na voditelje obrade koji nemaju poslovni nastan u Uniji, kao na primjer u diplomatskom ili konzularnom predstavništvu države članice. |
| (26) | Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke. | (26) | The principles of data protection should apply to any information concerning an identified or identifiable natural person. Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person. To determine whether a natural person is identifiable, account should be taken of all the means reasonably likely to be used, such as singling out, either by the controller or by another person to identify the natural person directly or indirectly. To ascertain whether means are reasonably likely to be used to identify the natural person, account should be taken of all objective factors, such as the costs of and the amount of time required for identification, taking into consideration the available technology at the time of the processing and technological developments. The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable. This Regulation does not therefore concern the processing of such anonymous information, including for statistical or research purposes. | (26) | Načela zaštite podataka trebala bi se primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Osobne podatke koji su pseudonimizirani, a koji bi se mogli pripisati nekom pojedincu uporabom dodatnih informacija trebalo bi smatrati informacijama o pojedincu čiji se identitet može utvrditi. Kako bi se odredilo može li se identitet pojedinca utvrditi, trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koja voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca. Kako bi se utvrdilo je li po svemu sudeći izgledno da se upotrebljavaju sredstva za utvrđivanje identiteta pojedinca, trebalo bi uzeti u obzir sve objektivne čimbenike, kao što su troškovi i vrijeme potrebno za utvrđivanje identiteta, uzimajući u obzir i tehnologiju dostupnu u vrijeme obrade i tehnološki razvoj. Načela zaštite podataka stoga se ne bi trebala primjenjivati na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su učinjeni anonimnima na način da se identitet ispitanika ne može ili više ne može utvrditi. Ova se Uredba stoga ne odnosi na obradu takvih anonimnih informacija, među ostalim za statističke ili istraživačke svrhe. |
| (27) | Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen. | (27) | This Regulation does not apply to the personal data of deceased persons. Member States may provide for rules regarding the processing of personal data of deceased persons. | (27) | Ova se Uredba ne primjenjuje na osobne podatke preminulih osoba. Države članice mogu predvidjeti pravila u vezi s obradom osobnih podataka preminulih osoba. |
| (28) | Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen. Durch die ausdrückliche Einführung der „Pseudonymisierung“ in dieser Verordnung ist nicht beabsichtigt, andere Datenschutzmaßnahmen auszuschließen. | (28) | The application of pseudonymisation to personal data can reduce the risks to the data subjects concerned and help controllers and processors to meet their data-protection obligations. The explicit introduction of ‘pseudonymisation’ in this Regulation is not intended to preclude any other measures of data protection. | (28) | Primjena pseudonimizacije na osobne podatke može smanjiti rizike za dotične ispitanike i pomoći voditeljima obrade i izvršiteljima obrade u ispunjavanju njihovih obveza u vezi sa zaštitom podataka. Izričitim uvođenjem „pseudonimizacije” ovom se Uredbom ne namjerava isključiti bilo koje druge mjere za zaštitu podataka. |
| (29) | Um Anreize für die Anwendung der Pseudonymisierung bei der Verarbeitung personenbezogener Daten zu schaffen, sollten Pseudonymisierungsmaßnahmen, die jedoch eine allgemeine Analyse zulassen, bei demselben Verantwortlichen möglich sein, wenn dieser die erforderlichen technischen und organisatorischen Maßnahmen getroffen hat, um — für die jeweilige Verarbeitung — die Umsetzung dieser Verordnung zu gewährleisten, wobei sicherzustellen ist, dass zusätzliche Informationen, mit denen die personenbezogenen Daten einer speziellen betroffenen Person zugeordnet werden können, gesondert aufbewahrt werden. Der für die Verarbeitung der personenbezogenen Daten Verantwortliche, sollte die befugten Personen bei diesem Verantwortlichen angeben. | (29) | In order to create incentives to apply pseudonymisation when processing personal data, measures of pseudonymisation should, whilst allowing general analysis, be possible within the same controller when that controller has taken technical and organisational measures necessary to ensure, for the processing concerned, that this Regulation is implemented, and that additional information for attributing the personal data to a specific data subject is kept separately. The controller processing the personal data should indicate the authorised persons within the same controller. | (29) | Radi poticanja primjene pseudonimizacije prilikom obrade osobnih podataka trebalo bi omogućiti da isti voditelj obrade može provoditi mjere pseudonimizacije i opću analizu u slučajevima kada je taj voditelj obrade poduzeo tehničke i organizacijske mjere potrebne za osiguravanje, u dotičnoj obradi, provedbe ove Uredbe, te zasebno čuvanje dodatnih informacija za pripisivanje osobnih podataka određenom ispitaniku. Voditelj obrade koji obrađuje osobne podatke trebao bi navesti ovlaštene osobe u okviru istog voditelja obrade. |
| (30) | Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren. | (30) | Natural persons may be associated with online identifiers provided by their devices, applications, tools and protocols, such as internet protocol addresses, cookie identifiers or other identifiers such as radio frequency identification tags. This may leave traces which, in particular when combined with unique identifiers and other information received by the servers, may be used to create profiles of the natural persons and identify them. | (30) | Pojedinci mogu biti pridruženi mrežnim identifikatorima koje pružaju njihovi uređaji, aplikacije, alati i protokoli, kao što su adrese internetskog protokola, identifikatori kolačića ili drugim identifikatorima poput oznaka za radiofrekvencijsku identifikaciju. Tako mogu ostati tragovi koji se, posebno u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje primaju poslužitelji, mogu upotrijebiti za izradu profila pojedinaca i njihovu identifikaciju. |
| (31) | Behörden, gegenüber denen personenbezogene Daten aufgrund einer rechtlichen Verpflichtung für die Ausübung ihres offiziellen Auftrags offengelegt werden, wie Steuer- und Zollbehörden, Finanzermittlungsstellen, unabhängige Verwaltungsbehörden oder Finanzmarktbehörden, die für die Regulierung und Aufsicht von Wertpapiermärkten zuständig sind, sollten nicht als Empfänger gelten, wenn sie personenbezogene Daten erhalten, die für die Durchführung — gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten — eines einzelnen Untersuchungsauftrags im Interesse der Allgemeinheit erforderlich sind. Anträge auf Offenlegung, die von Behörden ausgehen, sollten immer schriftlich erfolgen, mit Gründen versehen sein und gelegentlichen Charakter haben, und sie sollten nicht vollständige Dateisysteme betreffen oder zur Verknüpfung von Dateisystemen führen. Die Verarbeitung personenbezogener Daten durch die genannten Behörden sollte den für die Zwecke der Verarbeitung geltenden Datenschutzvorschriften entsprechen. | (31) | Public authorities to which personal data are disclosed in accordance with a legal obligation for the exercise of their official mission, such as tax and customs authorities, financial investigation units, independent administrative authorities, or financial market authorities responsible for the regulation and supervision of securities markets should not be regarded as recipients if they receive personal data which are necessary to carry out a particular inquiry in the general interest, in accordance with Union or Member State law. The requests for disclosure sent by the public authorities should always be in writing, reasoned and occasional and should not concern the entirety of a filing system or lead to the interconnection of filing systems. The processing of personal data by those public authorities should comply with the applicable data-protection rules according to the purposes of the processing. | (31) | Tijela javne vlasti kojima se otkrivaju osobni podaci u skladu s pravnom obvezom izvršavanja njihovih službenih zadaća, poput poreznih i carinskih tijela, jedinica za financijsku istragu, neovisnih upravnih tijela ili tijela za financijska tržišta, odgovorna za reguliranje i nadzor tržišta vrijednosnih papira, ne bi se smjela smatrati primateljima ako prime osobne podatke koji su potrebni za provedbu određene istrage u općem interesu, u skladu s pravom Unije ili pravom države članice. Zahtjevi za otkrivanje koje šalju tijela javne vlasti trebali bi uvijek biti u pisanom obliku, obrazloženi i povremeni i ne bi se trebali odnositi na čitav sustav pohrane ili dovesti do međupovezanosti sustavâ pohrane. Ta tijela javne vlasti trebala bi obrađivati takve osobne podatke u skladu s primjenjivim pravilima za zaštitu podataka ovisno o svrhama obrade. |
| (32) | Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen. | (32) | Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject's agreement to the processing of personal data relating to him or her, such as by a written statement, including by electronic means, or an oral statement. This could include ticking a box when visiting an internet website, choosing technical settings for information society services or another statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of his or her personal data. Silence, pre-ticked boxes or inactivity should not therefore constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. When the processing has multiple purposes, consent should be given for all of them. If the data subject's consent is to be given following a request by electronic means, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided. | (32) | Privola bi se trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave. To bi moglo obuhvaćati označivanje polja kvačicom pri posjetu internetskim stranicama, biranje tehničkih postavaka usluga informacijskog društva ili drugu izjavu ili ponašanje koje jasno pokazuje u tom kontekstu da ispitanik prihvaća predloženu obradu svojih osobnih podataka. Šutnja, unaprijed kvačicom označeno polje ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom. Privola bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za sve njih. Ako se privola ispitanika treba dati nakon zahtjeva upućenog elektroničkim putem, taj zahtjev mora biti jasan, jezgrovit i ne smije nepotrebno ometati upotrebu usluge za koju se upotrebljava. |
| (33) | Oftmals kann der Zweck der Verarbeitung personenbezogener Daten für Zwecke der wissenschaftlichen Forschung zum Zeitpunkt der Erhebung der personenbezogenen Daten nicht vollständig angegeben werden. Daher sollte es betroffenen Personen erlaubt sein, ihre Einwilligung für bestimmte Bereiche wissenschaftlicher Forschung zu geben, wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht. Die betroffenen Personen sollten Gelegenheit erhalten, ihre Einwilligung nur für bestimme Forschungsbereiche oder Teile von Forschungsprojekten in dem vom verfolgten Zweck zugelassenen Maße zu erteilen. | (33) | It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose. | (33) | Često nije moguće u potpunosti identificirati svrhu obrade osobnih podataka u znanstvene svrhe u trenutku prikupljanja podataka. Stoga bi se ispitanicima trebalo omogućiti da svoju privolu daju za određena područja znanstvenog istraživanja uz pridržavanje priznatih etičkih normi za znanstveno istraživanje. Ispitanici bi trebali imati priliku dati svoju privolu samo za određena područja istraživanja ili dijelove istraživačkih projekata u mjeri u kojoj to dopušta željena namjena. |
| (34) | Genetische Daten sollten als personenbezogene Daten über die ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person definiert werden, die aus der Analyse einer biologischen Probe der betreffenden natürlichen Person, insbesondere durch eine Chromosomen, Desoxyribonukleinsäure (DNS)- oder Ribonukleinsäure (RNS)-Analyse oder der Analyse eines anderen Elements, durch die gleichwertige Informationen erlangt werden können, gewonnen werden. | (34) | Genetic data should be defined as personal data relating to the inherited or acquired genetic characteristics of a natural person which result from the analysis of a biological sample from the natural person in question, in particular chromosomal, deoxyribonucleic acid (DNA) or ribonucleic acid (RNA) analysis, or from the analysis of another element enabling equivalent information to be obtained. | (34) | Genetski podaci trebali bi se definirati kao osobni podaci u vezi s naslijeđenim ili stečenim genetskim obilježjima pojedinca koji proizlaze iz analize biološkog uzorka pojedinca o kojemu je riječ, osobito analize kromosoma, deoksiribonukleinske kiseline (DNK) ili ribonukleinske kiseline (RNK) ili iz analize drugog elementa koji omogućuje dobivanje jednakovrijedne informacije. |
| (35) | Zu den personenbezogenen Gesundheitsdaten sollten alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Dazu gehören auch Informationen über die natürliche Person, die im Zuge der Anmeldung für sowie der Erbringung von Gesundheitsdienstleistungen im Sinne der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates (9) für die natürliche Person erhoben werden, Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren, Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden, und Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, ob sie nun von einem Arzt oder sonstigem Angehörigen eines Gesundheitsberufes, einem Krankenhaus, einem Medizinprodukt oder einem In-Vitro-Diagnostikum stammen. | (35) | Personal data concerning health should include all data pertaining to the health status of a data subject which reveal information relating to the past, current or future physical or mental health status of the data subject. This includes information about the natural person collected in the course of the registration for, or the provision of, health care services as referred to in Directive 2011/24/EU of the European Parliament and of the Council (9) to that natural person; a number, symbol or particular assigned to a natural person to uniquely identify the natural person for health purposes; information derived from the testing or examination of a body part or bodily substance, including from genetic data and biological samples; and any information on, for example, a disease, disability, disease risk, medical history, clinical treatment or the physiological or biomedical state of the data subject independent of its source, for example from a physician or other health professional, a hospital, a medical device or an in vitro diagnostic test. | (35) | Osobni podaci koji se odnose na zdravlje trebali bi obuhvaćati sve podatke koji se odnose na zdravstveno stanje ispitanika, a koji otkrivaju informacije u vezi s prijašnjim, trenutačnim ili budućim fizičkim ili mentalnim zdravstvenim stanjem ispitanika. To uključuje informacije o pojedincu prikupljene tijekom registracije za ili tijekom pružanja tom pojedincu zdravstvenih usluga kako je navedeno u Direktivi 2011/24/EU Europskog parlamenta i Vijeća (9); broj, simbol ili oznaku koja je pojedincu dodijeljena u svrhu njegove jedinstvene identifikacije za zdravstvene svrhe; informacije izvedene iz testiranja ili ispitivanja dijela tijela ili tjelesne tvari, među ostalim iz genetskih podataka i bioloških uzoraka; i bilo kakvu informaciju o, na primjer, bolesti, invalidnosti, riziku od bolesti, medicinskoj povijesti, kliničkom tretmanu ili fiziološkom ili biomedicinskom stanju ispitanika neovisno o njegovu izvoru, kao na primjer od liječnika ili drugog zdravstvenog djelatnika, bolnice, medicinskog uređaja ili dijagnostičkog testa in vitro. |
| (36) | Die Hauptniederlassung des Verantwortlichen in der Union sollte der Ort seiner Hauptverwaltung in der Union sein, es sei denn, dass Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten in einer anderen Niederlassung des Verantwortlichen in der Union getroffen werden; in diesem Fall sollte die letztgenannte als Hauptniederlassung gelten. Zur Bestimmung der Hauptniederlassung eines Verantwortlichen in der Union sollten objektive Kriterien herangezogen werden; ein Kriterium sollte dabei die effektive und tatsächliche Ausübung von Managementtätigkeiten durch eine feste Einrichtung sein, in deren Rahmen die Grundsatzentscheidungen zur Festlegung der Zwecke und Mittel der Verarbeitung getroffen werden. Dabei sollte nicht ausschlaggebend sein, ob die Verarbeitung der personenbezogenen Daten tatsächlich an diesem Ort ausgeführt wird. Das Vorhandensein und die Verwendung technischer Mittel und Verfahren zur Verarbeitung personenbezogener Daten oder Verarbeitungstätigkeiten begründen an sich noch keine Hauptniederlassung und sind daher kein ausschlaggebender Faktor für das Bestehen einer Hauptniederlassung. Die Hauptniederlassung des Auftragsverarbeiters sollte der Ort sein, an dem der Auftragsverarbeiter seine Hauptverwaltung in der Union hat, oder — wenn er keine Hauptverwaltung in der Union hat — der Ort, an dem die wesentlichen Verarbeitungstätigkeiten in der Union stattfinden. Sind sowohl der Verantwortliche als auch der Auftragsverarbeiter betroffen, so sollte die Aufsichtsbehörde des Mitgliedstaats, in dem der Verantwortliche seine Hauptniederlassung hat, die zuständige federführende Aufsichtsbehörde bleiben, doch sollte die Aufsichtsbehörde des Auftragsverarbeiters als betroffene Aufsichtsbehörde betrachtet werden und diese Aufsichtsbehörde sollte sich an dem in dieser Verordnung vorgesehenen Verfahren der Zusammenarbeit beteiligen. Auf jeden Fall sollten die Aufsichtsbehörden des Mitgliedstaats oder der Mitgliedstaaten, in dem bzw. denen der Auftragsverarbeiter eine oder mehrere Niederlassungen hat, nicht als betroffene Aufsichtsbehörden betrachtet werden, wenn sich der Beschlussentwurf nur auf den Verantwortlichen bezieht. Wird die Verarbeitung durch eine Unternehmensgruppe vorgenommen, so sollte die Hauptniederlassung des herrschenden Unternehmens als Hauptniederlassung der Unternehmensgruppe gelten, es sei denn, die Zwecke und Mittel der Verarbeitung werden von einem anderen Unternehmen festgelegt. | (36) | The main establishment of a controller in the Union should be the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union, in which case that other establishment should be considered to be the main establishment. The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes and means of processing through stable arrangements. That criterion should not depend on whether the processing of personal data is carried out at that location. The presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute a main establishment and are therefore not determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union or, if it has no central administration in the Union, the place where the main processing activities take place in the Union. In cases involving both the controller and the processor, the competent lead supervisory authority should remain the supervisory authority of the Member State where the controller has its main establishment, but the supervisory authority of the processor should be considered to be a supervisory authority concerned and that supervisory authority should participate in the cooperation procedure provided for by this Regulation. In any case, the supervisory authorities of the Member State or Member States where the processor has one or more establishments should not be considered to be supervisory authorities concerned where the draft decision concerns only the controller. Where the processing is carried out by a group of undertakings, the main establishment of the controlling undertaking should be considered to be the main establishment of the group of undertakings, except where the purposes and means of processing are determined by another undertaking. | (36) | Glavni poslovni nastan voditelja obrade u Uniji trebalo bi biti mjesto njegove središnje uprave u Uniji, osim ako se odluke o svrhama i načinima obrade osobnih podataka donose u drugom poslovnom nastanu voditelja obrade u Uniji, u kojem slučaju taj drugi poslovni nastan trebao bi se smatrati glavnim poslovnim nastanom. Glavni poslovni nastan voditelja obrade u Uniji trebalo bi utvrditi prema objektivnim kriterijima, a pod time bi se trebalo podrazumijevati djelotvorno i stvarno obavljanje upravljačkih aktivnosti koje utvrđuju glavne odluke u vezi sa svrhama i načinima obrade putem stabilnih aranžmana. Taj kriterij ne bi smio ovisiti o tome obavljali se obrada osobnih podataka na toj lokaciji. Prisutnost i uporaba tehničkih sredstava i tehnologija za obradu osobnih podataka ili aktivnosti obrade same po sebi ne predstavljaju glavni poslovni nastan pa prema tome nisu odlučujući kriteriji za glavni poslovni nastan. Glavni poslovni nastan izvršitelja obrade trebalo bi biti mjesto njegove središnje uprave u Uniji ili, ako nema središnju upravu u Uniji, mjesto u Uniji u kojemu se odvijaju glavne aktivnosti obrade. U slučajevima koji uključuju i voditelja obrade i izvršitelja obrade, nadležno vodeće nadzorno tijelo trebalo bi ostati nadzorno tijelo države članice u kojoj voditelj obrade ima glavni poslovni nastan, ali nadzorno tijelo izvršitelja obrade trebalo bi smatrati predmetnim nadzornim tijelom te te bi to nadzorno tijelo trebalo sudjelovati u postupku suradnje koji je predviđen ovom Uredbom. U svakom slučaju, nadzorna tijela jedne države članice ili više njih u kojima izvršitelj obrade ima jedan ili više poslovnih nastana ne bi trebalo smatrati predmetnim nadzornim tijelima ako se nacrt odluke odnosi samo na voditelja obrade. Kada obradu obavlja grupa poduzetnika, glavni nastan poduzetnika u vladajućem položaju trebalo bi smatrati glavnim nastanom grupe poduzetnika, osim ako svrhe i načine obrade ne određuje drugi poduzetnik. |
| (37) | Eine Unternehmensgruppe sollte aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen bestehen, wobei das herrschende Unternehmen dasjenige sein sollte, das zum Beispiel aufgrund der Eigentumsverhältnisse, der finanziellen Beteiligung oder der für das Unternehmen geltenden Vorschriften oder der Befugnis, Datenschutzvorschriften umsetzen zu lassen, einen beherrschenden Einfluss auf die übrigen Unternehmen ausüben kann. Ein Unternehmen, das die Verarbeitung personenbezogener Daten in ihm angeschlossenen Unternehmen kontrolliert, sollte zusammen mit diesen als eine „Unternehmensgruppe“ betrachtet werden. | (37) | A group of undertakings should cover a controlling undertaking and its controlled undertakings, whereby the controlling undertaking should be the undertaking which can exert a dominant influence over the other undertakings by virtue, for example, of ownership, financial participation or the rules which govern it or the power to have personal data protection rules implemented. An undertaking which controls the processing of personal data in undertakings affiliated to it should be regarded, together with those undertakings, as a group of undertakings. | (37) | Grupa poduzetnika trebala bi obuhvaćati poduzetnika u vladajućem položaju i njemu podređene poduzetnike gdje bi poduzetnik u vladajućem položaju trebao biti poduzetnik koji može imati prevladavajući utjecaj nad drugim poduzetnicima na temelju, na primjer, vlasništva, financijskog sudjelovanja ili pravila kojima je ono uređeno ili ovlasti za provedbu pravila o zaštiti osobnih podataka. Poduzetnik koji nadzire obradu osobnih podataka kod poduzetnika koji su s njim povezani trebao bi se zajedno s njima smatrati „grupom poduzetnika”. |
| (38) | Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen. Die Einwilligung des Trägers der elterlichen Verantwortung sollte im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden, nicht erforderlich sein. | (38) | Children merit specific protection with regard to their personal data, as they may be less aware of the risks, consequences and safeguards concerned and their rights in relation to the processing of personal data. Such specific protection should, in particular, apply to the use of personal data of children for the purposes of marketing or creating personality or user profiles and the collection of personal data with regard to children when using services offered directly to a child. The consent of the holder of parental responsibility should not be necessary in the context of preventive or counselling services offered directly to a child. | (38) | Djeca zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka budući mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka. Takvo pravo na posebnu zaštitu trebalo bi se posebno odnositi na upotrebu osobnih podataka djece u svrhu marketinga ili stvaranja osobnih ili korisničkih profila te prikupljanje osobnih podataka o djeci prilikom upotrebe usluga koje se izravno nude djetetu. Privola nositelja roditeljske odgovornosti ne bi trebala biti nužna u kontekstu preventivnih usluga ili usluga savjetovanja koje su ponuđene izravno djetetu. |
| (39) | Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und Glauben erfolgen. Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann. Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden. Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können. | (39) | Any processing of personal data should be lawful and fair. It should be transparent to natural persons that personal data concerning them are collected, used, consulted or otherwise processed and to what extent the personal data are or will be processed. The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used. That principle concerns, in particular, information to the data subjects on the identity of the controller and the purposes of the processing and further information to ensure fair and transparent processing in respect of the natural persons concerned and their right to obtain confirmation and communication of personal data concerning them which are being processed. Natural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal data and how to exercise their rights in relation to such processing. In particular, the specific purposes for which personal data are processed should be explicit and legitimate and determined at the time of the collection of the personal data. The personal data should be adequate, relevant and limited to what is necessary for the purposes for which they are processed. This requires, in particular, ensuring that the period for which the personal data are stored is limited to a strict minimum. Personal data should be processed only if the purpose of the processing could not reasonably be fulfilled by other means. In order to ensure that the personal data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review. Every reasonable step should be taken to ensure that personal data which are inaccurate are rectified or deleted. Personal data should be processed in a manner that ensures appropriate security and confidentiality of the personal data, including for preventing unauthorised access to or use of personal data and the equipment used for the processing. | (39) | Svaka obrada osobnih podataka trebala bi biti zakonita i poštena. Za pojedince bi trebalo biti transparentno kako se osobni podaci koji se odnose na njih prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju, kao i do koje se mjere ti osobni podaci obrađuju ili će se obrađivati. Načelom transparentnosti traži se da svaka informacija i komunikacija u vezi s obradom tih osobnih podataka bude lako dostupna i razumljiva te da se upotrebljava jasan i jednostavan jezik. To se načelo osobito odnosi na informacije ispitaniku o identitetu voditelja obrade i svrhama obrade te daljnje informacije radi osiguravanja poštenosti i transparentnosti obrade s obzirom na pojedince o kojima je riječ i njihovo pravo da dobiju potvrdu i na obavijest o osobnim podacima koji se obrađuju, a koji se odnose na njih. Pojedinci bi trebali biti upoznati s rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom osobnih podataka i načinom ostvarenja svojih prava u vezi s obradom. Osobito,određena svrha u koju se osobni podaci obrađuju trebala bi biti izrijekom navedena i opravdana te određena u vrijeme prikupljanja osobnih podataka. Osobni podaci trebali bi biti primjereni, bitni i ograničeni na ono što je nužno za svrhe u koje se podaci obrađuju. Zbog toga je osobito potrebno osigurati da je razdoblje u kojem se osobni podaci pohranjuju ograničeno na strogi minimum. Osobni podaci trebali bi se obrađivati samo ako se svrha obrade opravdano ne bi mogla postići drugim sredstvima. Radi osiguravanja da se osobni podaci ne drže duže nego što je nužno, voditelj obrade trebao bi odrediti rok za brisanje ili periodično preispitivanje. Trebalo bi poduzeti svaki razumno opravdani korak radi osiguravanja da se netočni osobni podaci isprave ili izbrišu. Osobne podatke trebalo bi obrađivati uz odgovarajuće poštovanje sigurnosti i povjerljivosti osobnih podataka, što obuhvaća i sprečavanje neovlaštenog pristupa osobnim podacima i opremi kojom se koristi pri obradi podataka ili njihove neovlaštene upotrebe. |
| (40) | Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder — wann immer in dieser Verordnung darauf Bezug genommen wird — aus dem sonstigen Unionsrecht oder dem Recht der Mitgliedstaaten ergibt, so unter anderem auf der Grundlage, dass sie zur Erfüllung der rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist. | (40) | In order for processing to be lawful, personal data should be processed on the basis of the consent of the data subject concerned or some other legitimate basis, laid down by law, either in this Regulation or in other Union or Member State law as referred to in this Regulation, including the necessity for compliance with the legal obligation to which the controller is subject or the necessity for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract. | (40) | Kako bi obrada bila zakonita, osobne podatke trebalo bi obrađivati na temelju privole dotičnog ispitanika ili neke druge legitimne osnove, bilo propisane u ovoj Uredbi bilo u drugom pravu Unije ili pravu države članice na koji upućuje ova Uredba, uključujući obvezu poštovanja pravne obveze kojoj podliježe voditelj obrade ili obvezno izvršavanje ugovora u kojem je ispitanik jedna od stranaka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora. |
| (41) | Wenn in dieser Verordnung auf eine Rechtsgrundlage oder eine Gesetzgebungsmaßnahme Bezug genommen wird, erfordert dies nicht notwendigerweise einen von einem Parlament angenommenen Gesetzgebungsakt; davon unberührt bleiben Anforderungen gemäß der Verfassungsordnung des betreffenden Mitgliedstaats. Die entsprechende Rechtsgrundlage oder Gesetzgebungsmaßnahme sollte jedoch klar und präzise sein und ihre Anwendung sollte für die Rechtsunterworfenen gemäß der Rechtsprechung des Gerichtshofs der Europäischen Union (im Folgenden „Gerichtshof“) und des Europäischen Gerichtshofs für Menschenrechte vorhersehbar sein. | (41) | Where this Regulation refers to a legal basis or a legislative measure, this does not necessarily require a legislative act adopted by a parliament, without prejudice to requirements pursuant to the constitutional order of the Member State concerned. However, such a legal basis or legislative measure should be clear and precise and its application should be foreseeable to persons subject to it, in accordance with the case-law of the Court of Justice of the European Union (the ‘Court of Justice’) and the European Court of Human Rights. | (41) | Ako se ovom Uredbom upućuje na pravnu osnovu ili zakonodavnu mjeru, to ne znači nužno da parlament mora donijeti zakonodavni akt, ne dovodeći u pitanje zahtjeve u skladu s ustavnim poretkom dotične države članice. Međutim, takva pravna osnova ili zakonodavna mjera trebala bi biti jasna i precizna, a njezina primjena trebala bi biti predvidljiva osobama na koje se primjenjuje sukladno sudskoj praksi Suda Europske unije („Sud”) i Europskog suda za ljudska prava. |
| (42) | Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte der Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat. Insbesondere bei Abgabe einer schriftlichen Erklärung in anderer Sache sollten Garantien sicherstellen, dass die betroffene Person weiß, dass und in welchem Umfang sie ihre Einwilligung erteilt. Gemäß der Richtlinie 93/13/EWG des Rates (10) sollte eine vom Verantwortlichen vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden, und sie sollte keine missbräuchlichen Klauseln beinhalten. Damit sie in Kenntnis der Sachlage ihre Einwilligung geben kann, sollte die betroffene Person mindestens wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen. Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. | (42) | Where processing is based on the data subject's consent, the controller should be able to demonstrate that the data subject has given consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware of the fact that and the extent to which consent is given. In accordance with Council Directive 93/13/EEC (10) a declaration of consent pre-formulated by the controller should be provided in an intelligible and easily accessible form, using clear and plain language and it should not contain unfair terms. For consent to be informed, the data subject should be aware at least of the identity of the controller and the purposes of the processing for which the personal data are intended. Consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment. | (42) | Ako se obrada temelji na privoli ispitanika, voditelj obrade trebao bi moći dokazati da je ispitanik dao privolu za postupak obrade. Zaštitnim mjerama, posebno u kontekstu pisane izjave o drugom pitanju, trebalo bi se osigurati da je ispitanik svjestan činjenice da daje privolu i do koje mjere se ona daje. U skladu s Direktivom Vijeća 93/13/EEZ (10) izjavu o privoli koju je unaprijed sastavio voditelj obrade trebalo bi ponuditi u razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te u njoj ne bi smjelo biti nepoštenih uvjeta. Da bi ispitanik mogao dati privolu informiran, trebao bi barem znati identitet voditelja obrade i svrhe obrade za koju se upotrebljavaju osobni podaci. Ne može se smatrati da je privola dana dobrovoljno ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica. |
| (43) | Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern. Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist. | (43) | In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. Consent is presumed not to be freely given if it does not allow separate consent to be given to different personal data processing operations despite it being appropriate in the individual case, or if the performance of a contract, including the provision of a service, is dependent on the consent despite such consent not being necessary for such performance. | (43) | Kako bi se osiguralo da je privola dana dobrovoljno, ona ne bi smjela predstavljati valjanu pravnu osnovu za obradu osobnih podataka u određenom slučaju kada postoji jasna neravnoteža između ispitanika i voditelja obrade, posebno ako je voditelj obrade tijelo javne vlasti i stoga nije vjerojatno da je s obzirom na sve okolnostima te posebne situacije privola dana dobrovoljno. Smatra se da privola nije dana dobrovoljno ako se njome ne omogućuje davanje zasebne privole za različite postupke obrade podataka, unatoč tome što je primjerena pojedinačnom slučaju ili ako izvršenje ugovora, među ostalim i pružanje usluge, ovisi o privoli i ako takva privola nije nužna za takvo izvršenje. |
| (44) | Die Verarbeitung von Daten sollte als rechtmäßig gelten, wenn sie für die Erfüllung oder den geplanten Abschluss eines Vertrags erforderlich ist. | (44) | Processing should be lawful where it is necessary in the context of a contract or the intention to enter into a contract. | (44) | Obrada bi se trebala smatrati zakonitom ako je potrebna u kontekstu ugovora ili namjere sklapanja ugovora. |
| (45) | Erfolgt die Verarbeitung durch den Verantwortlichen aufgrund einer ihm obliegenden rechtlichen Verpflichtung oder ist die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich, muss hierfür eine Grundlage im Unionsrecht oder im Recht eines Mitgliedstaats bestehen. Mit dieser Verordnung wird nicht für jede einzelne Verarbeitung ein spezifisches Gesetz verlangt. Ein Gesetz als Grundlage für mehrere Verarbeitungsvorgänge kann ausreichend sein, wenn die Verarbeitung aufgrund einer dem Verantwortlichen obliegenden rechtlichen Verpflichtung erfolgt oder wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erforderlich ist. Desgleichen sollte im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, für welche Zwecke die Daten verarbeitet werden dürfen. Ferner könnten in diesem Recht die allgemeinen Bedingungen dieser Verordnung zur Regelung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten präzisiert und es könnte darin festgelegt werden, wie der Verantwortliche zu bestimmen ist, welche Art von personenbezogenen Daten verarbeitet werden, welche Personen betroffen sind, welchen Einrichtungen die personenbezogenen Daten offengelegt, für welche Zwecke und wie lange sie gespeichert werden dürfen und welche anderen Maßnahmen ergriffen werden, um zu gewährleisten, dass die Verarbeitung rechtmäßig und nach Treu und Glauben erfolgt. Desgleichen sollte im Unionsrecht oder im Recht der Mitgliedstaaten geregelt werden, ob es sich bei dem Verantwortlichen, der eine Aufgabe wahrnimmt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, um eine Behörde oder um eine andere unter das öffentliche Recht fallende natürliche oder juristische Person oder, sofern dies durch das öffentliche Interesse einschließlich gesundheitlicher Zwecke, wie die öffentliche Gesundheit oder die soziale Sicherheit oder die Verwaltung von Leistungen der Gesundheitsfürsorge, gerechtfertigt ist, eine natürliche oder juristische Person des Privatrechts, wie beispielsweise eine Berufsvereinigung, handeln sollte. | (45) | Where processing is carried out in accordance with a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority, the processing should have a basis in Union or Member State law. This Regulation does not require a specific law for each individual processing. A law as a basis for several processing operations based on a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of an official authority may be sufficient. It should also be for Union or Member State law to determine the purpose of processing. Furthermore, that law could specify the general conditions of this Regulation governing the lawfulness of personal data processing, establish specifications for determining the controller, the type of personal data which are subject to the processing, the data subjects concerned, the entities to which the personal data may be disclosed, the purpose limitations, the storage period and other measures to ensure lawful and fair processing. It should also be for Union or Member State law to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public authority or another natural or legal person governed by public law, or, where it is in the public interest to do so, including for health purposes such as public health and social protection and the management of health care services, by private law, such as a professional association. | (45) | Ako se obrada odvija u skladu s pravnim obvezama kojima podliježe voditelj obrade ili ako je obrada potrebna za izvršavanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti, obrada bi se trebala temeljiti na pravu Unije ili pravu države članice. Ovom se Uredbom ne zahtijeva potreba posebnog propisa za svaku pojedinačnu obradu. Jedan propis kao osnova za više postupaka obrade, koji se temelje na pravnoj obvezi kojoj podliježe voditelj obrade ili ako je obrada potrebna za izvršenje zadaće koja se provodi zbog javnog interesa ili pri izvršavanju službene ovlasti, može biti dovoljan. Pravom Unije ili pravom države članice također bi se trebala odrediti svrha obrade. Osim toga, tim bi se propisom mogli utvrditi opći uvjeti ove Uredbe kojima se uređuje zakonitost obrade osobnih podataka, utvrditi specifikacije za utvrđivanje voditelja obrade, vrste osobnih podataka koji podliježu obradi, dotičnih ispitanika, subjekata kojima se osobni podaci mogu otkriti, ograničenja svrhe, razdoblja pohrane i drugih mjera za osiguravanje zakonite i poštene obrade. Osim toga, pravom Unije ili pravom države članice trebalo bi odrediti bi li voditelj obrade koji obavlja zadaću u javnom interesu ili prilikom izvršavanja službene ovlasti trebao biti tijelo javne vlasti ili druga fizička ili pravna osoba koja posluje sukladno javnom pravu ili privatnom pravu, kao što je strukovno udruženje, u slučaju da je to opravdano javnim interesom, među ostalim u slučaju zdravstvenih svrha, kao što su javno zdravlje i socijalna zaštita te upravljanje službama za zdravstvenu skrb. |
| (46) | Die Verarbeitung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein lebenswichtiges Interesse der betroffenen Person oder einer anderen natürlichen Person zu schützen. Personenbezogene Daten sollten grundsätzlich nur dann aufgrund eines lebenswichtigen Interesses einer anderen natürlichen Person verarbeitet werden, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann. Einige Arten der Verarbeitung können sowohl wichtigen Gründen des öffentlichen Interesses als auch lebenswichtigen Interessen der betroffenen Person dienen; so kann beispielsweise die Verarbeitung für humanitäre Zwecke einschließlich der Überwachung von Epidemien und deren Ausbreitung oder in humanitären Notfällen insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen erforderlich sein. | (46) | The processing of personal data should also be regarded to be lawful where it is necessary to protect an interest which is essential for the life of the data subject or that of another natural person. Processing of personal data based on the vital interest of another natural person should in principle take place only where the processing cannot be manifestly based on another legal basis. Some types of processing may serve both important grounds of public interest and the vital interests of the data subject as for instance when processing is necessary for humanitarian purposes, including for monitoring epidemics and their spread or in situations of humanitarian emergencies, in particular in situations of natural and man-made disasters. | (46) | Obrada osobnih podataka trebala bi se također smatrati zakonitom ako je potrebna za zaštitu interesa koji je neophodan za očuvanje života ispitanika ili druge fizičke osobe. Obrada osobnih podataka na temelju životno važnih interesa druge fizičke osobe u načelu bi se smjela obavljati samo ako se obrada očito ne može temeljiti na drugoj pravnoj osnovi. Neke vrste obrade mogu poslužiti i za važne potrebe javnog interesa i životno važne interese ispitanika kao, na primjer, ako je obrada potrebna u humanitarne svrhe, među ostalim za praćenje epidemija i njihovog širenja ili u humanitarnim krizama, posebno u slučajevima prirodnih katastrofa i katastrofa uzrokovanih ljudskim djelovanjem. |
| (47) | Die Rechtmäßigkeit der Verarbeitung kann durch die berechtigten Interessen eines Verantwortlichen, auch eines Verantwortlichen, dem die personenbezogenen Daten offengelegt werden dürfen, oder eines Dritten begründet sein, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen; dabei sind die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht. Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen, wobei auch zu prüfen ist, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird. Insbesondere dann, wenn personenbezogene Daten in Situationen verarbeitet werden, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen. Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zu schaffen, sollte diese Rechtsgrundlage nicht für Verarbeitungen durch Behörden gelten, die diese in Erfüllung ihrer Aufgaben vornehmen. Die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang stellt ebenfalls ein berechtigtes Interesse des jeweiligen Verantwortlichen dar. Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden. | (47) | The legitimate interests of a controller, including those of a controller to which the personal data may be disclosed, or of a third party, may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on their relationship with the controller. Such legitimate interest could exist for example where there is a relevant and appropriate relationship between the data subject and the controller in situations such as where the data subject is a client or in the service of the controller. At any rate the existence of a legitimate interest would need careful assessment including whether a data subject can reasonably expect at the time and in the context of the collection of the personal data that processing for that purpose may take place. The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further processing. Given that it is for the legislator to provide by law for the legal basis for public authorities to process personal data, that legal basis should not apply to the processing by public authorities in the performance of their tasks. The processing of personal data strictly necessary for the purposes of preventing fraud also constitutes a legitimate interest of the data controller concerned. The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest. | (47) | Legitimni interesi voditelja obrade, među ostalim onih interesa voditelja obrade kojem se osobni podaci mogu otkriti ili treće strane, mogu predstavljati pravnu osnovu za obradu pod uvjetom da interesi ili temeljna prava i slobode ispitanika nemaju prednost, uzimajući u obzir razumna očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade. Takav legitiman interes mogao bi na primjer postojati u slučaju relevantnog i odgovarajućeg odnosa ispitanika i voditelja obrade u situacijama poput one kada je ispitanik klijent voditelja obrade ili u njegovoj službi. U svakom slučaju postojanje legitimnog interesa zahtijevalo bi pažljivu procjenu, među ostalim i toga može li ispitanik u vrijeme i u kontekstu prikupljanja osobnih podataka razumno očekivati obradu u dotičnu svrhu. Interesi i temeljna prava ispitanika posebno bi mogli nadvladati interes voditelja obrade ako se osobni podaci obrađuju u okolnostima u kojima ispitanici razumno ne očekuju daljnju obradu. Budući da je zakonodavac dužan zakonski odrediti pravnu osnovu za obradu osobnih podataka koju provode tijela javne vlasti, ta pravna osnova ne bi se smjela primjenjivati na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća. Obrada osobnih podataka koja je nužna u svrhe sprečavanja prijevara također predstavlja legitiman interes dotičnog voditelja obrade podataka. Može se smatrati da postoji legitiman interes kod obrade osobnih podataka provedene za potrebe izravnog marketinga. |
| (48) | Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt. | (48) | Controllers that are part of a group of undertakings or institutions affiliated to a central body may have a legitimate interest in transmitting personal data within the group of undertakings for internal administrative purposes, including the processing of clients' or employees' personal data. The general principles for the transfer of personal data, within a group of undertakings, to an undertaking located in a third country remain unaffected. | (48) | Voditelji obrade koji su dio grupe poduzetnika ili institucija povezanih sa središnjim tijelom mogu imati legitimni interes za prijenos osobnih podataka unutar grupe poduzetnika za unutarnje administrativne potrebe, među ostalim za obradu osobnih podataka klijenata ili zaposlenika. Opća načela za prijenos osobnih podataka unutar grupe poduzetnika određenom poduzetniku koje se nalazi u trećoj zemlji ostaju nepromijenjena. |
| (49) | Die Verarbeitung von personenbezogenen Daten durch Behörden, Computer-Notdienste (Computer Emergency Response Teams — CERT, beziehungsweise Computer Security Incident Response Teams — CSIRT), Betreiber von elektronischen Kommunikationsnetzen und -diensten sowie durch Anbieter von Sicherheitstechnologien und -diensten stellt in dem Maße ein berechtigtes Interesse des jeweiligen Verantwortlichen dar, wie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig ist, d.h. soweit dadurch die Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, mit einem vorgegebenen Grad der Zuverlässigkeit Störungen oder widerrechtliche oder mutwillige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen. Ein solches berechtigtes Interesse könnte beispielsweise darin bestehen, den Zugang Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung schädlicher Programmcodes zu verhindern sowie Angriffe in Form der gezielten Überlastung von Servern („Denial of service“-Angriffe) und Schädigungen von Computer- und elektronischen Kommunikationssystemen abzuwehren. | (49) | The processing of personal data to the extent strictly necessary and proportionate for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted personal data, and the security of the related services offered by, or accessible via, those networks and systems, by public authorities, by computer emergency response teams (CERTs), computer security incident response teams (CSIRTs), by providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the data controller concerned. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems. | (49) | Obrada osobnih podataka u mjeri koja je nužna i proporcionalna za potrebe osiguravanja sigurnosti mreže i informacija, odnosno sposobnosti mreže ili informacijskog sustava da se odupre, na danom stupnju povjerljivosti, slučajnim događajima ili nezakonitim ili zlonamjernim radnjama koje ugrožavaju dostupnost, autentičnost, integritet i povjerljivost pohranjenih ili prenesenih osobnih podataka te sigurnost povezanih usluga koje nude ili koje su dostupne putem tih mreža i sustava, koju provode tijela javne vlasti, jedinice za hitne računalne intervencije (CERT-ovi), jedinice za računalne sigurnosne incidente (CSIRT-ovi), pružatelji elektroničkih komunikacijskih mreža i usluga te davatelji sigurnosnih tehnologija i usluga smatra se legitimnim interesom dotičnog voditelja obrade podataka. To bi, na primjer, moglo uključivati sprečavanje neovlaštenog pristupa elektroničkim komunikacijskim mrežama i širenja zlonamjernih kodova te zaustavljanje napada „uskraćivanjem usluge” te sprečavanje štete na računalnim i elektroničkim komunikacijskim sustavima. |
| (50) | Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten. Ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, so können im Unionsrecht oder im Recht der Mitgliedstaaten die Aufgaben und Zwecke bestimmt und konkretisiert werden, für die eine Weiterverarbeitung als vereinbar und rechtmäßig erachtet wird. Die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke sollte als vereinbarer und rechtmäßiger Verarbeitungsvorgang gelten. Die im Unionsrecht oder im Recht der Mitgliedstaaten vorgesehene Rechtsgrundlage für die Verarbeitung personenbezogener Daten kann auch als Rechtsgrundlage für eine Weiterverarbeitung dienen. Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen, ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht, in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten, um welche Art von personenbezogenen Daten es sich handelt, welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen. | Hat die betroffene Person ihre Einwilligung erteilt oder beruht die Verarbeitung auf Unionsrecht oder dem Recht der Mitgliedstaaten, was in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz insbesondere wichtiger Ziele des allgemeinen öffentlichen Interesses darstellt, so sollte der Verantwortliche die personenbezogenen Daten ungeachtet der Vereinbarkeit der Zwecke weiterverarbeiten dürfen. In jedem Fall sollte gewährleistet sein, dass die in dieser Verordnung niedergelegten Grundsätze angewandt werden und insbesondere die betroffene Person über diese anderen Zwecke und über ihre Rechte einschließlich des Widerspruchsrechts unterrichtet wird. Der Hinweis des Verantwortlichen auf mögliche Straftaten oder Bedrohungen der öffentlichen Sicherheit und die Übermittlung der maßgeblichen personenbezogenen Daten in Einzelfällen oder in mehreren Fällen, die im Zusammenhang mit derselben Straftat oder derselben Bedrohung der öffentlichen Sicherheit stehen, an eine zuständige Behörde sollten als berechtigtes Interesse des Verantwortlichen gelten. Eine derartige Übermittlung personenbezogener Daten im berechtigten Interesse des Verantwortlichen oder deren Weiterverarbeitung sollte jedoch unzulässig sein, wenn die Verarbeitung mit einer rechtlichen, beruflichen oder sonstigen verbindlichen Pflicht zur Geheimhaltung unvereinbar ist. | (50) | The processing of personal data for purposes other than those for which the personal data were initially collected should be allowed only where the processing is compatible with the purposes for which the personal data were initially collected. In such a case, no legal basis separate from that which allowed the collection of the personal data is required. If the processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Union or Member State law may determine and specify the tasks and purposes for which the further processing should be regarded as compatible and lawful. Further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be considered to be compatible lawful processing operations. The legal basis provided by Union or Member State law for the processing of personal data may also provide a legal basis for further processing. In order to ascertain whether a purpose of further processing is compatible with the purpose for which the personal data are initially collected, the controller, after having met all the requirements for the lawfulness of the original processing, should take into account, inter alia: any link between those purposes and the purposes of the intended further processing; the context in which the personal data have been collected, in particular the reasonable expectations of data subjects based on their relationship with the controller as to their further use; the nature of the personal data; the consequences of the intended further processing for data subjects; and the existence of appropriate safeguards in both the original and intended further processing operations. | Where the data subject has given consent or the processing is based on Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard, in particular, important objectives of general public interest, the controller should be allowed to further process the personal data irrespective of the compatibility of the purposes. In any case, the application of the principles set out in this Regulation and in particular the information of the data subject on those other purposes and on his or her rights including the right to object, should be ensured. Indicating possible criminal acts or threats to public security by the controller and transmitting the relevant personal data in individual cases or in several cases relating to the same criminal act or threats to public security to a competent authority should be regarded as being in the legitimate interest pursued by the controller. However, such transmission in the legitimate interest of the controller or further processing of personal data should be prohibited if the processing is not compatible with a legal, professional or other binding obligation of secrecy. | (50) | Obrada osobnih podataka u svrhe različite od svrha za koje su podaci prvotno prikupljeni smjela bi se dopustiti samo ako je obrada usklađena sa svrhama za koje su osobni podaci prvotno prikupljeni. U takvom slučaju nije potrebna pravna osnova zasebna od one kojom je dopušteno prikupljanje osobnih podataka. Ako je obrada potrebna za obavljanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti koju ima voditelj obrade, pravom Unije ili pravom države članice mogu se utvrditi i odrediti zadaće i svrhe za koje će se nastavak obrade smatrati usklađenim i zakonitim. Nastavak obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebalo bi smatrati usklađenom zakonitom obradom. Pravna osnova koja se predviđa pravom Unije ili pravom države članice za obradu osobnih podataka također može činiti pravnu osnovu za daljnju obradu. Radi utvrđivanja je li svrha nastavka obrade usklađena sa svrhom prvotnog prikupljanja osobnih podataka, voditelj obrade nakon ispunjavanja svih zahtjeva zakonitosti izvorne obrade trebao bi uzeti u obzir, među ostalim, svaku vezu između te svrhe i svrhe planiranog nastavka obrade, kontekst u kojem su prikupljeni osobni podaci posebno opravdana očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade u pogledu daljnje uporabe podataka, prirodu osobnih podataka, posljedice planiranog nastavka obrade za ispitanike i postojanje primjerenih zaštitnih mjera u izvornoj i planiranoj daljnjoj obradi. | Ako je ispitanik dao privolu ili se obrada temelji na pravu Unije ili pravu države članice koje čini potrebnu i razmjernu mjeru u demokratskom društvu posebno za zaštitu važnih ciljeva od općeg javnog interesa, voditelju obrade trebalo bi dopustiti daljnju obradu osobnih podataka neovisno o usklađenosti svrha. U svakom slučaju trebalo bi osigurati primjenu načela iz ove Uredbe, a osobito informirati ispitanika o tim drugim svrhama te o njegovim pravima, među ostalim o pravu na prigovor. Ukazivanje voditelja obrade na moguća kaznena djela ili prijetnje javnoj sigurnosti i prijenos relevantnih osobnih podataka nadležnom tijelu u pojedinim slučajevima ili u više njih koji se odnose na isto kazneno djelo ili prijetnje javnoj sigurnosti trebalo bi smatrati legitimnim interesom voditelja obrade. Međutim, takav prijenos u legitimnom interesu voditelja obrade ili daljnju obradu osobnih podataka trebalo bi zabraniti ako obrada nije u skladu s pravnim, profesionalnim ili drugim prisilnim obvezama poštovanja tajnosti. |
| (51) | Personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können. Diese personenbezogenen Daten sollten personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft hervorgeht, wobei die Verwendung des Begriffs „rassische Herkunft“ in dieser Verordnung nicht bedeutet, dass die Union Theorien, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen, gutheißt. Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Derartige personenbezogene Daten sollten nicht verarbeitet werden, es sei denn, die Verarbeitung ist in den in dieser Verordnung dargelegten besonderen Fällen zulässig, wobei zu berücksichtigen ist, dass im Recht der Mitgliedstaaten besondere Datenschutzbestimmungen festgelegt sein können, um die Anwendung der Bestimmungen dieser Verordnung anzupassen, damit die Einhaltung einer rechtlichen Verpflichtung oder die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder die Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, möglich ist. Zusätzlich zu den speziellen Anforderungen an eine derartige Verarbeitung sollten die allgemeinen Grundsätze und andere Bestimmungen dieser Verordnung, insbesondere hinsichtlich der Bedingungen für eine rechtmäßige Verarbeitung, gelten. Ausnahmen von dem allgemeinen Verbot der Verarbeitung dieser besonderen Kategorien personenbezogener Daten sollten ausdrücklich vorgesehen werden, unter anderem bei ausdrücklicher Einwilligung der betroffenen Person oder bei bestimmten Notwendigkeiten, insbesondere wenn die Verarbeitung im Rahmen rechtmäßiger Tätigkeiten bestimmter Vereinigungen oder Stiftungen vorgenommen wird, die sich für die Ausübung von Grundfreiheiten einsetzen. | (51) | Personal data which are, by their nature, particularly sensitive in relation to fundamental rights and freedoms merit specific protection as the context of their processing could create significant risks to the fundamental rights and freedoms. Those personal data should include personal data revealing racial or ethnic origin, whereby the use of the term ‘racial origin’ in this Regulation does not imply an acceptance by the Union of theories which attempt to determine the existence of separate human races. The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person. Such personal data should not be processed, unless processing is allowed in specific cases set out in this Regulation, taking into account that Member States law may lay down specific provisions on data protection in order to adapt the application of the rules of this Regulation for compliance with a legal obligation or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. In addition to the specific requirements for such processing, the general principles and other rules of this Regulation should apply, in particular as regards the conditions for lawful processing. Derogations from the general prohibition for processing such special categories of personal data should be explicitly provided, inter alia, where the data subject gives his or her explicit consent or in respect of specific needs in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms. | (51) | Osobni podaci koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode. Ti bi osobni podaci trebali obuhvatiti osobne podatke koji otkrivaju rasno ili etničko podrijetlo, pri čemu upotreba termina „rasno podrijetlo” u ovoj Uredbi ne podrazumijeva da Unija prihvaća teorije koje pokušavaju odrediti postojanje odvojenih ljudskih rasa. Obradu fotografija ne bi trebalo sustavno smatrati obradom posebnih kategorija osobnih podataka jer su one biti obuhvaćene samo definicijom biometrijskih podataka pri obradi posebnim tehničkim sredstvima kojima se omogućuje jedinstvena identifikacija ili autentifikacija pojedinca. Takvi osobni podaci ne bi se smjeli obrađivati osim ako je obrada dopuštena u posebnim slučajevima navedenima u ovoj Uredbi, uzimajući u obzir da pravom država članica mogu biti propisane posebne odredbe o zaštiti podataka kako bi se prilagodila primjena pravila iz ove Uredbe radi poštovanja pravne obveze ili za obavljanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti koju ima voditelj obrade. Osim posebnih zahtjeva za takvu obradu, trebala bi se primjenjivati opća načela i druga pravila iz ove Uredbe, posebno u pogledu uvjeta za zakonitu obradu. Odstupanja od opće zabrane obrade takvih posebnih kategorija osobnih podataka trebala bi biti izričito predviđena, među ostalim ako je ispitanik dao svoju izričitu privolu ili u vezi s posebnim potrebama, pogotovo ako se obrada provodi u sklopu legitimnih aktivnosti određenih udruženja ili zaklada čiji je cilj dopustiti ostvarivanje temeljnih sloboda. |
| (52) | Ausnahmen vom Verbot der Verarbeitung besonderer Kategorien von personenbezogenen Daten sollten auch erlaubt sein, wenn sie im Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen sind, und — vorbehaltlich angemessener Garantien zum Schutz der personenbezogenen Daten und anderer Grundrechte — wenn dies durch das öffentliche Interesse gerechtfertigt ist, insbesondere für die Verarbeitung von personenbezogenen Daten auf dem Gebiet des Arbeitsrechts und des Rechts der sozialen Sicherheit einschließlich Renten und zwecks Sicherstellung und Überwachung der Gesundheit und Gesundheitswarnungen, Prävention oder Kontrolle ansteckender Krankheiten und anderer schwerwiegender Gesundheitsgefahren. Eine solche Ausnahme kann zu gesundheitlichen Zwecken gemacht werden, wie der Gewährleistung der öffentlichen Gesundheit und der Verwaltung von Leistungen der Gesundheitsversorgung, insbesondere wenn dadurch die Qualität und Wirtschaftlichkeit der Verfahren zur Abrechnung von Leistungen in den sozialen Krankenversicherungssystemen sichergestellt werden soll, oder wenn die Verarbeitung im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken dient. Die Verarbeitung solcher personenbezogener Daten sollte zudem ausnahmsweise erlaubt sein, wenn sie erforderlich ist, um rechtliche Ansprüche, sei es in einem Gerichtsverfahren oder in einem Verwaltungsverfahren oder einem außergerichtlichen Verfahren, geltend zu machen, auszuüben oder zu verteidigen. | (52) | Derogating from the prohibition on processing special categories of personal data should also be allowed when provided for in Union or Member State law and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where it is in the public interest to do so, in particular processing personal data in the field of employment law, social protection law including pensions and for health security, monitoring and alert purposes, the prevention or control of communicable diseases and other serious threats to health. Such a derogation may be made for health purposes, including public health and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A derogation should also allow the processing of such personal data where necessary for the establishment, exercise or defence of legal claims, whether in court proceedings or in an administrative or out-of-court procedure. | (52) | Odstupanje od zabrane obrade posebnih kategorija osobnih podataka također bi se trebalo dopustiti kad god je to predviđeno pravom Unije ili pravom države članice i podložno odgovarajućim zaštitnim mjerama radi zaštite osobnih podataka i drugih temeljnih prava, ako je u javnom interesu da se to učini, posebno u slučaju obrade osobnih podataka u području radnog prava, prava u vezi socijalnom zaštitom, uključujući mirovine te u svrhu zdravstvene zaštite, praćenja i uzbunjivanja, sprečavanja ili kontrole zaraznih bolesti i drugih ozbiljnih opasnosti za zdravlje. Takvo se odstupanje može učiniti u zdravstvene svrhe, među ostalim za javno zdravlje i upravljanje uslugama zdravstvene skrbi, posebno kako bi se osigurala kvaliteta i isplativost postupaka koji se upotrebljavaju za rješavanje potraživanja za naknadama i uslugama u sustavu zdravstvenog osiguranja ili u svrhe arhiviranja u javnom interesu, u svrhe znanstvenih ili povijesnih istraživanja ili u statističke svrhe. Odstupanjem bi se također trebala omogućiti obrada takvih osobnih podataka ako su nužni za postavljanje, ostvarivanje ili obranu pravnih zahtjeva, neovisno je li to u sudskom ili upravnom postupku ili bilo kojem izvansudskom postupku. |
| (53) | Besondere Kategorien personenbezogener Daten, die eines höheren Schutzes verdienen, sollten nur dann für gesundheitsbezogene Zwecke verarbeitet werden, wenn dies für das Erreichen dieser Zwecke im Interesse einzelner natürlicher Personen und der Gesellschaft insgesamt erforderlich ist, insbesondere im Zusammenhang mit der Verwaltung der Dienste und Systeme des Gesundheits- oder Sozialbereichs, einschließlich der Verarbeitung dieser Daten durch die Verwaltung und die zentralen nationalen Gesundheitsbehörden zwecks Qualitätskontrolle, Verwaltungsinformationen und der allgemeinen nationalen und lokalen Überwachung des Gesundheitssystems oder des Sozialsystems und zwecks Gewährleistung der Kontinuität der Gesundheits- und Sozialfürsorge und der grenzüberschreitenden Gesundheitsversorgung oder Sicherstellung und Überwachung der Gesundheit und Gesundheitswarnungen oder für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken, die auf Rechtsvorschriften der Union oder der Mitgliedstaaten beruhen, die einem im öffentlichen Interesse liegenden Ziel dienen müssen, sowie für Studien, die im öffentlichen Interesse im Bereich der öffentlichen Gesundheit durchgeführt werden. Diese Verordnung sollte daher harmonisierte Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Gesundheitsdaten im Hinblick auf bestimmte Erfordernisse harmonisieren, insbesondere wenn die Verarbeitung dieser Daten für gesundheitsbezogene Zwecke von Personen durchgeführt wird, die gemäß einer rechtlichen Verpflichtung dem Berufsgeheimnis unterliegen. Im Recht der Union oder der Mitgliedstaaten sollten besondere und angemessene Maßnahmen zum Schutz der Grundrechte und der personenbezogenen Daten natürlicher Personen vorgesehen werden. Den Mitgliedstaaten sollte gestattet werden, weitere Bedingungen — einschließlich Beschränkungen — in Bezug auf die Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten beizubehalten oder einzuführen. Dies sollte jedoch den freien Verkehr personenbezogener Daten innerhalb der Union nicht beeinträchtigen, falls die betreffenden Bedingungen für die grenzüberschreitende Verarbeitung solcher Daten gelten. | (53) | Special categories of personal data which merit higher protection should be processed for health-related purposes only where necessary to achieve those purposes for the benefit of natural persons and society as a whole, in particular in the context of the management of health or social care services and systems, including processing by the management and central national health authorities of such data for the purpose of quality control, management information and the general national and local supervision of the health or social care system, and ensuring continuity of health or social care and cross-border healthcare or health security, monitoring and alert purposes, or for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, based on Union or Member State law which has to meet an objective of public interest, as well as for studies conducted in the public interest in the area of public health. Therefore, this Regulation should provide for harmonised conditions for the processing of special categories of personal data concerning health, in respect of specific needs, in particular where the processing of such data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy. Union or Member State law should provide for specific and suitable measures so as to protect the fundamental rights and the personal data of natural persons. Member States should be allowed to maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. However, this should not hamper the free flow of personal data within the Union when those conditions apply to cross-border processing of such data. | (53) | Posebne kategorije osobnih podataka koje zaslužuju veći stupanj zaštite trebale bi se obrađivati samo u svrhe povezane sa zdravljem radi ostvarivanja tih svrhâ u korist pojedinaca i društva u cjelini, pogotovo u kontekstu upravljanja uslugama i sustavima zdravstvene ili socijalne skrbi, u što se ubraja i obrada takvih podataka koju u svrhu kontrole kvalitete, informacija o upravljanju i općeg nacionalnog i lokalnog nadzora sustava zdravstvene ili socijalne skrbi provode uprava i središnja nacionalna tijela nadležna za zdravlje i u svrhu osiguravanja kontinuiteta zdravstvene ili socijalne skrbi i prekogranične zdravstvene skrbi ili u svrhe zdravstvene zaštite, nadzora i uzbunjivanja, ili u svrhe arhiviranja u javnom interesu,u svrhe znanstvenih ili povijesnih istraživanja ili u statističke svrhe utemeljene na pravu Unije ili pravu države članice i čime treba ostvariti cilj od javnog interesa, kao i za studije koje se provode u javnom interesu u području javnog zdravlja. Stoga bi se ovom Uredbom trebali utvrditi usklađeni uvjeti za obradu posebnih kategorija osobnih podataka koji se odnose na zdravlje, za posebne potrebe, osobito kada obradu takvih podataka za određene zdravstvene svrhe provode osobe koje podliježu zakonskoj obvezi čuvanja poslovne tajne. Pravom Unije ili pravom države članice trebalo bi predvidjeti specifične i primjerene mjere za zaštitu temeljnih prava i osobnih podataka pojedinaca. Državama članicama trebalo bi omogućiti zadržavanje ili uvođenje dodatnih uvjeta, uključujući ograničenja, u vezi s obradom genetskih podataka, biometrijskih podataka ili podataka koji se odnose na zdravlje. Međutim, to ne bi trebalo spriječiti slobodan protok osobnih podataka unutar Unije ako se ti uvjeti primjenjuju na prekograničnu obradu takvih podataka. |
| (54) | Aus Gründen des öffentlichen Interesses in Bereichen der öffentlichen Gesundheit kann es notwendig sein, besondere Kategorien personenbezogener Daten auch ohne Einwilligung der betroffenen Person zu verarbeiten. Diese Verarbeitung sollte angemessenen und besonderen Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen unterliegen. In diesem Zusammenhang sollte der Begriff „öffentliche Gesundheit“ im Sinne der Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates (11) ausgelegt werden und alle Elemente im Zusammenhang mit der Gesundheit wie den Gesundheitszustand einschließlich Morbidität und Behinderung, die sich auf diesen Gesundheitszustand auswirkenden Determinanten, den Bedarf an Gesundheitsversorgung, die der Gesundheitsversorgung zugewiesenen Mittel, die Bereitstellung von Gesundheitsversorgungsleistungen und den allgemeinen Zugang zu diesen Leistungen sowie die entsprechenden Ausgaben und die Finanzierung und schließlich die Ursachen der Mortalität einschließen. Eine solche Verarbeitung von Gesundheitsdaten aus Gründen des öffentlichen Interesses darf nicht dazu führen, dass Dritte, unter anderem Arbeitgeber oder Versicherungs- und Finanzunternehmen, solche personenbezogene Daten zu anderen Zwecken verarbeiten. | (54) | The processing of special categories of personal data may be necessary for reasons of public interest in the areas of public health without consent of the data subject. Such processing should be subject to suitable and specific measures so as to protect the rights and freedoms of natural persons. In that context, ‘public health’ should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council (11), namely all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers or insurance and banking companies. | (54) | Obrada posebnih kategorija osobnih podataka bez privole ispitanika može biti potrebna zbog javnog interesa u područjima javnog zdravlja. Takva bi obrada trebala podlijegati primjerenim i specifičnim mjerama kako bi se zaštitila prava i slobode pojedinaca. U tom bi kontekstu „javno zdravlje” trebalo tumačiti kako je definirano u Uredbi (EZ) br. 1338/2008 Europskog parlamenta i Vijeća (11), što znači svi elementi povezani sa zdravljem, tj. zdravstvenim stanjem, uključujući morbiditet i invaliditet, determinante koje utječu na to zdravstveno stanje, potrebe zdravstvene zaštite, sredstva dodijeljena zdravstvenoj zaštiti, pružanje zdravstvene zaštite i opća dostupnost zdravstvene zaštite, kao i troškovi i financiranje zdravstvene zaštite te uzroci smrtnosti. Takva obrada podataka koji se odnose na zdravlje za potrebe javnog interesa ne bi smjela prouzročiti obradu osobnih podataka u druge svrhe koju obavljaju treće strane kao što su poslodavci ili osiguravajuća društva i banke. |
| (55) | Auch die Verarbeitung personenbezogener Daten durch staatliche Stellen zu verfassungsrechtlich oder völkerrechtlich verankerten Zielen von staatlich anerkannten Religionsgemeinschaften erfolgt aus Gründen des öffentlichen Interesses. | (55) | Moreover, the processing of personal data by official authorities for the purpose of achieving the aims, laid down by constitutional law or by international public law, of officially recognised religious associations, is carried out on grounds of public interest. | (55) | Osim toga, obrada osobnih podataka koju na temelju odredaba ustavnog prava ili međunarodnog javnog prava obavljaju službena tijela radi postizanja ciljeva službeno priznatih vjerskih udruženja, provodi se na temelju javnog interesa. |
| (56) | Wenn es in einem Mitgliedstaat das Funktionieren des demokratischen Systems erfordert, dass die politischen Parteien im Zusammenhang mit Wahlen personenbezogene Daten über die politische Einstellung von Personen sammeln, kann die Verarbeitung derartiger Daten aus Gründen des öffentlichen Interesses zugelassen werden, sofern geeignete Garantien vorgesehen werden. | (56) | Where in the course of electoral activities, the operation of the democratic system in a Member State requires that political parties compile personal data on people's political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established. | (56) | Ako tijekom izbornih aktivnosti djelovanje demokratskog sustava u državi članici zahtijeva da političke stranke prikupljaju osobne podatke o političkim mišljenjima ljudi, obrada takvih podataka može se dopustiti iz razloga javnog interesa, pod uvjetom da se uspostave odgovarajuće zaštitne mjere. |
| (57) | Kann der Verantwortliche anhand der von ihm verarbeiteten personenbezogenen Daten eine natürliche Person nicht identifizieren, so sollte er nicht verpflichtet sein, zur bloßen Einhaltung einer Vorschrift dieser Verordnung zusätzliche Daten einzuholen, um die betroffene Person zu identifizieren. Allerdings sollte er sich nicht weigern, zusätzliche Informationen entgegenzunehmen, die von der betroffenen Person beigebracht werden, um ihre Rechte geltend zu machen. Die Identifizierung sollte die digitale Identifizierung einer betroffenen Person — beispielsweise durch Authentifizierungsverfahren etwa mit denselben Berechtigungsnachweisen, wie sie die betroffene Person verwendet, um sich bei dem von dem Verantwortlichen bereitgestellten Online-Dienst anzumelden — einschließen. | (57) | If the personal data processed by a controller do not permit the controller to identify a natural person, the data controller should not be obliged to acquire additional information in order to identify the data subject for the sole purpose of complying with any provision of this Regulation. However, the controller should not refuse to take additional information provided by the data subject in order to support the exercise of his or her rights. Identification should include the digital identification of a data subject, for example through authentication mechanism such as the same credentials, used by the data subject to log-in to the on-line service offered by the data controller. | (57) | Ako voditelj obrade ne može utvrditi identitet pojedinca na temelju osobnih podataka koje obrađuje, on ne bi smio biti obvezan prikupiti dodatne informacije kako bi utvrdio identitet ispitanika isključivo radi pridržavanja bilo koje odredbe iz ove Uredbe. Međutim, voditelj obrade ne bi smio odbiti dodatne informacije koje je pružio ispitanik kako bi pružio potporu ostvarivanju svojih prava. Identifikacija bi trebala uključivati digitalnu identifikaciju ispitanika, primjerice putem mehanizma autentifikacije kao što su isti podaci kojima se ispitanik koristi da bi se prijavio za internetske usluge koje nudi voditelj obrade. |
| (58) | Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist. Dies gilt insbesondere für Situationen, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden, wie etwa bei der Werbung im Internet. Wenn sich die Verarbeitung an Kinder richtet, sollten aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann. | (58) | The principle of transparency requires that any information addressed to the public or to the data subject be concise, easily accessible and easy to understand, and that clear and plain language and, additionally, where appropriate, visualisation be used. Such information could be provided in electronic form, for example, when addressed to the public, through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising. Given that children merit specific protection, any information and communication, where processing is addressed to a child, should be in such a clear and plain language that the child can easily understand. | (58) | Načelom transparentnosti zahtijeva se da svaka informacija namijenjena javnosti ili ispitaniku bude sažeta, lako dostupna i razumljiva, da se upotrebljava jasan i jednostavan jezik te da se usto, prema potrebi, koristi vizualizacijom. Takva bi se informacija također mogla dati u elektroničkom obliku, na primjer na internetskim stranicama, kada je namijenjena javnosti. To je osobito bitno u situacijama u kojima zbog velikog broja sudionika i tehnološke složenosti prakse ispitaniku nije lako prepoznati i razumjeti prikupljaju li se osobni podaci o njemu, tko ih prikuplja i u koju svrhu, kao što je slučaj internetskog oglašavanja. Imajući u vidu da djeca zaslužuju posebnu zaštitu, svaka informacija i komunikacija, u slučaju da je obrada usmjerena prema djetetu, trebale bi biti na jasnom i jednostavnom jeziku koji dijete lako može razumjeti. |
| (59) | Es sollten Modalitäten festgelegt werden, die einer betroffenen Person die Ausübung der Rechte, die ihr nach dieser Verordnung zustehen, erleichtern, darunter auch Mechanismen, die dafür sorgen, dass sie unentgeltlich insbesondere Zugang zu personenbezogenen Daten und deren Berichtigung oder Löschung beantragen und gegebenenfalls erhalten oder von ihrem Widerspruchsrecht Gebrauch machen kann. So sollte der Verantwortliche auch dafür sorgen, dass Anträge elektronisch gestellt werden können, insbesondere wenn die personenbezogenen Daten elektronisch verarbeitet werden. Der Verantwortliche sollte verpflichtet werden, den Antrag der betroffenen Person unverzüglich, spätestens aber innerhalb eines Monats zu beantworten und gegebenenfalls zu begründen, warum er den Antrag ablehnt. | (59) | Modalities should be provided for facilitating the exercise of the data subject's rights under this Regulation, including mechanisms to request and, if applicable, obtain, free of charge, in particular, access to and rectification or erasure of personal data and the exercise of the right to object. The controller should also provide means for requests to be made electronically, especially where personal data are processed by electronic means. The controller should be obliged to respond to requests from the data subject without undue delay and at the latest within one month and to give reasons where the controller does not intend to comply with any such requests. | (59) | Trebalo bi predvidjeti modalitete kojima se olakšava ostvarivanje prava ispitanika iz ove Uredbe, uključujući mehanizme za podnošenje zahtjeva te, ako je primjenjivo, besplatno ostvarivanje, osobito zahtjeva za pristup osobnim podacima, njihovo ispravljanje ili brisanje i ostvarivanje prava na prigovor. Voditelj obrade trebao bi također pružiti sredstva za elektroničku predaju zahtjeva, osobito ako se osobni podaci obrađuju elektronički. Voditelj obrade trebao bi biti dužan odgovoriti na zahtjev ispitanika bez nepotrebnog odgađanja i najkasnije u roku od mjesec dana te iznijeti razloge ako voditelj obrade nema namjeru ispuniti bilo koji takav zahtjev. |
| (60) | Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Darüber hinaus sollte er die betroffene Person darauf hinweisen, dass Profiling stattfindet und welche Folgen dies hat. Werden die personenbezogenen Daten bei der betroffenen Person erhoben, so sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche Folgen eine Zurückhaltung der Daten nach sich ziehen würde. Die betreffenden Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, so sollten sie maschinenlesbar sein. | (60) | The principles of fair and transparent processing require that the data subject be informed of the existence of the processing operation and its purposes. The controller should provide the data subject with any further information necessary to ensure fair and transparent processing taking into account the specific circumstances and context in which the personal data are processed. Furthermore, the data subject should be informed of the existence of profiling and the consequences of such profiling. Where the personal data are collected from the data subject, the data subject should also be informed whether he or she is obliged to provide the personal data and of the consequences, where he or she does not provide such data. That information may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner, a meaningful overview of the intended processing. Where the icons are presented electronically, they should be machine-readable. | (60) | Načelima poštene i transparentne obrade zahtijeva se da je ispitanik informiran o postupku obrade i njegovim svrhama. Voditelj obrade trebao bi ispitaniku pružiti sve dodatne informacije neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir posebne okolnosti i kontekst obrade osobnih podataka. Osim toga ispitanik bi trebao biti informiran o postupku izrade profila i posljedicama takve izrade profila. Kada se prikupljaju osobni podaci od ispitanika, trebalo bi ga također obavijestiti o tome je li obvezan pružiti osobne podatke te o posljedicama ako takve podatke ne pruži. Ova se informacija može pružiti u kombinaciji sa standardiziranim ikonama kako bi se na lako vidljiv, razumljiv i jasno čitljiv način pružio smislen pregled planirane obrade. Kada su ikone predstavljene elektroničkim putem, trebale bi biti strojno čitljive. |
| (61) | Dass sie betreffende personenbezogene Daten verarbeitet werden, sollte der betroffenen Person zum Zeitpunkt der Erhebung mitgeteilt werden oder, falls die Daten nicht von ihr, sondern aus einer anderen Quelle erlangt werden, innerhalb einer angemessenen Frist, die sich nach dem konkreten Einzelfall richtet. Wenn die personenbezogenen Daten rechtmäßig einem anderen Empfänger offengelegt werden dürfen, sollte die betroffene Person bei der erstmaligen Offenlegung der personenbezogenen Daten für diesen Empfänger darüber aufgeklärt werden. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck zu verarbeiten als den, für den die Daten erhoben wurden, so sollte er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und andere erforderliche Informationen zur Verfügung stellen. Konnte der betroffenen Person nicht mitgeteilt werden, woher die personenbezogenen Daten stammen, weil verschiedene Quellen benutzt wurden, so sollte die Unterrichtung allgemein gehalten werden. | (61) | The information in relation to the processing of personal data relating to the data subject should be given to him or her at the time of collection from the data subject, or, where the personal data are obtained from another source, within a reasonable period, depending on the circumstances of the case. Where personal data can be legitimately disclosed to another recipient, the data subject should be informed when the personal data are first disclosed to the recipient. Where the controller intends to process the personal data for a purpose other than that for which they were collected, the controller should provide the data subject prior to that further processing with information on that other purpose and other necessary information. Where the origin of the personal data cannot be provided to the data subject because various sources have been used, general information should be provided. | (61) | Ispitaniku bi tijekom prikupljanja podataka trebalo dati informacije o obradi osobnih podataka koji se odnose na njega, ili ako se osobni podaci ne uzimaju od ispitanika već su prikupljeni iz drugog izvora, u razumnom roku ovisno o okolnostima slučaja. Ako se osobni podaci legitimno mogu otkriti drugom primatelju, ispitanika bi trebalo informirati kada se osobni podaci prvi put otkrivaju primatelju. Ako voditelj obrade namjerava obrađivati osobne podatke u svrhu koja je različita od one za koju su prikupljeni, voditelj obrade bi prije te daljnje obrade ispitaniku trebao pružiti informacije o toj drugoj svrsi te druge potrebne informacije. Ako se izvor osobnih podataka ne može dati ispitaniku jer su upotrebljavani razni izvori, trebalo bi dati opće informacije. |
| (62) | Die Pflicht, Informationen zur Verfügung zu stellen, erübrigt sich jedoch, wenn die betroffene Person die Information bereits hat, wenn die Speicherung oder Offenlegung der personenbezogenen Daten ausdrücklich durch Rechtsvorschriften geregelt ist oder wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist. Letzteres könnte insbesondere bei Verarbeitungen für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken der Fall sein. Als Anhaltspunkte sollten dabei die Zahl der betroffenen Personen, das Alter der Daten oder etwaige geeignete Garantien in Betracht gezogen werden. | (62) | However, it is not necessary to impose the obligation to provide information where the data subject already possesses the information, where the recording or disclosure of the personal data is expressly laid down by law or where the provision of information to the data subject proves to be impossible or would involve a disproportionate effort. The latter could in particular be the case where processing is carried out for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. In that regard, the number of data subjects, the age of the data and any appropriate safeguards adopted should be taken into consideration. | (62) | Obvezu pružanja informacija ipak nije potrebno nametati ako ispitanik već posjeduje tu informaciju, ako je bilježenje ili otkrivanje osobnih podataka izrijekom propisano zakonom ili ako je pružanje informacije ispitaniku nemoguće ili bi zahtijevalo nerazmjeran napor. Primjer nemogućnosti pružanja informacija ili nerazmjernog napora posebno bi se mogao javiti ako se obrada obavlja u svrhe arhiviranja u javnom interesu, u svrhe znanstvenih ili povijesnih istraživanja ili u statističke svrhe. U tom smislu trebalo bi razmotriti broj ispitanika, starost podataka i bilo koje druge donesene prikladne zaštitne mjere. |
| (63) | Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten, die erhoben worden sind, besitzen und dieses Recht problemlos und in angemessenen Abständen wahrnehmen können, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. Dies schließt das Recht betroffene Personen auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, etwa Daten in ihren Patientenakten, die Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen enthalten. Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt. | (63) | A data subject should have the right of access to personal data which have been collected concerning him or her, and to exercise that right easily and at reasonable intervals, in order to be aware of, and verify, the lawfulness of the processing. This includes the right for data subjects to have access to data concerning their health, for example the data in their medical records containing information such as diagnoses, examination results, assessments by treating physicians and any treatment or interventions provided. Every data subject should therefore have the right to know and obtain communication in particular with regard to the purposes for which the personal data are processed, where possible the period for which the personal data are processed, the recipients of the personal data, the logic involved in any automatic personal data processing and, at least when based on profiling, the consequences of such processing. Where possible, the controller should be able to provide remote access to a secure system which would provide the data subject with direct access to his or her personal data. That right should not adversely affect the rights or freedoms of others, including trade secrets or intellectual property and in particular the copyright protecting the software. However, the result of those considerations should not be a refusal to provide all information to the data subject. Where the controller processes a large quantity of information concerning the data subject, the controller should be able to request that, before the information is delivered, the data subject specify the information or processing activities to which the request relates. | (63) | Ispitanik bi trebao imati pravo pristupa prikupljenim osobnim podacima koji se na njega odnose te ostvarivati to pravo lako i u razumnim intervalima kako bi bio svjestan obrade i provjerio njezinu zakonitost. To uključuje pravo ispitanika na pristup podacima o njegovom zdravstvenom stanju, na primjer podacima u medicinskoj dokumentaciji koja sadržava informacije poput dijagnoza, rezultata pretraga, liječničkih mišljenja, liječenja ili zahvata. Svaki ispitanik stoga bi osobito trebao imati pravo znati i dobiti obavijest o svrhama obrade osobnih podataka, ako je moguće i za koje razdoblje se osobni podaci obrađuju, o primateljima osobnih podataka, o logici automatske obrade osobnih podataka i o posljedicama takve obrade, barem kad se temelji na izradi profila. Ako je moguće, voditelj obrade trebao bi imati mogućnost omogućiti daljinski pristup zaštićenom sustavu koji bi ispitaniku omogućio izravan pristup njegovim osobnim podacima. To pravo ne bi smjelo negativno utjecati na prava ili slobode drugih, uključujući i poslovne tajne ili intelektualno vlasništvo, a osobito na autorsko pravo kojima je zaštićen računalni program. Rezultat tih razmatranja ipak ne bi smjelo biti odbijanje pružanja svih informacija ispitaniku. Ako voditelj obrade obrađuje velike količine informacija koje se odnose na ispitanika, voditelj obrade trebao bi imati mogućnost prije dostave informacije zahtijevati od ispitanika da navede informacije ili aktivnosti obrade na koje se zahtjev odnosi. |
| (64) | Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen. Ein Verantwortlicher sollte personenbezogene Daten nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können. | (64) | The controller should use all reasonable measures to verify the identity of a data subject who requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the sole purpose of being able to react to potential requests. | (64) | Voditelj obrade trebao bi se koristiti svim razumnim mjerama kako bi utvrdio identitet ispitanika koji traži pristup, a osobito u okviru internetskih usluga i mrežnih identifikatora. Voditelj obrade ne bi smio pohraniti osobne podatke samo zato da bi mogao odgovoriti na moguće zahtjeve. |
| (65) | Eine betroffene Person sollte ein Recht auf Berichtigung der sie betreffenden personenbezogenen Daten besitzen sowie ein „Recht auf Vergessenwerden“, wenn die Speicherung ihrer Daten gegen diese Verordnung oder gegen das Unionsrecht oder das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, verstößt. Insbesondere sollten betroffene Personen Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden, wenn die personenbezogenen Daten hinsichtlich der Zwecke, für die sie erhoben bzw. anderweitig verarbeitet wurden, nicht mehr benötigt werden, wenn die betroffenen Personen ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt haben oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen gegen diese Verordnung verstößt. Dieses Recht ist insbesondere wichtig in Fällen, in denen die betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und insofern die mit der Verarbeitung verbundenen Gefahren nicht in vollem Umfang absehen konnte und die personenbezogenen Daten — insbesondere die im Internet gespeicherten — später löschen möchte. Die betroffene Person sollte dieses Recht auch dann ausüben können, wenn sie kein Kind mehr ist. Die weitere Speicherung der personenbezogenen Daten sollte jedoch rechtmäßig sein, wenn dies für die Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. | (65) | A data subject should have the right to have personal data concerning him or her rectified and a ‘right to be forgotten’ where the retention of such data infringes this Regulation or Union or Member State law to which the controller is subject. In particular, a data subject should have the right to have his or her personal data erased and no longer processed where the personal data are no longer necessary in relation to the purposes for which they are collected or otherwise processed, where a data subject has withdrawn his or her consent or objects to the processing of personal data concerning him or her, or where the processing of his or her personal data does not otherwise comply with this Regulation. That right is relevant in particular where the data subject has given his or her consent as a child and is not fully aware of the risks involved by the processing, and later wants to remove such personal data, especially on the internet. The data subject should be able to exercise that right notwithstanding the fact that he or she is no longer a child. However, the further retention of the personal data should be lawful where it is necessary, for exercising the right of freedom of expression and information, for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, on the grounds of public interest in the area of public health, for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, or for the establishment, exercise or defence of legal claims. | (65) | Ispitanik bi trebao imati pravo na ispravak osobnih podataka koji se na njega odnose te „pravo na zaborav” ako zadržavanje takvih podataka krši ovu Uredbu ili pravo Unije ili pravo države članice koje se primjenjuje na voditelja obrade. Ispitanici bi osobito trebali imati pravo da se njihovi osobni podaci brišu i više ne obrađuju ako ti osobni podaci više nisu potrebni s obzirom na svrhu u koju su prikupljeni ili na druge načine obrađivani, ako su ispitanici povukli svoju privolu ili ako daju prigovor na obradu osobnih podataka koji se odnose na njih ili ako obrada njihovih osobnih podataka na druge načine nije u skladu s ovom Uredbom. Ovo je pravo osobito bitno ako je ispitanik dao svoju privolu dok je bio dijete i nije bio u potpunosti svjestan rizika obrade, a kasnije želi ukloniti takve osobne podatke, osobito na internetu. Ispitanik bi trebao biti u mogućnosti ostvariti to pravo neovisno o činjenici da više nije dijete. No daljnja pohrana osobnih podataka trebala bi biti zakonita ako je nužna za ostvarivanje prava na slobodu izražavanja i na slobodu informiranja, radi poštovanja pravnih obveza, za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade, na temelju javnog interesa u području javnog zdravlja, u svrhe arhiviranja od javnog interesa, u svrhe znanstvenih ili povijesnih istraživanja, u statističke svrhe ili za postavljanje, ostvarivanje ili obranu pravnih zahtjeva. |
| (66) | Um dem „Recht auf Vergessenwerden“ im Netz mehr Geltung zu verschaffen, sollte das Recht auf Löschung ausgeweitet werden, indem ein Verantwortlicher, der die personenbezogenen Daten öffentlich gemacht hat, verpflichtet wird, den Verantwortlichen, die diese personenbezogenen Daten verarbeiten, mitzuteilen, alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen der personenbezogenen Daten zu löschen. Dabei sollte der Verantwortliche, unter Berücksichtigung der verfügbaren Technologien und der ihm zur Verfügung stehenden Mittel, angemessene Maßnahmen — auch technischer Art — treffen, um die Verantwortlichen, die diese personenbezogenen Daten verarbeiten, über den Antrag der betroffenen Person zu informieren. | (66) | To strengthen the right to be forgotten in the online environment, the right to erasure should also be extended in such a way that a controller who has made the personal data public should be obliged to inform the controllers which are processing such personal data to erase any links to, or copies or replications of those personal data. In doing so, that controller should take reasonable steps, taking into account available technology and the means available to the controller, including technical measures, to inform the controllers which are processing the personal data of the data subject's request. | (66) | Kako bi se ojačalo „pravo na zaborav” u internetskom okruženju, pravo na brisanje također bi trebalo proširiti tako da bi voditelj obrade koji je objavio osobne podatke bio obvezan obavijestiti voditelje obrade koji takve osobne podatke obrađuju da obrišu sve poveznice s tim osobnim podacima ili kopijama ili replikama tih osobnih podataka. Pritom bi voditelj obrade trebao poduzeti razumne mjere, uzimajući u obzir dostupnu tehnologiju i sredstva dostupna voditelju obrade, uključujući tehničke mjere da obavijesti voditelje obrade, koji obrađuju osobne podatke, o zahtjevu ispitanika. |
| (67) | Methoden zur Beschränkung der Verarbeitung personenbezogener Daten könnten unter anderem darin bestehen, dass ausgewählte personenbezogenen Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentliche Daten vorübergehend von einer Website entfernt werden. In automatisierten Dateisystemen sollte die Einschränkung der Verarbeitung grundsätzlich durch technische Mittel so erfolgen, dass die personenbezogenen Daten in keiner Weise weiterverarbeitet werden und nicht verändert werden können. Auf die Tatsache, dass die Verarbeitung der personenbezogenen Daten beschränkt wurde, sollte in dem System unmissverständlich hingewiesen werden. | (67) | Methods by which to restrict the processing of personal data could include, inter alia, temporarily moving the selected data to another processing system, making the selected personal data unavailable to users, or temporarily removing published data from a website. In automated filing systems, the restriction of processing should in principle be ensured by technical means in such a manner that the personal data are not subject to further processing operations and cannot be changed. The fact that the processing of personal data is restricted should be clearly indicated in the system. | (67) | Metode kojima se ograničava obrada osobnih podataka mogle bi, među ostalim, uključivati privremeno premještanje odabranih osobnih podataka u drugi sustav obrade, činjenje odabranih podataka nedostupnima za korisnike ili privremeno uklanjanje objavljenih podataka s internetske stranice. U automatiziranim sustavima pohrane ograničavanje obrade u načelu bi trebalo osigurati tehničkim sredstvima na način da osobni podaci nisu predmet daljnjih obrada i da se ne mogu mijenjati. Činjenicu da je obrada osobnih podataka ograničena trebalo bi jasno navesti u sustavu. |
| (68) | Um im Fall der Verarbeitung personenbezogener Daten mit automatischen Mitteln eine bessere Kontrolle über die eigenen Daten zu haben, sollte die betroffene Person außerdem berechtigt sein, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zu erhalten und sie einem anderen Verantwortlichen zu übermitteln. Die Verantwortlichen sollten dazu aufgefordert werden, interoperable Formate zu entwickeln, die die Datenübertragbarkeit ermöglichen. Dieses Recht sollte dann gelten, wenn die betroffene Person die personenbezogenen Daten mit ihrer Einwilligung zur Verfügung gestellt hat oder die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist. Es sollte nicht gelten, wenn die Verarbeitung auf einer anderen Rechtsgrundlage als ihrer Einwilligung oder eines Vertrags erfolgt. Dieses Recht sollte naturgemäß nicht gegen Verantwortliche ausgeübt werden, die personenbezogenen Daten in Erfüllung ihrer öffentlichen Aufgaben verarbeiten. Es sollte daher nicht gelten, wenn die Verarbeitung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder für die Wahrnehmung einer ihm übertragenen Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung einer ihm übertragenen öffentlichen Gewalt erfolgt, erforderlich ist. Das Recht der betroffenen Person, sie betreffende personenbezogene Daten zu übermitteln oder zu empfangen, sollte für den Verantwortlichen nicht die Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten. Ist im Fall eines bestimmten Satzes personenbezogener Daten mehr als eine betroffene Person tangiert, so sollte das Recht auf Empfang der Daten die Grundrechte und Grundfreiheiten anderer betroffener Personen nach dieser Verordnung unberührt lassen. Dieses Recht sollte zudem das Recht der betroffenen Person auf Löschung ihrer personenbezogenen Daten und die Beschränkungen dieses Rechts gemäß dieser Verordnung nicht berühren und insbesondere nicht bedeuten, dass die Daten, die sich auf die betroffene Person beziehen und von ihr zur Erfüllung eines Vertrags zur Verfügung gestellt worden sind, gelöscht werden, soweit und solange diese personenbezogenen Daten für die Erfüllung des Vertrags notwendig sind. Soweit technisch machbar, sollte die betroffene Person das Recht haben, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden. | (68) | To further strengthen the control over his or her own data, where the processing of personal data is carried out by automated means, the data subject should also be allowed to receive personal data concerning him or her which he or she has provided to a controller in a structured, commonly used, machine-readable and interoperable format, and to transmit it to another controller. Data controllers should be encouraged to develop interoperable formats that enable data portability. That right should apply where the data subject provided the personal data on the basis of his or her consent or the processing is necessary for the performance of a contract. It should not apply where processing is based on a legal ground other than consent or contract. By its very nature, that right should not be exercised against controllers processing personal data in the exercise of their public duties. It should therefore not apply where the processing of the personal data is necessary for compliance with a legal obligation to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of an official authority vested in the controller. The data subject's right to transmit or receive personal data concerning him or her should not create an obligation for the controllers to adopt or maintain processing systems which are technically compatible. Where, in a certain set of personal data, more than one data subject is concerned, the right to receive the personal data should be without prejudice to the rights and freedoms of other data subjects in accordance with this Regulation. Furthermore, that right should not prejudice the right of the data subject to obtain the erasure of personal data and the limitations of that right as set out in this Regulation and should, in particular, not imply the erasure of personal data concerning the data subject which have been provided by him or her for the performance of a contract to the extent that and for as long as the personal data are necessary for the performance of that contract. Where technically feasible, the data subject should have the right to have the personal data transmitted directly from one controller to another. | (68) | Radi dodatnog jačanja nadzora nad vlastitim podacima, kada se obrada obavlja automatskim putem, ispitaniku bi se također trebalo dopustiti da osobne podatke koji se odnose na njega, a koje je dao voditelju obrade dobije u strukturiranom, uobičajeno upotrebljavanom, strojno čitljivom i interoperabilnom formatu i da ih prenese drugom voditelju obrade. Voditelje obrade trebalo bi poticati na razvijanje interoperabilnih formata koji omogućuju prenosivost podataka. To bi se pravo trebalo primjenjivati u slučajevima kad je ispitanik osobne podatke da ona temelju svoje privole ili kad je obrada nužna za izvršenje ugovora. To se pravo ne bi smjelo primjenjivati ako se obrada temelji na drugoj pravnoj osnovi koja nije privola ili ugovor. Samom svojom prirodom to se pravo ne može ostvariti u slučaju da voditelji obrade osobne podatke obrađuju u okviru svojih javnih dužnosti. Stoga se ono ne bi smjelo primjenjivati ako je obrada osobnih podataka nužna kako bi se poštovala pravna obveza kojoj voditelj obrade podliježe ili za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade. Pravo ispitanika na prijenos ili primanje osobnih podataka koji se odnose na njega ne bi trebalo obvezivati voditelja obrade da upotrebljava ili održava tehnički kompatibilne sustave za obradu. Ako se određeni skup osobnih podataka odnosi na više ispitanika, pravo na primanje tih osobnih podataka ne bi smjelo dovoditi u pitanje prava i sloboda ostalih ispitanika u skladu s ovom Uredbom. Nadalje, tim pravom također se ne bi smjelo dovoditi u pitanje pravo ispitanika na brisanje osobnih podataka, kao i ograničenja tog prava, kako je navedeno u ovoj Uredbi, te ono osobito ne bi smjelo podrazumijevati brisanje osobnih podataka koji se odnose na ispitanika, koje je on dostavio u svrhu izvršavanja ugovora, u mjeri u kojoj su ti osobni podaci potrebni za izvršavanje tog ugovora i koliko god su potrebni. Ako je tehnički izvedivo, ispitanik bi trebao imati pravo na to se osobni podaci prenose izravno između voditelja obrade. |
| (69) | Dürfen die personenbezogenen Daten möglicherweise rechtmäßig verarbeitet werden, weil die Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt — die dem Verantwortlichen übertragen wurde, — oder aufgrund des berechtigten Interesses des Verantwortlichen oder eines Dritten erforderlich ist, sollte jede betroffene Person trotzdem das Recht haben, Widerspruch gegen die Verarbeitung der sich aus ihrer besonderen Situation ergebenden personenbezogenen Daten einzulegen. Der für die Verarbeitung Verantwortliche sollte darlegen müssen, dass seine zwingenden berechtigten Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben. | (69) | Where personal data might lawfully be processed because processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, or on grounds of the legitimate interests of a controller or a third party, a data subject should, nevertheless, be entitled to object to the processing of any personal data relating to his or her particular situation. It should be for the controller to demonstrate that its compelling legitimate interest overrides the interests or the fundamental rights and freedoms of the data subject. | (69) | Ako bi se osobni podaci mogli zakonito obrađivati jer je obrada potrebna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade ili na temelju legitimnih interesa voditelja obrade ili treće strane, svaki bi ispitanik ipak trebao imati pravo prigovora na obradu bilo kojih osobnih podataka povezanih s njegovom posebnom situacijom. Voditelj obrade trebao bi pokazati da njegovi uvjerljivi legitimni interesi imaju prednost pred interesima temeljnih prava i sloboda ispitanika. |
| (70) | Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so sollte die betroffene Person jederzeit unentgeltlich insoweit Widerspruch gegen eine solche — ursprüngliche oder spätere — Verarbeitung einschließlich des Profilings einlegen können, als sie mit dieser Direktwerbung zusammenhängt. Die betroffene Person sollte ausdrücklich auf dieses Recht hingewiesen werden; dieser Hinweis sollte in einer verständlichen und von anderen Informationen getrennten Form erfolgen. | (70) | Where personal data are processed for the purposes of direct marketing, the data subject should have the right to object to such processing, including profiling to the extent that it is related to such direct marketing, whether with regard to initial or further processing, at any time and free of charge. That right should be explicitly brought to the attention of the data subject and presented clearly and separately from any other information. | (70) | Ako se osobni podaci obrađuju u svrhu izravnog marketinga, ispitanik bi trebao imati pravo prigovora na takvu obradu, uključujući izradu profila u mjeri u kojoj je povezana s takvim izravnim marketingom, bilo u odnosu na početnu ili daljnju obradu, u bilo koje vrijeme i besplatno. To bi se pravo ispitaniku trebalo izričito dati na znanje i predstaviti mu se jasno i odvojeno od svih drugih informacija. |
| (71) | Die betroffene Person sollte das Recht haben, keiner Entscheidung — was eine Maßnahme einschließen kann — zur Bewertung von sie betreffenden persönlichen Aspekten unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung beruht und die rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wie die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen. Zu einer derartigen Verarbeitung zählt auch das „Profiling“, das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der persönlichen Aspekte in Bezug auf eine natürliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Eine auf einer derartigen Verarbeitung, einschließlich des Profilings, beruhende Entscheidungsfindung sollte allerdings erlaubt sein, wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der für die Verarbeitung Verantwortliche unterliegt, ausdrücklich zulässig ist, auch um im Einklang mit den Vorschriften, Standards und Empfehlungen der Institutionen der Union oder der nationalen Aufsichtsgremien Betrug und Steuerhinterziehung zu überwachen und zu verhindern und die Sicherheit und Zuverlässigkeit eines von dem Verantwortlichen bereitgestellten Dienstes zu gewährleisten, oder wenn dies für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und einem Verantwortlichen erforderlich ist oder wenn die betroffene Person ihre ausdrückliche Einwilligung hierzu erteilt hat. In jedem Fall sollte eine solche Verarbeitung mit angemessenen Garantien verbunden sein, einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person, auf Darlegung des eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung sowie des Rechts auf Anfechtung der Entscheidung. Diese Maßnahme sollte kein Kind betreffen. | Um unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten, sollte der für die Verarbeitung Verantwortliche geeignete mathematische oder statistische Verfahren für das Profiling verwenden, technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird, und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird und mit denen verhindert wird, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu Maßnahmen kommt, die eine solche Wirkung haben. Automatisierte Entscheidungsfindung und Profiling auf der Grundlage besonderer Kategorien von personenbezogenen Daten sollten nur unter bestimmten Bedingungen erlaubt sein. | (71) | The data subject should have the right not to be subject to a decision, which may include a measure, evaluating personal aspects relating to him or her which is based solely on automated processing and which produces legal effects concerning him or her or similarly significantly affects him or her, such as automatic refusal of an online credit application or e-recruiting practices without any human intervention. Such processing includes ‘profiling’ that consists of any form of automated processing of personal data evaluating the personal aspects relating to a natural person, in particular to analyse or predict aspects concerning the data subject's performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, where it produces legal effects concerning him or her or similarly significantly affects him or her. However, decision-making based on such processing, including profiling, should be allowed where expressly authorised by Union or Member State law to which the controller is subject, including for fraud and tax-evasion monitoring and prevention purposes conducted in accordance with the regulations, standards and recommendations of Union institutions or national oversight bodies and to ensure the security and reliability of a service provided by the controller, or necessary for the entering or performance of a contract between the data subject and a controller, or when the data subject has given his or her explicit consent. In any case, such processing should be subject to suitable safeguards, which should include specific information to the data subject and the right to obtain human intervention, to express his or her point of view, to obtain an explanation of the decision reached after such assessment and to challenge the decision. Such measure should not concern a child. | In order to ensure fair and transparent processing in respect of the data subject, taking into account the specific circumstances and context in which the personal data are processed, the controller should use appropriate mathematical or statistical procedures for the profiling, implement technical and organisational measures appropriate to ensure, in particular, that factors which result in inaccuracies in personal data are corrected and the risk of errors is minimised, secure personal data in a manner that takes account of the potential risks involved for the interests and rights of the data subject and that prevents, inter alia, discriminatory effects on natural persons on the basis of racial or ethnic origin, political opinion, religion or beliefs, trade union membership, genetic or health status or sexual orientation, or that result in measures having such an effect. Automated decision-making and profiling based on special categories of personal data should be allowed only under specific conditions. | (71) | Ispitanik bi trebao imati pravo na to da se na njega ne odnosi odluka, što može obuhvaćati mjeru, kojom se procjenjuju osobni aspekti u vezi s njim koja se isključivo temelji na automatiziranoj obradi i koja proizvodi pravne učinke koji se odnose na njega ili slično na njega znatno utječu, poput automatskog odbijanja zahtjeva za kreditom putem interneta ili prakse zapošljavanja putem interneta bez ikakve ljudske intervencije. Takva obrada uključuje „izradu profila” koja se odnosi na svaki oblik automatizirane obrade osobnih podataka kojom se procjenjuju osobni aspekti u vezi s pojedincem, osobito analizu i predviđanje aspekata ispitanikovog učinka na poslu, ekonomskog stanja, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja kada ona proizvodi pravne učinke koji se odnose na ispitanika ili na njega snažno utječu. Međutim, donošenje odluka koje se temelji na takvoj obradi, što uključuje i izradu profila, trebalo bi se dopustiti ako se to izričito dopušta pravom Unije ili pravom države članice kojem podliježe voditelj obrade, među ostalim u svrhe praćenja i sprečavanja prijevare i porezne utaje, što se provodi u skladu s propisima, standardima i preporukama institucija Unije ili nacionalnih nadzornih tijela te osiguravanja sigurnosti i pouzdanosti usluge koju pruža voditelj obrade ili ako je nužno za sklapanje ili izvršavanje ugovora između ispitanika i voditelja obrade ili kada je ispitanik izričito dao svoju privolu. U svakom slučaju na takve bi se obrade trebale primjenjivati odgovarajuće zaštitne mjere, koje bi trebale uključivati davanje određenih informacija ispitaniku i pravo na ljudsku intervenciju, pravo na izražavanje vlastitog stajališta, na dobivanje pojašnjenja odluke donesene nakon takve procjene i pravo na osporavanje odluke. Takve se mjere ne bi smjele odnositi na djecu. | Kako bi se osigurala poštena i transparentna obrada podataka s obzirom na ispitanika, uzimajući u obzir posebne okolnosti i kontekst u kojem se osobni podaci obrađuju, voditelj obrade trebao bi poduzeti odgovarajuće matematičke i statističke postupke za izradu profila, provesti odgovarajuće tehničke i organizacijske mjere kako bi se posebno osiguralo da budu ispravljeni čimbenici koji dovode do netočnosti u osobnim podacima i da se rizici od pojave pogrešaka svedu na minimum, te osobne podatke osigurati na način kojim se uzima u obzir potencijalne rizike za interese i prava ispitanika i kojim se, među ostalim, sprečavaju diskriminacijski učinci na pojedince na temelju rasnog ili etničkog porijekla, političkog mišljenja, vjere ili uvjerenja, članstva u sindikatu, genetskog ili zdravstvenog stanja ili spolne orijentacije, ili koji rezultiraju mjerama koje imaju takav učinak. Automatizirane odluke i izrada profila na temelju posebnih kategorija osobnih podataka smjele bi se dopustiti samo pod posebnim uvjetima. |
| (72) | Das Profiling unterliegt den Vorschriften dieser Verordnung für die Verarbeitung personenbezogener Daten, wie etwa die Rechtsgrundlage für die Verarbeitung oder die Datenschutzgrundsätze. Der durch diese Verordnung eingerichtete Europäische Datenschutzausschuss (im Folgenden „Ausschuss“) sollte, diesbezüglich Leitlinien herausgeben können. | (72) | Profiling is subject to the rules of this Regulation governing the processing of personal data, such as the legal grounds for processing or data protection principles. The European Data Protection Board established by this Regulation (the ‘Board’) should be able to issue guidance in that context. | (72) | Izrada profila podliježe pravilima ove Uredbe kojima se uređuje obrada osobnih podataka, kao što su pravna osnova obrade ili načela zaštite podataka. Europski odbor za zaštitu podataka osnovan ovom Uredbom („Odbor”) trebao bi imati mogućnost izdati smjernice u tom kontekstu. |
| (73) | Im Recht der Union oder der Mitgliedstaaten können Beschränkungen hinsichtlich bestimmter Grundsätze und hinsichtlich des Rechts auf Unterrichtung, Auskunft zu und Berichtigung oder Löschung personenbezogener Daten, des Rechts auf Datenübertragbarkeit und Widerspruch, Entscheidungen, die auf der Erstellung von Profilen beruhen, sowie Mitteilungen über eine Verletzung des Schutzes personenbezogener Daten an eine betroffene Person und bestimmten damit zusammenhängenden Pflichten der Verantwortlichen vorgesehen werden, soweit dies in einer demokratischen Gesellschaft notwendig und verhältnismäßig ist, um die öffentliche Sicherheit aufrechtzuerhalten, wozu unter anderem der Schutz von Menschenleben insbesondere bei Naturkatastrophen oder vom Menschen verursachten Katastrophen, die Verhütung, Aufdeckung und Verfolgung von Straftaten oder die Strafvollstreckung — was auch den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit einschließt — oder die Verhütung, Aufdeckung und Verfolgung von Verstößen gegen Berufsstandsregeln bei reglementierten Berufen, das Führen öffentlicher Register aus Gründen des allgemeinen öffentlichen Interesses sowie die Weiterverarbeitung von archivierten personenbezogenen Daten zur Bereitstellung spezifischer Informationen im Zusammenhang mit dem politischen Verhalten unter ehemaligen totalitären Regimen gehört, und zum Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, etwa wichtige wirtschaftliche oder finanzielle Interessen, oder die betroffene Person und die Rechte und Freiheiten anderer Personen, einschließlich in den Bereichen soziale Sicherheit, öffentliche Gesundheit und humanitäre Hilfe, zu schützen. Diese Beschränkungen sollten mit der Charta und mit der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten im Einklang stehen. | (73) | Restrictions concerning specific principles and the rights of information, access to and rectification or erasure of personal data, the right to data portability, the right to object, decisions based on profiling, as well as the communication of a personal data breach to a data subject and certain related obligations of the controllers may be imposed by Union or Member State law, as far as necessary and proportionate in a democratic society to safeguard public security, including the protection of human life especially in response to natural or manmade disasters, the prevention, investigation and prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security, or of breaches of ethics for regulated professions, other important objectives of general public interest of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, the keeping of public registers kept for reasons of general public interest, further processing of archived personal data to provide specific information related to the political behaviour under former totalitarian state regimes or the protection of the data subject or the rights and freedoms of others, including social protection, public health and humanitarian purposes. Those restrictions should be in accordance with the requirements set out in the Charter and in the European Convention for the Protection of Human Rights and Fundamental Freedoms. | (73) | Pravom Unije ili pravom države članice mogu se uvesti ograničenja s obzirom na posebna načela te s obzirom na ograničenja prava na informacije, pristup i ispravak ili brisanje osobnih podataka te ograničenja prava na prenosivost podataka, prava na prigovor, odluka koje se temelje na izradi profila, kao i ograničenja obavješćivanja ispitanika o povredi osobnih podataka te ograničenja određenih povezanih obveza voditelja obrade, u mjeri u kojoj je to nužno i proporcionalno u demokratskom društvu kako bi se zaštitila javna sigurnost, među ostalim ljudski život posebno kao odgovor na prirodne katastrofe ili one koje je izazvao čovjek te sprečavanje, istraga i progon kaznenih djela ili izvršavanje kaznenopravnih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje ili kršenja etike zakonski uređenih djelatnosti, kako bi se zaštitili drugi važni ciljevi koji su u javnom interesu Unije ili države članice, a posebno važan gospodarski ili financijski interes Unije ili države članice, vođenje javne evidencije u svrhu općeg javnog interesa, daljnja obrada arhiviranih osobnih podataka za potrebe pružanja posebnih informacija u vezi s političkim ponašanjem za vrijeme bivših totalitarnih državnih režima ili zaštita ispitanika ili prava i sloboda drugih osoba, među ostalim u svrhu socijalne zaštite, javnog zdravlja i u humanitarne svrhe. Ta ograničenja trebala bi biti u skladu sa zahtjevima utvrđenima u Povelji i Europskoj konvenciji za zaštitu ljudskih prava i temeljnih sloboda. |
| (74) | Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen. | (74) | The responsibility and liability of the controller for any processing of personal data carried out by the controller or on the controller's behalf should be established. In particular, the controller should be obliged to implement appropriate and effective measures and be able to demonstrate the compliance of processing activities with this Regulation, including the effectiveness of the measures. Those measures should take into account the nature, scope, context and purposes of the processing and the risk to the rights and freedoms of natural persons. | (74) | Trebalo bi uspostaviti dužnosti i odgovornosti voditelja obrade za svaku obradu osobnih podataka koju provede sm voditelj obrade ili netko drugi u ime voditelja obrade. Osobito, voditelj obrade trebao bi imati obvezu provođenja odgovarajućih i djelotvornih mjera te biti u mogućnosti dokazati usklađenost aktivnosti obrade s ovom Uredbom uključujući i djelotvornost mjera. Tim bi mjerama u obzir trebalo uzeti prirodu, opseg, kontekst i svrhe obrade te rizik za prava i slobode pojedinaca. |
| (75) | Die Risiken für die Rechte und Freiheiten natürlicher Personen — mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere — können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft. | (75) | The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non-material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects. | (75) | Rizik za prava i obveze pojedinaca, različitih vjerojatnosti i ozbiljnosti, može proizaći iz obrade osobnih podataka koja bi mogla prouzročiti fizičku, materijalnu ili nematerijalnu štetu, posebno ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, štete za ugled, gubitka povjerljivosti osobnih podataka zaštićenih poslovnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije, ili bilo koje druge znatne gospodarske ili društvene štete; ili ako ispitanici mogu biti uskraćeni za svoja prava i slobode ili spriječeni u obavljanju nadzora nad svojim osobnim podacima; ako se obrađuju osobni podaci koji odaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu i ako je riječ o obradi genetičkih podataka, podataka koji se odnose na zdravlje ili spolni život ili kaznene osude i kažnjiva djela ili povezane sigurnosne mjere; ako se procjenjuju osobni aspekti, osobito analiza ili predviđanje aspekata u vezi s učinkom na poslu, ekonomskim stanjem, zdravljem, osobnim preferencijama ili interesima, pouzdanošću ili ponašanjem, lokacijom ili kretanjem kako bi se izradili ili upotrebljavali osobni profili; ako se obrađuju osobni podaci osjetljivih pojedinaca, osobito djece; ili ako obrada uključuje veliku količinu osobnih podataka i utječe na velik broj ispitanika. |
| (76) | Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt. | (76) | The likelihood and severity of the risk to the rights and freedoms of the data subject should be determined by reference to the nature, scope, context and purposes of the processing. Risk should be evaluated on the basis of an objective assessment, by which it is established whether data processing operations involve a risk or a high risk. | (76) | Vjerojatnost i ozbiljnost rizika za prava i slobode ispitanika trebala bi se određivati s obzirom na prirodu, opseg, kontekst i svrhe obrade. Rizik bi trebalo procjenjivati na temelju objektivne procjene kojom se utvrđuje uključuju li postupci obrade podataka rizik ili visoki rizik. |
| (77) | Anleitungen, wie der Verantwortliche oder Auftragsverarbeiter geeignete Maßnahmen durchzuführen hat und wie die Einhaltung der Anforderungen nachzuweisen ist, insbesondere was die Ermittlung des mit der Verarbeitung verbundenen Risikos, dessen Abschätzung in Bezug auf Ursache, Art, Eintrittswahrscheinlichkeit und Schwere und die Festlegung bewährter Verfahren für dessen Eindämmung betrifft, könnten insbesondere in Form von genehmigten Verhaltensregeln, genehmigten Zertifizierungsverfahren, Leitlinien des Ausschusses oder Hinweisen eines Datenschutzbeauftragten gegeben werden. Der Ausschuss kann ferner Leitlinien für Verarbeitungsvorgänge ausgeben, bei denen davon auszugehen ist, dass sie kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, und angeben, welche Abhilfemaßnahmen in diesen Fällen ausreichend sein können. | (77) | Guidance on the implementation of appropriate measures and on the demonstration of compliance by the controller or the processor, especially as regards the identification of the risk related to the processing, their assessment in terms of origin, nature, likelihood and severity, and the identification of best practices to mitigate the risk, could be provided in particular by means of approved codes of conduct, approved certifications, guidelines provided by the Board or indications provided by a data protection officer. The Board may also issue guidelines on processing operations that are considered to be unlikely to result in a high risk to the rights and freedoms of natural persons and indicate what measures may be sufficient in such cases to address such risk. | (77) | Upute za provedbu odgovarajućih mjera i za dokazivanje poštovanja odredaba od strane voditelja obrade ili izvršitelja obrade, posebno u pogledu utvrđivanja rizika povezanog s obradom, njihove procjene s obzirom na podrijetlo, prirodu, vjerojatnost i težinu te utvrđivanje najboljih praksi za umanjivanje rizika, osobito bi se mogle pružiti putem odobrenih kodeksa ponašanja, odobrenih certifikata, smjernica koje pruža Odbor ili naznakama koje pruža službenik za zaštitu podataka. Odbor može također izdati smjernice o postupcima obrade za koje se smatra da nije vjerojatno da će dovesti do visokog rizika za prava i slobode pojedinaca i navesti koje mjere mogu u takvim slučajevima biti dovoljne za suočavanje s navedenim rizikom. |
| (78) | Zum Schutz der in Bezug auf die Verarbeitung personenbezogener Daten bestehenden Rechte und Freiheiten natürlicher Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden. Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern. In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen. Den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden. | (78) | The protection of the rights and freedoms of natural persons with regard to the processing of personal data require that appropriate technical and organisational measures be taken to ensure that the requirements of this Regulation are met. In order to be able to demonstrate compliance with this Regulation, the controller should adopt internal policies and implement measures which meet in particular the principles of data protection by design and data protection by default. Such measures could consist, inter alia, of minimising the processing of personal data, pseudonymising personal data as soon as possible, transparency with regard to the functions and processing of personal data, enabling the data subject to monitor the data processing, enabling the controller to create and improve security features. When developing, designing, selecting and using applications, services and products that are based on the processing of personal data or process personal data to fulfil their task, producers of the products, services and applications should be encouraged to take into account the right to data protection when developing and designing such products, services and applications and, with due regard to the state of the art, to make sure that controllers and processors are able to fulfil their data protection obligations. The principles of data protection by design and by default should also be taken into consideration in the context of public tenders. | (78) | Zaštita prava i sloboda pojedinaca s obzirom na obradu osobnih podataka zahtijeva da se poduzmu odgovarajuće tehničke i organizacijske mjere radi osiguravanja poštovanja uvjeta ove Uredbe. Radi dokazivanja sukladnosti s ovom Uredbom voditelj obrade trebao bi uvesti interne politike i provesti mjere koje osobito ispunjavaju načela tehničke zaštite podataka i integrirane zaštite podataka. Takve mjere mogle bi se, među ostalim, sastojati od smanjenja količine obrade osobnih podataka, pseudonimizacije osobnih podataka što je prije moguće, transparentnosti u vezi s funkcijama i obradom osobnih podataka, omogućavanja ispitaniku da prati obradu podataka, omogućavanja voditelju obrade da stvara i poboljšava sigurnosne značajke. Prilikom razvijanja, osmišljavanja, odabira i upotrebe aplikacija, usluga i proizvoda koji se temelje na obradi osobnih podataka ili obrađuju osobne podatke kako bi ispunili svoju zadaću, proizvođače proizvoda, usluga i aplikacija trebalo bi poticati da uzmu u obzir pravo na zaštitu podataka prilikom razvijanja i osmišljavanja takvih proizvoda, usluga i aplikacija i da uzimajući u obzir najnovija dostignuća osiguraju da voditelji obrade i izvršitelji obrade mogu ispuniti svoje obveze u pogledu zaštite podataka. Načela tehničke i integrirane zaštite podataka trebalo bi također uzeti u obzir u kontekstu javnih natječaja. |
| (79) | Zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und Haftung der Verantwortlichen und der Auftragsverarbeiter bedarf es — auch mit Blick auf die Überwachungs- und sonstigen Maßnahmen von Aufsichtsbehörden — einer klaren Zuteilung der Verantwortlichkeiten durch diese Verordnung, einschließlich der Fälle, in denen ein Verantwortlicher die Verarbeitungszwecke und -mittel gemeinsam mit anderen Verantwortlichen festlegt oder ein Verarbeitungsvorgang im Auftrag eines Verantwortlichen durchgeführt wird. | (79) | The protection of the rights and freedoms of data subjects as well as the responsibility and liability of controllers and processors, also in relation to the monitoring by and measures of supervisory authorities, requires a clear allocation of the responsibilities under this Regulation, including where a controller determines the purposes and means of the processing jointly with other controllers or where a processing operation is carried out on behalf of a controller. | (79) | Zaštita prava i sloboda ispitanikâ, kao i dužnost i odgovornost voditeljâ obrade i izvršiteljâ obrade, također u vezi s praćenjem i mjerama koje provode nadzorna tijela, zahtijevaju jasno utvrđivanje dužnosti u skladu s ovom Uredbom, među ostalim u slučajevima u kojima voditelj obrade određuje svrhe i sredstva obrade zajedno s drugim voditeljima obrade ili kada se postupak obrade provodi u ime voditelja obrade. |
| (80) | Jeder Verantwortliche oder Auftragsverarbeiter ohne Niederlassung in der Union, dessen Verarbeitungstätigkeiten sich auf betroffene Personen beziehen, die sich in der Union aufhalten, und dazu dienen, diesen Personen in der Union Waren oder Dienstleistungen anzubieten — unabhängig davon, ob von der betroffenen Person eine Zahlung verlangt wird — oder deren Verhalten, soweit dieses innerhalb der Union erfolgt, zu beobachten, sollte einen Vertreter benennen müssen, es sei denn, die Verarbeitung erfolgt gelegentlich, schließt nicht die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten ein und bringt unter Berücksichtigung ihrer Art, ihrer Umstände, ihres Umfangs und ihrer Zwecke wahrscheinlich kein Risiko für die Rechte und Freiheiten natürlicher Personen mit sich oder bei dem Verantwortlichen handelt es sich um eine Behörde oder öffentliche Stelle. Der Vertreter sollte im Namen des Verantwortlichen oder des Auftragsverarbeiters tätig werden und den Aufsichtsbehörden als Anlaufstelle dienen. Der Verantwortliche oder der Auftragsverarbeiter sollte den Vertreter ausdrücklich bestellen und schriftlich beauftragen, in Bezug auf die ihm nach dieser Verordnung obliegenden Verpflichtungen an seiner Stelle zu handeln. Die Benennung eines solchen Vertreters berührt nicht die Verantwortung oder Haftung des Verantwortlichen oder des Auftragsverarbeiters nach Maßgabe dieser Verordnung. Ein solcher Vertreter sollte seine Aufgaben entsprechend dem Mandat des Verantwortlichen oder Auftragsverarbeiters ausführen und insbesondere mit den zuständigen Aufsichtsbehörden in Bezug auf Maßnahmen, die die Einhaltung dieser Verordnung sicherstellen sollen, zusammenarbeiten. Bei Verstößen des Verantwortlichen oder Auftragsverarbeiters sollte der bestellte Vertreter Durchsetzungsverfahren unterworfen werden. | (80) | Where a controller or a processor not established in the Union is processing personal data of data subjects who are in the Union whose processing activities are related to the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union, or to the monitoring of their behaviour as far as their behaviour takes place within the Union, the controller or the processor should designate a representative, unless the processing is occasional, does not include processing, on a large scale, of special categories of personal data or the processing of personal data relating to criminal convictions and offences, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context, scope and purposes of the processing or if the controller is a public authority or body. The representative should act on behalf of the controller or the processor and may be addressed by any supervisory authority. The representative should be explicitly designated by a written mandate of the controller or of the processor to act on its behalf with regard to its obligations under this Regulation. The designation of such a representative does not affect the responsibility or liability of the controller or of the processor under this Regulation. Such a representative should perform its tasks according to the mandate received from the controller or processor, including cooperating with the competent supervisory authorities with regard to any action taken to ensure compliance with this Regulation. The designated representative should be subject to enforcement proceedings in the event of non-compliance by the controller or processor. | (80) | Ako voditelj obrade ili izvršitelj obrade koji nema poslovni nastan u Uniji obrađuje osobne podatke ispitanikâ u Uniji čije su aktivnosti obrade povezane s ponudom robe ili usluga, bez obzira na to je li potrebno plaćanje ispitanika, za takve bi ispitanike u Uniji, ili za praćenje njihova ponašanja dok se ono odvija unutar Unije, voditelj obrade ili izvršitelj obrade trebali bi imenovati predstavnika, osim ako se obrada obavlja povremeno, ne uključuje opsežnu obradu posebnih kategorija osobnih podataka ili je obrada osobnih podataka povezana s kaznenim presudama i kažnjivim djelima te vjerojatno neće dovesti do rizika za prava i slobode pojedinaca, uzimajući u obzir prirodu, kontekst, opseg i svrhe obrade ili ako je voditelj obrade tijelo javne vlasti ili javno tijelo. Predstavnik bi trebao djelovati u ime voditelja obrade ili izvršitelja obrade i može mu se obratiti svako nadzorno tijelo. Voditelj obrade ili izvršitelj obrade trebao bi izričito, pisanim ovlaštenjem imenovati predstavnika da djeluje u njegovo ime s obzirom na obveze voditelja obrade i izvršitelja obrade na temelju ove Uredbe. Imenovanje takvog predstavnika ne utječe na dužnost ili odgovornost voditelja obrade ili izvršitelja obrade na temelju ove Uredbe. Takav bi predstavnik svoje zadaće trebao obavljati u skladu s mandatom dobivenim od voditelja obrade ili izvršitelja obrade, uključujući suradnju s nadležnim nadzornim tijelima u vezi sa svakom radnjom poduzetom za osiguravanje poštovanja ove Uredbe. U slučaju da voditelj obrade ili izvršitelj obrade krši pravila, imenovani bi predstavnik trebao podlijegati postupku izvršavanja zakonodavstva. |
| (81) | Damit die Anforderungen dieser Verordnung in Bezug auf die vom Auftragsverarbeiter im Namen des Verantwortlichen vorzunehmende Verarbeitung eingehalten werden, sollte ein Verantwortlicher, der einen Auftragsverarbeiter mit Verarbeitungstätigkeiten betrauen will, nur Auftragsverarbeiter heranziehen, die — insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen — hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen — auch für die Sicherheit der Verarbeitung — getroffen werden, die den Anforderungen dieser Verordnung genügen. Die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. Die Durchführung einer Verarbeitung durch einen Auftragsverarbeiter sollte auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Recht der Union oder der Mitgliedstaaten erfolgen, der bzw. das den Auftragsverarbeiter an den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zwecke der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien von betroffenen Personen festgelegt sind, wobei die besonderen Aufgaben und Pflichten des Auftragsverarbeiters bei der geplanten Verarbeitung und das Risiko für die Rechte und Freiheiten der betroffenen Person zu berücksichtigen sind. Der Verantwortliche und der Auftragsverarbeiter können entscheiden, ob sie einen individuellen Vertrag oder Standardvertragsklauseln verwenden, die entweder unmittelbar von der Kommission erlassen oder aber nach dem Kohärenzverfahren von einer Aufsichtsbehörde angenommen und dann von der Kommission erlassen wurden. Nach Beendigung der Verarbeitung im Namen des Verantwortlichen sollte der Auftragsverarbeiter die personenbezogenen Daten nach Wahl des Verantwortlichen entweder zurückgeben oder löschen, sofern nicht nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. | (81) | To ensure compliance with the requirements of this Regulation in respect of the processing to be carried out by the processor on behalf of the controller, when entrusting a processor with processing activities, the controller should use only processors providing sufficient guarantees, in particular in terms of expert knowledge, reliability and resources, to implement technical and organisational measures which will meet the requirements of this Regulation, including for the security of processing. The adherence of the processor to an approved code of conduct or an approved certification mechanism may be used as an element to demonstrate compliance with the obligations of the controller. The carrying-out of processing by a processor should be governed by a contract or other legal act under Union or Member State law, binding the processor to the controller, setting out the subject-matter and duration of the processing, the nature and purposes of the processing, the type of personal data and categories of data subjects, taking into account the specific tasks and responsibilities of the processor in the context of the processing to be carried out and the risk to the rights and freedoms of the data subject. The controller and processor may choose to use an individual contract or standard contractual clauses which are adopted either directly by the Commission or by a supervisory authority in accordance with the consistency mechanism and then adopted by the Commission. After the completion of the processing on behalf of the controller, the processor should, at the choice of the controller, return or delete the personal data, unless there is a requirement to store the personal data under Union or Member State law to which the processor is subject. | (81) | Kako bi se osiguralo poštovanje zahtjeva iz ove Uredbe u vezi s obradom koju provodi izvršitelj obrade u ime voditelja obrade, pri povjeravanju aktivnosti obrade izvršitelju obrade, voditelj obrade trebao bi angažirati samo izvršitelje obrade koji u zadovoljavajućoj mjeri jamče, osobito u pogledu stručnog znanja, pouzdanosti i resursa, provedbu tehničkih i organizacijskih mjera koje udovoljavaju zahtjevima iz ove Uredbe, među ostalim u pogledu sigurnosti obrade. Poštovanje odobrenog kodeksa ponašanja ili mehanizma certificiranja odobrenog od strane izvršitelja obrade može se upotrijebiti kao element u dokazivanju poštovanja obveza voditelja obrade. Provođenje obrade od strane izvršitelja obrade trebalo bi biti uređeno ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice koji izvršitelja obrade obvezuje prema voditelju obrade, a u kojemu su navedeni predmet i trajanje obrade, priroda i svrhe obrade, vrsta osobnih podataka te kategorije ispitanika, uzimajući u obzir posebne zadaće i odgovornosti izvršitelja obrade u kontekstu obrade koju treba provesti te rizika za prava i slobode ispitanika. Voditelj obrade i izvršitelj obrade mogu izabrati pojedinačni ugovor ili standardne ugovorne klauzule koje je ili izravno donijela Komisija ili ih je donijelo nadzorno tijelo u skladu s mehanizmom konzistentnosti, a potom donijela Komisija. Nakon što završi obradu u ime voditelja obrade, izvršitelj obrade trebao bi, prema izboru voditelja obrade, vratiti ili izbrisati osobne podatke osim ako postoji obveza pohrane osobnih podataka sukladno pravu Unije ili pravu države članice kojem izvršitelj obrade podliježe. |
| (82) | Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können. | (82) | In order to demonstrate compliance with this Regulation, the controller or processor should maintain records of processing activities under its responsibility. Each controller and processor should be obliged to cooperate with the supervisory authority and make those records, on request, available to it, so that it might serve for monitoring those processing operations. | (82) | Voditelj obrade ili izvršitelj obrade trebao bi voditi evidenciju o aktivnostima obrade pod svojom odgovornošću radi dokazivanja sukladnosti s ovom Uredbom. Svaki voditelj obrade i izvršitelj obrade trebao bi imati obvezu surađivati s nadzornim tijelom i omogućiti mu na zahtjev uvid u tu evidenciju kako bi mu mogla poslužiti za praćenje postupaka obrade. |
| (83) | Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau — auch hinsichtlich der Vertraulichkeit — gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte. | (83) | In order to maintain security and to prevent processing in infringement of this Regulation, the controller or processor should evaluate the risks inherent in the processing and implement measures to mitigate those risks, such as encryption. Those measures should ensure an appropriate level of security, including confidentiality, taking into account the state of the art and the costs of implementation in relation to the risks and the nature of the personal data to be protected. In assessing data security risk, consideration should be given to the risks that are presented by personal data processing, such as accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed which may in particular lead to physical, material or non-material damage. | (83) | Kako bi se očuvala sigurnost i spriječila obrada kojom se krši ova Uredba, voditelj obrade ili izvršitelj obrade trebali bi procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija. Tim bi se mjerama trebala osigurati odgovarajuća razina zaštite uključujući povjerljivost, uzimajući u obzir najnovija dostignuća i troškove provedbe u odnosu na rizike i prirodu osobnih podataka koji se trebaju zaštititi Prilikom procjene rizika za sigurnost podataka u obzir bi trebalo uzeti rizike koje predstavlja obrada osobnih podataka poput slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog odavanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani, a što osobito može dovesti do fizičke, materijalne ili nematerijalne štete. |
| (84) | Damit diese Verordnung in Fällen, in denen die Verarbeitungsvorgänge wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, besser eingehalten wird, sollte der Verantwortliche für die Durchführung einer Datenschutz-Folgenabschätzung, mit der insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos evaluiert werden, verantwortlich sein. Die Ergebnisse der Abschätzung sollten berücksichtigt werden, wenn darüber entschieden wird, welche geeigneten Maßnahmen ergriffen werden müssen, um nachzuweisen, dass die Verarbeitung der personenbezogenen Daten mit dieser Verordnung in Einklang steht. Geht aus einer Datenschutz-Folgenabschätzung hervor, dass Verarbeitungsvorgänge ein hohes Risiko bergen, das der Verantwortliche nicht durch geeignete Maßnahmen in Bezug auf verfügbare Technik und Implementierungskosten eindämmen kann, so sollte die Aufsichtsbehörde vor der Verarbeitung konsultiert werden. | (84) | In order to enhance compliance with this Regulation where processing operations are likely to result in a high risk to the rights and freedoms of natural persons, the controller should be responsible for the carrying-out of a data protection impact assessment to evaluate, in particular, the origin, nature, particularity and severity of that risk. The outcome of the assessment should be taken into account when determining the appropriate measures to be taken in order to demonstrate that the processing of personal data complies with this Regulation. Where a data-protection impact assessment indicates that processing operations involve a high risk which the controller cannot mitigate by appropriate measures in terms of available technology and costs of implementation, a consultation of the supervisory authority should take place prior to the processing. | (84) | Radi poboljšanja sukladnosti s ovom Uredbom kada postupci obrade vjerojatno mogu dovesti do visokog stupnja rizika za prava i slobode pojedinaca, voditelj obrade trebao bi biti odgovoran za provođenje procjene učinka na zaštitu podataka kako bi se osobito procijenili izvor, priroda, osobitost i ozbiljnost tog rizika. Ishod procjene trebao bi se uzeti u obzir pri utvrđivanju odgovarajućih mjera radi dokazivanja da je obrada osobnih podataka sukladna s ovom Uredbom. Ako se u procjeni učinka na zaštitu podataka pokaže da postupci obrade uključuju visok rizik koji voditelj obrade ne može umanjiti odgovarajućim mjerama u smislu dostupne tehnologije i troškova provedbe, prije obrade trebalo bi se savjetovati s nadzornim tijelom. |
| (85) | Eine Verletzung des Schutzes personenbezogener Daten kann — wenn nicht rechtzeitig und angemessen reagiert wird — einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. Deshalb sollte der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Aufsichtsbehörde von der Verletzung des Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Falls diese Benachrichtigung nicht binnen 72 Stunden erfolgen kann, sollten in ihr die Gründe für die Verzögerung angegeben werden müssen, und die Informationen können schrittweise ohne unangemessene weitere Verzögerung bereitgestellt werden. | (85) | A personal data breach may, if not addressed in an appropriate and timely manner, result in physical, material or non-material damage to natural persons such as loss of control over their personal data or limitation of their rights, discrimination, identity theft or fraud, financial loss, unauthorised reversal of pseudonymisation, damage to reputation, loss of confidentiality of personal data protected by professional secrecy or any other significant economic or social disadvantage to the natural person concerned. Therefore, as soon as the controller becomes aware that a personal data breach has occurred, the controller should notify the personal data breach to the supervisory authority without undue delay and, where feasible, not later than 72 hours after having become aware of it, unless the controller is able to demonstrate, in accordance with the accountability principle, that the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where such notification cannot be achieved within 72 hours, the reasons for the delay should accompany the notification and information may be provided in phases without undue further delay. | (85) | Ako se povreda osobnih podataka ne rješava na odgovarajući način i pravodobno, ona može prouzročiti fizičku, materijalnu ili nematerijalnu štetu pojedincima, kao što su gubitak nadzora nad osobnim podacima ili ograničavanje njihovih prava, diskriminacija, krađa identiteta ili prijevara, financijski gubici, neovlašteni obrnuti postupak pseudonimizacije, šteta za ugled, gubitak povjerljivosti osobnih podataka zaštićenih poslovnom tajnom ili bilo koju drugu ekonomsku ili društvenu štetu za dotičnog pojedinca. Stoga, čim voditelj obrade primijeti da je došlo do povrede osobnih podataka, trebao bi o tome izvijestiti nadležno nadzorno tijelo bez nepotrebnog odgađanja i to, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi osobnih podataka, osim ako voditelj obrade može dokazati, u skladu s načelom odgovornosti, da povreda osobnih podataka vjerojatno neće prouzročiti rizik za prava i slobode pojedinaca. Ako se takvo obavješćivanje ne može postići u roku od 72 sata, obavijest bi trebala biti popraćena razlozima kašnjenja, a informacije se mogu pružiti u fazama bez nepotrebnog daljnjeg odgađanja. |
| (86) | Der für die Verarbeitung Verantwortliche sollte die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten benachrichtigen, wenn diese Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt, damit diese die erforderlichen Vorkehrungen treffen können. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene natürliche Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten. Solche Benachrichtigungen der betroffenen Person sollten stets so rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit der Aufsichtsbehörde und nach Maßgabe der von dieser oder von anderen zuständigen Behörden wie beispielsweise Strafverfolgungsbehörden erteilten Weisungen erfolgen. Um beispielsweise das Risiko eines unmittelbaren Schadens mindern zu können, müssten betroffene Personen sofort benachrichtigt werden, wohingegen eine längere Benachrichtigungsfrist gerechtfertigt sein kann, wenn es darum geht, geeignete Maßnahmen gegen fortlaufende oder vergleichbare Verletzungen des Schutzes personenbezogener Daten zu treffen. | (86) | The controller should communicate to the data subject a personal data breach, without undue delay, where that personal data breach is likely to result in a high risk to the rights and freedoms of the natural person in order to allow him or her to take the necessary precautions. The communication should describe the nature of the personal data breach as well as recommendations for the natural person concerned to mitigate potential adverse effects. Such communications to data subjects should be made as soon as reasonably feasible and in close cooperation with the supervisory authority, respecting guidance provided by it or by other relevant authorities such as law-enforcement authorities. For example, the need to mitigate an immediate risk of damage would call for prompt communication with data subjects whereas the need to implement appropriate measures against continuing or similar personal data breaches may justify more time for communication. | (86) | Voditelj obrade trebao bi bez nepotrebnog odlaganja obavijestiti ispitanika o povredi osobnih podataka ako je vjerojatno da će povreda osobnih podataka prouzročiti visoki rizik za prava i slobode pojedinca, kako bi on mogao poduzeti potrebne mjere opreza. U obavijesti bi trebalo opisati prirodu povrede osobnih podataka kao i preporuke kako bi dotični pojedinac mogao ublažiti potencijalne negativne učinke. Takva bi se obavijest ispitanicima trebala pružiti što je prije, u razumnim granicama, izvedivo i u bliskoj suradnji s nadzornim tijelom, poštujući njegove upute ili upute drugih relevantnih tijela vlasti,kao što su tijela za izvršavanje zakonodavstva. Na primjer, o potrebi za umanjivanjem neposrednog rizika od štete bilo bi potrebno odmah obavijestiti ispitanike, dok potreba za provedbom odgovarajućih mjera protiv daljnje ili slične povrede osobnih podataka može opravdati duži rok za obavijest. |
| (87) | Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen getroffen wurden, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, und um die Aufsichtsbehörde und die betroffene Person umgehend unterrichten zu können. Bei der Feststellung, ob die Meldung unverzüglich erfolgt ist, sollten die Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen für die betroffene Person berücksichtigt werden. Die entsprechende Meldung kann zu einem Tätigwerden der Aufsichtsbehörde im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen führen. | (87) | It should be ascertained whether all appropriate technological protection and organisational measures have been implemented to establish immediately whether a personal data breach has taken place and to inform promptly the supervisory authority and the data subject. The fact that the notification was made without undue delay should be established taking into account in particular the nature and gravity of the personal data breach and its consequences and adverse effects for the data subject. Such notification may result in an intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation. | (87) | Trebalo bi se utvrditi jesu li provedene sve odgovarajuće mjere tehnološke zaštite i organizacijske mjere da bi se odmah utvrdilo je li došlo do povrede osobnih podataka i odmah obavijestilo nadzorno tijelo i ispitanika. Trebalo bi utvrditi činjenicu je li obavijest pružena bez nepotrebnog odgađanja posebno uzimajući u obzir prirodu i ozbiljnost povrede osobnih podataka i njezine posljedice i negativne učinke za ispitanika. Takva obavijest može dovesti do intervencije nadzornog tijela u skladu s njegovim zadaćama i ovlastima predviđenima ovom Uredbom. |
| (88) | Bei der detaillierten Regelung des Formats und der Verfahren für die Meldung von Verletzungen des Schutzes personenbezogener Daten sollten die Umstände der Verletzung hinreichend berücksichtigt werden, beispielsweise ob personenbezogene Daten durch geeignete technische Sicherheitsvorkehrungen geschützt waren, die die Wahrscheinlichkeit eines Identitätsbetrugs oder anderer Formen des Datenmissbrauchs wirksam verringern. Überdies sollten solche Regeln und Verfahren den berechtigten Interessen der Strafverfolgungsbehörden in Fällen Rechnung tragen, in denen die Untersuchung der Umstände einer Verletzung des Schutzes personenbezogener Daten durch eine frühzeitige Offenlegung in unnötiger Weise behindert würde. | (88) | In setting detailed rules concerning the format and procedures applicable to the notification of personal data breaches, due consideration should be given to the circumstances of that breach, including whether or not personal data had been protected by appropriate technical protection measures, effectively limiting the likelihood of identity fraud or other forms of misuse. Moreover, such rules and procedures should take into account the legitimate interests of law-enforcement authorities where early disclosure could unnecessarily hamper the investigation of the circumstances of a personal data breach. | (88) | Pri određivanju detaljnih pravila o formatu i postupcima primjenjivima na obavješćivanje o povredi osobnih podataka trebalo bi posvetiti dužnu pažnju okolnostima povrede, među ostalim jesu li osobni podaci bili zaštićeni odgovarajućim mjerama tehničke zaštite, djelotvorno ograničavajući vjerojatnost zlouporabe identiteta ili druge oblike zlouporabe. Osim toga takva pravila i postupci trebali bi uzeti u obzir legitimne interese tijelâ za izvršavanje zakonodavstva kada rano otkrivanje može nepotrebno naškoditi istrazi okolnosti povrede osobnih podataka. |
| (89) | Gemäß der Richtlinie 95/46/EG waren Verarbeitungen personenbezogener Daten bei den Aufsichtsbehörden generell meldepflichtig. Diese Meldepflicht ist mit einem bürokratischen und finanziellen Aufwand verbunden und hat dennoch nicht in allen Fällen zu einem besseren Schutz personenbezogener Daten geführt. Diese unterschiedslosen allgemeinen Meldepflichten sollten daher abgeschafft und durch wirksame Verfahren und Mechanismen ersetzt werden, die sich stattdessen vorrangig mit denjenigen Arten von Verarbeitungsvorgängen befassen, die aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen. Zu solchen Arten von Verarbeitungsvorgängen gehören insbesondere solche, bei denen neue Technologien eingesetzt werden oder die neuartig sind und bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat bzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung vergangenen Zeit eine Datenschutz-Folgenabschätzung notwendig geworden ist. | (89) | Directive 95/46/EC provided for a general obligation to notify the processing of personal data to the supervisory authorities. While that obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Such indiscriminate general notification obligations should therefore be abolished, and replaced by effective procedures and mechanisms which focus instead on those types of processing operations which are likely to result in a high risk to the rights and freedoms of natural persons by virtue of their nature, scope, context and purposes. Such types of processing operations may be those which in, particular, involve using new technologies, or are of a new kind and where no data protection impact assessment has been carried out before by the controller, or where they become necessary in the light of the time that has elapsed since the initial processing. | (89) | Direktivom 95/46/EZ predviđena je opća obveza izvješćivanja nadzornih tijela o obradi osobnih podataka. Nametanjem te obveze stvara se administrativni i financijski teret, a ona nije u svim slučajevima dovela do poboljšanja zaštite osobnih podataka. Trebalo bi, stoga, ukinuti takve sveobuhvatne obveze općeg obavješćivanja i zamijeniti ih djelotvornim postupcima i mehanizmima koji se umjesto toga usredotočuju na one vrste postupaka obrade koji vjerojatno mogu prouzročiti visok rizik za prava i slobode pojedinaca zbog svoje prirode, opsega, konteksta i svrha. Takve vrste postupaka obrade mogu biti osobito one koje uključuju upotrebu novih tehnologija ili one koje su nove vrste i s obzirom na koje voditelj obrade još nije proveo procjenu učinka na zaštitu podataka ili za koje je procjena učinka na zaštitu podataka postala potrebna s obzirom na vrijeme koje je proteklo od prvotne obrade. |
| (90) | In derartigen Fällen sollte der Verantwortliche vor der Verarbeitung eine Datenschutz-Folgenabschätzung durchführen, mit der die spezifische Eintrittswahrscheinlichkeit und die Schwere dieses hohen Risikos unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung und der Ursachen des Risikos bewertet werden. Diese Folgenabschätzung sollte sich insbesondere mit den Maßnahmen, Garantien und Verfahren befassen, durch die dieses Risiko eingedämmt, der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen werden soll. | (90) | In such cases, a data protection impact assessment should be carried out by the controller prior to the processing in order to assess the particular likelihood and severity of the high risk, taking into account the nature, scope, context and purposes of the processing and the sources of the risk. That impact assessment should include, in particular, the measures, safeguards and mechanisms envisaged for mitigating that risk, ensuring the protection of personal data and demonstrating compliance with this Regulation. | (90) | U takvim slučajevima, voditelj obrade trebao bi provesti procjenu učinka na zaštitu podataka prije obrade radi procjene osobite vjerojatnosti i ozbiljnosti visokog rizika, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade te izvore rizika. Ta bi procjena učinka trebala posebno uključivati mjere, zaštitne mjere i mehanizme predviđene za umanjivanje tog rizika, za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s ovom Uredbom. |
| (91) | Dies sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und — beispielsweise aufgrund ihrer Sensibilität — wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend dem jeweils aktuellen Stand der Technik in großem Umfang eine neue Technologie eingesetzt wird, sowie für andere Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere dann, wenn diese Verarbeitungsvorgänge den betroffenen Personen die Ausübung ihrer Rechte erschweren. Eine Datenschutz-Folgenabschätzung sollte auch durchgeführt werden, wenn die personenbezogenen Daten für das Treffen von Entscheidungen in Bezug auf bestimmte natürliche Personen im Anschluss an eine systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlage eines Profilings dieser Daten oder im Anschluss an die Verarbeitung besonderer Kategorien von personenbezogenen Daten, biometrischen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten sowie damit zusammenhängende Sicherungsmaßregeln verarbeitet werden. Gleichermaßen erforderlich ist eine Datenschutz-Folgenabschätzung für die weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen, oder für alle anderen Vorgänge, bei denen nach Auffassung der zuständigen Aufsichtsbehörde die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, insbesondere weil sie die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindern oder weil sie systematisch in großem Umfang erfolgen. Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein. | (91) | This should in particular apply to large-scale processing operations which aim to process a considerable amount of personal data at regional, national or supranational level and which could affect a large number of data subjects and which are likely to result in a high risk, for example, on account of their sensitivity, where in accordance with the achieved state of technological knowledge a new technology is used on a large scale as well as to other processing operations which result in a high risk to the rights and freedoms of data subjects, in particular where those operations render it more difficult for data subjects to exercise their rights. A data protection impact assessment should also be made where personal data are processed for taking decisions regarding specific natural persons following any systematic and extensive evaluation of personal aspects relating to natural persons based on profiling those data or following the processing of special categories of personal data, biometric data, or data on criminal convictions and offences or related security measures. A data protection impact assessment is equally required for monitoring publicly accessible areas on a large scale, especially when using optic-electronic devices or for any other operations where the competent supervisory authority considers that the processing is likely to result in a high risk to the rights and freedoms of data subjects, in particular because they prevent data subjects from exercising a right or using a service or a contract, or because they are carried out systematically on a large scale. The processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer. In such cases, a data protection impact assessment should not be mandatory. | (91) | To bi se osobito trebalo primjenjivati na postupke obrade velikog opsega kojima se nastoji obraditi znatna količina osobnih podataka na regionalnoj, nacionalnoj ili nadnacionalnoj razini i koji bi mogli utjecati na velik broj ispitanika i koji će vjerojatno dovesti do visokog rizika, primjerice zbog osjetljivosti, u kojima se u skladu s postignutom razinom tehnološkog znanja novom tehnologijom koristi u velikom opsegu, kao i na druge postupke obrade koji dovode do visokog rizika za prava i slobode ispitanika, osobito ako ti postupci ispitanicima otežavaju ostvarenje njihovih prava. Procjena učinka na zaštitu podataka osobito bi se trebala provoditi kada se osobni podaci obrađuju radi donošenja odluka o određenim pojedincima na temelju bilo kakve sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na izradi profila iz tih podataka ili na temelju obrade posebnih kategorija osobnih podataka, biometrijskih podataka ili podataka o kaznenim osudama i kažnjivim djelima ili povezanim mjerama sigurnosti. Procjena učinka na zaštitu podataka jednako je potrebna za opsežno praćenje javno dostupnih područja, posebno ako se upotrebljavaju optičko-elektronički uređaji, ili za bilo koje druge postupke za koje nadležno nadzorno tijelo smatra će obrada vjerojatno dovesti do visokog rizika za prava i slobode ispitanika, osobito zato što se njima ispitanike sprečava u ostvarivanju prava ili upotrebi usluge ili ugovora, ili zato što se opsežna obrada provodi sustavno. Obradu osobnih podataka ne bi trebalo smatrati opsežnom ako se odnosi na osobne podatke pacijenata ili klijenata pojedinih liječnika, zdravstvenih djelatnika ili odvjetnika. U takvim slučajevima procjena učinka na zaštitu podataka ne bi trebala biti obvezna. |
| (92) | Unter bestimmten Umständen kann es vernünftig und unter ökonomischen Gesichtspunkten zweckmäßig sein, eine Datenschutz-Folgenabschätzung nicht lediglich auf ein bestimmtes Projekt zu beziehen, sondern sie thematisch breiter anzulegen — beispielsweise wenn Behörden oder öffentliche Stellen eine gemeinsame Anwendung oder Verarbeitungsplattform schaffen möchten oder wenn mehrere Verantwortliche eine gemeinsame Anwendung oder Verarbeitungsumgebung für einen gesamten Wirtschaftssektor, für ein bestimmtes Marktsegment oder für eine weit verbreitete horizontale Tätigkeit einführen möchten. | (92) | There are circumstances under which it may be reasonable and economical for the subject of a data protection impact assessment to be broader than a single project, for example where public authorities or bodies intend to establish a common application or processing platform or where several controllers plan to introduce a common application or processing environment across an industry sector or segment or for a widely used horizontal activity. | (92) | U nekim okolnostima može biti razumno i ekonomično da procjena učinka na zaštitu podataka obuhvaća više od jednog projekta i tematski šire područje, na primjer ako tijela javne vlasti ili javna tijela namjeravaju uspostaviti zajedničku aplikaciju ili platformu za obradu ili ako nekoliko voditelja obrade namjerava uvesti zajedničku aplikaciju ili okruženje za obradu u cijeli jedan industrijski sektor ili segment ili za horizontalnu djelatnost široke uporabe. |
| (93) | Anlässlich des Erlasses des Gesetzes des Mitgliedstaats, auf dessen Grundlage die Behörde oder öffentliche Stelle ihre Aufgaben wahrnimmt und das den fraglichen Verarbeitungsvorgang oder die fraglichen Arten von Verarbeitungsvorgängen regelt, können die Mitgliedstaaten es für erforderlich erachten, solche Folgeabschätzungen vor den Verarbeitungsvorgängen durchzuführen. | (93) | In the context of the adoption of the Member State law on which the performance of the tasks of the public authority or public body is based and which regulates the specific processing operation or set of operations in question, Member States may deem it necessary to carry out such assessment prior to the processing activities. | (93) | U kontekstu donošenja zakonodavstva države članice na kojem se temelji izvršavanje zadaća tijela javne vlasti ili javnog tijela i kojim se uređuju dotični posebni postupci obrade ili skup postupaka, države članice mogu smatrati potrebnom provedbu takve procjene prije obrade. |
| (94) | Geht aus einer Datenschutz-Folgenabschätzung hervor, dass die Verarbeitung bei Fehlen von Garantien, Sicherheitsvorkehrungen und Mechanismen zur Minderung des Risikos ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen würde, und ist der Verantwortliche der Auffassung, dass das Risiko nicht durch in Bezug auf verfügbare Technologien und Implementierungskosten vertretbare Mittel eingedämmt werden kann, so sollte die Aufsichtsbehörde vor Beginn der Verarbeitungstätigkeiten konsultiert werden. Ein solches hohes Risiko ist wahrscheinlich mit bestimmten Arten der Verarbeitung und dem Umfang und der Häufigkeit der Verarbeitung verbunden, die für natürliche Personen auch eine Schädigung oder eine Beeinträchtigung der persönlichen Rechte und Freiheiten mit sich bringen können. Die Aufsichtsbehörde sollte das Beratungsersuchen innerhalb einer bestimmten Frist beantworten. Allerdings kann sie, auch wenn sie nicht innerhalb dieser Frist reagiert hat, entsprechend ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen eingreifen, was die Befugnis einschließt, Verarbeitungsvorgänge zu untersagen. Im Rahmen dieses Konsultationsprozesses kann das Ergebnis einer im Hinblick auf die betreffende Verarbeitung personenbezogener Daten durchgeführten Datenschutz-Folgenabschätzung der Aufsichtsbehörde unterbreitet werden; dies gilt insbesondere für die zur Eindämmung des Risikos für die Rechte und Freiheiten natürlicher Personen geplanten Maßnahmen. | (94) | Where a data protection impact assessment indicates that the processing would, in the absence of safeguards, security measures and mechanisms to mitigate the risk, result in a high risk to the rights and freedoms of natural persons and the controller is of the opinion that the risk cannot be mitigated by reasonable means in terms of available technologies and costs of implementation, the supervisory authority should be consulted prior to the start of processing activities. Such high risk is likely to result from certain types of processing and the extent and frequency of processing, which may result also in a realisation of damage or interference with the rights and freedoms of the natural person. The supervisory authority should respond to the request for consultation within a specified period. However, the absence of a reaction of the supervisory authority within that period should be without prejudice to any intervention of the supervisory authority in accordance with its tasks and powers laid down in this Regulation, including the power to prohibit processing operations. As part of that consultation process, the outcome of a data protection impact assessment carried out with regard to the processing at issue may be submitted to the supervisory authority, in particular the measures envisaged to mitigate the risk to the rights and freedoms of natural persons. | (94) | Ako se u procjeni učinka na zaštitu podataka pokaže da bi obrada u nedostatku zaštitnih mjera, sigurnosnih mjera i mehanizama za umanjivanje rizika dovela do visokog rizika za prava i slobode pojedinaca, a voditelj obrade smatra da se taj rizik ne može umanjiti razumnim mjerama u pogledu dostupne tehnologije i troškova provedbe, prije početka obrade trebalo bi se savjetovati s nadzornim tijelom. Takav visok rizik vjerojatno će proizaći iz određenih vrsta obrade i opsega i učestalosti obrade, što može također prouzročiti štetu ili ometanje prava i slobode ispitanika. Nadzorno tijelo trebalo bi odgovoriti na zahtjev za savjetovanje u određenom vremenskom roku. Međutim, izostanak reakcije nadzornog tijela u tom roku ne bi smio utjecati na bilo koju intervenciju nadzornog tijela u skladu sa njegovim zadaćama i ovlastima iz ove Uredbe, uključujući ovlast da zabrani postupke obrade. Rezultat procjene učinka na zaštitu podataka koja je provedena u vezi s dotičnom obradom može se kao dio tog postupka savjetovanja dostaviti nadzornom tijelu, a osobito mjere predviđene za umanjivanje rizika za prava i slobode pojedinaca. |
| (95) | Der Auftragsverarbeiter sollte erforderlichenfalls den Verantwortlichen auf Anfrage bei der Gewährleistung der Einhaltung der sich aus der Durchführung der Datenschutz-Folgenabschätzung und der vorherigen Konsultation der Aufsichtsbehörde ergebenden Auflagen unterstützen. | (95) | The processor should assist the controller, where necessary and upon request, in ensuring compliance with the obligations deriving from the carrying out of data protection impact assessments and from prior consultation of the supervisory authority. | (95) | Prema potrebi i na zahtjev, izvršitelj obrade trebao bi pomagati voditelju obrade u osiguravanju usklađenosti s obvezama koje proizlaze iz provedbe procjene učinka na zaštitu podataka i iz prethodnog savjetovanja s nadzornim tijelom. |
| (96) | Eine Konsultation der Aufsichtsbehörde sollte auch während der Ausarbeitung von Gesetzes- oder Regelungsvorschriften, in denen eine Verarbeitung personenbezogener Daten vorgesehen ist, erfolgen, um die Vereinbarkeit der geplanten Verarbeitung mit dieser Verordnung sicherzustellen und insbesondere das mit ihr für die betroffene Person verbundene Risiko einzudämmen. | (96) | A consultation of the supervisory authority should also take place in the course of the preparation of a legislative or regulatory measure which provides for the processing of personal data, in order to ensure compliance of the intended processing with this Regulation and in particular to mitigate the risk involved for the data subject. | (96) | Savjetovanje s nadležnim tijelom također bi se trebalo održati tijekom izrade zakonodavne ili regulatorne mjere koja propisuje obradu osobnih podataka radi osiguravanja usklađenosti predviđene obrade s ovom Uredbom te osobito radi umanjivanja rizika za ispitanika. |
| (97) | In Fällen, in denen die Verarbeitung durch eine Behörde — mit Ausnahmen von Gerichten oder unabhängigen Justizbehörden, die im Rahmen ihrer justiziellen Tätigkeit handeln –, im privaten Sektor durch einen Verantwortlichen erfolgt, dessen Kerntätigkeit in Verarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern, oder wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht, sollte der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt werden Im privaten Sektor bezieht sich die Kerntätigkeit eines Verantwortlichen auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten. Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können. | (97) | Where the processing is carried out by a public authority, except for courts or independent judicial authorities when acting in their judicial capacity, where, in the private sector, processing is carried out by a controller whose core activities consist of processing operations that require regular and systematic monitoring of the data subjects on a large scale, or where the core activities of the controller or the processor consist of processing on a large scale of special categories of personal data and data relating to criminal convictions and offences, a person with expert knowledge of data protection law and practices should assist the controller or processor to monitor internal compliance with this Regulation. In the private sector, the core activities of a controller relate to its primary activities and do not relate to the processing of personal data as ancillary activities. The necessary level of expert knowledge should be determined in particular according to the data processing operations carried out and the protection required for the personal data processed by the controller or the processor. Such data protection officers, whether or not they are an employee of the controller, should be in a position to perform their duties and tasks in an independent manner. | (97) | Ako obradu provodi tijelo javne vlasti, uz iznimku sudova i neovisnih pravosudnih tijela kada djeluju u okviru svoje sudske nadležnosti, ako, u privatnom sektoru, obradu provodi voditelj obrade čije su osnovne djelatnosti postupci obrade koji zahtijevaju redovno i sustavno opsežno praćenje ispitanika, ili ako se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od opsežne obrade posebnih kategorija osobnih podataka i podataka koji se odnose na kaznene osude i kažnjiva djela, osoba sa stručnim znanjem prava i prakse zaštite podataka trebala bi pomagati voditelju obrade ili izvršitelju obrade pri praćenju unutarnje usklađenosti s ovom Uredbom. U privatnom sektoru, osnovne djelatnosti voditelja obrade odnose se na njegove primarne djelatnosti i ne odnose se na obradu osobnih podataka kao dodatne djelatnosti. Nužna razina stručnog znanja trebala bi se utvrditi posebno u odnosu na postupke obrade podataka koji se provode te na zaštitu koju za obrađene osobne podatke zahtijeva voditelj obrade ili izvršitelj obrade. Takvi službenici za zaštitu podataka, bez obzira jesu li zaposlenici voditelja obrade, trebali bi moći obavljati svoje dužnosti i zadaće na neovisan način. |
| (98) | Verbände oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, sollten ermutigt werden, in den Grenzen dieser Verordnung Verhaltensregeln auszuarbeiten, um eine wirksame Anwendung dieser Verordnung zu erleichtern, wobei den Besonderheiten der in bestimmten Sektoren erfolgenden Verarbeitungen und den besonderen Bedürfnissen der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen ist. Insbesondere könnten in diesen Verhaltensregeln — unter Berücksichtigung des mit der Verarbeitung wahrscheinlich einhergehenden Risikos für die Rechte und Freiheiten natürlicher Personen — die Pflichten der Verantwortlichen und der Auftragsverarbeiter bestimmt werden. | (98) | Associations or other bodies representing categories of controllers or processors should be encouraged to draw up codes of conduct, within the limits of this Regulation, so as to facilitate the effective application of this Regulation, taking account of the specific characteristics of the processing carried out in certain sectors and the specific needs of micro, small and medium enterprises. In particular, such codes of conduct could calibrate the obligations of controllers and processors, taking into account the risk likely to result from the processing for the rights and freedoms of natural persons. | (98) | Udruženja ili druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade trebalo bi poticati da izrade kodekse ponašanja unutar granica ove Uredbe kako bi se olakšala djelotvorna primjena ove Uredbe, uzimajući u obzir posebna obilježja obrade koja se provodi u određenim sektorima i posebne potrebe mikropoduzeća, malih i srednjih poduzeća. Posebno, takvim bi se kodeksima ponašanja mogle definirati obveze voditelja obrade i izvršitelja obrade, uzimajući u obzir rizik za prava i slobode pojedinaca koji može proizaći iz obrade. |
| (99) | Bei der Ausarbeitung oder bei der Änderung oder Erweiterung solcher Verhaltensregeln sollten Verbände und oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, die maßgeblichen Interessenträger, möglichst auch die betroffenen Personen, konsultieren und die Eingaben und Stellungnahmen, die sie dabei erhalten, berücksichtigen. | (99) | When drawing up a code of conduct, or when amending or extending such a code, associations and other bodies representing categories of controllers or processors should consult relevant stakeholders, including data subjects where feasible, and have regard to submissions received and views expressed in response to such consultations. | (99) | Prilikom izrade kodeksa ponašanja ili kada se mijenja ili proširuje takav kodeks, udruženja i druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade trebali bi se savjetovati s odgovarajućim dionicima, uključujući ispitanike ako je to izvedivo i uzimati u obzir primljene podneske i izražena mišljenja kao odgovore na takva savjetovanja. |
| (100) | Um die Transparenz zu erhöhen und die Einhaltung dieser Verordnung zu verbessern, sollte angeregt werden, dass Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen eingeführt werden, die den betroffenen Personen einen raschen Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglichen. | (100) | In order to enhance transparency and compliance with this Regulation, the establishment of certification mechanisms and data protection seals and marks should be encouraged, allowing data subjects to quickly assess the level of data protection of relevant products and services. | (100) | Kako bi se povećala transparentnost i usklađenost s ovom Uredbom, trebalo bi se poticati uvođenje mehanizama certificiranja te pečata i oznaka za zaštitu podataka, što bi ispitanicima omogućilo brzu procjenu razine zaštite podataka za relevantne proizvode i usluge. |
| (101) | Der Fluss personenbezogener Daten aus Drittländern und internationalen Organisationen und in Drittländer und internationale Organisationen ist für die Ausweitung des internationalen Handels und der internationalen Zusammenarbeit notwendig. Durch die Zunahme dieser Datenströme sind neue Herausforderungen und Anforderungen in Bezug auf den Schutz personenbezogener Daten entstanden. Das durch diese Verordnung unionsweit gewährleistete Schutzniveau für natürliche Personen sollte jedoch bei der Übermittlung personenbezogener Daten aus der Union an Verantwortliche, Auftragsverarbeiter oder andere Empfänger in Drittländern oder an internationale Organisationen nicht untergraben werden, und zwar auch dann nicht, wenn aus einem Drittland oder von einer internationalen Organisation personenbezogene Daten an Verantwortliche oder Auftragsverarbeiter in demselben oder einem anderen Drittland oder an dieselbe oder eine andere internationale Organisation weiterübermittelt werden. In jedem Fall sind derartige Datenübermittlungen an Drittländer und internationale Organisationen nur unter strikter Einhaltung dieser Verordnung zulässig. Eine Datenübermittlung könnte nur stattfinden, wenn die in dieser Verordnung festgelegten Bedingungen zur Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen vorbehaltlich der übrigen Bestimmungen dieser Verordnung von dem Verantwortlichen oder dem Auftragsverarbeiter erfüllt werden. | (101) | Flows of personal data to and from countries outside the Union and international organisations are necessary for the expansion of international trade and international cooperation. The increase in such flows has raised new challenges and concerns with regard to the protection of personal data. However, when personal data are transferred from the Union to controllers, processors or other recipients in third countries or to international organisations, the level of protection of natural persons ensured in the Union by this Regulation should not be undermined, including in cases of onward transfers of personal data from the third country or international organisation to controllers, processors in the same or another third country or international organisation. In any event, transfers to third countries and international organisations may only be carried out in full compliance with this Regulation. A transfer could take place only if, subject to the other provisions of this Regulation, the conditions laid down in the provisions of this Regulation relating to the transfer of personal data to third countries or international organisations are complied with by the controller or processor. | (101) | Tokovi osobnih podataka u zemlje izvan Unije i međunarodne organizacije i iz njih neophodni su za širenje međunarodne trgovine i međunarodne suradnje. Povećanje takvih tokova dovelo je do novih izazova i zabrinutosti u vezi sa zaštitom osobnih podataka. Međutim kada se osobni podaci prenose iz Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne bi smjela biti narušena razina zaštite pojedinaca osigurana ovom Uredbom u Uniji, među ostalim u slučajevima daljnjih prijenosa osobnih podataka iz treće zemlje ili međunarodne organizacije voditeljima obrade, izvršiteljima obrade u istoj ili nekoj drugoj trećoj zemlji ili međunarodnoj organizaciji. U svakom slučaju, prijenosi u treće zemlje i međunarodne organizacije mogu se obavljati isključivo uz puno poštovanje ove Uredbe. Prijenos bi se smio obavljati isključivo ako, u skladu s drugim odredbama ove Uredbe, voditelj obrade ili izvršitelj obrade ispunjavaju uvjete utvrđene u odredbama ove Uredbe vezanim za prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama. |
| (102) | Internationale Abkommen zwischen der Union und Drittländern über die Übermittlung von personenbezogenen Daten einschließlich geeigneter Garantien für die betroffenen Personen werden von dieser Verordnung nicht berührt. Die Mitgliedstaaten können völkerrechtliche Übereinkünfte schließen, die die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen beinhalten, sofern sich diese Übereinkünfte weder auf diese Verordnung noch auf andere Bestimmungen des Unionsrechts auswirken und ein angemessenes Schutzniveau für die Grundrechte der betroffenen Personen umfassen. | (102) | This Regulation is without prejudice to international agreements concluded between the Union and third countries regulating the transfer of personal data including appropriate safeguards for the data subjects. Member States may conclude international agreements which involve the transfer of personal data to third countries or international organisations, as far as such agreements do not affect this Regulation or any other provisions of Union law and include an appropriate level of protection for the fundamental rights of the data subjects. | (102) | Ovom Uredbom ne dovode se u pitanje međunarodni sporazumi sklopljeni između Unije i trećih zemalja kojima se uređuje prijenos osobnih podataka, uključujući odgovarajuće zaštitne mjere za ispitanike. Države članice mogu sklapati međunarodne sporazume koji uključuju prijenos osobnih podataka u treće zemlje ili međunarodne organizacije u onoj mjeri u kojoj takvi sporazumi ne utječu na ovu Uredbu ili bilo koje druge odredbe prava Unije i koji uključuju odgovarajuću razinu zaštite temeljnih prava ispitanikâ. |
| (103) | Die Kommission darf mit Wirkung für die gesamte Union beschließen, dass ein bestimmtes Drittland, ein Gebiet oder ein bestimmter Sektor eines Drittlands oder eine internationale Organisation ein angemessenes Datenschutzniveau bietet, und auf diese Weise in Bezug auf das Drittland oder die internationale Organisation, das bzw. die für fähig gehalten wird, ein solches Schutzniveau zu bieten, in der gesamten Union Rechtssicherheit schaffen und eine einheitliche Rechtsanwendung sicherstellen. In derartigen Fällen dürfen personenbezogene Daten ohne weitere Genehmigung an dieses Land oder diese internationale Organisation übermittelt werden. Die Kommission kann, nach Abgabe einer ausführlichen Erklärung, in der dem Drittland oder der internationalen Organisation eine Begründung gegeben wird, auch entscheiden, eine solche Feststellung zu widerrufen. | (103) | The Commission may decide with effect for the entire Union that a third country, a territory or specified sector within a third country, or an international organisation, offers an adequate level of data protection, thus providing legal certainty and uniformity throughout the Union as regards the third country or international organisation which is considered to provide such level of protection. In such cases, transfers of personal data to that third country or international organisation may take place without the need to obtain any further authorisation. The Commission may also decide, having given notice and a full statement setting out the reasons to the third country or international organisation, to revoke such a decision. | (103) | Komisija može odlučiti s učinkom na cijelu Uniju da treća zemlja, područje ili posebni sektor u trećoj zemlji, ili međunarodna organizacija pruža odgovarajuću razinu zaštite podataka te na taj način pruža pravnu sigurnost i ujednačenost u cijeloj Uniji kad je riječ o trećoj zemlji ili međunarodnoj organizaciji za koju se smatra da pruža takvu razinu zaštite. U takvim slučajevima prijenosi osobnih podataka u te treću zemlju ili međunarodnu organizaciju mogu se obavljati bez potrebe za dobivanjem daljnjeg ovlaštenja. Komisija također može odlučiti da povuče takvu odluku, nakon što trećoj zemlji ili međunarodnoj organizaciji uputi obavijest i izjavu u kojoj se navode razlozi. |
| (104) | In Übereinstimmung mit den Grundwerten der Union, zu denen insbesondere der Schutz der Menschenrechte zählt, sollte die Kommission bei der Bewertung des Drittlands oder eines Gebiets oder eines bestimmten Sektors eines Drittlands berücksichtigen, inwieweit dort die Rechtsstaatlichkeit gewahrt ist, der Rechtsweg gewährleistet ist und die internationalen Menschenrechtsnormen und -standards eingehalten werden und welche allgemeinen und sektorspezifischen Vorschriften, wozu auch die Vorschriften über die öffentliche Sicherheit, die Landesverteidigung und die nationale Sicherheit sowie die öffentliche Ordnung und das Strafrecht zählen, dort gelten. Die Annahme eines Angemessenheitsbeschlusses in Bezug auf ein Gebiet oder einen bestimmten Sektor eines Drittlands sollte unter Berücksichtigung eindeutiger und objektiver Kriterien wie bestimmter Verarbeitungsvorgänge und des Anwendungsbereichs anwendbarer Rechtsnormen und geltender Rechtsvorschriften in dem Drittland erfolgen. Das Drittland sollte Garantien für ein angemessenes Schutzniveau bieten, das dem innerhalb der Union gewährleisteten Schutzniveau der Sache nach gleichwertig ist, insbesondere in Fällen, in denen personenbezogene Daten in einem oder mehreren spezifischen Sektoren verarbeitet werden. Das Drittland sollte insbesondere eine wirksame unabhängige Überwachung des Datenschutzes gewährleisten und Mechanismen für eine Zusammenarbeit mit den Datenschutzbehörden der Mitgliedstaaten vorsehen, und den betroffenen Personen sollten wirksame und durchsetzbare Rechte sowie wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe eingeräumt werden. | (104) | In line with the fundamental values on which the Union is founded, in particular the protection of human rights, the Commission should, in its assessment of the third country, or of a territory or specified sector within a third country, take into account how a particular third country respects the rule of law, access to justice as well as international human rights norms and standards and its general and sectoral law, including legislation concerning public security, defence and national security as well as public order and criminal law. The adoption of an adequacy decision with regard to a territory or a specified sector in a third country should take into account clear and objective criteria, such as specific processing activities and the scope of applicable legal standards and legislation in force in the third country. The third country should offer guarantees ensuring an adequate level of protection essentially equivalent to that ensured within the Union, in particular where personal data are processed in one or several specific sectors. In particular, the third country should ensure effective independent data protection supervision and should provide for cooperation mechanisms with the Member States' data protection authorities, and the data subjects should be provided with effective and enforceable rights and effective administrative and judicial redress. | (104) | Sukladno s temeljnim vrijednostima na kojima se temelji Unija, osobito zaštitom ljudskih prava, pri svojoj procjeni treće zemlje ili područja ili posebnog sektora u trećoj zemlji Komisija bi trebala uzeti u obzir kako određena treća zemlja poštuje vladavinu prava, pristup pravosuđu kao i međunarodne norme i standarde ljudskih prava i njihove opće i sektorske zakone, uključujući zakonodavstvo o javnoj sigurnosti, obrani i nacionalnoj sigurnosti kao i javni poredak i kazneno pravo. Pri donošenju odluke o primjerenosti u vezi s područjem ili posebnim sektorom u trećoj zemlji trebalo bi uzeti u obzir jasne i objektivne kriterije, kao što su specifične aktivnosti obrade i područje primjene mjerodavnih zakonskih normi i zakonodavstva koji su na snaziu trećoj zemlji. Treća zemlja trebala bi ponuditi jamstva kojima se osigurava primjerena razina zaštite, u načelu istovjetna onoj koja je osigurana u Uniji, posebno kada se osobni podaci obrađuju u jednom ili više određenih sektora. Konkretno, treća zemlja trebala bi osigurati učinkovit neovisan nadzor zaštite podataka te mehanizme suradnje s tijelima država članica za zaštitu podataka dok bi ispitanici trebali imati učinkovita i ostvariva prava te učinkovitu upravnu i sudsku zaštitu. |
| (105) | Die Kommission sollte neben den internationalen Verpflichtungen, die das Drittland oder die internationale Organisation eingegangen ist, die Verpflichtungen, die sich aus der Teilnahme des Drittlands oder der internationalen Organisation an multilateralen oder regionalen Systemen insbesondere im Hinblick auf den Schutz personenbezogener Daten ergeben, sowie die Umsetzung dieser Verpflichtungen berücksichtigen. Insbesondere sollte der Beitritt des Drittlands zum Übereinkommen des Europarates vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten und dem dazugehörigen Zusatzprotokoll berücksichtigt werden. Die Kommission sollte den Ausschuss konsultieren, wenn sie das Schutzniveau in Drittländern oder internationalen Organisationen bewertet. | (105) | Apart from the international commitments the third country or international organisation has entered into, the Commission should take account of obligations arising from the third country's or international organisation's participation in multilateral or regional systems in particular in relation to the protection of personal data, as well as the implementation of such obligations. In particular, the third country's accession to the Council of Europe Convention of 28 January 1981 for the Protection of Individuals with regard to the Automatic Processing of Personal Data and its Additional Protocol should be taken into account. The Commission should consult the Board when assessing the level of protection in third countries or international organisations. | (105) | Osim međunarodnih obveza koje su treća zemlja ili međunarodna organizacija preuzele, Komisija bi trebala uzeti u obzir obveze koje proizlaze iz sudjelovanja treće zemlje ili međunarodne organizacije u multilateralnim ili regionalnim sustavima, posebno u odnosu na zaštitu osobnih podataka, kao i provedbu tih obveza. Posebno bi trebalo uzeti u obzir pristupanje treće zemlje Konvenciji Vijeća Europe od 28. siječnja 1981. o zaštiti pojedinaca vezanoj uz automatsku obradu osobnih podataka te njezin Dodatni protokol. Komisija bi se trebala savjetovati s Odborom kada ocjenjuje razinu zaštite u trećim zemljama ili međunarodnim organizacijama. |
| (106) | Die Kommission sollte die Wirkungsweise von Feststellungen zum Schutzniveau in einem Drittland, einem Gebiet oder einem bestimmten Sektor eines Drittlands oder einer internationalen Organisation überwachen; sie sollte auch die Wirkungsweise der Feststellungen, die auf der Grundlage des Artikels 25 Absatz 6 oder des Artikels 26 Absatz 4 der Richtlinie 95/46/EG erlassen werden, überwachen. In ihren Angemessenheitsbeschlüssen sollte die Kommission einen Mechanismus für die regelmäßige Überprüfung von deren Wirkungsweise vorsehen. Diese regelmäßige Überprüfung sollte in Konsultation mit dem betreffenden Drittland oder der betreffenden internationalen Organisation erfolgen und allen maßgeblichen Entwicklungen in dem Drittland oder der internationalen Organisation Rechnung tragen. Für die Zwecke der Überwachung und der Durchführung der regelmäßigen Überprüfungen sollte die Kommission die Standpunkte und Feststellungen des Europäischen Parlaments und des Rates sowie der anderen einschlägigen Stellen und Quellen berücksichtigen. Die Kommission sollte innerhalb einer angemessenen Frist die Wirkungsweise der letztgenannten Beschlüsse bewerten und dem durch diese Verordnung eingesetzten Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates (12) sowie dem Europäischen Parlament und dem Rat über alle maßgeblichen Feststellungen Bericht erstatten. | (106) | The Commission should monitor the functioning of decisions on the level of protection in a third country, a territory or specified sector within a third country, or an international organisation, and monitor the functioning of decisions adopted on the basis of Article 25(6) or Article 26(4) of Directive 95/46/EC. In its adequacy decisions, the Commission should provide for a periodic review mechanism of their functioning. That periodic review should be conducted in consultation with the third country or international organisation in question and take into account all relevant developments in the third country or international organisation. For the purposes of monitoring and of carrying out the periodic reviews, the Commission should take into consideration the views and findings of the European Parliament and of the Council as well as of other relevant bodies and sources. The Commission should evaluate, within a reasonable time, the functioning of the latter decisions and report any relevant findings to the Committee within the meaning of Regulation (EU) No 182/2011 of the European Parliament and of the Council (12) as established under this Regulation, to the European Parliament and to the Council. | (106) | Komisija bi trebala pratiti djelovanje odluka o razini zaštite u trećoj zemlji, području ili posebnom sektoru u trećoj zemlji, ili u međunarodnoj organizaciji, te pratiti djelovanje odluka koje su donesene na temelju članka 25. stavka 6. i članka 26. stavka 4. Direktive 95/46/EZ. U svojim odlukama o primjerenosti Komisija bi trebala predvidjeti mehanizam periodičnog preispitivanja njihova funkcioniranja. To bi se periodično preispitivanje trebalo provesti uz savjetovanje s dotičnom trećom zemljom ili međunarodnom organizacijom i uzeti u obzir sve relevantne događaje u trećoj zemlji ili međunarodnoj organizaciji. Za potrebe praćenja i provođenja periodičnih preispitivanja Komisija bi trebala uzeti u obzir stajališta i zaključke Europskog parlamenta i Vijeća, kao i ostalih relevantnih tijela i izvora. Komisija bi trebala ocijeniti, u razumnom roku, funkcioniranje potonjih odluka i o svim relevantnim nalazima izvijestiti Odbor u smislu Uredbe (EU) br. 182/2011 Europskog parlamenta i Vijeća (12) kako je ustanovljen na temelju ove Uredbe, te Europski parlament i Vijeće. |
| (107) | Die Kommission kann feststellen, dass ein Drittland, ein Gebiet oder ein bestimmter Sektor eines Drittlands oder eine internationale Organisation kein angemessenes Datenschutzniveau mehr bietet. Die Übermittlung personenbezogener Daten an dieses Drittland oder an diese internationale Organisation sollte daraufhin verboten werden, es sei denn, die Anforderungen dieser Verordnung in Bezug auf die Datenübermittlung vorbehaltlich geeigneter Garantien, einschließlich verbindlicher interner Datenschutzvorschriften und auf Ausnahmen für bestimmte Fälle werden erfüllt. In diesem Falle sollten Konsultationen zwischen der Kommission und den betreffenden Drittländern oder internationalen Organisationen vorgesehen werden. Die Kommission sollte dem Drittland oder der internationalen Organisation frühzeitig die Gründe mitteilen und Konsultationen aufnehmen, um Abhilfe für die Situation zu schaffen. | (107) | The Commission may recognise that a third country, a territory or a specified sector within a third country, or an international organisation no longer ensures an adequate level of data protection. Consequently the transfer of personal data to that third country or international organisation should be prohibited, unless the requirements in this Regulation relating to transfers subject to appropriate safeguards, including binding corporate rules, and derogations for specific situations are fulfilled. In that case, provision should be made for consultations between the Commission and such third countries or international organisations. The Commission should, in a timely manner, inform the third country or international organisation of the reasons and enter into consultations with it in order to remedy the situation. | (107) | Komisija može utvrditi da treća zemlja, područje ili posebni sektor u trećoj zemlji, ili međunarodna organizacija više ne osiguravaju primjereni stupanj zaštite podataka. Stoga bi se prijenos osobnih podataka u tu treću zemlju ili međunarodnu organizaciju trebao zabraniti, osim ako su ispunjeni uvjeti iz ove Uredbe koji se odnose na prijenose koji podliježu odgovarajućim zaštitnim mjerama, uključujući obvezujuća korporativna pravila, te odstupanja za posebne situacije. U tom slučaju trebalo bi predvidjeti savjetovanje između Komisije i takvih trećih zemalja ili međunarodnih organizacija. Komisija bi trebala pravodobno obavijestiti treću državu ili međunarodnu organizaciju o razlozima i započeti savjetovanja s njom kako bi se riješila situacija. |
| (108) | Bei Fehlen eines Angemessenheitsbeschlusses sollte der Verantwortliche oder der Auftragsverarbeiter als Ausgleich für den in einem Drittland bestehenden Mangel an Datenschutz geeignete Garantien für den Schutz der betroffenen Person vorsehen. Diese geeigneten Garantien können darin bestehen, dass auf verbindliche interne Datenschutzvorschriften, von der Kommission oder von einer Aufsichtsbehörde angenommene Standarddatenschutzklauseln oder von einer Aufsichtsbehörde genehmigte Vertragsklauseln zurückgegriffen wird. Diese Garantien sollten sicherstellen, dass die Datenschutzvorschriften und die Rechte der betroffenen Personen auf eine der Verarbeitung innerhalb der Union angemessene Art und Weise beachtet werden; dies gilt auch hinsichtlich der Verfügbarkeit von durchsetzbaren Rechten der betroffenen Person und von wirksamen Rechtsbehelfen einschließlich des Rechts auf wirksame verwaltungsrechtliche oder gerichtliche Rechtsbehelfe sowie des Rechts auf Geltendmachung von Schadenersatzansprüchen in der Union oder in einem Drittland. Sie sollten sich insbesondere auf die Einhaltung der allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten, die Grundsätze des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen beziehen. Datenübermittlungen dürfen auch von Behörden oder öffentlichen Stellen an Behörden oder öffentliche Stellen in Drittländern oder an internationale Organisationen mit entsprechenden Pflichten oder Aufgaben vorgenommen werden, auch auf der Grundlage von Bestimmungen, die in Verwaltungsvereinbarungen — wie beispielsweise einer gemeinsamen Absichtserklärung –, mit denen den betroffenen Personen durchsetzbare und wirksame Rechte eingeräumt werden, aufzunehmen sind. Die Genehmigung der zuständigen Aufsichtsbehörde sollte erlangt werden, wenn die Garantien in nicht rechtsverbindlichen Verwaltungsvereinbarungen vorgesehen sind. | (108) | In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority. Those safeguards should ensure compliance with data protection requirements and the rights of the data subjects appropriate to processing within the Union, including the availability of enforceable data subject rights and of effective legal remedies, including to obtain effective administrative or judicial redress and to claim compensation, in the Union or in a third country. They should relate in particular to compliance with the general principles relating to personal data processing, the principles of data protection by design and by default. Transfers may also be carried out by public authorities or bodies with public authorities or bodies in third countries or with international organisations with corresponding duties or functions, including on the basis of provisions to be inserted into administrative arrangements, such as a memorandum of understanding, providing for enforceable and effective rights for data subjects. Authorisation by the competent supervisory authority should be obtained when the safeguards are provided for in administrative arrangements that are not legally binding. | (108) | Ako nije donesena odluka o primjerenosti voditelj obrade ili izvršitelj obrade trebali bi poduzeti mjere kojima će se nadomjestiti nedostatak zaštite podataka u trećoj zemlji putem odgovarajućih zaštitnih mjera za ispitanika. Takve odgovarajuće zaštitne mjere mogu obuhvaćati uporabu obvezujućih korporativnih pravila, standardne klauzule o zaštiti podataka koje je usvojila Komisija, standardne klauzule o zaštiti podataka koje je usvojilo nadzorno tijelo ili ugovorne klauzule koje je odobrilo nadzorno tijelo. Tim zaštitnim mjerama trebalo bi osigurati sukladnost sa zahtjevima za zaštitu podataka i prava ispitanikâ primjereno obradi unutar Unije, uključujući dostupnost provedivih prava ispitanika i učinkovitih pravnih lijekova, među ostalim onih za dobivanje učinkovite upravne ili sudske zaštite i traženje naknade, u Uniji ili u trećoj zemlji. One bi se trebale osobito odnositi na usklađivanje s općim načelima koja se odnose na obradu osobnih podataka, načela tehničke i integrirane zaštite podataka. Tijela javne vlasti ili tijela s javnim ovlastima ili tijela u trećim zemljama ili pri međunarodnim organizacijama s odgovarajućim dužnostima ili ovlastima mogu također obavljati prijenose, među ostalim na temelju odredaba koje se uključuju u administrativne aranžmane poput memoranduma o razumijevanju, kojima se ispitaniku osiguravaju ostvariva i učinkovita prava. Kada se zaštitne mjere predviđaju u administrativnim aranžmanima koji nisu pravno obvezujući, trebalo bi ishoditi ovlaštenje nadležnog nadzornog tijela. |
| (109) | Die dem Verantwortlichen oder dem Auftragsverarbeiter offenstehende Möglichkeit, auf die von der Kommission oder einer Aufsichtsbehörde festgelegten Standard-Datenschutzklauseln zurückzugreifen, sollte den Verantwortlichen oder den Auftragsverarbeiter weder daran hindern, die Standard-Datenschutzklauseln auch in umfangreicheren Verträgen, wie zum Beispiel Verträgen zwischen dem Auftragsverarbeiter und einem anderen Auftragsverarbeiter, zu verwenden, noch ihn daran hindern, ihnen weitere Klauseln oder zusätzliche Garantien hinzuzufügen, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den von der Kommission oder einer Aufsichtsbehörde erlassenen Standard-Datenschutzklauseln stehen oder die Grundrechte und Grundfreiheiten der betroffenen Personen beschneiden. Die Verantwortlichen und die Auftragsverarbeiter sollten ermutigt werden, mit vertraglichen Verpflichtungen, die die Standard-Schutzklauseln ergänzen, zusätzliche Garantien zu bieten. | (109) | The possibility for the controller or processor to use standard data-protection clauses adopted by the Commission or by a supervisory authority should prevent controllers or processors neither from including the standard data-protection clauses in a wider contract, such as a contract between the processor and another processor, nor from adding other clauses or additional safeguards provided that they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects. Controllers and processors should be encouraged to provide additional safeguards via contractual commitments that supplement standard protection clauses. | (109) | Mogućnost da se voditelj obrade ili izvršitelja obrade koristi standardnim klauzulama o zaštiti podataka koje je donijela Komisija ili nadzorno tijelo ne bi trebala sprečavati mogućnost voditelja obrade ili izvršitelja obrade ni da uključe standardne klauzule o zaštiti podataka u širi ugovor, kao što je ugovor između izvršitelja obrade i drugog izvršitelja obrade, ni da dodaju druge klauzule ili dodatne zaštitne mjere pod uvjetom da one izravno ili neizravno ne proturječe standardnim ugovornim klauzulama koje je donijela Komisija ili nadzorno tijelo ili ne dovode u pitanje temeljna prava ili slobode ispitanika. Voditelje obrade i izvršitelje obrade trebalo bi poticati da osiguraju dodatne zaštitne mjere putem dodatnih ugovornih obveza koje nadopunjuju standardne klauzule o zaštiti. |
| (110) | Jede Unternehmensgruppe oder jede Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, sollte für ihre internationalen Datenübermittlungen aus der Union an Organisationen derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, genehmigte verbindliche interne Datenschutzvorschriften anwenden dürfen, sofern diese sämtliche Grundprinzipien und durchsetzbaren Rechte enthalten, die geeignete Garantien für die Übermittlungen beziehungsweise Kategorien von Übermittlungen personenbezogener Daten bieten. | (110) | A group of undertakings, or a group of enterprises engaged in a joint economic activity, should be able to make use of approved binding corporate rules for its international transfers from the Union to organisations within the same group of undertakings, or group of enterprises engaged in a joint economic activity, provided that such corporate rules include all essential principles and enforceable rights to ensure appropriate safeguards for transfers or categories of transfers of personal data. | (110) | Grupa poduzetnika ili grupa poduzeća angažiranih u zajedničkoj gospodarskoj aktivnosti trebala bi moći koristiti odobrena obvezujuća korporativna pravila za svoje međunarodne prijenose iz Unije u organizacije unutar iste grupe poduzetnika ili grupe poduzeća angažiranih u zajedničkoj gospodarskoj aktivnosti, ako korporativna pravila obuhvaćaju sva osnovna načela i provediva prava za osiguranje odgovarajućih zaštitnih mjera za prijenose ili kategorije prijenosa osobnih podataka. |
| (111) | Datenübermittlungen sollten unter bestimmten Voraussetzungen zulässig sein, nämlich wenn die betroffene Person ihre ausdrückliche Einwilligung erteilt hat, wenn die Übermittlung gelegentlich erfolgt und im Rahmen eines Vertrags oder zur Geltendmachung von Rechtsansprüchen, sei es vor Gericht oder auf dem Verwaltungswege oder in außergerichtlichen Verfahren, wozu auch Verfahren vor Regulierungsbehörden zählen, erforderlich ist. Die Übermittlung sollte zudem möglich sein, wenn sie zur Wahrung eines im Unionsrecht oder im Recht eines Mitgliedstaats festgelegten wichtigen öffentlichen Interesses erforderlich ist oder wenn sie aus einem durch Rechtsvorschriften vorgesehenen Register erfolgt, das von der Öffentlichkeit oder Personen mit berechtigtem Interesse eingesehen werden kann. In letzterem Fall sollte sich eine solche Übermittlung nicht auf die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten erstrecken dürfen. Ist das betreffende Register zur Einsichtnahme durch Personen mit berechtigtem Interesse bestimmt, sollte die Übermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind, wobei den Interessen und Grundrechten der betroffenen Person in vollem Umfang Rechnung zu tragen ist. | (111) | Provisions should be made for the possibility for transfers in certain circumstances where the data subject has given his or her explicit consent, where the transfer is occasional and necessary in relation to a contract or a legal claim, regardless of whether in a judicial procedure or whether in an administrative or any out-of-court procedure, including procedures before regulatory bodies. Provision should also be made for the possibility for transfers where important grounds of public interest laid down by Union or Member State law so require or where the transfer is made from a register established by law and intended for consultation by the public or persons having a legitimate interest. In the latter case, such a transfer should not involve the entirety of the personal data or entire categories of the data contained in the register and, when the register is intended for consultation by persons having a legitimate interest, the transfer should be made only at the request of those persons or, if they are to be the recipients, taking into full account the interests and fundamental rights of the data subject. | (111) | Trebalo bi predvidjeti odredbe za mogućnost prijenosa u određenim okolnostima kada je ispitanik dao izričitu privolu, ako je prijenos povremen i nužan s obzirom na ugovor ili pravni zahtjev, neovisno o tome je li u sudskom, upravnom ili bilo kojem izvansudskom postupku, uključujući i postupke pred regulatornim tijelima. Trebalo bi također omogućiti prijenose u slučaju važnih razloga od javnog interesa propisanih pravom Unije ili pravom države članice ili kada se prijenos obavlja iz registra uspostavljenog zakonom i namijenjenog uvidu javnosti ili osoba koje imaju legitiman interes. U potonjem slučaju takav prijenos ne bi trebao uključivati cjelokupne osobne podatke ili cijele kategorije podataka koje sadrži evidencija i, ako je evidencija namijenjena uvidu osoba koje imaju legitimni interes, prijenos bi se trebao obaviti samo na zahtjev tih osoba ili ako su te osobe primatelji, u potpunosti uzimajući u obzir interese i temeljna prava ispitanika. |
| (112) | Diese Ausnahmen sollten insbesondere für Datenübermittlungen gelten, die aus wichtigen Gründen des öffentlichen Interesses erforderlich sind, beispielsweise für den internationalen Datenaustausch zwischen Wettbewerbs-, Steuer- oder Zollbehörden, zwischen Finanzaufsichtsbehörden oder zwischen für Angelegenheiten der sozialen Sicherheit oder für die öffentliche Gesundheit zuständigen Diensten, beispielsweise im Falle der Umgebungsuntersuchung bei ansteckenden Krankheiten oder zur Verringerung und/oder Beseitigung des Dopings im Sport. Die Übermittlung personenbezogener Daten sollte ebenfalls als rechtmäßig angesehen werden, wenn sie erforderlich ist, um ein Interesse, das für die lebenswichtigen Interessen — einschließlich der körperlichen Unversehrtheit oder des Lebens — der betroffenen Person oder einer anderen Person wesentlich ist, zu schützen und die betroffene Person außerstande ist, ihre Einwilligung zu geben. Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht oder im Recht der Mitgliedstaaten aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen der Übermittlung bestimmter Kategorien von Daten an Drittländer oder internationale Organisationen vorgesehen werden. Die Mitgliedstaaten sollten solche Bestimmungen der Kommission mitteilen. Jede Übermittlung personenbezogener Daten einer betroffenen Person, die aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu erteilen, an eine internationale humanitäre Organisation, die erfolgt, um eine nach den Genfer Konventionen obliegende Aufgabe auszuführen oder um dem in bewaffneten Konflikten anwendbaren humanitären Völkerrecht nachzukommen, könnte als aus einem wichtigen Grund im öffentlichen Interesse notwendig oder als im lebenswichtigen Interesse der betroffenen Person liegend erachtet werden. | (112) | Those derogations should in particular apply to data transfers required and necessary for important reasons of public interest, for example in cases of international data exchange between competition authorities, tax or customs administrations, between financial supervisory authorities, between services competent for social security matters, or for public health, for example in the case of contact tracing for contagious diseases or in order to reduce and/or eliminate doping in sport. A transfer of personal data should also be regarded as lawful where it is necessary to protect an interest which is essential for the data subject's or another person's vital interests, including physical integrity or life, if the data subject is incapable of giving consent. In the absence of an adequacy decision, Union or Member State law may, for important reasons of public interest, expressly set limits to the transfer of specific categories of data to a third country or an international organisation. Member States should notify such provisions to the Commission. Any transfer to an international humanitarian organisation of personal data of a data subject who is physically or legally incapable of giving consent, with a view to accomplishing a task incumbent under the Geneva Conventions or to complying with international humanitarian law applicable in armed conflicts, could be considered to be necessary for an important reason of public interest or because it is in the vital interest of the data subject. | (112) | Ta bi se odstupanja posebno trebala primjenjivati na prijenose podataka koji se traže i nužni su iz važnih razloga od javnog interesa, na primjer u slučajevima međunarodne razmjene podataka između tijela nadležnih za tržišno natjecanje, poreznih i carinskih uprava, među financijskim nadzornim tijelima, među službama nadležnim za pitanja socijalne sigurnosti ili za javno zdravlje, na primjer u slučaju praćenja kontakata kod zaraznih bolesti ili kako bi se smanjio i/ili uklonio doping u sportu. Prijenos osobnih podataka trebalo bi također smatrati zakonitim ako je nužan za zaštitu interesa koji je temeljan za vitalne interese ispitanika ili druge osobe, uključujući tjelesni integritet ili život, ako ispitanik nije u stanju dati privolu. Ako ne postoji odluka o primjerenosti, pravom Unije ili pravom države članice mogu se, iz važnih razloga od javnog interesa, izričito odrediti ograničenja prijenosa određenih kategorija podataka trećoj zemlji ili međunarodnoj organizaciji. Države članice trebale bi izvijestiti Komisiju o takvim odredbama. Svaki prijenos osobnih podataka ispitanika koji tjelesno ili pravno nije u stanju dati privolu u međunarodnu humanitarnu organizaciju, s ciljem izvršenja zadaće obuhvaćene ženevskim konvencijama ili poštovanja međunarodnog humanitarnog prava mjerodavnog u oružanim sukobima, mogao bi se smatrati nužnim zbog važnosti javnog interesa ili zbog toga što je od vitalnog interesa za ispitanika. |
| (113) | Übermittlungen, die als nicht wiederholt erfolgend gelten können und nur eine begrenzte Zahl von betroffenen Personen betreffen, könnten auch zur Wahrung der zwingenden berechtigten Interessen des Verantwortlichen möglich sein, sofern die Interessen oder Rechte und Freiheiten der betroffenen Person nicht überwiegen und der Verantwortliche sämtliche Umstände der Datenübermittlung geprüft hat. Der Verantwortliche sollte insbesondere die Art der personenbezogenen Daten, den Zweck und die Dauer der vorgesehenen Verarbeitung, die Situation im Herkunftsland, in dem betreffenden Drittland und im Endbestimmungsland berücksichtigen und angemessene Garantien zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen in Bezug auf die Verarbeitung ihrer personenbezogener Daten vorsehen. Diese Übermittlungen sollten nur in den verbleibenden Fällen möglich sein, in denen keiner der anderen Gründe für die Übermittlung anwendbar ist. Bei wissenschaftlichen oder historischen Forschungszwecken oder bei statistischen Zwecken sollten die legitimen gesellschaftlichen Erwartungen in Bezug auf einen Wissenszuwachs berücksichtigt werden. Der Verantwortliche sollte die Aufsichtsbehörde und die betroffene Person von der Übermittlung in Kenntnis setzen. | (113) | Transfers which can be qualified as not repetitive and that only concern a limited number of data subjects, could also be possible for the purposes of the compelling legitimate interests pursued by the controller, when those interests are not overridden by the interests or rights and freedoms of the data subject and when the controller has assessed all the circumstances surrounding the data transfer. The controller should give particular consideration to the nature of the personal data, the purpose and duration of the proposed processing operation or operations, as well as the situation in the country of origin, the third country and the country of final destination, and should provide suitable safeguards to protect fundamental rights and freedoms of natural persons with regard to the processing of their personal data. Such transfers should be possible only in residual cases where none of the other grounds for transfer are applicable. For scientific or historical research purposes or statistical purposes, the legitimate expectations of society for an increase of knowledge should be taken into consideration. The controller should inform the supervisory authority and the data subject about the transfer. | (113) | Prijenosi koji se ne mogu smatrati ponavljajućim i koji se odnose samo na ograničen broj ispitanika mogli bi također biti mogući u svrhe uvjerljivih, legitimnih interesa voditelja obrade, kada ti interesi nisu podređeni interesima ili pravima i slobodama ispitanika i kada je voditelj obrade procijenio sve okolnosti prijenosa podataka. Voditelj obrade posebnu bi pozornost trebao obratiti na prirodu osobnih podataka, namjenu i trajanje predložene obrade ili predloženih obrada, kao i na situaciju u zemlji porijekla, trećoj zemlji i zemlji konačnog odredišta te bi trebao predvidjeti odgovarajuće zaštitne mjere temeljnih prava i sloboda pojedinaca u vezi s obradom njihovih osobnih podataka. Takvi prijenosi trebali bi biti mogući samo u preostalim slučajevima kada nikakvi drugi razlozi za prijenos nisu primjenjivi. Za potrebe obrade u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebalo bi uzeti u obzir legitimna očekivanja društva za povećanjem znanja. Voditelj obrade o prijenosu bi trebao obavijestiti nadzorno tijelo i ispitanika. |
| (114) | In allen Fällen, in denen kein Kommissionsbeschluss zur Angemessenheit des in einem Drittland bestehenden Datenschutzniveaus vorliegt, sollte der Verantwortliche oder der Auftragsverarbeiter auf Lösungen zurückgreifen, mit denen den betroffenen Personen durchsetzbare und wirksame Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten in der Union nach der Übermittlung dieser Daten eingeräumt werden, damit sie weiterhin die Grundrechte und Garantien genießen können. | (114) | In any case, where the Commission has taken no decision on the adequate level of data protection in a third country, the controller or processor should make use of solutions that provide data subjects with enforceable and effective rights as regards the processing of their data in the Union once those data have been transferred so that that they will continue to benefit from fundamental rights and safeguards. | (114) | U svakom slučaju, ako Komisija nije donijela odluku o odgovarajućoj razini zaštite podataka u trećoj zemlji, voditelj obrade ili izvršitelj obrade trebali bi iskoristiti rješenja koja ispitanicima osiguravaju ostvariva i učinkovita prava u pogledu obrade njihovih podataka u Uniji nakon što su ti podaci preneseni tako da će i dalje uživati zaštitu koju nude temeljna prava i zaštitne mjere. |
| (115) | Manche Drittländer erlassen Gesetze, Vorschriften und sonstige Rechtsakte, die vorgeben, die Verarbeitungstätigkeiten natürlicher und juristischer Personen, die der Rechtsprechung der Mitgliedstaaten unterliegen, unmittelbar zu regeln. Dies kann Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden in Drittländern umfassen, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird und die nicht auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind. Die Anwendung dieser Gesetze, Verordnungen und sonstigen Rechtsakte außerhalb des Hoheitsgebiets der betreffenden Drittländer kann gegen internationales Recht verstoßen und dem durch diese Verordnung in der Union gewährleisteten Schutz natürlicher Personen zuwiderlaufen. Datenübermittlungen sollten daher nur zulässig sein, wenn die Bedingungen dieser Verordnung für Datenübermittlungen an Drittländer eingehalten werden. Dies kann unter anderem der Fall sein, wenn die Offenlegung aus einem wichtigen öffentlichen Interesse erforderlich ist, das im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, anerkannt ist. | (115) | Some third countries adopt laws, regulations and other legal acts which purport to directly regulate the processing activities of natural and legal persons under the jurisdiction of the Member States. This may include judgments of courts or tribunals or decisions of administrative authorities in third countries requiring a controller or processor to transfer or disclose personal data, and which are not based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State. The extraterritorial application of those laws, regulations and other legal acts may be in breach of international law and may impede the attainment of the protection of natural persons ensured in the Union by this Regulation. Transfers should only be allowed where the conditions of this Regulation for a transfer to third countries are met. This may be the case, inter alia, where disclosure is necessary for an important ground of public interest recognised in Union or Member State law to which the controller is subject. | (115) | Neke treće zemlje donose zakone, propise i druge pravne akte radi izravne regulacije aktivnosti obrade fizičkih i pravnih osoba pod jurisdikcijom država članica. To može uključivati presude sudova ili odluke upravnih tijela u trećim zemljama kojima se od voditelja obrade ili izvršitelja obrade traži prijenos ili otkrivanje osobnih podataka i koje se ne temelje na međunarodnom sporazumu, poput ugovora o uzajamnoj pravnoj pomoći, koji vrijede između treće zemlje koja je podnijela zahtjev i Unije ili države članice. Izvanteritorijalna primjena tih zakona, propisa i drugih pravnih akata može predstavljati kršenje međunarodnog prava i može ometati postizanje zaštite pojedinaca koja se ovom Uredbom osigurava u Uniji. Prijenosi bi se smjeli dopustiti samo ako su ispunjeni uvjeti ove Uredbe za prijenos u treće zemlje. Ovo može, među ostalim, biti slučaj kada je otkrivanje nužno iz važnih razloga javnog interesa priznatog pravom Unije ili pravom države članice koje se primjenjuje na voditelja obrade. |
| (116) | Wenn personenbezogene Daten in ein anderes Land außerhalb der Union übermittelt werden, besteht eine erhöhte Gefahr, dass natürliche Personen ihre Datenschutzrechte nicht wahrnehmen können und sich insbesondere gegen die unrechtmäßige Nutzung oder Offenlegung dieser Informationen zu schützen. Ebenso kann es vorkommen, dass Aufsichtsbehörden Beschwerden nicht nachgehen oder Untersuchungen nicht durchführen können, die einen Bezug zu Tätigkeiten außerhalb der Grenzen ihres Mitgliedstaats haben. Ihre Bemühungen um grenzüberschreitende Zusammenarbeit können auch durch unzureichende Präventiv- und Abhilfebefugnisse, widersprüchliche Rechtsordnungen und praktische Hindernisse wie Ressourcenknappheit behindert werden. Die Zusammenarbeit zwischen den Datenschutzaufsichtsbehörden muss daher gefördert werden, damit sie Informationen austauschen und mit den Aufsichtsbehörden in anderen Ländern Untersuchungen durchführen können. Um Mechanismen der internationalen Zusammenarbeit zu entwickeln, die die internationale Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtern und sicherstellen, sollten die Kommission und die Aufsichtsbehörden Informationen austauschen und bei Tätigkeiten, die mit der Ausübung ihrer Befugnisse in Zusammenhang stehen, mit den zuständigen Behörden der Drittländer nach dem Grundsatz der Gegenseitigkeit und gemäß dieser Verordnung zusammenarbeiten. | (116) | When personal data moves across borders outside the Union it may put at increased risk the ability of natural persons to exercise data protection rights in particular to protect themselves from the unlawful use or disclosure of that information. At the same time, supervisory authorities may find that they are unable to pursue complaints or conduct investigations relating to the activities outside their borders. Their efforts to work together in the cross-border context may also be hampered by insufficient preventative or remedial powers, inconsistent legal regimes, and practical obstacles like resource constraints. Therefore, there is a need to promote closer cooperation among data protection supervisory authorities to help them exchange information and carry out investigations with their international counterparts. For the purposes of developing international cooperation mechanisms to facilitate and provide international mutual assistance for the enforcement of legislation for the protection of personal data, the Commission and the supervisory authorities should exchange information and cooperate in activities related to the exercise of their powers with competent authorities in third countries, based on reciprocity and in accordance with this Regulation. | (116) | Kada se osobni podaci kreću preko granica izvan Unije, može se povećati rizik koji prijeti sposobnosti pojedinaca da ostvare svoja prava zaštite podataka, osobito da se zaštite od nezakonite uporabe ili otkrivanja tih informacija. Nadzorna tijela mogu istodobno otkriti da nisu u stanju rješavati pritužbe ili voditi istrage u vezi s aktivnostima izvan svojih granica. Njihove napore da rade zajedno u prekograničnom kontekstu također mogu omesti nedovoljne ovlasti za sprečavanje ili ispravljanje, nedosljedni pravni režimi i praktične prepreke kao što su ograničeni resursi. Stoga postoji potreba da se promiče bliska suradnja između nadzornih tijela za zaštitu podataka kako bi im se pomoglo u razmjeni informacija i provođenju istraga s njihovom međunarodnim partnerima. Za potrebe razvoja mehanizama međunarodne suradnje za olakšavanje i pružanje međunarodne međusobne pomoći u provedbi zakonodavstva zaštite osobnih podataka Komisija i nadzorna tijela trebali bi razmjenjivati informacije i surađivati u aktivnostima povezanima s izvršavanjem svojih ovlasti s nadležnim tijelima trećih zemalja na temelju reciprociteta i u skladu s odredbama ovom Uredbom. |
| (117) | Die Errichtung von Aufsichtsbehörden in den Mitgliedstaaten, die befugt sind, ihre Aufgaben und Befugnisse völlig unabhängig wahrzunehmen, ist ein wesentlicher Bestandteil des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die Mitgliedstaaten sollten mehr als eine Aufsichtsbehörde errichten können, wenn dies ihrer verfassungsmäßigen, organisatorischen und administrativen Struktur entspricht. | (117) | The establishment of supervisory authorities in Member States, empowered to perform their tasks and exercise their powers with complete independence, is an essential component of the protection of natural persons with regard to the processing of their personal data. Member States should be able to establish more than one supervisory authority, to reflect their constitutional, organisational and administrative structure. | (117) | Ključnu sastavnicu zaštite pojedinaca s obzirom na obradu njihovih osobnih podataka predstavlja osnivanje nadzornih tijela u državama članicama, ovlaštenih obavljati svoje zadaće i izvršavati svoje ovlasti potpuno neovisno. Države članice trebale bi imati mogućnost osnovati više od jednog nadzornog tijela radi usklađivanja sa svojom ustavnom, organizacijskom i upravnom strukturom. |
| (118) | Die Tatsache, dass die Aufsichtsbehörden unabhängig sind, sollte nicht bedeuten, dass sie hinsichtlich ihrer Ausgaben keinem Kontroll- oder Überwachungsmechanismus unterworfen werden bzw. sie keiner gerichtlichen Überprüfung unterzogen werden können. | (118) | The independence of supervisory authorities should not mean that the supervisory authorities cannot be subject to control or monitoring mechanisms regarding their financial expenditure or to judicial review. | (118) | Neovisnost nadzornih tijela ne bi trebala značiti da se nadzorna tijela ne smiju podvrgnuti mehanizmu nadzora ili praćenja u vezi s financijskim izdacima ili sudskom preispitivanju. |
| (119) | Errichtet ein Mitgliedstaat mehrere Aufsichtsbehörden, so sollte er mittels Rechtsvorschriften sicherstellen, dass diese Aufsichtsbehörden am Kohärenzverfahren wirksam beteiligt werden. Insbesondere sollte dieser Mitgliedstaat eine Aufsichtsbehörde bestimmen, die als zentrale Anlaufstelle für eine wirksame Beteiligung dieser Behörden an dem Verfahren fungiert und eine rasche und reibungslose Zusammenarbeit mit anderen Aufsichtsbehörden, dem Ausschuss und der Kommission gewährleistet. | (119) | Where a Member State establishes several supervisory authorities, it should establish by law mechanisms for ensuring the effective participation of those supervisory authorities in the consistency mechanism. That Member State should in particular designate the supervisory authority which functions as a single contact point for the effective participation of those authorities in the mechanism, to ensure swift and smooth cooperation with other supervisory authorities, the Board and the Commission. | (119) | Ako država članica osnuje nekoliko nadzornih tijela, zakonom bi trebala uspostaviti mehanizme za osiguravanje djelotvornog sudjelovanja tih nadzornih tijela u mehanizmu konzistentnosti. Ta bi država članica osobito trebala imenovati nadzorno tijelo koje djeluje kao jedinstvena kontaktna točka za djelotvorno sudjelovanje tih tijela u mehanizmu kako bi se osigurala brza i neometana suradnja s drugim nadzornim tijelima, Odborom i Komisijom. |
| (120) | Jede Aufsichtsbehörde sollte mit Finanzmitteln, Personal, Räumlichkeiten und einer Infrastruktur ausgestattet werden, wie sie für die wirksame Wahrnehmung ihrer Aufgaben, einschließlich derer im Zusammenhang mit der Amtshilfe und Zusammenarbeit mit anderen Aufsichtsbehörden in der gesamten Union, notwendig sind. Jede Aufsichtsbehörde sollte über einen eigenen, öffentlichen, jährlichen Haushaltsplan verfügen, der Teil des gesamten Staatshaushalts oder nationalen Haushalts sein kann. | (120) | Each supervisory authority should be provided with the financial and human resources, premises and infrastructure necessary for the effective performance of their tasks, including those related to mutual assistance and cooperation with other supervisory authorities throughout the Union. Each supervisory authority should have a separate, public annual budget, which may be part of the overall state or national budget. | (120) | Svako nadzorno tijelo trebalo bi imati na raspolaganju financijske i ljudske resurse, prostorije i infrastrukturu, potrebne za djelotvorno izvršavanje njihovih zadaća, uključujući one povezane s uzajamnom pomoći i suradnjom s drugim nadzornim tijelima u Uniji. Svako nadzorno tijelo trebalo bi imati odvojeni, javni godišnji proračun koji može biti dio ukupnog državnog ili nacionalnog proračuna. |
| (121) | Die allgemeinen Anforderungen an das Mitglied oder die Mitglieder der Aufsichtsbehörde sollten durch Rechtsvorschriften von jedem Mitgliedstaat geregelt werden und insbesondere vorsehen, dass diese Mitglieder im Wege eines transparenten Verfahrens entweder — auf Vorschlag der Regierung, eines Mitglieds der Regierung, des Parlaments oder einer Parlamentskammer — vom Parlament, der Regierung oder dem Staatsoberhaupt des Mitgliedstaats oder von einer unabhängigen Stelle ernannt werden, die nach dem Recht des Mitgliedstaats mit der Ernennung betraut wird. Um die Unabhängigkeit der Aufsichtsbehörde zu gewährleisten, sollten ihre Mitglieder ihr Amt integer ausüben, von allen mit den Aufgaben ihres Amts nicht zu vereinbarenden Handlungen absehen und während ihrer Amtszeit keine andere mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit ausüben. Die Aufsichtsbehörde sollte über eigenes Personal verfügen, das sie selbst oder eine nach dem Recht des Mitgliedstaats eingerichtete unabhängige Stelle auswählt und das ausschließlich der Leitung des Mitglieds oder der Mitglieder der Aufsichtsbehörde unterstehen sollte. | (121) | The general conditions for the member or members of the supervisory authority should be laid down by law in each Member State and should in particular provide that those members are to be appointed, by means of a transparent procedure, either by the parliament, government or the head of State of the Member State on the basis of a proposal from the government, a member of the government, the parliament or a chamber of the parliament, or by an independent body entrusted under Member State law. In order to ensure the independence of the supervisory authority, the member or members should act with integrity, refrain from any action that is incompatible with their duties and should not, during their term of office, engage in any incompatible occupation, whether gainful or not. The supervisory authority should have its own staff, chosen by the supervisory authority or an independent body established by Member State law, which should be subject to the exclusive direction of the member or members of the supervisory authority. | (121) | Opći uvjeti za člana ili članove nadzornog tijela trebali bi biti zakonski propisani u svakoj državi članici i posebno bi trebali osiguravati da te članove imenuju u transparentnom postupku parlament, vlada ili šef države dotične države članice na temelju prijedloga vlade, člana vlade, parlamenta ili doma parlamenta, ili neovisno tijelo kojem je to povjereno pravom države članice. Radi osiguravanja neovisnosti nadzornog tijela član ili članovi trebali bi se ponašati pošteno, suzdržavati od svake radnje koja nije u skladu s njihovim dužnostima i ne bi se smjeli tijekom obavljanja mandata baviti bilo kakvom djelatnošću koja nije u skladu s tom funkcijom, bez obzira na to je li ona plaćena ili ne. Nadzorno bi tijelo trebalo imati vlastito osoblje, koje je izabralo nadzorno tijelo ili neovisno tijelo utvrđeno pravom države članice, koje bi trebalo biti pod isključivim vodstvom člana ili članova nadzornog tijela. |
| (122) | Jede Aufsichtsbehörde sollte dafür zuständig sein, im Hoheitsgebiet ihres Mitgliedstaats die Befugnisse auszuüben und die Aufgaben zu erfüllen, die ihr mit dieser Verordnung übertragen wurden. Dies sollte insbesondere für Folgendes gelten: die Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung des Verantwortlichen oder Auftragsverarbeiters im Hoheitsgebiet ihres Mitgliedstaats, die Verarbeitung personenbezogener Daten durch Behörden oder private Stellen, die im öffentlichen Interesse handeln, Verarbeitungstätigkeiten, die Auswirkungen auf betroffene Personen in ihrem Hoheitsgebiet haben, oder Verarbeitungstätigkeiten eines Verantwortlichen oder Auftragsverarbeiters ohne Niederlassung in der Union, sofern sie auf betroffene Personen mit Wohnsitz in ihrem Hoheitsgebiet ausgerichtet sind. Dies sollte auch die Bearbeitung von Beschwerden einer betroffenen Person, die Durchführung von Untersuchungen über die Anwendung dieser Verordnung sowie die Förderung der Information der Öffentlichkeit über Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten einschließen. | (122) | Each supervisory authority should be competent on the territory of its own Member State to exercise the powers and to perform the tasks conferred on it in accordance with this Regulation. This should cover in particular the processing in the context of the activities of an establishment of the controller or processor on the territory of its own Member State, the processing of personal data carried out by public authorities or private bodies acting in the public interest, processing affecting data subjects on its territory or processing carried out by a controller or processor not established in the Union when targeting data subjects residing on its territory. This should include handling complaints lodged by a data subject, conducting investigations on the application of this Regulation and promoting public awareness of the risks, rules, safeguards and rights in relation to the processing of personal data. | (122) | Svako nadzorno tijelo trebalo bi biti nadležno na području svoje države članice za izvršavanje ovlasti i obavljanje zadaća koje su mu povjerene u skladu s ovom Uredbom. To bi posebno trebalo obuhvatiti obradu u kontekstu aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade na državnom području njegove države članice, obradu osobnih podataka koju obavljaju tijela javne vlasti ili privatna tijela koja djeluju u javnom interesu obrađujući dotične ispitanike na svom državnom području ili obradu koju obavlja voditelj obrade ili izvršitelj obrade koji nema poslovni nastan u Uniji kada ciljni ispitanici borave na njegovu državnom području. To bi trebalo uključivati rješavanje pritužbi koje je podnio ispitanik, provođenje istraga o primjeni ove Uredbe i promicanje javne svijesti o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom osobnih podataka. |
| (123) | Die Aufsichtsbehörden sollten die Anwendung der Bestimmungen dieser Verordnung überwachen und zu ihrer einheitlichen Anwendung in der gesamten Union beitragen, um natürliche Personen im Hinblick auf die Verarbeitung ihrer Daten zu schützen und den freien Verkehr personenbezogener Daten im Binnenmarkt zu erleichtern. Zu diesem Zweck sollten die Aufsichtsbehörden untereinander und mit der Kommission zusammenarbeiten, ohne dass eine Vereinbarung zwischen den Mitgliedstaaten über die Leistung von Amtshilfe oder über eine derartige Zusammenarbeit erforderlich wäre. | (123) | The supervisory authorities should monitor the application of the provisions pursuant to this Regulation and contribute to its consistent application throughout the Union, in order to protect natural persons in relation to the processing of their personal data and to facilitate the free flow of personal data within the internal market. For that purpose, the supervisory authorities should cooperate with each other and with the Commission, without the need for any agreement between Member States on the provision of mutual assistance or on such cooperation. | (123) | Nadzorna tijela trebala bi pratiti primjenu odredaba iz ove Uredbe i doprinositi njezinoj dosljednoj primjeni u cijeloj Uniji kako bi zaštitila pojedince s obzirom na obradu njihovih osobnih podataka i olakšala slobodni protok osobnih podataka na unutarnjem tržištu. U tu svrhu nadzorna tijela trebala bi surađivati međusobno i s Komisijom, bez potrebe za bilo kakvim dogovorom između država članica o pružanju uzajamne pomoći ili o takvoj suradnji. |
| (124) | Findet die Verarbeitung personenbezogener Daten im Zusammenhang mit der Tätigkeit einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union statt und hat der Verantwortliche oder der Auftragsverarbeiter Niederlassungen in mehr als einem Mitgliedstaat oder hat die Verarbeitungstätigkeit im Zusammenhang mit der Tätigkeit einer einzigen Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat bzw. wird sie voraussichtlich solche Auswirkungen haben, so sollte die Aufsichtsbehörde für die Hauptniederlassung des Verantwortlichen oder Auftragsverarbeiters oder für die einzige Niederlassung des Verantwortlichen oder Auftragsverarbeiters als federführende Behörde fungieren. Sie sollte mit den anderen Behörden zusammenarbeiten, die betroffen sind, weil der Verantwortliche oder Auftragsverarbeiter eine Niederlassung im Hoheitsgebiet ihres Mitgliedstaats hat, weil die Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz in ihrem Hoheitsgebiet hat oder weil bei ihnen eine Beschwerde eingelegt wurde. Auch wenn eine betroffene Person ohne Wohnsitz in dem betreffenden Mitgliedstaat eine Beschwerde eingelegt hat, sollte die Aufsichtsbehörde, bei der Beschwerde eingelegt wurde, auch eine betroffene Aufsichtsbehörde sein. Der Ausschuss sollte — im Rahmen seiner Aufgaben in Bezug auf die Herausgabe von Leitlinien zu allen Fragen im Zusammenhang mit der Anwendung dieser Verordnung — insbesondere Leitlinien zu den Kriterien ausgeben können, die bei der Feststellung zu berücksichtigen sind, ob die fragliche Verarbeitung erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat und was einen maßgeblichen und begründeten Einspruch darstellt. | (124) | Where the processing of personal data takes place in the context of the activities of an establishment of a controller or a processor in the Union and the controller or processor is established in more than one Member State, or where processing taking place in the context of the activities of a single establishment of a controller or processor in the Union substantially affects or is likely to substantially affect data subjects in more than one Member State, the supervisory authority for the main establishment of the controller or processor or for the single establishment of the controller or processor should act as lead authority. It should cooperate with the other authorities concerned, because the controller or processor has an establishment on the territory of their Member State, because data subjects residing on their territory are substantially affected, or because a complaint has been lodged with them. Also where a data subject not residing in that Member State has lodged a complaint, the supervisory authority with which such complaint has been lodged should also be a supervisory authority concerned. Within its tasks to issue guidelines on any question covering the application of this Regulation, the Board should be able to issue guidelines in particular on the criteria to be taken into account in order to ascertain whether the processing in question substantially affects data subjects in more than one Member State and on what constitutes a relevant and reasoned objection. | (124) | Ako se obrada osobnih podataka odvija u kontekstu aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji, a voditelj obrade ili izvršitelj obrade imaju poslovni nastan u više od jedne države članice ili ako obrada koja se odvija u kontekstu aktivnosti jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji bitno utječe ili je izgledno da će bitno utjecati na ispitanike u više od jedne države članice, nadzorno tijelo za glavni poslovni nastan voditelja obrade ili izvršitelja obrade ili za jedini poslovni nastan voditelja obrade ili izvršitelja obrade trebalo bi djelovati kao vodeće tijelo. Ono bi trebalo surađivati s drugim predmetnim tijelima zato što voditelj obrade ili izvršitelj obrade ima poslovni nastan na državnom području njihove države članice, zato što to bitno utječe na ispitanike koji imaju boravište na njihovom državnom području ili zato što im je podnesena pritužba. Također, ako je pritužbu podnio ispitanik koji nema boravište u toj državi članici, nadzorno tijelo kojem je takva pritužba podnesena također bi trebalo biti predmetno nadzorno tijelo. U okviru zadaća za izdavanje smjernica o bilo kojem pitanju koje obuhvaća primjenu ove Uredbe, Odbor bi trebao imati mogućnost izdati smjernice posebno o kriterijima koje treba uzeti u obzir kako bi se utvrdilo utječe li predmetna obrada bitno na ispitanike u više od jedne države članice i o tome što predstavlja relevantan i obrazložen prigovor. |
| (125) | Die federführende Behörde sollte berechtigt sein, verbindliche Beschlüsse über Maßnahmen zu erlassen, mit denen die ihr gemäß dieser Verordnung übertragenen Befugnisse ausgeübt werden. In ihrer Eigenschaft als federführende Behörde sollte diese Aufsichtsbehörde für die enge Einbindung und Koordinierung der betroffenen Aufsichtsbehörden im Entscheidungsprozess sorgen. Wird beschlossen, die Beschwerde der betroffenen Person vollständig oder teilweise abzuweisen, so sollte dieser Beschluss von der Aufsichtsbehörde angenommen werden, bei der die Beschwerde eingelegt wurde. | (125) | The lead authority should be competent to adopt binding decisions regarding measures applying the powers conferred on it in accordance with this Regulation. In its capacity as lead authority, the supervisory authority should closely involve and coordinate the supervisory authorities concerned in the decision-making process. Where the decision is to reject the complaint by the data subject in whole or in part, that decision should be adopted by the supervisory authority with which the complaint has been lodged. | (125) | Vodeće tijelo trebalo bi biti nadležno za donošenje obvezujućih odluka o mjerama kojima se primjenjuju ovlasti koje su mu dodijeljene u skladu s ovom Uredbom. U svojem svojstvu vodećeg tijela nadzorno bi tijelo trebalo u velikoj mjeri uključivati i usklađivati predmetna nadzorna tijela u postupku donošenja odluka. Ako se donese odluka o odbacivanju pritužbe ispitanika u cijelosti ili djelomično, tu bi odluku trebalo donijeti nadzorno tijelo kojem je pritužba podnesena. |
| (126) | Der Beschluss sollte von der federführenden Aufsichtsbehörde und den betroffenen Aufsichtsbehörden gemeinsam vereinbart werden und an die Hauptniederlassung oder die einzige Niederlassung des Verantwortlichen oder Auftragsverarbeiters gerichtet sein und für den Verantwortlichen und den Auftragsverarbeiter verbindlich sein. Der Verantwortliche oder Auftragsverarbeiter sollte die erforderlichen Maßnahmen treffen, um die Einhaltung dieser Verordnung und die Umsetzung des Beschlusses zu gewährleisten, der der Hauptniederlassung des Verantwortlichen oder Auftragsverarbeiters im Hinblick auf die Verarbeitungstätigkeiten in der Union von der federführenden Aufsichtsbehörde mitgeteilt wurde. | (126) | The decision should be agreed jointly by the lead supervisory authority and the supervisory authorities concerned and should be directed towards the main or single establishment of the controller or processor and be binding on the controller and processor. The controller or processor should take the necessary measures to ensure compliance with this Regulation and the implementation of the decision notified by the lead supervisory authority to the main establishment of the controller or processor as regards the processing activities in the Union. | (126) | O odluci bi se trebali zajednički dogovoriti vodeće nadzorno tijelo i predmetno nadzorno tijelo te bi ona trebala biti usmjerena na glavni ili jedini poslovni nastan voditelja obrade ili izvršitelja obrade i biti obvezujuća za voditelja obrade i izvršitelja obrade. Voditelj obrade ili izvršitelj obrade trebali bi poduzeti potrebne mjere kako bi osigurali sukladnost s ovom Uredbom i provedbu odluke o kojoj je vodeće tijelo dalo obavijest glavnom nastanu voditelja obrade ili izvršitelja obrade u pogledu aktivnosti obrade u Uniji. |
| (127) | Jede Aufsichtsbehörde, die nicht als federführende Aufsichtsbehörde fungiert, sollte in örtlichen Fällen zuständig sein, wenn der Verantwortliche oder Auftragsverarbeiter Niederlassungen in mehr als einem Mitgliedstaat hat, der Gegenstand der spezifischen Verarbeitung aber nur die Verarbeitungstätigkeiten in einem einzigen Mitgliedstaat und nur betroffene Personen in diesem einen Mitgliedstaat betrifft, beispielsweise wenn es um die Verarbeitung von personenbezogenen Daten von Arbeitnehmern im spezifischen Beschäftigungskontext eines Mitgliedstaats geht. In solchen Fällen sollte die Aufsichtsbehörde unverzüglich die federführende Aufsichtsbehörde über diese Angelegenheit unterrichten. Nach ihrer Unterrichtung sollte die federführende Aufsichtsbehörde entscheiden, ob sie den Fall nach den Bestimmungen zur Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen Aufsichtsbehörden gemäß der Vorschrift zur Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen Aufsichtsbehörden (im Folgenden „Verfahren der Zusammenarbeit und Kohärenz“) regelt oder ob die Aufsichtsbehörde, die sie unterrichtet hat, den Fall auf örtlicher Ebene regeln sollte. Dabei sollte die federführende Aufsichtsbehörde berücksichtigen, ob der Verantwortliche oder der Auftragsverarbeiter in dem Mitgliedstaat, dessen Aufsichtsbehörde sie unterrichtet hat, eine Niederlassung hat, damit Beschlüsse gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter wirksam durchgesetzt werden. Entscheidet die federführende Aufsichtsbehörde, den Fall selbst zu regeln, sollte die Aufsichtsbehörde, die sie unterrichtet hat, die Möglichkeit haben, einen Beschlussentwurf vorzulegen, dem die federführende Aufsichtsbehörde bei der Ausarbeitung ihres Beschlussentwurfs im Rahmen dieses Verfahrens der Zusammenarbeit und Kohärenz weitestgehend Rechnung tragen sollte. | (127) | Each supervisory authority not acting as the lead supervisory authority should be competent to handle local cases where the controller or processor is established in more than one Member State, but the subject matter of the specific processing concerns only processing carried out in a single Member State and involves only data subjects in that single Member State, for example, where the subject matter concerns the processing of employees' personal data in the specific employment context of a Member State. In such cases, the supervisory authority should inform the lead supervisory authority without delay about the matter. After being informed, the lead supervisory authority should decide, whether it will handle the case pursuant to the provision on cooperation between the lead supervisory authority and other supervisory authorities concerned (‘one-stop-shop mechanism’), or whether the supervisory authority which informed it should handle the case at local level. When deciding whether it will handle the case, the lead supervisory authority should take into account whether there is an establishment of the controller or processor in the Member State of the supervisory authority which informed it in order to ensure effective enforcement of a decision vis-à-vis the controller or processor. Where the lead supervisory authority decides to handle the case, the supervisory authority which informed it should have the possibility to submit a draft for a decision, of which the lead supervisory authority should take utmost account when preparing its draft decision in that one-stop-shop mechanism. | (127) | Svako nadzorno tijelo koje ne djeluje kao vodeće nadzorno tijelo trebalo bi biti nadležno za rješavanje lokalnih slučajeva ako voditelj obrade ili izvršitelj obrade ima poslovni nastan u više od jedne države članice, ali se predmet posebne obrade odnosi samo na obradu obavljenu u jednoj državi članici koja uključuje samo ispitanike u toj jednoj državi članici, na primjer, ako se predmet odnosi na obradu osobnih podataka o zaposlenicima u posebnom kontekstu zaposlenja u određenoj državi članici. U takvim slučajevima nadzorno tijelo trebalo bi o tom pitanju bez odgode obavijestiti vodeće nadzorno tijelo. Nakon što primi obavijest, vodeće nadzorno tijelo trebalo bi odlučiti o tome hoće li predmet rješavati na temelju odredbe o suradnji između vodećeg nadzornog tijela i drugih predmetnih nadzornih tijela („jedinstveni mehanizam”), ili bi ga na lokalnoj razini trebalo rješavati nadzorno tijelo koje mu je uputilo obavijest. Pri donošenju odluke o tome hoće li rješavati predmet, vodeće nadzorno tijelo trebalo bi voditi računa o tome ima li voditelj obrade ili izvršitelj obrade poslovni nastan u državi članici nadzornog tijela koje je uputilo obavijest, kako bi se osiguralo djelotvorno izvršenje odluke u odnosu na voditelja obrade ili izvršitelja obrade. Kada vodeće nadzorno tijelo odluči rješavati predmet, nadzorno tijelo koje mu je uputilo obavijest trebalo bi biti u mogućnosti podnijeti nacrt odluke, koji bi vodeće nadzorno tijelo trebalo što je više moguće uzeti u obzir prilikom pripreme svojeg nacrta odluke u okviru jedinstvenog mehanizma. |
| (128) | Die Vorschriften über die federführende Behörde und das Verfahren der Zusammenarbeit und Kohärenz sollten keine Anwendung finden, wenn die Verarbeitung durch Behörden oder private Stellen im öffentlichen Interesse erfolgt. In diesen Fällen sollte die Aufsichtsbehörde des Mitgliedstaats, in dem die Behörde oder private Einrichtung ihren Sitz hat, die einzige Aufsichtsbehörde sein, die dafür zuständig ist, die Befugnisse auszuüben, die ihr mit dieser Verordnung übertragen wurden. | (128) | The rules on the lead supervisory authority and the one-stop-shop mechanism should not apply where the processing is carried out by public authorities or private bodies in the public interest. In such cases the only supervisory authority competent to exercise the powers conferred to it in accordance with this Regulation should be the supervisory authority of the Member State where the public authority or private body is established. | (128) | Pravila o vodećem nadzornom tijelu i jedinstvenom mehanizmu ne bi se smjela primjenjivati ako obradu obavljaju tijela javne vlasti ili privatna tijela koja djeluju u javnom interesu. U takvim slučajevima jedino nadzorno tijelo nadležno za izvršavanje ovlasti koje su mu dodijeljene u skladu s ovom Uredbom trebalo bi biti nadzorno tijelo države članice u kojoj tijelo javne vlasti ili privatno tijelo ima poslovni nastan. |
| (129) | Um die einheitliche Überwachung und Durchsetzung dieser Verordnung in der gesamten Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und wirksamen Befugnisse haben, darunter, insbesondere im Fall von Beschwerden natürlicher Personen, Untersuchungsbefugnisse, Abhilfebefugnisse und Sanktionsbefugnisse und Genehmigungsbefugnisse und beratende Befugnisse, sowie — unbeschadet der Befugnisse der Strafverfolgungsbehörden nach dem Recht der Mitgliedstaaten — die Befugnis, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und Gerichtsverfahren anzustrengen. Dazu sollte auch die Befugnis zählen, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen. Die Mitgliedstaaten können andere Aufgaben im Zusammenhang mit dem Schutz personenbezogener Daten im Rahmen dieser Verordnung festlegen. Die Befugnisse der Aufsichtsbehörden sollten in Übereinstimmung mit den geeigneten Verfahrensgarantien nach dem Unionsrecht und dem Recht der Mitgliedstaaten unparteiisch, gerecht und innerhalb einer angemessenen Frist ausgeübt werden. Insbesondere sollte jede Maßnahme im Hinblick auf die Gewährleistung der Einhaltung dieser Verordnung geeignet, erforderlich und verhältnismäßig sein, wobei die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind, das Recht einer jeden Person, gehört zu werden, bevor eine individuelle Maßnahme getroffen wird, die nachteilige Auswirkungen auf diese Person hätte, zu achten ist und überflüssige Kosten und übermäßige Unannehmlichkeiten für die Betroffenen zu vermeiden sind. Untersuchungsbefugnisse im Hinblick auf den Zugang zu Räumlichkeiten sollten im Einklang mit besonderen Anforderungen im Verfahrensrecht der Mitgliedstaaten ausgeübt werden, wie etwa dem Erfordernis einer vorherigen richterlichen Genehmigung. Jede rechtsverbindliche Maßnahme der Aufsichtsbehörde sollte schriftlich erlassen werden und sie sollte klar und eindeutig sein; die Aufsichtsbehörde, die die Maßnahme erlassen hat, und das Datum, an dem die Maßnahme erlassen wurde, sollten angegeben werden und die Maßnahme sollte vom Leiter oder von einem von ihm bevollmächtigen Mitglied der Aufsichtsbehörde unterschrieben sein und eine Begründung für die Maßnahme sowie einen Hinweis auf das Recht auf einen wirksamen Rechtsbehelf enthalten. Dies sollte zusätzliche Anforderungen nach dem Verfahrensrecht der Mitgliedstaaten nicht ausschließen. Der Erlass eines rechtsverbindlichen Beschlusses setzt voraus, dass er in dem Mitgliedstaat der Aufsichtsbehörde, die den Beschluss erlassen hat, gerichtlich überprüft werden kann. | (129) | In order to ensure consistent monitoring and enforcement of this Regulation throughout the Union, the supervisory authorities should have in each Member State the same tasks and effective powers, including powers of investigation, corrective powers and sanctions, and authorisation and advisory powers, in particular in cases of complaints from natural persons, and without prejudice to the powers of prosecutorial authorities under Member State law, to bring infringements of this Regulation to the attention of the judicial authorities and engage in legal proceedings. Such powers should also include the power to impose a temporary or definitive limitation, including a ban, on processing. Member States may specify other tasks related to the protection of personal data under this Regulation. The powers of supervisory authorities should be exercised in accordance with appropriate procedural safeguards set out in Union and Member State law, impartially, fairly and within a reasonable time. In particular each measure should be appropriate, necessary and proportionate in view of ensuring compliance with this Regulation, taking into account the circumstances of each individual case, respect the right of every person to be heard before any individual measure which would affect him or her adversely is taken and avoid superfluous costs and excessive inconveniences for the persons concerned. Investigatory powers as regards access to premises should be exercised in accordance with specific requirements in Member State procedural law, such as the requirement to obtain a prior judicial authorisation. Each legally binding measure of the supervisory authority should be in writing, be clear and unambiguous, indicate the supervisory authority which has issued the measure, the date of issue of the measure, bear the signature of the head, or a member of the supervisory authority authorised by him or her, give the reasons for the measure, and refer to the right of an effective remedy. This should not preclude additional requirements pursuant to Member State procedural law. The adoption of a legally binding decision implies that it may give rise to judicial review in the Member State of the supervisory authority that adopted the decision. | (129) | Kako bi se osiguralo dosljedno praćenje i provedba ove Uredbe u cijeloj Uniji, nadzorna tijela trebala bi u svakoj državi članici imati iste zadaće i stvarne ovlasti, među ostalim ovlasti za vođenje istrage, korektivne ovlasti i sankcije te ovlasti za davanje odobrenja i savjetodavne ovlasti, posebno u slučajevima pritužbi pojedinaca, te ne dovodeći u pitanje ovlasti tijelâ kaznenog progona u skladu s pravom države članice, za upozoravanje pravosudnih tijela na kršenja ove Uredbe i sudjelovanje u pravnim postupcima. Takve bi ovlasti također trebale obuhvaćati ovlast za izricanje privremenog ili konačnog ograničenja obrade, uključujući zabranu. Države članice mogu navesti druge zadaće u vezi sa zaštitom osobnih podataka u skladu s ovom Uredbom. Ovlasti nadzornih tijela trebale bi se izvršavati u skladu s primjerenim postupovnim zaštitnim mjerama utvrđenima u pravu Unije i pravu države članice nepristrano, pošteno i u razumnom roku. Konkretno, svaka bi mjera trebala biti primjerena, nužna i proporcionalna s ciljem osiguranja sukladnosti s ovom Uredbom, uzimajući u obzir okolnosti svakog pojedinačnog slučaja, poštovanje prava svake osobe da se sasluša prije poduzimanja bilo koje pojedinačne mjere koja bi štetno utjecala na nju te izbjegavanje suvišnih troškova i prekomjernih neugodnosti za dotične osobe. Ovlasti za vođenje istrage u pogledu pristupa objektima trebale bi se izvršavati u skladu s posebnim zahtjevima postupovnog prava države članice, poput zahtjeva za dobivanje prethodnog sudskog ovlaštenja. Svaka pravno obvezujuća mjera nadzornog tijela trebala bi biti u pisanom obliku, biti jasna i jednoznačna, navoditi nadzorno tijelo koje je izdalo mjeru, datum izdavanja mjere, sadržavati potpis predsjednika ili člana nadzornog tijela kojeg je on ovlastio, navoditi razloge za tu mjeru i upućivati na pravo na učinkoviti pravni lijek. Time se ne bi trebali isključiti dodatni zahtjevi na temelju postupovnog prava države članice. Donošenje pravno obvezujuće odluke podrazumijeva da to može dovesti do sudskog preispitivanja u državi članici nadzornog tijela koje je donijelo određenu odluku. |
| (130) | Ist die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, nicht die federführende Aufsichtsbehörde, so sollte die federführende Aufsichtsbehörde gemäß den Bestimmungen dieser Verordnung über Zusammenarbeit und Kohärenz eng mit der Aufsichtsbehörde zusammenarbeiten, bei der die Beschwerde eingereicht wurde. In solchen Fällen sollte die federführende Aufsichtsbehörde bei Maßnahmen, die rechtliche Wirkungen entfalten sollen, unter anderem bei der Verhängung von Geldbußen, den Standpunkt der Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde und die weiterhin befugt sein sollte, in Abstimmung mit der zuständigen Aufsichtsbehörde Untersuchungen im Hoheitsgebiet ihres eigenen Mitgliedstaats durchzuführen, weitestgehend berücksichtigen. | (130) | Where the supervisory authority with which the complaint has been lodged is not the lead supervisory authority, the lead supervisory authority should closely cooperate with the supervisory authority with which the complaint has been lodged in accordance with the provisions on cooperation and consistency laid down in this Regulation. In such cases, the lead supervisory authority should, when taking measures intended to produce legal effects, including the imposition of administrative fines, take utmost account of the view of the supervisory authority with which the complaint has been lodged and which should remain competent to carry out any investigation on the territory of its own Member State in liaison with the competent supervisory authority. | (130) | Ako nadzorno tijelo kojem je podnesena pritužba nije vodeće nadzorno tijelo, vodeće nadzorno tijelo trebalo bi usko surađivati s nadzornim tijelom kojem je podnesena pritužba u skladu s odredbama o suradnji i konzistentnosti iz ove Uredbe. U takvim slučajevima vodeće nadzorno tijelo trebalo bi, kada poduzima mjere kojima se proizvode pravni učinci, među ostalim nametanje upravnih novčanih kazni, osobito voditi računa o mišljenju nadzornog tijela kojem je podnesena pritužba i koje bi trebalo ostati nadležno za provedbu istrage na državnom području svoje države članice u vezi s vodećim nadzornim tijelom. |
| (131) | Wenn eine andere Aufsichtsbehörde als federführende Aufsichtsbehörde für die Verarbeitungstätigkeiten des Verantwortlichen oder des Auftragsverarbeiters fungieren sollte, der konkrete Gegenstand einer Beschwerde oder der mögliche Verstoß jedoch nur die Verarbeitungstätigkeiten des Verantwortlichen oder des Auftragsverarbeiters in dem Mitgliedstaat betrifft, in dem die Beschwerde eingereicht wurde oder der mögliche Verstoß aufgedeckt wurde, und die Angelegenheit keine erheblichen Auswirkungen auf betroffene Personen in anderen Mitgliedstaaten hat oder haben dürfte, sollte die Aufsichtsbehörde, bei der eine Beschwerde eingereicht wurde oder die Situationen, die mögliche Verstöße gegen diese Verordnung darstellen, aufgedeckt hat bzw. auf andere Weise darüber informiert wurde, versuchen, eine gütliche Einigung mit dem Verantwortlichen zu erzielen; falls sich dies als nicht erfolgreich erweist, sollte sie die gesamte Bandbreite ihrer Befugnisse wahrnehmen. Dies sollte auch Folgendes umfassen: die spezifische Verarbeitung im Hoheitsgebiet des Mitgliedstaats der Aufsichtsbehörde oder im Hinblick auf betroffene Personen im Hoheitsgebiet dieses Mitgliedstaats; die Verarbeitung im Rahmen eines Angebots von Waren oder Dienstleistungen, das speziell auf betroffene Personen im Hoheitsgebiet des Mitgliedstaats der Aufsichtsbehörde ausgerichtet ist; oder eine Verarbeitung, die unter Berücksichtigung der einschlägigen rechtlichen Verpflichtungen nach dem Recht der Mitgliedstaaten bewertet werden muss. | (131) | Where another supervisory authority should act as a lead supervisory authority for the processing activities of the controller or processor but the concrete subject matter of a complaint or the possible infringement concerns only processing activities of the controller or processor in the Member State where the complaint has been lodged or the possible infringement detected and the matter does not substantially affect or is not likely to substantially affect data subjects in other Member States, the supervisory authority receiving a complaint or detecting or being informed otherwise of situations that entail possible infringements of this Regulation should seek an amicable settlement with the controller and, if this proves unsuccessful, exercise its full range of powers. This should include: specific processing carried out in the territory of the Member State of the supervisory authority or with regard to data subjects on the territory of that Member State; processing that is carried out in the context of an offer of goods or services specifically aimed at data subjects in the territory of the Member State of the supervisory authority; or processing that has to be assessed taking into account relevant legal obligations under Member State law. | (131) | Kada bi drugo nadzorno tijelo trebalo djelovati kao vodeće nadzorno tijelo za aktivnosti obrade voditelja obrade ili izvršitelja obrade, ali se konkretni predmet pritužbe ili moguća povreda odnosi samo na aktivnosti obrade voditelja obrade ili izvršitelja obrade u državi članici u kojoj je podnesena pritužba ili otkrivena moguća povreda i predmet znatno ne utječe ili vjerojatno neće znatno utjecati na ispitanike u drugim državama članicama, nadzorno tijelo koje zaprimi pritužbu ili otkrije situacije u kojima dolazi do mogućih kršenja ove Uredbe ili je o njima na drugi način obaviješteno trebalo bi težiti sporazumnom rješenju s voditeljem obrade i, ako se to pokaže neuspješnim, primijeniti sve svoje ovlasti. To bi trebalo uključivati posebnu obradu koja se obavlja na državnom području države članice nadzornog tijela ili u pogledu ispitanika na državnom području te države članice, obradu koja se obavlja u kontekstu ponude robe ili usluga koja je posebno namijenjena ispitanicima na državnom području države članice nadzornog tijela, ili obradu koja se treba procijeniti uzimajući u obzir relevantne pravne obveze u skladu s pravom države članice. |
| (132) | Auf die Öffentlichkeit ausgerichtete Sensibilisierungsmaßnahmen der Aufsichtsbehörden sollten spezifische Maßnahmen einschließen, die sich an die Verantwortlichen und die Auftragsverarbeiter, einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen, und an natürliche Personen, insbesondere im Bildungsbereich, richten. | (132) | Awareness-raising activities by supervisory authorities addressed to the public should include specific measures directed at controllers and processors, including micro, small and medium-sized enterprises, as well as natural persons in particular in the educational context. | (132) | Aktivnosti nadzornih tijela za podizanje svijesti javnosti trebale bi uključivati posebne mjere za voditelje obrade i izvršitelje obrade, uključujući mikropoduzeća, mala i srednja poduzeća kao i pojedince, posebno u kontekstu obrazovanja. |
| (133) | Die Aufsichtsbehörden sollten sich gegenseitig bei der Erfüllung ihrer Aufgaben unterstützen und Amtshilfe leisten, damit eine einheitliche Anwendung und Durchsetzung dieser Verordnung im Binnenmarkt gewährleistet ist. Eine Aufsichtsbehörde, die um Amtshilfe ersucht hat, kann eine einstweilige Maßnahme erlassen, wenn sie nicht binnen eines Monats nach Eingang des Amtshilfeersuchens bei der ersuchten Aufsichtsbehörde eine Antwort von dieser erhalten hat. | (133) | The supervisory authorities should assist each other in performing their tasks and provide mutual assistance, so as to ensure the consistent application and enforcement of this Regulation in the internal market. A supervisory authority requesting mutual assistance may adopt a provisional measure if it receives no response to a request for mutual assistance within one month of the receipt of that request by the other supervisory authority. | (133) | Nadzorna tijela trebala bi pomagati jedna drugima u obavljanju svojih zadaća i pružati si uzajamnu pomoć radi osiguravanja dosljedne primjene i provedbe Uredbe na unutarnjem tržištu. Nadzorno tijelo koje zatraži uzajamnu pomoć može donijeti privremenu mjeru ako ne primi odgovor na zahtjev za uzajamnu pomoć u roku od mjesec dana od primitka zahtjeva od strane drugog nadzornog tijela. |
| (134) | Jede Aufsichtsbehörde sollte gegebenenfalls an gemeinsamen Maßnahmen von anderen Aufsichtsbehörden teilnehmen. Die ersuchte Aufsichtsbehörde sollte auf das Ersuchen binnen einer bestimmten Frist antworten müssen. | (134) | Each supervisory authority should, where appropriate, participate in joint operations with other supervisory authorities. The requested supervisory authority should be obliged to respond to the request within a specified time period. | (134) | Svako nadzorno tijelo trebalo bi prema potrebi sudjelovati u zajedničkim operacijama s drugim nadzornim tijelima. Nadzorno tijelo koje primi zahtjev trebalo bi biti obvezno odgovoriti na zahtjev u zadanom roku. |
| (135) | Um die einheitliche Anwendung dieser Verordnung in der gesamten Union sicherzustellen, sollte ein Verfahren zur Gewährleistung einer einheitlichen Rechtsanwendung (Kohärenzverfahren) für die Zusammenarbeit zwischen den Aufsichtsbehörden eingeführt werden. Dieses Verfahren sollte insbesondere dann angewendet werden, wenn eine Aufsichtsbehörde beabsichtigt, eine Maßnahme zu erlassen, die rechtliche Wirkungen in Bezug auf Verarbeitungsvorgänge entfalten soll, die für eine bedeutende Zahl betroffener Personen in mehreren Mitgliedstaaten erhebliche Auswirkungen haben. Ferner sollte es zur Anwendung kommen, wenn eine betroffene Aufsichtsbehörde oder die Kommission beantragt, dass die Angelegenheit im Rahmen des Kohärenzverfahrens behandelt wird. Dieses Verfahren sollte andere Maßnahmen, die die Kommission möglicherweise in Ausübung ihrer Befugnisse nach den Verträgen trifft, unberührt lassen. | (135) | In order to ensure the consistent application of this Regulation throughout the Union, a consistency mechanism for cooperation between the supervisory authorities should be established. That mechanism should in particular apply where a supervisory authority intends to adopt a measure intended to produce legal effects as regards processing operations which substantially affect a significant number of data subjects in several Member States. It should also apply where any supervisory authority concerned or the Commission requests that such matter should be handled in the consistency mechanism. That mechanism should be without prejudice to any measures that the Commission may take in the exercise of its powers under the Treaties. | (135) | Radi osiguravanja dosljedne primjene ove Uredbe u cijeloj Uniji trebalo bi uspostaviti mehanizam konzistentnosti za suradnju među nadzornim tijelima. Taj bi se mehanizam posebno trebao primjenjivati ako nadzorno tijelo namjerava donijeti mjeru kojom se poduzimaju pravni učinci u pogledu postupaka obrade koji bitno utječu na veliki broj ispitanika u više država članica. Također bi se trebao primjenjivati kada bilo koje predmetno nadzorno tijelo ili Komisija traži da se takva pitanja rješavaju mehanizmom konzistentnosti. Taj mehanizam ne bi trebao utjecati na bilo koje mjere koje Komisija može poduzeti za izvršavanje svojih ovlasti prema Ugovorima. |
| (136) | Bei Anwendung des Kohärenzverfahrens sollte der Ausschuss, falls von der Mehrheit seiner Mitglieder so entschieden wird oder falls eine andere betroffene Aufsichtsbehörde oder die Kommission darum ersuchen, binnen einer festgelegten Frist eine Stellungnahme abgeben. Dem Ausschuss sollte auch die Befugnis übertragen werden, bei Streitigkeiten zwischen Aufsichtsbehörden rechtsverbindliche Beschlüsse zu erlassen. Zu diesem Zweck sollte er in klar bestimmten Fällen, in denen die Aufsichtsbehörden insbesondere im Rahmen des Verfahrens der Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den betroffenen Aufsichtsbehörden widersprüchliche Standpunkte zu dem Sachverhalt, vor allem in der Frage, ob ein Verstoß gegen diese Verordnung vorliegt, vertreten, grundsätzlich mit einer Mehrheit von zwei Dritteln seiner Mitglieder rechtsverbindliche Beschlüsse erlassen. | (136) | In applying the consistency mechanism, the Board should, within a determined period of time, issue an opinion, if a majority of its members so decides or if so requested by any supervisory authority concerned or the Commission. The Board should also be empowered to adopt legally binding decisions where there are disputes between supervisory authorities. For that purpose, it should issue, in principle by a two-thirds majority of its members, legally binding decisions in clearly specified cases where there are conflicting views among supervisory authorities, in particular in the cooperation mechanism between the lead supervisory authority and supervisory authorities concerned on the merits of the case, in particular whether there is an infringement of this Regulation. | (136) | Primjenjujući mehanizam konzistentnosti, Odbor bi trebao u određenom vremenskom roku dati mišljenje, ako većina njegovih članova tako odluči ili ako to zatraži bilo koje predmetno nadzorno tijelo ili Komisija. Odbor bi također trebao biti ovlašten za donošenje pravno obvezujućih odluka u slučaju sporova između nadzornih tijela. U tu svrhu trebao bi izdati, u načelu dvotrećinskom većinom svojih članova, pravno obvezujuće odluke u jasno određenim slučajevima u kojima postoje sukobljena stajališta među nadzornim tijelima posebno u mehanizmu za suradnju između vodećeg nadzornog tijela i predmetnog nadzornog tijela o meritumu predmeta, osobito o tome je li došlo do kršenja ove Uredbe. |
| (137) | Es kann dringender Handlungsbedarf zum Schutz der Rechte und Freiheiten von betroffenen Personen bestehen, insbesondere wenn eine erhebliche Behinderung der Durchsetzung des Rechts einer betroffenen Person droht. Eine Aufsichtsbehörde sollte daher hinreichend begründete einstweilige Maßnahmen in ihrem Hoheitsgebiet mit einer festgelegten Geltungsdauer von höchstens drei Monaten erlassen können. | (137) | There may be an urgent need to act in order to protect the rights and freedoms of data subjects, in particular when the danger exists that the enforcement of a right of a data subject could be considerably impeded. A supervisory authority should therefore be able to adopt duly justified provisional measures on its territory with a specified period of validity which should not exceed three months. | (137) | Može doći do hitne potrebe za djelovanjem kako bi se zaštitila prava i slobode ispitanika, osobito ako postoji opasnost da bi se provedba prava ispitanika mogla u većoj mjeri narušiti. Nadzorno tijelo trebalo bi imati mogućnost donijeti opravdane privremene mjere na svojem državnom području s utvrđenim razdobljem valjanosti koje ne bi trebalo biti duže od tri mjeseca. |
| (138) | Die Anwendung dieses Verfahrens sollte in den Fällen, in denen sie verbindlich vorgeschrieben ist, eine Bedingung für die Rechtmäßigkeit einer Maßnahme einer Aufsichtsbehörde sein, die rechtliche Wirkungen entfalten soll. In anderen Fällen von grenzüberschreitender Relevanz sollte das Verfahren der Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den betroffenen Aufsichtsbehörden zur Anwendung gelangen, und die betroffenen Aufsichtsbehörden können auf bilateraler oder multilateraler Ebene Amtshilfe leisten und gemeinsame Maßnahmen durchführen, ohne auf das Kohärenzverfahren zurückzugreifen. | (138) | The application of such mechanism should be a condition for the lawfulness of a measure intended to produce legal effects by a supervisory authority in those cases where its application is mandatory. In other cases of cross-border relevance, the cooperation mechanism between the lead supervisory authority and supervisory authorities concerned should be applied and mutual assistance and joint operations might be carried out between the supervisory authorities concerned on a bilateral or multilateral basis without triggering the consistency mechanism. | (138) | Primjena takvog mehanizma trebala bi biti uvjet za zakonitost mjere nadzornog tijela kojom se proizvode pravni učinci u slučajevima kada je njezina primjena obvezna. U ostalim slučajevima od prekogranične važnosti trebalo bi primijeniti mehanizam za suradnju između vodećeg nadzornog tijela i predmetnih nadzornih tijela te bi se među predmetnim nadzornim tijelima mogla davati uzajamna pomoć i obavljati zajedničke operacije na bilateralnoj ili multilateralnoj osnovi, bez aktiviranja mehanizma konzistentnosti. |
| (139) | Zur Förderung der einheitlichen Anwendung dieser Verordnung sollte der Ausschuss als unabhängige Einrichtung der Union eingesetzt werden. Damit der Ausschuss seine Ziele erreichen kann, sollte er Rechtspersönlichkeit besitzen. Der Ausschuss sollte von seinem Vorsitz vertreten werden. Er sollte die mit der Richtlinie 95/46/EG eingesetzte Arbeitsgruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten ersetzen. Er sollte aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten oder deren jeweiligen Vertretern gebildet werden. An den Beratungen des Ausschusses sollte die Kommission ohne Stimmrecht teilnehmen und der Europäische Datenschutzbeauftragte sollte spezifische Stimmrechte haben. Der Ausschuss sollte zur einheitlichen Anwendung der Verordnung in der gesamten Union beitragen, die Kommission insbesondere im Hinblick auf das Schutzniveau in Drittländern oder internationalen Organisationen beraten und die Zusammenarbeit der Aufsichtsbehörden in der Union fördern. Der Ausschuss sollte bei der Erfüllung seiner Aufgaben unabhängig handeln. | (139) | In order to promote the consistent application of this Regulation, the Board should be set up as an independent body of the Union. To fulfil its objectives, the Board should have legal personality. The Board should be represented by its Chair. It should replace the Working Party on the Protection of Individuals with Regard to the Processing of Personal Data established by Directive 95/46/EC. It should consist of the head of a supervisory authority of each Member State and the European Data Protection Supervisor or their respective representatives. The Commission should participate in the Board's activities without voting rights and the European Data Protection Supervisor should have specific voting rights. The Board should contribute to the consistent application of this Regulation throughout the Union, including by advising the Commission, in particular on the level of protection in third countries or international organisations, and promoting cooperation of the supervisory authorities throughout the Union. The Board should act independently when performing its tasks. | (139) | Kako bi se promicala dosljedna primjena ove Uredbe, Odbor bi trebalo osnovati kao neovisno tijelo Unije. Kako bi ispunio svoje ciljeve, Europski odbor za zaštitu podataka trebao bi imati pravnu osobnost. Odbor bi trebao predstavljati njegov predsjednik. On bi trebao zamijeniti Radnu skupinu za zaštitu pojedinaca u vezi s obradom osobnih podataka osnovanu Direktivom 95/46/EZ. Trebao bi se sastojati od predsjednika nadzornog tijela svake države članice i Europskog nadzornika za zaštitu podataka ili njihovih zamjenika. Komisija bi trebala sudjelovati u aktivnostima Odbora bez prava glasa, a Europski nadzornik za zaštitu podataka trebao bi imati posebno pravo glasa. Odbor bi trebao doprinijeti dosljednoj primjeni ove Uredbe u cijeloj Uniji, među ostalim savjetovanjem Komisije, osobito o razini zaštite u trećim zemljama ili međunarodnim organizacijama, te promicanjem suradnje nadzornih tijela u cijeloj Uniji. Pri izvršavanju svojih zadaća Odbor bi trebao djelovati neovisno. |
| (140) | Der Ausschusssollte von einem Sekretariat unterstützt werden, das von dem Europäischen Datenschutzbeauftragten bereitgestellt wird. Das Personal des Europäischen Datenschutzbeauftragten, das an der Wahrnehmung der dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben beteiligt ist, sollte diese Aufgaben ausschließlich gemäß den Anweisungen des Vorsitzes des Ausschusses durchführen und diesem Bericht erstatten. | (140) | The Board should be assisted by a secretariat provided by the European Data Protection Supervisor. The staff of the European Data Protection Supervisor involved in carrying out the tasks conferred on the Board by this Regulation should perform its tasks exclusively under the instructions of, and report to, the Chair of the Board. | (140) | Odboru bi trebalo pomagati tajništvo koje osigurava Europski nadzornik za zaštitu podataka. Osoblje Europskog nadzornika za zaštitu podataka koje sudjeluje u izvršavanju zadaća povjerenih Odboru temeljem ove Uredbe trebalo bi biti odgovorno predsjedniku Odbora te svoje zadaće obavljati isključivo prema njegovim uputama. |
| (141) | Jede betroffene Person sollte das Recht haben, bei einer einzigen Aufsichtsbehörde insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts eine Beschwerde einzureichen und gemäß Artikel 47 der Charta einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten gemäß dieser Verordnung verletzt sieht oder wenn die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Die Aufsichtsbehörde sollte die betroffene Person innerhalb eines angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde unterrichten. Sollten weitere Untersuchungen oder die Abstimmung mit einer anderen Aufsichtsbehörde erforderlich sein, sollte die betroffene Person über den Zwischenstand informiert werden. Jede Aufsichtsbehörde sollte Maßnahmen zur Erleichterung der Einreichung von Beschwerden treffen, wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden. | (141) | Every data subject should have the right to lodge a complaint with a single supervisory authority, in particular in the Member State of his or her habitual residence, and the right to an effective judicial remedy in accordance with Article 47 of the Charter if the data subject considers that his or her rights under this Regulation are infringed or where the supervisory authority does not act on a complaint, partially or wholly rejects or dismisses a complaint or does not act where such action is necessary to protect the rights of the data subject. The investigation following a complaint should be carried out, subject to judicial review, to the extent that is appropriate in the specific case. The supervisory authority should inform the data subject of the progress and the outcome of the complaint within a reasonable period. If the case requires further investigation or coordination with another supervisory authority, intermediate information should be given to the data subject. In order to facilitate the submission of complaints, each supervisory authority should take measures such as providing a complaint submission form which can also be completed electronically, without excluding other means of communication. | (141) | Svaki bi ispitanik trebao imati pravo podnijeti pritužbu jednom nadzornom tijelu, posebno u državi članici u kojoj ima uobičajeno boravište i imati pravo na učinkoviti pravni lijek u skladu s člankom 47. Povelje ako ispitanik smatra da su prekršena njegova prava iz ove Uredbe ili ako nadzorno tijelo ne postupi po pritužbi, djelomično ili u potpunosti odbaci ili odbije pritužbu ili ne djeluje kada je takvo djelovanje nužno radi zaštite prava ispitanika. Nakon pritužbe trebalo bi provesti istragu, podložno sudskom preispitivanju, u onoj mjeri u kojoj je to određenom slučaju prikladno. Nadzorno bi tijelo trebalo u razumnom roku izvijestiti ispitanika o napretku i ishodu pritužbe. Ako slučaj zahtijeva dodatnu istragu ili koordinaciju s drugim nadzornim tijelom, ispitaniku bi trebalo dati privremene informacije. Kako bi se olakšalo podnošenje pritužbi, svako nadzorno tijelo trebalo bi poduzeti mjere poput osiguranja obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući ostala sredstva komunikacije. |
| (142) | Betroffene Personen, die sich in ihren Rechten gemäß dieser Verordnung verletzt sehen, sollten das Recht haben, nach dem Recht eines Mitgliedstaats gegründete Einrichtungen, Organisationen oder Verbände ohne Gewinnerzielungsabsicht, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes personenbezogener Daten tätig sind, zu beauftragen, in ihrem Namen Beschwerde bei einer Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen oder das Recht auf Schadensersatz in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. Die Mitgliedstaaten können vorsehen, dass diese Einrichtungen, Organisationen oder Verbände das Recht haben, unabhängig vom Auftrag einer betroffenen Person in dem betreffenden Mitgliedstaat eine eigene Beschwerde einzulegen, und das Recht auf einen wirksamen gerichtlichen Rechtsbehelf haben sollten, wenn sie Grund zu der Annahme haben, dass die Rechte der betroffenen Person infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung verletzt worden sind. Diesen Einrichtungen, Organisationen oder Verbänden kann unabhängig vom Auftrag einer betroffenen Person nicht gestattet werden, im Namen einer betroffenen Person Schadenersatz zu verlangen. | (142) | Where a data subject considers that his or her rights under this Regulation are infringed, he or she should have the right to mandate a not-for-profit body, organisation or association which is constituted in accordance with the law of a Member State, has statutory objectives which are in the public interest and is active in the field of the protection of personal data to lodge a complaint on his or her behalf with a supervisory authority, exercise the right to a judicial remedy on behalf of data subjects or, if provided for in Member State law, exercise the right to receive compensation on behalf of data subjects. A Member State may provide for such a body, organisation or association to have the right to lodge a complaint in that Member State, independently of a data subject's mandate, and the right to an effective judicial remedy where it has reasons to consider that the rights of a data subject have been infringed as a result of the processing of personal data which infringes this Regulation. That body, organisation or association may not be allowed to claim compensation on a data subject's behalf independently of the data subject's mandate. | (142) | Ako ispitanik smatra da su prekršena njegova prava iz ove Uredbe, trebao bi imati pravo ovlastiti neprofitno tijelo, organizaciju ili udruženje osnovano u skladu s pravom države članice, u čijem se statutu navode ciljevi od javnog interesa i koje je aktivno u području zaštite osobnih podataka, da nadzornom tijelu podnese pritužbu u njegovo ime, da ostvari pravo na pravni lijek u ime ispitanikâ ili da ostvari pravo na naknadu u ime ispitanikâ ako je to predviđeno pravom države članice. Država članica može predvidjeti da takvo tijelo, organizacija ili udruženje ima pravo, neovisno o mandatu ispitanika, podnijeti u toj državi članici pritužbu i imati pravo na učinkoviti pravni lijek ako ima razloga smatrati da je do kršenja prava ispitanika došlo zbog obrade osobnih podataka kojom se krši ova Uredba. Tom tijelu, organizaciji ili udruženju ne smije biti dopušteno tražiti naknadu u ime ispitanika neovisno o mandatu ispitanika. |
| (143) | Jede natürliche oder juristische Person hat das Recht, unter den in Artikel 263 AEUV genannten Voraussetzungen beim Gerichtshof eine Klage auf Nichtigerklärung eines Beschlusses des Ausschusses zu erheben. Als Adressaten solcher Beschlüsse müssen die betroffenen Aufsichtsbehörden, die diese Beschlüsse anfechten möchten, binnen zwei Monaten nach deren Übermittlung gemäß Artikel 263 AEUV Klage erheben. Sofern Beschlüsse des Ausschusses einen Verantwortlichen, einen Auftragsverarbeiter oder den Beschwerdeführer unmittelbar und individuell betreffen, so können diese Personen binnen zwei Monaten nach Veröffentlichung der betreffenden Beschlüsse auf der Website des Ausschusses im Einklang mit Artikel 263 AEUV eine Klage auf Nichtigerklärung erheben. Unbeschadet dieses Rechts nach Artikel 263 AEUV sollte jede natürliche oder juristische Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf bei dem zuständigen einzelstaatlichen Gericht gegen einen Beschluss einer Aufsichtsbehörde haben, der gegenüber dieser Person Rechtswirkungen entfaltet. Ein derartiger Beschluss betrifft insbesondere die Ausübung von Untersuchungs-, Abhilfe- und Genehmigungsbefugnissen durch die Aufsichtsbehörde oder die Ablehnung oder Abweisung von Beschwerden. Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf umfasst jedoch nicht rechtlich nicht bindende Maßnahmen der Aufsichtsbehörden wie von ihr abgegebene Stellungnahmen oder Empfehlungen. Verfahren gegen eine Aufsichtsbehörde sollten bei den Gerichten des Mitgliedstaats angestrengt werden, in dem die Aufsichtsbehörde ihren Sitz hat, und sollten im Einklang mit dem Verfahrensrecht dieses Mitgliedstaats durchgeführt werden. Diese Gerichte sollten eine uneingeschränkte Zuständigkeit besitzen, was die Zuständigkeit, sämtliche für den bei ihnen anhängigen Rechtsstreit maßgebliche Sach- und Rechtsfragen zu prüfen, einschließt. Wurde eine Beschwerde von einer Aufsichtsbehörde abgelehnt oder abgewiesen, kann der Beschwerdeführer Klage bei den Gerichten desselben Mitgliedstaats erheben. | Im Zusammenhang mit gerichtlichen Rechtsbehelfen in Bezug auf die Anwendung dieser Verordnung können einzelstaatliche Gerichte, die eine Entscheidung über diese Frage für erforderlich halten, um ihr Urteil erlassen zu können, bzw. müssen einzelstaatliche Gerichte in den Fällen nach Artikel 267 AEUV den Gerichtshof um eine Vorabentscheidung zur Auslegung des Unionsrechts — das auch diese Verordnung einschließt — ersuchen. Wird darüber hinaus der Beschluss einer Aufsichtsbehörde zur Umsetzung eines Beschlusses des Ausschusses vor einem einzelstaatlichen Gericht angefochten und wird die Gültigkeit des Beschlusses des Ausschusses in Frage gestellt, so hat dieses einzelstaatliche Gericht nicht die Befugnis, den Beschluss des Ausschusses für nichtig zu erklären, sondern es muss im Einklang mit Artikel 267 AEUV in der Auslegung des Gerichtshofs den Gerichtshof mit der Frage der Gültigkeit befassen, wenn es den Beschluss für nichtig hält. Allerdings darf ein einzelstaatliches Gericht den Gerichtshof nicht auf Anfrage einer natürlichen oder juristischen Person mit Fragen der Gültigkeit des Beschlusses des Ausschusses befassen, wenn diese Person Gelegenheit hatte, eine Klage auf Nichtigerklärung dieses Beschlusses zu erheben — insbesondere wenn sie unmittelbar und individuell von dem Beschluss betroffen war –, diese Gelegenheit jedoch nicht innerhalb der Frist gemäß Artikel 263 AEUV genutzt hat. | (143) | Any natural or legal person has the right to bring an action for annulment of decisions of the Board before the Court of Justice under the conditions provided for in Article 263 TFEU. As addressees of such decisions, the supervisory authorities concerned which wish to challenge them have to bring action within two months of being notified of them, in accordance with Article 263 TFEU. Where decisions of the Board are of direct and individual concern to a controller, processor or complainant, the latter may bring an action for annulment against those decisions within two months of their publication on the website of the Board, in accordance with Article 263 TFEU. Without prejudice to this right under Article 263 TFEU, each natural or legal person should have an effective judicial remedy before the competent national court against a decision of a supervisory authority which produces legal effects concerning that person. Such a decision concerns in particular the exercise of investigative, corrective and authorisation powers by the supervisory authority or the dismissal or rejection of complaints. However, the right to an effective judicial remedy does not encompass measures taken by supervisory authorities which are not legally binding, such as opinions issued by or advice provided by the supervisory authority. Proceedings against a supervisory authority should be brought before the courts of the Member State where the supervisory authority is established and should be conducted in accordance with that Member State's procedural law. Those courts should exercise full jurisdiction, which should include jurisdiction to examine all questions of fact and law relevant to the dispute before them. | Where a complaint has been rejected or dismissed by a supervisory authority, the complainant may bring proceedings before the courts in the same Member State. In the context of judicial remedies relating to the application of this Regulation, national courts which consider a decision on the question necessary to enable them to give judgment, may, or in the case provided for in Article 267 TFEU, must, request the Court of Justice to give a preliminary ruling on the interpretation of Union law, including this Regulation. Furthermore, where a decision of a supervisory authority implementing a decision of the Board is challenged before a national court and the validity of the decision of the Board is at issue, that national court does not have the power to declare the Board's decision invalid but must refer the question of validity to the Court of Justice in accordance with Article 267 TFEU as interpreted by the Court of Justice, where it considers the decision invalid. However, a national court may not refer a question on the validity of the decision of the Board at the request of a natural or legal person which had the opportunity to bring an action for annulment of that decision, in particular if it was directly and individually concerned by that decision, but had not done so within the period laid down in Article 263 TFEU. | (143) | Svaka fizička ili pravna osoba ima pravo pokrenuti postupak za poništenje odluka Odbora pred Sudom u skladu s uvjetima iz članka 263. UFEU-a. Kao primatelji takvih odluka, predmetna nadzorna tijela koja ih žele osporiti moraju pokrenuti postupak u roku od dva mjeseca od zaprimanja obavijesti o njima, u skladu s člankom 263. UFEU-a. Kada se odluke Odbora izravno odnose na pojedinog voditelja obrade, izvršitelja obrade ili podnositelja pritužbe, ta osoba može pokrenuti postupak za poništenje tih odluka u roku od dva mjeseca od njihove objave na internetskim stranicama Odbora, u skladu s člankom 263. UFEU-a. Ne dovodeći u pitanje to pravo u skladu s člankom 263. UFEU-a, svaka fizička ili pravna osoba trebala bi imati učinkovit pravni lijek pred nadležnim nacionalnim sudom protiv odluke nadzornog tijela koja proizvodi pravne učinke prema toj osobi. Takva odluka posebno se odnosi na provedbu istražnih, korektivnih i autorizacijskih ovlasti nadzornog tijela ili odbacivanje ili odbijanje pritužbi. Pravo na učinkovit pravni lijek međutim ne obuhvaća mjere nadzornih tijela koje nisu pravno obvezujuće poput mišljenja ili savjeta koja je dalo nadzorno tijelo. Postupci protiv nadzornog tijela trebali bi se pokrenuti pred sudovima države članice u kojoj nadzorno tijelo ima poslovni nastan te bi se trebali voditi u skladu s postupovnim pravom te države članice. Ti bi sudovi trebali imati punu nadležnost koja bi trebala obuhvaćati nadležnost za ispitivanje svih činjeničnih i pravnih pitanja bitnih za konkretni spor. | Ako je nadzorno tijelo pritužbu odbilo ili odbacilo, podnositelj pritužbe može postupak pokrenuti pred sudovima iste države članice. U kontekstu pravnih lijekova povezanih s primjenom ove Uredbe, nacionalni sudovi koji smatraju odluku o određenom pitanju nužnom za donošenje presude, mogu, ili ako je riječ o slučaju iz članka 267. UFEU-a, moraju, zatražiti od Suda da donese odluku o prethodnim pitanjima u vezi s tumačenjem prava Unije, među ostalim i ove Uredbe. Nadalje, ako se odluka nadležnog tijela o primjeni odluke Odbora osporava pred nacionalnim sudom te je u pitanju valjanost odluke Odbora, taj nacionalni sud nije ovlašten proglasiti odluku Odbora nevaljanom, već, kad god odluku smatra nevaljanom, pitanje o valjanosti mora uputiti Sudu u skladu s člankom 267. UFEU-a kako ga tumači Sud. Međutim, nacionalni sud ne može uputiti pitanje o valjanosti odluke Odbora na zahtjev fizičke ili pravne osobe koja je imala priliku pokrenuti postupak za poništenje te odluke, ali to nije učinila u razdoblju utvrđenom u članku 263. UFEU-a, osobito ako se odluka izravno i pojedinačno odnosila na nju. |
| (144) | Hat ein mit einem Verfahren gegen die Entscheidung einer Aufsichtsbehörde befasstes Gericht Anlass zu der Vermutung, dass ein dieselbe Verarbeitung betreffendes Verfahren — etwa zu demselben Gegenstand in Bezug auf die Verarbeitung durch denselben Verantwortlichen oder Auftragsverarbeiter oder wegen desselben Anspruchs — vor einem zuständigen Gericht in einem anderen Mitgliedstaat anhängig ist, so sollte es mit diesem Gericht Kontakt aufnehmen, um sich zu vergewissern, dass ein solches verwandtes Verfahren existiert. Sind verwandte Verfahren vor einem Gericht in einem anderen Mitgliedstaat anhängig, so kann jedes später angerufene Gericht das Verfahren aussetzen oder sich auf Anfrage einer Partei auch zugunsten des zuerst angerufenen Gerichts für unzuständig erklären, wenn dieses später angerufene Gericht für die betreffenden Verfahren zuständig ist und die Verbindung von solchen verwandten Verfahren nach seinem Recht zulässig ist. Verfahren gelten als miteinander verwandt, wenn zwischen ihnen eine so enge Beziehung gegeben ist, dass eine gemeinsame Verhandlung und Entscheidung geboten erscheint, um zu vermeiden, dass in getrennten Verfahren einander widersprechende Entscheidungen ergehen. | (144) | Where a court seized of proceedings against a decision by a supervisory authority has reason to believe that proceedings concerning the same processing, such as the same subject matter as regards processing by the same controller or processor, or the same cause of action, are brought before a competent court in another Member State, it should contact that court in order to confirm the existence of such related proceedings. If related proceedings are pending before a court in another Member State, any court other than the court first seized may stay its proceedings or may, on request of one of the parties, decline jurisdiction in favour of the court first seized if that court has jurisdiction over the proceedings in question and its law permits the consolidation of such related proceedings. Proceedings are deemed to be related where they are so closely connected that it is expedient to hear and determine them together in order to avoid the risk of irreconcilable judgments resulting from separate proceedings. | (144) | Ako sud na kojem se vodi postupak protiv odluke nadzornog tijela ima razloga vjerovati da se postupci u vezi s istom obradom, poput istog predmeta u smislu aktivnosti obrade istog voditelja obrade ili izvršitelja obrade ili istog razloga za pokretanje postupka, vode na nadležnom sudu u drugoj državi članici, trebao bi kontaktirati s tim sudom kako bi potvrdio postojanje takvih povezanih postupaka. Ako se povezani postupci vode na sudu druge države članice, svaki sud osim suda na kojem je prvo pokrenut postupak može zastati sa svojim postupcima ili se može, na zahtjev jedne od strana, proglasiti nenadležnim i prepustiti nadležnost sudu na kojem je prvo pokrenut postupak ako je taj sud nadležan za predmetne postupke, a pravo koje se na njemu primjenjuje omogućuje povezivanje takvih povezanih postupaka. Smatra se da su postupci povezani kada su međusobno tako tijesno u vezi da je opravdano njihovo zajedničko saslušanje i zajedničko odlučivanje o njima kako bi se izbjegla opasnost od proturječnih presuda u odvojenim postupcima. |
| (145) | Bei Verfahren gegen Verantwortliche oder Auftragsverarbeiter sollte es dem Kläger überlassen bleiben, ob er die Gerichte des Mitgliedstaats anruft, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat, oder des Mitgliedstaats, in dem die betroffene Person ihren Aufenthaltsort hat; dies gilt nicht, wenn es sich bei dem Verantwortlichen um eine Behörde eines Mitgliedstaats handelt, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. | (145) | For proceedings against a controller or processor, the plaintiff should have the choice to bring the action before the courts of the Member States where the controller or processor has an establishment or where the data subject resides, unless the controller is a public authority of a Member State acting in the exercise of its public powers. | (145) | Za postupke koji se vode protiv voditelja obrade ili izvršitelja obrade tužitelj bi trebao imati mogućnost pokretanja spora pred sudovima država članica gdje voditelj obrade ili izvršitelj obrade imaju poslovni nastan ili gdje ispitanik ima boravište, osim u slučaju kada je voditelj obrade tijelo javne vlasti koje djeluje u svojstvu izvršitelja svojih javnih ovlasti. |
| (146) | Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Sind Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt, so sollte jeder Verantwortliche oder Auftragsverarbeiter für den gesamten Schaden haftbar gemacht werden. Werden sie jedoch nach Maßgabe des Rechts der Mitgliedstaaten zu demselben Verfahren hinzugezogen, so können sie im Verhältnis zu der Verantwortung anteilmäßig haftbar gemacht werden, die jeder Verantwortliche oder Auftragsverarbeiter für den durch die Verarbeitung entstandenen Schaden zu tragen hat, sofern sichergestellt ist, dass die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält. Jeder Verantwortliche oder Auftragsverarbeiter, der den vollen Schadenersatz geleistet hat, kann anschließend ein Rückgriffsverfahren gegen andere an derselben Verarbeitung beteiligte Verantwortliche oder Auftragsverarbeiter anstrengen. | (146) | The controller or processor should compensate any damage which a person may suffer as a result of processing that infringes this Regulation. The controller or processor should be exempt from liability if it proves that it is not in any way responsible for the damage. The concept of damage should be broadly interpreted in the light of the case-law of the Court of Justice in a manner which fully reflects the objectives of this Regulation. This is without prejudice to any claims for damage deriving from the violation of other rules in Union or Member State law. Processing that infringes this Regulation also includes processing that infringes delegated and implementing acts adopted in accordance with this Regulation and Member State law specifying rules of this Regulation. Data subjects should receive full and effective compensation for the damage they have suffered. Where controllers or processors are involved in the same processing, each controller or processor should be held liable for the entire damage. However, where they are joined to the same judicial proceedings, in accordance with Member State law, compensation may be apportioned according to the responsibility of each controller or processor for the damage caused by the processing, provided that full and effective compensation of the data subject who suffered the damage is ensured. Any controller or processor which has paid full compensation may subsequently institute recourse proceedings against other controllers or processors involved in the same processing. | (146) | Voditelj obrade ili izvršitelj obrade trebao bi nadoknaditi svaku štetu koju osoba može pretrpjeti zbog obrade kojom se krši ova Uredba. Voditelj obrade ili izvršitelj obrade trebao bi biti izuzet od odgovornosti ako dokaže da nije ni na koji način odgovoran za štetu. Pojam štete trebalo bi široko tumačiti s obzirom na sudsku praksu Suda tako da se u potpunosti odražavaju ciljevi ove Uredbe. Time se ne dovode u pitanje zahtjevi za naknadu štete koja proizlazi iz kršenja drugih pravila prava Unije ili prava države članice. Obrada kojom se krši ova Uredba također uključuje obradu kojom se krše delegirani i provedbeni akti doneseni u skladu s ovom Uredbom i pravom države članice kojim se razrađuju pravila ove Uredbe. Ispitanici bi trebali dobiti potpunu i učinkovitu naknadu za štetu koju su pretrpjeli. Ako su voditelji obrade ili izvršitelji obrade uključeni u istu obradu, svaki voditelj obrade ili izvršitelja obrade trebalo bi smatrati odgovornim za cjelokupnu štetu. Međutim ako su povezani u isti sudski postupak, u skladu s pravom države članice, naknada se može raspodijeliti u skladu s odgovornošću svakog voditelja obrade ili izvršitelja obrade za štetu uzrokovanu obradom, pod uvjetom da se osigura puna i učinkovita naknada ispitaniku koji je pretrpio štetu. Svaki voditelj obrade ili izvršitelj obrade koji je platio punu naknadu, može naknadno pokrenuti postupak za regres protiv drugih voditelja obrade ili izvršitelja obrade uključenih u istu obradu. |
| (147) | Soweit in dieser Verordnung spezifische Vorschriften über die Gerichtsbarkeit — insbesondere in Bezug auf Verfahren im Hinblick auf einen gerichtlichen Rechtsbehelf einschließlich Schadenersatz gegen einen Verantwortlichen oder Auftragsverarbeiter — enthalten sind, sollten die allgemeinen Vorschriften über die Gerichtsbarkeit, wie sie etwa in der Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates (13) enthalten sind, der Anwendung dieser spezifischen Vorschriften nicht entgegenstehen. | (147) | Where specific rules on jurisdiction are contained in this Regulation, in particular as regards proceedings seeking a judicial remedy including compensation, against a controller or processor, general jurisdiction rules such as those of Regulation (EU) No 1215/2012 of the European Parliament and of the Council (13) should not prejudice the application of such specific rules. | (147) | Ako su posebna pravila o nadležnosti sadržana u ovoj Uredbi, posebno u vezi s postupcima kojima se traži pravni lijek, među ostalim i naknada, od voditelja obrade ili izvršitelja obrade, opća pravila o nadležnosti poput pravila iz Uredbe (EU) br. 1215/2012 Europskog parlamenta i Vijeća (13) ne bi smjela dovoditi u pitanje primjenu takvih posebnih pravila. |
| (148) | Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verstößen gegen diese Verordnung zusätzlich zu den geeigneten Maßnahmen, die die Aufsichtsbehörde gemäß dieser Verordnung verhängt, oder an Stelle solcher Maßnahmen Sanktionen einschließlich Geldbußen verhängt werden. Im Falle eines geringfügigeren Verstoßes oder falls voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, kann anstelle einer Geldbuße eine Verwarnung erteilt werden. Folgendem sollte jedoch gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes, dem vorsätzlichen Charakter des Verstoßes, den Maßnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln und jedem anderen erschwerenden oder mildernden Umstand. Für die Verhängung von Sanktionen einschließlich Geldbußen sollte es angemessene Verfahrensgarantien geben, die den allgemeinen Grundsätzen des Unionsrechts und der Charta, einschließlich des Rechts auf wirksamen Rechtsschutz und ein faires Verfahren, entsprechen. | (148) | In order to strengthen the enforcement of the rules of this Regulation, penalties including administrative fines should be imposed for any infringement of this Regulation, in addition to, or instead of appropriate measures imposed by the supervisory authority pursuant to this Regulation. In a case of a minor infringement or if the fine likely to be imposed would constitute a disproportionate burden to a natural person, a reprimand may be issued instead of a fine. Due regard should however be given to the nature, gravity and duration of the infringement, the intentional character of the infringement, actions taken to mitigate the damage suffered, degree of responsibility or any relevant previous infringements, the manner in which the infringement became known to the supervisory authority, compliance with measures ordered against the controller or processor, adherence to a code of conduct and any other aggravating or mitigating factor. The imposition of penalties including administrative fines should be subject to appropriate procedural safeguards in accordance with the general principles of Union law and the Charter, including effective judicial protection and due process. | (148) | Kako bi se poboljšalo izvršavanje pravila ove Uredbe, trebale bi se propisati sankcije, uključujući upravne novčane kazne, za svako kršenje ove Uredbe, uz odgovarajuće mjere koje propisuje nadzorno tijelo u skladu s ovom Uredbom ili umjesto njih. U slučaju lakšeg kršenja ili ako bi moguća novčana kazna nerazmjerno opteretila fizičku osobu, umjesto novčane kazne može se izdati upozorenje. Međutim, posebna bi se pozornost trebala posvetiti naravi, ozbiljnosti i trajanju kršenja, namjeri kršenja, mjerama poduzetim za ublažavanje pretrpljene štete, stupnju odgovornosti ili svim relevantnim prethodnim kršenjima, načinu na koji je nadzorno tijelo doznalo za kršenje, usklađenosti s mjerama naloženima protiv voditelja obrade ili izvršitelja obrade, pridržavanju kodeksa ponašanja te svakom drugom otegotnom ili olakotnom čimbeniku. Propisivanje sankcija, uključujući upravne novčane kazne, trebalo bi podlijegati odgovarajućim postupovnim zaštitnim mjerama u skladu s općim načelima prava Unije i Poveljom, uključujući i učinkovitu sudsku zaštitu i pravilno postupanje. |
| (149) | Die Mitgliedstaaten sollten die strafrechtlichen Sanktionen für Verstöße gegen diese Verordnung, auch für Verstöße gegen auf der Grundlage und in den Grenzen dieser Verordnung erlassene nationale Vorschriften, festlegen können. Diese strafrechtlichen Sanktionen können auch die Einziehung der durch die Verstöße gegen diese Verordnung erzielten Gewinne ermöglichen. Die Verhängung von strafrechtlichen Sanktionen für Verstöße gegen solche nationalen Vorschriften und von verwaltungsrechtlichen Sanktionen sollte jedoch nicht zu einer Verletzung des Grundsatzes „ne bis in idem“, wie er vom Gerichtshof ausgelegt worden ist, führen. | (149) | Member States should be able to lay down the rules on criminal penalties for infringements of this Regulation, including for infringements of national rules adopted pursuant to and within the limits of this Regulation. Those criminal penalties may also allow for the deprivation of the profits obtained through infringements of this Regulation. However, the imposition of criminal penalties for infringements of such national rules and of administrative penalties should not lead to a breach of the principle of ne bis in idem, as interpreted by the Court of Justice. | (149) | Države članice trebale bi imati mogućnost propisati pravila o kaznenim sankcijama za kršenja ove Uredbe, uključujući i kršenja nacionalnih pravila donesenih na temelju ove Uredbe i unutar njezinih granica. Te kaznene sankcije mogu obuhvaćati i oduzimanje dobiti stečene kršenjem ove Uredbe. Međutim, izricanje kazni za povrede takvih nacionalnih pravila i upravnih sankcija ne bi smjelo dovesti do kršenja načela ne bis in idem, kako ga tumači Sud. |
| (150) | Um die verwaltungsrechtlichen Sanktionen bei Verstößen gegen diese Verordnung zu vereinheitlichen und ihnen mehr Wirkung zu verleihen, sollte jede Aufsichtsbehörde befugt sein, Geldbußen zu verhängen. In dieser Verordnung sollten die Verstöße sowie die Obergrenze der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung genannt werden, wobei diese Geldbußen von der zuständigen Aufsichtsbehörde in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und insbesondere der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, festzusetzen sind. Werden Geldbußen Unternehmen auferlegt, sollte zu diesem Zweck der Begriff „Unternehmen“ im Sinne der Artikel 101 und 102 AEUV verstanden werden. Werden Geldbußen Personen auferlegt, bei denen es sich nicht um Unternehmen handelt, so sollte die Aufsichtsbehörde bei der Erwägung des angemessenen Betrags für die Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedstaat und der wirtschaftlichen Lage der Personen Rechnung tragen. Das Kohärenzverfahren kann auch genutzt werden, um eine kohärente Anwendung von Geldbußen zu fördern. Die Mitgliedstaaten sollten bestimmen können, ob und inwieweit gegen Behörden Geldbußen verhängt werden können. Auch wenn die Aufsichtsbehörden bereits Geldbußen verhängt oder eine Verwarnung erteilt haben, können sie ihre anderen Befugnisse ausüben oder andere Sanktionen nach Maßgabe dieser Verordnung verhängen. | (150) | In order to strengthen and harmonise administrative penalties for infringements of this Regulation, each supervisory authority should have the power to impose administrative fines. This Regulation should indicate infringements and the upper limit and criteria for setting the related administrative fines, which should be determined by the competent supervisory authority in each individual case, taking into account all relevant circumstances of the specific situation, with due regard in particular to the nature, gravity and duration of the infringement and of its consequences and the measures taken to ensure compliance with the obligations under this Regulation and to prevent or mitigate the consequences of the infringement. Where administrative fines are imposed on an undertaking, an undertaking should be understood to be an undertaking in accordance with Articles 101 and 102 TFEU for those purposes. Where administrative fines are imposed on persons that are not an undertaking, the supervisory authority should take account of the general level of income in the Member State as well as the economic situation of the person in considering the appropriate amount of the fine. The consistency mechanism may also be used to promote a consistent application of administrative fines. It should be for the Member States to determine whether and to which extent public authorities should be subject to administrative fines. Imposing an administrative fine or giving a warning does not affect the application of other powers of the supervisory authorities or of other penalties under this Regulation. | (150) | Kako bi se ojačale i uskladile upravne sankcije za kršenje ove Uredbe, svako nadzorno tijelo trebalo bi imati ovlasti izricati upravne novčane kazne. U ovoj Uredbi trebalo bi navesti kršenja te gornju granicu i kriterije za određivanje povezanih upravnih novčanih kazni, što bi za svaki pojedinačni slučaj trebalo odrediti nadležno nadzorno tijelo, uzimajući u obzir sve bitne okolnosti posebne situacije, vodeći računa osobito o prirodi, težini i trajanju kršenja i njegovim posljedicama te mjerama poduzetim da bi se osiguralo poštovanje obveza iz ove Uredbe te spriječile ili ublažile posljedice kršenja. Kada se upravne kazne izriču poduzetniku, poduzetnik bi se u te svrhe trebao shvatiti poduzetnik u skladu s člancima 101. i 102. UFEU-a. Ako su upravne kazne izrečene osobama koje nisu poduzetnik, prilikom razmatranja odgovarajućeg iznosa novčane kazne nadzorno tijelo trebalo bi uzeti u obzir opću razinu dohotka u državi članici te ekonomsko stanje osobe. Također se može primijeniti mehanizam konzistentnosti radi promicanja konzistentne primjene upravnih novčanih kazni. Države članice trebale bi utvrditi i trebaju li i do koje mjere primjenjivati upravne novčane kazne za državna tijela. Izricanje upravne novčane kazne ili upozorenja ne utječe na primjenu ovlasti nadzornih tijela ili drugih sankcija na temelju ove Uredbe. |
| (151) | Nach den Rechtsordnungen Dänemarks und Estlands sind die in dieser Verordnung vorgesehenen Geldbußen nicht zulässig. Die Vorschriften über die Geldbußen können so angewandt werden, dass die Geldbuße in Dänemark durch die zuständigen nationalen Gerichte als Strafe und in Estland durch die Aufsichtsbehörde im Rahmen eines Verfahrens bei Vergehen verhängt wird, sofern eine solche Anwendung der Vorschriften in diesen Mitgliedstaaten die gleiche Wirkung wie die von den Aufsichtsbehörden verhängten Geldbußen hat. Daher sollten die zuständigen nationalen Gerichte die Empfehlung der Aufsichtsbehörde, die die Geldbuße in die Wege geleitet hat, berücksichtigen. In jeden Fall sollten die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein. | (151) | The legal systems of Denmark and Estonia do not allow for administrative fines as set out in this Regulation. The rules on administrative fines may be applied in such a manner that in Denmark the fine is imposed by competent national courts as a criminal penalty and in Estonia the fine is imposed by the supervisory authority in the framework of a misdemeanour procedure, provided that such an application of the rules in those Member States has an equivalent effect to administrative fines imposed by supervisory authorities. Therefore the competent national courts should take into account the recommendation by the supervisory authority initiating the fine. In any event, the fines imposed should be effective, proportionate and dissuasive. | (151) | U pravnim sustavima Danske i Estonije nisu dopuštene upravne novčane kazne kako su navedene u ovoj Uredbi. Pravila za upravne novčane kazne mogu se primjenjivati na način da u Danskoj nadležni nacionalni sudovi izriču novčanu kaznu kao kaznenu sankciju, a da u Estoniji nadzorno tijelo izriče novčanu kaznu u okviru prekršajnog postupka, pod uvjetom da takva primjena pravilâ u tim državama članicama ima istovrijedni učinak kao i upravne novčane kazne koje izriču nadzorna tijela. Stoga bi nadležni nacionalni sudovi trebali uzeti u obzir preporuku nadzornog tijela koje ukaže na novčanu kaznu. U svakom slučaju novčane kazne trebale bi biti učinkovite, proporcionalne i odvraćajuće. |
| (152) | Soweit diese Verordnung verwaltungsrechtliche Sanktionen nicht harmonisiert oder wenn es in anderen Fällen — beispielsweise bei schweren Verstößen gegen diese Verordnung — erforderlich ist, sollten die Mitgliedstaaten eine Regelung anwenden, die wirksame, verhältnismäßige und abschreckende Sanktionen vorsieht. Es sollte im Recht der Mitgliedstaaten geregelt werden, ob diese Sanktionen strafrechtlicher oder verwaltungsrechtlicher Art sind. | (152) | Where this Regulation does not harmonise administrative penalties or where necessary in other cases, for example in cases of serious infringements of this Regulation, Member States should implement a system which provides for effective, proportionate and dissuasive penalties. The nature of such penalties, criminal or administrative, should be determined by Member State law. | (152) | Ako ovom Uredbom nisu usklađene upravne novčane kazne ili ako je to potrebno u drugim slučajevima, primjerice u slučajevima teških kršenja ove Uredbe, države članice trebale bi uvesti sustav kojim se predviđaju učinkovite, proporcionalne i odvraćajuće sankcije. Prirodu tih sankcija kaznenih ili upravnih, trebalo bi odrediti pravom države članice. |
| (153) | Im Recht der Mitgliedstaaten sollten die Vorschriften über die freie Meinungsäußerung und Informationsfreiheit, auch von Journalisten, Wissenschaftlern, Künstlern und/oder Schriftstellern, mit dem Recht auf Schutz der personenbezogenen Daten gemäß dieser Verordnung in Einklang gebracht werden. Für die Verarbeitung personenbezogener Daten ausschließlich zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken sollten Abweichungen und Ausnahmen von bestimmten Vorschriften dieser Verordnung gelten, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit dem Recht auf Freiheit der Meinungsäußerung und Informationsfreiheit, wie es in Artikel 11 der Charta garantiert ist, in Einklang zu bringen. Dies sollte insbesondere für die Verarbeitung personenbezogener Daten im audiovisuellen Bereich sowie in Nachrichten- und Pressearchiven gelten. Die Mitgliedstaaten sollten daher Gesetzgebungsmaßnahmen zur Regelung der Abweichungen und Ausnahmen erlassen, die zum Zwecke der Abwägung zwischen diesen Grundrechten notwendig sind. Die Mitgliedstaaten sollten solche Abweichungen und Ausnahmen in Bezug auf die allgemeinen Grundsätze, die Rechte der betroffenen Person, den Verantwortlichen und den Auftragsverarbeiter, die Übermittlung von personenbezogenen Daten an Drittländer oder an internationale Organisationen, die unabhängigen Aufsichtsbehörden, die Zusammenarbeit und Kohärenz und besondere Datenverarbeitungssituationen erlassen. Sollten diese Abweichungen oder Ausnahmen von Mitgliedstaat zu Mitgliedstaat unterschiedlich sein, sollte das Recht des Mitgliedstaats angewendet werden, dem der Verantwortliche unterliegt. Um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen, müssen Begriffe wie Journalismus, die sich auf diese Freiheit beziehen, weit ausgelegt werden. | (153) | Member States law should reconcile the rules governing freedom of expression and information, including journalistic, academic, artistic and or literary expression with the right to the protection of personal data pursuant to this Regulation. The processing of personal data solely for journalistic purposes, or for the purposes of academic, artistic or literary expression should be subject to derogations or exemptions from certain provisions of this Regulation if necessary to reconcile the right to the protection of personal data with the right to freedom of expression and information, as enshrined in Article 11 of the Charter. This should apply in particular to the processing of personal data in the audiovisual field and in news archives and press libraries. Therefore, Member States should adopt legislative measures which lay down the exemptions and derogations necessary for the purpose of balancing those fundamental rights. Member States should adopt such exemptions and derogations on general principles, the rights of the data subject, the controller and the processor, the transfer of personal data to third countries or international organisations, the independent supervisory authorities, cooperation and consistency, and specific data-processing situations. Where such exemptions or derogations differ from one Member State to another, the law of the Member State to which the controller is subject should apply. In order to take account of the importance of the right to freedom of expression in every democratic society, it is necessary to interpret notions relating to that freedom, such as journalism, broadly. | (153) | U pravu država članica trebalo bi uskladiti pravila kojima se uređuje sloboda izražavanja i informiranja, među ostalim novinarskog, akademskog, umjetničkog i/ili književnog izražavanja s pravom na zaštitu osobnih podataka u skladu s ovom Uredbom. Na obradu osobnih podataka isključivo u novinarske svrhe ili u svrhe akademskog, umjetničkog ili književnog izražavanja trebalo bi primjenjivati odstupanja ili izuzeća od određenih odredaba ove Uredbe, ako je to potrebno kako bi se uskladilo pravo na zaštitu osobnih podataka s pravom na slobodu izražavanja i informiranja, kako je utvrđeno u članku 11. Povelje. To bi se posebno trebalo primjenjivati na obradu osobnih podataka u audiovizualnom području te u novinskim i medijskim arhivima. Stoga bi države članice trebale donijeti zakonodavne mjere kojima bi se predvidjela izuzeća i odstupanja potrebna radi usklađivanja tih temeljnih prava. Države članice trebale bi usvojiti takva izuzeća i odstupanja u pogledu općih načela, pravâ ispitanika, u pogledu voditelja obrade i izvršitelja obrade, prijenosa osobnih podataka u treće zemlje ili međunarodne organizacije, neovisnih nadzornih tijela, suradnje i usklađenosti te posebnih slučajeva obrade podataka. Ako se ta izuzeća i odstupanja razlikuju od jedne države članice do druge trebalo bi se primjenjivati pravo države članice koje se primjenjuje na voditelja obrade. Radi uzimanja u obzir važnosti prava na slobodu izražavanja u svakom demokratskom društvu potrebno je široko tumačiti pojmove u vezi s tom slobodom, kao što je novinarstvo. |
| (154) | Diese Verordnung ermöglicht es, dass bei ihrer Anwendung der Grundsatz des Zugangs der Öffentlichkeit zu amtlichen Dokumenten berücksichtigt wird. Der Zugang der Öffentlichkeit zu amtlichen Dokumenten kann als öffentliches Interesse betrachtet werden. Personenbezogene Daten in Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Stelle befinden, sollten von dieser Behörde oder Stelle öffentlich offengelegt werden können, sofern dies im Unionsrecht oder im Recht der Mitgliedstaaten, denen sie unterliegt, vorgesehen ist. Diese Rechtsvorschriften sollten den Zugang der Öffentlichkeit zu amtlichen Dokumenten und die Weiterverwendung von Informationen des öffentlichen Sektors mit dem Recht auf Schutz personenbezogener Daten in Einklang bringen und können daher die notwendige Übereinstimmung mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung regeln. Die Bezugnahme auf Behörden und öffentliche Stellen sollte in diesem Kontext sämtliche Behörden oder sonstigen Stellen beinhalten, die vom Recht des jeweiligen Mitgliedstaats über den Zugang der Öffentlichkeit zu Dokumenten erfasst werden. Die Richtlinie 2003/98/EG des Europäischen Parlaments und des Rates (14) lässt das Schutzniveau für natürliche Personen in Bezug auf die Verarbeitung personenbezogener Daten gemäß den Bestimmungen des Unionsrechts und des Rechts der Mitgliedstaaten unberührt und beeinträchtigt diesen in keiner Weise, und sie bewirkt insbesondere keine Änderung der in dieser Verordnung dargelegten Rechte und Pflichten. Insbesondere sollte die genannte Richtlinie nicht für Dokumente gelten, die nach den Zugangsregelungen der Mitgliedstaaten aus Gründen des Schutzes personenbezogener Daten nicht oder nur eingeschränkt zugänglich sind, oder für Teile von Dokumenten, die nach diesen Regelungen zugänglich sind, wenn sie personenbezogene Daten enthalten, bei denen Rechtsvorschriften vorsehen, dass ihre Weiterverwendung nicht mit dem Recht über den Schutz natürlicher Personen in Bezug auf die Verarbeitung personenbezogener Daten vereinbar ist. | (154) | This Regulation allows the principle of public access to official documents to be taken into account when applying this Regulation. Public access to official documents may be considered to be in the public interest. Personal data in documents held by a public authority or a public body should be able to be publicly disclosed by that authority or body if the disclosure is provided for by Union or Member State law to which the public authority or public body is subject. Such laws should reconcile public access to official documents and the reuse of public sector information with the right to the protection of personal data and may therefore provide for the necessary reconciliation with the right to the protection of personal data pursuant to this Regulation. The reference to public authorities and bodies should in that context include all authorities or other bodies covered by Member State law on public access to documents. Directive 2003/98/EC of the European Parliament and of the Council (14) leaves intact and in no way affects the level of protection of natural persons with regard to the processing of personal data under the provisions of Union and Member State law, and in particular does not alter the obligations and rights set out in this Regulation. In particular, that Directive should not apply to documents to which access is excluded or restricted by virtue of the access regimes on the grounds of protection of personal data, and parts of documents accessible by virtue of those regimes which contain personal data the re-use of which has been provided for by law as being incompatible with the law concerning the protection of natural persons with regard to the processing of personal data. | (154) | Ovom se Uredbom omogućuje uzimanje u obzir načela javnog pristupa službenim dokumentima kada se primjenjuje ova Uredba. Može se smatrati da je javni pristup službenim dokumentima u javnom interesu. Tijelo javne vlasti ili javno tijelo trebalo bi imati mogućnost javno objaviti osobne podatke iz dokumenata koje takvo tijelo javne vlasti ili javno tijelo posjeduje ako je ta objava predviđena pravom Unije ili pravom države članice koje se primjenjuje na to tijelo javne vlasti ili javno tijelo. Takvim propisima trebali bi se uskladiti javni pristup službenim dokumentima i ponovna uporaba informacija iz javnog sektora s pravom na zaštitu osobnih podataka te bi se njima stoga moglo predvidjeti potrebno usklađivanje s pravom na zaštitu osobnih podataka u skladu s ovom Uredbom. Upućivanje na tijela javne vlasti i javna tijela trebalo bi u ovom kontekstu obuhvaćati sva tijela vlasti ili druga tijela obuhvaćena pravom države članice u pogledu javnog pristupa dokumentima. Direktivom 2003/98/EZ Europskog parlamenta i Vijeća (14) ne mijenja se niti se u bilo kojem pogledu utječe na razinu zaštite pojedinaca s obzirom na obradu osobnih podataka na temelju odredaba iz prava Unije i prava države članice, a osobito se njome ne mijenjaju obveze i prava utvrđena u ovoj Uredbi. Ta se Direktiva osobito ne bi smjela primjenjivati na dokumente kojima je pristup izuzet ili ograničen režimima pristupa radi zaštite osobnih podataka te na dijelove dokumenata kojima se može pristupiti pomoću tih režima, a koji sadrže osobne podatke čija je ponovna upotreba predviđena zakonom kao upotreba koja nije u skladu s pravom u pogledu zaštite pojedinaca s obzirom na obradu osobnih podataka. |
| (155) | Im Recht der Mitgliedstaaten oder in Kollektivvereinbarungen (einschließlich ’Betriebsvereinbarungen’) können spezifische Vorschriften für die Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorgesehen werden, und zwar insbesondere Vorschriften über die Bedingungen, unter denen personenbezogene Daten im Beschäftigungskontext auf der Grundlage der Einwilligung des Beschäftigten verarbeitet werden dürfen, über die Verarbeitung dieser Daten für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses. | (155) | Member State law or collective agreements, including ‘works agreements’, may provide for specific rules on the processing of employees' personal data in the employment context, in particular for the conditions under which personal data in the employment context may be processed on the basis of the consent of the employee, the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organisation of work, equality and diversity in the workplace, health and safety at work, and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship. | (155) | Pravom države članice ili kolektivnim ugovorima, uključujući „ugovore o radovima”, mogu se predvidjeti posebna pravila za obradu osobnih podataka zaposlenikâ u kontekstu zaposlenja, posebno za uvjete pod kojima se osobni podaci u kontekstu zaposlenja mogu obrađivati na temelju privole zaposlenika, za potrebe zapošljavanja, izvršavanja ugovora o radu, uključujući ispunjavanje zakonski propisanih obveza ili obveza propisanih kolektivnim ugovorima, za potrebe upravljanja radom i njegova planiranja i organizacije, jednakosti i različitosti na radnom mjestu, zdravlja i sigurnosti na radu i za potrebe ostvarenja i uživanja prava i koristi iz radnog odnosa, na individualnoj ili kolektivnoj osnovi, te za potrebe prestanka radnog odnosa. |
| (156) | Die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken sollte geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung unterliegen. Mit diesen Garantien sollte sichergestellt werden, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere der Grundsatz der Datenminimierung gewährleistet wird. Die Weiterverarbeitung personenbezogener Daten zu im öffentlichen Interesse liegende Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgt erst dann, wenn der Verantwortliche geprüft hat, ob es möglich ist, diese Zwecke durch die Verarbeitung von personenbezogenen Daten, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, zu erfüllen, sofern geeignete Garantien bestehen (wie z. B. die Pseudonymisierung von personenbezogenen Daten). Die Mitgliedstaaten sollten geeignete Garantien in Bezug auf die Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken vorsehen. Es sollte den Mitgliedstaaten erlaubt sein, unter bestimmten Bedingungen und vorbehaltlich geeigneter Garantien für die betroffenen Personen Präzisierungen und Ausnahmen in Bezug auf die Informationsanforderungen sowie der Rechte auf Berichtigung, Löschung, Vergessenwerden, zur Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie auf Widerspruch bei der Verarbeitung personenbezogener Daten zu im öffentlichen Interesse liegende Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken vorzusehen. Im Rahmen der betreffenden Bedingungen und Garantien können spezifische Verfahren für die Ausübung dieser Rechte durch die betroffenen Personen vorgesehen sein — sofern dies angesichts der mit der spezifischen Verarbeitung verfolgten Zwecke angemessen ist — sowie technische und organisatorische Maßnahmen zur Minimierung der Verarbeitung personenbezogener Daten im Hinblick auf die Grundsätze der Verhältnismäßigkeit und der Notwendigkeit. Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Zwecken sollte auch anderen einschlägigen Rechtsvorschriften, beispielsweise für klinische Prüfungen, genügen. | (156) | The processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes should be subject to appropriate safeguards for the rights and freedoms of the data subject pursuant to this Regulation. Those safeguards should ensure that technical and organisational measures are in place in order to ensure, in particular, the principle of data minimisation. The further processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes is to be carried out when the controller has assessed the feasibility to fulfil those purposes by processing data which do not permit or no longer permit the identification of data subjects, provided that appropriate safeguards exist (such as, for instance, pseudonymisation of the data). Member States should provide for appropriate safeguards for the processing of personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. Member States should be authorised to provide, under specific conditions and subject to appropriate safeguards for data subjects, specifications and derogations with regard to the information requirements and rights to rectification, to erasure, to be forgotten, to restriction of processing, to data portability, and to object when processing personal data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. The conditions and safeguards in question may entail specific procedures for data subjects to exercise those rights if this is appropriate in the light of the purposes sought by the specific processing along with technical and organisational measures aimed at minimising the processing of personal data in pursuance of the proportionality and necessity principles. The processing of personal data for scientific purposes should also comply with other relevant legislation such as on clinical trials. | (156) | Obrada osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebala bi podlijegati odgovarajućim zaštitnim mjerama za prava i slobode ispitanika u skladu s ovom Uredbom. Tim zaštitnim mjerama trebalo bi osigurati da su tehničke i organizacijske mjere na snazi kako bi se osobito zajamčilo načelo smanjenja količine podataka. Daljnja obrada osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe provodi se kada voditelj obrade procijeni izvedivost ispunjavanja tih svrha obradom osobnih podataka koji ne omogućuju ili više ne omogućuju identifikaciju ispitanikâ, pod uvjetom da postoje odgovarajuće zaštitne mjere (poput, primjerice, pseudonimizacije osobnih podataka). Države članice trebale bi osigurati odgovarajuće zaštitne mjere za obradu osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe. Države članice trebale bi biti ovlaštene predvidjeti, pod posebnim uvjetima i uz primjenu odgovarajućih zaštitnih mjera za ispitanike, specifikacije i odstupanja u pogledu zahtjevâ za informiranjem, pravâ na ispravak, na brisanje, na zaborav, na ograničavanja obrade, na prenosivost podataka te na podnošenje prigovora pri obradi osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe. Dotični uvjeti i zaštitne mjere mogu podrazumijevati posebne postupke za ispitanike kako bi oni mogli ostvarivati ta prava ako je to primjereno s obzirom na svrhu posebne obrade, uz tehničke i organizacijske mjere usmjerene na smanjenje obrade osobnih podataka na najmanju mjeru kako bi se poštovala načela proporcionalnosti i nužnosti. Obrada osobnih podataka u znanstvene svrhe također bi trebala biti u skladu s drugim relevantnim zakonodavstvom, poput zakonodavstva o kliničkim ispitivanjima. |
| (157) | Durch die Verknüpfung von Informationen aus Registern können Forscher neue Erkenntnisse von großem Wert in Bezug auf weit verbreiteten Krankheiten wie Herz-Kreislauferkrankungen, Krebs und Depression erhalten. Durch die Verwendung von Registern können bessere Forschungsergebnisse erzielt werden, da sie auf einen größeren Bevölkerungsanteil gestützt sind. Im Bereich der Sozialwissenschaften ermöglicht die Forschung anhand von Registern es den Forschern, entscheidende Erkenntnisse über den langfristigen Zusammenhang einer Reihe sozialer Umstände zu erlangen, wie Arbeitslosigkeit und Bildung mit anderen Lebensumständen. Durch Register erhaltene Forschungsergebnisse bieten solide, hochwertige Erkenntnisse, die die Basis für die Erarbeitung und Umsetzung wissensgestützter politischer Maßnahmen darstellen, die Lebensqualität zahlreicher Menschen verbessern und die Effizienz der Sozialdienste verbessern können. Zur Erleichterung der wissenschaftlichen Forschung können daher personenbezogene Daten zu wissenschaftlichen Forschungszwecken verarbeitet werden, wobei sie angemessenen Bedingungen und Garantien unterliegen, die im Unionsrecht oder im Recht der Mitgliedstaaten festgelegt sind. | (157) | By coupling information from registries, researchers can obtain new knowledge of great value with regard to widespread medical conditions such as cardiovascular disease, cancer and depression. On the basis of registries, research results can be enhanced, as they draw on a larger population. Within social science, research on the basis of registries enables researchers to obtain essential knowledge about the long-term correlation of a number of social conditions such as unemployment and education with other life conditions. Research results obtained through registries provide solid, high-quality knowledge which can provide the basis for the formulation and implementation of knowledge-based policy, improve the quality of life for a number of people and improve the efficiency of social services. In order to facilitate scientific research, personal data can be processed for scientific research purposes, subject to appropriate conditions and safeguards set out in Union or Member State law. | (157) | Povezivanjem informacija iz registara istraživači mogu steći novo znanje od velike vrijednosti u pogledu raširenih medicinskih stanja kao što su kardiovaskularne bolesti, rak i depresija. Na temelju registara rezultati istraživanja mogu se unaprijediti jer se temelje na većem broju stanovnika. U okviru društvenih znanosti, istraživanje na temelju registara omogućuje istraživačima da steknu ključno znanje o dugoročnoj povezanosti brojnih društvenih čimbenika, kao što su nezaposlenost i obrazovanje s drugim životnim čimbenicima. Rezultati istraživanja dobiveni putem registara dovode do pouzdanih, visokokvalitetnih spoznaja koje mogu biti temelj za oblikovanje i provedbu politike koja se temelji na znanju; njima se poboljšava kvaliteta života velikog broja ljudi te učinkovitost društvenih usluga. Kako bi se olakšalo znanstveno istraživanje, osobni se podaci mogu obrađivati u svrhe znanstvenog istraživanja, što podliježe odgovarajućim uvjetima i zaštitnim mjerama određenima u pravu Unije ili pravu države članice. |
| (158) | Diese Verordnung sollte auch für die Verarbeitung personenbezogener Daten zu Archivzwecken gelten, wobei darauf hinzuweisen ist, dass die Verordnung nicht für verstorbene Personen gelten sollte. Behörden oder öffentliche oder private Stellen, die Aufzeichnungen von öffentlichem Interesse führen, sollten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten rechtlich verpflichtet sein, Aufzeichnungen von bleibendem Wert für das allgemeine öffentliche Interesse zu erwerben, zu erhalten, zu bewerten, aufzubereiten, zu beschreiben, mitzuteilen, zu fördern, zu verbreiten sowie Zugang dazu bereitzustellen. Es sollte den Mitgliedstaaten ferner erlaubt sein vorzusehen, dass personenbezogene Daten zu Archivzwecken weiterverarbeitet werden, beispielsweise im Hinblick auf die Bereitstellung spezifischer Informationen im Zusammenhang mit dem politischen Verhalten unter ehemaligen totalitären Regimen, Völkermord, Verbrechen gegen die Menschlichkeit, insbesondere dem Holocaust, und Kriegsverbrechen. | (158) | Where personal data are processed for archiving purposes, this Regulation should also apply to that processing, bearing in mind that this Regulation should not apply to deceased persons. Public authorities or public or private bodies that hold records of public interest should be services which, pursuant to Union or Member State law, have a legal obligation to acquire, preserve, appraise, arrange, describe, communicate, promote, disseminate and provide access to records of enduring value for general public interest. Member States should also be authorised to provide for the further processing of personal data for archiving purposes, for example with a view to providing specific information related to the political behaviour under former totalitarian state regimes, genocide, crimes against humanity, in particular the Holocaust, or war crimes. | (158) | Ako se osobni podaci obrađuju u svrhe arhiviranja, ova Uredba trebala bi se također primjenjivati na takvu obradu, imajući u vidu da se ova Uredba ne bi trebala primjenjivati na osobne podatke preminulih osoba. Tijela javne vlasti ili javna ili privatna tijela koja posjeduju evidenciju od javnog interesa trebala bi biti službe koje, na temelju prava Unije ili prava države članice, imaju pravnu obvezu stjecati, čuvati, ocjenjivati, slagati, opisivati, komunicirati, promicati, širiti i pružati pristup evidencijama od trajne vrijednosti za opći javni interes. Države članice također bi trebale biti ovlaštene predvidjeti daljnju obradu osobnih podataka u svrhe arhiviranja, na primjer s ciljem pružanja posebnih informacija u vezi s političkim ponašanjem za vrijeme bivših totalitarističkih državnih režima, genocida, zločinâ protiv čovječnosti, posebice holokausta, ili ratnih zločina. |
| (159) | Diese Verordnung sollte auch für die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken gelten. Die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken im Sinne dieser Verordnung sollte weit ausgelegt werden und die Verarbeitung für beispielsweise die technologische Entwicklung und die Demonstration, die Grundlagenforschung, die angewandte Forschung und die privat finanzierte Forschung einschließen. Darüber hinaus sollte sie dem in Artikel 179 Absatz 1 AEUV festgeschriebenen Ziel, einen europäischen Raum der Forschung zu schaffen, Rechnung tragen. Die wissenschaftlichen Forschungszwecke sollten auch Studien umfassen, die im öffentlichen Interesse im Bereich der öffentlichen Gesundheit durchgeführt werden. Um den Besonderheiten der Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken zu genügen, sollten spezifische Bedingungen insbesondere hinsichtlich der Veröffentlichung oder sonstigen Offenlegung personenbezogener Daten im Kontext wissenschaftlicher Zwecke gelten. Geben die Ergebnisse wissenschaftlicher Forschung insbesondere im Gesundheitsbereich Anlass zu weiteren Maßnahmen im Interesse der betroffenen Person, sollten die allgemeinen Vorschriften dieser Verordnung für diese Maßnahmen gelten. | (159) | Where personal data are processed for scientific research purposes, this Regulation should also apply to that processing. For the purposes of this Regulation, the processing of personal data for scientific research purposes should be interpreted in a broad manner including for example technological development and demonstration, fundamental research, applied research and privately funded research. In addition, it should take into account the Union's objective under Article 179(1) TFEU of achieving a European Research Area. Scientific research purposes should also include studies conducted in the public interest in the area of public health. To meet the specificities of processing personal data for scientific research purposes, specific conditions should apply in particular as regards the publication or otherwise disclosure of personal data in the context of scientific research purposes. If the result of scientific research in particular in the health context gives reason for further measures in the interest of the data subject, the general rules of this Regulation should apply in view of those measures. | (159) | Ako se osobni podaci obrađuju u svrhe znanstvenog istraživanja, ova bi se Uredba trebala primjenjivati i na tu obradu. Za potrebe ove Uredbe, obrada osobnih podataka u svrhe znanstvenog istraživanja trebala bi se tumačiti u širokom smislu, uključujući primjerice tehnološki razvoj i demonstracijske aktivnosti, temeljno istraživanje, primijenjeno istraživanje, istraživanje koje se financira iz privatnih izvora. Dodatno, njome bi se trebao uzeti u obzir cilj Unije na temelju članka 179. stavka 1. UFEU-a u vezi s uspostavom europskog istraživačkog prostora. Svrhe znanstvenog istraživanja trebale bi također obuhvaćati studije koje se provode u javnom interesu u području javnog zdravlja. Kako bi se poštovale posebnosti obrade osobnih podataka u svrhe znanstvenog istraživanja, trebali bi se primjenjivati posebni uvjeti, osobito u pogledu objavljivanja ili druge vrste otkrivanja osobnih podataka u kontekstu svrha znanstvenog istraživanja. Ako su slijedom rezultata znanstvenog istraživanja, osobito u kontekstu zdravlja, potrebne dodatne mjere u interesu ispitanika, u pogledu tih mjera trebala bi se primjenjivati opća pravila iz ove Uredbe. |
| (160) | Diese Verordnung sollte auch für die Verarbeitung personenbezogener Daten zu historischen Forschungszwecken gelten. Dazu sollte auch historische Forschung und Forschung im Bereich der Genealogie zählen, wobei darauf hinzuweisen ist, dass diese Verordnung nicht für verstorbene Personen gelten sollte. | (160) | Where personal data are processed for historical research purposes, this Regulation should also apply to that processing. This should also include historical research and research for genealogical purposes, bearing in mind that this Regulation should not apply to deceased persons. | (160) | Ako se osobni podaci obrađuju u svrhe povijesnog istraživanja, ova Uredba trebala bi se primjenjivati i na takvu obradu. To bi također trebalo obuhvaćati povijesno istraživanje i istraživanje u genealoške svrhe, imajući u vidu da se ova Uredba ne bi trebala primjenjivati na preminule osobe. |
| (161) | Für die Zwecke der Einwilligung in die Teilnahme an wissenschaftlichen Forschungstätigkeiten im Rahmen klinischer Prüfungen sollten die einschlägigen Bestimmungen der Verordnung (EU) Nr. 536/2014 des Europäischen Parlaments und des Rates (15) gelten. | (161) | For the purpose of consenting to the participation in scientific research activities in clinical trials, the relevant provisions of Regulation (EU) No 536/2014 of the European Parliament and of the Council (15) should apply. | (161) | Za potrebe pristanka za sudjelovanje u aktivnostima znanstvenog istraživanja u okviru kliničkih ispitivanja trebale bi se primjenjivati relevantne odredbe Uredbe (EU) br. 536/2014 Europskog parlamenta i Vijeća (15). |
| (162) | Diese Verordnung sollte auch für die Verarbeitung personenbezogener Daten zu statistischen Zwecken gelten. Das Unionsrecht oder das Recht der Mitgliedstaaten sollte in den Grenzen dieser Verordnung den statistischen Inhalt, die Zugangskontrolle, die Spezifikationen für die Verarbeitung personenbezogener Daten zu statistischen Zwecken und geeignete Maßnahmen zur Sicherung der Rechte und Freiheiten der betroffenen Personen und zur Sicherstellung der statistischen Geheimhaltung bestimmen. Unter dem Begriff „statistische Zwecke“ ist jeder für die Durchführung statistischer Untersuchungen und die Erstellung statistischer Ergebnisse erforderliche Vorgang der Erhebung und Verarbeitung personenbezogener Daten zu verstehen. Diese statistischen Ergebnisse können für verschiedene Zwecke, so auch für wissenschaftliche Forschungszwecke, weiterverwendet werden. Im Zusammenhang mit den statistischen Zwecken wird vorausgesetzt, dass die Ergebnisse der Verarbeitung zu statistischen Zwecken keine personenbezogenen Daten, sondern aggregierte Daten sind und diese Ergebnisse oder personenbezogenen Daten nicht für Maßnahmen oder Entscheidungen gegenüber einzelnen natürlichen Personen verwendet werden. | (162) | Where personal data are processed for statistical purposes, this Regulation should apply to that processing. Union or Member State law should, within the limits of this Regulation, determine statistical content, control of access, specifications for the processing of personal data for statistical purposes and appropriate measures to safeguard the rights and freedoms of the data subject and for ensuring statistical confidentiality. Statistical purposes mean any operation of collection and the processing of personal data necessary for statistical surveys or for the production of statistical results. Those statistical results may further be used for different purposes, including a scientific research purpose. The statistical purpose implies that the result of processing for statistical purposes is not personal data, but aggregate data, and that this result or the personal data are not used in support of measures or decisions regarding any particular natural person. | (162) | Ako se osobni podaci obrađuju u statističke svrhe, ova bi se Uredba trebala primjenjivati na takvu obradu. U pravu Unije ili pravu država članica trebalo bi, u okviru ograničenja ove Uredbe, utvrditi statistički sadržaj, nadzor pristupa, specifikacije za obradu osobnih podataka u statističke svrhe i primjerene mjere kako bi se zaštitila prava i slobode ispitanika te kako bi se osigurala statistička povjerljivost. Statističke svrhe znače svako prikupljanje i obradu osobnih podataka potrebnih za statistička istraživanja ili za proizvodnju statističkih rezultata. Ti statistički rezultati mogu se dalje upotrijebiti u različite svrhe, među ostalim u svrhu znanstvenog istraživanja. Pod statističkom svrhom podrazumijeva se da rezultat obrade u statističke svrhe nisu osobni podaci, već agregirani podaci te da se taj rezultat ili podaci ne upotrebljavaju kao potpora mjerama ili odlukama u vezi nekog pojedinca. |
| (163) | Die vertraulichen Informationen, die die statistischen Behörden der Union und der Mitgliedstaaten zur Erstellung der amtlichen europäischen und der amtlichen nationalen Statistiken erheben, sollten geschützt werden. Die europäischen Statistiken sollten im Einklang mit den in Artikel 338 Absatz 2 AEUV dargelegten statistischen Grundsätzen entwickelt, erstellt und verbreitet werden, wobei die nationalen Statistiken auch mit dem Recht der Mitgliedstaaten übereinstimmen müssen. Die Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates (16) enthält genauere Bestimmungen zur Vertraulichkeit europäischer Statistiken. | (163) | The confidential information which the Union and national statistical authorities collect for the production of official European and official national statistics should be protected. European statistics should be developed, produced and disseminated in accordance with the statistical principles as set out in Article 338(2) TFEU, while national statistics should also comply with Member State law. Regulation (EC) No 223/2009 of the European Parliament and of the Council (16) provides further specifications on statistical confidentiality for European statistics. | (163) | Trebalo bi zaštititi povjerljive informacije koje statistička tijela Unije i nacionalna statistička tijela prikupljaju za potrebe sastavljanja službene europske i nacionalne statistike. Europsku statistiku trebalo bi razvijati, izrađivati i diseminirati u skladu sa statističkim načelima kako je određeno u članku 338. stavku 2. UFEU-a, dok bi nacionalna statistika trebala biti i u skladu s pravom države članice. U Uredbi (EZ) br. 223/2009 Europskog parlamenta i Vijeća (16) predviđaju se daljnje pojedinosti u pogledu statističke povjerljivosti europske statistike. |
| (164) | Hinsichtlich der Befugnisse der Aufsichtsbehörden, von dem Verantwortlichen oder vom Auftragsverarbeiter Zugang zu personenbezogenen Daten oder zu seinen Räumlichkeiten zu erlangen, können die Mitgliedstaaten in den Grenzen dieser Verordnung den Schutz des Berufsgeheimnisses oder anderer gleichwertiger Geheimhaltungspflichten durch Rechtsvorschriften regeln, soweit dies notwendig ist, um das Recht auf Schutz der personenbezogenen Daten mit einer Pflicht zur Wahrung des Berufsgeheimnisses in Einklang zu bringen. Dies berührt nicht die bestehenden Verpflichtungen der Mitgliedstaaten zum Erlass von Vorschriften über das Berufsgeheimnis, wenn dies aufgrund des Unionsrechts erforderlich ist. | (164) | As regards the powers of the supervisory authorities to obtain from the controller or processor access to personal data and access to their premises, Member States may adopt by law, within the limits of this Regulation, specific rules in order to safeguard the professional or other equivalent secrecy obligations, in so far as necessary to reconcile the right to the protection of personal data with an obligation of professional secrecy. This is without prejudice to existing Member State obligations to adopt rules on professional secrecy where required by Union law. | (164) | U vezi s ovlastima nadzornih tijela za dobivanje pristupa osobnim podacima i prostorijama od voditelja obrade ili izvršitelja obrade, države članice mogu zakonskim putem, u okviru ograničenja ove Uredbe, donijeti posebna pravila radi očuvanja profesionalnih ili drugih odgovarajućih obveza čuvanja tajnosti podataka, u mjeri u kojoj je nužno uskladiti pravo na zaštitu osobnih podataka s obvezom čuvanja profesionalne tajne. Time se ne dovode u pitanje postojeće obveze država članica da primijene pravila o čuvanju profesionalne tajne kada pravo Unije tako nalaže. |
| (165) | Im Einklang mit Artikel 17 AEUV achtet diese Verordnung den Status, den Kirchen und religiöse Vereinigungen oder Gemeinschaften in den Mitgliedstaaten nach deren bestehenden verfassungsrechtlichen Vorschriften genießen, und beeinträchtigt ihn nicht. | (165) | This Regulation respects and does not prejudice the status under existing constitutional law of churches and religious associations or communities in the Member States, as recognised in Article 17 TFEU. | (165) | Ovom Uredbom poštuje se i ne dovodi se u pitanje status crkava i vjerskih udruženja ili zajednica u državama članicama prema postojećem ustavnom pravu, kako je priznato člankom 17. UFEU-a. |
| (166) | Um die Zielvorgaben dieser Verordnung zu erfüllen, d. h. die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihr Recht auf Schutz ihrer personenbezogenen Daten zu schützen und den freien Verkehr personenbezogener Daten innerhalb der Union zu gewährleisten, sollte der Kommission die Befugnis übertragen werden, gemäß Artikel 290 AEUV Rechtsakte zu erlassen. Delegierte Rechtsakte sollten insbesondere in Bezug auf die für Zertifizierungsverfahren geltenden Kriterien und Anforderungen, die durch standardisierte Bildsymbole darzustellenden Informationen und die Verfahren für die Bereitstellung dieser Bildsymbole erlassen werden. Es ist von besonderer Bedeutung, dass die Kommission im Zuge ihrer Vorbereitungsarbeit angemessene Konsultationen, auch auf der Ebene von Sachverständigen, durchführt. Bei der Vorbereitung und Ausarbeitung delegierter Rechtsakte sollte die Kommission gewährleisten, dass die einschlägigen Dokumente dem Europäischen Parlament und dem Rat gleichzeitig, rechtzeitig und auf angemessene Weise übermittelt werden. | (166) | In order to fulfil the objectives of this Regulation, namely to protect the fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data and to ensure the free movement of personal data within the Union, the power to adopt acts in accordance with Article 290 TFEU should be delegated to the Commission. In particular, delegated acts should be adopted in respect of criteria and requirements for certification mechanisms, information to be presented by standardised icons and procedures for providing such icons. It is of particular importance that the Commission carry out appropriate consultations during its preparatory work, including at expert level. The Commission, when preparing and drawing-up delegated acts, should ensure a simultaneous, timely and appropriate transmission of relevant documents to the European Parliament and to the Council. | (166) | Kako bi se ostvarili ciljevi ove Uredbe, odnosno zaštitila temeljna prava i slobode pojedinaca, a osobito njihova prava na zaštitu osobnih podataka i osiguravanje slobodnog kretanja osobnih podataka unutar Unije, Komisiji bi trebalo delegirati ovlast za donošenje akata u skladu s člankom 290. UFEU-a. Konkretnije, delegirane akte trebalo bi donositi poštujući kriterije i zahtjeve za mehanizme certificiranja, informacije koje se iznose putem standardiziranih ikona i postupke za utvrđivanje takvih ikona. Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka. Prilikom pripreme i izrade delegiranih akata, Komisija bi trebala osigurati da se relevantni dokumenti Europskom parlamentu i Vijeću šalju istodobno, na vrijeme i na primjeren način. |
| (167) | Zur Gewährleistung einheitlicher Bedingungen für die Durchführung dieser Verordnung sollten der Kommission Durchführungsbefugnisse übertragen werden, wenn dies in dieser Verordnung vorgesehen ist. Diese Befugnisse sollten nach Maßgabe der Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates ausgeübt werden. In diesem Zusammenhang sollte die Kommission besondere Maßnahmen für Kleinstunternehmen sowie kleine und mittlere Unternehmen erwägen. | (167) | In order to ensure uniform conditions for the implementation of this Regulation, implementing powers should be conferred on the Commission when provided for by this Regulation. Those powers should be exercised in accordance with Regulation (EU) No 182/2011. In that context, the Commission should consider specific measures for micro, small and medium-sized enterprises. | (167) | Radi osiguranja jedinstvenih uvjeta za provedbu ove Uredbe, provedbene ovlasti trebalo bi dodijeliti Komisija kada je to predviđeno ovom Uredbom. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011. U tom kontekstu Komisija bi trebala razmotriti posebne mjere za mikropoduzeća te mala i srednja poduzeća. |
| (168) | Für den Erlass von Durchführungsrechtsakten bezüglich Standardvertragsklauseln für Verträge zwischen Verantwortlichen und Auftragsverarbeitern sowie zwischen Auftragsverarbeitern; Verhaltensregeln; technische Standards und Verfahren für die Zertifizierung; Anforderungen an die Angemessenheit des Datenschutzniveaus in einem Drittland, einem Gebiet oder bestimmten Sektor dieses Drittlands oder in einer internationalen Organisation; Standardschutzklauseln; Formate und Verfahren für den Informationsaustausch zwischen Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden im Hinblick auf verbindliche interne Datenschutzvorschriften; Amtshilfe; sowie Vorkehrungen für den elektronischen Informationsaustausch zwischen Aufsichtsbehörden und zwischen Aufsichtsbehörden und dem Ausschuss sollte das Prüfverfahren angewandt werden. | (168) | The examination procedure should be used for the adoption of implementing acts on standard contractual clauses between controllers and processors and between processors; codes of conduct; technical standards and mechanisms for certification; the adequate level of protection afforded by a third country, a territory or a specified sector within that third country, or an international organisation; standard protection clauses; formats and procedures for the exchange of information by electronic means between controllers, processors and supervisory authorities for binding corporate rules; mutual assistance; and arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the Board. | (168) | Za donošenje provedbenih akata o standardnim ugovornim klauzulama između voditelja obrade i izvršitelja obrade te među izvršiteljima obrade; kodeksima ponašanja; tehničkim standardima i mehanizmima certificiranja; primjerenom stupnju zaštite u trećoj zemlji, na području ili u određenom sektoru unutar treće zemlje ili u međunarodnoj organizaciji; standardnim klauzulama o zaštiti; formatima i postupcima za razmjenu informacija elektroničkim putem među voditeljima obrade, izvršiteljima obrade i nadzornim tijelima za obvezujuća korporativna pravila; uzajamnoj pomoći; sustavima za razmjenu informacija elektroničkim putem između nadzornih tijela i između nadzornih tijela i Odbora trebalo primjenjivati postupak ispitivanja. |
| (169) | Die Kommission sollte sofort geltende Durchführungsrechtsakte erlassen, wenn anhand vorliegender Beweise festgestellt wird, dass ein Drittland, ein Gebiet oder ein bestimmter Sektor in diesem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau gewährleistet, und dies aus Gründen äußerster Dringlichkeit erforderlich ist. | (169) | The Commission should adopt immediately applicable implementing acts where available evidence reveals that a third country, a territory or a specified sector within that third country, or an international organisation does not ensure an adequate level of protection, and imperative grounds of urgency so require. | (169) | Komisija bi trebala donijeti provedbene akte koji se odmah primjenjuju kada se temeljem raspoloživih dokaza otkrije da treća zemlja, područje ili određeni sektor unutar te treće zemlje, ili međunarodna organizacija ne osigurava primjereni stupanj zaštite, te to zahtijevaju krajnje hitni razlozi. |
| (170) | Da das Ziel dieser Verordnung, nämlich die Gewährleistung eines gleichwertigen Datenschutzniveaus für natürliche Personen und des freien Verkehrs personenbezogener Daten in der Union, von den Mitgliedstaaten nicht ausreichend verwirklicht werden kann, sondern vielmehr wegen des Umfangs oder der Wirkungen der Maßnahme auf Unionsebene besser zu verwirklichen ist, kann die Union im Einklang mit dem in Artikel 5 des Vertrags über die Europäische Union (EUV) verankerten Subsidiaritätsprinzip tätig werden. Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieses Ziels erforderliche Maß hinaus. | (170) | Since the objective of this Regulation, namely to ensure an equivalent level of protection of natural persons and the free flow of personal data throughout the Union, cannot be sufficiently achieved by the Member States and can rather, by reason of the scale or effects of the action, be better achieved at Union level, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on European Union (TEU). In accordance with the principle of proportionality as set out in that Article, this Regulation does not go beyond what is necessary in order to achieve that objective. | (170) | S obzirom na to da cilj ove Uredbe, odnosno osiguravanje jednakovrijedne razine zaštite pojedinaca i slobodnog protoka osobnih podataka širom Unije, ne mogu dostatno ostvariti države članice, nego se zbog opsega ili učinaka radnji oni na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji (UEU). U skladu s načelom proporcionalnosti, utvrđenim u tom članku, ova Uredba ne prelazi ono što je potrebno za ostvarivanje tih ciljeva. |
| (171) | Die Richtlinie 95/46/EG sollte durch diese Verordnung aufgehoben werden. Verarbeitungen, die zum Zeitpunkt der Anwendung dieser Verordnung bereits begonnen haben, sollten innerhalb von zwei Jahren nach dem Inkrafttreten dieser Verordnung mit ihr in Einklang gebracht werden. Beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann. Auf der Richtlinie 95/46/EG beruhende Entscheidungen bzw. Beschlüsse der Kommission und Genehmigungen der Aufsichtsbehörden bleiben in Kraft, bis sie geändert, ersetzt oder aufgehoben werden. | (171) | Directive 95/46/EC should be repealed by this Regulation. Processing already under way on the date of application of this Regulation should be brought into conformity with this Regulation within the period of two years after which this Regulation enters into force. Where processing is based on consent pursuant to Directive 95/46/EC, it is not necessary for the data subject to give his or her consent again if the manner in which the consent has been given is in line with the conditions of this Regulation, so as to allow the controller to continue such processing after the date of application of this Regulation. Commission decisions adopted and authorisations by supervisory authorities based on Directive 95/46/EC remain in force until amended, replaced or repealed. | (171) | Direktiva 95/46/EZ trebala bi se ovom Uredbom staviti izvan snage. Obrade koje su već u tijeku na datum početka primjene ove Uredbe trebalo bi uskladiti s ovom Uredbom u roku od dvije godine nakon što ova Uredba stupi na snagu. Ako se obrada temelji na privoli na temelju Direktive 95/46/EZ te ako je način na koji je ta privola dana u skladu s uvjetima iz ove Uredbe, nije potrebno da ispitanik ponovno daje svoju privolu kako bi se voditelju obrade omogućio nastavak takve obrade nakon datuma početka primjene ove Uredbe. Donesene odluke Komisije i odobrenja nadzornih tijela koja se temelje na Direktivi 95/46/EZ ostaju na snazi dok ih se ne izmijeni, zamijeni ili stavi izvan snage. |
| (172) | Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 28 Absatz 2 der Verordnung (EG) Nr. 45/2001 konsultiert und hat am 7. März 2012 (17) eine Stellungnahme abgegeben. | (172) | The European Data Protection Supervisor was consulted in accordance with Article 28(2) of Regulation (EC) No 45/2001 and delivered an opinion on 7 March 2012 (17). | (172) | Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 28. stavkom 2. Uredbe (EZ) br. 45/2001 Europskog parlamenta i Vijeća koji je dao mišljenje 7. ožujka 2012. (17). |
| (173) | Diese Verordnung sollte auf alle Fragen des Schutzes der Grundrechte und Grundfreiheiten bei der Verarbeitung personenbezogener Daten Anwendung finden, die nicht den in der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (18) bestimmte Pflichten, die dasselbe Ziel verfolgen, unterliegen, einschließlich der Pflichten des Verantwortlichen und der Rechte natürlicher Personen. Um das Verhältnis zwischen der vorliegenden Verordnung und der Richtlinie 2002/58/EG klarzustellen, sollte die Richtlinie entsprechend geändert werden. Sobald diese Verordnung angenommen ist, sollte die Richtlinie 2002/58/EG einer Überprüfung unterzogen werden, um insbesondere die Kohärenz mit dieser Verordnung zu gewährleisten — | (173) | This Regulation should apply to all matters concerning the protection of fundamental rights and freedoms vis-à-vis the processing of personal data which are not subject to specific obligations with the same objective set out in Directive 2002/58/EC of the European Parliament and of the Council (18), including the obligations on the controller and the rights of natural persons. In order to clarify the relationship between this Regulation and Directive 2002/58/EC, that Directive should be amended accordingly. Once this Regulation is adopted, Directive 2002/58/EC should be reviewed in particular in order to ensure consistency with this Regulation, | (173) | Ova bi se Uredba trebala primjenjivati na sva pitanja u vezi sa zaštitom temeljnih prava i sloboda u odnosu na obradu osobnih podataka koja ne podliježu posebnim obvezama s istim ciljem koji je utvrđen Direktivom 2002/58/EZ Europskog parlamenta i Vijeća (18), uključujući obveze voditelja obrade i prava pojedinaca. Kako bi se pojasnio odnos između ove Uredbe i Direktive 2002/58/EZ, tu bi Direktivu trebalo izmijeniti na odgovarajući način. Nakon donošenja ove Uredbe, Direktivu 2002/58/EZ trebalo bi preispitati posebno kako bi se osigurala usklađenost s ovom Uredbom, |
| HABEN FOLGENDE VERORDNUNG ERLASSEN: | HAVE ADOPTED THIS REGULATION: | DONIJELI SU OVU UREDBU: |
| KAPITEL I | CHAPTER I | POGLAVLJE I. |
| Allgemeine Bestimmungen | General provisions | Opće odredbe |
| Artikel 1 | Article 1 | Članak 1. |
| Gegenstand und Ziele | Subject-matter and objectives | Predmet i ciljevi |
| (1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. | 1. This Regulation lays down rules relating to the protection of natural persons with regard to the processing of personal data and rules relating to the free movement of personal data. | 1. Ovom se Uredbom utvrđuju pravila povezana sa zaštitom pojedinaca u pogledu obrade osobnih podataka i pravila povezana sa slobodnim kretanjem osobnih podataka. |
| (2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. | 2. This Regulation protects fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data. | 2. Ovom se Uredbom štite temeljna prava i slobode pojedinaca, a posebno njihovo pravo na zaštitu osobnih podataka. |
| (3) Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden. | 3. The free movement of personal data within the Union shall be neither restricted nor prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data. | 3. Slobodno kretanje osobnih podataka unutar Unije ne ograničava se ni zabranjuje iz razloga povezanih sa zaštitom pojedinaca u pogledu obrade osobnih podataka. |
| Artikel 2 | Article 2 | Članak 2. |
| Sachlicher Anwendungsbereich | Material scope | Glavno područje primjene |
| (1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. | 1. This Regulation applies to the processing of personal data wholly or partly by automated means and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system. | 1. Ova se Uredba primjenjuje na obradu osobnih podataka koja se u cijelosti obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane. |
| (2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten | 2. This Regulation does not apply to the processing of personal data: | 2. Ova se Uredba ne odnosi na obradu osobnih podataka: |
| a) | im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, | (a) | in the course of an activity which falls outside the scope of Union law; | (a) | tijekom djelatnosti koja nije obuhvaćena opsegom prava Unije; |
| b) | durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen, | (b) | by the Member States when carrying out activities which fall within the scope of Chapter 2 of Title V of the TEU; | (b) | koju obavljaju države članice kada obavljaju aktivnosti koje su obuhvaćene područjem primjene glave V. poglavlja 2. UEU-a; |
| c) | durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, | (c) | by a natural person in the course of a purely personal or household activity; | (c) | koju provodi fizička osoba tijekom isključivo osobnih ili kućnih aktivnosti; |
| d) | durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. | (d) | by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security. | (d) | koju obavljaju nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihova sprečavanja. |
| (3) Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst. | 3. For the processing of personal data by the Union institutions, bodies, offices and agencies, Regulation (EC) No 45/2001 applies. Regulation (EC) No 45/2001 and other Union legal acts applicable to such processing of personal data shall be adapted to the principles and rules of this Regulation in accordance with Article 98. | 3. Na obradu osobnih podataka koju obavljaju institucije, tijela, uredi i agencije Unije primjenjuje se Uredba (EZ) br. 45/2001. Uredba (EZ) br. 45/2001 i drugi pravni akti Unije primjenjivi na takvu obradu osobnih podataka moraju se prilagoditi načelima i pravilima ove Uredbe u skladu s člankom 98. |
| (4) Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt. | 4. This Regulation shall be without prejudice to the application of Directive 2000/31/EC, in particular of the liability rules of intermediary service providers in Articles 12 to 15 of that Directive. | 4. Ovom se Uredbom ne dovodi u pitanje primjena Direktive 2000/31/EZ, osobito pravilâ o odgovornosti posrednih davatelja usluga iz članaka od 12. do 15. te direktive. |
| Artikel 3 | Article 3 | Članak 3. |
| Räumlicher Anwendungsbereich | Territorial scope | Teritorijalno područje primjene |
| (1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. | 1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not. | 1. Ova se Uredba odnosi na obradu osobnih podataka u okviru aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji, neovisno o tome obavlja li se obrada u Uniji ili ne. |
| (2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht | 2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: | 2. Ova se Uredba primjenjuje na obradu osobnih podataka ispitanikâ u Uniji koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji, ako su aktivnosti obrade povezane s: |
| a) | betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist; | (a) | the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or | (a) | nuđenjem robe ili usluga takvim ispitanicima u Uniji, neovisno o tome treba li ispitanik izvršiti plaćanje; ili |
| b) | das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. | (b) | the monitoring of their behaviour as far as their behaviour takes place within the Union. | (b) | praćenjem njihova ponašanja dokle god se njihovo ponašanje odvija unutar Unije. |
| (3) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt. | 3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law. | 3. Ova se Uredba primjenjuje na obradu osobnih podataka koju obavlja voditelj obrade koji nema poslovni nastan u Uniji, već na mjestu gdje se pravo države članice primjenjuje na temelju međunarodnog javnog prava. |
| Artikel 4 | Article 4 | Članak 4. |
| Begriffsbestimmungen | Definitions | Definicije |
| Im Sinne dieser Verordnung bezeichnet der Ausdruck: | For the purposes of this Regulation: | Za potrebe ove Uredbe: |
| 1. | „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; | (1) | ‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person; | 1. | „osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca; |
| 2. | „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; | (2) | ‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction; | 2. | „obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje; |
| 3. | „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken; | (3) | ‘restriction of processing’ means the marking of stored personal data with the aim of limiting their processing in the future; | 3. | „ograničavanje obrade” znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti; |
| 4. | „Profiling“ jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen; | (4) | ‘profiling’ means any form of automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular to analyse or predict aspects concerning that natural person's performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements; | 4. | „izrada profila” znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca; |
| 5. | „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden; | (5) | ‘pseudonymisation’ means the processing of personal data in such a manner that the personal data can no longer be attributed to a specific data subject without the use of additional information, provided that such additional information is kept separately and is subject to technical and organisational measures to ensure that the personal data are not attributed to an identified or identifiable natural person; | 5. | „pseudonimizacija” znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi; |
| 6. | „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird; | (6) | ‘filing system’ means any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis; | 6. | „sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi; |
| 7. | „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden; | (7) | ‘controller’ means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; where the purposes and means of such processing are determined by Union or Member State law, the controller or the specific criteria for its nomination may be provided for by Union or Member State law; | 7. | „voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice; |
| 8. | „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; | (8) | ‘processor’ means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller; | 8. | „izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade; |
| 9. | „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung; | (9) | ‘recipient’ means a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not. However, public authorities which may receive personal data in the framework of a particular inquiry in accordance with Union or Member State law shall not be regarded as recipients; the processing of those data by those public authorities shall be in compliance with the applicable data protection rules according to the purposes of the processing; | 9. | „primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade; |
| 10. | „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten; | (10) | ‘third party’ means a natural or legal person, public authority, agency or body other than the data subject, controller, processor and persons who, under the direct authority of the controller or processor, are authorised to process personal data; | 10. | „treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade; |
| 11. | „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist; | (11) | ‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her; | 11. | „privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose; |
| 12. | „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden; | (12) | ‘personal data breach’ means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed; | 12. | „povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani; |
| 13. | „genetische Daten“ personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden; | (13) | ‘genetic data’ means personal data relating to the inherited or acquired genetic characteristics of a natural person which give unique information about the physiology or the health of that natural person and which result, in particular, from an analysis of a biological sample from the natural person in question; | 13. | „genetski podaci” znači osobni podaci koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca; |
| 14. | „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten; | (14) | ‘biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data; | 14. | „biometrijski podaci” znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci; |
| 15. | „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen; | (15) | ‘data concerning health’ means personal data related to the physical or mental health of a natural person, including the provision of health care services, which reveal information about his or her health status; | 15. | „podaci koji se odnose na zdravlje” znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu; |
| 16. | „Hauptniederlassung“ | a) | im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung; | b) | im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt; | (16) | ‘main establishment’ means: | (a) | as regards a controller with establishments in more than one Member State, the place of its central administration in the Union, unless the decisions on the purposes and means of the processing of personal data are taken in another establishment of the controller in the Union and the latter establishment has the power to have such decisions implemented, in which case the establishment having taken such decisions is to be considered to be the main establishment; | (b) | as regards a processor with establishments in more than one Member State, the place of its central administration in the Union, or, if the processor has no central administration in the Union, the establishment of the processor in the Union where the main processing activities in the context of the activities of an establishment of the processor take place to the extent that the processor is subject to specific obligations under this Regulation; | 16. | „glavni poslovni nastan” znači: | (a) | što se tiče voditelja obrade s poslovnim nastanima u više od jedne države članice, mjesto njegove središnje uprave u Uniji, osim ako se odluke o svrhama i sredstvima obrade osobnih podataka donose u drugom poslovnom nastanu voditelja obrade u Uniji te je potonji poslovni nastan ovlašten provoditi takve odluke, u kojem seslučaju poslovni nastan u okviru kojeg se donose takve odluke treba smatrati glavnim poslovnim nastanom; | (b) | što se tiče izvršitelja obrade s poslovnim nastanima u više od jedne države članice, mjesto njegove središnje uprave u Uniji, ili, ako izvršitelj obradenema središnju upravu u Uniji, poslovni nastan izvršitelja obrade u Uniji u kojem se odvijaju glavne aktivnosti obrade u kontekstu aktivnosti poslovnog nastana izvršitelja obrade u mjeri u kojoj izvršitelj obrade podliježe posebnim obvezama u skladu s ovom Uredbom; |
| 17. | „Vertreter“ eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt; | (17) | ‘representative’ means a natural or legal person established in the Union who, designated by the controller or processor in writing pursuant to Article 27, represents the controller or processor with regard to their respective obligations under this Regulation; | 17. | „predstavnik” znači fizička ili pravna osoba s poslovnim nastanom u Uniji koju je voditelj obrade ili izvršitelj obrade imenovao pisanim putem u skladu s člankom 27., a koja predstavlja voditelja obrade ili izvršitelja obrade u pogledu njihovih obveza na temelju ove Uredbe; |
| 18. | „Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen; | (18) | ‘enterprise’ means a natural or legal person engaged in an economic activity, irrespective of its legal form, including partnerships or associations regularly engaged in an economic activity; | 18. | „poduzeće” znači fizička ili pravna osoba koja se bavi gospodarskom djelatnošću, bez obzira na pravni oblik te djelatnosti, uključujući partnerstva ili udruženja koja se redovno bave gospodarskom djelatnošću; |
| 19. | „Unternehmensgruppe“ eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht; | (19) | ‘group of undertakings’ means a controlling undertaking and its controlled undertakings; | 19. | „grupa poduzetnika” znači poduzetnik u vladajućem položaju te njemu podređeni poduzetnici; |
| 20. | „verbindliche interne Datenschutzvorschriften“ Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern; | (20) | ‘binding corporate rules’ means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings, or group of enterprises engaged in a joint economic activity; | 20. | „obvezujuća korporativna pravila” znači politike zaštite osobnih podataka kojih se voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice pridržava za prijenose ili skupove prijenosa osobnih podataka voditelju obrade ili izvršitelju obrade u jednoj ili više trećih zemalja unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću; |
| 21. | „Aufsichtsbehörde“ eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle; | (21) | ‘supervisory authority’ means an independent public authority which is established by a Member State pursuant to Article 51; | 21. | „nadzorno tijelo” znači neovisno tijelo javne vlasti koje je osnovala država članica u skladu s člankom 51.; |
| 22. | „betroffene Aufsichtsbehörde“ eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil | a) | der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist, | b) | diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder | c) | eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde; | (22) | ‘supervisory authority concerned’ means a supervisory authority which is concerned by the processing of personal data because: | (a) | the controller or processor is established on the territory of the Member State of that supervisory authority; | (b) | data subjects residing in the Member State of that supervisory authority are substantially affected or likely to be substantially affected by the processing; or | (c) | a complaint has been lodged with that supervisory authority; | 22. | „predmetno nadzorno tijelo” znači nadzorno tijelo koje je povezano s obradom osobnih podataka zato što: | (a) | voditelj obrade ili izvršitelj obrade ima poslovni nastan na državnom području države članice tog nadzornog tijela; | (b) | obrada bitno utječe ili je izgledno da će bitno utjecati na ispitanike koji borave u državi članici tog nadzornog tijela; ili | (c) | podnesena je pritužba tom nadzornom tijelu. |
| 23. | „grenzüberschreitende Verarbeitung“ entweder | a) | eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder | b) | eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann; | (23) | ‘cross-border processing’ means either: | (a) | processing of personal data which takes place in the context of the activities of establishments in more than one Member State of a controller or processor in the Union where the controller or processor is established in more than one Member State; or | (b) | processing of personal data which takes place in the context of the activities of a single establishment of a controller or processor in the Union but which substantially affects or is likely to substantially affect data subjects in more than one Member State. | 23. | „prekogranična obrada” znači ili: | (a) | obrada osobnih podataka koja se odvija u Uniji u kontekstu aktivnosti poslovnih nastana u više od jedne države članice voditelja obrade ili izvršitelja obrade, a voditelj obrade ili izvršitelj obrade ima poslovni nastan u više od jedne države članice; ili | (b) | obrada osobnih podataka koja se odvija u Uniji u kontekstu aktivnosti jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade, ali koja bitno utječe ili je izgledno da će bitno utjecati na ispitanike u više od jedne države članice. |
| 24. | „maßgeblicher und begründeter Einspruch“ einen Einspruch gegen einen Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen; | (24) | ‘relevant and reasoned objection’ means an objection to a draft decision as to whether there is an infringement of this Regulation, or whether envisaged action in relation to the controller or processor complies with this Regulation, which clearly demonstrates the significance of the risks posed by the draft decision as regards the fundamental rights and freedoms of data subjects and, where applicable, the free flow of personal data within the Union; | 24. | „relevantni i obrazloženi prigovor” znači prigovor na nacrt odluke kao i na to je li došlo do kršenja ove Uredbe, ili je li djelovanje predviđeno u vezi s voditeljem obrade ili izvršiteljem obrade u skladu s ovom Uredbom, koji jasno pokazuje važnost rizika koje predstavlja nacrt odluke u pogledu temeljnih prava i sloboda ispitanika i, ako je primjenjivo, slobodnog protoka osobnih podataka unutar Unije; |
| 25. | „Dienst der Informationsgesellschaft“ eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates (19); | (25) | ‘information society service’ means a service as defined in point (b) of Article 1(1) of Directive (EU) 2015/1535 of the European Parliament and of the Council (19); | 25. | „usluga informacijskog društva” znači usluga kako je definirana člankom 1. stavkom 1. točkom 2. Direktive 2015/1535 Europskog parlamenta i Vijeća (19); |
| 26. | „internationale Organisation“ eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde. | (26) | ‘international organisation’ means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries. | 26. | „međunarodna organizacija” znači organizacija i njezina podređena tijela uređena međunarodnim javnim pravom ili bilo koje drugo tijelo koje su sporazumom ili na osnovi sporazuma osnovale dvije ili više zemalja. |
| KAPITEL II | CHAPTER II | POGLAVLJE II. |
| Grundsätze | Principles | Načela |
| Artikel 5 | Article 5 | Članak 5. |
| Grundsätze für die Verarbeitung personenbezogener Daten | Principles relating to processing of personal data | Načela obrade osobnih podataka |
| (1) Personenbezogene Daten müssen | 1. Personal data shall be: | 1. Osobni podaci moraju biti: |
| a) | auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“); | (a) | processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’); | (a) | zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika („zakonitost, poštenosti transparentnost”); |
| b) | für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“); | (b) | collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes; further processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall, in accordance with Article 89(1), not be considered to be incompatible with the initial purposes (‘purpose limitation’); | (b) | prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u skladu s člankom 89. stavkom 1. ne smatra se neusklađenom s prvotnim svrhama („ograničavanje svrhe”); |
| c) | dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“); | (c) | adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed (‘data minimisation’); | (c) | primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”); |
| d) | sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“); | (d) | accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay (‘accuracy’); | (d) | točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave („točnost”); |
| e) | in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“); | (e) | kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the personal data will be processed solely for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) subject to implementation of the appropriate technical and organisational measures required by this Regulation in order to safeguard the rights and freedoms of the data subject (‘storage limitation’); | (e) | čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1., što podliježe provedbi primjerenih tehničkih i organizacijskih mjera propisanih ovom Uredbom radi zaštite prava i sloboda ispitanika („ograničenje pohrane”); |
| f) | in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“); | (f) | processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’). | (f) | obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera („cjelovitost i povjerljivost”); |
| (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). | 2. The controller shall be responsible for, and be able to demonstrate compliance with, paragraph 1 (‘accountability’). | 2. Voditelj obrade odgovoran je za usklađenost sa stavkom 1. te je mora biti u mogućnosti dokazati („pouzdanost”). |
| Artikel 6 | Article 6 | Članak 6. |
| Rechtmäßigkeit der Verarbeitung | Lawfulness of processing | Zakonitost obrade |
| (1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: | 1. Processing shall be lawful only if and to the extent that at least one of the following applies: | 1. Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega: |
| a) | Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben; | (a) | the data subject has given consent to the processing of his or her personal data for one or more specific purposes; | (a) | ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha; |
| b) | die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; | (b) | processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; | (b) | obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora; |
| c) | die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt; | (c) | processing is necessary for compliance with a legal obligation to which the controller is subject; | (c) | obrada je nužna radi poštovanja pravnih obveza voditelja obrade; |
| d) | die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; | (d) | processing is necessary in order to protect the vital interests of the data subject or of another natural person; | (d) | obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe; |
| e) | die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; | (e) | processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller; | (e) | obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; |
| f) | die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. | (f) | processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child. | (f) | obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete. |
| Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung. | Point (f) of the first subparagraph shall not apply to processing carried out by public authorities in the performance of their tasks. | Točka (f) prvog podstavka ne odnosi se na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća. |
| (2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX. | 2. Member States may maintain or introduce more specific provisions to adapt the application of the rules of this Regulation with regard to processing for compliance with points (c) and (e) of paragraph 1 by determining more precisely specific requirements for the processing and other measures to ensure lawful and fair processing including for other specific processing situations as provided for in Chapter IX. | 2. Države članice mogu zadržati ili uvesti posebne odredbe kako bi se primjena pravila ove Uredbe s obzirom na obradu prilagodila radi usklađivanja sa stavkom 1. točkama (c) i (e) tako da se preciznije odrede posebni uvjeti za obradu te druge mjere za osiguravanje zakonite i poštene obrade, među ostalim za druge posebne situacije obrade kako je predviđeno u poglavlju IX. |
| (3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch | 3. The basis for the processing referred to in point (c) and (e) of paragraph 1 shall be laid down by: | 3. Pravna osnova za obradu iz stavka 1. točaka (c) i (e) utvrđuje se u: |
| a) | Unionsrecht oder | (a) | Union law; or | (a) | pravu Unije; ili |
| b) | das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt. | (b) | Member State law to which the controller is subject. | (b) | pravu države članice kojem voditelj obrade podliježe. |
| Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen. | The purpose of the processing shall be determined in that legal basis or, as regards the processing referred to in point (e) of paragraph 1, shall be necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. That legal basis may contain specific provisions to adapt the application of rules of this Regulation, inter alia: the general conditions governing the lawfulness of processing by the controller; the types of data which are subject to the processing; the data subjects concerned; the entities to, and the purposes for which, the personal data may be disclosed; the purpose limitation; storage periods; and processing operations and processing procedures, including measures to ensure lawful and fair processing such as those for other specific processing situations as provided for in Chapter IX. The Union or the Member State law shall meet an objective of public interest and be proportionate to the legitimate aim pursued. | Svrha obrade određuje se tom pravnom osnovom ili, u pogledu obrade iz stavka 1. točke (e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade. Ta pravna osnova može sadržavati posebne odredbe kako bi se prilagodila primjena pravila ove Uredbe, među ostalim opće uvjete kojima se uređuje zakonitost obrade od strane voditelja obrade, vrste podataka koji su predmet obrade, dotične ispitanike, subjekte kojima se osobni podaci mogu otkriti i svrhe u koje se podaci mogu otkriti, ograničavanje svrhe, razdoblje pohrane te aktivnosti obrade i postupke obrade, uključujući mjere za osiguravanje zakonite i poštene obrade, kao i za druge posebne situacije obrade kako je navedeno u poglavlju IX. Pravom Unije ili pravom države članice mora se ostvariti cilj od javnog interesa te ono mora biti razmjerno zakonitom cilju koji se želi postići. |
| (4) Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, nicht auf der Einwilligung der betroffenen Person oder auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten, die in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt, so berücksichtigt der Verantwortliche — um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist — unter anderem | 4. Where the processing for a purpose other than that for which the personal data have been collected is not based on the data subject's consent or on a Union or Member State law which constitutes a necessary and proportionate measure in a democratic society to safeguard the objectives referred to in Article 23(1), the controller shall, in order to ascertain whether processing for another purpose is compatible with the purpose for which the personal data are initially collected, take into account, inter alia: | 4. Ako se obrada u svrhu koja je različita od svrhe u koju su podaci prikupljeni ne temelji na privoli ispitanika ili na pravu Unije ili pravu države članice koje predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu ciljeva iz članka 23. stavka 1., voditelj obrade, s ciljem utvrđivanja je li obrada u drugu svrhu u skladu sa svrhom u koju su osobni podaci prvotno prikupljeni, uzima u obzir, među ostalim: |
| a) | jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung, | (a) | any link between the purposes for which the personal data have been collected and the purposes of the intended further processing; | (a) | svaku vezu između svrha prikupljanja osobnih podataka i svrha namjeravanog nastavka obrade; |
| b) | den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen, | (b) | the context in which the personal data have been collected, in particular regarding the relationship between data subjects and the controller; | (b) | kontekst u kojem su prikupljeni osobni podaci, posebno u pogledu odnosa između ispitanikâ i voditelja obrade; |
| c) | die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gemäß Artikel 9 verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet werden, | (c) | the nature of the personal data, in particular whether special categories of personal data are processed, pursuant to Article 9, or whether personal data related to criminal convictions and offences are processed, pursuant to Article 10; | (c) | prirodu osobnih podataka, osobito činjenicu obrađuju li se posebne kategorije osobnih podataka u skladu s člankom 9. ili osobni podaci koji se odnose na kaznene osude i kažnjiva djela u skladu s člankom 10.; |
| d) | die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen, | (d) | the possible consequences of the intended further processing for data subjects; | (d) | moguće posljedice namjeravanog nastavka obrade za ispitanike; |
| e) | das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann. | (e) | the existence of appropriate safeguards, which may include encryption or pseudonymisation. | (e) | postojanje odgovarajućih zaštitnih mjera, koje mogu uključivati enkripciju ili pseudonimizaciju. |
| Artikel 7 | Article 7 | Članak 7. |
| Bedingungen für die Einwilligung | Conditions for consent | Uvjeti privole |
| (1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. | 1. Where processing is based on consent, the controller shall be able to demonstrate that the data subject has consented to processing of his or her personal data. | 1. Kada se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka. |
| (2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen. | 2. If the data subject's consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language. Any part of such a declaration which constitutes an infringement of this Regulation shall not be binding. | 2. Ako ispitanik da privolu u vidu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen na način da ga se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. Svaki dio takve izjave koji predstavlja kršenje ove Uredbe nije obvezujući. |
| (3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein. | 3. The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal. Prior to giving consent, the data subject shall be informed thereof. It shall be as easy to withdraw as to give consent. | 3. Ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Prije davanja privole, ispitanika se o tome obavješćuje. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje. |
| (4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. | 4. When assessing whether consent is freely given, utmost account shall be taken of whether, inter alia, the performance of a contract, including the provision of a service, is conditional on consent to the processing of personal data that is not necessary for the performance of that contract. | 4. Kada se procjenjuje je li privola bila dobrovoljna, u najvećoj mogućoj mjeri uzima se u obzir je li, među ostalim, izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora. |
| Artikel 8 | Article 8 | Članak 8. |
| Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft | Conditions applicable to child's consent in relation to information society services | Uvjeti koji se primjenjuju na privolu djeteta u odnosu na usluge informacijskog društva |
| (1) Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. | 1. Where point (a) of Article 6(1) applies, in relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child. | 1. Kada se primjenjuje članak 6. stavak 1. točka (a), u pogledu nuđenja usluga informacijskog društva izravno djetetu, obrada osobnih podataka djeteta zakonita je ako dijete ima najmanje 16 godina. Ako je dijete ispod dobne granice od 16 godina takva je obrada zakonita samo ako i u mjeri u kojoj je privolu dao ili odobrio nositelj roditeljske odgovornosti nad djetetom. |
| Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf. | Member States may provide by law for a lower age for those purposes provided that such lower age is not below 13 years. | Države članice mogu u te svrhe zakonom predvidjeti nižu dobnu granicu, pod uvjetom da takva niža dobna granica nije niža od 13 godina. |
| (2) Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde. | 2. The controller shall make reasonable efforts to verify in such cases that consent is given or authorised by the holder of parental responsibility over the child, taking into consideration available technology. | 2. Voditelj obrade mora uložiti razumne napore u provjeru je li privolu u takvim slučajevima dao ili odobrio nositelj roditeljske odgovornosti nad djetetom, uzimajući u obzir dostupnu tehnologiju. |
| (3) Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt. | 3. Paragraph 1 shall not affect the general contract law of Member States such as the rules on the validity, formation or effect of a contract in relation to a child. | 3. Stavak 1. ne utječe na opće ugovorno pravo država članica kao što su pravila o valjanosti, sklapanju ili učinku ugovora kada je riječ o djetetu. |
| Artikel 9 | Article 9 | Članak 9. |
| Verarbeitung besonderer Kategorien personenbezogener Daten | Processing of special categories of personal data | Obrada posebnih kategorija osobnih podataka |
| (1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt. | 1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation shall be prohibited. | 1. Zabranjuje se obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca. |
| (2) Absatz 1 gilt nicht in folgenden Fällen: | 2. Paragraph 1 shall not apply if one of the following applies: | 2. Stavak 1. ne primjenjuje se ako je ispunjen jedno od sljedećeg: |
| a) | Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden, | (a) | the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject; | (a) | ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha, osim ako se pravom Unije ili pravom države članice propisuje da ispitanik ne može ukinuti zabranu iz stavka 1.; |
| b) | die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist, | (b) | processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law in so far as it is authorised by Union or Member State law or a collective agreement pursuant to Member State law providing for appropriate safeguards for the fundamental rights and the interests of the data subject; | (b) | obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika; |
| c) | die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben, | (c) | processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent; | (c) | obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca ako ispitanik fizički ili pravno nije u mogućnosti dati privolu; |
| d) | die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden, | (d) | processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other not-for-profit body with a political, philosophical, religious or trade union aim and on condition that the processing relates solely to the members or to former members of the body or to persons who have regular contact with it in connection with its purposes and that the personal data are not disclosed outside that body without the consent of the data subjects; | (d) | obrada se provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem te pod uvjetom da se obrada odnosi samo na članove ili bivše članove tijela ili na osobe koje imaju redovan kontakt s njom u vezi s njezinim svrhama i da osobni podaci nisu priopćeni nikome izvan tog tijela bez privole ispitanika; |
| e) | die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat, | (e) | processing relates to personal data which are manifestly made public by the data subject; | (e) | obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik; |
| f) | die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich, | (f) | processing is necessary for the establishment, exercise or defence of legal claims or whenever courts are acting in their judicial capacity; | (f) | obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili kad god sudovi djeluju u sudbenom svojstvu; |
| g) | die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich, | (g) | processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject; | (g) | obrada je nužna za potrebe značajnog javnog interesa na temelju prava Unije ili prava države članice koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika; |
| h) | die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich, | (h) | processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of Union or Member State law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph 3; | (h) | obrada je nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti zaposlenika, medicinske dijagnoze, pružanja zdravstvene ili socijalne skrbi ili tretmana ili upravljanja zdravstvenim ili socijalnim sustavima i uslugama na temelju prava Unije ili prava države članice ili u skladu s ugovorom sa zdravstvenim radnikom te u skladu s uvjetima i zaštitnim mjerama iz stavka 3.; |
| i) | die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder | (i) | processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy; | (i) | obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih proizvoda, na temelju prava Unije ili prava države članice kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno čuvanje profesionalne tajne; |
| j) | die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich. | (j) | processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) based on Union or Member State law which shall be proportionate to the aim pursued, respect the essence of the right to data protection and provide for suitable and specific measures to safeguard the fundamental rights and the interests of the data subject. | (j) | obrada je nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1. na temelju prava Unije ili prava države članice koje je razmjerno cilju koji se nastoji postići te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika. |
| (3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt. | 3. Personal data referred to in paragraph 1 may be processed for the purposes referred to in point (h) of paragraph 2 when those data are processed by or under the responsibility of a professional subject to the obligation of professional secrecy under Union or Member State law or rules established by national competent bodies or by another person also subject to an obligation of secrecy under Union or Member State law or rules established by national competent bodies. | 3. Osobni podaci iz stavka 1. mogu se obrađivati u svrhe navedene u stavku 2. točki (h) kada te podatke obrađuje stručno tijelo ili se podaci obrađuju pod odgovornošću stručnog tijela koje podliježe obvezi čuvanja poslovne tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su odredila nadležna nacionalna tijela ili druga osoba koja također podliježe obvezi čuvanja tajne sukladno pravu Unije ili pravu države članice ili pravilima koja su utvrdila nadležna nacionalna tijela. |
| (4) Die Mitgliedstaaten können zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten betroffen ist. | 4. Member States may maintain or introduce further conditions, including limitations, with regard to the processing of genetic data, biometric data or data concerning health. | 4. Države članice mogu zadržati ili uvesti dodatne uvjete, uključujući ograničenja s obzirom na obradu genetskih podataka, biometrijskih podataka ili podataka koji se odnose na zdravlje. |
| Artikel 10 | Article 10 | Članak 10. |
| Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten | Processing of personal data relating to criminal convictions and offences | Obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela |
| Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden. | Processing of personal data relating to criminal convictions and offences or related security measures based on Article 6(1) shall be carried out only under the control of official authority or when the processing is authorised by Union or Member State law providing for appropriate safeguards for the rights and freedoms of data subjects. Any comprehensive register of criminal convictions shall be kept only under the control of official authority. | Obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela ili povezane mjere sigurnosti na temelju članka 6. stavka 1. provodi se samo pod nadzorom službenog tijela ili kada je obrada odobrena pravom Unije ili pravom države članice kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode ispitanikâ. Svaki sveobuhvatni registar kaznenih osuda vodi se samo pod nadzorom službenog tijela vlasti. |
| Artikel 11 | Article 11 | Članak 11. |
| Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist | Processing which does not require identification | Obrada koja ne zahtijeva identifikaciju |
| (1) Ist für die Zwecke, für die ein Verantwortlicher personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich, so ist dieser nicht verpflichtet, zur bloßen Einhaltung dieser Verordnung zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren. | 1. If the purposes for which a controller processes personal data do not or do no longer require the identification of a data subject by the controller, the controller shall not be obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purpose of complying with this Regulation. | 1. Ako se u svrhe u koje voditelj obrade obrađuje osobne podatke ne zahtijeva ili više ne zahtijeva da voditelj obrade identificira ispitanika, voditelj obrade nije obvezan zadržavati, stjecati ili obrađivati dodatne informacije radi identificiranja ispitanika samo u svrhu poštovanja ove Uredbe. |
| (2) Kann der Verantwortliche in Fällen gemäß Absatz 1 des vorliegenden Artikels nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich. In diesen Fällen finden die Artikel 15 bis 20 keine Anwendung, es sei denn, die betroffene Person stellt zur Ausübung ihrer in diesen Artikeln niedergelegten Rechte zusätzliche Informationen bereit, die ihre Identifizierung ermöglichen. | 2. Where, in cases referred to in paragraph 1 of this Article, the controller is able to demonstrate that it is not in a position to identify the data subject, the controller shall inform the data subject accordingly, if possible. In such cases, Articles 15 to 20 shall not apply except where the data subject, for the purpose of exercising his or her rights under those articles, provides additional information enabling his or her identification. | 2. Ako u slučajevima iz stavka 1.ovog članka voditelj obrade može dokazati da nije u mogućnosti identificirati ispitanika, voditelj obrade o tome na odgovarajući način obavješćuje ispitanika, ako je to moguće. U takvim slučajevima ne primjenjuju se članci od 15. do 20., osim ako ispitanik u svrhu ostvarivanja svojih prava iz tih članaka pruži dodatne informacije koje omogućuju njegovu identifikaciju. |
| KAPITEL III | CHAPTER III | POGLAVLJE III. |
| Rechte der betroffenen Person | Rights of the data subject | Prava ispitanika |
| Abschnitt 1 | Section 1 | Odjeljak 1. |
| Transparenz und Modalitäten | Transparency and modalities | Transparentnost i modaliteti |
| Artikel 12 | Article 12 | Članak 12. |
| Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person | Transparent information, communication and modalities for the exercise of the rights of the data subject | Transparentne informacije, komunikacija i modaliteti za ostvarivanje prava ispitanika |
| (1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde. | 1. The controller shall take appropriate measures to provide any information referred to in Articles 13 and 14 and any communication under Articles 15 to 22 and 34 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language, in particular for any information addressed specifically to a child. The information shall be provided in writing, or by other means, including, where appropriate, by electronic means. When requested by the data subject, the information may be provided orally, provided that the identity of the data subject is proven by other means. | 1. Voditelj obrade poduzima odgovarajuće mjere kako bi se ispitaniku pružile sve informacije iz članaka 13. i 14. i sve komunikacije iz članaka od 15. do 22. i članka 34. u vezi s obradom u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika, osobito za svaku informaciju koja je posebno namijenjena djetetu. Informacije se pružaju u pisanom obliku ili drugim sredstvima, među ostalim, ako je prikladno, elektroničkim putem. Ako to zatraži ispitanik, informacije se mogu pružiti usmenim putem, pod uvjetom da je drugim sredstvima utvrđen identitet ispitanika. |
| (2) Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren. | 2. The controller shall facilitate the exercise of data subject rights under Articles 15 to 22. In the cases referred to in Article 11(2), the controller shall not refuse to act on the request of the data subject for exercising his or her rights under Articles 15 to 22, unless the controller demonstrates that it is not in a position to identify the data subject. | 2. Voditelj obrade olakšava ostvarivanje prava ispitanika iz članaka od 15. do 22. U slučajevima iz članka 11. stavka 1. voditelj obrade ne smije odbiti postupiti po zahtjevu ispitanika u svrhu ostvarivanja njegovih prava iz članaka od 15. do 22., osim ako voditelj obrade dokaže da nije u mogućnosti utvrditi identitet ispitanika. |
| (3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt. | 3. The controller shall provide information on action taken on a request under Articles 15 to 22 to the data subject without undue delay and in any event within one month of receipt of the request. That period may be extended by two further months where necessary, taking into account the complexity and number of the requests. The controller shall inform the data subject of any such extension within one month of receipt of the request, together with the reasons for the delay. Where the data subject makes the request by electronic form means, the information shall be provided by electronic means where possible, unless otherwise requested by the data subject. | 3. Voditelj obrade ispitaniku na zahtjev pruža informacije o poduzetim radnjama iz članaka od 15. do 22. bez nepotrebnog odgađanja i u svakom slučaju u roku od mjesec dana od zaprimanja zahtjeva. Taj se rok može prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjevâ. Voditelj obrade obavješćuje ispitanika o svakom takvom produljenju u roku od mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgađanja. Ako ispitanik podnese zahtjev elektroničkim putem, informacije se pružaju elektroničkim putem ako je to moguće, osim ako ispitanik zatraži drugačije. |
| (4) Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen. | 4. If the controller does not take action on the request of the data subject, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy. | 4. Ako voditelj obrade ne postupi po zahtjevu ispitanika, voditelj obrade bez odgađanja i najkasnije jedan mjesec od primitka zahtjeva izvješćuje ispitanika o razlozima zbog kojih nije postupio i o mogućnosti podnošenja pritužbe nadzornom tijelu i traženja pravnog lijeka. |
| (5) Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder | 5. Information provided under Articles 13 and 14 and any communication and any actions taken under Articles 15 to 22 and 34 shall be provided free of charge. Where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character, the controller may either: | 5. Informacije pružene u skladu s člancima 13. i 14. i sva komunikacija i djelovanja iz članaka od 15. do 22. i članka 34. pružaju se bez naknade. Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog njihova učestalog ponavljanja, voditelj obrade može: |
| a) | ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder | (a) | charge a reasonable fee taking into account the administrative costs of providing the information or communication or taking the action requested; or | (a) | naplatiti razumnu naknadu uzimajući u obzir administrativne troškove pružanja informacija ili obavijesti ili postupanje po zahtjevu; ili |
| b) | sich weigern, aufgrund des Antrags tätig zu werden. | (b) | refuse to act on the request. | (b) | odbiti postupiti po zahtjevu. |
| Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen. | The controller shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request. | Teret dokaza očigledne neutemeljenosti ili pretjeranosti zahtjeva jest na voditelju obrade. |
| (6) Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. | 6. Without prejudice to Article 11, where the controller has reasonable doubts concerning the identity of the natural person making the request referred to in Articles 15 to 21, the controller may request the provision of additional information necessary to confirm the identity of the data subject. | 6. Ne dovodeći u pitanje članak 11., ako voditelj obrade ima opravdane sumnje u pogledu identiteta pojedinca koji podnosi zahtjev iz članaka od 15. do 21., voditelj obrade može tražiti pružanje dodatnih informacija neophodnih za potvrđivanje identiteta ispitanika. |
| (7) Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein. | 7. The information to be provided to data subjects pursuant to Articles 13 and 14 may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner a meaningful overview of the intended processing. Where the icons are presented electronically they shall be machine-readable. | 7. Informacije koje treba pružiti ispitanicima u skladu s člancima 13. i 14. mogu se pružiti u kombinaciji sa standardiziranim ikonama kako bi se na lako vidljiv, razumljiv i jasno čitljiv način pružio smislen pregled namjeravane obrade. Ako su ikone prikazane elektroničkim putem, one moraju biti strojno čitljive. |
| (8) Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen. | 8. The Commission shall be empowered to adopt delegated acts in accordance with Article 92 for the purpose of determining the information to be presented by the icons and the procedures for providing standardised icons. | 8. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 92. u svrhu određivanja informacija koje se prikazuju ikonama te postupaka za utvrđivanje standardiziranih ikona. |
| Abschnitt 2 | Section 2 | Odjeljak 2. |
| Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten | Information and access to personal data | Informacije i pristup osobnim podacima |
| Artikel 13 | Article 13 | Članak 13. |
| Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person | Information to be provided where personal data are collected from the data subject | Informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanika |
| (1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: | 1. Where personal data relating to a data subject are collected from the data subject, the controller shall, at the time when personal data are obtained, provide the data subject with all of the following information: | 1. Ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku pruža sve sljedeće informacije: |
| a) | den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; | (a) | the identity and the contact details of the controller and, where applicable, of the controller's representative; | (a) | identitet i kontaktne podatke voditelja obrade i, ako je primjenjivo, predstavnika voditelja obrade; |
| b) | gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; | (b) | the contact details of the data protection officer, where applicable; | (b) | kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo; |
| c) | die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; | (c) | the purposes of the processing for which the personal data are intended as well as the legal basis for the processing; | (c) | svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu; |
| d) | wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden; | (d) | where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller or by a third party; | (d) | ako se obrada temelji na članku 6. stavku 1. točki (f), legitimne interese voditelja obrade ili treće strane; |
| e) | gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und | (e) | the recipients or categories of recipients of the personal data, if any; | (e) | primatelje ili kategorije primatelja osobnih podataka, ako ih ima; i |
| f) | gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind. | (f) | where applicable, the fact that the controller intends to transfer personal data to a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 46 or 47, or the second subparagraph of Article 49(1), reference to the appropriate or suitable safeguards and the means by which to obtain a copy of them or where they have been made available. | (f) | ako je primjenjivo, činjenicu da voditelja obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosâ iz članaka 46. ili 47. ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje. |
| (2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten: | 2. In addition to the information referred to in paragraph 1, the controller shall, at the time when personal data are obtained, provide the data subject with the following further information necessary to ensure fair and transparent processing: | 2. Osim informacija iz stavka 1., voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada: |
| a) | die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; | (a) | the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period; | (a) | razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje; |
| b) | das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit; | (b) | the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject or to object to processing as well as the right to data portability; | (b) | postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka; |
| c) | wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird; | (c) | where the processing is based on point (a) of Article 6(1) or point (a) of Article 9(2), the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal; | (c) | ako se obrada temelji na članku 6. stavku 1. točki (a) ili članku 9. stavku 2. točki (a), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena; |
| d) | das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; | (d) | the right to lodge a complaint with a supervisory authority; | (d) | pravo na podnošenje prigovora nadzornom tijelu; |
| e) | ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und | (e) | whether the provision of personal data is a statutory or contractual requirement, or a requirement necessary to enter into a contract, as well as whether the data subject is obliged to provide the personal data and of the possible consequences of failure to provide such data; | (e) | informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže; |
| f) | das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. | (f) | the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject. | (f) | postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika. |
| (3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung. | 3. Where the controller intends to further process the personal data for a purpose other than that for which the personal data were collected, the controller shall provide the data subject prior to that further processing with information on that other purpose and with any relevant further information as referred to in paragraph 2. | 3. Ako voditelj obrade namjerava dodatno obrađivati osobne podatke u svrhu koja je različita od one za koju su osobni podaci prikupljeni, voditelj obrade prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 2. |
| (4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt. | 4. Paragraphs 1, 2 and 3 shall not apply where and insofar as the data subject already has the information. | 4. Stavci 1., 2. i 3. ne primjenjuju se ako i u onoj mjeri u kojoj ispitanik već raspolaže informacijama. |
| Artikel 14 | Article 14 | Članak 14. |
| Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden | Information to be provided where personal data have not been obtained from the data subject | Informacije koje se trebaju pružiti ako osobni podaci nisu dobiveni od ispitanika |
| (1) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit: | 1. Where personal data have not been obtained from the data subject, the controller shall provide the data subject with the following information: | 1. Ako osobni podaci nisu dobiveni od ispitanika, voditelj obrade ispitaniku pruža sljedeće informacije: |
| a) | den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; | (a) | the identity and the contact details of the controller and, where applicable, of the controller's representative; | (a) | identitet i kontaktne podatke voditelja obrade i predstavnika voditelja obrade, ako je primjenjivo; |
| b) | zusätzlich die Kontaktdaten des Datenschutzbeauftragten; | (b) | the contact details of the data protection officer, where applicable; | (b) | kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo; |
| c) | die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; | (c) | the purposes of the processing for which the personal data are intended as well as the legal basis for the processing; | (c) | svrhe obrade kojoj su namijenjeni osobni podaci kao i pravnu osnovu za obradu; |
| d) | die Kategorien personenbezogener Daten, die verarbeitet werden; | (d) | the categories of personal data concerned; | (d) | kategorije osobnih podataka o kojima je riječ; |
| e) | gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten; | (e) | the recipients or categories of recipients of the personal data, if any; | (e) | primatelje ili kategorije primatelja osobnih podataka, prema potrebi; |
| f) | gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind. | (f) | where applicable, that the controller intends to transfer personal data to a recipient in a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 46 or 47, or the second subparagraph of Article 49(1), reference to the appropriate or suitable safeguards and the means to obtain a copy of them or where they have been made available. | (f) | ako je primjenjivo, namjeru voditelja obrade da osobne podatke prenese primatelju u trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosâ iz članka 46. ili 47., ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje; |
| (2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten: | 2. In addition to the information referred to in paragraph 1, the controller shall provide the data subject with the following information necessary to ensure fair and transparent processing in respect of the data subject: | 2. Osim informacija iz stavka 1. voditelj obrade ispitaniku pruža sljedeće informacije neophodne za osiguravanje poštene i transparentne obrade s obzirom na ispitanika: |
| a) | die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; | (a) | the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period; | (a) | razdoblje u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje; |
| b) | wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden; | (b) | where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller or by a third party; | (b) | ako se obrada temelji na članku 6. stavku 1. točki (f), legitimne interese voditelja obrade ili treće strane; |
| c) | das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit; | (c) | the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject and to object to processing as well as the right to data portability; | (c) | postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka; |
| d) | wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird; | (d) | where processing is based on point (a) of Article 6(1) or point (a) of Article 9(2), the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal; | (d) | ako se obrada temelji na članku 6. stavku 1. točki (a) ili članku 9. stavku 2. točki (a), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena; |
| e) | das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; | (e) | the right to lodge a complaint with a supervisory authority; | (e) | pravo na podnošenje prigovora nadzornom tijelu; |
| f) | aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen; | (f) | from which source the personal data originate, and if applicable, whether it came from publicly accessible sources; | (f) | izvor osobnih podataka i, prema potrebi, dolaze li iz javno dostupnih izvora; |
| g) | das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. | (g) | the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject. | (g) | postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika. |
| (3) Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2 | 3. The controller shall provide the information referred to in paragraphs 1 and 2: | 3. Voditelj obrade pruža informacije iz stavaka 1. i 2.: |
| a) | unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, | (a) | within a reasonable period after obtaining the personal data, but at the latest within one month, having regard to the specific circumstances in which the personal data are processed; | (a) | unutar razumnog roka nakon dobivanja osobnih podataka, a najkasnije u roku od jednog mjeseca, uzimajući u obzir posebne okolnosti obrade osobnih podataka; |
| b) | falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder, | (b) | if the personal data are to be used for communication with the data subject, at the latest at the time of the first communication to that data subject; or | (b) | ako se osobni podaci trebaju upotrebljavati za komunikaciju s ispitanikom, najkasnije u trenutku prve komunikacije ostvarene s tim ispitanikom; ili |
| c) | falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung. | (c) | if a disclosure to another recipient is envisaged, at the latest when the personal data are first disclosed. | (c) | ako je predviđeno otkrivanje podataka drugom primatelju, najkasnije u trenutku kada su osobni podaci prvi put otkriveni. |
| (4) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung. | 4. Where the controller intends to further process the personal data for a purpose other than that for which the personal data were obtained, the controller shall provide the data subject prior to that further processing with information on that other purpose and with any relevant further information as referred to in paragraph 2. | 4. Ako voditelj obrade namjerava dodatno obrađivati osobne podatke u svrhu koja je različita od one za koju su osobni podaci dobiveni, voditelj obrade prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 2. |
| (5) Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit | 5. Paragraphs 1 to 4 shall not apply where and insofar as: | 5. Stavci od 1. do 4. ne primjenjuju se ako i u mjeri u kojoj: |
| a) | die betroffene Person bereits über die Informationen verfügt, | (a) | the data subject already has the information; | (a) | ispitanik već posjeduje informacije; |
| b) | die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit, | (b) | the provision of such information proves impossible or would involve a disproportionate effort, in particular for processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, subject to the conditions and safeguards referred to in Article 89(1) or in so far as the obligation referred to in paragraph 1 of this Article is likely to render impossible or seriously impair the achievement of the objectives of that processing. In such cases the controller shall take appropriate measures to protect the data subject's rights and freedoms and legitimate interests, including making the information publicly available; | (b) | pružanje takvih informacija nemoguće je ili bi zahtijevalo nerazmjerne napore; posebno za obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, podložno uvjetima i zaštitnim mjerama iz članka 89. stavka 1. ili u mjeri u kojoj je vjerojatno da se obvezom iz stavka 1. ovog članka može onemogućiti ili ozbiljno ugroziti postizanje ciljeva te obrade. U takvim slučajevima voditelj obrade poduzima odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanikâ, među ostalim stavljanjem informacija na raspolaganje javnosti; |
| c) | die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder | (c) | obtaining or disclosure is expressly laid down by Union or Member State law to which the controller is subject and which provides appropriate measures to protect the data subject's legitimate interests; or | (c) | dobivanje ili otkrivanje podataka izrijekom je propisano pravom Unije ili pravom države članice kojem podliježe voditelj obrade, a koje predviđa odgovarajuće mjere zaštite legitimnih interesa ispitanika; ili |
| d) | die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen. | (d) | where the personal data must remain confidential subject to an obligation of professional secrecy regulated by Union or Member State law, including a statutory obligation of secrecy. | (d) | ako osobni podaci moraju ostati povjerljivi u skladu s obvezom čuvanja profesionalne tajne koju uređuje pravo Unije ili pravo države članice, uključujući obvezu čuvanja tajne koja se navodi u statutu. |
| Artikel 15 | Article 15 | Članak 15. |
| Auskunftsrecht der betroffenen Person | Right of access by the data subject | Pravo ispitanika na pristup |
| (1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: | 1. The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information: | 1. Ispitanik ima pravo dobiti od voditelja obrade potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i sljedećim informacijama: |
| a) | die Verarbeitungszwecke; | (a) | the purposes of the processing; | (a) | svrsi obrade; |
| b) | die Kategorien personenbezogener Daten, die verarbeitet werden; | (b) | the categories of personal data concerned; | (b) | kategorijama osobnih podataka o kojima je riječ; |
| c) | die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen; | (c) | the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations; | (c) | primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama; |
| d) | falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; | (d) | where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period; | (d) | ako je to moguće, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja; |
| e) | das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; | (e) | the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing; | (e) | postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu |
| f) | das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; | (f) | the right to lodge a complaint with a supervisory authority; | (f) | pravu na podnošenje pritužbe nadzornom tijelu; |
| g) | wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; | (g) | where the personal data are not collected from the data subject, any available information as to their source; | (g) | ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj informaciji o njihovu izvoru; |
| h) | das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. | (h) | the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject. | (h) | postojanju automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislenim informacijama o tome o kojoj je logici riječ, kao i važnosti i predviđenim posljedicama takve obrade za ispitanika. |
| (2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden. | 2. Where personal data are transferred to a third country or to an international organisation, the data subject shall have the right to be informed of the appropriate safeguards pursuant to Article 46 relating to the transfer. | 2. Ako se osobni podaci prenose u treću zemlju ili međunarodnu organizaciju, ispitanik ima pravo biti informiran o odgovarajućim zaštitnim mjerama u skladu s člankom 46. koje se odnose na prijenos. |
| (3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt. | 3. The controller shall provide a copy of the personal data undergoing processing. For any further copies requested by the data subject, the controller may charge a reasonable fee based on administrative costs. Where the data subject makes the request by electronic means, and unless otherwise requested by the data subject, the information shall be provided in a commonly used electronic form. | 3. Voditelj obrade osigurava kopiju osobnih podataka koji se obrađuju. Za sve dodatne kopije koje zatraži ispitanik voditelj obrade može naplatiti razumnu naknadu na temelju administrativnih troškova. Ako ispitanik podnese zahtjev elektroničkim putem te osim ako ispitanik zatraži drukčije, informacije se pružaju u uobičajenom elektroničkom obliku. |
| (4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. | 4. The right to obtain a copy referred to in paragraph 3 shall not adversely affect the rights and freedoms of others. | 4. Pravo na dobivanje kopije iz stavka 3. ne smije negativno utjecati na prava i slobode drugih. |
| Abschnitt 3 | Section 3 | Odjeljak 3. |
| Berichtigung und Löschung | Rectification and erasure | Ispravak i brisanje |
| Artikel 16 | Article 16 | Članak 16. |
| Recht auf Berichtigung | Right to rectification | Pravo na ispravak |
| Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten — auch mittels einer ergänzenden Erklärung — zu verlangen. | The data subject shall have the right to obtain from the controller without undue delay the rectification of inaccurate personal data concerning him or her. Taking into account the purposes of the processing, the data subject shall have the right to have incomplete personal data completed, including by means of providing a supplementary statement. | Ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od voditelja obrade ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave. |
| Artikel 17 | Article 17 | Članak 17. |
| Recht auf Löschung („Recht auf Vergessenwerden“) | Right to erasure (‘right to be forgotten’) | Pravo na brisanje („pravo na zaborav”) |
| (1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: | 1. The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies: | 1. Ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja te voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan od sljedećih uvjeta: |
| a) | Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. | (a) | the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed; | (a) | osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni; |
| b) | Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung. | (b) | the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing; | (b) | ispitanik povuče privolu na kojoj se obrada temelji u skladu s člankom 6. stavkom 1. točkom (a) ili člankom 9. stavkom 2. točkom (a) i ako ne postoji druga pravna osnova za obradu; |
| c) | Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein. | (c) | the data subject objects to the processing pursuant to Article 21(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21(2); | (c) | ispitanik uloži prigovor na obradu u skladu s člankom 21. stavkom 1. te ne postoje jači legitimni razlozi za obradu, ili ispitanik uloži prigovor na obradu u skladu s člankom 21. stavkom 2.; |
| d) | Die personenbezogenen Daten wurden unrechtmäßig verarbeitet. | (d) | the personal data have been unlawfully processed; | (d) | osobni podaci nezakonito su obrađeni; |
| e) | Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt. | (e) | the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject; | (e) | osobni podaci moraju se brisati radi poštovanja pravne obveze iz prava Unije ili prava države članice kojem podliježe voditelj obrade; |
| f) | Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben. | (f) | the personal data have been collected in relation to the offer of information society services referred to in Article 8(1). | (f) | osobni podaci prikupljeni su u vezi s ponudom usluga informacijskog društva iz članka 8. stavka 1. |
| (2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. | 2. Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data. | 2. Ako je voditelj obrade javno objavio osobne podatke i dužan je u skladu sa stavkom 1. obrisati te osobne podatke, uzimajući u obzir dostupnu tehnologiju i trošak provedbe, voditelj obrade poduzima razumne mjere, uključujući tehničke mjere, kako bi informirao voditelje obrade koji obrađuju osobne podatke da je ispitanik zatražio od tih voditelja obrade da izbrišu sve poveznice do njih ili kopiju ili rekonstrukciju tih osobnih podataka. |
| (3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist | 3. Paragraphs 1 and 2 shall not apply to the extent that processing is necessary: | 3. Stavci 1. i 2. ne primjenjuju se u mjeri u kojoj je obrada nužna: |
| a) | zur Ausübung des Rechts auf freie Meinungsäußerung und Information; | (a) | for exercising the right of freedom of expression and information; | (a) | radi ostvarivanja prava na slobodu izražavanja i informiranja; |
| b) | zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; | (b) | for compliance with a legal obligation which requires processing by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller; | (b) | radi poštovanja pravne obveze kojom se zahtijeva obrada u pravu Unije ili pravu države članice kojem podliježe voditelj obrade ili za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade; |
| c) | aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Artikel 9 Absatz 2 Buchstaben h und i sowie Artikel 9 Absatz 3; | (c) | for reasons of public interest in the area of public health in accordance with points (h) and (i) of Article 9(2) as well as Article 9(3); | (c) | zbog javnog interesa u području javnog zdravlja u skladu s člankom 9. stavkom 2. točkama (h) i (i) kao i člankom 9. stavkom 3.; |
| d) | für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder | (d) | for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) in so far as the right referred to in paragraph 1 is likely to render impossible or seriously impair the achievement of the objectives of that processing; or | (d) | u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1. u mjeri u kojoj je vjerojatno da se pravom iz stavka 1. može onemogućiti ili ozbiljno ugroziti postizanje ciljeva te obrade; ili |
| e) | zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. | (e) | for the establishment, exercise or defence of legal claims. | (e) | radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva. |
| Artikel 18 | Article 18 | Članak 18. |
| Recht auf Einschränkung der Verarbeitung | Right to restriction of processing | Pravo na ograničenje obrade |
| (1) Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist: | 1. The data subject shall have the right to obtain from the controller restriction of processing where one of the following applies: | 1. Ispitanik ima pravo od voditelja obrade ishoditi ograničenje obrade ako je ispunjeno jedno od sljedećeg: |
| a) | die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen, | (a) | the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data; | (a) | ispitanik osporava točnost osobnih podataka, na razdoblje kojim se voditelju obrade omogućuje provjera točnosti osobnih podataka; |
| b) | die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt; | (b) | the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of their use instead; | (b) | obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe; |
| c) | der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder | (c) | the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise or defence of legal claims; | (c) | voditelj obrade više ne treba osobne podatke za potrebe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva; |
| d) | die betroffene Person Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. | (d) | the data subject has objected to processing pursuant to Article 21(1) pending the verification whether the legitimate grounds of the controller override those of the data subject. | (d) | ispitanik je uložio prigovor na obradu na temelju članka 21. stavka 1. očekujući potvrdu nadilaze li legitimni razlozi voditelja obrade razloge ispitanika. |
| (2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten — von ihrer Speicherung abgesehen — nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden. | 2. Where processing has been restricted under paragraph 1, such personal data shall, with the exception of storage, only be processed with the data subject's consent or for the establishment, exercise or defence of legal claims or for the protection of the rights of another natural or legal person or for reasons of important public interest of the Union or of a Member State. | 2. Ako je obrada ograničena stavkom 1., takvi osobni podaci smiju se obrađivati samo uz privolu ispitanika, uz iznimku pohrane, ili za postavljanje, ostvarivanje ili obranu pravnih zahtjeva ili zaštitu prava druge fizičke ili pravne osobe ili zbog važnog javnog interesa Unije ili države članice. |
| (3) Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird. | 3. A data subject who has obtained restriction of processing pursuant to paragraph 1 shall be informed by the controller before the restriction of processing is lifted. | 3. Ispitanika koji je ishodio ograničenje obrade na temelju stavka 1. voditelj obrade izvješćuje prije nego što ograničenje obrade bude ukinuto. |
| Artikel 19 | Article 19 | Članak 19. |
| Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung | Notification obligation regarding rectification or erasure of personal data or restriction of processing | Obveza izvješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obrade |
| Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt. | The controller shall communicate any rectification or erasure of personal data or restriction of processing carried out in accordance with Article 16, Article 17(1) and Article 18 to each recipient to whom the personal data have been disclosed, unless this proves impossible or involves disproportionate effort. The controller shall inform the data subject about those recipients if the data subject requests it. | Voditelj obrade priopćuje svaki ispravak ili brisanje osobnih podataka ili ograničenje obrade provedeno u skladu s člankom 16., člankom 17. stavkom 1. i člankom 18. svakom primatelju kojem su otkriveni osobni podaci, osim ako se to pokaže nemogućim ili zahtijeva nerazmjeran napor. Voditelj obrade obavješćuje ispitanika o tim primateljima ako to ispitanik zatraži. |
| Artikel 20 | Article 20 | Članak 20. |
| Recht auf Datenübertragbarkeit | Right to data portability | Pravo na prenosivost podataka |
| (1) Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern | 1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where: | 1. Ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio voditelju obrade u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane voditelja obrade kojem su osobni podaci pruženi, ako: |
| a) | die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und | (a) | the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and | (a) | obrada se temelji na privoli u skladu s člankom 6. stavkom 1. točkom (a) ili člankom 9. stavkom 2. točkom (a) ili na ugovoru u skladu s člankom 6. stavkom 1. točkom (b); i |
| b) | die Verarbeitung mithilfe automatisierter Verfahren erfolgt. | (b) | the processing is carried out by automated means. | (b) | obrada se provodi automatiziranim putem. |
| (2) Bei der Ausübung ihres Rechts auf Datenübertragbarkeit gemäß Absatz 1 hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. | 2. In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible. | 2. Prilikom ostvarivanja svojih prava na prenosivost podataka na temelju stavka 1. ispitanik ima pravo na izravni prijenos od jednog voditelja obrade drugome ako je to tehnički izvedivo. |
| (3) Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 17 unberührt. Dieses Recht gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. | 3. The exercise of the right referred to in paragraph 1 of this Article shall be without prejudice to Article 17. That right shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. | 3. Ostvarivanjem prava iz stavka 1. ovog članka ne dovodi se u pitanje članak 17. To se pravo ne primjenjuje na obradu nužnu za obavljanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti dodijeljene voditelju obrade. |
| (4) Das Recht gemäß Absatz 2 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. | 4. The right referred to in paragraph 1 shall not adversely affect the rights and freedoms of others. | 4. Pravo iz stavka 1. ne smije negativno utjecati na prava i slobode drugih. |
| Abschnitt 4 | Section 4 | Odjeljak 4. |
| Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall | Right to object and automated individual decision-making | Pravo na prigovor i automatizirano pojedinačno donošenje odluka |
| Artikel 21 | Article 21 | Članak 21. |
| Widerspruchsrecht | Right to object | Pravo na prigovor |
| (1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. | 1. The data subject shall have the right to object, on grounds relating to his or her particular situation, at any time to processing of personal data concerning him or her which is based on point (e) or (f) of Article 6(1), including profiling based on those provisions. The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims. | 1. Ispitanik ima pravo na temelju svoje posebne situacije u svakom trenutku uložiti prigovor na obradu osobnih podataka koji se odnose na njega, u skladu s člankom 6. stavkom 1. točkom (e) ili (f), uključujući izradu profila koja se temelji na tim odredbama. Voditelj obrade više ne smije obrađivati osobne podatke osim ako voditelj obrade dokaže da postoje uvjerljivi legitimni razlozi za obradu koji nadilaze interese, prava i slobode ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva. |
| (2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. | 2. Where personal data are processed for direct marketing purposes, the data subject shall have the right to object at any time to processing of personal data concerning him or her for such marketing, which includes profiling to the extent that it is related to such direct marketing. | 2. Ako se osobni podaci obrađuju za potrebe izravnog marketinga, ispitanik u svakom trenutku ima pravo uložiti prigovor na obradu osobnih podataka koji se odnose na njega za potrebe takvog marketinga, što uključuje izradu profila u mjeri koja je povezana s takvim izravnim marketingom. |
| (3) Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet. | 3. Where the data subject objects to processing for direct marketing purposes, the personal data shall no longer be processed for such purposes. | 3. Ako se ispitanik protivi obradi za potrebe izravnog marketinga, osobni podaci više se ne smiju obrađivati u takve svrhe. |
| (4) Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen. | 4. At the latest at the time of the first communication with the data subject, the right referred to in paragraphs 1 and 2 shall be explicitly brought to the attention of the data subject and shall be presented clearly and separately from any other information. | 4. Najkasnije u trenutku prve komunikacije s ispitanikom, ispitaniku se izričito mora skrenuti pozornost na pravo iz stavaka 1. i 2. te se to mora učiniti na jasan način i odvojeno od bilo koje druge informacije. |
| (5) Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden. | 5. In the context of the use of information society services, and notwithstanding Directive 2002/58/EC, the data subject may exercise his or her right to object by automated means using technical specifications. | 5. U kontekstu služenja uslugama informacijskog društva i neovisno o Direktivi 2002/58/EZ ispitanik može ostvariti svoje pravo na prigovor automatiziranim putem koji se koristi tehničkim specifikacijama. |
| (6) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, gegen die sie betreffende Verarbeitung sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Artikel 89 Absatz 1 erfolgt, Widerspruch einzulegen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich. | 6. Where personal data are processed for scientific or historical research purposes or statistical purposes pursuant to Article 89(1), the data subject, on grounds relating to his or her particular situation, shall have the right to object to processing of personal data concerning him or her, unless the processing is necessary for the performance of a task carried out for reasons of public interest. | 6. Ako se osobni podaci obrađuju u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe na temelju članka 89. stavka 1., ispitanik na temelju svoje posebne situacije ima pravo uložiti prigovor na obradu osobnih podataka koji se na njega odnose, osim ako je obrada nužna za provođenje zadaće koja se obavlja zbog javnog interesa. |
| Artikel 22 | Article 22 | Članak 22. |
| Automatisierte Entscheidungen im Einzelfall einschließlich Profiling | Automated individual decision-making, including profiling | Automatizirano pojedinačno donošenje odluka, uključujući izradu profila |
| (1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. | 1. The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her. | 1. Ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno na njega utječu. |
| (2) Absatz 1 gilt nicht, wenn die Entscheidung | 2. Paragraph 1 shall not apply if the decision: | 2. Stavak 1. ne primjenjuje se ako je odluka: |
| a) | für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist, | (a) | is necessary for entering into, or performance of, a contract between the data subject and a data controller; | (a) | potrebna za sklapanje ili izvršenje ugovora između ispitanika i voditelja obrade podataka; |
| b) | aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder | (b) | is authorised by Union or Member State law to which the controller is subject and which also lays down suitable measures to safeguard the data subject's rights and freedoms and legitimate interests; or | (b) | dopuštena pravom Unije ili pravom države članice kojem podliježe voditelj obrade te koje također propisuje odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika; ili |
| c) | mit ausdrücklicher Einwilligung der betroffenen Person erfolgt. | (c) | is based on the data subject's explicit consent. | (c) | temeljena na izričitoj privoli ispitanika. |
| (3) In den in Absatz 2 Buchstaben a und c genannten Fällen trifft der Verantwortliche angemessene Maßnahmen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört. | 3. In the cases referred to in points (a) and (c) of paragraph 2, the data controller shall implement suitable measures to safeguard the data subject's rights and freedoms and legitimate interests, at least the right to obtain human intervention on the part of the controller, to express his or her point of view and to contest the decision. | 3. U slučajevima iz stavka 2. točaka (a) i (c) voditelj obrade provodi odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika, barem prava na ljudsku intervenciju voditelja obrade, prava izražavanja vlastitog stajališta te prava na osporavanje odluke. |
| (4) Entscheidungen nach Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden. | 4. Decisions referred to in paragraph 2 shall not be based on special categories of personal data referred to in Article 9(1), unless point (a) or (g) of Article 9(2) applies and suitable measures to safeguard the data subject's rights and freedoms and legitimate interests are in place. | 4. Odluke iz stavka 2. ne smiju se temeljiti na posebnim kategorijama osobnih podataka iz članka 9. stavka 1., osim ako se primjenjuje članak 9. stavak 2. točka (a) ili (g) te ako su uspostavljene odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika. |
| Abschnitt 5 | Section 5 | Odjeljak 5. |
| Beschränkungen | Restrictions | Ograničenja |
| Artikel 23 | Article 23 | Članak 23. |
| Beschränkungen | Restrictions | Ograničenja |
| (1) Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 und Artikel 34 sowie Artikel 5, insofern dessen Bestimmungen den in den Artikeln 12 bis 22 vorgesehenen Rechten und Pflichten entsprechen, im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt: | 1. Union or Member State law to which the data controller or processor is subject may restrict by way of a legislative measure the scope of the obligations and rights provided for in Articles 12 to 22 and Article 34, as well as Article 5 in so far as its provisions correspond to the rights and obligations provided for in Articles 12 to 22, when such a restriction respects the essence of the fundamental rights and freedoms and is a necessary and proportionate measure in a democratic society to safeguard: | 1. Na temelju prava Unije ili prava države članice kojem podliježu voditelj obrade podataka ili izvršitelj obrade zakonskom mjerom može se ograničiti opseg obveza i prava iz članaka od 12. do 22. i članka 34. te članka 5. ako te odredbe odgovaraju pravima i obvezama predviđenima u člancima od 12. do 22., ako se takvim ograničenjem poštuje bit temeljnih prava i sloboda te ono predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu: |
| a) | die nationale Sicherheit; | (a) | national security; | (a) | nacionalne sigurnosti; |
| b) | die Landesverteidigung; | (b) | defence; | (b) | obrane; |
| c) | die öffentliche Sicherheit; | (c) | public security; | (c) | javne sigurnosti; |
| d) | die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit; | (d) | the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security; | (d) | sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje; |
| e) | den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit; | (e) | other important objectives of general public interest of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation a matters, public health and social security; | (e) | drugih važnih ciljeva od općeg javnog interesa Unije ili države članice, osobito važnog gospodarskog ili financijskog interesa Unije ili države članice, što uključuje monetarna, proračunska i porezna pitanja, javno zdravstvo i socijalnu sigurnost; |
| f) | den Schutz der Unabhängigkeit der Justiz und den Schutz von Gerichtsverfahren; | (f) | the protection of judicial independence and judicial proceedings; | (f) | zaštite neovisnosti pravosuđa i sudskih postupaka; |
| g) | die Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe; | (g) | the prevention, investigation, detection and prosecution of breaches of ethics for regulated professions; | (g) | sprečavanja, istrage, otkrivanja i progona kršenja etike za regulirane struke; |
| h) | Kontroll-, Überwachungs- und Ordnungsfunktionen, die dauernd oder zeitweise mit der Ausübung öffentlicher Gewalt für die unter den Buchstaben a bis e und g genannten Zwecke verbunden sind; | (h) | a monitoring, inspection or regulatory function connected, even occasionally, to the exercise of official authority in the cases referred to in points (a) to (e) and (g); | (h) | funkcije praćenja, inspekcije ili regulatorne funkcije koja je, barem povremeno, povezana s izvršavanjem službene ovlasti u slučajevima iz točaka od (a) do (e) i točke (g); |
| i) | den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen; | (i) | the protection of the data subject or the rights and freedoms of others; | (i) | zaštite ispitanika ili prava i sloboda drugih; |
| j) | die Durchsetzung zivilrechtlicher Ansprüche. | (j) | the enforcement of civil law claims. | (j) | ostvarivanja potraživanja u građanskim sporovima. |
| (2) Jede Gesetzgebungsmaßnahme im Sinne des Absatzes 1 muss insbesondere gegebenenfalls spezifische Vorschriften enthalten zumindest in Bezug auf | 2. In particular, any legislative measure referred to in paragraph 1 shall contain specific provisions at least, where relevant, as to: | 2. Osobito, svaka zakonodavna mjera iz stavka 1. sadrži posebne odredbe, prema potrebi, najmanje o: |
| a) | die Zwecke der Verarbeitung oder die Verarbeitungskategorien, | (a) | the purposes of the processing or categories of processing; | (a) | svrhama obrade ili kategorijama obrade, |
| b) | die Kategorien personenbezogener Daten, | (b) | the categories of personal data; | (b) | kategorijama osobnih podataka, |
| c) | den Umfang der vorgenommenen Beschränkungen, | (c) | the scope of the restrictions introduced; | (c) | opsegu uvedenih ograničenja, |
| d) | die Garantien gegen Missbrauch oder unrechtmäßigen Zugang oder unrechtmäßige Übermittlung; | (d) | the safeguards to prevent abuse or unlawful access or transfer; | (d) | zaštitnim mjerama za sprečavanje zlouporabe ili nezakonitog pristupa ili prijenosa; |
| e) | die Angaben zu dem Verantwortlichen oder den Kategorien von Verantwortlichen, | (e) | the specification of the controller or categories of controllers; | (e) | specifikaciji voditelja obrade ili kategorija voditeljâ obrade, |
| f) | die jeweiligen Speicherfristen sowie die geltenden Garantien unter Berücksichtigung von Art, Umfang und Zwecken der Verarbeitung oder der Verarbeitungskategorien, | (f) | the storage periods and the applicable safeguards taking into account the nature, scope and purposes of the processing or categories of processing; | (f) | razdoblju pohrane i zaštitnim mjerama koje se mogu primijeniti uzimajući u obzir prirodu, opseg i svrhe obrade ili kategorije obrade; |
| g) | die Risiken für die Rechte und Freiheiten der betroffenen Personen und | (g) | the risks to the rights and freedoms of data subjects; and | (g) | rizicima za prava i slobode ispitanika; i |
| h) | das Recht der betroffenen Personen auf Unterrichtung über die Beschränkung, sofern dies nicht dem Zweck der Beschränkung abträglich ist. | (h) | the right of data subjects to be informed about the restriction, unless that may be prejudicial to the purpose of the restriction. | (h) | pravu ispitanika da budu obaviješteni o ograničenju, osim ako može biti štetno za svrhu tog ograničenja. |
| KAPITEL IV | CHAPTER IV | POGLAVLJE IV. |
| Verantwortlicher und Auftragsverarbeiter | Controller and processor | Voditelj obrade i izvršitelj obrade |
| Abschnitt 1 | Section 1 | Odjeljak 1. |
| Allgemeine Pflichten | General obligations | Opće obveze |
| Artikel 24 | Article 24 | Članak 24. |
| Verantwortung des für die Verarbeitung Verantwortlichen | Responsibility of the controller | Obveze voditelja obrade |
| (1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. | 1. Taking into account the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons, the controller shall implement appropriate technical and organisational measures to ensure and to be able to demonstrate that processing is performed in accordance with this Regulation. Those measures shall be reviewed and updated where necessary. | 1. Uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom. Te se mjere prema potrebi preispituju i ažuriraju. |
| (2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen. | 2. Where proportionate in relation to processing activities, the measures referred to in paragraph 1 shall include the implementation of appropriate data protection policies by the controller. | 2. Ako su razmjerne u odnosu na aktivnosti obrade, mjere iz stavka 1. uključuju provedbu odgovarajućih politika zaštite podataka od strane voditelja obrade. |
| (3) Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen. | 3. Adherence to approved codes of conduct as referred to in Article 40 or approved certification mechanisms as referred to in Article 42 may be used as an element by which to demonstrate compliance with the obligations of the controller. | 3. Poštovanje odobrenih kodeksa ponašanja iz članka 40. ili odobrenih mehanizama certificiranja iz članka 42. može se iskoristiti kao element za dokazivanje sukladnosti s obvezama voditelja obrade. |
| Artikel 25 | Article 25 | Članak 25. |
| Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen | Data protection by design and by default | Tehnička i integrirana zaštita podataka |
| (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. | 1. Taking into account the state of the art, the cost of implementation and the nature, scope, context and purposes of processing as well as the risks of varying likelihood and severity for rights and freedoms of natural persons posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data-protection principles, such as data minimisation, in an effective manner and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects. | 1. Uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, voditelj obrade, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, za omogućavanje učinkovite primjene načela zaštite podataka, kao što je smanjenje količine podataka, te uključenje zaštitnih mjera u obradu kako bi se ispunili zahtjevi iz ove Uredbe i zaštitila prava ispitanika. |
| (2) Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. | 2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed. That obligation applies to the amount of personal data collected, the extent of their processing, the period of their storage and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual's intervention to an indefinite number of natural persons. | 2. Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca. |
| (3) Ein genehmigtes Zertifizierungsverfahren gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen. | 3. An approved certification mechanism pursuant to Article 42 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2 of this Article. | 3. Odobren mehanizam certificiranja sukladno članku 42. može se iskoristiti kao element za dokazivanje sukladnosti sa zahtjevima iz stavaka 1. i 2. ovog članka. |
| Artikel 26 | Article 26 | Članak 26. |
| Gemeinsam für die Verarbeitung Verantwortliche | Joint controllers | Zajednički voditelji obrade |
| (1) Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche. Sie legen in einer Vereinbarung in transparenter Form fest, wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt, sofern und soweit die jeweiligen Aufgaben der Verantwortlichen nicht durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen die Verantwortlichen unterliegen, festgelegt sind. In der Vereinbarung kann eine Anlaufstelle für die betroffenen Personen angegeben werden. | 1. Where two or more controllers jointly determine the purposes and means of processing, they shall be joint controllers. They shall in a transparent manner determine their respective responsibilities for compliance with the obligations under this Regulation, in particular as regards the exercising of the rights of the data subject and their respective duties to provide the information referred to in Articles 13 and 14, by means of an arrangement between them unless, and in so far as, the respective responsibilities of the controllers are determined by Union or Member State law to which the controllers are subject. The arrangement may designate a contact point for data subjects. | 1. Ako dvoje ili više voditelja obrade zajednički odrede svrhe i načine obrade, oni su zajednički voditelji obrade. Oni na transparentan način određuju svoje odgovornosti za poštovanje obveza iz ove Uredbe, osobito s obzirom na ostvarivanje prava ispitanika i svojih dužnosti u pogledu pružanja informacija iz članaka 13. i 14., te to čine međusobnim dogovorom, osim ako su odgovornosti voditeljâ obrade utvrđene pravom Unije ili pravom države članice kojem voditelji obrade podliježu i u mjeri u kojoj su one utvrđene. Dogovorom se može odrediti kontaktna točka za ispitanike. |
| (2) Die Vereinbarung gemäß Absatz 1 muss die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegeln. Das wesentliche der Vereinbarung wird der betroffenen Person zur Verfügung gestellt. | 2. The arrangement referred to in paragraph 1 shall duly reflect the respective roles and relationships of the joint controllers vis-à-vis the data subjects. The essence of the arrangement shall be made available to the data subject. | 2. Dogovor iz stavka 1. mora odražavati pojedinačne uloge i odnose zajedničkih voditelja obrade u odnosu na ispitanike. Bit dogovora mora biti dostupna ispitaniku. |
| (3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen. | 3. Irrespective of the terms of the arrangement referred to in paragraph 1, the data subject may exercise his or her rights under this Regulation in respect of and against each of the controllers. | 3. Bez obzira na uvjete dogovora iz stavka 1. ispitanik može ostvarivati svoja prava iz ove Uredbe u vezi sa svakim voditeljem obrade, kao i protiv svakog od njih. |
| Artikel 27 | Article 27 | Članak 27. |
| Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern | Representatives of controllers or processors not established in the Union | Predstavnici voditeljâ obrade ili izvršitelja obrade koji nemaju poslovni nastan u Uniji |
| (1) In den Fällen gemäß Artikel 3 Absatz 2 benennt der Verantwortliche oder der Auftragsverarbeiter schriftlich einen Vertreter in der Union. | 1. Where Article 3(2) applies, the controller or the processor shall designate in writing a representative in the Union. | 1. Ako se primjenjuje članak 3. stavak 2., voditelj obrade ili izvršitelj obrade pisanim putem imenuju predstavnika u Uniji. |
| (2) Die Pflicht gemäß Absatz 1 des vorliegenden Artikels gilt nicht für | 2. The obligation laid down in paragraph 1 of this Article shall not apply to: | 2. Ova se obveza iz stavka 1. ovog članka ne primjenjuje na: |
| a) | eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder | (a) | processing which is occasional, does not include, on a large scale, processing of special categories of data as referred to in Article 9(1) or processing of personal data relating to criminal convictions and offences referred to in Article 10, and is unlikely to result in a risk to the rights and freedoms of natural persons, taking into account the nature, context, scope and purposes of the processing; or | (a) | obradu koja je povremena, ne uključuje u velikoj mjeri obradu posebnih kategorija podataka iz članka 9. stavka 1. ili obradu osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. te za koju nije vjerojatno da će prouzročiti rizik za prava i slobode pojedinaca uzimajući u obzir prirodu, kontekst, opseg i svrhe obrade; ili |
| b) | Behörden oder öffentliche Stellen. | (b) | a public authority or body. | (b) | tijelo javne vlasti ili javno tijelo. |
| (3) Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden. | 3. The representative shall be established in one of the Member States where the data subjects, whose personal data are processed in relation to the offering of goods or services to them, or whose behaviour is monitored, are. | 3. Predstavnik mora imati poslovni nastan u jednoj od država članica u kojoj se nalaze ispitanici čiji se osobni podaci obrađuju u vezi s robom ili uslugama koje im se nude ili čije se ponašanje prati. |
| (4) Der Vertreter wird durch den Verantwortlichen oder den Auftragsverarbeiter beauftragt, zusätzlich zu diesem oder an seiner Stelle insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle zu dienen. | 4. The representative shall be mandated by the controller or processor to be addressed in addition to or instead of the controller or the processor by, in particular, supervisory authorities and data subjects, on all issues related to processing, for the purposes of ensuring compliance with this Regulation. | 4. Voditelj obrade ili izvršitelj obrade ovlašćuju predstavnika kako bi se, uz obraćanje voditelju obrade ili izvršitelju obrade ili umjesto obraćanja njima, njemu obraćali osobito nadzorna tijela i ispitanici u pogledu svih pitanja u vezi s obradom za potrebe osiguravanja sukladnosti s ovom Uredbom. |
| (5) Die Benennung eines Vertreters durch den Verantwortlichen oder den Auftragsverarbeiter erfolgt unbeschadet etwaiger rechtlicher Schritte gegen den Verantwortlichen oder den Auftragsverarbeiter selbst. | 5. The designation of a representative by the controller or processor shall be without prejudice to legal actions which could be initiated against the controller or the processor themselves. | 5. Imenovanje predstavnika voditelja obrade ili izvršitelja obrade ne utječe na pravne zahtjeve koji bi mogle biti postavljeni protiv samog voditelja obrade ili izvršitelja obrade. |
| Artikel 28 | Article 28 | Članak 28. |
| Auftragsverarbeiter | Processor | Izvršitelj obrade |
| (1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. | 1. Where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject. | 1. Ako se obrada provodi u ime voditelja obrade, voditelj obrade koristi se jedino izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz ove Uredbe i da se njome osigurava zaštita prava ispitanika. |
| (2) Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. | 2. The processor shall not engage another processor without prior specific or general written authorisation of the controller. In the case of general written authorisation, the processor shall inform the controller of any intended changes concerning the addition or replacement of other processors, thereby giving the controller the opportunity to object to such changes. | 2. Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja, izvršitelj obrade obavješćuje voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da uloži prigovor na takve izmjene. |
| (3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter | 3. Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller. That contract or other legal act shall stipulate, in particular, that the processor: | 3. Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom osobito određuje da izvršitelj obrade: |
| a) | die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen — auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation — verarbeitet, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet; | (a) | processes the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country or an international organisation, unless required to do so by Union or Member State law to which the processor is subject; in such a case, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest; | (a) | obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade, među ostalim s obzirom na prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade; u tom slučaju izvršitelj obrade izvješćuje voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo izvješćivanje zbog važnih razloga od javnog interesa; |
| b) | gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen; | (b) | ensures that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality; | (b) | osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti; |
| c) | alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift; | (c) | takes all measures required pursuant to Article 32; | (c) | poduzima sve potrebne mjere u skladu s člankom 32.; |
| d) | die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält; | (d) | respects the conditions referred to in paragraphs 2 and 4 for engaging another processor; | (d) | poštuje uvjete iz stavaka 2. i 4. za angažiranje drugog izvršitelja obrade; |
| e) | angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III genannten Rechte der betroffenen Person nachzukommen; | (e) | taking into account the nature of the processing, assists the controller by appropriate technical and organisational measures, insofar as this is possible, for the fulfilment of the controller's obligation to respond to requests for exercising the data subject's rights laid down in Chapter III; | (e) | uzimajući u obzir prirodu obrade, pomaže voditelju obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III.; |
| f) | unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt; | (f) | assists the controller in ensuring compliance with the obligations pursuant to Articles 32 to 36 taking into account the nature of processing and the information available to the processor; | (f) | pomaže voditelju obrade u osiguravanju usklađenosti s obvezama u skladu s člancima od 32. do 36., uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade; |
| g) | nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht; | (g) | at the choice of the controller, deletes or returns all the personal data to the controller after the end of the provision of services relating to processing, and deletes existing copies unless Union or Member State law requires storage of the personal data; | (g) | po izboru voditelja, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka; |
| h) | dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. | (h) | makes available to the controller all information necessary to demonstrate compliance with the obligations laid down in this Article and allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller. | (h) | voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u ovom članku i koje omogućuju revizije, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose. |
| Mit Blick auf Unterabsatz 1 Buchstabe h informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. | With regard to point (h) of the first subparagraph, the processor shall immediately inform the controller if, in its opinion, an instruction infringes this Regulation or other Union or Member State data protection provisions. | U pogledu točke (h) prvog podstavka, izvršitelj obrade odmah obavješćuje voditelja obrade ako prema njegovu mišljenju određena uputa krši ovu Uredbu ili druge odredbe Unije ili države članice o zaštiti podataka. |
| (4) Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters. | 4. Where a processor engages another processor for carrying out specific processing activities on behalf of the controller, the same data protection obligations as set out in the contract or other legal act between the controller and the processor as referred to in paragraph 3 shall be imposed on that other processor by way of a contract or other legal act under Union or Member State law, in particular providing sufficient guarantees to implement appropriate technical and organisational measures in such a manner that the processing will meet the requirements of this Regulation. Where that other processor fails to fulfil its data protection obligations, the initial processor shall remain fully liable to the controller for the performance of that other processor's obligations. | 4. Ako izvršitelj obrade angažira drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja obrade, iste obveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade iz stavka 3. nameću se tom drugom izvršitelju obrade ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, a osobito obveza davanja dostatnih jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera na način da se obradom udovoljava zahtjevima iz ove Uredbe. Ako taj drugi izvršitelj obrade ne ispunjava obveze zaštite podataka, početni izvršitelj obrade ostaje u cijelosti odgovoran voditelju obrade za izvršavanje obveza tog drugog izvršitelja obrade. |
| (5) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne der Absätze 1 und 4 des vorliegenden Artikels nachzuweisen. | 5. Adherence of a processor to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate sufficient guarantees as referred to in paragraphs 1 and 4 of this Article. | 5. Poštovanje od strane izvršitelja obrade odobrenih kodeksa ponašanja iz članka 40. ili odobrenog mehanizma certificiranja iz članka 42. može se koristiti kao element za dokazivanje pružanja dovoljnih jamstava iz stavaka 1. i 4. ovog članka. |
| (6) Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, auch wenn diese Bestandteil einer dem Verantwortlichen oder dem Auftragsverarbeiter gemäß den Artikeln 42 und 43 erteilten Zertifizierung sind. | 6. Without prejudice to an individual contract between the controller and the processor, the contract or the other legal act referred to in paragraphs 3 and 4 of this Article may be based, in whole or in part, on standard contractual clauses referred to in paragraphs 7 and 8 of this Article, including when they are part of a certification granted to the controller or processor pursuant to Articles 42 and 43. | 6. Ne dovodeći u pitanje pojedinačni ugovor između voditelja obrade i izvršitelja obrade, ugovor ili drugi pravni akt iz stavaka 3. i 4.ovog članka može se temeljiti, u cijelosti ili djelomično, na standardnim ugovornim klauzulama iz stavaka 7. i 8. ovog članka, među ostalim klauzulama koje su dio certifikata dodijeljenog voditelju obrade ili izvršitelju obrade u skladu s člancima 42. i 43. |
| (7) Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 87 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen. | 7. The Commission may lay down standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the examination procedure referred to in Article 93(2). | 7. Komisija može utvrditi standardne ugovorne klauzule za pitanja iz stavka 3. i 4.ovog članka,a u skladu s postupkom ispitivanja iz članka 93. stavka 2. |
| (8) Eine Aufsichtsbehörde kann im Einklang mit dem Kohärenzverfahren gemäß Artikel 63 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen. | 8. A supervisory authority may adopt standard contractual clauses for the matters referred to in paragraph 3 and 4 of this Article and in accordance with the consistency mechanism referred to in Article 63. | 8. Nadzorno tijelo može donijeti standardne ugovorne klauzule za pitanja iz stavka 3. i 4.ovog članka, a u skladu s mehanizmom za usklađivanje iz članka 63. |
| (9) Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann. | 9. The contract or the other legal act referred to in paragraphs 3 and 4 shall be in writing, including in electronic form. | 9. Ugovor ili drugi pravni akt iz stavaka 3. i 4. mora biti upisanom obliku, uključujući elektronički oblik. |
| (10) Unbeschadet der Artikel 82, 83 und 84 gilt ein Auftragsverarbeiter, der unter Verstoß gegen diese Verordnung die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher. | 10. Without prejudice to Articles 82, 83 and 84, if a processor infringes this Regulation by determining the purposes and means of processing, the processor shall be considered to be a controller in respect of that processing. | 10. Ne dovodeći u pitanje članke 82., 83. i 84., ako izvršitelj obrade krši ovu Uredbu utvrđivanjem svrhe i načine obrade podataka, izvršitelj obrade smatra se voditeljem obrade u pogledu te obrade. |
| Artikel 29 | Article 29 | Članak 29. |
| Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters | Processing under the authority of the controller or processor | Obrada pod vodstvom voditelja obrade ili izvršitelja obrade |
| Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind. | The processor and any person acting under the authority of the controller or of the processor, who has access to personal data, shall not process those data except on instructions from the controller, unless required to do so by Union or Member State law. | Izvršitelj obrade i bilo koja osoba koja djeluje pod vodstvom voditelja obrade ili izvršitelja obrade koja ima pristup osobnim podacima, ne obrađuje te podatke ako to ne zatraži voditelj obrade, osim ako to nalaže pravo Unije ili pravo države članice. |
| Artikel 30 | Article 30 | Članak 30. |
| Verzeichnis von Verarbeitungstätigkeiten | Records of processing activities | Evidencija aktivnosti obrade |
| (1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben: | 1. Each controller and, where applicable, the controller's representative, shall maintain a record of processing activities under its responsibility. That record shall contain all of the following information: | 1. Svaki voditelj obrade i predstavnik voditelja obrade, ako je primjenjivo, vodi evidenciju aktivnosti obrade za koje je odgovoran. Ta evidencija sadržava sve sljedeće informacije: |
| a) | den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten; | (a) | the name and contact details of the controller and, where applicable, the joint controller, the controller's representative and the data protection officer; | (a) | ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka; |
| b) | die Zwecke der Verarbeitung; | (b) | the purposes of the processing; | (b) | svrhe obrade; |
| c) | eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; | (c) | a description of the categories of data subjects and of the categories of personal data; | (c) | opis kategorija ispitanika i kategorija osobnih podataka; |
| d) | die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen; | (d) | the categories of recipients to whom the personal data have been or will be disclosed including recipients in third countries or international organisations; | (d) | kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije; |
| e) | gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; | (e) | where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards; | (e) | ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. drugog podstavka, dokumentaciju o odgovarajućim zaštitnim mjerama; |
| f) | wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; | (f) | where possible, the envisaged time limits for erasure of the different categories of data; | (f) | ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka; |
| g) | wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. | (g) | where possible, a general description of the technical and organisational security measures referred to in Article 32(1). | (g) | ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1. |
| (2) Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält: | 2. Each processor and, where applicable, the processor's representative shall maintain a record of all categories of processing activities carried out on behalf of a controller, containing: | 2. Svaki izvršitelj obrade i predstavnik izvršitelja obrade, ako je primjenjivo, vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade, koja sadržava: |
| a) | den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten; | (a) | the name and contact details of the processor or processors and of each controller on behalf of which the processor is acting, and, where applicable, of the controller's or the processor's representative, and the data protection officer; | (a) | ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te, ako je primjenjivo, predstavnika voditelja obrade ili izvršitelja obrade te službenika za zaštitu podataka; |
| b) | die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden; | (b) | the categories of processing carried out on behalf of each controller; | (b) | kategorije obrade koje se obavljaju u ime svakog voditelja obrade; |
| c) | gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; | (c) | where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards; | (c) | ako je primjenjivo, prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. točke (h), dokumentaciju o odgovarajućim zaštitnim mjerama; |
| d) | wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. | (d) | where possible, a general description of the technical and organisational security measures referred to in Article 32(1). | (d) | ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1. |
| (3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann. | 3. The records referred to in paragraphs 1 and 2 shall be in writing, including in electronic form. | 3. Evidencija iz stavaka 1. i 2. mora biti u pisanom obliku, uključujući elektronički oblik. |
| (4) Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung. | 4. The controller or the processor and, where applicable, the controller's or the processor's representative, shall make the record available to the supervisory authority on request. | 4. Voditelj obrade ili izvršitelj obrade te predstavnik voditelja obrade ili izvršitelja obrade, ako je primjenjivo, na zahtjev daju nadzornom tijelu uvid u evidenciju. |
| (5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt. | 5. The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 250 persons unless the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects, the processing is not occasional, or the processing includes special categories of data as referred to in Article 9(1) or personal data relating to criminal convictions and offences referred to in Article 10. | 5. Obveze iz stavaka 1. i 2. ne primjenjuju se na poduzeće ili organizaciju u kojoj je zaposleno manje od 250 osoba, osim ako će obrada koju provodi vjerojatno prouzročiti visok rizik za prava i slobode ispitanika, ako obrada nije povremena ili obrada uključuje posebne kategorije podataka iz članka 9. stavka 1. ili je riječ o osobnim podacima u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. |
| Artikel 31 | Article 31 | Članak 31. |
| Zusammenarbeit mit der Aufsichtsbehörde | Cooperation with the supervisory authority | Suradnja s nadzornim tijelom |
| Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. | The controller and the processor and, where applicable, their representatives, shall cooperate, on request, with the supervisory authority in the performance of its tasks. | Voditelj obrade i izvršitelj obrade te, ako je to primjenjivo, njihovi predstavnici, na zahtjev surađuju s nadzornim tijelom u ispunjavanju njegovih zadaća. |
| Abschnitt 2 | Section 2 | Odjeljak 2. |
| Sicherheit personenbezogener Daten | Security of personal data | Sigurnost osobnih podataka |
| Artikel 32 | Article 32 | Članak 32. |
| Sicherheit der Verarbeitung | Security of processing | Sigurnost obrade |
| (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: | 1. Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, the controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate: | 1. Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi: |
| a) | die Pseudonymisierung und Verschlüsselung personenbezogener Daten; | (a) | the pseudonymisation and encryption of personal data; | (a) | pseudonimizaciju i enkripciju osobnih podataka; |
| b) | die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; | (b) | the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services; | (b) | sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade; |
| c) | die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; | (c) | the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident; | (c) | sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta; |
| d) | ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. | (d) | a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing. | (d) | proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade. |
| (2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. | 2. In assessing the appropriate level of security account shall be taken in particular of the risks that are presented by processing, in particular from accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to personal data transmitted, stored or otherwise processed. | 2. Prilikom procjene odgovarajuće razine sigurnosti u obzir se posebno uzimaju rizici koje predstavlja obrada, posebno rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani. |
| (3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen. | 3. Adherence to an approved code of conduct as referred to in Article 40 or an approved certification mechanism as referred to in Article 42 may be used as an element by which to demonstrate compliance with the requirements set out in paragraph 1 of this Article. | 3. Poštovanje odobrenog kodeksa ponašanja iz članka 40. ili odobrenog mehanizma certificiranja iz članka 42. može se iskoristiti kao element za dokazivanje sukladnosti sa zahtjevima iz stavka 1. ovog članka. |
| (4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet. | 4. The controller and processor shall take steps to ensure that any natural person acting under the authority of the controller or the processor who has access to personal data does not process them except on instructions from the controller, unless he or she is required to do so by Union or Member State law. | 4. Voditelj obrade i izvršitelj obrade poduzimaju mjere kako bi osigurali da svaki pojedinac koji djeluje pod odgovornošću voditelja obrade ili izvršitelja obrade, a koji ima pristup osobnim podacima, ne obrađuje te podatke ako to nije prema uputama voditelja obrade, osim ako je to obvezan učiniti prema pravu Unije ili pravu države članice. |
| Artikel 33 | Article 33 | Članak 33. |
| Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde | Notification of a personal data breach to the supervisory authority | Izvješćivanje nadzornog tijela o povredi osobnih podataka |
| (1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. | 1. In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay. | 1. U slučaju povrede osobnih podataka voditelj obrade bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje nadzorno tijelo nadležno u skladu s člankom 55. o povredi osobnih podataka, osim ako nije vjerojatno da će povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje nije učinjeno unutar 72 sata, mora biti popraćeno razlozima za kašnjenje. |
| (2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich. | 2. The processor shall notify the controller without undue delay after becoming aware of a personal data breach. | 2. Izvršitelj obrade bez nepotrebnog odgađanja izvješćuje voditelja obrade nakon što sazna za povredu osobnih podataka. |
| (3) Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen: | 3. The notification referred to in paragraph 1 shall at least: | 3. U izvješćivanju iz stavka 1. mora se barem: |
| a) | eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; | (a) | describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned; | (a) | opisati priroda povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj dotičnih ispitanika te kategorije i približan broj dotičnih evidencija osobnih podataka; |
| b) | den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; | (b) | communicate the name and contact details of the data protection officer or other contact point where more information can be obtained; | (b) | navesti ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još informacija; |
| c) | eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; | (c) | describe the likely consequences of the personal data breach; | (c) | opisati vjerojatne posljedice povrede osobnih podataka; |
| d) | eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. | (d) | describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects. | (d) | opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica. |
| (4) Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen. | 4. Where, and in so far as, it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay. | 4. Ako i u onoj mjeri u kojoj nije moguće istodobno pružiti informacije, informacije je moguće postupno pružati bez nepotrebnog daljnjeg odgađanja. |
| (5) Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen. | 5. The controller shall document any personal data breaches, comprising the facts relating to the personal data breach, its effects and the remedial action taken. That documentation shall enable the supervisory authority to verify compliance with this Article. | 5. Voditelj obrade dokumentira sve povrede osobnih podataka, uključujući činjenice vezane zapovredu osobnih podataka, njezine posljedice i mjere poduzete za popravljanje štete. Ta dokumentacija nadzornom tijelu omogućuje provjeru poštovanja ovog članka. |
| Artikel 34 | Article 34 | Članak 34. |
| Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person | Communication of a personal data breach to the data subject | Obavješćivanje ispitanika o povredi osobnih podataka |
| (1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung. | 1. When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall communicate the personal data breach to the data subject without undue delay. | 1. U slučaju povrede osobnih podataka koje će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade bez nepotrebnog odgađanja obavješćuje ispitanika o povredi osobnih podataka. |
| (2) Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen. | 2. The communication to the data subject referred to in paragraph 1 of this Article shall describe in clear and plain language the nature of the personal data breach and contain at least the information and measures referred to in points (b), (c) and (d) of Article 33(3). | 2. Obavješćivanjem ispitanika iz stavka 1. ovog članka opisuje se priroda povrede osobnih podataka uporabom jasnog i jednostavnog jezika te ono sadržava barem informacije i mjere iz članka 33. stavka 3. točaka (b), (c) i (d). |
| (3) Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist: | 3. The communication to the data subject referred to in paragraph 1 shall not be required if any of the following conditions are met: | 3. Obavješćivanje ispitanika iz stavka 1. nije obvezno ako je ispunjen bilo koji od sljedećih uvjeta: |
| a) | der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung; | (a) | the controller has implemented appropriate technical and organisational protection measures, and those measures were applied to the personal data affected by the personal data breach, in particular those that render the personal data unintelligible to any person who is not authorised to access it, such as encryption; | (a) | voditelj obrade poduzeo je odgovarajuće tehničke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom osobnih podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija; |
| b) | der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht; | (b) | the controller has taken subsequent measures which ensure that the high risk to the rights and freedoms of data subjects referred to in paragraph 1 is no longer likely to materialise; | (b) | voditelj obrade poduzeo je naknadne mjere kojima se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika iz stavka 1.; |
| c) | dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden. | (c) | it would involve disproportionate effort. In such a case, there shall instead be a public communication or similar measure whereby the data subjects are informed in an equally effective manner. | (c) | time bi se zahtijevao nerazmjeran napor. U takvom slučaju mora postojati javno obavješćivanje ili slična mjera kojom se ispitanici obavješćuju na jednako djelotvoran način. |
| (4) Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen, oder sie kann mit einem Beschluss feststellen, dass bestimmte der in Absatz 3 genannten Voraussetzungen erfüllt sind. | 4. If the controller has not already communicated the personal data breach to the data subject, the supervisory authority, having considered the likelihood of the personal data breach resulting in a high risk, may require it to do so or may decide that any of the conditions referred to in paragraph 3 are met. | 4. Ako voditelj obrade nije do tog trenutka obavijestio ispitanika o povredi osobnih podataka, nakon razmatranja razine vjerojatnosti da će povreda osobnih podataka prouzročiti visok rizik, nadzorno tijelo može od njega zahtijevati da to učini ili može zaključiti da je ispunjen neki od uvjeta navedenih u stavku 3. |
| Abschnitt 3 | Section 3 | Odjeljak 3. |
| Datenschutz-Folgenabschätzung und vorherige Konsultation | Data protection impact assessment and prior consultation | Procjena učinka na zaštitu podataka i prethodno savjetovanje |
| Artikel 35 | Article 35 | Članak 35. |
| Datenschutz-Folgenabschätzung | Data protection impact assessment | Procjena učinka na zaštitu podataka |
| (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. | 1. Where a type of processing in particular using new technologies, and taking into account the nature, scope, context and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons, the controller shall, prior to the processing, carry out an assessment of the impact of the envisaged processing operations on the protection of personal data. A single assessment may address a set of similar processing operations that present similar high risks. | 1. Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka. Jedna procjena može se odnositi na niz sličnih postupaka obrade koji predstavljaju slične visoke rizike. |
| (2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein. | 2. The controller shall seek the advice of the data protection officer, where designated, when carrying out a data protection impact assessment. | 2. Pri provođenju procjene učinka na zaštitu podataka voditelj obrade traži savjet od službenika za zaštitu podataka, ako je on imenovan. |
| (3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: | 3. A data protection impact assessment referred to in paragraph 1 shall in particular be required in the case of: | 3. Procjena učinka na zaštitu podataka iz stavka 1. obvezna je osobito u slučaju: |
| a) | systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; | (a) | a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person; | (a) | sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca; |
| b) | umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder | (b) | processing on a large scale of special categories of data referred to in Article 9(1), or of personal data relating to criminal convictions and offences referred to in Article 10; or | (b) | opsežne obrade posebnih kategorija osobnih podataka iz članka 9. stavka 1. ili podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.; ili |
| c) | systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. | (c) | a systematic monitoring of a publicly accessible area on a large scale. | (c) | sustavnog praćenja javno dostupnog područja u velikoj mjeri. |
| (4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss. | 4. The supervisory authority shall establish and make public a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment pursuant to paragraph 1. The supervisory authority shall communicate those lists to the Board referred to in Article 68. | 4. Nadzorno tijelo uspostavlja i javno objavljuje popis vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka u skladu sa stavkom 1. Nadzorno tijelo priopćuje te popise Odboru iz članka 68. |
| (5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss. | 5. The supervisory authority may also establish and make public a list of the kind of processing operations for which no data protection impact assessment is required. The supervisory authority shall communicate those lists to the Board. | 5. Nadzorno tijelo može također uspostaviti i javno objaviti popis vrsta postupaka obrade za koje nije potrebna procjena učinka na zaštitu podataka. Nadzorno tijelo priopćuje te popise Odboru. |
| (6) Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten. | 6. Prior to the adoption of the lists referred to in paragraphs 4 and 5, the competent supervisory authority shall apply the consistency mechanism referred to in Article 63 where such lists involve processing activities which are related to the offering of goods or services to data subjects or to the monitoring of their behaviour in several Member States, or may substantially affect the free movement of personal data within the Union. | 6. Prije usvajanja popisa iz stavaka 4. i 5. nadležno nadzorno tijelo primjenjuje mehanizam konzistentnosti iz članka 63. kada takvi popisi obuhvaćaju aktivnosti obrade koje su povezane s ponudom robe ili usluga ispitanicima ili s praćenjem njihova ponašanja u nekoliko država članica ili koje mogu znatno utjecati na slobodno kretanje osobnih podataka unutar Unije. |
| (7) Die Folgenabschätzung enthält zumindest Folgendes: | 7. The assessment shall contain at least: | 7. Procjena sadrži barem: |
| a) | eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen; | (a) | a systematic description of the envisaged processing operations and the purposes of the processing, including, where applicable, the legitimate interest pursued by the controller; | (a) | sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući, ako je primjenjivo, legitimni interes voditelja obrade; |
| b) | eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck; | (b) | an assessment of the necessity and proportionality of the processing operations in relation to the purposes; | (b) | procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama; |
| c) | eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und | (c) | an assessment of the risks to the rights and freedoms of data subjects referred to in paragraph 1; and | (c) | procjenu rizika za prava i slobode ispitanikâ iz stavka 1.; i |
| d) | die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. | (d) | the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation taking into account the rights and legitimate interests of data subjects and other persons concerned. | (d) | mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s ovom Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba. |
| (8) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen. | 8. Compliance with approved codes of conduct referred to in Article 40 by the relevant controllers or processors shall be taken into due account in assessing the impact of the processing operations performed by such controllers or processors, in particular for the purposes of a data protection impact assessment. | 8. Poštovanje odobrenih kodeksa ponašanja iz članka 40. od strane relevantnih voditelja obrade ili izvršitelja obrade uzima se u obzir pri procjeni učinka postupaka obrade koje provode ti voditelji obrade ili izvršitelji obrade, posebno u svrhe procjene učinka na zaštitu podataka. |
| (9) Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein. | 9. Where appropriate, the controller shall seek the views of data subjects or their representatives on the intended processing, without prejudice to the protection of commercial or public interests or the security of processing operations. | 9. Prema potrebi voditelj obrade od ispitanika ili njihovih predstavnika traži mišljenje o namjeravanoj obradi, ne dovodeći u pitanje komercijalne ili javne interese ili sigurnost postupka obrade. |
| (10) Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen. | 10. Where processing pursuant to point (c) or (e) of Article 6(1) has a legal basis in Union law or in the law of the Member State to which the controller is subject, that law regulates the specific processing operation or set of operations in question, and a data protection impact assessment has already been carried out as part of a general impact assessment in the context of the adoption of that legal basis, paragraphs 1 to 7 shall not apply unless Member States deem it to be necessary to carry out such an assessment prior to processing activities. | 10. Ako obrada u skladu s člankom 6. stavkom 1. točkom (c) ili (e) ima pravnu osnovu u pravu Unije ili pravu države članice kojem voditelj obrade podliježe, ako su tim pravom uređuju posebni postupci obrade ili skupina dotičnih postupaka te je procjena učinka na zaštitu podataka već provedena kao dio opće procjene učinka u kontekstu donošenja pravne osnove, stavci od 1. do 7. ne primjenjuju se, osim ako države članice smatraju da je potrebnoprovesti takvu procjenu prije aktivnosti obrade. |
| (11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind. | 11. Where necessary, the controller shall carry out a review to assess if processing is performed in accordance with the data protection impact assessment at least when there is a change of the risk represented by processing operations. | 11. Prema potrebi voditelj obrade provodi preispitivanje kako bi procijenio je li obrada provedena u skladu s procjenom učinka na zaštitu podataka barem onda kada postoji promjena u razini rizika koji predstavljaju postupci obrade. |
| Artikel 36 | Article 36 | Članak 36. |
| Vorherige Konsultation | Prior consultation | Prethodno savjetovanje |
| (1) Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. | 1. The controller shall consult the supervisory authority prior to processing where a data protection impact assessment under Article 35 indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk. | 1. Voditelj obrade savjetuje se s nadzornim tijelom prije obrade ako se procjenom učinka na zaštitu podataka iz članka 35. pokazalo da bi, u slučaju da voditelj obrade ne donese mjere za ublažavanje rizika, obrada dovela do visokog rizika. |
| (2) Falls die Aufsichtsbehörde der Auffassung ist, dass die geplante Verarbeitung gemäß Absatz 1 nicht im Einklang mit dieser Verordnung stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraums von bis zu acht Wochen nach Erhalt des Ersuchens um Konsultation entsprechende schriftliche Empfehlungen und kann ihre in Artikel 58 genannten Befugnisse ausüben. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um sechs Wochen verlängert werden. Die Aufsichtsbehörde unterrichtet den Verantwortlichen oder gegebenenfalls den Auftragsverarbeiter über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Antrags auf Konsultation zusammen mit den Gründen für die Verzögerung. Diese Fristen können ausgesetzt werden, bis die Aufsichtsbehörde die für die Zwecke der Konsultation angeforderten Informationen erhalten hat. | 2. Where the supervisory authority is of the opinion that the intended processing referred to in paragraph 1 would infringe this Regulation, in particular where the controller has insufficiently identified or mitigated the risk, the supervisory authority shall, within period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller and, where applicable to the processor, and may use any of its powers referred to in Article 58. That period may be extended by six weeks, taking into account the complexity of the intended processing. The supervisory authority shall inform the controller and, where applicable, the processor, of any such extension within one month of receipt of the request for consultation together with the reasons for the delay. Those periods may be suspended until the supervisory authority has obtained information it has requested for the purposes of the consultation. | 2. Ako nadzorno tijelo smatra da bi se namjeravanom obradom iz stavka 1. kršila ova Uredba, osobito ako voditelj obrade nije u dovoljnoj mjeri utvrdio ili umanjio rizik, nadzorno tijelo u roku od najviše osam tjedana od zaprimanja zahtjeva za savjetovanje pisanim putem savjetuje voditelja obrade i, prema potrebi, izvršitelja obrade, te može iskoristiti bilo koju od svojih ovlasti iz članka 58. Taj se rok može prema potrebi produžiti za šest tjedana, uzimajući u obzir složenost namjeravane obrade. Nadzorno tijelo u roku od mjesec dana od zaprimanja zahtjeva obavješćuje voditelja obrade, i, prema potrebi, izvršitelja obrade o svakom takvom produljenju i o razlozima odgode. Ti se rokovi mogu suspendirati sve dok nadzorno tijelo ne dobije informacije koje je moglo zatražiti u svrhe savjetovanja. |
| (3) Der Verantwortliche stellt der Aufsichtsbehörde bei einer Konsultation gemäß Absatz 1 folgende Informationen zur Verfügung: | 3. When consulting the supervisory authority pursuant to paragraph 1, the controller shall provide the supervisory authority with: | 3. Prilikom savjetovanja s nadzornim tijelom u skladu sa stavkom 1. voditelj obrade nadzornom tijelu dostavlja: |
| a) | gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen; | (a) | where applicable, the respective responsibilities of the controller, joint controllers and processors involved in the processing, in particular for processing within a group of undertakings; | (a) | ako je primjenjivo, odgovarajuće odgovornosti voditelja obrade, zajedničkih voditelja obrade i izvršitelja obrade uključenih u obradu, osobito za obrade unutar grupe poduzetnika; |
| b) | die Zwecke und die Mittel der beabsichtigten Verarbeitung; | (b) | the purposes and means of the intended processing; | (b) | svrhu i sredstva namjeravane obrade; |
| c) | die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien; | (c) | the measures and safeguards provided to protect the rights and freedoms of data subjects pursuant to this Regulation; | (c) | zaštitne mjere i druge mjere za zaštitu prava i sloboda ispitanika u na temelju ove Uredbe; |
| d) | gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; | (d) | where applicable, the contact details of the data protection officer; | (d) | ako je primjenjivo, kontaktne podatke službenika za zaštitu podataka; |
| e) | die Datenschutz-Folgenabschätzung gemäß Artikel 35 und | (e) | the data protection impact assessment provided for in Article 35; and | (e) | procjenu učinka na zaštitu podataka kako je predviđena u članku 35.; i |
| f) | alle sonstigen von der Aufsichtsbehörde angeforderten Informationen. | (f) | any other information requested by the supervisory authority. | (f) | sve druge informacije koje nadzorno tijelo zatraži. |
| (4) Die Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der Ausarbeitung eines Vorschlags für von einem nationalen Parlament zu erlassende Gesetzgebungsmaßnahmen oder von auf solchen Gesetzgebungsmaßnahmen basierenden Regelungsmaßnahmen, die die Verarbeitung betreffen. | 4. Member States shall consult the supervisory authority during the preparation of a proposal for a legislative measure to be adopted by a national parliament, or of a regulatory measure based on such a legislative measure, which relates to processing. | 4. Države članice savjetuju se s nadzornim tijelom tijekom izrade prijedloga zakonodavne mjere koju donosi nacionalni parlament ili podzakonske mjere koja se temelji na takvoj zakonodavnoj mjeri, a koja se odnosi na obradu. |
| (5) Ungeachtet des Absatzes 1 können Verantwortliche durch das Recht der Mitgliedstaaten verpflichtet werden, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren vorherige Genehmigung einzuholen. | 5. Notwithstanding paragraph 1, Member State law may require controllers to consult with, and obtain prior authorisation from, the supervisory authority in relation to processing by a controller for the performance of a task carried out by the controller in the public interest, including processing in relation to social protection and public health. | 5. Neovisno ostavku 2., od voditelja obrade se pravom države članice može zahtijevati da se savjetuju s nadzornim tijelom i od njega dobiju prethodno odobrenje u pogledu obrade koju obavlja voditelj obrade za izvršenje zadaće koju voditelj obrade provodi u javnom interesu, uključujući i obradu u vezi sa socijalnom zaštitom i javnim zdravljem. |
| Abschnitt 4 | Section 4 | Odjeljak 4. |
| Datenschutzbeauftragter | Data protection officer | Službenik za zaštitu podataka |
| Artikel 37 | Article 37 | Članak 37. |
| Benennung eines Datenschutzbeauftragten | Designation of the data protection officer | Imenovanje službenika za zaštitu podataka |
| (1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn | 1. The controller and the processor shall designate a data protection officer in any case where: | 1. Voditelj obrade i izvršitelj obrade imenuju službenika za zaštitu podataka u svakom slučaju u kojem: |
| a) | die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, | (a) | the processing is carried out by a public authority or body, except for courts acting in their judicial capacity; | (a) | obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti, |
| b) | die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder | (b) | the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale; or | (b) | osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili |
| c) | die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. | (c) | the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offences referred to in Article 10. | (c) | osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. |
| (2) Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann. | 2. A group of undertakings may appoint a single data protection officer provided that a data protection officer is easily accessible from each establishment. | 2. Grupa poduzetnika može imenovati jednog službenika za zaštitu podataka pod uvjetom da je službenik za zaštitu podataka lako dostupan iz svakog poslovnog nastana. |
| (3) Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden. | 3. Where the controller or the processor is a public authority or body, a single data protection officer may be designated for several such authorities or bodies, taking account of their organisational structure and size. | 3. Ako je voditelj obrade ili izvršitelj obrade tijelo javne vlasti ili javno tijelo, za nekoliko takvih vlasti ili tijela može se imenovati jedan službenik za zaštitu podataka, uzimajući u obzir njihovu organizacijsku strukturu i veličinu. |
| (4) In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln. | 4. In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may or, where required by Union or Member State law shall, designate a data protection officer. The data protection officer may act for such associations and other bodies representing controllers or processors. | 4. U slučajevima osim onih iz stavka 1. voditelj obrade ili izvršitelj obrade ili udruženja i druga tijela koji predstavljaju kategoriju voditeljâ obrade ili izvršitelja obrade mogu ili, ako to nalaže pravo Unije ili pravo države članice, moraju imenovati službenika za zaštitu podataka. Službenik za zaštitu podataka može djelovati za takva udruženja i druga tijela koji predstavljaju voditelje obrade ili izvršitelje obrade. |
| (5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben. | 5. The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39. | 5. Službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija, a osobito stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 39. |
| (6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen. | 6. The data protection officer may be a staff member of the controller or processor, or fulfil the tasks on the basis of a service contract. | 6. Službenik za zaštitu podataka može biti član osoblja voditelja obrade ili izvršitelja obrade ili obavljati zadaće na temelju ugovora o djelu. |
| (7) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit. | 7. The controller or the processor shall publish the contact details of the data protection officer and communicate them to the supervisory authority. | 7. Voditelj obrade ili izvršitelj obrade objavljuje kontaktne podatke službenika za zaštitu podataka i priopćuje ih nadzornom tijelu. |
| Artikel 38 | Article 38 | Članak 38. |
| Stellung des Datenschutzbeauftragten | Position of the data protection officer | Radno mjesto službenika za zaštitu podataka |
| (1) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. | 1. The controller and the processor shall ensure that the data protection officer is involved, properly and in a timely manner, in all issues which relate to the protection of personal data. | 1. Voditelj obrade i izvršitelj obrade osiguravaju da je službenik za zaštitu podataka na primjeren način i pravodobno uključen u sva pitanja u pogledu zaštite osobnih podataka. |
| (2) Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen. | 2. The controller and processor shall support the data protection officer in performing the tasks referred to in Article 39 by providing resources necessary to carry out those tasks and access to personal data and processing operations, and to maintain his or her expert knowledge. | 2. Voditelj obrade i izvršitelj obrade podupiru službenika za zaštitu podataka u izvršavanju zadaća iz članka 39. pružajući mu potrebna sredstva za izvršavanje tih zadaća i ostvarivanje pristupa osobnim podacima i postupcima obrade te za održavanje njegova stručnog znanja. |
| (3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters. | 3. The controller and processor shall ensure that the data protection officer does not receive any instructions regarding the exercise of those tasks. He or she shall not be dismissed or penalised by the controller or the processor for performing his tasks. The data protection officer shall directly report to the highest management level of the controller or the processor. | 3. Voditelj obrade i izvršitelj obrade osiguravaju da službenik za zaštitu podataka ne prima nikakve upute u pogledu izvršenja tih zadaća. Voditelj obrade ili izvršitelj obrade ne smiju ga razriješiti dužnosti ili kazniti zbog izvršavanja njegovih zadaća. Službenik za zaštitu podataka izravno odgovara najvišoj rukovodećoj razini voditelja obrade ili izvršitelja obrade. |
| (4) Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen. | 4. Data subjects may contact the data protection officer with regard to all issues related to processing of their personal data and to the exercise of their rights under this Regulation. | 4. Ispitanici mogu kontaktirati službenika za zaštitu podataka u pogledu svih pitanja povezanih s obradom svojih osobnih podataka i ostvarivanja svojih prava iz ove Uredbe. |
| (5) Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. | 5. The data protection officer shall be bound by secrecy or confidentiality concerning the performance of his or her tasks, in accordance with Union or Member State law. | 5. Službenik za zaštitu podataka obvezan je tajnošću ili povjerljivošću u vezi s obavljanjem svojih zadaća, u skladu s pravom Unije ili pravom države članice. |
| (6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. | 6. The data protection officer may fulfil other tasks and duties. The controller or processor shall ensure that any such tasks and duties do not result in a conflict of interests. | 6. Službenik za zaštitu podataka može ispunjavati i druge zadaće i dužnosti. Voditelj obrade ili izvršitelj obrade osigurava da takve zadaće i dužnosti ne dovedu do sukoba interesa. |
| Artikel 39 | Article 39 | Članak 39. |
| Aufgaben des Datenschutzbeauftragten | Tasks of the data protection officer | Zadaće službenika za zaštitu podataka |
| (1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: | 1. The data protection officer shall have at least the following tasks: | 1. Službenik za zaštitu podataka obavlja najmanje sljedeće zadaće: |
| a) | Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten; | (a) | to inform and advise the controller or the processor and the employees who carry out processing of their obligations pursuant to this Regulation and to other Union or Member State data protection provisions; | (a) | informiranje i savjetovanje voditelja obrade ili izvršitelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama iz ove Uredbe te drugim odredbama Unije ili države članice o zaštiti podataka; |
| b) | Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen; | (b) | to monitor compliance with this Regulation, with other Union or Member State data protection provisions and with the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, awareness-raising and training of staff involved in processing operations, and the related audits; | (b) | praćenje poštovanja ove Uredbe te drugih odredaba Unije ili države članice o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije; |
| c) | Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35; | (c) | to provide advice where requested as regards the data protection impact assessment and monitor its performance pursuant to Article 35; | (c) | pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja u skladu s člankom 35.; |
| d) | Zusammenarbeit mit der Aufsichtsbehörde; | (d) | to cooperate with the supervisory authority; | (d) | suradnja s nadzornim tijelom; |
| e) | Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen. | (e) | to act as the contact point for the supervisory authority on issues relating to processing, including the prior consultation referred to in Article 36, and to consult, where appropriate, with regard to any other matter. | (e) | djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, što uključuje i prethodno savjetovanje iz članka 36. te savjetovanje, prema potrebi, o svim drugim pitanjima. |
| (2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt. | 2. The data protection officer shall in the performance of his or her tasks have due regard to the risk associated with processing operations, taking into account the nature, scope, context and purposes of processing. | 2. Službenik za zaštitu podataka pri obavljanju svojih zadaća vodi računa o riziku povezanom s postupcima obrade i uzima u obzir prirodu, opseg, kontekst i svrhe obrade. |
| Abschnitt 5 | Section 5 | Odjeljak 5. |
| Verhaltensregeln und Zertifizierung | Codes of conduct and certification | Kodeksi ponašanja i certificiranje |
| Artikel 40 | Article 40 | Članak 40. |
| Verhaltensregeln | Codes of conduct | Kodeksi ponašanja |
| (1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen. | 1. The Member States, the supervisory authorities, the Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various processing sectors and the specific needs of micro, small and medium-sized enterprises. | 1. Države članice, nadzorna tijela, Odbor i Komisija potiču izradu kodeksâ ponašanja koji su namijenjeni pružanju doprinosa ispravnoj primjeni ove Uredbe, uzimajući u obzir posebna obilježja različitih sektora obrade i posebne potrebe mikro, malih i srednjih poduzeća. |
| (2) Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können Verhaltensregeln ausarbeiten oder ändern oder erweitern, mit denen die Anwendung dieser Verordnung beispielsweise zu dem Folgenden präzisiert wird: | 2. Associations and other bodies representing categories of controllers or processors may prepare codes of conduct, or amend or extend such codes, for the purpose of specifying the application of this Regulation, such as with regard to: | 2. Udruženja i druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade mogu izraditi kodekse ponašanja ili izmijeniti ili proširiti takve kodekse radi preciziranja primjene ove Uredbe, kao što je u pogledu: |
| a) | faire und transparente Verarbeitung; | (a) | fair and transparent processing; | (a) | poštene i transparentne obrade; |
| b) | die berechtigten Interessen des Verantwortlichen in bestimmten Zusammenhängen; | (b) | the legitimate interests pursued by controllers in specific contexts; | (b) | legitimnih interesa voditelj obrade u posebnim kontekstima; |
| c) | Erhebung personenbezogener Daten; | (c) | the collection of personal data; | (c) | prikupljanja osobnih podataka; |
| d) | Pseudonymisierung personenbezogener Daten; | (d) | the pseudonymisation of personal data; | (d) | pseudonimizacije osobnih podataka; |
| e) | Unterrichtung der Öffentlichkeit und der betroffenen Personen; | (e) | the information provided to the public and to data subjects; | (e) | informiranja javnosti i ispitanika; |
| f) | Ausübung der Rechte betroffener Personen; | (f) | the exercise of the rights of data subjects; | (f) | ostvarivanja prava ispitanika; |
| g) | Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist; | (g) | the information provided to, and the protection of, children, and the manner in which the consent of the holders of parental responsibility over children is to be obtained; | (g) | informiranja i zaštite djece te načina pribavljanja privole nositelja roditeljske odgovornosti nad djetetom; |
| h) | die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32; | (h) | the measures and procedures referred to in Articles 24 and 25 and the measures to ensure security of processing referred to in Article 32; | (h) | mjera i postupaka iz članaka 24. i 25. te mjera za osiguravanje sigurnosti obrade iz članka 32.; |
| i) | die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten; | (i) | the notification of personal data breaches to supervisory authorities and the communication of such personal data breaches to data subjects; | (i) | izvješćivanja nadzornih tijela o povredama osobnih podataka i obavješćivanja ispitanika o takvim povredama; |
| j) | die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder | (j) | the transfer of personal data to third countries or international organisations; or | (j) | prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama; ili |
| k) | außergerichtliche Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten zwischen Verantwortlichen und betroffenen Personen im Zusammenhang mit der Verarbeitung, unbeschadet der Rechte betroffener Personen gemäß den Artikeln 77 und 79. | (k) | out-of-court proceedings and other dispute resolution procedures for resolving disputes between controllers and data subjects with regard to processing, without prejudice to the rights of data subjects pursuant to Articles 77 and 79. | (k) | izvansudskih postupaka i drugih postupaka za rješavanje sporova između voditelja obrade i ispitanika s obzirom na obradu, ne dovodeći u pitanje prava ispitanika na temelju članaka 77. i 79. |
| (3) Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können Verhaltensregeln, die gemäß Absatz 5 des vorliegenden Artikels genehmigt wurden und gemäß Absatz 9 des vorliegenden Artikels allgemeine Gültigkeit besitzen, können auch von Verantwortlichen oder Auftragsverarbeitern, die gemäß Artikel 3 nicht unter diese Verordnung fallen, eingehalten werden, um geeignete Garantien im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe des Artikels 46 Absatz 2 Buchstabe e zu bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, die geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen. | 3. In addition to adherence by controllers or processors subject to this Regulation, codes of conduct approved pursuant to paragraph 5 of this Article and having general validity pursuant to paragraph 9 of this Article may also be adhered to by controllers or processors that are not subject to this Regulation pursuant to Article 3 in order to provide appropriate safeguards within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (e) of Article 46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards including with regard to the rights of data subjects. | 3. Osim što ih poštuju voditelji obrade i izvršitelji obrade koji podliježu ovoj Uredbi, kodekse ponašanja koji su odobreni na temelju stavka 5. ovog članka i koji imaju opću valjanost na temelju stavka 4. ovog članka mogu poštovati i voditelji obrade ili izvršitelji obrade koji ne podliježu ovoj Uredbi na temelju članka 3., kako bi osigurali odgovarajuće zaštitne mjere u okviru prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama pod uvjetima iz članka 46. stavka 2. točke (e). Takvi voditelji obrade ili izvršitelji obrade putem ugovornih ili drugih pravno obvezujućih instrumenata preuzimaju obvezujuće i provedive obveze za primjenu tih odgovarajućih zaštitnih mjera, među ostalim s obzirom na prava ispitanika. |
| (4) Die Verhaltensregeln gemäß Absatz 2 des vorliegenden Artikels müssen Verfahren vorsehen, die es der in Artikel 41 Absatz 1 genannten Stelle ermöglichen, die obligatorische Überwachung der Einhaltung ihrer Bestimmungen durch die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichten, vorzunehmen, unbeschadet der Aufgaben und Befugnisse der Aufsichtsbehörde, die nach Artikel 55 oder 56 zuständig ist. | 4. A code of conduct referred to in paragraph 2 of this Article shall contain mechanisms which enable the body referred to in Article 41(1) to carry out the mandatory monitoring of compliance with its provisions by the controllers or processors which undertake to apply it, without prejudice to the tasks and powers of supervisory authorities competent pursuant to Article 55 or 56. | 4. Kodeks ponašanja iz stavka 2. ovog članka sadržava mehanizme koji tijelu iz članka 41. stavka 1. omogućuju da provodi obvezno praćenje sukladnosti voditeljâ obrade ili izvršiteljâ obrade koji su se obvezali na njegovu primjenu, ne dovodeći u pitanje zadaće i ovlasti nadzornih tijela koja su nadležna na temelju članka 55. ili članka 56. |
| (5) Verbände und andere Vereinigungen gemäß Absatz 2 des vorliegenden Artikels, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor, die nach Artikel 55 zuständig ist. Die Aufsichtsbehörde gibt eine Stellungnahme darüber ab, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist und genehmigt diesen Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung, wenn sie der Auffassung ist, dass er ausreichende geeignete Garantien bietet. | 5. Associations and other bodies referred to in paragraph 2 of this Article which intend to prepare a code of conduct or to amend or extend an existing code shall submit the draft code, amendment or extension to the supervisory authority which is competent pursuant to Article 55. The supervisory authority shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation and shall approve that draft code, amendment or extension if it finds that it provides sufficient appropriate safeguards. | 5. Udruženja i druga tijela iz stavka2.ovog članka koji namjeravaju izraditi kodeks ponašanja ili izmijeniti ili proširiti postojeći kodeks, nacrt kodeksa, izmjenu ili proširenje predaju nadzornom tijelu koje je nadležno na temelju članka 55. Nadzorno tijelo daje mišljenje o tome je li nacrt kodeksa, izmjena ili proširenje u skladu s ovom Uredbom te takav nacrt kodeksa, izmjenu ili proširenje odobrava ako smatra da osigurava dovoljno prikladne zaštitne mjere. |
| (6) Wird durch die Stellungnahme nach Absatz 5 der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung genehmigt und beziehen sich die betreffenden Verhaltensregeln nicht auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so nimmt die Aufsichtsbehörde die Verhaltensregeln in ein Verzeichnis auf und veröffentlicht sie. | 6. Where the draft code, or amendment or extension is approved in accordance with paragraph 5, and where the code of conduct concerned does not relate to processing activities in several Member States, the supervisory authority shall register and publish the code. | 6. Ako je nacrt kodeksa ponašanja, izmjena ili proširenje odobreno u skladu sa stavkom 5. te ako se dotični kodeks ponašanja ne odnosi na aktivnosti obrade u nekoliko država članica, nadzorno tijelo kodeks registrira i objavljuje. |
| (7) Bezieht sich der Entwurf der Verhaltensregeln auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, so legt die nach Artikel 55 zuständige Aufsichtsbehörde — bevor sie den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung genehmigt — ihn nach dem Verfahren gemäß Artikel 63 dem Ausschuss vor, der zu der Frage Stellung nimmt, ob der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder — im Fall nach Absatz 3 dieses Artikels — geeignete Garantien vorsieht. | 7. Where a draft code of conduct relates to processing activities in several Member States, the supervisory authority which is competent pursuant to Article 55 shall, before approving the draft code, amendment or extension, submit it in the procedure referred to in Article 63 to the Board which shall provide an opinion on whether the draft code, amendment or extension complies with this Regulation or, in the situation referred to in paragraph 3 of this Article, provides appropriate safeguards. | 7. Ako se nacrt kodeksa ponašanja odnosi na aktivnosti obrade u nekoliko država članica, nadzorno tijelo nadležno na temelju članka 55. prije davanja odobrenja nacrt kodeksa, izmjenu ili proširenje predaje u postupak iz članka 63. Odboru koji daje mišljenje o tome je li nacrt kodeksa,izmjena ili proširenje sukladan ovoj Uredbi ili, u situaciji iz stavka 3., osiguravaju li se njime odgovarajuće zaštitne mjere. |
| (8) Wird durch die Stellungnahme nach Absatz 7 bestätigt, dass der Entwurf der Verhaltensregeln bzw. der Entwurf zu deren Änderung oder Erweiterung mit dieser Verordnung vereinbar ist oder — im Fall nach Absatz 3 — geeignete Garantien vorsieht, so übermittelt der Ausschuss seine Stellungnahme der Kommission. | 8. Where the opinion referred to in paragraph 7 confirms that the draft code, amendment or extension complies with this Regulation, or, in the situation referred to in paragraph 3, provides appropriate safeguards, the Board shall submit its opinion to the Commission. | 8. Ako se mišljenjem iz stavka 7. potvrdi da je nacrt kodeksa, izmjena ili proširenje u skladu s ovom Uredbom ili, u situaciji iz stavka 3. ovog članka, da se njima osiguravaju odgovarajuće zaštitne mjere, Odbor predaje svoje mišljenje Komisiji. |
| (9) Die Kommission kann im Wege von Durchführungsrechtsakten beschließen, dass die ihr gemäß Absatz 8 übermittelten genehmigten Verhaltensregeln bzw. deren genehmigte Änderung oder Erweiterung allgemeine Gültigkeit in der Union besitzen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen. | 9. The Commission may, by way of implementing acts, decide that the approved code of conduct, amendment or extension submitted to it pursuant to paragraph 8 of this Article have general validity within the Union. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 93(2). | 9. Komisija može provedbenim aktima odlučiti da odobreni kodeks, izmjene ili proširenja koji su joj predani u skladu sa stavkom 8. ovog članka imaju opću valjanost unutar Unije. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2. |
| (10) Die Kommission trägt dafür Sorge, dass die genehmigten Verhaltensregeln, denen gemäß Absatz 9 allgemeine Gültigkeit zuerkannt wurde, in geeigneter Weise veröffentlicht werden. | 10. The Commission shall ensure appropriate publicity for the approved codes which have been decided as having general validity in accordance with paragraph 9. | 10. Komisija osigurava odgovarajuću objavu odobrenih kodeksa za koje je odlučeno da imaju opću valjanost u skladu sa stavkom 9. |
| (11) Der Ausschuss nimmt alle genehmigten Verhaltensregeln bzw. deren genehmigte Änderungen oder Erweiterungen in ein Register auf und veröffentlicht sie in geeigneter Weise. | 11. The Board shall collate all approved codes of conduct, amendments and extensions in a register and shall make them publicly available by way of appropriate means. | 11. Odbor unosi sve odobrene kodekse ponašanja, izmjene i proširenja u evidenciju i objavljuje ih na bilo koji prikladan način. |
| Artikel 41 | Article 41 | Članak 41. |
| Überwachung der genehmigten Verhaltensregeln | Monitoring of approved codes of conduct | Praćenje odobrenih kodeksa ponašanja |
| (1) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 kann die Überwachung der Einhaltung von Verhaltensregeln gemäß Artikel 40 von einer Stelle durchgeführt werden, die über das geeignete Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln verfügt und die von der zuständigen Aufsichtsbehörde zu diesem Zweck akkreditiert wurde. | 1. Without prejudice to the tasks and powers of the competent supervisory authority under Articles 57 and 58, the monitoring of compliance with a code of conduct pursuant to Article 40 may be carried out by a body which has an appropriate level of expertise in relation to the subject-matter of the code and is accredited for that purpose by the competent supervisory authority. | 1. Ne dovodeći u pitanje zadaće i ovlasti nadležnog nadzornog tijela iz članaka 57. i 58., praćenje sukladnosti s kodeksom ponašanja u skladu s člankom 40. može provoditi tijelo s odgovarajućim stupnjem stručnosti za predmet kodeksa i koje je u tu svrhu akreditiralo nadležno nadzorno tijelo. |
| (2) Eine Stelle gemäß Absatz 1 kann zum Zwecke der Überwachung der Einhaltung von Verhaltensregeln akkreditiert werden, wenn sie | 2. A body as referred to in paragraph 1 may be accredited to monitor compliance with a code of conduct where that body has: | 2. Tijelo iz stavka 1. može biti akreditirano za praćenje sukladnosti s kodeksom ponašanja ako je to tijelo: |
| a) | ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat; | (a) | demonstrated its independence and expertise in relation to the subject-matter of the code to the satisfaction of the competent supervisory authority; | (a) | nadležnom nadzornom tijelu zadovoljavajuće dokazalo svoju neovisnost i stručnost u predmetu kodeksa; |
| b) | Verfahren festgelegt hat, die es ihr ermöglichen, zu bewerten, ob Verantwortliche und Auftragsverarbeiter die Verhaltensregeln anwenden können, die Einhaltung der Verhaltensregeln durch die Verantwortlichen und Auftragsverarbeiter zu überwachen und die Anwendung der Verhaltensregeln regelmäßig zu überprüfen; | (b) | established procedures which allow it to assess the eligibility of controllers and processors concerned to apply the code, to monitor their compliance with its provisions and to periodically review its operation; | (b) | uspostavilo postupke koji mu omogućuju procjenu kvalificiranosti voditelja obrade i izvršitelja obrade za primjenu kodeksa, praćenje njihova poštovanja odredbi kodeksa i periodičnog preispitivanja njegova funkcioniranja; |
| c) | Verfahren und Strukturen festgelegt hat, mit denen sie Beschwerden über Verletzungen der Verhaltensregeln oder über die Art und Weise, in der die Verhaltensregeln von dem Verantwortlichen oder dem Auftragsverarbeiter angewendet werden oder wurden, nachgeht und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent macht, und | (c) | established procedures and structures to handle complaints about infringements of the code or the manner in which the code has been, or is being, implemented by a controller or processor, and to make those procedures and structures transparent to data subjects and the public; and | (c) | uspostavilo postupke i strukture za rješavanje pritužbi na kršenja kodeksa ili na način na koji voditelj obrade ili izvršitelj obrade provode ili su proveli kodeks i učinilo te postupke i strukture transparentnima ispitanicima i javnosti; i |
| d) | zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen hat, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. | (d) | demonstrated to the satisfaction of the competent supervisory authority that its tasks and duties do not result in a conflict of interests. | (d) | nadležnom nadzornom tijelu na njemu zadovoljavajući način dokazalo da njegove zadaće i dužnosti ne dovode do sukoba interesa. |
| (3) Die zuständige Aufsichtsbehörde übermittelt den Entwurf der Kriterien für die Akkreditierung einer Stelle nach Absatz 1 gemäß dem Kohärenzverfahren nach Artikel 63 an den Ausschuss. | 3. The competent supervisory authority shall submit the draft criteria for accreditation of a body as referred to in paragraph 1 of this Article to the Board pursuant to the consistency mechanism referred to in Article 63. | 3. Nadležno nadzorno tijelo predaje nacrt kriterija za akreditaciju tijela iz stavka 1. ovog članka Odboru u skladu s mehanizmom konzistentnosti iz članka 63. |
| (4) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde und der Bestimmungen des Kapitels VIII ergreift eine Stelle gemäß Absatz 1 vorbehaltlich geeigneter Garantien im Falle einer Verletzung der Verhaltensregeln durch einen Verantwortlichen oder einen Auftragsverarbeiter geeignete Maßnahmen, einschließlich eines vorläufigen oder endgültigen Ausschlusses des Verantwortlichen oder Auftragsverarbeiters von den Verhaltensregeln. Sie unterrichtet die zuständige Aufsichtsbehörde über solche Maßnahmen und deren Begründung. | 4. Without prejudice to the tasks and powers of the competent supervisory authority and the provisions of Chapter VIII, a body as referred to in paragraph 1 of this Article shall, subject to appropriate safeguards, take appropriate action in cases of infringement of the code by a controller or processor, including suspension or exclusion of the controller or processor concerned from the code. It shall inform the competent supervisory authority of such actions and the reasons for taking them. | 4. Ne dovodeći u pitanje zadaće i ovlasti nadležnog nadzornog tijela i odredbe poglavlja VIII., tijelo iz stavka 1. ovog članka, uz primjenu prikladnih zaštitnih mjera, poduzima odgovarajuće radnje u slučajevima u kojima voditelj obrade ili izvršitelj obrade krše kodeks, što uključuje suspendiranje ili isključivanje dotičnog voditelja obrade ili izvršitelja obrade iz kodeksa. Ono izvješćuje nadležno nadzorno tijelo o takvim radnjama i razlozima za njihovo poduzimanje. |
| (5) Die zuständige Aufsichtsbehörde widerruft die Akkreditierung einer Stelle gemäß Absatz 1, wenn die Voraussetzungen für ihre Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn die Stelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind. | 5. The competent supervisory authority shall revoke the accreditation of a body as referred to in paragraph 1 if the conditions for accreditation are not, or are no longer, met or where actions taken by the body infringe this Regulation. | 5. Nadležno nadzorno tijelo povlači akreditaciju tijela iz stavka 1. ako se ne ispune uvjeti za akreditaciju ili oni više nisu ispunjeni, ili radnje koje provodi tijelo krše ovu Uredbu. |
| (6) Dieser Artikel gilt nicht für die Verarbeitung durch Behörden oder öffentliche Stellen. | 6. This Article shall not apply to processing carried out by public authorities and bodies. | 6. Ovaj članak ne primjenjuje se na obradu obavljaju tijela javne vlasti i javna tijela. |
| Artikel 42 | Article 42 | Članak 42. |
| Zertifizierung | Certification | Certificiranje |
| (1) Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern insbesondere auf Unionsebene die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen. | 1. The Member States, the supervisory authorities, the Board and the Commission shall encourage, in particular at Union level, the establishment of data protection certification mechanisms and of data protection seals and marks, for the purpose of demonstrating compliance with this Regulation of processing operations by controllers and processors. The specific needs of micro, small and medium-sized enterprises shall be taken into account. | 1. Države članice, nadzorna tijela, Odbor i Komisija potiču, osobito na razini Unije, uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u svrhu dokazivanja da su postupci obrade koje provode voditelj obrade i izvršitelj obrade u skladu s ovom Uredbom. Uzimaju se u obzir posebne potrebe mikro, malih i srednjih poduzeća. |
| (2) Zusätzlich zur Einhaltung durch die unter diese Verordnung fallenden Verantwortlichen oder Auftragsverarbeiter können auch datenschutzspezifische Zertifizierungsverfahren, Siegel oder Prüfzeichen, die gemäß Absatz 5 des vorliegenden Artikels genehmigt worden sind, vorgesehen werden, um nachzuweisen, dass die Verantwortlichen oder Auftragsverarbeiter, die gemäß Artikel 3 nicht unter diese Verordnung fallen, im Rahmen der Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen nach Maßgabe von Artikel 46 Absatz 2 Buchstabe f geeignete Garantien bieten. Diese Verantwortlichen oder Auftragsverarbeiter gehen mittels vertraglicher oder sonstiger rechtlich bindender Instrumente die verbindliche und durchsetzbare Verpflichtung ein, diese geeigneten Garantien anzuwenden, auch im Hinblick auf die Rechte der betroffenen Personen. | 2. In addition to adherence by controllers or processors subject to this Regulation, data protection certification mechanisms, seals or marks approved pursuant to paragraph 5 of this Article may be established for the purpose of demonstrating the existence of appropriate safeguards provided by controllers or processors that are not subject to this Regulation pursuant to Article 3 within the framework of personal data transfers to third countries or international organisations under the terms referred to in point (f) of Article 46(2). Such controllers or processors shall make binding and enforceable commitments, via contractual or other legally binding instruments, to apply those appropriate safeguards, including with regard to the rights of data subjects. | 2. Osim što ih poštuju voditelji obrade ili izvršitelji obrade koji podliježu ovoj Uredbi, mehanizmi certificiranja zaštite podataka, pečati ili oznake odobreni na temelju stavka 5.ovog članka mogu se uspostaviti kako bi se dokazalo postojanje odgovarajućih mjera zaštite koje osiguravaju voditelji obrade i izvršitelji obrade koji ne podliježu ovoj Uredbi na temelju članka 3. u okviru prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama pod uvjetima iz članka 46. stavka 2. točke (f). Takvi voditelji obrade ili izvršitelji obrade putem ugovornih ili drugih pravno obvezujućih instrumenata preuzimaju obvezujuće i provedive obveze za primjenu tih odgovarajućih mjera zaštite, među ostalim u pogledu prava ispitanika. |
| (3) Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein. | 3. The certification shall be voluntary and available via a process that is transparent. | 3. Certificiranje je dobrovoljno i dostupno putem procesa koji je transparentan. |
| (4) Eine Zertifizierung gemäß diesem Artikel mindert nicht die Verantwortung des Verantwortlichen oder des Auftragsverarbeiters für die Einhaltung dieser Verordnung und berührt nicht die Aufgaben und Befugnisse der Aufsichtsbehörden, die gemäß Artikel 55 oder 56 zuständig sind. | 4. A certification pursuant to this Article does not reduce the responsibility of the controller or the processor for compliance with this Regulation and is without prejudice to the tasks and powers of the supervisory authorities which are competent pursuant to Article 55 or 56. | 4. Certificiranje na temelju ovog članka ne umanjuje odgovornost voditelja obrade ili izvršitelja obrade za poštovanje ove Uredbe i ne dovodi u pitanje zadaće i ovlasti nadzornih tijela nadležnih na temelju članka 55. ili članka 56. |
| (5) Eine Zertifizierung nach diesem Artikel wird durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde anhand der von dieser zuständigen Aufsichtsbehörde gemäß Artikel 58 Absatz 3 oder — gemäß Artikel 63 — durch den Ausschuss genehmigten Kriterien erteilt. Werden die Kriterien vom Ausschuss genehmigt, kann dies zu einer gemeinsamen Zertifizierung, dem Europäischen Datenschutzsiegel, führen. | 5. A certification pursuant to this Article shall be issued by the certification bodies referred to in Article 43 or by the competent supervisory authority, on the basis of criteria approved by that competent supervisory authority pursuant to Article 58(3) or by the Board pursuant to Article 63. Where the criteria are approved by the Board, this may result in a common certification, the European Data Protection Seal. | 5. Certificiranje na temelju ovog članka izdaju certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo, na temelju kriterija koje je odobrilo to nadležno nadzorno tijelo na temelju članka 58. stavka 3., ili Odbor na temelju članka 63.Ako je Odbor odobrio kriterije, iz toga može proizaći zajednička certifikacija: Europski pečat za zaštitu podataka. |
| (6) Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle nach Artikel 43 oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten. | 6. The controller or processor which submits its processing to the certification mechanism shall provide the certification body referred to in Article 43, or where applicable, the competent supervisory authority, with all information and access to its processing activities which are necessary to conduct the certification procedure. | 6. Voditelj obrade ili izvršitelj obrade koji svoje obrade predaje mehanizmu certificiranja pruža sve informacije i pristup svojim aktivnostima obrade koje su potrebne za vođenje postupka certificiranja certifikacijskom tijelu iz članka 43. ili prema potrebi nadležnom nadzornom tijelu. |
| (7) Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen nach Artikel 43 oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden. | 7. Certification shall be issued to a controller or processor for a maximum period of three years and may be renewed, under the same conditions, provided that the relevant requirements continue to be met. Certification shall be withdrawn, as applicable, by the certification bodies referred to in Article 43 or by the competent supervisory authority where the requirements for the certification are not or are no longer met. | 7. Certifikat se voditelju obrade ili izvršitelju obrade izdaje na najviše tri godine i može se obnoviti pod istim uvjetima ako su i dalje ispunjeni relevantni zahtjevi. Certifikacijska tijela iz članka 43. ili nadležno nadzorno tijelo povlače certifikat prema potrebi ako se ne ispune zahtjevi za certificiranja ili ako oni više nisu ispunjeni. |
| (8) Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen in ein Register auf und veröffentlicht sie in geeigneter Weise. | 8. The Board shall collate all certification mechanisms and data protection seals and marks in a register and shall make them publicly available by any appropriate means. | 8. Odbor sve mehanizme certificiranja, pečate i oznake za zaštitu podataka unosi u evidenciju i objavljuje ih na bilo koji prikladan način. |
| Artikel 43 | Article 43 | Članak 43. |
| Zertifizierungsstellen | Certification bodies | Certifikacijska tijela |
| (1) Unbeschadet der Aufgaben und Befugnisse der zuständigen Aufsichtsbehörde gemäß den Artikeln 57 und 58 erteilen oder verlängern Zertifizierungsstellen, die über das geeignete Fachwissen hinsichtlich des Datenschutzes verfügen, nach Unterrichtung der Aufsichtsbehörde — damit diese erforderlichenfalls von ihren Befugnissen gemäß Artikel 58 Absatz 2 Buchstabe h Gebrauch machen kann — die Zertifizierung. Die Mitgliedstaaten stellen sicher, dass diese Zertifizierungsstellen von einer oder beiden der folgenden Stellen akkreditiert werden: | 1. Without prejudice to the tasks and powers of the competent supervisory authority under Articles 57 and 58, certification bodies which have an appropriate level of expertise in relation to data protection shall, after informing the supervisory authority in order to allow it to exercise its powers pursuant to point (h) of Article 58(2) where necessary, issue and renew certification. Member States shall ensure that those certification bodies are accredited by one or both of the following: | 1. Ne dovodeći u pitanje zadaće i ovlasti nadležnog nadzornog tijela iz članaka 57. i 58., certifikacijska tijela s odgovarajućim stupnjem stručnosti iz područja zaštite podataka, nakon što se o tome obavijesti nadležno tijelo kako bi ono moglo prema potrebi izvršavati svoje ovlasti na temelju članka 58. stavka 2. točke (h), izdaje i obnavlja certificiranje. Države članice osiguravaju da je ta certifikacijska tijela akreditiralo jedno ili oba sljedeća tijela: |
| a) | der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde; | (a) | the supervisory authority which is competent pursuant to Article 55 or 56; | (a) | nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56.; |
| b) | der nationalen Akkreditierungsstelle, die gemäß der Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates (20) im Einklang mit EN-ISO/IEC 17065/2012 und mit den zusätzlichen von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde festgelegten Anforderungen benannt wurde. | (b) | the national accreditation body named in accordance with Regulation (EC) No 765/2008 of the European Parliament and of the Council (20) in accordance with EN-ISO/IEC 17065/2012 and with the additional requirements established by the supervisory authority which is competent pursuant to Article 55 or 56. | (b) | nacionalno akreditacijsko tijelo imenovano u skladu s Uredbom (EZ) br. 765/2008 Europskog parlamenta i Vijeća (20) u skladu s EN-ISO/IEC 17065/2012 i s dodatnim zahtjevima koje određuje nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56. |
| (2) Zertifizierungsstellen nach Absatz 1 dürfen nur dann gemäß dem genannten Absatz akkreditiert werden, wenn sie | 2. Certification bodies referred to in paragraph 1 shall be accredited in accordance with that paragraph only where they have: | 2. Certifikacijska tijela iz stavka 1. akreditirana su u skladu sa tim stavkom. samo ako su: |
| a) | ihre Unabhängigkeit und ihr Fachwissen hinsichtlich des Gegenstands der Zertifizierung zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben; | (a) | demonstrated their independence and expertise in relation to the subject-matter of the certification to the satisfaction of the competent supervisory authority; | (a) | nadležnom nadzornom tijelu zadovoljavajuće dokazala svoju neovisnost i stručnost u predmetu certificiranja; |
| b) | sich verpflichtet haben, die Kriterien nach Artikel 42 Absatz 5, die von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder — gemäß Artikel 63 — von dem Ausschuss genehmigt wurden, einzuhalten; | (b) | undertaken to respect the criteria referred to in Article 42(5) and approved by the supervisory authority which is competent pursuant to Article 55 or 56 or by the Board pursuant to Article 63; | (b) | obvezala se poštovati kriterije iz članka 42. stavka 5. koje je odobrilo nadzorno tijelo nadležno na temelju članka 55. ili članka 56. ili Odbor na temelju članka 63.; |
| c) | Verfahren für die Erteilung, die regelmäßige Überprüfung und den Widerruf der Datenschutzzertifizierung sowie der Datenschutzsiegel und -prüfzeichen festgelegt haben; | (c) | established procedures for the issuing, periodic review and withdrawal of data protection certification, seals and marks; | (c) | uspostavila postupke za izdavanje, periodično preispitivanje i povlačenje certificiranja, pečata i oznaka za zaštitu podataka; |
| d) | Verfahren und Strukturen festgelegt haben, mit denen sie Beschwerden über Verletzungen der Zertifizierung oder die Art und Weise, in der die Zertifizierung von dem Verantwortlichen oder dem Auftragsverarbeiter umgesetzt wird oder wurde, nachgehen und diese Verfahren und Strukturen für betroffene Personen und die Öffentlichkeit transparent machen, und | (d) | established procedures and structures to handle complaints about infringements of the certification or the manner in which the certification has been, or is being, implemented by the controller or processor, and to make those procedures and structures transparent to data subjects and the public; and | (d) | uspostavila postupke i strukture za rješavanje pritužbi na kršenja certifikacije ili način na koji voditelj obrade ili izvršitelj obrade provode ili su proveli certificiranje, i učinila te postupke i strukture transparentnima ispitanicima i javnosti; i |
| e) | zur Zufriedenheit der zuständigen Aufsichtsbehörde nachgewiesen haben, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. | (e) | demonstrated, to the satisfaction of the competent supervisory authority, that their tasks and duties do not result in a conflict of interests. | (e) | nadležnom nadzornom tijelu na zadovoljavajući način dokazala da njegove zadaće i dužnosti ne dovode do sukoba interesa. |
| (3) Die Akkreditierung von Zertifizierungsstellen nach den Absätzen 1 und 2 erfolgt anhand der Kriterien, die von der gemäß Artikel 55 oder 56 zuständigen Aufsichtsbehörde oder — gemäß Artikel 63 — von dem Ausschuss genehmigt wurden. Im Fall einer Akkreditierung nach Absatz 1 Buchstabe b des vorliegenden Artikels ergänzen diese Anforderungen diejenigen, die in der Verordnung (EG) Nr. 765/2008 und in den technischen Vorschriften, in denen die Methoden und Verfahren der Zertifizierungsstellen beschrieben werden, vorgesehen sind. | 3. The accreditation of certification bodies as referred to in paragraphs 1 and 2 of this Article shall take place on the basis of criteria approved by the supervisory authority which is competent pursuant to Article 55 or 56 or by the Board pursuant to Article 63. In the case of accreditation pursuant to point (b) of paragraph 1 of this Article, those requirements shall complement those envisaged in Regulation (EC) No 765/2008 and the technical rules that describe the methods and procedures of the certification bodies. | 3. Akreditacija certifikacijskih tijela iz stavaka 1. i 2. ovog članka provodi se na temelju kriterija koje je odobrilo nadzorno tijelo nadležno na temelju članka 55. ili članka 56. ili Odbor na temelju članka 63. Ako je akreditacija provedena na temelju stavka 1. točke (b) ovog članka, ti zahtjevi služe kao nadopuna zahtjevima predviđenima u Uredbi (EZ) br. 765/2008 i tehničkim pravilima kojima su opisani metode i postupci certifikacijskih tijela. |
| (4) Die Zertifizierungsstellen nach Absatz 1 sind unbeschadet der Verantwortung, die der Verantwortliche oder der Auftragsverarbeiter für die Einhaltung dieser Verordnung hat, für die angemessene Bewertung, die der Zertifizierung oder dem Widerruf einer Zertifizierung zugrunde liegt, verantwortlich. Die Akkreditierung wird für eine Höchstdauer von fünf Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die Zertifizierungsstelle die Anforderungen dieses Artikels erfüllt. | 4. The certification bodies referred to in paragraph 1 shall be responsible for the proper assessment leading to the certification or the withdrawal of such certification without prejudice to the responsibility of the controller or processor for compliance with this Regulation. The accreditation shall be issued for a maximum period of five years and may be renewed on the same conditions provided that the certification body meets the requirements set out in this Article. | 4. Certifikacijska tijela iz stavka 1. odgovorna su za ispravnu procjenu koja dovodi do certifikacije ili povlačenja takvog certifikata ne dovodeći u pitanje odgovornosti voditelja obrade ili izvršitelja obrade da poštuju ovu Uredbu. Akreditacija se izdaje na najviše pet godina i može se obnoviti pod istim uvjetima ako certifikacijsko tijelo i dalje ispunjava relevantne zahtjeve iz ovog članka. |
| (5) Die Zertifizierungsstellen nach Absatz 1 teilen den zuständigen Aufsichtsbehörden die Gründe für die Erteilung oder den Widerruf der beantragten Zertifizierung mit. | 5. The certification bodies referred to in paragraph 1 shall provide the competent supervisory authorities with the reasons for granting or withdrawing the requested certification. | 5. Certifikacijska tijela iz stavka 1. nadležnim nadzornim tijelima navode razloge za davanje ili povlačenje zatraženog certifikata. |
| (6) Die Anforderungen nach Absatz 3 des vorliegenden Artikels und die Kriterien nach Artikel 42 Absatz 5 werden von der Aufsichtsbehörde in leicht zugänglicher Form veröffentlicht. Die Aufsichtsbehörden übermitteln diese Anforderungen und Kriterien auch dem Ausschuss. Der Ausschuss nimmt alle Zertifizierungsverfahren und Datenschutzsiegel in ein Register auf und veröffentlicht sie in geeigneter Weise. | 6. The requirements referred to in paragraph 3 of this Article and the criteria referred to in Article 42(5) shall be made public by the supervisory authority in an easily accessible form. The supervisory authorities shall also transmit those requirements and criteria to the Board. The Board shall collate all certification mechanisms and data protection seals in a register and shall make them publicly available by any appropriate means. | 6. Nadzorno tijelo u lako dostupnom obliku objavljuje zahtjeve iz stavka 3. ovog članka i kriterije iz članka 42. stavka 5. Nadzorna tijela prosljeđuju te zahtjeve i kriterije Odboru. Odbor sve mehanizme certificiranja i pečate za zaštitu podataka unosi u evidenciju te ih objavljuje na bilo koji prikladan način. |
| (7) Unbeschadet des Kapitels VIII widerruft die zuständige Aufsichtsbehörde oder die nationale Akkreditierungsstelle die Akkreditierung einer Zertifizierungsstelle nach Absatz 1, wenn die Voraussetzungen für die Akkreditierung nicht oder nicht mehr erfüllt sind oder wenn eine Zertifizierungsstelle Maßnahmen ergreift, die nicht mit dieser Verordnung vereinbar sind. | 7. Without prejudice to Chapter VIII, the competent supervisory authority or the national accreditation body shall revoke an accreditation of a certification body pursuant to paragraph 1 of this Article where the conditions for the accreditation are not, or are no longer, met or where actions taken by a certification body infringe this Regulation. | 7. Ne dovodeći u pitanje poglavlje VIII., nadležno nadzorno tijelo ili nacionalno akreditacijsko tijelo povlači akreditaciju certifikacijskog tijela na temelju stavka 1. ovog članka ako se ne ispune uvjeti za akreditaciju ili oni više nisu ispunjeni, ili ako se radnjama koje provodi certifikacijsko tijelo krši ova Uredba. |
| (8) Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zu erlassen, um die Anforderungen festzulegen, die für die in Artikel 42 Absatz 1 genannten datenschutzspezifischen Zertifizierungsverfahren zu berücksichtigen sind. | 8. The Commission shall be empowered to adopt delegated acts in accordance with Article 92 for the purpose of specifying the requirements to be taken into account for the data protection certification mechanisms referred to in Article 42(1). | 8. Komisija ima ovlasti donositi delegirane akte u skladu s člankom 92. u svrhu preciziranja zahtjeva koje je potrebno uzeti u obzir za mehanizme certificiranja zaštite podataka iz članka 42. stavka 1. |
| (9) Die Kommission kann Durchführungsrechtsakte erlassen, mit denen technische Standards für Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen sowie Mechanismen zur Förderung und Anerkennung dieser Zertifizierungsverfahren und Datenschutzsiegel und -prüfzeichen festgelegt werden. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen. | 9. The Commission may adopt implementing acts laying down technical standards for certification mechanisms and data protection seals and marks, and mechanisms to promote and recognise those certification mechanisms, seals and marks. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 93(2). | 9. Komisija može donijeti provedbene akte kojima propisuje tehničke standarde za mehanizme certificiranja, pečate i oznake za zaštitu podataka te mehanizme promicanja i priznavanja tih mehanizama certificiranja, pečata i oznaka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2. |
| KAPITEL V | CHAPTER V | POGLAVLJE V. |
| Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen | Transfers of personal data to third countries or international organisations | Prijenosi osobnih podataka trećim zemljama ili međunarodnim organizacijama |
| Artikel 44 | Article 44 | Članak 44. |
| Allgemeine Grundsätze der Datenübermittlung | General principle for transfers | Opća načela prijenosa |
| Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten durch das betreffende Drittland oder die betreffende internationale Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird. | Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined. | Svaki prijenos osobnih podataka koji se obrađuju ili su namijenjeni za obradu nakon prijenosa u treću zemlju ili međunarodnu organizaciju odvija se jedino ako, u skladu s drugim odredbama ove Uredbe, voditelj obrade i izvršitelj obrade djeluju u skladu s uvjetima iz ovog poglavlja koji vrijede i za daljnje prijenose osobnih podataka iz treće zemlje ili međunarodne organizacije u još jednu treću zemlju ili međunarodnu organizaciju. Sve odredbe iz ovog poglavlja primjenjuju se kako bi se osiguralo da se ne ugrozi razina zaštite pojedinaca zajamčena ovom Uredbom. |
| Artikel 45 | Article 45 | Članak 45. |
| Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses | Transfers on the basis of an adequacy decision | Prijenosi na temelju odluke o primjerenosti |
| (1) Eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation darf vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung. | 1. A transfer of personal data to a third country or an international organisation may take place where the Commission has decided that the third country, a territory or one or more specified sectors within that third country, or the international organisation in question ensures an adequate level of protection. Such a transfer shall not require any specific authorisation. | 1. Prijenos osobnih podataka trećoj zemlji ili međunarodnoj organizaciji može se dogoditi kada Komisija odluči da treća zemlja, područje, ili jedan ili više određenih sektora unutar te treće zemlje, ili međunarodna organizacija o kojoj je riječ osigurava primjerenu razinu zaštite. Takav prijenos ne zahtijeva posebno odobrenje. |
| (2) Bei der Prüfung der Angemessenheit des gebotenen Schutzniveaus berücksichtigt die Kommission insbesondere das Folgende: | 2. When assessing the adequacy of the level of protection, the Commission shall, in particular, take account of the following elements: | 2. Prilikom procjene primjerenosti stupnja zaštite Komisija osobito uzima u obzir sljedeće elemente: |
| a) | die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, die in dem betreffenden Land bzw. bei der betreffenden internationalen Organisation geltenden einschlägigen Rechtsvorschriften sowohl allgemeiner als auch sektoraler Art — auch in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten — sowie die Anwendung dieser Rechtsvorschriften, Datenschutzvorschriften, Berufsregeln und Sicherheitsvorschriften einschließlich der Vorschriften für die Weiterübermittlung personenbezogener Daten an ein anderes Drittland bzw. eine andere internationale Organisation, die Rechtsprechung sowie wirksame und durchsetzbare Rechte der betroffenen Person und wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe für betroffene Personen, deren personenbezogene Daten übermittelt werden, | (a) | the rule of law, respect for human rights and fundamental freedoms, relevant legislation, both general and sectoral, including concerning public security, defence, national security and criminal law and the access of public authorities to personal data, as well as the implementation of such legislation, data protection rules, professional rules and security measures, including rules for the onward transfer of personal data to another third country or international organisation which are complied with in that country or international organisation, case-law, as well as effective and enforceable data subject rights and effective administrative and judicial redress for the data subjects whose personal data are being transferred; | (a) | vladavinu prava, poštovanje ljudskih prava i temeljnih sloboda, relevantno zakonodavstvo, i opće i sektorsko, što uključuje zakonodavstvo o javnoj sigurnosti, obrani, nacionalnoj sigurnosti, kaznenom pravu i pristupu tijela javne vlasti osobnim podacima, kao i provedbu tog zakonodavstva, pravila o zaštiti podataka, pravila struke i mjere sigurnosti, što uključuje pravila za daljnji prijenos osobnih podataka još jednoj trećoj zemlji ili međunarodnoj organizaciji, koja se poštuju u toj trećoj zemlji ili međunarodnoj organizaciji, sudsku praksu te postojanje djelotvornih i provedivih prava ispitanika te učinkovite upravne i sudske zaštite ispitanika čiji se osobni podaci prenose; |
| b) | die Existenz und die wirksame Funktionsweise einer oder mehrerer unabhängiger Aufsichtsbehörden in dem betreffenden Drittland oder denen eine internationale Organisation untersteht und die für die Einhaltung und Durchsetzung der Datenschutzvorschriften, einschließlich angemessener Durchsetzungsbefugnisse, für die Unterstützung und Beratung der betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit den Aufsichtsbehörden der Mitgliedstaaten zuständig sind, und | (b) | the existence and effective functioning of one or more independent supervisory authorities in the third country or to which an international organisation is subject, with responsibility for ensuring and enforcing compliance with the data protection rules, including adequate enforcement powers, for assisting and advising the data subjects in exercising their rights and for cooperation with the supervisory authorities of the Member States; and | (b) | postojanje i djelotvorno funkcioniranje jednog neovisnog nadzornog tijela ili više njih u trećoj zemlji, ili tijela kojem podliježe međunarodna organizacija, s odgovornošću osiguravanja i provođenja poštovanja pravila o zaštiti podataka, što uključuje primjerene provedbene ovlasti za pomoć ispitanicima i savjetovanje ispitanika u ostvarivanju njihovih prava te za suradnju s nadzornim tijelima država članica; i |
| c) | die von dem betreffenden Drittland bzw. der betreffenden internationalen Organisation eingegangenen internationalen Verpflichtungen oder andere Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme des Drittlands oder der internationalen Organisation an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben. | (c) | the international commitments the third country or international organisation concerned has entered into, or other obligations arising from legally binding conventions or instruments as well as from its participation in multilateral or regional systems, in particular in relation to the protection of personal data. | (c) | međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela, ili druge obveze koje proizlaze iz pravno obvezujućih konvencija ili instrumenata, kao i iz njezina sudjelovanja u multilateralnim ili regionalnim sustavima, osobito u vezi sa zaštitom osobnih podataka. |
| (3) Nach der Beurteilung der Angemessenheit des Schutzniveaus kann die Kommission im Wege eines Durchführungsrechtsaktes beschließen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in einem Drittland oder eine internationale Organisation ein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels bieten. In dem Durchführungsrechtsakt ist ein Mechanismus für eine regelmäßige Überprüfung, die mindestens alle vier Jahre erfolgt, vorzusehen, bei der allen maßgeblichen Entwicklungen in dem Drittland oder bei der internationalen Organisation Rechnung getragen wird. Im Durchführungsrechtsakt werden der territoriale und der sektorale Anwendungsbereich sowie gegebenenfalls die in Absatz 2 Buchstabe b des vorliegenden Artikels genannte Aufsichtsbehörde bzw. genannten Aufsichtsbehörden angegeben. Der Durchführungsrechtsakt wird gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen. | 3. The Commission, after assessing the adequacy of the level of protection, may decide, by means of implementing act, that a third country, a territory or one or more specified sectors within a third country, or an international organisation ensures an adequate level of protection within the meaning of paragraph 2 of this Article. The implementing act shall provide for a mechanism for a periodic review, at least every four years, which shall take into account all relevant developments in the third country or international organisation. The implementing act shall specify its territorial and sectoral application and, where applicable, identify the supervisory authority or authorities referred to in point (b) of paragraph 2 of this Article. The implementing act shall be adopted in accordance with the examination procedure referred to in Article 93(2). | 3. Komisija nakon procjene primjerenosti stupnja zaštite može putem provedbenog akta odlučiti da treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija osigurava primjerenu razinu zaštite u smislu stavka 2. ovog članka. U provedbenom aktu predviđa se mehanizam za periodično preispitivanje, najmanje svake četiri godine, kojim će se uzeti u obzir svi relevantni događaji u toj trećoj zemlji ili međunarodnoj organizaciji. U provedbenom aktu precizira se teritorijalna i sektorska primjena, a prema potrebi utvrđuje se i nadzorno tijelo ili nadzorna tijela iz stavka 2. točke (b) ovog članka. Provedbeni akt donosi se u skladu s postupkom ispitivanja iz članka 93. stavka 2. |
| (4) Die Kommission überwacht fortlaufend die Entwicklungen in Drittländern und bei internationalen Organisationen, die die Wirkungsweise der nach Absatz 3 des vorliegenden Artikels erlassenen Beschlüsse und der nach Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassenen Feststellungen beeinträchtigen könnten. | 4. The Commission shall, on an ongoing basis, monitor developments in third countries and international organisations that could affect the functioning of decisions adopted pursuant to paragraph 3 of this Article and decisions adopted on the basis of Article 25(6) of Directive 95/46/EC. | 4. Komisija kontinuirano prati razvoj događaja u trećim zemljama i međunarodnim organizacijama koji bi mogli utjecati na funkcioniranje odluka donesenih u skladu sa stavkom 3. ovog članka i odluka donesenih na temelju članka 25. stavka 6. Direktive 95/46/EZ. |
| (5) Die Kommission widerruft, ändert oder setzt die in Absatz 3 des vorliegenden Artikels genannten Beschlüsse im Wege von Durchführungsrechtsakten aus, soweit dies nötig ist und ohne rückwirkende Kraft, soweit entsprechende Informationen — insbesondere im Anschluss an die in Absatz 3 des vorliegenden Artikels genannte Überprüfung — dahingehend vorliegen, dass ein Drittland, ein Gebiet oder ein oder mehrere spezifischer Sektor in einem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau im Sinne des Absatzes 2 des vorliegenden Artikels mehr gewährleistet. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen. | 5. The Commission shall, where available information reveals, in particular following the review referred to in paragraph 3 of this Article, that a third country, a territory or one or more specified sectors within a third country, or an international organisation no longer ensures an adequate level of protection within the meaning of paragraph 2 of this Article, to the extent necessary, repeal, amend or suspend the decision referred to in paragraph 3 of this Article by means of implementing acts without retro-active effect. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 93(2). | 5. Ako dostupne informacije otkrivaju, a osobito nakon preispitivanja iz stavka 3. ovog članka, da treća zemlja, područje ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija više ne osigurava primjerenu razinu zaštite u smislu stavka 2. ovog članka u mjeri u kojoj je to potrebno, Komisija provedbenim aktima stavlja izvan snage, mijenja ili suspendira odluku iz stavka 3. ovog članka bez retroaktivnog učinka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2. |
| In hinreichend begründeten Fällen äußerster Dringlichkeit erlässt die Kommission gemäß dem in Artikel 93 Absatz 3 genannten Verfahren sofort geltende Durchführungsrechtsakte. | On duly justified imperative grounds of urgency, the Commission shall adopt immediately applicable implementing acts in accordance with the procedure referred to in Article 93(3). | Zbog valjano utemeljenih krajnje hitnih razloga, Komisija donosi odmah primjenjive provedbene akte u skladu s postupkom iz članka 93. stavka 3. |
| (6) Die Kommission nimmt Beratungen mit dem betreffenden Drittland bzw. der betreffenden internationalen Organisation auf, um Abhilfe für die Situation zu schaffen, die zu dem gemäß Absatz 5 erlassenen Beschluss geführt hat. | 6. The Commission shall enter into consultations with the third country or international organisation with a view to remedying the situation giving rise to the decision made pursuant to paragraph 5. | 6. Komisija započinje savjetovanje s trećom zemljom ili međunarodnom organizacijom radi popravljanja stanja koje je dovelo do odluke u skladu sa stavkom 5. |
| (7) Übermittlungen personenbezogener Daten an das betreffende Drittland, das Gebiet oder einen oder mehrere spezifische Sektoren in diesem Drittland oder an die betreffende internationale Organisation gemäß den Artikeln 46 bis 49 werden durch einen Beschluss nach Absatz 5 des vorliegenden Artikels nicht berührt. | 7. A decision pursuant to paragraph 5 of this Article is without prejudice to transfers of personal data to the third country, a territory or one or more specified sectors within that third country, or the international organisation in question pursuant to Articles 46 to 49. | 7. Odluka u skladu sa stavkom 5. ovog članka ne dovodi u pitanje prijenose osobnih podataka u treću zemlju, na područje, ili u jedan ili više određenih sektora unutar te treće zemlje, ili međunarodnu organizaciju o kojoj je riječ u skladu s člancima od 46. do 49. |
| (8) Die Kommission veröffentlicht im Amtsblatt der Europäischen Union und auf ihrer Website eine Liste aller Drittländer beziehungsweise Gebiete und spezifischen Sektoren in einem Drittland und aller internationalen Organisationen, für die sie durch Beschluss festgestellt hat, dass sie ein angemessenes Schutzniveau gewährleisten bzw. nicht mehr gewährleisten. | 8. The Commission shall publish in the Official Journal of the European Union and on its website a list of the third countries, territories and specified sectors within a third country and international organisations for which it has decided that an adequate level of protection is or is no longer ensured. | 8. U Službenom listu Europske unije i na svojoj internetskoj stranici Komisija objavljuje popis trećih zemalja, područja i određenih sektora unutar treće zemlje i međunarodnih organizacija u pogledu kojih je donijela odluku da ne osiguravaju odgovarajuću razinu zaštite ili da je više ne osiguravaju. |
| (9) Von der Kommission auf der Grundlage von Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie durch einen nach dem Prüfverfahren gemäß den Absätzen 3 oder 5 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden. | 9. Decisions adopted by the Commission on the basis of Article 25(6) of Directive 95/46/EC shall remain in force until amended, replaced or repealed by a Commission Decision adopted in accordance with paragraph 3 or 5 of this Article. | 9. Odluke koje je Komisija donijela na temelju članka 25. stavka 6. Direktive 95/46/EZ ostaju na snazi dok se ne izmijene, zamijene ili stave izvan snage odlukom Komisije donesenom u skladu sa stavkom 3. ili 5. ovog članka. |
| Artikel 46 | Article 46 | Članak 46. |
| Datenübermittlung vorbehaltlich geeigneter Garantien | Transfers subject to appropriate safeguards | Prijenosi koji podliježu odgovarajućim zaštitnim mjerama |
| (1) Falls kein Beschluss nach Artikel 45 Absatz 3 vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. | 1. In the absence of a decision pursuant to Article 45(3), a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has provided appropriate safeguards, and on condition that enforceable data subject rights and effective legal remedies for data subjects are available. | 1. Ako nije donesena odluka na temelju članka 45. stavka 3., voditelj obrade ili izvršitelj obrade trećoj zemlji ili međunarodnoj organizaciji osobne podatke mogu prenijeti samo ako je voditelj obrade ili izvršitelj obrade predvidio odgovarajuće zaštitne mjere i pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkovita sudska zaštita. |
| (2) Die in Absatz 1 genannten geeigneten Garantien können, ohne dass hierzu eine besondere Genehmigung einer Aufsichtsbehörde erforderlich wäre, bestehen in | 2. The appropriate safeguards referred to in paragraph 1 may be provided for, without requiring any specific authorisation from a supervisory authority, by: | 2. Odgovarajuće zaštitne mjere iz stavka 1. mogu, bez potrebe za ikakvim posebnim ovlaštenjem nadzornog tijela, pružati: |
| a) | einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden oder öffentlichen Stellen, | (a) | a legally binding and enforceable instrument between public authorities or bodies; | (a) | pravno obvezujući i provedivi instrument između tijela javne vlasti ili javnih tijela; |
| b) | verbindlichen internen Datenschutzvorschriften gemäß Artikel 47, | (b) | binding corporate rules in accordance with Article 47; | (b) | obvezujuća korporativna pravila u skladu s člankom 47.; |
| c) | Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden, | (c) | standard data protection clauses adopted by the Commission in accordance with the examination procedure referred to in Article 93(2); | (c) | standardne klauzule o zaštiti podataka koje donosi Komisija u skladu s postupkom ispitivanja iz članka 93. stavka 2.; |
| d) | von einer Aufsichtsbehörde angenommenen Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 genehmigt wurden, | (d) | standard data protection clauses adopted by a supervisory authority and approved by the Commission pursuant to the examination procedure referred to in Article 93(2); | (d) | standardne klauzule o zaštiti podataka koje donosi nadzorno tijelo i koje Komisija odobrava u skladu s postupkom ispitivanja iz članka 93. stavka 2.; |
| e) | genehmigten Verhaltensregeln gemäß Artikel 40 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen, oder | (e) | an approved code of conduct pursuant to Article 40 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects' rights; or | (e) | odobreni kodeks ponašanja u skladu s člankom 40. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, među ostalim u pogledu prava ispitanika; ili |
| f) | einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42 zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters in dem Drittland zur Anwendung der geeigneten Garantien, einschließlich in Bezug auf die Rechte der betroffenen Personen. | (f) | an approved certification mechanism pursuant to Article 42 together with binding and enforceable commitments of the controller or processor in the third country to apply the appropriate safeguards, including as regards data subjects' rights. | (f) | odobreni mehanizam certificiranja u skladu s člankom 42. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, između ostalog u pogledu prava ispitanika. |
| (3) Vorbehaltlich der Genehmigung durch die zuständige Aufsichtsbehörde können die geeigneten Garantien gemäß Absatz 1 auch insbesondere bestehen in | 3. Subject to the authorisation from the competent supervisory authority, the appropriate safeguards referred to in paragraph 1 may also be provided for, in particular, by: | 3. Pod uvjetom da to odobri nadležno nadzorno tijelo, odgovarajuće zaštitne mjere iz stavka 1. konkretno mogu pružiti i: |
| a) | Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland oder der internationalen Organisation vereinbart wurden, oder | (a) | contractual clauses between the controller or processor and the controller, processor or the recipient of the personal data in the third country or international organisation; or | (a) | ugovorne klauzule između voditelja obrade ili izvršitelja obrade i voditelja obrade, izvršitelja obrade ili primatelja osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji; ili |
| b) | Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen. | (b) | provisions to be inserted into administrative arrangements between public authorities or bodies which include enforceable and effective data subject rights. | (b) | odredbe koje treba unijeti u administrativne dogovore između tijela javne vlasti ili javnih tijela i koja sadrže provediva i djelotvorna prava ispitanika. |
| (4) Die Aufsichtsbehörde wendet das Kohärenzverfahren nach Artikel 63 an, wenn ein Fall gemäß Absatz 3 des vorliegenden Artikels vorliegt. | 4. The supervisory authority shall apply the consistency mechanism referred to in Article 63 in the cases referred to in paragraph 3 of this Article. | 4. Nadzorno tijelo u slučajevima iz stavka 3. ovog članka primjenjuje mehanizam konzistentnosti iz članka 63. |
| (5) Von einem Mitgliedstaat oder einer Aufsichtsbehörde auf der Grundlage von Artikel 26 Absatz 2 der Richtlinie 95/46/EG erteilte Genehmigungen bleiben so lange gültig, bis sie erforderlichenfalls von dieser Aufsichtsbehörde geändert, ersetzt oder aufgehoben werden. Von der Kommission auf der Grundlage von Artikel 26 Absatz 4 der Richtlinie 95/46/EG erlassene Feststellungen bleiben so lange in Kraft, bis sie erforderlichenfalls mit einem nach Absatz 2 des vorliegenden Artikels erlassenen Beschluss der Kommission geändert, ersetzt oder aufgehoben werden. | 5. Authorisations by a Member State or supervisory authority on the basis of Article 26(2) of Directive 95/46/EC shall remain valid until amended, replaced or repealed, if necessary, by that supervisory authority. Decisions adopted by the Commission on the basis of Article 26(4) of Directive 95/46/EC shall remain in force until amended, replaced or repealed, if necessary, by a Commission Decision adopted in accordance with paragraph 2 of this Article. | 5. Odobrenja države članice ili nadzornog tijela na temelju članka 26. stavka 2. Direktive 95/46/EZ ostaju valjana dok ih nadzorno tijelo prema potrebi ne izmijeni, zamijeni ili stavi izvan snage. Odluke koje je Komisija donijela na osnovi članka 26. stavka 4. Direktive 95/46/EZ ostaju na snazi dok se prema potrebi ne izmijene, zamijene ili stave izvan snage odlukom Komisije donesenom u skladu sa stavkom 2. ovog članka. |
| Artikel 47 | Article 47 | Članak 47. |
| Verbindliche interne Datenschutzvorschriften | Binding corporate rules | Obvezujuća korporativna pravila |
| (1) Die zuständige Aufsichtsbehörde genehmigt gemäß dem Kohärenzverfahren nach Artikel 63 verbindliche interne Datenschutzvorschriften, sofern diese | 1. The competent supervisory authority shall approve binding corporate rules in accordance with the consistency mechanism set out in Article 63, provided that they: | 1. Nadležno nadzorno tijelo odobrava obvezujuća korporativna pravila u skladu s mehanizmom konzistentnosti iz članka 63. pod uvjetom da: |
| a) | rechtlich bindend sind, für alle betreffenden Mitglieder der Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gelten und von diesen Mitgliedern durchgesetzt werden, und dies auch für ihre Beschäftigten gilt, | (a) | are legally binding and apply to and are enforced by every member concerned of the group of undertakings, or group of enterprises engaged in a joint economic activity, including their employees; | (a) | su pravno obvezujuća i da se primjenjuju na svakog zainteresiranog člana određene grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, što uključuje njihove zaposlenike, te da ih oni provode; |
| b) | den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten übertragen und | (b) | expressly confer enforceable rights on data subjects with regard to the processing of their personal data; and | (b) | izrijekom daju provediva prava ispitanicima u pogledu obrade njihovih osobnih podataka; i |
| c) | die in Absatz 2 festgelegten Anforderungen erfüllen. | (c) | fulfil the requirements laid down in paragraph 2. | (c) | ispunjavaju uvjete utvrđene u stavku 2. |
| (2) Die verbindlichen internen Datenschutzvorschriften nach Absatz 1 enthalten mindestens folgende Angaben: | 2. The binding corporate rules referred to in paragraph 1 shall specify at least: | 2. Obvezujuća korporativna pravila iz stavka 1. određuju najmanje: |
| a) | Struktur und Kontaktdaten der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und jedes ihrer Mitglieder; | (a) | the structure and contact details of the group of undertakings, or group of enterprises engaged in a joint economic activity and of each of its members; | (a) | strukturu i kontaktne podatke grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću i svakog od njezinih članova; |
| b) | die betreffenden Datenübermittlungen oder Reihen von Datenübermittlungen einschließlich der betreffenden Arten personenbezogener Daten, Art und Zweck der Datenverarbeitung, Art der betroffenen Personen und das betreffende Drittland beziehungsweise die betreffenden Drittländer; | (b) | the data transfers or set of transfers, including the categories of personal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or countries in question; | (b) | prijenose podataka ili skupove prijenosa, uključujući i kategorije osobnih podataka, vrste obrade i njezine svrhe, vrstu ispitanika koji su time pogođeni i identifikaciju treće zemlje ili zemalja o kojima je riječ; |
| c) | interne und externe Rechtsverbindlichkeit der betreffenden internen Datenschutzvorschriften; | (c) | their legally binding nature, both internally and externally; | (c) | njihovo pravno obvezujuće obilježje, kako iznutra tako i prema van; |
| d) | die Anwendung der allgemeinen Datenschutzgrundsätze, insbesondere Zweckbindung, Datenminimierung, begrenzte Speicherfristen, Datenqualität, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, Rechtsgrundlage für die Verarbeitung, Verarbeitung besonderer Kategorien von personenbezogenen Daten, Maßnahmen zur Sicherstellung der Datensicherheit und Anforderungen für die Weiterübermittlung an nicht an diese internen Datenschutzvorschriften gebundene Stellen; | (d) | the application of the general data protection principles, in particular purpose limitation, data minimisation, limited storage periods, data quality, data protection by design and by default, legal basis for processing, processing of special categories of personal data, measures to ensure data security, and the requirements in respect of onward transfers to bodies not bound by the binding corporate rules; | (d) | primjenu općih načela zaštite podataka, posebice ograničavanja svrhe, smanjenja količine podataka, ograničenog razdoblja pohrane, kvalitete podataka, tehničke i integrirane zaštite podataka, pravne osnove obrade, obrade posebnih kategorija osobnih podataka, mjera za osiguravanje sigurnosti podataka i uvjete u pogledu daljnjih prijenosa tijelima koja nisu obvezana obvezujućim korporativnim pravilima; |
| e) | die Rechte der betroffenen Personen in Bezug auf die Verarbeitung und die diesen offenstehenden Mittel zur Wahrnehmung dieser Rechte einschließlich des Rechts, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung nach Artikel 22 unterworfen zu werden sowie des in Artikel 79 niedergelegten Rechts auf Beschwerde bei der zuständigen Aufsichtsbehörde beziehungsweise auf Einlegung eines Rechtsbehelfs bei den zuständigen Gerichten der Mitgliedstaaten und im Falle einer Verletzung der verbindlichen internen Datenschutzvorschriften Wiedergutmachung und gegebenenfalls Schadenersatz zu erhalten; | (e) | the rights of data subjects in regard to processing and the means to exercise those rights, including the right not to be subject to decisions based solely on automated processing, including profiling in accordance with Article 22, the right to lodge a complaint with the competent supervisory authority and before the competent courts of the Member States in accordance with Article 79, and to obtain redress and, where appropriate, compensation for a breach of the binding corporate rules; | (e) | prava ispitanikâ s obzirom na obradu i načine za ostvarenje tih prava, uključujući i pravo da ne podliježu odlukama koje se isključivo temelje na automatiziranoj obradi, što uključuje izradu profila u skladu s člankom 22., pravo na pritužbu nadležnom nadzornom tijelu i nadležnim sudovima država članica u skladu s člankom 79. i dobivanje sudske pomoći te, prema potrebi, naknade za kršenje obvezujućih korporativnih pravila; |
| f) | die von dem in einem Mitgliedstaat niedergelassenen Verantwortlichen oder Auftragsverarbeiter übernommene Haftung für etwaige Verstöße eines nicht in der Union niedergelassenen betreffenden Mitglieds der Unternehmensgruppe gegen die verbindlichen internen Datenschutzvorschriften; der Verantwortliche oder der Auftragsverarbeiter ist nur dann teilweise oder vollständig von dieser Haftung befreit, wenn er nachweist, dass der Umstand, durch den der Schaden eingetreten ist, dem betreffenden Mitglied nicht zur Last gelegt werden kann; | (f) | the acceptance by the controller or processor established on the territory of a Member State of liability for any breaches of the binding corporate rules by any member concerned not established in the Union; the controller or the processor shall be exempt from that liability, in whole or in part, only if it proves that that member is not responsible for the event giving rise to the damage; | (f) | da voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice prihvati odgovornost za sva kršenja obvezujućih korporativnih pravila bilo kojeg zainteresiranog člana bez poslovnog nastana u Uniji; voditelj obrade ili izvršitelj obrade izuzet je od ove odgovornosti, u cijelosti ili djelomično, samo ako dokaže da taj član nije odgovoran za događaj koji je prouzročio štetu; |
| g) | die Art und Weise, wie die betroffenen Personen über die Bestimmungen der Artikel 13 und 14 hinaus über die verbindlichen internen Datenschutzvorschriften und insbesondere über die unter den Buchstaben d, e und f dieses Absatzes genannten Aspekte informiert werden; | (g) | how the information on the binding corporate rules, in particular on the provisions referred to in points (d), (e) and (f) of this paragraph is provided to the data subjects in addition to Articles 13 and 14; | (g) | kako se ispitanicima pružaju informacija o obvezujućim korporativnim pravilima, osobito o odredbama iz točaka (d), (e) i (f) ovog stavka, pored informacija iz članaka 13. i 14.; |
| h) | die Aufgaben jedes gemäß Artikel 37 benannten Datenschutzbeauftragten oder jeder anderen Person oder Einrichtung, die mit der Überwachung der Einhaltung der verbindlichen internen Datenschutzvorschriften in der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, sowie mit der Überwachung der Schulungsmaßnahmen und dem Umgang mit Beschwerden befasst ist; | (h) | the tasks of any data protection officer designated in accordance with Article 37 or any other person or entity in charge of the monitoring compliance with the binding corporate rules within the group of undertakings, or group of enterprises engaged in a joint economic activity, as well as monitoring training and complaint-handling; | (h) | zadaće svakog službenika za zaštitu podataka imenovanog u skladu s člankom 37. ili bilo koje druge osobe ili subjekta odgovornih za praćenje usklađenosti s obvezujućim korporativnim pravilima unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću,te praćenje osposobljavanja i rješavanja pritužbi; |
| i) | die Beschwerdeverfahren; | (i) | the complaint procedures; | (i) | postupke povodom pritužbi; |
| j) | die innerhalb der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, bestehenden Verfahren zur Überprüfung der Einhaltung der verbindlichen internen Datenschutzvorschriften. Derartige Verfahren beinhalten Datenschutzüberprüfungen und Verfahren zur Gewährleistung von Abhilfemaßnahmen zum Schutz der Rechte der betroffenen Person. Die Ergebnisse derartiger Überprüfungen sollten der in Buchstabe h genannten Person oder Einrichtung sowie dem Verwaltungsrat des herrschenden Unternehmens einer Unternehmensgruppe oder der Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, mitgeteilt werden und sollten der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden; | (j) | the mechanisms within the group of undertakings, or group of enterprises engaged in a joint economic activity for ensuring the verification of compliance with the binding corporate rules. Such mechanisms shall include data protection audits and methods for ensuring corrective actions to protect the rights of the data subject. Results of such verification should be communicated to the person or entity referred to in point (h) and to the board of the controlling undertaking of a group of undertakings, or of the group of enterprises engaged in a joint economic activity, and should be available upon request to the competent supervisory authority; | (j) | mehanizme unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, kojima se osigurava provjera poštovanja obvezujućih korporativnih pravila. Takvi mehanizmi uključuju revizije zaštite podataka i metode za korektivne mjere za zaštitu prava ispitanika. Rezultati takve provjere trebali bi se priopćiti osobi ili subjektu iz točke (h) i upravnom odboru poduzetnika u vladajućem položaju u grupi poduzetnika ili grupi poduzeća koja se bave zajedničkom gospodarskom djelatnošću, te se na zahtjev ustupiti nadležnom nadzornom tijelu; |
| k) | die Verfahren für die Meldung und Erfassung von Änderungen der Vorschriften und ihre Meldung an die Aufsichtsbehörde; | (k) | the mechanisms for reporting and recording changes to the rules and reporting those changes to the supervisory authority; | (k) | mehanizme za izvješćivanje i vođenje evidencije o promjenama pravila i izvješćivanje nadzornog tijela o tim promjenama; |
| l) | die Verfahren für die Zusammenarbeit mit der Aufsichtsbehörde, die die Befolgung der Vorschriften durch sämtliche Mitglieder der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, gewährleisten, insbesondere durch Offenlegung der Ergebnisse von Überprüfungen der unter Buchstabe j genannten Maßnahmen gegenüber der Aufsichtsbehörde; | (l) | the cooperation mechanism with the supervisory authority to ensure compliance by any member of the group of undertakings, or group of enterprises engaged in a joint economic activity, in particular by making available to the supervisory authority the results of verifications of the measures referred to in point (j); | (l) | mehanizam suradnje s nadzornim tijelom radi osiguravanja usklađenosti svakog člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, osobito tako da se nadzornom tijelu stave na raspolaganje rezultati provjera mjera iz točke (j); |
| m) | die Meldeverfahren zur Unterrichtung der zuständigen Aufsichtsbehörde über jegliche für ein Mitglied der Unternehmensgruppe oder Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem Drittland geltenden rechtlichen Bestimmungen, die sich nachteilig auf die Garantien auswirken könnten, die die verbindlichen internen Datenschutzvorschriften bieten, und | (m) | the mechanisms for reporting to the competent supervisory authority any legal requirements to which a member of the group of undertakings, or group of enterprises engaged in a joint economic activity is subject in a third country which are likely to have a substantial adverse effect on the guarantees provided by the binding corporate rules; and | (m) | mehanizme za izvješćivanje nadležnog nadzornog tijela o bilo kakvim pravnim obvezama koje se na člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću primjenjuju u trećoj zemlji, a koje bi mogle imati značajan štetan utjecaj na jamstva pružena obvezujućim korporativnim pravilima; i |
| n) | geeignete Datenschutzschulungen für Personal mit ständigem oder regelmäßigem Zugang zu personenbezogenen Daten. | (n) | the appropriate data protection training to personnel having permanent or regular access to personal data. | (n) | odgovarajuće osposobljavanje za zaštitu podataka za osoblje koje ima stalan ili redovan pristup osobnim podacima. |
| (3) Die Kommission kann das Format und die Verfahren für den Informationsaustausch über verbindliche interne Datenschutzvorschriften im Sinne des vorliegenden Artikels zwischen Verantwortlichen, Auftragsverarbeitern und Aufsichtsbehörden festlegen. Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen. | 3. The Commission may specify the format and procedures for the exchange of information between controllers, processors and supervisory authorities for binding corporate rules within the meaning of this Article. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 93(2). | 3. Komisija može odrediti format i postupke razmjene informacija između voditeljâ obrade, izvršitelja obrade i nadzornih tijela za obvezujuća korporativna pravila u smislu ovog članka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 93. stavka 2. |
| Artikel 48 | Article 48 | Članak 48. |
| Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung | Transfers or disclosures not authorised by Union law | Prijenos ili otkrivanje podataka koji nisu dopušteni u pravu Unije |
| Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind. | Any judgment of a court or tribunal and any decision of an administrative authority of a third country requiring a controller or processor to transfer or disclose personal data may only be recognised or enforceable in any manner if based on an international agreement, such as a mutual legal assistance treaty, in force between the requesting third country and the Union or a Member State, without prejudice to other grounds for transfer pursuant to this Chapter. | Sve presude suda ili sve odluke upravnog tijela treće zemlje kojima se od voditelja obrade ili izvršitelja obrade zahtijeva prijenos ili otkrivanje osobnih podataka mogu biti priznate ili izvršive na bilo koji način samo ako se temelje na nekom međunarodnom sporazumu, poput ugovora o uzajamnoj pravnoj pomoći, koji je na snazi između treće zemlje koja je podnijela zahtjev i Unije ili države članice, ne dovodeći u pitanje druge razloge za prijenos u skladu s ovim poglavljem. |
| Artikel 49 | Article 49 | Članak 49. |
| Ausnahmen für bestimmte Fälle | Derogations for specific situations | Odstupanja za posebne situacije |
| (1) Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig: | 1. In the absence of an adequacy decision pursuant to Article 45(3), or of appropriate safeguards pursuant to Article 46, including binding corporate rules, a transfer or a set of transfers of personal data to a third country or an international organisation shall take place only on one of the following conditions: | 1. Ako ne postoji odluka o primjerenosti u skladu s člankom 45. stavkom 3., ili odgovarajuće zaštitne mjere u skladu s člankom 46., što uključuje obvezujuća korporativna pravila, prijenos ili skup prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju ostvaruje se samo pod jednim od sljedećih uvjeta: |
| a) | die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, | (a) | the data subject has explicitly consented to the proposed transfer, after having been informed of the possible risks of such transfers for the data subject due to the absence of an adequacy decision and appropriate safeguards; | (a) | ispitanik je izričito pristao na predloženi prijenos nakon što je bio obaviješten o mogućim rizicima takvih prijenosa za ispitanika zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera; |
| b) | die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich, | (b) | the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken at the data subject's request; | (b) | prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih mjera na zahtjev ispitanika; |
| c) | die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich, | (c) | the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and another natural or legal person; | (c) | prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja obrade i druge fizičke ili pravne osobe; |
| d) | die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig, | (d) | the transfer is necessary for important reasons of public interest; | (d) | prijenos je nužan iz važnih razloga javnog interesa; |
| e) | die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich, | (e) | the transfer is necessary for the establishment, exercise or defence of legal claims; | (e) | prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva; |
| f) | die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben, | (f) | the transfer is necessary in order to protect the vital interests of the data subject or of other persons, where the data subject is physically or legally incapable of giving consent; | (f) | prijenos je nužan za zaštitu životno važnih interesa ispitanika ili drugih osoba ako ispitanik fizički ili pravno ne može dati privolu; |
| g) | die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind. | (g) | the transfer is made from a register which according to Union or Member State law is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate a legitimate interest, but only to the extent that the conditions laid down by Union or Member State law for consultation are fulfilled in the particular case. | (g) | prijenos se obavlja iz registra koji prema pravu Unije ili pravu države članice služi pružanju informacija javnosti i koji je otvoren na uvid javnosti ili bilo kojoj osobi koja može dokazati neki opravdani interes, ali samo u mjeri u kojoj su ispunjeni uvjeti propisani u pravu Unije ili pravu države članice za uvid u tom posebnom slučaju. |
| Falls die Übermittlung nicht auf eine Bestimmung der Artikel 45 oder 46 — einschließlich der verbindlichen internen Datenschutzvorschriften — gestützt werden könnte und keine der Ausnahmen für einen bestimmten Fall gemäß dem ersten Unterabsatz anwendbar ist, darf eine Übermittlung an ein Drittland oder eine internationale Organisation nur dann erfolgen, wenn die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche setzt die Aufsichtsbehörde von der Übermittlung in Kenntnis. Der Verantwortliche unterrichtet die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen; dies erfolgt zusätzlich zu den der betroffenen Person nach den Artikeln 13 und 14 mitgeteilten Informationen. | Where a transfer could not be based on a provision in Article 45 or 46, including the provisions on binding corporate rules, and none of the derogations for a specific situation referred to in the first subparagraph of this paragraph is applicable, a transfer to a third country or an international organisation may take place only if the transfer is not repetitive, concerns only a limited number of data subjects, is necessary for the purposes of compelling legitimate interests pursued by the controller which are not overridden by the interests or rights and freedoms of the data subject, and the controller has assessed all the circumstances surrounding the data transfer and has on the basis of that assessment provided suitable safeguards with regard to the protection of personal data. The controller shall inform the supervisory authority of the transfer. The controller shall, in addition to providing the information referred to in Articles 13 and 14, inform the data subject of the transfer and on the compelling legitimate interests pursued. | Kad se prijenos ne može temeljiti na nekoj odredbi iz članka 45. ili 46., uključujući odredbe obvezujućih korporativnih pravila, i kad nije primjenjivo nijedno odstupanje za posebne situacije iz prvog podstavka ovog stavka, prijenos u treću zemlju ili međunarodnu organizaciju može se ostvariti samo ako se prijenos ne ponavlja, ako se odnosi samo na ograničen broj ispitanika, nužan je za potrebe uvjerljivih, legitimnih interesa voditelja obrade koji nisu podređeni interesima ili pravima i slobodama ispitanika, a voditelj obrade procijenio sve okolnosti prijenosa podataka te je na temelju te procjene predvidio odgovarajuće zaštitne mjere u pogledu zaštite osobnih podataka. Voditelj obrade obavješćuje nadzorno tijelo o tom prijenosu. Uz pružanje informacija iz članaka 13. i 14., voditelj obrade ispitanika obavješćuje o prijenosu i o uvjerljivim legitimnim interesima. |
| (2) Datenübermittlungen gemäß Absatz 1 Unterabsatz 1 Buchstabe g dürfen nicht die Gesamtheit oder ganze Kategorien der im Register enthaltenen personenbezogenen Daten umfassen. Wenn das Register der Einsichtnahme durch Personen mit berechtigtem Interesse dient, darf die Übermittlung nur auf Anfrage dieser Personen oder nur dann erfolgen, wenn diese Personen die Adressaten der Übermittlung sind. | 2. A transfer pursuant to point (g) of the first subparagraph of paragraph 1 shall not involve the entirety of the personal data or entire categories of the personal data contained in the register. Where the register is intended for consultation by persons having a legitimate interest, the transfer shall be made only at the request of those persons or if they are to be the recipients. | 2. Prijenos na temelju prvog podstavka stavka 1. točke (g) ne uključuje osobne podatke u cjelini ni cijele kategorije osobnih podataka sadržanih u registru. Kada registar služi na uvid osobama koje imaju opravdani interes, prijenos se obavlja samo na zahtjev tih osoba ili ako su one primatelji. |
| (3) Absatz 1 Unterabsatz 1 Buchstaben a, b und c und sowie Absatz 1 Unterabsatz 2 gelten nicht für Tätigkeiten, die Behörden in Ausübung ihrer hoheitlichen Befugnisse durchführen. | 3. Points (a), (b) and (c) of the first subparagraph of paragraph 1 and the second subparagraph thereof shall not apply to activities carried out by public authorities in the exercise of their public powers. | 3. Stavak 1. prvi podstavak točke (a), (b) i (c) i stavak 1. drugi podstavak ne primjenjuju se na aktivnosti koje provode tijela javne vlasti izvršavajući svoje javne ovlasti. |
| (4) Das öffentliche Interesse im Sinne des Absatzes 1 Unterabsatz 1 Buchstabe d muss im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, anerkannt sein. | 4. The public interest referred to in point (d) of the first subparagraph of paragraph 1 shall be recognised in Union law or in the law of the Member State to which the controller is subject. | 4. Javni interes iz prvog podstavka stavka 1. točke (d) mora biti priznat u pravu Unije ili u pravu države članice kojem podliježe voditelj obrade. |
| (5) Liegt kein Angemessenheitsbeschluss vor, so können im Unionsrecht oder im Recht der Mitgliedstaaten aus wichtigen Gründen des öffentlichen Interesses ausdrücklich Beschränkungen der Übermittlung bestimmter Kategorien von personenbezogenen Daten an Drittländer oder internationale Organisationen vorgesehen werden. Die Mitgliedstaaten teilen der Kommission derartige Bestimmungen mit. | 5. In the absence of an adequacy decision, Union or Member State law may, for important reasons of public interest, expressly set limits to the transfer of specific categories of personal data to a third country or an international organisation. Member States shall notify such provisions to the Commission. | 5. Ako nije donesena odluka o primjerenosti, pravo Unije ili pravo države članice mogu, iz važnih razloga javnog interesa, izričito odrediti ograničenja prijenosa određenih kategorija osobnih podataka trećoj zemlji ili međunarodnoj organizaciji. Države članice dužne su obavijestiti Komisiju o takvim odredbama. |
| (6) Der Verantwortliche oder der Auftragsverarbeiter erfasst die von ihm vorgenommene Beurteilung sowie die angemessenen Garantien im Sinne des Absatzes 1 Unterabsatz 2 des vorliegenden Artikels in der Dokumentation gemäß Artikel 30. | 6. The controller or processor shall document the assessment as well as the suitable safeguards referred to in the second subparagraph of paragraph 1 of this Article in the records referred to in Article 30. | 6. Voditelj obrade ili izvršitelj obrade dokumentiraju procjenu kao i odgovarajuće mjere zaštite iz stavka 1. drugog podstavka ovog članka u evidencijama iz članka 30. |
| Artikel 50 | Article 50 | Članak 50. |
| Internationale Zusammenarbeit zum Schutz personenbezogener Daten | International cooperation for the protection of personal data | Međunarodna suradnja s ciljem zaštite osobnih podataka |
| In Bezug auf Drittländer und internationale Organisationen treffen die Kommission und die Aufsichtsbehörden geeignete Maßnahmen zur | In relation to third countries and international organisations, the Commission and supervisory authorities shall take appropriate steps to: | Komisija i nadzorna tijela poduzimaju odgovarajuće mjere u pogledu trećih zemalja i međunarodnih organizacija s ciljem: |
| a) | Entwicklung von Mechanismen der internationalen Zusammenarbeit, durch die die wirksame Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten erleichtert wird, | (a) | develop international cooperation mechanisms to facilitate the effective enforcement of legislation for the protection of personal data; | (a) | razvoja mehanizama međunarodne suradnje za olakšavanje djelotvornog izvršavanja zakonodavstva o zaštiti osobnih podataka; |
| b) | gegenseitigen Leistung internationaler Amtshilfe bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten, unter anderem durch Meldungen, Beschwerdeverweisungen, Amtshilfe bei Untersuchungen und Informationsaustausch, sofern geeignete Garantien für den Schutz personenbezogener Daten und anderer Grundrechte und Grundfreiheiten bestehen, | (b) | provide international mutual assistance in the enforcement of legislation for the protection of personal data, including through notification, complaint referral, investigative assistance and information exchange, subject to appropriate safeguards for the protection of personal data and other fundamental rights and freedoms; | (b) | osiguranja međunarodne uzajamne pomoći u izvršavanju zakonodavstva o zaštiti osobnih podataka, uključujući obavješćivanjem, upućivanjem pritužbi, pomoći u istragama i razmjenom informacija, u skladu s odgovarajućim zaštitnim mjerama za zaštitu osobnih podataka i drugim temeljnim pravima i slobodama; |
| c) | Einbindung maßgeblicher Interessenträger in Diskussionen und Tätigkeiten, die zum Ausbau der internationalen Zusammenarbeit bei der Durchsetzung von Rechtsvorschriften zum Schutz personenbezogener Daten dienen, | (c) | engage relevant stakeholders in discussion and activities aimed at furthering international cooperation in the enforcement of legislation for the protection of personal data; | (c) | uključivanja relevantnih dionika u raspravu i aktivnosti čiji je cilj produbiti međunarodnu suradnju u izvršavanju zakonodavstva o zaštiti osobnih podataka; |
| d) | Förderung des Austauschs und der Dokumentation von Rechtsvorschriften und Praktiken zum Schutz personenbezogener Daten einschließlich Zuständigkeitskonflikten mit Drittländern. | (d) | promote the exchange and documentation of personal data protection legislation and practice, including on jurisdictional conflicts with third countries. | (d) | promicanja razmjene i dokumentiranja zakonodavstva i prakse u vezi sa zaštitom osobnih podataka, među ostalim u vezi sa sukobima nadležnosti s trećim zemljama. |
| KAPITEL VI | CHAPTER VI | POGLAVLJE VI. |
| Unabhängige Aufsichtsbehörden | Independent supervisory authorities | Neovisna nadzorna tijela |
| Abschnitt 1 | Section 1 | Odjeljak 1. |
| Unabhängigkeit | Independent status | Neovisni status |
| Artikel 51 | Article 51 | Članak 51. |
| Aufsichtsbehörde | Supervisory authority | Nadzorno tijelo |
| (1) Jeder Mitgliedstaat sieht vor, dass eine oder mehrere unabhängige Behörden für die Überwachung der Anwendung dieser Verordnung zuständig sind, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der Union erleichtert wird (im Folgenden „Aufsichtsbehörde“). | 1. Each Member State shall provide for one or more independent public authorities to be responsible for monitoring the application of this Regulation, in order to protect the fundamental rights and freedoms of natural persons in relation to processing and to facilitate the free flow of personal data within the Union (‘supervisory authority’). | 1. Svaka država članica osigurava da je jedno ili više neovisnih tijela javne vlasti odgovorno za praćenje primjene ove Uredbe kako bi se zaštitila temeljna prava i slobode pojedinaca u pogledu obrade i olakšao slobodan protok osobnih podataka unutar Unije („nadzorno tijelo”). |
| (2) Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. Zu diesem Zweck arbeiten die Aufsichtsbehörden untereinander sowie mit der Kommission gemäß Kapitel VII zusammen. | 2. Each supervisory authority shall contribute to the consistent application of this Regulation throughout the Union. For that purpose, the supervisory authorities shall cooperate with each other and the Commission in accordance with Chapter VII. | 2. Svako nadzorno tijelo doprinosi dosljednoj primjeni ove Uredbe u cijeloj Uniji. U tu svrhu nadzorna tijela surađuju međusobno i s Komisijom u skladu s poglavljem VII. |
| (3) Gibt es in einem Mitgliedstaat mehr als eine Aufsichtsbehörde, so bestimmt dieser Mitgliedstaat die Aufsichtsbehörde, die diese Behörden im Ausschuss vertritt, und führt ein Verfahren ein, mit dem sichergestellt wird, dass die anderen Behörden die Regeln für das Kohärenzverfahren nach Artikel 63 einhalten. | 3. Where more than one supervisory authority is established in a Member State, that Member State shall designate the supervisory authority which is to represent those authorities in the Board and shall set out the mechanism to ensure compliance by the other authorities with the rules relating to the consistency mechanism referred to in Article 63. | 3. Ako u državi članici postoji više od jednog nadzornog tijela, ta država članica imenuje nadzorno tijelo koje ta tijela predstavlja u Odboru i uspostavlja mehanizam kojim se osigurava da druga tijela poštuju pravila u vezi s mehanizmom konzistentnosti iz članka 63. |
| (4) Jeder Mitgliedstaat teilt der Kommission bis spätestens 25. Mai 2018 die Rechtsvorschriften, die er aufgrund dieses Kapitels erlässt, sowie unverzüglich alle folgenden Änderungen dieser Vorschriften mit. | 4. Each Member State shall notify to the Commission the provisions of its law which it adopts pursuant to this Chapter, by 25 May 2018 and, without delay, any subsequent amendment affecting them. | 4. Svaka država članica izvješćuje Komisiju o odredbama zakona koje donosi u skladu s ovim poglavljem do 25. svibnja 2018. i, bez odgode, o svim naknadnim izmjenama koje na njih utječu. |
| Artikel 52 | Article 52 | Članak 52. |
| Unabhängigkeit | Independence | Neovisnost |
| (1) Jede Aufsichtsbehörde handelt bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig. | 1. Each supervisory authority shall act with complete independence in performing its tasks and exercising its powers in accordance with this Regulation. | 1. Svako nadzorno tijelo djeluje potpuno neovisno pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti u skladu s ovom Uredbom. |
| (2) Das Mitglied oder die Mitglieder jeder Aufsichtsbehörde unterliegen bei der Erfüllung ihrer Aufgaben und der Ausübung ihrer Befugnisse gemäß dieser Verordnung weder direkter noch indirekter Beeinflussung von außen und ersuchen weder um Weisung noch nehmen sie Weisungen entgegen. | 2. The member or members of each supervisory authority shall, in the performance of their tasks and exercise of their powers in accordance with this Regulation, remain free from external influence, whether direct or indirect, and shall neither seek nor take instructions from anybody. | 2. Član ili članovi svakog nadzornog tijela moraju biti slobodni od vanjskog utjecaja, bilo izravnog bilo neizravnog, pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti u skladu s ovom Uredbom te ne smiju tražiti ni primati upute ni od koga. |
| (3) Das Mitglied oder die Mitglieder der Aufsichtsbehörde sehen von allen mit den Aufgaben ihres Amtes nicht zu vereinbarenden Handlungen ab und üben während ihrer Amtszeit keine andere mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus. | 3. Member or members of each supervisory authority shall refrain from any action incompatible with their duties and shall not, during their term of office, engage in any incompatible occupation, whether gainful or not. | 3. Član ili članovi svakog nadzornog tijela moraju se suzdržavati od svih radnji koje nisu u skladu s njihovim dužnostima te se tijekom svojeg mandata ne smiju baviti nikakvom neusklađenom djelatnošću, bez obzira na to je li ona plaćena ili ne. |
| (4) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde mit den personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ausgestattet wird, die sie benötigt, um ihre Aufgaben und Befugnisse auch im Rahmen der Amtshilfe, Zusammenarbeit und Mitwirkung im Ausschuss effektiv wahrnehmen zu können. | 4. Each Member State shall ensure that each supervisory authority is provided with the human, technical and financial resources, premises and infrastructure necessary for the effective performance of its tasks and exercise of its powers, including those to be carried out in the context of mutual assistance, cooperation and participation in the Board. | 4. Svaka država članica osigurava da svako nadzorno tijelo ima ljudske, tehničke i financijske resurse, prostorije i infrastrukturu potrebne za djelotvorno obavljanje svojih zadaća i izvršavanje svojih ovlasti, uključujući one koje treba izvršavati u kontekstu uzajamne pomoći, suradnje i sudjelovanja u Odboru. |
| (5) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde ihr eigenes Personal auswählt und hat, das ausschließlich der Leitung des Mitglieds oder der Mitglieder der betreffenden Aufsichtsbehörde untersteht. | 5. Each Member State shall ensure that each supervisory authority chooses and has its own staff which shall be subject to the exclusive direction of the member or members of the supervisory authority concerned. | 5. Svaka država članica osigurava da svako nadzorno tijelo odabire i ima vlastito osoblje kojim isključivo rukovodi član ili članovi predmetnog nadzornog tijela. |
| (6) Jeder Mitgliedstaat stellt sicher, dass jede Aufsichtsbehörde einer Finanzkontrolle unterliegt, die ihre Unabhängigkeit nicht beeinträchtigt und dass sie über eigene, öffentliche, jährliche Haushaltspläne verfügt, die Teil des gesamten Staatshaushalts oder nationalen Haushalts sein können. | 6. Each Member State shall ensure that each supervisory authority is subject to financial control which does not affect its independence and that it has separate, public annual budgets, which may be part of the overall state or national budget. | 6. Svaka država članica osigurava da svako nadzorno tijelo podliježe financijskoj kontroli koja ne utječe na njegovu neovisnost i da ima zasebne, javne, godišnje proračune koji mogu biti dio cjelokupnog državnog ili nacionalnog proračuna. |
| Artikel 53 | Article 53 | Članak 53. |
| Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde | General conditions for the members of the supervisory authority | Opći uvjeti za članove nadzornog tijela |
| (1) Die Mitgliedstaaten sehen vor, dass jedes Mitglied ihrer Aufsichtsbehörden im Wege eines transparenten Verfahrens ernannt wird, und zwar | 1. Member States shall provide for each member of their supervisory authorities to be appointed by means of a transparent procedure by: | 1. Države članice osiguravaju da svakog člana njihovih nadzornih tijela u okviru transparentnog postupka imenuje: |
| — | vom Parlament, | — | their parliament; | — | njihov parlament; |
| — | von der Regierung, | — | their government; | — | njihova vlada; |
| — | vom Staatsoberhaupt oder | — | their head of State; or | — | njihov šef države; ili |
| — | von einer unabhängigen Stelle, die nach dem Recht des Mitgliedstaats mit der Ernennung betraut wird. | — | an independent body entrusted with the appointment under Member State law. | — | neovisno tijelo kojem je pravom države članice povjereno to imenovanje. |
| (2) Jedes Mitglied muss über die für die Erfüllung seiner Aufgaben und Ausübung seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen. | 2. Each member shall have the qualifications, experience and skills, in particular in the area of the protection of personal data, required to perform its duties and exercise its powers. | 2. Svaki član mora imati kvalifikacije, iskustvo i vještine, posebno u području zaštite osobnih podataka, potrebne za obavljanje svojih dužnosti i izvršavanje svojih ovlasti. |
| (3) Das Amt eines Mitglieds endet mit Ablauf der Amtszeit, mit seinem Rücktritt oder verpflichtender Versetzung in den Ruhestand gemäß dem Recht des betroffenen Mitgliedstaats. | 3. The duties of a member shall end in the event of the expiry of the term of office, resignation or compulsory retirement, in accordance with the law of the Member State concerned. | 3. Dužnosti člana završavaju u slučaju isteka mandata, ostavke ili razrješenja dužnosti u skladu s pravom dotične države članice. |
| (4) Ein Mitglied wird seines Amtes nur enthoben, wenn es eine schwere Verfehlung begangen hat oder die Voraussetzungen für die Wahrnehmung seiner Aufgaben nicht mehr erfüllt. | 4. A member shall be dismissed only in cases of serious misconduct or if the member no longer fulfils the conditions required for the performance of the duties. | 4. Član smije biti otpušten samo u slučajevima teške povrede dužnosti ili ako član više ne ispunjava uvjete potrebne za izvršavanje dužnosti. |
| Artikel 54 | Article 54 | Članak 54. |
| Errichtung der Aufsichtsbehörde | Rules on the establishment of the supervisory authority | Pravila za osnivanje nadzornog tijela |
| (1) Jeder Mitgliedstaat sieht durch Rechtsvorschriften Folgendes vor: | 1. Each Member State shall provide by law for all of the following: | 1. Svaka država članica zakonom predviđa sve od navedenog: |
| a) | die Errichtung jeder Aufsichtsbehörde; | (a) | the establishment of each supervisory authority; | (a) | osnivanje svakog nadzornog tijela; |
| b) | die erforderlichen Qualifikationen und sonstigen Voraussetzungen für die Ernennung zum Mitglied jeder Aufsichtsbehörde; | (b) | the qualifications and eligibility conditions required to be appointed as member of each supervisory authority; | (b) | kvalifikacije i uvjete prihvatljivosti potrebne za imenovanje članom svakog nadzornog tijela; |
| c) | die Vorschriften und Verfahren für die Ernennung des Mitglieds oder der Mitglieder jeder Aufsichtsbehörde; | (c) | the rules and procedures for the appointment of the member or members of each supervisory authority; | (c) | pravila i postupke za imenovanje člana ili članova svakog nadzornog tijela; |
| d) | die Amtszeit des Mitglieds oder der Mitglieder jeder Aufsichtsbehörde von mindestens vier Jahren; dies gilt nicht für die erste Amtszeit nach 24. Mai 2016, die für einen Teil der Mitglieder kürzer sein kann, wenn eine zeitlich versetzte Ernennung zur Wahrung der Unabhängigkeit der Aufsichtsbehörde notwendig ist; | (d) | the duration of the term of the member or members of each supervisory authority of no less than four years, except for the first appointment after 24 May 2016, part of which may take place for a shorter period where that is necessary to protect the independence of the supervisory authority by means of a staggered appointment procedure; | (d) | trajanje mandata člana ili članova svakog nadzornog tijela ne kraćeg od četiri godine, osim za prvo imenovanje nakon 24. svibnja 2016., a čiji dio može trajati kraće ako je to potrebno kako bi se zaštitila neovisnost nadzornog tijela putem postupka postupnog imenovanja; |
| e) | die Frage, ob und — wenn ja — wie oft das Mitglied oder die Mitglieder jeder Aufsichtsbehörde wiederernannt werden können; | (e) | whether and, if so, for how many terms the member or members of each supervisory authority is eligible for reappointment; | (e) | jesu li član ili članovi svakog nadzornog tijela prihvatljivi da budu ponovno izabrani i, ako jesu, na koliko mandata; |
| f) | die Bedingungen im Hinblick auf die Pflichten des Mitglieds oder der Mitglieder und der Bediensteten jeder Aufsichtsbehörde, die Verbote von Handlungen, beruflichen Tätigkeiten und Vergütungen während und nach der Amtszeit, die mit diesen Pflichten unvereinbar sind, und die Regeln für die Beendigung des Beschäftigungsverhältnisses. | (f) | the conditions governing the obligations of the member or members and staff of each supervisory authority, prohibitions on actions, occupations and benefits incompatible therewith during and after the term of office and rules governing the cessation of employment. | (f) | uvjete kojima se uređuju obveze člana ili članova osoblja svakog nadzornog tijela, zabrane djelovanja, poslova i pogodnosti koji nisu u skladu s tim tijekom i nakon mandata te pravila kojima se uređuje prestanak radnog odnosa. |
| (2) Das Mitglied oder die Mitglieder und die Bediensteten jeder Aufsichtsbehörde sind gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten sowohl während ihrer Amts- beziehungsweise Dienstzeit als auch nach deren Beendigung verpflichtet, über alle vertraulichen Informationen, die ihnen bei der Wahrnehmung ihrer Aufgaben oder der Ausübung ihrer Befugnisse bekannt geworden sind, Verschwiegenheit zu wahren. Während dieser Amts- beziehungsweise Dienstzeit gilt diese Verschwiegenheitspflicht insbesondere für die von natürlichen Personen gemeldeten Verstößen gegen diese Verordnung. | 2. The member or members and the staff of each supervisory authority shall, in accordance with Union or Member State law, be subject to a duty of professional secrecy both during and after their term of office, with regard to any confidential information which has come to their knowledge in the course of the performance of their tasks or exercise of their powers. During their term of office, that duty of professional secrecy shall in particular apply to reporting by natural persons of infringements of this Regulation. | 2. Član ili članovi i osoblje svakog nadzornog tijela podliježu, u skladu s pravom Unije ili pravom države članice, obvezi čuvanja profesionalne tajne i za vrijeme mandata i nakon njegova završetka, s obzirom na sve povjerljive informacije koje doznaju tijekom obavljanja svojih dužnosti ili izvršavanja svojih ovlasti. Tijekom svojeg mandata ta se dužnost čuvanja profesionalne tajne posebno primjenjuje na izvješćivanje pojedinaca o kršenjima ove Uredbe. |
| Abschnitt 2 | Section 2 | Odjeljak 2. |
| Zuständigkeit, Aufgaben und Befugnisse | Competence, tasks and powers | Nadležnost, zadaće i ovlasti |
| Artikel 55 | Article 55 | Članak 55. |
| Zuständigkeit | Competence | Nadležnost |
| (1) Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr mit dieser Verordnung übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig. | 1. Each supervisory authority shall be competent for the performance of the tasks assigned to and the exercise of the powers conferred on it in accordance with this Regulation on the territory of its own Member State. | 1. Svako nadzorno tijelo nadležno je za obavljanje zadaća koje su mu povjerene i izvršavanje ovlasti koje su mu dodijeljene u skladu s ovom Uredbom na državnom području vlastite države članice. |
| (2) Erfolgt die Verarbeitung durch Behörden oder private Stellen auf der Grundlage von Artikel 6 Absatz 1 Buchstabe c oder e, so ist die Aufsichtsbehörde des betroffenen Mitgliedstaats zuständig. In diesem Fall findet Artikel 56 keine Anwendung. | 2. Where processing is carried out by public authorities or private bodies acting on the basis of point (c) or (e) of Article 6(1), the supervisory authority of the Member State concerned shall be competent. In such cases Article 56 does not apply. | 2. Ako obradu obavljaju tijela javne vlasti ili privatna tijela koja postupaju na temelju članka 6. stavka 1.točke (c) ili (e), nadležno je nadzorno tijelo dotične države članice. U takvim slučajevima ne primjenjuje se članak 56. |
| (3) Die Aufsichtsbehörden sind nicht zuständig für die Aufsicht über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen. | 3. Supervisory authorities shall not be competent to supervise processing operations of courts acting in their judicial capacity. | 3. Nadzorna tijela nisu nadležna nadzirati postupke obrade sudova kada obavljaju svoju sudbenu funkciju. |
| Artikel 56 | Article 56 | Članak 56. |
| Zuständigkeit der federführenden Aufsichtsbehörde | Competence of the lead supervisory authority | Nadležnost vodećeg nadzornog tijela |
| (1) Unbeschadet des Artikels 55 ist die Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters gemäß dem Verfahren nach Artikel 60 die zuständige federführende Aufsichtsbehörde für die von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführte grenzüberschreitende Verarbeitung. | 1. Without prejudice to Article 55, the supervisory authority of the main establishment or of the single establishment of the controller or processor shall be competent to act as lead supervisory authority for the cross-border processing carried out by that controller or processor in accordance with the procedure provided in Article 60. | 1. Ne dovodeći u pitanje članak 55. nadzorno tijelo glavnog poslovnog nastana ili jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade nadležno je djelovati kao vodeće nadzorno tijelo za prekograničnu obradu koju provodi taj voditelj obrade ili izvršitelj obrade u skladu s postupkom utvrđenim u članku 60. |
| (2) Abweichend von Absatz 1 ist jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoß gegen diese Verordnung zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt. | 2. By derogation from paragraph 1, each supervisory authority shall be competent to handle a complaint lodged with it or a possible infringement of this Regulation, if the subject matter relates only to an establishment in its Member State or substantially affects data subjects only in its Member State. | 2. Odstupajući od stavka 1. svako nadzorno tijelo nadležno je za rješavanje pritužbe koja mu je podnesena ili mogućeg kršenja ove Uredbe, ako se predmet odnosi samo na poslovni nastan u njegovoj državi članici ili bitno utječe samo na ispitanike u njegovoj državi članici. |
| (3) In den in Absatz 2 des vorliegenden Artikels genannten Fällen unterrichtet die Aufsichtsbehörde unverzüglich die federführende Aufsichtsbehörde über diese Angelegenheit. Innerhalb einer Frist von drei Wochen nach der Unterrichtung entscheidet die federführende Aufsichtsbehörde, ob sie sich mit dem Fall gemäß dem Verfahren nach Artikel 60 befasst oder nicht, wobei sie berücksichtigt, ob der Verantwortliche oder der Auftragsverarbeiter in dem Mitgliedstaat, dessen Aufsichtsbehörde sie unterrichtet hat, eine Niederlassung hat oder nicht. | 3. In the cases referred to in paragraph 2 of this Article, the supervisory authority shall inform the lead supervisory authority without delay on that matter. Within a period of three weeks after being informed the lead supervisory authority shall decide whether or not it will handle the case in accordance with the procedure provided in Article 60, taking into account whether or not there is an establishment of the controller or processor in the Member State of which the supervisory authority informed it. | 3. U slučajevima iz stavka 2. ovog članka nadzorno tijelo bez odgode obavješćuje vodeće nadzorno tijelo o tom pitanju. U roku od tri tjedna nakon primitka obavijesti vodeće nadzorno tijelo odlučuje hoće li rješavati predmet u skladu s postupkom predviđenim u članku 60., uzimajući u obzir to ima li voditelj obrade ili izvršitelj obrade poslovni nastan u državi članici čije mu je nadzorno tijelo uputilo obavijest. |
| (4) Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall zu befassen, so findet das Verfahren nach Artikel 60 Anwendung. Die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, kann dieser einen Beschlussentwurf vorlegen. Die federführende Aufsichtsbehörde trägt diesem Entwurf bei der Ausarbeitung des Beschlussentwurfs nach Artikel 60 Absatz 3 weitestgehend Rechnung. | 4. Where the lead supervisory authority decides to handle the case, the procedure provided in Article 60 shall apply. The supervisory authority which informed the lead supervisory authority may submit to the lead supervisory authority a draft for a decision. The lead supervisory authority shall take utmost account of that draft when preparing the draft decision referred to in Article 60(3). | 4. Ako vodeće nadzorno tijelo odluči riješiti predmet, primjenjuje se postupak iz članka 60. Nadzorno tijelo koje je uputilo obavijest vodećem nadzornom tijelu može vodećem nadzornom tijelu podnijeti nacrt za oduku. Vodeće nadzorno tijelo uzima u obzir što je više moguće taj nacrt prilikom izrade nacrta odluke iz članka 60. stavka 3. |
| (5) Entscheidet die federführende Aufsichtsbehörde, sich mit dem Fall nicht selbst zu befassen, so befasst die Aufsichtsbehörde, die die federführende Aufsichtsbehörde unterrichtet hat, sich mit dem Fall gemäß den Artikeln 61 und 62. | 5. Where the lead supervisory authority decides not to handle the case, the supervisory authority which informed the lead supervisory authority shall handle it according to Articles 61 and 62. | 5. Ako vodeće nadzorno tijelo odluči da neće rješavati predmet, rješava ga nadzorno tijelo koje je uputilo obavijest vodećem nadzornom tijelu, u skladu s člancima 61. i 62. |
| (6) Die federführende Aufsichtsbehörde ist der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung. | 6. The lead supervisory authority shall be the sole interlocutor of the controller or processor for the cross-border processing carried out by that controller or processor. | 6. Vodeće nadzorno tijelo jedini je sugovornik voditelja obrade ili izvršitelja obrade u prekograničnoj obradi koju provodi taj voditelj obrade ili izvršitelj obrade. |
| Artikel 57 | Article 57 | Članak 57. |
| Aufgaben | Tasks | Zadaće |
| (1) Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet | 1. Without prejudice to other tasks set out under this Regulation, each supervisory authority shall on its territory: | 1. Ne dovodeći u pitanje ostale zadaće utvrđene u ovoj Uredbi, svako nadzorno tijelo na svom području: |
| a) | die Anwendung dieser Verordnung überwachen und durchsetzen; | (a) | monitor and enforce the application of this Regulation; | (a) | prati i provodi primjenu ove Uredbe; |
| b) | die Öffentlichkeit für die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung sensibilisieren und sie darüber aufklären. Besondere Beachtung finden dabei spezifische Maßnahmen für Kinder; | (b) | promote public awareness and understanding of the risks, rules, safeguards and rights in relation to processing. Activities addressed specifically to children shall receive specific attention; | (b) | promiče javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom te njihovo razumijevanje. Aktivnosti koje su posebno namijenjene djeci moraju dobiti posebnu pozornost; |
| c) | im Einklang mit dem Recht des Mitgliedsstaats das nationale Parlament, die Regierung und andere Einrichtungen und Gremien über legislative und administrative Maßnahmen zum Schutz der Rechte und Freiheiten natürlicher Personen in Bezug auf die Verarbeitung beraten; | (c) | advise, in accordance with Member State law, the national parliament, the government, and other institutions and bodies on legislative and administrative measures relating to the protection of natural persons' rights and freedoms with regard to processing; | (c) | savjetuje, u skladu s pravom države članice, nacionalni parlament, vladu i druge institucije i tijela o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca u pogledu obrade; |
| d) | die Verantwortlichen und die Auftragsverarbeiter für die ihnen aus dieser Verordnung entstehenden Pflichten sensibilisieren; | (d) | promote the awareness of controllers and processors of their obligations under this Regulation; | (d) | promiče osviještenost voditeljâ obrade i izvršiteljâ obrade o njihovim obvezama iz ove Uredbe; |
| e) | auf Anfrage jeder betroffenen Person Informationen über die Ausübung ihrer Rechte aufgrund dieser Verordnung zur Verfügung stellen und gegebenenfalls zu diesem Zweck mit den Aufsichtsbehörden in anderen Mitgliedstaaten zusammenarbeiten; | (e) | upon request, provide information to any data subject concerning the exercise of their rights under this Regulation and, if appropriate, cooperate with the supervisory authorities in other Member States to that end; | (e) | na zahtjev pruža informacije bilo kojem ispitaniku u vezi s ostvarivanjem njihovih prava iz ove Uredbe, a prema potrebi, u tu svrhu surađuje s nadzornim tijelima u drugim državama članicama; |
| f) | sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist; | (f) | handle complaints lodged by a data subject, or by a body, organisation or association in accordance with Article 80, and investigate, to the extent appropriate, the subject matter of the complaint and inform the complainant of the progress and the outcome of the investigation within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary; | (f) | rješava pritužbe koje podnose ispitanik ili tijelo, organizacija ili udruženje u skladu s člankom 80. i istražuje u odgovarajućoj mjeri predmet pritužbe te podnositelja pritužbe u razumnom roku izvješćuje o napretku i ishodu istrage, posebno ako je potrebna daljnja istraga ili koordinacija s drugim nadzornim tijelom; |
| g) | mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung dieser Verordnung zu gewährleisten; | (g) | cooperate with, including sharing information and provide mutual assistance to, other supervisory authorities with a view to ensuring the consistency of application and enforcement of this Regulation; | (g) | surađuje s drugim nadzornim tijelima, među ostalim dijeljenjem informacija, te pruža uzajamnu pomoć drugim nadzornim tijelima s ciljem osiguranja konzistentnosti primjene i provedbe ove Uredbe; |
| h) | Untersuchungen über die Anwendung dieser Verordnung durchführen, auch auf der Grundlage von Informationen einer anderen Aufsichtsbehörde oder einer anderen Behörde; | (h) | conduct investigations on the application of this Regulation, including on the basis of information received from another supervisory authority or other public authority; | (h) | provodi istrage o primjeni ove Uredbe, među ostalim na temelju informacija primljenih od drugog nadzornog ili drugog tijela javne vlasti; |
| i) | maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz personenbezogener Daten auswirken, insbesondere die Entwicklung der Informations- und Kommunikationstechnologie und der Geschäftspraktiken; | (i) | monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies and commercial practices; | (i) | prati bitne razvoje u onoj mjeri u kojoj utječu na zaštitu osobnih podataka, osobito razvoj informacijskih i komunikacijskih tehnologija i komercijalnih praksi; |
| j) | Standardvertragsklauseln im Sinne des Artikels 28 Absatz 8 und des Artikels 46 Absatz 2 Buchstabe d festlegen; | (j) | adopt standard contractual clauses referred to in Article 28(8) and in point (d) of Article 46(2); | (j) | donosi standardne ugovorne klauzule iz članka 28. stavka 8. i članka 46. stavka 2. točke (d); |
| k) | eine Liste der Verarbeitungsarten erstellen und führen, für die gemäß Artikel 35 Absatz 4 eine Datenschutz-Folgenabschätzung durchzuführen ist; | (k) | establish and maintain a list in relation to the requirement for data protection impact assessment pursuant to Article 35(4); | (k) | utvrđuje i vodi popis u vezi s uvjetima za procjenu učinka na zaštitu podataka u skladu s člankom 35. stavkom 4.; |
| l) | Beratung in Bezug auf die in Artikel 36 Absatz 2 genannten Verarbeitungsvorgänge leisten; | (l) | give advice on the processing operations referred to in Article 36(2); | (l) | daje savjete o postupcima obrade iz članka 36. stavka 2.; |
| m) | die Ausarbeitung von Verhaltensregeln gemäß Artikel 40 Absatz 1 fördern und zu diesen Verhaltensregeln, die ausreichende Garantien im Sinne des Artikels 40 Absatz 5 bieten müssen, Stellungnahmen abgeben und sie billigen; | (m) | encourage the drawing up of codes of conduct pursuant to Article 40(1) and provide an opinion and approve such codes of conduct which provide sufficient safeguards, pursuant to Article 40(5); | (m) | potiče izradu kodeksa ponašanja u skladu s člankom 40. stavkom 1. i daje mišljenje i odobrava takve kodekse ponašanja koji pružaju dostatne mjere zaštite, u skladu s člankom 40. stavkom 5.; |
| n) | die Einführung von Datenschutzzertifizierungsmechanismen und von Datenschutzsiegeln und -prüfzeichen nach Artikel 42 Absatz 1 anregen und Zertifizierungskriterien nach Artikel 42 Absatz 5 billigen; | (n) | encourage the establishment of data protection certification mechanisms and of data protection seals and marks pursuant to Article 42(1), and approve the criteria of certification pursuant to Article 42(5); | (n) | potiče uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u skladu s člankom 42. stavkom 1. i odobrava kriterije certificiranja u skladu s člankom 42. stavkom 5.; |
| o) | gegebenenfalls die nach Artikel 42 Absatz 7 erteilten Zertifizierungen regelmäßig überprüfen; | (o) | where applicable, carry out a periodic review of certifications issued in accordance with Article 42(7); | (o) | prema potrebi, provodi periodično preispitivanje izdanih certifikata u skladu s člankom 42. stavkom 7.; |
| p) | die Kriterien für die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43 abfassen und veröffentlichen; | (p) | draft and publish the criteria for accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43; | (p) | sastavlja i objavljuje kriterije za akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i akreditaciju certifikacijskog tijela u skladu s člankom 43.; |
| q) | die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Artikel 41 und einer Zertifizierungsstelle gemäß Artikel 43 vornehmen; | (q) | conduct the accreditation of a body for monitoring codes of conduct pursuant to Article 41 and of a certification body pursuant to Article 43; | (q) | provodi akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i akreditaciju certifikacijskog tijela u skladu s člankom 43.; |
| r) | Vertragsklauseln und Bestimmungen im Sinne des Artikels 46 Absatz 3 genehmigen; | (r) | authorise contractual clauses and provisions referred to in Article 46(3); | (r) | odobrava ugovorne klauzule i odredbe iz članka 46. stavka 3.; |
| s) | verbindliche interne Vorschriften gemäß Artikel 47 genehmigen; | (s) | approve binding corporate rules pursuant to Article 47; | (s) | odobrava obvezujuća korporativna pravila u skladu s člankom 43.; |
| t) | Beiträge zur Tätigkeit des Ausschusses leisten; | (t) | contribute to the activities of the Board; | (t) | doprinosi aktivnostima Odbora; |
| u) | interne Verzeichnisse über Verstöße gegen diese Verordnung und gemäß Artikel 58 Absatz 2 ergriffene Maßnahmen und | (u) | keep internal records of infringements of this Regulation and of measures taken in accordance with Article 58(2); and | (u) | vodi internu evidenciju o kršenjima ove Uredbe i mjerama koje su poduzete u skladu s člankom 58. stavkom 2.; i |
| v) | jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen. | (v) | fulfil any other tasks related to the protection of personal data. | (v) | ispunjava sve ostale zadaće u vezi sa zaštitom osobnih podataka. |
| (2) Jede Aufsichtsbehörde erleichtert das Einreichen von in Absatz 1 Buchstabe f genannten Beschwerden durch Maßnahmen wie etwa die Bereitstellung eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass andere Kommunikationsmittel ausgeschlossen werden. | 2. Each supervisory authority shall facilitate the submission of complaints referred to in point (f) of paragraph 1 by measures such as a complaint submission form which can also be completed electronically, without excluding other means of communication. | 2. Svako nadzorno tijelo olakšava podnošenje pritužaba iz stavka 1. točke (b) mjerama poput obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući ostala sredstva komunikacije. |
| (3) Die Erfüllung der Aufgaben jeder Aufsichtsbehörde ist für die betroffene Person und gegebenenfalls für den Datenschutzbeauftragten unentgeltlich. | 3. The performance of the tasks of each supervisory authority shall be free of charge for the data subject and, where applicable, for the data protection officer. | 3. Obavljanje zadaća svakog nadzornog tijela besplatno je za ispitanika i, ako je primjenjivo, službenika za zaštitu podataka. |
| (4) Bei offenkundig unbegründeten oder — insbesondere im Fall von häufiger Wiederholung — exzessiven Anfragen kann die Aufsichtsbehörde eine angemessene Gebühr auf der Grundlage der Verwaltungskosten verlangen oder sich weigern, aufgrund der Anfrage tätig zu werden. In diesem Fall trägt die Aufsichtsbehörde die Beweislast für den offenkundig unbegründeten oder exzessiven Charakter der Anfrage. | 4. Where requests are manifestly unfounded or excessive, in particular because of their repetitive character, the supervisory authority may charge a reasonable fee based on administrative costs, or refuse to act on the request. The supervisory authority shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request. | 4. Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog učestalog ponavljanja, nadzorno tijelo može naplatiti razumnu naknadu na temelju administrativnih troškova ili odbiti postupiti po zahtjevu. U tom je slučaju teret dokazivanja očite neutemeljenosti ili pretjeranosti zahtjeva na nadzornom tijelu. |
| Artikel 58 | Article 58 | Članak 58. |
| Befugnisse | Powers | Ovlasti |
| (1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten, | 1. Each supervisory authority shall have all of the following investigative powers: | 1. Svako nadzorno tijelo ima sve sljedeće istražne ovlasti: |
| a) | den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind, | (a) | to order the controller and the processor, and, where applicable, the controller's or the processor's representative to provide any information it requires for the performance of its tasks; | (a) | narediti voditelju obrade i izvršitelju obrade, a prema potrebi i predstavniku voditelja obrade ili izvršitelja obrade, da mu pruže sve informacije potrebne za obavljanje svojih zadaća; |
| b) | Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen, | (b) | to carry out investigations in the form of data protection audits; | (b) | provoditi istrage u obliku revizije zaštite podataka; |
| c) | eine Überprüfung der nach Artikel 42 Absatz 7 erteilten Zertifizierungen durchzuführen, | (c) | to carry out a review on certifications issued pursuant to Article 42(7); | (c) | provoditi preispitivanje certifikata izdanih u skladu s člankom 42. stavkom 7.; |
| d) | den Verantwortlichen oder den Auftragsverarbeiter auf einen vermeintlichen Verstoß gegen diese Verordnung hinzuweisen, | (d) | to notify the controller or the processor of an alleged infringement of this Regulation; | (d) | obavijestiti voditelja obrade ili izvršitelja obrade o navodnom kršenju ove Uredbe; |
| e) | von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten, | (e) | to obtain, from the controller and the processor, access to all personal data and to all information necessary for the performance of its tasks; | (e) | ishoditi, od voditelja obrade i izvršitelja obrade, pristup svim osobnim podacima i svim informacijama potrebnim za obavljanje svojih zadaća; |
| f) | gemäß dem Verfahrensrecht der Union oder dem Verfahrensrecht des Mitgliedstaats Zugang zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und -geräte, des Verantwortlichen und des Auftragsverarbeiters zu erhalten. | (f) | to obtain access to any premises of the controller and the processor, including to any data processing equipment and means, in accordance with Union or Member State procedural law. | (f) | ishoditi pristup svim prostorijama voditelja obrade i izvršitelja obrade, uključujući svu opremu i sredstva za obradu podataka, u skladu s pravom Unije ili postupovnim pravom države članice. |
| (2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten, | 2. Each supervisory authority shall have all of the following corrective powers: | 2. Svako nadzorno tijelo ima sve sljedeće korektivne ovlasti: |
| a) | einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen, | (a) | to issue warnings to a controller or processor that intended processing operations are likely to infringe provisions of this Regulation; | (a) | izdavati upozorenja voditelju obrade ili izvršitelju obrade da bi namjeravani postupci obrade lako mogli prouzročiti kršenje odredaba ove Uredbe; |
| b) | einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat, | (b) | to issue reprimands to a controller or a processor where processing operations have infringed provisions of this Regulation; | (b) | izdavati službene opomene voditelju obrade ili izvršitelju obrade ako se postupcima obrade krše odredbe ove Uredbe; |
| c) | den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen, | (c) | to order the controller or the processor to comply with the data subject's requests to exercise his or her rights pursuant to this Regulation; | (c) | narediti voditelju obrade ili izvršitelju obrade da poštuje zahtjeve ispitanika za ostvarivanje njegovih prava u skladu s ovom Uredbom; |
| d) | den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen, | (d) | to order the controller or processor to bring processing operations into compliance with the provisions of this Regulation, where appropriate, in a specified manner and within a specified period; | (d) | narediti voditelju obrade ili izvršitelju obrade da postupke obrade uskladi s odredbama ove Uredbe, prema potrebi na točno određen način i u točno zadanom roku; |
| e) | den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person entsprechend zu benachrichtigen, | (e) | to order the controller to communicate a personal data breach to the data subject; | (e) | narediti voditelju obrade da ispitanika obavijesti o povredi osobnih podataka; |
| f) | eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen, | (f) | to impose a temporary or definitive limitation including a ban on processing; | (f) | privremeno ili konačno ograničiti, među ostalim zabraniti, obradu; |
| g) | die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrichtung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offengelegt wurden, über solche Maßnahmen anzuordnen, | (g) | to order the rectification or erasure of personal data or restriction of processing pursuant to Articles 16, 17 and 18 and the notification of such actions to recipients to whom the personal data have been disclosed pursuant to Article 17(2) and Article 19; | (g) | narediti ispravljanje ili brisanje osobnih podataka ili ograničavanje obrade u skladu s člancima 16., 17. i 18. i izvješćivanje o takvim radnjama primatelja kojima su osobni podaci otkriveni u skladu s člankom 17. stavkom 2. i člankom 19.; |
| h) | eine Zertifizierung zu widerrufen oder die Zertifizierungsstelle anzuweisen, eine gemäß den Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zertifizierungsstelle anzuweisen, keine Zertifizierung zu erteilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden, | (h) | to withdraw a certification or to order the certification body to withdraw a certification issued pursuant to Articles 42 and 43, or to order the certification body not to issue certification if the requirements for the certification are not or are no longer met; | (h) | povući certifikat ili certifikacijskom tijelu narediti da povuče certifikat izdan u skladu s člankom 42. i 43., ili certifikacijskom tijelu narediti da ne iza certifikat ako nisu ispunjeni zahtjevi za certificiranje ili ako oni više nisu ispunjeni; |
| i) | eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls, | (i) | to impose an administrative fine pursuant to Article 83, in addition to, or instead of measures referred to in this paragraph, depending on the circumstances of each individual case; | (i) | izreći upravnu novčanu kaznu u skladu s člankom 79. uz mjere, ili umjesto mjera koje se navode u ovom stavku, ovisno o okolnostima svakog pojedinog slučaja; |
| j) | die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation anzuordnen. | (j) | to order the suspension of data flows to a recipient in a third country or to an international organisation. | (j) | narediti suspenziju protoka podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji. |
| (3) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Genehmigungsbefugnisse und beratenden Befugnisse, die es ihr gestatten, | 3. Each supervisory authority shall have all of the following authorisation and advisory powers: | 3. Svako nadzorno tijelo ima sve sljedeće ovlasti u vezi s odobravanjem te savjetodavne ovlasti: |
| a) | gemäß dem Verfahren der vorherigen Konsultation nach Artikel 36 den Verantwortlichen zu beraten, | (a) | to advise the controller in accordance with the prior consultation procedure referred to in Article 36; | (a) | savjetovati voditelja obrade u skladu s prethodnim postupkom savjetovanja iz članka 36., |
| b) | zu allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten stehen, von sich aus oder auf Anfrage Stellungnahmen an das nationale Parlament, die Regierung des Mitgliedstaats oder im Einklang mit dem Recht des Mitgliedstaats an sonstige Einrichtungen und Stellen sowie an die Öffentlichkeit zu richten, | (b) | to issue, on its own initiative or on request, opinions to the national parliament, the Member State government or, in accordance with Member State law, to other institutions and bodies as well as to the public on any issue related to the protection of personal data; | (b) | na vlastitu inicijativu ili na zahtjev, izdati nacionalnom parlamentu, vladi države članice ili, u skladu s pravom države članice, drugim institucijama i tijelima, te javnosti, mišljenje o svakom pitanju u vezi sa zaštitom osobnih podataka; |
| c) | die Verarbeitung gemäß Artikel 36 Absatz 5 zu genehmigen, falls im Recht des Mitgliedstaats eine derartige vorherige Genehmigung verlangt wird, | (c) | to authorise processing referred to in Article 36(5), if the law of the Member State requires such prior authorisation; | (c) | odobriti obradu iz članka 36. stavka 5., ako se pravom države članice takvo prethodno odobrenje zahtijeva; |
| d) | eine Stellungnahme abzugeben und Entwürfe von Verhaltensregeln gemäß Artikel 40 Absatz 5 zu billigen, | (d) | to issue an opinion and approve draft codes of conduct pursuant to Article 40(5); | (d) | izdati mišljenje i odobriti nacrte kodeksâ ponašanja u skladu s člankom 40. stavkom 5.; |
| e) | Zertifizierungsstellen gemäß Artikel 43 zu akkreditieren, | (e) | to accredit certification bodies pursuant to Article 43; | (e) | akreditirati certifikacijska tijela u skladu s člankom 43.; |
| f) | im Einklang mit Artikel 42 Absatz 5 Zertifizierungen zu erteilen und Kriterien für die Zertifizierung zu billigen, | (f) | to issue certifications and approve criteria of certification in accordance with Article 42(5); | (f) | izdati certifikate i odobriti kriterije certificiranja u skladu s člankom 42. stavkom 5.; |
| g) | Standarddatenschutzklauseln nach Artikel 28 Absatz 8 und Artikel 46 Absatz 2 Buchstabe d festzulegen, | (g) | to adopt standard data protection clauses referred to in Article 28(8) and in point (d) of Article 46(2); | (g) | donijeti standardne klauzule o zaštiti podataka iz članka 28. stavka 8. i članka 46. stavka 2. točke (d); |
| h) | Vertragsklauseln gemäß Artikel 46 Absatz 3 Buchstabe a zu genehmigen, | (h) | to authorise contractual clauses referred to in point (a) of Article 46(3); | (h) | odobriti ugovorne klauzule iz članka 46. stavka 3. točke (a); |
| i) | Verwaltungsvereinbarungen gemäß Artikel 46 Absatz 3 Buchstabe b zu genehmigen | (i) | to authorise administrative arrangements referred to in point (b) of Article 46(3); | (i) | odobriti administrativne dogovore iz članka 46. stavka 3. točke (b); |
| j) | verbindliche interne Vorschriften gemäß Artikel 47 zu genehmigen. | (j) | to approve binding corporate rules pursuant to Article 47. | (j) | odobriti obvezujuća korporativna pravila u skladu s člankom 47. |
| (4) Die Ausübung der der Aufsichtsbehörde gemäß diesem Artikel übertragenen Befugnisse erfolgt vorbehaltlich geeigneter Garantien einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren gemäß dem Unionsrecht und dem Recht des Mitgliedstaats im Einklang mit der Charta. | 4. The exercise of the powers conferred on the supervisory authority pursuant to this Article shall be subject to appropriate safeguards, including effective judicial remedy and due process, set out in Union and Member State law in accordance with the Charter. | 4. Izvršavanje ovlasti dodijeljenih nadzornom tijelu u skladu s ovim člankom podliježe odgovarajućim zaštitnim mjerama, među ostalim učinkovitom pravnom lijeku i odgovarajućem postupku utvrđenim u pravu Unije i pravu države članice u skladu s Poveljom. |
| (5) Jeder Mitgliedstaat sieht durch Rechtsvorschriften vor, dass seine Aufsichtsbehörde befugt ist, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und gegebenenfalls die Einleitung eines gerichtlichen Verfahrens zu betreiben oder sich sonst daran zu beteiligen, um die Bestimmungen dieser Verordnung durchzusetzen. | 5. Each Member State shall provide by law that its supervisory authority shall have the power to bring infringements of this Regulation to the attention of the judicial authorities and where appropriate, to commence or engage otherwise in legal proceedings, in order to enforce the provisions of this Regulation. | 5. Svaka država članica zakonom propisuje da njezino nadzorno tijelo ima ovlasti obavijestiti pravosudna tijela o povredama ove Uredbe i, prema potrebi, pokrenuti pravne postupke ili u njima na drugi način sudjelovati kako bi se provele odredbe ove Uredbe. |
| (6) Jeder Mitgliedstaat kann durch Rechtsvorschriften vorsehen, dass seine Aufsichtsbehörde neben den in den Absätzen 1, 2 und 3 aufgeführten Befugnissen über zusätzliche Befugnisse verfügt. Die Ausübung dieser Befugnisse darf nicht die effektive Durchführung des Kapitels VII beeinträchtigen. | 6. Each Member State may provide by law that its supervisory authority shall have additional powers to those referred to in paragraphs 1, 2 and 3. The exercise of those powers shall not impair the effective operation of Chapter VII. | 6. Svaka država članica zakonom može predvidjeti da nadzorno tijelo uz ovlasti iz stavaka 1., 2. i 3. ima dodatne ovlasti. Izvršavanje tih ovlasti ne smije narušavati učinkovito djelovanje odredaba poglavlja VII. |
| Artikel 59 | Article 59 | Članak 59. |
| Tätigkeitsbericht | Activity reports | Izvješća o aktivnostima |
| Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Tätigkeit, der eine Liste der Arten der gemeldeten Verstöße und der Arten der getroffenen Maßnahmen nach Artikel 58 Absatz 2 enthalten kann. Diese Berichte werden dem nationalen Parlament, der Regierung und anderen nach dem Recht der Mitgliedstaaten bestimmten Behörden übermittelt. Sie werden der Öffentlichkeit, der Kommission und dem Ausschuss zugänglich gemacht. | Each supervisory authority shall draw up an annual report on its activities, which may include a list of types of infringement notified and types of measures taken in accordance with Article 58(2). Those reports shall be transmitted to the national parliament, the government and other authorities as designated by Member State law. They shall be made available to the public, to the Commission and to the Board. | Svako nadzorno tijelo sastavlja godišnje izvješće o svojim aktivnostima kojima može biti obuhvaćen popis vrsta kršenja o kojima je izviješteno i vrste mjera poduzetih u skladu s člankom 58. stavkom 2. Ta se izvješća prosljeđuju nacionalnom parlamentu, vladi i drugim tijelima kako je određeno pravom države članice. Ona moraju biti dostupna javnosti, Komisiji i Odboru. |
| KAPITEL VII | CHAPTER VII | POGLAVLJE VII. |
| Zusammenarbeit und Kohärenz | Cooperation and consistency | Suradnja i konzistentnost |
| Abschnitt 1 | Section 1 | Odjeljak 1. |
| Zusammenarbeit | Cooperation | Suradnja |
| Artikel 60 | Article 60 | Članak 60. |
| Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden | Cooperation between the lead supervisory authority and the other supervisory authorities concerned | Suradnja vodećeg nadzornog tijela i drugih predmetnih nadzornih tijela |
| (1) Die federführende Aufsichtsbehörde arbeitet mit den anderen betroffenen Aufsichtsbehörden im Einklang mit diesem Artikel zusammen und bemüht sich dabei, einen Konsens zu erzielen. Die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden tauschen untereinander alle zweckdienlichen Informationen aus. | 1. The lead supervisory authority shall cooperate with the other supervisory authorities concerned in accordance with this Article in an endeavour to reach consensus. The lead supervisory authority and the supervisory authorities concerned shall exchange all relevant information with each other. | 1. Vodeće nadzorno tijelo surađuje s drugim predmetnim nadzornim tijelima u skladu s ovim člankom kako bi se nastojao postići konsenzus. Vodeće nadzorno tijelo i predmetna nadzorna tijela međusobno razmjenjuju sve bitne informacije. |
| (2) Die federführende Aufsichtsbehörde kann jederzeit andere betroffene Aufsichtsbehörden um Amtshilfe gemäß Artikel 61 ersuchen und gemeinsame Maßnahmen gemäß Artikel 62 durchführen, insbesondere zur Durchführung von Untersuchungen oder zur Überwachung der Umsetzung einer Maßnahme in Bezug auf einen Verantwortlichen oder einen Auftragsverarbeiter, der in einem anderen Mitgliedstaat niedergelassen ist. | 2. The lead supervisory authority may request at any time other supervisory authorities concerned to provide mutual assistance pursuant to Article 61 and may conduct joint operations pursuant to Article 62, in particular for carrying out investigations or for monitoring the implementation of a measure concerning a controller or processor established in another Member State. | 2. Vodeće nadzorno tijelo može u bilo kojem trenutku od drugih predmetnih nadzornih tijela zatražiti pružanje uzajamne pomoći u skladu s člankom 61. te može provoditi zajedničke operacije u skladu s člankom 62., posebno vođenje istraga ili praćenja provedbe mjere u vezi s voditeljem obrade ili izvršiteljem obrade s poslovnim nastanom u drugoj državi članici. |
| (3) Die federführende Aufsichtsbehörde übermittelt den anderen betroffenen Aufsichtsbehörden unverzüglich die zweckdienlichen Informationen zu der Angelegenheit. Sie legt den anderen betroffenen Aufsichtsbehörden unverzüglich einen Beschlussentwurf zur Stellungnahme vor und trägt deren Standpunkten gebührend Rechnung. | 3. The lead supervisory authority shall, without delay, communicate the relevant information on the matter to the other supervisory authorities concerned. It shall without delay submit a draft decision to the other supervisory authorities concerned for their opinion and take due account of their views. | 3. Vodeće nadzorno tijelo bez odgađanja obavješćuje o bitnim informacijama u vezi s predmetom druga predmetna nadzorna tijela. Bez odgađanja podnosi nacrt odluke drugim predmetnim nadzornim tijelima kako bi ona dala svoje mišljenje te pridaje dužnu pozornost njihovim stajalištima. |
| (4) Legt eine der anderen betroffenen Aufsichtsbehörden innerhalb von vier Wochen, nachdem sie gemäß Absatz 3 des vorliegenden Artikels konsultiert wurde, gegen diesen Beschlussentwurf einen maßgeblichen und begründeten Einspruch ein und schließt sich die federführende Aufsichtsbehörde dem maßgeblichen und begründeten Einspruch nicht an oder ist der Ansicht, dass der Einspruch nicht maßgeblich oder nicht begründet ist, so leitet die federführende Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 für die Angelegenheit ein. | 4. Where any of the other supervisory authorities concerned within a period of four weeks after having been consulted in accordance with paragraph 3 of this Article, expresses a relevant and reasoned objection to the draft decision, the lead supervisory authority shall, if it does not follow the relevant and reasoned objection or is of the opinion that the objection is not relevant or reasoned, submit the matter to the consistency mechanism referred to in Article 63. | 4. Ako neko od drugih predmetnih nadzornih tijela u roku od četiri tjedna nakon što je u skladu sa stavkom 3. ovog članka bilo obaviješteno izrazi relevantan i obrazložen prigovor na nacrt odluke, ako relevantan i obrazložen prigovor ne uzme u obzir ili smatra da prigovor nije relevantan ili obrazložen, vodeće nadzorno tijelo predmet predaje na rješavanje u sklopu mehanizma konzistentnosti iz članka 63. |
| (5) Beabsichtigt die federführende Aufsichtsbehörde, sich dem maßgeblichen und begründeten Einspruch anzuschließen, so legt sie den anderen betroffenen Aufsichtsbehörden einen überarbeiteten Beschlussentwurf zur Stellungnahme vor. Der überarbeitete Beschlussentwurf wird innerhalb von zwei Wochen dem Verfahren nach Absatz 4 unterzogen. | 5. Where the lead supervisory authority intends to follow the relevant and reasoned objection made, it shall submit to the other supervisory authorities concerned a revised draft decision for their opinion. That revised draft decision shall be subject to the procedure referred to in paragraph 4 within a period of two weeks. | 5 Ako vodeće nadzorno tijelo namjerava uzeti u obzir relevantan i obrazložen prigovor, revidirani nacrt odluke podnosi drugim predmetnim nadzornim tijelima kako bi ona dala svoje mišljenje. Na taj revidirani nacrt odluke primjenjuje se postupak iz stavka 4. u roku od dva tjedna. |
| (6) Legt keine der anderen betroffenen Aufsichtsbehörden Einspruch gegen den Beschlussentwurf ein, der von der federführenden Aufsichtsbehörde innerhalb der in den Absätzen 4 und 5 festgelegten Frist vorgelegt wurde, so gelten die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden als mit dem Beschlussentwurf einverstanden und sind an ihn gebunden. | 6. Where none of the other supervisory authorities concerned has objected to the draft decision submitted by the lead supervisory authority within the period referred to in paragraphs 4 and 5, the lead supervisory authority and the supervisory authorities concerned shall be deemed to be in agreement with that draft decision and shall be bound by it. | 6. Ako ni jedno od drugih predmetnih nadzornih tijela ne uloži prigovor na nacrt odluke koju je podnijelo vodeće nadzorno tijelo u roku navedenom u stavcima 4. i 5. smatra se da se vodeće nadzorno tijelo i predmetna nadzorna tijela slažu s tim nacrtom odluke i on je za njih obvezujući. |
| (7) Die federführende Aufsichtsbehörde erlässt den Beschluss und teilt ihn der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen oder gegebenenfalls des Auftragsverarbeiters mit und setzt die anderen betroffenen Aufsichtsbehörden und den Ausschuss von dem betreffenden Beschluss einschließlich einer Zusammenfassung der maßgeblichen Fakten und Gründe in Kenntnis. Die Aufsichtsbehörde, bei der eine Beschwerde eingereicht worden ist, unterrichtet den Beschwerdeführer über den Beschluss. | 7. The lead supervisory authority shall adopt and notify the decision to the main establishment or single establishment of the controller or processor, as the case may be and inform the other supervisory authorities concerned and the Board of the decision in question, including a summary of the relevant facts and grounds. The supervisory authority with which a complaint has been lodged shall inform the complainant on the decision. | 7. Vodeće nadzorno tijelo donosi odluku i dostavlja je u glavni ili jedini poslovni nastan voditelja obrade ili izvršitelja obrade, prema potrebi, te obavješćuje druga predmetna nadzorna tijela i Odbor o dotičnoj odluci prilažući i bitne činjenice i obrazloženja. Nadzorno tijelo kojem je podnesena pritužba obavješćuje podnositelja pritužbe o odluci. |
| (8) Wird eine Beschwerde abgelehnt oder abgewiesen, so erlässt die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, abweichend von Absatz 7 den Beschluss, teilt ihn dem Beschwerdeführer mit und setzt den Verantwortlichen in Kenntnis. | 8. By derogation from paragraph 7, where a complaint is dismissed or rejected, the supervisory authority with which the complaint was lodged shall adopt the decision and notify it to the complainant and shall inform the controller thereof. | 8. Odstupajući od stavka 7., ako je pritužba odbačena ili odbijena, nadzorno tijelo kojem je podnesena pritužba donosi odluku i dostavlja je podnositelju pritužbe te o tome obavješćuje voditelja obrade. |
| (9) Sind sich die federführende Aufsichtsbehörde und die betreffenden Aufsichtsbehörden darüber einig, Teile der Beschwerde abzulehnen oder abzuweisen und bezüglich anderer Teile dieser Beschwerde tätig zu werden, so wird in dieser Angelegenheit für jeden dieser Teile ein eigener Beschluss erlassen. Die federführende Aufsichtsbehörde erlässt den Beschluss für den Teil, der das Tätigwerden in Bezug auf den Verantwortlichen betrifft, teilt ihn der Hauptniederlassung oder einzigen Niederlassung des Verantwortlichen oder des Auftragsverarbeiters im Hoheitsgebiet ihres Mitgliedstaats mit und setzt den Beschwerdeführer hiervon in Kenntnis, während die für den Beschwerdeführer zuständige Aufsichtsbehörde den Beschluss für den Teil erlässt, der die Ablehnung oder Abweisung dieser Beschwerde betrifft, und ihn diesem Beschwerdeführer mitteilt und den Verantwortlichen oder den Auftragsverarbeiter hiervon in Kenntnis setzt. | 9. Where the lead supervisory authority and the supervisory authorities concerned agree to dismiss or reject parts of a complaint and to act on other parts of that complaint, a separate decision shall be adopted for each of those parts of the matter. The lead supervisory authority shall adopt the decision for the part concerning actions in relation to the controller, shall notify it to the main establishment or single establishment of the controller or processor on the territory of its Member State and shall inform the complainant thereof, while the supervisory authority of the complainant shall adopt the decision for the part concerning dismissal or rejection of that complaint, and shall notify it to that complainant and shall inform the controller or processor thereof. | 9. Ako su se vodeće nadzorno tijelo i predmetna nadzorna tijela složili odbaciti ili odbiti dijelove pritužbe, a u obzir uzeti druge dijelove te pritužbe, donosi se odvojena odluka za svaki dio predmeta. Vodeće nadzorno tijelo donosi odluku za dio koji se odnosi na djelovanja u vezi s voditeljem obrade i dostavlja je u glavni ili jedini poslovni nastan voditelja obrade ili izvršitelja obrade na državnom području svoje države članice te o tome izvješćuje podnositelja pritužbe, dok nadzorno tijelo podnositelja pritužbe donosi odluku za dio koji se odnosi na odbacivanje ili odbijanje te pritužbe i o toj ga pritužbi obavješćujete o tome izvješćuje voditelja obrade ili izvršitelja obrade. |
| (10) Nach der Unterrichtung über den Beschluss der federführenden Aufsichtsbehörde gemäß den Absätzen 7 und 9 ergreift der Verantwortliche oder der Auftragsverarbeiter die erforderlichen Maßnahmen, um die Verarbeitungstätigkeiten all seiner Niederlassungen in der Union mit dem Beschluss in Einklang zu bringen. Der Verantwortliche oder der Auftragsverarbeiter teilt der federführenden Aufsichtsbehörde die Maßnahmen mit, die zur Einhaltung des Beschlusses ergriffen wurden; diese wiederum unterrichtet die anderen betroffenen Aufsichtsbehörden. | 10. After being notified of the decision of the lead supervisory authority pursuant to paragraphs 7 and 9, the controller or processor shall take the necessary measures to ensure compliance with the decision as regards processing activities in the context of all its establishments in the Union. The controller or processor shall notify the measures taken for complying with the decision to the lead supervisory authority, which shall inform the other supervisory authorities concerned. | 10. Nakon što ga vodeće nadzorno tijelo u skladu sa stavcima 7. i 9. obavijesti o odluci, voditelj obrade ili izvršitelj obrade poduzima potrebne mjere kako bi osigurao da se odluka poštuje u odnosu na aktivnosti obrade, s obzirom na sve njegove poslovne nastane u Uniji. Voditelj obrade ili izvršitelj obrade o poduzetim mjerama za poštivanje odluke obavješćuju vodeće nadzorno tijelo koje izvješćuje druga predmetna nadzorna tijela. |
| (11) Hat — in Ausnahmefällen — eine betroffene Aufsichtsbehörde Grund zu der Annahme, dass zum Schutz der Interessen betroffener Personen dringender Handlungsbedarf besteht, so kommt das Dringlichkeitsverfahren nach Artikel 66 zur Anwendung. | 11. Where, in exceptional circumstances, a supervisory authority concerned has reasons to consider that there is an urgent need to act in order to protect the interests of data subjects, the urgency procedure referred to in Article 66 shall apply. | 11. Ako u izuzetnim okolnostima predmetno nadzorno tijelo ima razloga smatrati da postoji hitna potreba za djelovanjem kako bi se zaštitili interesi ispitanika, primjenjuje se hitni postupak iz članka 66. |
| (12) Die federführende Aufsichtsbehörde und die anderen betroffenen Aufsichtsbehörden übermitteln einander die nach diesem Artikel geforderten Informationen auf elektronischem Wege unter Verwendung eines standardisierten Formats. | 12. The lead supervisory authority and the other supervisory authorities concerned shall supply the information required under this Article to each other by electronic means, using a standardised format. | 12. Vodeće nadzorno tijelo i druga predmetna nadzorna tijela međusobno si dostavljaju informacije koje se zahtijevaju u skladu s ovim člankom elektroničkim putem, koristeći se standardiziranim formatom. |
| Artikel 61 | Article 61 | Članak 61. |
| Gegenseitige Amtshilfe | Mutual assistance | Uzajamna pomoć |
| (1) Die Aufsichtsbehörden übermitteln einander maßgebliche Informationen und gewähren einander Amtshilfe, um diese Verordnung einheitlich durchzuführen und anzuwenden, und treffen Vorkehrungen für eine wirksame Zusammenarbeit. Die Amtshilfe bezieht sich insbesondere auf Auskunftsersuchen und aufsichtsbezogene Maßnahmen, beispielsweise Ersuchen um vorherige Genehmigungen und eine vorherige Konsultation, um Vornahme von Nachprüfungen und Untersuchungen. | 1. Supervisory authorities shall provide each other with relevant information and mutual assistance in order to implement and apply this Regulation in a consistent manner, and shall put in place measures for effective cooperation with one another. Mutual assistance shall cover, in particular, information requests and supervisory measures, such as requests to carry out prior authorisations and consultations, inspections and investigations. | 1. Nadzorna tijela međusobno si pružaju bitne informacije i uzajamnu pomoć kako bi konzistentno provela i primijenila ovu Uredbu i uspostavljaju mjere za djelotvornu uzajamnu suradnju. Uzajamna pomoć obuhvaća osobito zahtjeve za informacijama i mjerama nadzora, kao što su zahtjevi za provedbom prethodnog odobravanja i savjetovanja, inspekcija i istraga. |
| (2) Jede Aufsichtsbehörde ergreift alle geeigneten Maßnahmen, um einem Ersuchen einer anderen Aufsichtsbehörde unverzüglich und spätestens innerhalb eines Monats nach Eingang des Ersuchens nachzukommen. Dazu kann insbesondere auch die Übermittlung maßgeblicher Informationen über die Durchführung einer Untersuchung gehören. | 2. Each supervisory authority shall take all appropriate measures required to reply to a request of another supervisory authority without undue delay and no later than one month after receiving the request. Such measures may include, in particular, the transmission of relevant information on the conduct of an investigation. | 2. Svako nadzorno tijelo poduzima sve prikladne mjere potrebne da odgovori na zahtjev drugog nadzornog tijela bez nepotrebnog odgađanja i najkasnije u roku od mjesec dana nakon što je zaprimilo zahtjev. Takve mjere mogu posebno obuhvaćati prijenos bitnih informacija o vođenju istrage. |
| (3) Amtshilfeersuchen enthalten alle erforderlichen Informationen, einschließlich Zweck und Begründung des Ersuchens. Die übermittelten Informationen werden ausschließlich für den Zweck verwendet, für den sie angefordert wurden. | 3. Requests for assistance shall contain all the necessary information, including the purpose of and reasons for the request. Information exchanged shall be used only for the purpose for which it was requested. | 3. Zahtjevi za pomoć moraju sadržavati sve potrebne informacije, uključujući svrhu i razloge za zahtjev. Razmijenjene informacije smiju se upotrebljavati samo u zatraženu svrhu. |
| (4) Die ersuchte Aufsichtsbehörde lehnt das Ersuchen nur ab, wenn | 4. The requested supervisory authority shall not refuse to comply with the request unless: | 4. Nadzorno tijelo kojem je upućen zahtjev ne smije odbiti udovoljiti zahtjevu osim u slučaju da: |
| a) | sie für den Gegenstand des Ersuchens oder für die Maßnahmen, die sie durchführen soll, nicht zuständig ist oder | (a) | it is not competent for the subject-matter of the request or for the measures it is requested to execute; or | (a) | nije nadležno za predmet zahtjeva ili za mjere koje se od njega traže da ih provede; ili |
| b) | ein Eingehen auf das Ersuchen gegen diese Verordnung verstoßen würde oder gegen das Unionsrecht oder das Recht der Mitgliedstaaten, dem die Aufsichtsbehörde, bei der das Ersuchen eingeht, unterliegt. | (b) | compliance with the request would infringe this Regulation or Union or Member State law to which the supervisory authority receiving the request is subject. | (b) | poštovanje zahtjeva kršilo bi ovu Uredbu, pravo Unije ili pravo države članice kojem podliježe nadzorno tijelo kojem je zahtjev upućen. |
| (5) Die ersuchte Aufsichtsbehörde informiert die ersuchende Aufsichtsbehörde über die Ergebnisse oder gegebenenfalls über den Fortgang der Maßnahmen, die getroffen wurden, um dem Ersuchen nachzukommen. Die ersuchte Aufsichtsbehörde erläutert gemäß Absatz 4 die Gründe für die Ablehnung des Ersuchens. | 5. The requested supervisory authority shall inform the requesting supervisory authority of the results or, as the case may be, of the progress of the measures taken in order to respond to the request. The requested supervisory authority shall provide reasons for any refusal to comply with a request pursuant to paragraph 4. | 5. Nadzorno tijelo kojem je upućen zahtjev izvješćuje nadzorno tijelo koje je podnijelo zahtjev o rezultatima ili, ovisno o slučaju, o napretku ili mjerama poduzetim da se zahtjev ispuni. Nadzorno tijelo kojem je upućen zahtjev obrazlaže razloge za svako odbijanje zahtjeva na temelju stavka 4. |
| (6) Die ersuchten Aufsichtsbehörden übermitteln die Informationen, um die von einer anderen Aufsichtsbehörde ersucht wurde, in der Regel auf elektronischem Wege unter Verwendung eines standardisierten Formats. | 6. Requested supervisory authorities shall, as a rule, supply the information requested by other supervisory authorities by electronic means, using a standardised format. | 6. Nadzorna tijela kojima je upućen zahtjev u pravilu pružaju informacije koje druga nadzorna tijela zatraže elektroničkim putem, koristeći se standardiziranim formatom. |
| (7) Ersuchte Aufsichtsbehörden verlangen für Maßnahmen, die sie aufgrund eines Amtshilfeersuchens getroffen haben, keine Gebühren. Die Aufsichtsbehörden können untereinander Regeln vereinbaren, um einander in Ausnahmefällen besondere aufgrund der Amtshilfe entstandene Ausgaben zu erstatten. | 7. Requested supervisory authorities shall not charge a fee for any action taken by them pursuant to a request for mutual assistance. Supervisory authorities may agree on rules to indemnify each other for specific expenditure arising from the provision of mutual assistance in exceptional circumstances. | 7. Za bilo koju radnju poduzetu na zahtjev za uzajamnom pomoći nadzorno tijelo kojem je upućen zahtjev ne naplaćuje nikakvu pristojbu. Nadzorna tijela mogu dogovoriti pravila za uzajamne naknade posebnih izdataka koji proizlaze iz pružanja uzajamne pomoći u izvanrednim okolnostima. |
| (8) Erteilt eine ersuchte Aufsichtsbehörde nicht binnen eines Monats nach Eingang des Ersuchens einer anderen Aufsichtsbehörde die Informationen gemäß Absatz 5, so kann die ersuchende Aufsichtsbehörde eine einstweilige Maßnahme im Hoheitsgebiet ihres Mitgliedstaats gemäß Artikel 55 Absatz 1 ergreifen. In diesem Fall wird von einem dringenden Handlungsbedarf gemäß Artikel 66 Absatz 1 ausgegangen, der einen im Dringlichkeitsverfahren angenommenen verbindlichen Beschluss des Ausschuss gemäß Artikel 66 Absatz 2 erforderlich macht. | 8. Where a supervisory authority does not provide the information referred to in paragraph 5 of this Article within one month of receiving the request of another supervisory authority, the requesting supervisory authority may adopt a provisional measure on the territory of its Member State in accordance with Article 55(1). In that case, the urgent need to act under Article 66(1) shall be presumed to be met and require an urgent binding decision from the Board pursuant to Article 66(2). | 8. Ako nadzorno tijelo ne pruži informacije iz stavka 5. ovog članka u roku od mjesec dana nakon zaprimanja zahtjeva drugog nadzornog tijela, nadzorno tijelo koje je podnijelo zahtjev može donijeti privremenu mjeru na državnom području svoje države članice u skladu s člankom 55. stavkom 1. U tom slučaju smatra se da postoji hitna potreba za djelovanjem u skladu s člankom 66. stavkom 1. i zahtijeva se hitna obvezujuća odluka Odbora u skladu s člankom 66. stavkom 2. |
| (9) Die Kommission kann im Wege von Durchführungsrechtsakten Form und Verfahren der Amtshilfe nach diesem Artikel und die Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Ausschuss, insbesondere das in Absatz 6 des vorliegenden Artikels genannte standardisierte Format, festlegen. Diese Durchführungsrechtsakte werden gemäß dem in Artikel 93 Absatz 2 genannten Prüfverfahren erlassen. | 9. The Commission may, by means of implementing acts, specify the format and procedures for mutual assistance referred to in this Article and the arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the Board, in particular the standardised format referred to in paragraph 6 of this Article. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 93(2). | 9. Komisija može, putem provedbenih akta, odrediti format i postupke za uzajamnu pomoć iz ovog članka i sustave razmjene informacija elektroničkim putem između nadzornih tijela i između nadzornih tijela i Odbora, a posebno standardizirani format iz stavka 6. ovog članka. Ti provedbeni akti donose se u skladu s postupkom ispitivanja navedenim u članku 93. stavku 2. |
| Artikel 62 | Article 62 | Članak 62. |
| Gemeinsame Maßnahmen der Aufsichtsbehörden | Joint operations of supervisory authorities | Zajedničke operacije nadzornih tijela |
| (1) Die Aufsichtsbehörden führen gegebenenfalls gemeinsame Maßnahmen einschließlich gemeinsamer Untersuchungen und gemeinsamer Durchsetzungsmaßnahmen durch, an denen Mitglieder oder Bedienstete der Aufsichtsbehörden anderer Mitgliedstaaten teilnehmen. | 1. The supervisory authorities shall, where appropriate, conduct joint operations including joint investigations and joint enforcement measures in which members or staff of the supervisory authorities of other Member States are involved. | 1. Nadzorna tijela prema potrebi provode zajedničke operacije, uključujući zajedničke istrage i zajedničke mjere provedbe u kojima sudjeluju članovi ili osoblje nadzornih tijela drugih država članica. |
| (2) Verfügt der Verantwortliche oder der Auftragsverarbeiter über Niederlassungen in mehreren Mitgliedstaaten oder werden die Verarbeitungsvorgänge voraussichtlich auf eine bedeutende Zahl betroffener Personen in mehr als einem Mitgliedstaat erhebliche Auswirkungen haben, ist die Aufsichtsbehörde jedes dieser Mitgliedstaaten berechtigt, an den gemeinsamen Maßnahmen teilzunehmen. Die gemäß Artikel 56 Absatz 1 oder Absatz 4 zuständige Aufsichtsbehörde lädt die Aufsichtsbehörde jedes dieser Mitgliedstaaten zur Teilnahme an den gemeinsamen Maßnahmen ein und antwortet unverzüglich auf das Ersuchen einer Aufsichtsbehörde um Teilnahme. | 2. Where the controller or processor has establishments in several Member States or where a significant number of data subjects in more than one Member State are likely to be substantially affected by processing operations, a supervisory authority of each of those Member States shall have the right to participate in joint operations. The supervisory authority which is competent pursuant to Article 56(1) or (4) shall invite the supervisory authority of each of those Member States to take part in the joint operations and shall respond without delay to the request of a supervisory authority to participate. | 2. Ako voditelj obrade ili izvršitelj obrade ima poslovne nastane u nekoliko država članica ili kad postoji vjerojatnost da će postupci obrade bitno utjecati na znatan broj ispitanika u više od jedne države članice, nadzorno tijelo svake od tih država članica ima pravo na sudjelovanje u zajedničkim operacijama. Nadzorno tijelo nadležno u skladu s člankom 56. stavkom 1. ili 4. poziva nadzorno tijelo svake od tih država članica da sudjeluje u zajedničkim operacijama i bez odgađanja odgovara na zahtjev nadzornog tijela za sudjelovanjem. |
| (3) Eine Aufsichtsbehörde kann gemäß dem Recht des Mitgliedstaats und mit Genehmigung der unterstützenden Aufsichtsbehörde den an den gemeinsamen Maßnahmen beteiligten Mitgliedern oder Bediensteten der unterstützenden Aufsichtsbehörde Befugnisse einschließlich Untersuchungsbefugnisse übertragen oder, soweit dies nach dem Recht des Mitgliedstaats der einladenden Aufsichtsbehörde zulässig ist, den Mitgliedern oder Bediensteten der unterstützenden Aufsichtsbehörde gestatten, ihre Untersuchungsbefugnisse nach dem Recht des Mitgliedstaats der unterstützenden Aufsichtsbehörde auszuüben. Diese Untersuchungsbefugnisse können nur unter der Leitung und in Gegenwart der Mitglieder oder Bediensteten der einladenden Aufsichtsbehörde ausgeübt werden. Die Mitglieder oder Bediensteten der unterstützenden Aufsichtsbehörde unterliegen dem Recht des Mitgliedstaats der einladenden Aufsichtsbehörde. | 3. A supervisory authority may, in accordance with Member State law, and with the seconding supervisory authority's authorisation, confer powers, including investigative powers on the seconding supervisory authority's members or staff involved in joint operations or, in so far as the law of the Member State of the host supervisory authority permits, allow the seconding supervisory authority's members or staff to exercise their investigative powers in accordance with the law of the Member State of the seconding supervisory authority. Such investigative powers may be exercised only under the guidance and in the presence of members or staff of the host supervisory authority. The seconding supervisory authority's members or staff shall be subject to the Member State law of the host supervisory authority. | 3. Nadzorno tijelo može, u skladu s pravom države članice, i uz odobrenje gostujućeg nadzornog tijela, dati ovlasti, među ostalim i ovlasti za vođenje istrage članovima ili osoblju gostujućeg nadzornog tijela koje sudjeluje u zajedničkim operacijama ili, u onoj mjeri u kojoj dopušta pravo države članice nadzornog tijela domaćina, odobriti članovima ili osoblju gostujućeg nadzornog tijela izvršavanje njihovih istražnih ovlasti u skladu s pravom države članice gostujućeg nadzornog tijela. Takve se istražne ovlasti mogu obavljati samo prema smjernicama članova ili osoblja nadzornog tijela domaćina i u njihovoj nazočnosti. Na članove ili osoblje gostujućeg nadzornog tijela primjenjuje se pravo države članice nadzornog tijela domaćina. |
| (4) Sind gemäß Absatz 1 Bedienstete einer unterstützenden Aufsichtsbehörde in einem anderen Mitgliedstaat im Einsatz, so übernimmt der Mitgliedstaat der einladenden Aufsichtsbehörde nach Maßgabe des Rechts des Mitgliedstaats, in dessen Hoheitsgebiet der Einsatz erfolgt, die Verantwortung für ihr Handeln, einschließlich der Haftung für alle von ihnen bei ihrem Einsatz verursachten Schäden. | 4. Where, in accordance with paragraph 1, staff of a seconding supervisory authority operate in another Member State, the Member State of the host supervisory authority shall assume responsibility for their actions, including liability, for any damage caused by them during their operations, in accordance with the law of the Member State in whose territory they are operating. | 4. Ako, u skladu sa stavkom 1., osoblje gostujućeg nadzornog tijela djeluje u drugoj državi članici, država članica nadzornog tijela domaćina preuzima odgovornost za njihovo djelovanje, što uključuje odgovornost za svaku štetu koju to osoblje počini tijekom svojih operacija, u skladu s pravom države članice na čijem državnom području djeluje. |
| (5) Der Mitgliedstaat, in dessen Hoheitsgebiet der Schaden verursacht wurde, ersetzt diesen Schaden so, wie er ihn ersetzen müsste, wenn seine eigenen Bediensteten ihn verursacht hätten. Der Mitgliedstaat der unterstützenden Aufsichtsbehörde, deren Bedienstete im Hoheitsgebiet eines anderen Mitgliedstaats einer Person Schaden zugefügt haben, erstattet diesem anderen Mitgliedstaat den Gesamtbetrag des Schadenersatzes, den dieser an die Berechtigten geleistet hat. | 5. The Member State in whose territory the damage was caused shall make good such damage under the conditions applicable to damage caused by its own staff. The Member State of the seconding supervisory authority whose staff has caused damage to any person in the territory of another Member State shall reimburse that other Member State in full any sums it has paid to the persons entitled on their behalf. | 5. Država članica na čijem je državnom području šteta uzrokovana nadoknađuje takvu štetu pod uvjetima koji se primjenjuju kad štetu uzrokuje njezino osoblje. Država članica gostujućeg nadzornog tijela čije je osoblje uzrokovalo štetu bilo kojoj osobi na državnom području druge države članice toj državi članici nadoknađuje u potpunosti svaki iznos koji je ona platila osobama ovlaštenima u ime oštećene osobe. |
| (6) Unbeschadet der Ausübung seiner Rechte gegenüber Dritten und mit Ausnahme des Absatzes 5 verzichtet jeder Mitgliedstaat in dem Fall des Absatzes 1 darauf, den in Absatz 4 genannten Betrag des erlittenen Schadens anderen Mitgliedstaaten gegenüber geltend zu machen. | 6. Without prejudice to the exercise of its rights vis-à-vis third parties and with the exception of paragraph 5, each Member State shall refrain, in the case provided for in paragraph 1, from requesting reimbursement from another Member State in relation to damage referred to in paragraph 4. | 6. Ne dovodeći u pitanje ostvarivanje svog prava u odnosu na treće strane i uz iznimku stavka 5. svaka država članica u slučaju predviđenom u stavku 1. suzdržava se od zahtjeva prema drugoj državi članici za naknadu štete iz stavka 4. |
| (7) Ist eine gemeinsame Maßnahme geplant und kommt eine Aufsichtsbehörde binnen eines Monats nicht der Verpflichtung nach Absatz 2 Satz 2 des vorliegenden Artikels nach, so können die anderen Aufsichtsbehörden eine einstweilige Maßnahme im Hoheitsgebiet ihres Mitgliedstaats gemäß Artikel 55 ergreifen. In diesem Fall wird von einem dringenden Handlungsbedarf gemäß Artikel 66 Absatz 1 ausgegangen, der eine im Dringlichkeitsverfahren angenommene Stellungnahme oder einen im Dringlichkeitsverfahren angenommenen verbindlichen Beschluss des Ausschusses gemäß Artikel 66 Absatz 2 erforderlich macht. | 7. Where a joint operation is intended and a supervisory authority does not, within one month, comply with the obligation laid down in the second sentence of paragraph 2 of this Article, the other supervisory authorities may adopt a provisional measure on the territory of its Member State in accordance with Article 55. In that case, the urgent need to act under Article 66(1) shall be presumed to be met and require an opinion or an urgent binding decision from the Board pursuant to Article 66(2). | 7. Kada se planira zajednička operacija i nadzorno tijelo u roku od mjesec dana ne ispuni obveze iz druge rečenice stavka 2. ovog članka, druga nadzorna tijela mogu donijeti privremenu mjeru na državnom području države članice za koje je nadležno u skladu s člankom 55. U tom slučaju smatra se da postoji hitna potreba za djelovanjem u skladu s člankom 66. stavkom 1. i zahtijeva se hitno mišljenje ili hitna obvezujuća odluka Odbora u skladu s člankom 66. stavkom 2. |
| Abschnitt 2 | Section 2 | Odjeljak 2. |
| Kohärenz | Consistency | Konzistentnost |
| Artikel 63 | Article 63 | Članak 63. |
| Kohärenzverfahren | Consistency mechanism | Mehanizam konzistentnosti |
| Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beizutragen, arbeiten die Aufsichtsbehörden im Rahmen des in diesem Abschnitt beschriebenen Kohärenzverfahrens untereinander und gegebenenfalls mit der Kommission zusammen. | In order to contribute to the consistent application of this Regulation throughout the Union, the supervisory authorities shall cooperate with each other and, where relevant, with the Commission, through the consistency mechanism as set out in this Section. | Kako bi se doprinijelo dosljednoj primjeni ove Uredbe u cijeloj Uniji, nadzorna tijela surađuju međusobno i prema potrebi s Komisijom u okviru mehanizma konzistentnosti, kako je utvrđeno u ovom odjeljku. |
| Artikel 64 | Article 64 | Članak 64. |
| Stellungnahme Ausschusses | Opinion of the Board | Mišljenje Odbora |
| (1) Der Ausschuss gibt eine Stellungnahme ab, wenn die zuständige Aufsichtsbehörde beabsichtigt, eine der nachstehenden Maßnahmen zu erlassen. Zu diesem Zweck übermittelt die zuständige Aufsichtsbehörde dem Ausschuss den Entwurf des Beschlusses, wenn dieser | 1. The Board shall issue an opinion where a competent supervisory authority intends to adopt any of the measures below. To that end, the competent supervisory authority shall communicate the draft decision to the Board, when it: | 1. Odbor daje mišljenje kada nadležno nadzorno tijelo namjerava donijeti bilo koju od mjera navedenih dalje u tekstu. Nadležno nadzorno tijelo u tu svrhu obavješćuje Odbor o nacrtu odluke ako ona: |
| a) | der Annahme einer Liste der Verarbeitungsvorgänge dient, die der Anforderung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 Absatz 4 unterliegen, | (a) | aims to adopt a list of the processing operations subject to the requirement for a data protection impact assessment pursuant to Article 35(4); | (a) | ima za cilj donijeti popis postupaka obrade na koje se primjenjuje zahtjev procjene učinka na zaštitu podataka u skladu s člankom 35. stavkom 4.; |
| b) | eine Angelegenheit gemäß Artikel 40 Absatz 7 und damit die Frage betrifft, ob ein Entwurf von Verhaltensregeln oder eine Änderung oder Ergänzung von Verhaltensregeln mit dieser Verordnung in Einklang steht, | (b) | concerns a matter pursuant to Article 40(7) whether a draft code of conduct or an amendment or extension to a code of conduct complies with this Regulation; | (b) | odnosi se na pitanje u skladu s člankom 40. stavkom 7. o tome jesu li nacrt kodeksa ponašanja ili izmjena ili dopuna kodeksa ponašanja usklađeni s ovom Uredbom; |
| c) | der Billigung der Kriterien für die Akkreditierung einer Stelle nach Artikel 41 Absatz 3 oder einer Zertifizierungsstelle nach Artikel 43 Absatz 3 dient, | (c) | aims to approve the criteria for accreditation of a body pursuant to Article 41(3) or a certification body pursuant to Article 43(3); | (c) | ima za cilj odobriti kriterije za akreditaciju tijela na temelju članka 41. stavka 3. ili certifikacijskog tijela na temelju članka 43. stavka 3.; |
| d) | der Festlegung von Standard-Datenschutzklauseln gemäß Artikel 46 Absatz 2 Buchstabe d und Artikel 28 Absatz 8 dient, | (d) | aims to determine standard data protection clauses referred to in point (d) of Article 46(2) and in Article 28(8); | (d) | ima za cilj odrediti standardne klauzule zaštite podataka iz članka 46. stavka 2. točke (d) i iz članka 28. stavka 8.; |
| e) | der Genehmigung von Vertragsklauseln gemäß Artikels 46 Absatz 3 Buchstabe a dient, oder | (e) | aims to authorise contractual clauses referred to in point (a) of Article 46(3); or | (e) | ima za cilj odobriti ugovorne klauzule iz članka 46. stavka 3. točke (a); ili |
| f) | der Annahme verbindlicher interner Vorschriften im Sinne von Artikel 47 dient. | (f) | aims to approve binding corporate rules within the meaning of Article 47. | (f) | ima za cilj odobriti obvezujuća korporativna pravila u smislu članka 47. |
| (2) Jede Aufsichtsbehörde, der Vorsitz des Ausschuss oder die Kommission können beantragen, dass eine Angelegenheit mit allgemeiner Geltung oder mit Auswirkungen in mehr als einem Mitgliedstaat vom Ausschuss geprüft wird, um eine Stellungnahme zu erhalten, insbesondere wenn eine zuständige Aufsichtsbehörde den Verpflichtungen zur Amtshilfe gemäß Artikel 61 oder zu gemeinsamen Maßnahmen gemäß Artikel 62 nicht nachkommt. | 2. Any supervisory authority, the Chair of the Board or the Commission may request that any matter of general application or producing effects in more than one Member State be examined by the Board with a view to obtaining an opinion, in particular where a competent supervisory authority does not comply with the obligations for mutual assistance in accordance with Article 61 or for joint operations in accordance with Article 62. | 2. Svako nadzorno tijelo, predsjednik Odbora ili Komisija mogu zatražiti da svaki predmet opće primjene ili s učincima u više od jedne države članice pregleda Odbor kako bi on dao mišljenje, posebno ako nadležno nadzorno tijelo ne poštuje obveze o uzajamnoj pomoći u skladu s člankom 61. ili o zajedničkim operacijama u skladu s člankom 62. |
| (3) In den in den Absätzen 1 und 2 genannten Fällen gibt der Ausschuss eine Stellungnahme zu der Angelegenheit ab, die ihm vorgelegt wurde, sofern er nicht bereits eine Stellungnahme zu derselben Angelegenheit abgegeben hat. Diese Stellungnahme wird binnen acht Wochen mit der einfachen Mehrheit der Mitglieder des Ausschusses angenommen. Diese Frist kann unter Berücksichtigung der Komplexität der Angelegenheit um weitere sechs Wochen verlängert werden. Was den in Absatz 1 genannten Beschlussentwurf angeht, der gemäß Absatz 5 den Mitgliedern des Ausschusses übermittelt wird, so wird angenommen, dass ein Mitglied, das innerhalb einer vom Vorsitz angegebenen angemessenen Frist keine Einwände erhoben hat, dem Beschlussentwurf zustimmt. | 3. In the cases referred to in paragraphs 1 and 2, the Board shall issue an opinion on the matter submitted to it provided that it has not already issued an opinion on the same matter. That opinion shall be adopted within eight weeks by simple majority of the members of the Board. That period may be extended by a further six weeks, taking into account the complexity of the subject matter. Regarding the draft decision referred to in paragraph 1 circulated to the members of the Board in accordance with paragraph 5, a member which has not objected within a reasonable period indicated by the Chair, shall be deemed to be in agreement with the draft decision. | 3. U slučajevima koji se navode u stavcima 1. i 2. Odbor daje mišljenje o predmetu koji je zaprimio ako već nije dao mišljenje o istoj stvari. To mišljenje usvaja se u roku od osam tjedana natpolovičnom većinom članova Odbora. Taj se rok može produžiti za dodatnih šest tjedana, uzimajući u obzir složenost predmeta. S obzirom na nacrt odluke iz stavka 1. koja se članovima Odbora dostavlja u skladu sa stavkom 5. smatra se da se član koji nije uložio prigovor u razumnom roku koji je odredio predsjednik slaže s nacrtom odluke. |
| (4) Die Aufsichtsbehörden und die Kommission übermitteln unverzüglich dem Ausschuss auf elektronischem Wege unter Verwendung eines standardisierten Formats alle zweckdienlichen Informationen, einschließlich — je nach Fall — einer kurzen Darstellung des Sachverhalts, des Beschlussentwurfs, der Gründe, warum eine solche Maßnahme ergriffen werden muss, und der Standpunkte anderer betroffener Aufsichtsbehörden. | 4. Supervisory authorities and the Commission shall, without undue delay, communicate by electronic means to the Board, using a standardised format any relevant information, including as the case may be a summary of the facts, the draft decision, the grounds which make the enactment of such measure necessary, and the views of other supervisory authorities concerned. | 4. Nadzorna tijela i Komisija bez nepotrebnog odgađanja elektroničkim putem priopćuju Odboru, upotrebljavajući standardizirani format, sve bitne informacije, uključujući, ovisno o slučaju, i sažetak činjenica, nacrt odluke, razloge zbog kojih je poduzimanje takve mjere neophodno i mišljenja drugih predmetnih nadzornih tijela. |
| (5) Der Vorsitz des Ausschusses unterrichtet unverzüglich auf elektronischem Wege | 5. The Chair of the Board shall, without undue, delay inform by electronic means: | 5. Predsjednik Odbora bez nepotrebnog odgađanja elektroničkim putem izvješćuje: |
| a) | unter Verwendung eines standardisierten Formats die Mitglieder des Ausschusses und die Kommission über alle zweckdienlichen Informationen, die ihm zugegangen sind. Soweit erforderlich stellt das Sekretariat des Ausschusses Übersetzungen der zweckdienlichen Informationen zur Verfügung und | (a) | the members of the Board and the Commission of any relevant information which has been communicated to it using a standardised format. The secretariat of the Board shall, where necessary, provide translations of relevant information; and | (a) | članove Odbora i Komisiju o svim bitnim informacijama koje su mu priopćene upotrebljavajući standardizirani format. Tajništvo Odbora prema potrebi omogućuje prijevode bitnih informacija; i |
| b) | je nach Fall die in den Absätzen 1 und 2 genannte Aufsichtsbehörde und die Kommission über die Stellungnahme und veröffentlicht sie. | (b) | the supervisory authority referred to, as the case may be, in paragraphs 1 and 2, and the Commission of the opinion and make it public. | (b) | nadzorno tijelo iz stavaka 1. i 2., ovisno o slučaju, i Komisiju o mišljenju i objavljuje ga. |
| (6) Die zuständige Aufsichtsbehörde nimmt den in Absatz 1 genannten Beschlussentwurf nicht vor Ablauf der in Absatz 3 genannten Frist an. | 6. The competent supervisory authority shall not adopt its draft decision referred to in paragraph 1 within the period referred to in paragraph 3. | 6. Nadležno nadzorno tijelo ne donosi svoj nacrt odluke iz stavka 1. tijekom roka iz stavka 3. |
| (7) Die in Absatz 1 genannte Aufsichtsbehörde trägt der Stellungnahme des Ausschusses s weitestgehend Rechnung und teilt dessen Vorsitz binnen zwei Wochen nach Eingang der Stellungnahme auf elektronischem Wege unter Verwendung eines standardisierten Formats mit, ob sie den Beschlussentwurf beibehalten oder ändern wird; gegebenenfalls übermittelt sie den geänderten Beschlussentwurf. | 7. The supervisory authority referred to in paragraph 1 shall take utmost account of the opinion of the Board and shall, within two weeks after receiving the opinion, communicate to the Chair of the Board by electronic means whether it will maintain or amend its draft decision and, if any, the amended draft decision, using a standardised format. | 7. Nadzorno tijelo iz stavka 1. osobito uvažava mišljenje Odbora i u roku od dva tjedna od zaprimanja mišljenja elektroničkim putem obavješćuje predsjednika Odbora o tome zadržava li ili mijenja svoj nacrt odluke, te izmijenjeni nacrt odluke, ako ga ima, dostavlja u standardiziranom formatu. |
| (8) Teilt die betroffene Aufsichtsbehörde dem Vorsitz des Ausschusses innerhalb der Frist nach Absatz 7 des vorliegenden Artikels unter Angabe der maßgeblichen Gründe mit, dass sie beabsichtigt, der Stellungnahme des Ausschusses insgesamt oder teilweise nicht zu folgen, so gilt Artikel 65 Absatz 1. | 8. Where the supervisory authority concerned informs the Chair of the Board within the period referred to in paragraph 7 of this Article that it does not intend to follow the opinion of the Board, in whole or in part, providing the relevant grounds, Article 65(1) shall apply. | 8. Ako predmetno nadzorno tijelo obavijesti predsjednika Odbora u roku navedenom u stavku 7. ovog članka da ne namjerava u obzir uzeti mišljenje Odbora, u cijelosti ili djelomično, uz relevantno obrazloženje, primjenjuje se članak 65. stavak 1. |
| Artikel 65 | Article 65 | Članak 65. |
| Streitbeilegung durch den Ausschuss | Dispute resolution by the Board | Rješavanje sporova pri Odboru |
| (1) Um die ordnungsgemäße und einheitliche Anwendung dieser Verordnung in Einzelfällen sicherzustellen, erlässt der Ausschuss in den folgenden Fällen einen verbindlichen Beschluss: | 1. In order to ensure the correct and consistent application of this Regulation in individual cases, the Board shall adopt a binding decision in the following cases: | 1. Kako bi se osigurala ispravna i dosljedna primjena ove Uredbe u pojedinačnim slučajevima, Odbor donosi obvezujuću odluku u sljedećim slučajevima: |
| a) | wenn eine betroffene Aufsichtsbehörde in einem Fall nach Artikel 60 Absatz 4 einen maßgeblichen und begründeten Einspruch gegen einen Beschlussentwurf der federführenden Behörde eingelegt hat oder die federführende Behörde einen solchen Einspruch als nicht maßgeblich oder nicht begründet abgelehnt hat. Der verbindliche Beschluss betrifft alle Angelegenheiten, die Gegenstand des maßgeblichen und begründeten Einspruchs sind, insbesondere die Frage, ob ein Verstoß gegen diese Verordnung vorliegt; | (a) | where, in a case referred to in Article 60(4), a supervisory authority concerned has raised a relevant and reasoned objection to a draft decision of the lead authority or the lead authority has rejected such an objection as being not relevant or reasoned. The binding decision shall concern all the matters which are the subject of the relevant and reasoned objection, in particular whether there is an infringement of this Regulation; | (a) | ako je, u slučaju iz članka 60. stavka 4., predmetno nadzorno tijelo podnijelo relevantan i obrazložen prigovor na nacrt odluke vodećeg tijela ili je vodeće tijelo odbilo takav prigovor kao nerelevantan ili neobrazložen. Obvezujuća odluka odnosi se na sva pitanja koja su predmet relevantnog i obrazloženog prigovora, a posebno na pitanje kršenja ove Uredbe; |
| b) | wenn es widersprüchliche Standpunkte dazu gibt, welche der betroffenen Aufsichtsbehörden für die Hauptniederlassung zuständig ist, | (b) | where there are conflicting views on which of the supervisory authorities concerned is competent for the main establishment; | (b) | ako postoje oprečna stajališta oko toga koje je od predmetnih nadzornih tijela nadležno za glavni poslovni nastan; |
| c) | wenn eine zuständige Aufsichtsbehörde in den in Artikel 64 Absatz 1 genannten Fällen keine Stellungnahme des Ausschusses einholt oder der Stellungnahme des Ausschusses gemäß Artikel 64 nicht folgt. In diesem Fall kann jede betroffene Aufsichtsbehörde oder die Kommission die Angelegenheit dem Ausschuss vorlegen. | (c) | where a competent supervisory authority does not request the opinion of the Board in the cases referred to in Article 64(1), or does not follow the opinion of the Board issued under Article 64. In that case, any supervisory authority concerned or the Commission may communicate the matter to the Board. | (c) | ako nadležno nadzorno tijelo ne zatraži mišljenje Odbora u slučaju navedenom u članku 64. stavku 1. ili ne uzme u obzir mišljenje Odbora dano u skladu s člankom 64. U tom slučaju svako predmetno nadzorno tijelo ili Komisija mogu o predmetu obavijestiti Odbor. |
| (2) Der in Absatz 1 genannte Beschluss wird innerhalb eines Monats nach der Befassung mit der Angelegenheit mit einer Mehrheit von zwei Dritteln der Mitglieder des Ausschusses angenommen. Diese Frist kann wegen der Komplexität der Angelegenheit um einen weiteren Monat verlängert werden. Der in Absatz 1 genannte Beschluss wird begründet und an die federführende Aufsichtsbehörde und alle betroffenen Aufsichtsbehörden übermittelt und ist für diese verbindlich. | 2. The decision referred to in paragraph 1 shall be adopted within one month from the referral of the subject-matter by a two-thirds majority of the members of the Board. That period may be extended by a further month on account of the complexity of the subject-matter. The decision referred to in paragraph 1 shall be reasoned and addressed to the lead supervisory authority and all the supervisory authorities concerned and binding on them. | 2. Odluka iz stavka 1. donosi se u roku od mjesec dana nakon što dvotrećinska većina članova Odbora uputi predmet. Taj se rok može produžiti za dodatnih mjesec dana, uzimajući u obzir složenost predmeta. Odluka iz stavka 1. obrazlaže se i upućuje vodećem nadzornom tijelu i svim predmetnim nadzornim tijelima te je za njih obvezujuća. |
| (3) War der Ausschuss nicht in der Lage, innerhalb der in Absatz 2 genannten Fristen einen Beschluss anzunehmen, so nimmt er seinen Beschluss innerhalb von zwei Wochen nach Ablauf des in Absatz 2 genannten zweiten Monats mit einfacher Mehrheit der Mitglieder des Ausschusses an. Bei Stimmengleichheit zwischen den Mitgliedern des Ausschusses gibt die Stimme des Vorsitzes den Ausschlag. | 3. Where the Board has been unable to adopt a decision within the periods referred to in paragraph 2, it shall adopt its decision within two weeks following the expiration of the second month referred to in paragraph 2 by a simple majority of the members of the Board. Where the members of the Board are split, the decision shall by adopted by the vote of its Chair. | 3. Ako Odbor ne može donijeti odluku u rokovima navedenim u stavku 2., odluku će donijeti u roku od dva tjedna nakon isteka drugog mjeseca iz stavka 2. natpolovičnom većinom članova Odbora. Ako su članovi Odbora podijeljenog mišljenja, odlučujući glas za donošenje odluke jest predsjednikov. |
| (4) Die betroffenen Aufsichtsbehörden nehmen vor Ablauf der in den Absätzen 2 und 3 genannten Fristen keinen Beschluss über die dem Ausschuss vorgelegte Angelegenheit an. | 4. The supervisory authorities concerned shall not adopt a decision on the subject matter submitted to the Board under paragraph 1 during the periods referred to in paragraphs 2 and 3. | 4. Predmetna nadzorna tijela ne donose odluku o predmetu upućenom Odboru u skladu sa stavkom 1. za vrijeme rokova navedenih u stavcima 2. i 3. |
| (5) Der Vorsitz des Ausschusses unterrichtet die betroffenen Aufsichtsbehörden unverzüglich über den in Absatz 1 genannten Beschluss. Er setzt die Kommission hiervon in Kenntnis. Der Beschluss wird unverzüglich auf der Website des Ausschusses veröffentlicht, nachdem die Aufsichtsbehörde den in Absatz 6 genannten endgültigen Beschluss mitgeteilt hat. | 5. The Chair of the Board shall notify, without undue delay, the decision referred to in paragraph 1 to the supervisory authorities concerned. It shall inform the Commission thereof. The decision shall be published on the website of the Board without delay after the supervisory authority has notified the final decision referred to in paragraph 6. | 5. Predsjednik Odbora obavješćuje bez odlaganja zainteresirana nadzorna tijela o odluci iz stavka 1. O njoj obavješćuje Komisiju. Odluka se bez odlaganja objavljuje na internetskim stranicama Odbora nakon što je nadzorno tijelo priopćilo konačnu odluku iz stavka 7. |
| (6) Die federführende Aufsichtsbehörde oder gegebenenfalls die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, trifft den endgültigen Beschluss auf der Grundlage des in Absatz 1 des vorliegenden Artikels genannten Beschlusses unverzüglich und spätestens einen Monat, nachdem der Europäische Datenschutzausschuss seinen Beschluss mitgeteilt hat. Die federführende Aufsichtsbehörde oder gegebenenfalls die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, setzt den Ausschuss von dem Zeitpunkt, zu dem ihr endgültiger Beschluss dem Verantwortlichen oder dem Auftragsverarbeiter bzw. der betroffenen Person mitgeteilt wird, in Kenntnis. Der endgültige Beschluss der betroffenen Aufsichtsbehörden wird gemäß Artikel 60 Absätze 7, 8 und 9 angenommen. Im endgültigen Beschluss wird auf den in Absatz 1 genannten Beschluss verwiesen und festgelegt, dass der in Absatz 1 des vorliegenden Artikels genannte Beschluss gemäß Absatz 5 auf der Website des Ausschusses veröffentlicht wird. Dem endgültigen Beschluss wird der in Absatz 1 des vorliegenden _Artikels genannte Beschluss beigefügt. | 6. The lead supervisory authority or, as the case may be, the supervisory authority with which the complaint has been lodged shall adopt its final decision on the basis of the decision referred to in paragraph 1 of this Article, without undue delay and at the latest by one month after the Board has notified its decision. The lead supervisory authority or, as the case may be, the supervisory authority with which the complaint has been lodged, shall inform the Board of the date when its final decision is notified respectively to the controller or the processor and to the data subject. The final decision of the supervisory authorities concerned shall be adopted under the terms of Article 60(7), (8) and (9). The final decision shall refer to the decision referred to in paragraph 1 of this Article and shall specify that the decision referred to in that paragraph will be published on the website of the Board in accordance with paragraph 5 of this Article. The final decision shall attach the decision referred to in paragraph 1 of this Article. | 6. Vodeće nadzorno tijelo ili, ovisno o slučaju, nadzorno tijelo koje je zaprimilo pritužbu svoju konačnu odluku donosi na temelju odluke iz stavka 1. ovog članka bez nepotrebnog odlaganja i najkasnije mjesec dana nakon što je Odbor priopćio svoju odluku. Vodeće nadzorno tijelo ili, ovisno o slučaju, nadzorno tijelo koje je zaprimilo pritužbu, obavješćuje Odbor kojeg je dana svoju konačnu odluku priopćilo voditelju obrade ili izvršitelju obrade odnosno ispitaniku. Konačna odluka predmetnih nadzornih tijela donosi se pod uvjetima iz članka 60. stavaka 7., 8. i 9. U konačnoj odluci poziva se na odluku iz stavka 1. ovog članka i u njoj se navodi da se odluka iz tog stavka objavljuje na internetskim stranicama Odbora u skladu sa stavkom 5. ovog članka. Konačnoj odluci prilaže se odluka iz stavka 1. ovog članka. |
| Artikel 66 | Article 66 | Članak 66. |
| Dringlichkeitsverfahren | Urgency procedure | Hitni postupak |
| (1) Unter außergewöhnlichen Umständen kann eine betroffene Aufsichtsbehörde abweichend vom Kohärenzverfahren nach Artikel 63, 64 und 65 oder dem Verfahren nach Artikel 60 sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen, wenn sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen. Die Aufsichtsbehörde setzt die anderen betroffenen Aufsichtsbehörden, den Ausschuss und die Kommission unverzüglich von diesen Maßnahmen und den Gründen für deren Erlass in Kenntnis. | 1. In exceptional circumstances, where a supervisory authority concerned considers that there is an urgent need to act in order to protect the rights and freedoms of data subjects, it may, by way of derogation from the consistency mechanism referred to in Articles 63, 64 and 65 or the procedure referred to in Article 60, immediately adopt provisional measures intended to produce legal effects on its own territory with a specified period of validity which shall not exceed three months. The supervisory authority shall, without delay, communicate those measures and the reasons for adopting them to the other supervisory authorities concerned, to the Board and to the Commission. | 1. U izuzetnim okolnostima, ako predmetno nadzorno tijelo smatra da postoji hitna potreba za djelovanjem kako bi se zaštitila prava i slobode ispitanika, ono može, odstupajući od mehanizma konzistentnosti iz članak 63., 64. i 65. ili postupka iz članka 60., odmah donijeti privremene mjere kojima se proizvode pravni učinci na svom području na određeno razdoblje valjanosti koje nije duže od tri mjeseca. Nadzorno tijelo bez odgađanja obavješćuje druga predmetna nadzorna tijela, Odbor i Komisiju o tim mjerama i razlozima za njihovo donošenje. |
| (2) Hat eine Aufsichtsbehörde eine Maßnahme nach Absatz 1 ergriffen und ist sie der Auffassung, dass dringend endgültige Maßnahmen erlassen werden müssen, kann sie unter Angabe von Gründen im Dringlichkeitsverfahren um eine Stellungnahme oder einen verbindlichen Beschluss des Ausschusses ersuchen. | 2. Where a supervisory authority has taken a measure pursuant to paragraph 1 and considers that final measures need urgently be adopted, it may request an urgent opinion or an urgent binding decision from the Board, giving reasons for requesting such opinion or decision. | 2. Ako nadzorno tijelo poduzme mjeru u skladu sa stavkom 1. i smatra da treba hitno donijeti završne mjere, ono može zatražiti hitno mišljenje ili hitnu obvezujuću odluku Odbora, navodeći razloge za traženje takvog mišljenja ili odluke. |
| (3) Jede Aufsichtsbehörde kann unter Angabe von Gründen, auch für den dringenden Handlungsbedarf, im Dringlichkeitsverfahren um eine Stellungnahme oder gegebenenfalls einen verbindlichen Beschluss des Ausschusses ersuchen, wenn eine zuständige Aufsichtsbehörde trotz dringenden Handlungsbedarfs keine geeignete Maßnahme getroffen hat, um die Rechte und Freiheiten von betroffenen Personen zu schützen. | 3. Any supervisory authority may request an urgent opinion or an urgent binding decision, as the case may be, from the Board where a competent supervisory authority has not taken an appropriate measure in a situation where there is an urgent need to act, in order to protect the rights and freedoms of data subjects, giving reasons for requesting such opinion or decision, including for the urgent need to act. | 3. Svako nadzorno tijelo može zatražiti hitno mišljenje ili hitnu obvezujuću odluku, ovisno o slučaju, od Odbora ako nadležno nadzorno tijelo nije poduzelo prikladnu mjeru u situaciji kada postoji hitna potreba za djelovanjem radi zaštite prava i sloboda ispitanika, uz obrazloženje traženja takvog mišljenja ili odluke uključujući i hitne potrebe za djelovanjem. |
| (4) Abweichend von Artikel 64 Absatz 3 und Artikel 65 Absatz 2 wird eine Stellungnahme oder ein verbindlicher Beschluss im Dringlichkeitsverfahren nach den Absätzen 2 und 3 binnen zwei Wochen mit einfacher Mehrheit der Mitglieder des Ausschusses angenommen. | 4. By derogation from Article 64(3) and Article 65(2), an urgent opinion or an urgent binding decision referred to in paragraphs 2 and 3 of this Article shall be adopted within two weeks by simple majority of the members of the Board. | 4. Odstupajući od članka 64. stavka 3. i članka 65. stavka 2. hitno mišljenje ili hitna obvezujuća odluka iz stavaka 2. i 3. ovog članka donosi se u roku od dva tjedna natpolovičnom većinom članova Odbora. |
| Artikel 67 | Article 67 | Članak 67. |
| Informationsaustausch | Exchange of information | Razmjena informacija |
| Die Kommission kann Durchführungsrechtsakte von allgemeiner Tragweite zur Festlegung der Ausgestaltung des elektronischen Informationsaustauschs zwischen den Aufsichtsbehörden sowie zwischen den Aufsichtsbehörden und dem Ausschuss, insbesondere des standardisierten Formats nach Artikel 64, erlassen. | The Commission may adopt implementing acts of general scope in order to specify the arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the Board, in particular the standardised format referred to in Article 64. | Komisija može donijeti provedbene akte općeg područja primjene radi određivanja aranžmana za razmjenu informacija između nadzornih tijela elektroničkim putem i između nadzornih tijela i Odbora, osobito standardiziranog formata iz članka 64. |
| Diese Durchführungsrechtsakte werden gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen. | Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 93(2). | Ti provedbeni akti donose se u skladu s postupkom ispitivanja navedenim u članku 93. stavku 2. |
| Abschnitt 3 | Section 3 | Odjeljak 3 |
| Europäischer Datenschutzausschuss | European data protection board | Europski odbor za zaštitu podataka |
| Artikel 68 | Article 68 | Članak 68. |
| Europäischer Datenschutzausschuss | European Data Protection Board | Europski odbor za zaštitu podataka |
| (1) Der Europäische Datenschutzausschuss (im Folgenden „Ausschuss“) wird als Einrichtung der Union mit eigener Rechtspersönlichkeit eingerichtet. | 1. The European Data Protection Board (the ‘Board’) is hereby established as a body of the Union and shall have legal personality. | 1. Europski odbor za zaštitu podataka („Odbor”) osniva se kao tijelo Unije koje ima pravnu osobnost. |
| (2) Der Ausschuss wird von seinem Vorsitz vertreten. | 2. The Board shall be represented by its Chair. | 2. Odbor predstavlja njegov predsjednik. |
| (3) Der Ausschuss besteht aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern. | 3. The Board shall be composed of the head of one supervisory authority of each Member State and of the European Data Protection Supervisor, or their respective representatives. | 3. Odbor čine voditelji jednoga nadzornog tijela iz svake države članice i Europski nadzornik za zaštitu podataka, ili njihovi predstavnici. |
| (4) Ist in einem Mitgliedstaat mehr als eine Aufsichtsbehörde für die Überwachung der Anwendung der nach Maßgabe dieser Verordnung erlassenen Vorschriften zuständig, so wird im Einklang mit den Rechtsvorschriften dieses Mitgliedstaats ein gemeinsamer Vertreter benannt. | 4. Where in a Member State more than one supervisory authority is responsible for monitoring the application of the provisions pursuant to this Regulation, a joint representative shall be appointed in accordance with that Member State's law. | 4. Ako je u državi članici za praćenje primjene odredaba ove Uredbe odgovorno više od jednog nadzornog tijela, imenuje se zajednički predstavnik u skladu s pravom te države članice. |
| (5) Die Kommission ist berechtigt, ohne Stimmrecht an den Tätigkeiten und Sitzungen des Ausschusses teilzunehmen. Die Kommission benennt einen Vertreter. Der Vorsitz des Ausschusses unterrichtet die Kommission über die Tätigkeiten des Ausschusses. | 5. The Commission shall have the right to participate in the activities and meetings of the Board without voting right. The Commission shall designate a representative. The Chair of the Board shall communicate to the Commission the activities of the Board. | 5. Komisija ima pravo sudjelovanja u aktivnostima i sastancima Odbora bez prava glasa. Komisija imenuje predstavnika. Predsjednik Odbora izvješćuje Komisiju o aktivnostima Europskog odbora za zaštitu podataka. |
| (6) In den in Artikel 65 genannten Fällen ist der Europäische Datenschutzbeauftragte nur bei Beschlüssen stimmberechtigt, die Grundsätze und Vorschriften betreffen, die für die Organe, Einrichtungen, Ämter und Agenturen der Union gelten und inhaltlich den Grundsätzen und Vorschriften dieser Verordnung entsprechen. | 6. In the cases referred to in Article 65, the European Data Protection Supervisor shall have voting rights only on decisions which concern principles and rules applicable to the Union institutions, bodies, offices and agencies which correspond in substance to those of this Regulation. | 6. U slučajevima iz članka 65., Europski nadzornik za zaštitu podataka ima pravo glasa samo u pogledu odluka koje se tiču načela i pravila primjenjivih na institucije, tijela, urede i agencije Unije koja sadržajno odgovaraju onima iz ove Uredbe. |
| Artikel 69 | Article 69 | Članak 69. |
| Unabhängigkeit | Independence | Neovisnost |
| (1) Der Ausschuss handelt bei der Erfüllung seiner Aufgaben oder in Ausübung seiner Befugnisse gemäß den Artikeln 70 und 71 unabhängig. | 1. The Board shall act independently when performing its tasks or exercising its powers pursuant to Articles 70 and 71. | 1. Odbor djeluje neovisno kada obavlja svoje zadaće ili izvršava svoje ovlasti u skladu s člancima 70. i 71. |
| (2) Unbeschadet der Ersuchen der Kommission gemäß Artikel 70 Absatz 1 Buchstabe b und Absatz 2 ersucht der Ausschuss bei der Erfüllung seiner Aufgaben oder in Ausübung seiner Befugnisse weder um Weisung noch nimmt er Weisungen entgegen. | 2. Without prejudice to requests by the Commission referred to in point (b) of Article 70(1) and in Article 70(2), the Board shall, in the performance of its tasks or the exercise of its powers, neither seek nor take instructions from anybody. | 2. Ne dovodeći u pitanje zahtjeve Komisije iz članka 70. stavka 1. točke (b) i članka 70. stavka 2., Odbor pri obavljanju svojih zadaća ili izvršavanju svojih ovlasti ne smije tražiti ni primati upute ni od koga. |
| Artikel 70 | Article 70 | Članak 70. |
| Aufgaben des Ausschusses | Tasks of the Board | Zadaće Odbora |
| (1) Der Ausschuss stellt die einheitliche Anwendung dieser Verordnung sicher. Hierzu nimmt der Ausschuss von sich aus oder gegebenenfalls auf Ersuchen der Kommission insbesondere folgende Tätigkeiten wahr: | 1. The Board shall ensure the consistent application of this Regulation. To that end, the Board shall, on its own initiative or, where relevant, at the request of the Commission, in particular: | 1. Odbor osigurava dosljednu primjenu ove Uredbe. U tu svrhu Odbor na vlastitu inicijativu ili prema potrebi na zahtjev Komisije, osobito: |
| a) | Überwachung und Sicherstellung der ordnungsgemäßen Anwendung dieser Verordnung in den in den Artikeln 64 und 65 genannten Fällen unbeschadet der Aufgaben der nationalen Aufsichtsbehörden; | (a) | monitor and ensure the correct application of this Regulation in the cases provided for in Articles 64 and 65 without prejudice to the tasks of national supervisory authorities; | (a) | prati i osigurava pravilnu primjenu ove Uredbe u slučajevima predviđenima člancima 64. i 65. ne dovodeći u pitanje zadaće nacionalnih nadzornih tijela; |
| b) | Beratung der Kommission in allen Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten in der Union stehen, einschließlich etwaiger Vorschläge zur Änderung dieser Verordnung; | (b) | advise the Commission on any issue related to the protection of personal data in the Union, including on any proposed amendment of this Regulation; | (b) | savjetuje Komisiju o svim pitanjima u pogledu zaštite osobnih podataka u Uniji, među ostalim i o svim predloženim izmjenama ove Uredbe; |
| c) | Beratung der Kommission über das Format und die Verfahren für den Austausch von Informationen zwischen den Verantwortlichen, den Auftragsverarbeitern und den Aufsichtsbehörden in Bezug auf verbindliche interne Datenschutzvorschriften; | (c) | advise the Commission on the format and procedures for the exchange of information between controllers, processors and supervisory authorities for binding corporate rules; | (c) | savjetuje Komisiju o formatu i postupcima za razmjenu informacija među voditeljima obrade, izvršiteljima obrade i nadzornim tijelima za obvezujuća korporativna pravila; |
| d) | Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren zu Verfahren für die Löschung gemäß Artikel 17 Absatz 2 von Links zu personenbezogenen Daten oder Kopien oder Replikationen dieser Daten aus öffentlich zugänglichen Kommunikationsdiensten; | (d) | issue guidelines, recommendations, and best practices on procedures for erasing links, copies or replications of personal data from publicly available communication services as referred to in Article 17(2); | (d) | izdaje smjernice, preporuke i primjere najbolje prakse o postupcima za brisanje poveznica na osobne podatke, kopija ili replika tih osobnih podataka iz javno dostupnih sredstava komunikacije iz članka 17. stavka 2; |
| e) | Prüfung — von sich aus, auf Antrag eines seiner Mitglieder oder auf Ersuchen der Kommission — von die Anwendung dieser Verordnung betreffenden Fragen und Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren zwecks Sicherstellung einer einheitlichen Anwendung dieser Verordnung; | (e) | examine, on its own initiative, on request of one of its members or on request of the Commission, any question covering the application of this Regulation and issue guidelines, recommendations and best practices in order to encourage consistent application of this Regulation; | (e) | ispituje na vlastitu inicijativu, na zahtjev jednog od svojih članova ili na zahtjev Komisije sva pitanja koja obuhvaćaju primjenu Uredbe i izdaje smjernice, preporuke i primjere najbolje prakse kako bi poticao dosljednu primjenu ove Uredbe; |
| f) | Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der Kriterien und Bedingungen für die auf Profiling beruhenden Entscheidungen gemäß Artikel 22 Absatz 2; | (f) | issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for further specifying the criteria and conditions for decisions based on profiling pursuant to Article 22(2); | (f) | izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i uvjeta za odluke koje se temelje na izradi profila u skladu s člankom 22. stavkom 2.; |
| g) | Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes für die Feststellung von Verletzungen des Schutzes personenbezogener Daten und die Festlegung der Unverzüglichkeit im Sinne des Artikels 33 Absätze 1 und 2, und zu den spezifischen Umständen, unter denen der Verantwortliche oder der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten zu melden hat; | (g) | issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for establishing the personal data breaches and determining the undue delay referred to in Article 33(1) and (2) and for the particular circumstances in which a controller or a processor is required to notify the personal data breach; | (g) | izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog članka za utvrđivanje povreda osobnih podataka te određivanje nepotrebnog odgađanja iz članka 33. stavaka 1. i 2. te za posebne okolnosti u kojima se od voditelja obrade ili izvršitelja obrade zahtijeva obavješćivanje o povredi osobnih podataka; |
| h) | Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zu den Umständen, unter denen eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen im Sinne des Artikels 34 Absatz 1 zur Folge hat; | (h) | issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph as to the circumstances in which a personal data breach is likely to result in a high risk to the rights and freedoms of the natural persons referred to in Article 34(1). | (h) | izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog članka u pogledu okolnosti u kojima će povreda osobnih podataka vjerojatno dovesti do visokog rizika u pogledu pravâ i sloboda pojedinaca iz članka 34. stavka 1. |
| i) | Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der in Artikel 47 aufgeführten Kriterien und Anforderungen für die Übermittlungen personenbezogener Daten, die auf verbindlichen internen Datenschutzvorschriften von Verantwortlichen oder Auftragsverarbeitern beruhen, und der dort aufgeführten weiteren erforderlichen Anforderungen zum Schutz personenbezogener Daten der betroffenen Personen; | (i) | issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for the purpose of further specifying the criteria and requirements for personal data transfers based on binding corporate rules adhered to by controllers and binding corporate rules adhered to by processors and on further necessary requirements to ensure the protection of personal data of the data subjects concerned referred to in Article 47; | (i) | izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i zahtjeva za prijenose osobnih podataka na temelju obvezujućih korporativnih pravila kojih se pridržavaju voditelji obrade i obvezujućih korporativnih pravila kojih se pridržavaju izvršitelji obrade te daljnjih zahtjeva potrebnih za osiguravanje zaštite osobnih podataka ispitanika iz članka 47.; |
| j) | Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur näheren Bestimmung der Kriterien und Bedingungen für die Übermittlungen personenbezogener Daten gemäß Artikel 49 Absatz 1; | (j) | issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for the purpose of further specifying the criteria and requirements for the personal data transfers on the basis of Article 49(1); | (j) | izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i uvjeta za prijenose osobnih podataka na temelju članka 49. stavka 1.; |
| k) | Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug auf die Anwendung von Maßnahmen nach Artikel 58 Absätze 1, 2 und 3 und die Festsetzung von Geldbußen gemäß Artikel 83; | (k) | draw up guidelines for supervisory authorities concerning the application of measures referred to in Article 58(1), (2) and (3) and the setting of administrative fines pursuant to Article 83; | (k) | izrađuje smjernice za nadzorna tijela s obzirom na primjenu mjera iz članka 58. stavaka 1., 2. i 3. i određuje upravne novčane kazne u skladu s člankom 83.; |
| l) | Überprüfung der praktischen Anwendung der unter den Buchstaben e und f genannten Leitlinien, Empfehlungen und bewährten Verfahren; | (l) | review the practical application of the guidelines, recommendations and best practices referred to in points (e) and (f); | (l) | preispituje praktičnu primjenu smjernica, preporuka i primjera najbolje prakse iz točaka (e) i (f); |
| m) | Bereitstellung von Leitlinien, Empfehlungen und bewährten Verfahren gemäß Buchstabe e des vorliegenden Absatzes zur Festlegung gemeinsamer Verfahren für die von natürlichen Personen vorgenommene Meldung von Verstößen gegen diese Verordnung gemäß Artikel 54 Absatz 2; | (m) | issue guidelines, recommendations and best practices in accordance with point (e) of this paragraph for establishing common procedures for reporting by natural persons of infringements of this Regulation pursuant to Article 54(2); | (m) | izdaje smjernice, preporuke i primjere najbolje prakse u skladu sa stavkom 1. točkom (e) za uspostavu zajedničkih postupaka za izvješćivanje pojedinaca o kršenjima ove Uredbe u skladu s člankom 54. stavkom 2.; |
| n) | Förderung der Ausarbeitung von Verhaltensregeln und der Einrichtung von datenschutzspezifischen Zertifizierungsverfahren sowie Datenschutzsiegeln und -prüfzeichen gemäß den Artikeln 40 und 42; | (n) | encourage the drawing-up of codes of conduct and the establishment of data protection certification mechanisms and data protection seals and marks pursuant to Articles 40 and 42; | (n) | potiče izradu kodeksa ponašanja i uspostavu mehanizme certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u skladu s člancima 40. i 42.; |
| o) | Akkreditierung von Zertifizierungsstellen und deren regelmäßige Überprüfung gemäß Artikel 43 und Führung eines öffentlichen Registers der akkreditierten Einrichtungen gemäß Artikel 43 Absatz 6 und der in Drittländern niedergelassenen akkreditierten Verantwortlichen oder Auftragsverarbeiter gemäß Artikel 42 Absatz 7; | (o) | carry out the accreditation of certification bodies and its periodic review pursuant to Article 43 and maintain a public register of accredited bodies pursuant to Article 43(6) and of the accredited controllers or processors established in third countries pursuant to Article 42(7); | (o) | provodi akreditacije certifikacijskih tijela i periodično preispitivanje akreditacija u skladu s člankom 43. te vodi javnu evidenciju akreditiranih tijela u skladu s člankom 43. stavkom 6. i akreditiranih voditelja obrade ili izvršitelja obrade s poslovnim nastanom u trećim zemljama u skladu s člankom 42. stavkom 7.; |
| p) | Präzisierung der in Artikel 43 Absatz 3 genannten Anforderungen im Hinblick auf die Akkreditierung von Zertifizierungsstellen gemäß Artikel 42; | (p) | specify the requirements referred to in Article 43(3) with a view to the accreditation of certification bodies under Article 42; | (p) | određuje zahtjeve iz članka 43.stavka 3. s obzirom na akreditaciju certifikacijskih tijela u skladu s člankom 42.; |
| q) | Abgabe einer Stellungnahme für die Kommission zu den Zertifizierungsanforderungen gemäß Artikel 43 Absatz 8; | (q) | provide the Commission with an opinion on the certification requirements referred to in Article 43(8); | (q) | Komisiji daje mišljenje o zahtjevima za certificiranje iz članka 43. stavka 8.; |
| r) | Abgabe einer Stellungnahme für die Kommission zu den Bildsymbolen gemäß Artikel 12 Absatz 7; | (r) | provide the Commission with an opinion on the icons referred to in Article 12(7); | (r) | Komisiji daje mišljenje o ikonama iz članka 12. stavka 7.; |
| s) | Abgabe einer Stellungnahme für die Kommission zur Beurteilung der Angemessenheit des in einem Drittland oder einer internationalen Organisation gebotenen Schutzniveaus einschließlich zur Beurteilung der Frage, ob das Drittland, das Gebiet, ein oder mehrere spezifische Sektoren in diesem Drittland oder eine internationale Organisation kein angemessenes Schutzniveau mehr gewährleistet. Zu diesem Zweck gibt die Kommission dem Ausschuss alle erforderlichen Unterlagen, darunter den Schriftwechsel mit der Regierung des Drittlands, dem Gebiet oder spezifischen Sektor oder der internationalen Organisation; | (s) | provide the Commission with an opinion for the assessment of the adequacy of the level of protection in a third country or international organisation, including for the assessment whether a third country, a territory or one or more specified sectors within that third country, or an international organisation no longer ensures an adequate level of protection. To that end, the Commission shall provide the Board with all necessary documentation, including correspondence with the government of the third country, with regard to that third country, territory or specified sector, or with the international organisation. | (s) | daje mišljenje Komisiji o procjeni primjerenosti razine zaštite koja postoji u trećoj zemlji ili međunarodnoj organizaciji, kao i o procjeni o tome je li treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija prestao osiguravati primjerenu razinu zaštite. U tu svrhu Komisija dostavlja Odboru svu potrebnu dokumentaciju, uključujući korespondenciju s vladom treće zemlje, vezano za tu treću zemlju, područja ili određenog sektora, ili s međunarodnom organizacijom. |
| t) | Abgabe von Stellungnahmen im Kohärenzverfahren gemäß Artikel 64 Absatz 1 zu Beschlussentwürfen von Aufsichtsbehörden, zu Angelegenheiten, die nach Artikel 64 Absatz 2 vorgelegt wurden und um Erlass verbindlicher Beschlüsse gemäß Artikel 65, einschließlich der in Artikel 66 genannten Fälle; | (t) | issue opinions on draft decisions of supervisory authorities pursuant to the consistency mechanism referred to in Article 64(1), on matters submitted pursuant to Article 64(2) and to issue binding decisions pursuant to Article 65, including in cases referred to in Article 66; | (t) | daje mišljenja o nacrtima odluka nadzornih tijela u skladu s mehanizmom konzistentnosti iz članka 64. stavka 1. te o predmetima podnesenim na temelju članka 64. stavka 2. i pitanju obvezujućih odluka na temelju članka 65., uključujuću slučajeve iz članka 66.; |
| u) | Förderung der Zusammenarbeit und eines wirksamen bilateralen und multilateralen Austauschs von Informationen und bewährten Verfahren zwischen den Aufsichtsbehörden; | (u) | promote the cooperation and the effective bilateral and multilateral exchange of information and best practices between the supervisory authorities; | (u) | promiče suradnju i djelotvornu bilateralnu i multilateralnu razmjenu informacija i najboljih praksi između nadzornih tijela; |
| v) | Förderung von Schulungsprogrammen und Erleichterung des Personalaustausches zwischen Aufsichtsbehörden sowie gegebenenfalls mit Aufsichtsbehörden von Drittländern oder mit internationalen Organisationen; | (v) | promote common training programmes and facilitate personnel exchanges between the supervisory authorities and, where appropriate, with the supervisory authorities of third countries or with international organisations; | (v) | promiče zajedničke programe osposobljavanja i potpomaže razmjenu osoblja između nadzornih tijela te nadzornih tijela trećih zemalja ili međunarodnih organizacija; |
| w) | Förderung des Austausches von Fachwissen und von Dokumentationen über Datenschutzvorschriften und -praxis mit Datenschutzaufsichtsbehörden in aller Welt; | (w) | promote the exchange of knowledge and documentation on data protection legislation and practice with data protection supervisory authorities worldwide. | (w) | promiče razmjenu znanja i dokumentacije o zakonodavstvu i praksi u području zaštite podataka s nadzornim tijelima za zaštitu podataka širom svijeta. |
| x) | Abgabe von Stellungnahmen zu den auf Unionsebene erarbeiteten Verhaltensregeln gemäß Artikel 40 Absatz 9 und | (x) | issue opinions on codes of conduct drawn up at Union level pursuant to Article 40(9); and | (x) | daje mišljenje o kodeksima ponašanja sastavljenima na razini Unije u skladu s člankom 40. stavkom 9.; i |
| y) | Führung eines öffentlich zugänglichen elektronischen Registers der Beschlüsse der Aufsichtsbehörden und Gerichte in Bezug auf Fragen, die im Rahmen des Kohärenzverfahrens behandelt wurden. | (y) | maintain a publicly accessible electronic register of decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism. | (y) | vodi javnosti dostupnu elektroničku evidenciju odluka koje su donijela nadzorna tijela i sudovi o pitanjima rješavanim u okviru mehanizma konzistentnosti. |
| (2) Die Kommission kann, wenn sie den Ausschuss um Rat ersucht, unter Berücksichtigung der Dringlichkeit des Sachverhalts eine Frist angeben. | 2. Where the Commission requests advice from the Board, it may indicate a time limit, taking into account the urgency of the matter. | 2. Ako Komisija zatraži savjet od Odbora, može navesti rok, uzimajući u obzir hitnost predmeta. |
| (3) Der Ausschuss leitet seine Stellungnahmen, Leitlinien, Empfehlungen und bewährten Verfahren an die Kommission und an den in Artikel 93 genannten Ausschuss weiter und veröffentlicht sie. | 3. The Board shall forward its opinions, guidelines, recommendations, and best practices to the Commission and to the committee referred to in Article 93 and make them public. | 3. Odbor prosljeđuje Komisiji i odboru navedenom u članku 93. svoja mišljenja, smjernice, preporuke i primjere najbolje prakse te ih objavljuje. |
| (4) Der Ausschuss konsultiert gegebenenfalls interessierte Kreise und gibt ihnen Gelegenheit, innerhalb einer angemessenen Frist Stellung zu nehmen. Unbeschadet des Artikels 76 macht der Ausschuss die Ergebnisse der Konsultation der Öffentlichkeit zugänglich. | 4. The Board shall, where appropriate, consult interested parties and give them the opportunity to comment within a reasonable period. The Board shall, without prejudice to Article 76, make the results of the consultation procedure publicly available. | 4. Odbor se prema potrebi savjetuje sa zainteresiranim stranama i pruža im priliku da u razumnom roku dostave svoje komentare. Ne dovodeći u pitanje članak 76. Odbor javno objavljuje rezultate postupka savjetovanja. |
| Artikel 71 | Article 71 | Članak 71. |
| Berichterstattung | Reports | Izvješća |
| (1) Der Ausschuss erstellt einen Jahresbericht über den Schutz natürlicher Personen bei der Verarbeitung in der Union und gegebenenfalls in Drittländern und internationalen Organisationen. Der Bericht wird veröffentlicht und dem Europäischen Parlament, dem Rat und der Kommission übermittelt. | 1. The Board shall draw up an annual report regarding the protection of natural persons with regard to processing in the Union and, where relevant, in third countries and international organisations. The report shall be made public and be transmitted to the European Parliament, to the Council and to the Commission. | 1. Odbor izrađuje godišnje izvješće u pogledu zaštite fizičkih osoba s obzirom na obradu u Uniji i, prema potrebi, u trećim zemljama i međunarodnim organizacijama. Izvješće se objavljuje i prenosi Europskom parlamentu, Vijeću i Komisiji. |
| (2) Der Jahresbericht enthält eine Überprüfung der praktischen Anwendung der in Artikel 70 Absatz 1 Buchstabe l genannten Leitlinien, Empfehlungen und bewährten Verfahren sowie der in Artikel 65 genannten verbindlichen Beschlüsse. | 2. The annual report shall include a review of the practical application of the guidelines, recommendations and best practices referred to in point (l) of Article 70(1) as well as of the binding decisions referred to in Article 65. | 2. Godišnje izvješće obuhvaća preispitivanje praktične primjene smjernica, preporuka i primjera najbolje prakse iz članka 70. stavka 1. točke (l) te obvezujućih odluka iz članka 65. |
| Artikel 72 | Article 72 | Članak 72. |
| Verfahrensweise | Procedure | Postupak |
| (1) Sofern in dieser Verordnung nichts anderes bestimmt ist, fasst der Ausschuss seine Beschlüsse mit einfacher Mehrheit seiner Mitglieder. | 1. The Board shall take decisions by a simple majority of its members, unless otherwise provided for in this Regulation. | 1. Ako nije drukčije predviđeno ovom Uredbom, Odbor donosi odluke natpolovičnom većinom glasova svojih članova. |
| (2) Der Ausschuss gibt sich mit einer Mehrheit von zwei Dritteln seiner Mitglieder eine Geschäftsordnung und legt seine Arbeitsweise fest. | 2. The Board shall adopt its own rules of procedure by a two-thirds majority of its members and organise its own operational arrangements. | 2. Odbor svoj poslovnik donosi dvotrećinskom većinom glasova svojih članova i organizira vlastite operativne aranžmane. |
| Artikel 73 | Article 73 | Članak 73. |
| Vorsitz | Chair | Predsjednik |
| (1) Der Ausschuss wählt aus dem Kreis seiner Mitglieder mit einfacher Mehrheit einen Vorsitzenden und zwei stellvertretende Vorsitzende. | 1. The Board shall elect a chair and two deputy chairs from amongst its members by simple majority. | 1. Odbor izabire predsjednika i dva zamjenika predsjednika iz redova svojih članova natpolovičnom većinom. |
| (2) Die Amtszeit des Vorsitzenden und seiner beiden Stellvertreter beträgt fünf Jahre; ihre einmalige Wiederwahl ist zulässig. | 2. The term of office of the Chair and of the deputy chairs shall be five years and be renewable once. | 2. Mandat predsjednika i zamjenikâ predsjednika traje pet godina i može se produljiti jedanput. |
| Artikel 74 | Article 74 | Članak 74. |
| Aufgaben des Vorsitzes | Tasks of the Chair | Zadaće predsjednika |
| (1) Der Vorsitz hat folgende Aufgaben: | 1. The Chair shall have the following tasks: | 1. Predsjednik ima sljedeće zadaće: |
| a) | Einberufung der Sitzungen des Ausschusses und Erstellung der Tagesordnungen, | (a) | to convene the meetings of the Board and prepare its agenda; | (a) | saziva sastanke Odbora i priprema njegov dnevni red; |
| b) | Übermittlung der Beschlüsse des Ausschusses nach Artikel 65 an die federführende Aufsichtsbehörde und die betroffenen Aufsichtsbehörden, | (b) | to notify decisions adopted by the Board pursuant to Article 65 to the lead supervisory authority and the supervisory authorities concerned; | (b) | obavješćuje vodeće nadzorno tijelo i predmetna nadzorna tijela o odlukama koje je donio Odbor u skladu s člankom 65.; |
| c) | Sicherstellung einer rechtzeitigen Ausführung der Aufgaben des Ausschusses, insbesondere der Aufgaben im Zusammenhang mit dem Kohärenzverfahren nach Artikel 63. | (c) | to ensure the timely performance of the tasks of the Board, in particular in relation to the consistency mechanism referred to in Article 63. | (c) | osigurava pravodobno izvršavanje zadaća Odbora, osobito u vezi s mehanizmom konzistentnosti iz članka 63. |
| (2) Der Ausschuss legt die Aufteilung der Aufgaben zwischen dem Vorsitzenden und dessen Stellvertretern in seiner Geschäftsordnung fest. | 2. The Board shall lay down the allocation of tasks between the Chair and the deputy chairs in its rules of procedure. | 2. Odbor poslovnikom propisuje raspodjelu zadaća između predsjednika i zamjenikâ predsjednika. |
| Artikel 75 | Article 75 | Članak 75. |
| Sekretariat | Secretariat | Tajništvo |
| (1) Der Ausschuss wird von einem Sekretariat unterstützt, das von dem Europäischen Datenschutzbeauftragten bereitgestellt wird. | 1. The Board shall have a secretariat, which shall be provided by the European Data Protection Supervisor. | 1. Odbor ima tajništvo koje osigurava Europski nadzornik za zaštitu podataka. |
| (2) Das Sekretariat führt seine Aufgaben ausschließlich auf Anweisung des Vorsitzes des Ausschusses aus. | 2. The secretariat shall perform its tasks exclusively under the instructions of the Chair of the Board. | 2. Tajništvo obavlja svoje zadaće isključivo prema uputama predsjednika Odbora. |
| (3) Das Personal des Europäischen Datenschutzbeauftragten, das an der Wahrnehmung der dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben beteiligt ist, unterliegt anderen Berichtspflichten als das Personal, das an der Wahrnehmung der dem Europäischen Datenschutzbeauftragten übertragenen Aufgaben beteiligt ist. | 3. The staff of the European Data Protection Supervisor involved in carrying out the tasks conferred on the Board by this Regulation shall be subject to separate reporting lines from the staff involved in carrying out tasks conferred on the European Data Protection Supervisor. | 3. Na osoblje Europskog nadzornika za zaštitu podataka koje sudjeluje u obavljanju zadaća koje su ovom Uredbom povjerene Odboru primjenjuju se odvojene linije izvješćivanja od onih za osoblje koje sudjeluje u obavljanju zadaća povjerenih Europskom nadzorniku za zaštitu podataka. |
| (4) Soweit angebracht, erstellen und veröffentlichen der Ausschuss und der Europäische Datenschutzbeauftragte eine Vereinbarung zur Anwendung des vorliegenden Artikels, in der die Bedingungen ihrer Zusammenarbeit festgelegt sind und die für das Personal des Europäischen Datenschutzbeauftragten gilt, das an der Wahrnehmung der dem Ausschuss gemäß dieser Verordnung übertragenen Aufgaben beteiligt ist. | 4. Where appropriate, the Board and the European Data Protection Supervisor shall establish and publish a Memorandum of Understanding implementing this Article, determining the terms of their cooperation, and applicable to the staff of the European Data Protection Supervisor involved in carrying out the tasks conferred on the Board by this Regulation. | 4. Odbor i Europski nadzornik za zaštitu podataka prema potrebi utvrđuju i objavljuju memorandum o razumijevanju za provedbu ovog članka u kojem se utvrđuju uvjeti međusobne suradnje i koji se primjenjuje na osoblje Europskog nadzornika za zaštitu podataka koje sudjeluje u obavljanju zadaća koje su ovom Uredbom povjerene Odboru. |
| (5) Das Sekretariat leistet dem Ausschuss analytische, administrative und logistische Unterstützung. | 5. The secretariat shall provide analytical, administrative and logistical support to the Board. | 5. Tajništvo pruža analitičku, administrativnu i logističku potporu Odboru. |
| (6) Das Sekretariat ist insbesondere verantwortlich für | 6. The secretariat shall be responsible in particular for: | 6. Tajništvo je osobito odgovorno za: |
| a) | das Tagesgeschäft des Ausschusses, | (a) | the day-to-day business of the Board; | (a) | tekuće poslove Odbora; |
| b) | die Kommunikation zwischen den Mitgliedern des Ausschusses, seinem Vorsitz und der Kommission, | (b) | communication between the members of the Board, its Chair and the Commission; | (b) | komunikaciju između članova Odbora, njegova predsjednika i Komisije; |
| c) | die Kommunikation mit anderen Organen und mit der Öffentlichkeit, | (c) | communication with other institutions and the public; | (c) | komunikaciju s drugim institucijama i javnošću; |
| d) | den Rückgriff auf elektronische Mittel für die interne und die externe Kommunikation, | (d) | the use of electronic means for the internal and external communication; | (d) | uporabu elektroničkih sredstava za internu i eksternu komunikaciju; |
| e) | die Übersetzung sachdienlicher Informationen, | (e) | the translation of relevant information; | (e) | prijevode bitnih informacija; |
| f) | die Vor- und Nachbereitung der Sitzungen des Ausschusses, | (f) | the preparation and follow-up of the meetings of the Board; | (f) | pripremu sastanaka Odbora i daljnje postupanje; |
| g) | die Vorbereitung, Abfassung und Veröffentlichung von Stellungnahmen, von Beschlüssen über die Beilegung von Streitigkeiten zwischen Aufsichtsbehörden und von sonstigen vom Ausschuss angenommenen Dokumenten. | (g) | the preparation, drafting and publication of opinions, decisions on the settlement of disputes between supervisory authorities and other texts adopted by the Board. | (g) | pripremu, izradu i objavu mišljenja, odluka o rješavanju sporova među nadzornim tijelima i drugih tekstova koje Odbor donosi. |
| Artikel 76 | Article 76 | Članak 76. |
| Vertraulichkeit | Confidentiality | Povjerljivost |
| (1) Die Beratungen des Ausschusses sind gemäß seiner Geschäftsordnung vertraulich, wenn der Ausschuss dies für erforderlich hält. | 1. The discussions of the Board shall be confidential where the Board deems it necessary, as provided for in its rules of procedure. | 1. Rasprave Odbora povjerljive su ako tako odluči Odbor, kako je predviđeno u njegovom poslovniku. |
| (2) Der Zugang zu Dokumenten, die Mitgliedern des Ausschusses, Sachverständigen und Vertretern von Dritten vorgelegt werden, wird durch die Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates (21) geregelt. | 2. Access to documents submitted to members of the Board, experts and representatives of third parties shall be governed by Regulation (EC) No 1049/2001 of the European Parliament and of the Council (21). | 2. Pristup dokumentima podnesenima članovima Odbora, stručnjacima i predstavnicima trećih strana uređuje se Uredbom (EZ) br. 1049/2001 Europskog parlamenta i Vijeća (21). |
| KAPITEL VIII | CHAPTER VIII | POGLAVLJE VIII. |
| Rechtsbehelfe, Haftung und Sanktionen | Remedies, liability and penalties | Pravna sredstva, odgovornost i sankcije |
| Artikel 77 | Article 77 | Članak 77. |
| Recht auf Beschwerde bei einer Aufsichtsbehörde | Right to lodge a complaint with a supervisory authority | Pravo na pritužbu nadzornom tijelu |
| (1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. | 1. Without prejudice to any other administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a supervisory authority, in particular in the Member State of his or her habitual residence, place of work or place of the alleged infringement if the data subject considers that the processing of personal data relating to him or her infringes this Regulation. | 1. Ne dovodeći u pitanje druga upravna ili sudska pravna sredstva, svaki ispitanik ima pravo podnijeti pritužbu nadzornom tijelu, osobito u državi članici u kojoj ima uobičajeno boravište, u kojoj je njegovo radno mjesto ili mjesto navodnog kršenja, ako ispitanik smatra da obrada osobnih podataka koja se odnosi na njega krši ovu Uredbu. |
| (2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78. | 2. The supervisory authority with which the complaint has been lodged shall inform the complainant on the progress and the outcome of the complaint including the possibility of a judicial remedy pursuant to Article 78. | 2. Nadzorno tijelo kojem je podnesena pritužba obavješćuje podnositelja pritužbe o napretku i ishodu pritužbe, uključujući mogućnost pravni lijek na temelju članka 78. |
| Artikel 78 | Article 78 | Članak 78. |
| Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde | Right to an effective judicial remedy against a supervisory authority | Pravo na učinkoviti pravni lijek protiv nadzornog tijela |
| (1) Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde. | 1. Without prejudice to any other administrative or non-judicial remedy, each natural or legal person shall have the right to an effective judicial remedy against a legally binding decision of a supervisory authority concerning them. | 1. Ne dovodeći u pitanje nijedan drugi upravni ili izvansudski pravni lijek, svaka fizička ili pravna osoba ima pravo na učinkoviti pravni lijek protiv pravno obvezujuće odluke nekog nadzornog tijela koja se na nju odnosi. |
| (2) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat. | 2. Without prejudice to any other administrative or non-judicial remedy, each data subject shall have the right to a an effective judicial remedy where the supervisory authority which is competent pursuant to Articles 55 and 56 does not handle a complaint or does not inform the data subject within three months on the progress or outcome of the complaint lodged pursuant to Article 77. | 2. Ne dovodeći u pitanje nijedan drugi upravni ili izvansudski pravni lijek svaki ispitanik ima pravo na učinkoviti pravni lijek ako nadzorno tijelo nadležno na temelju članaka 55. i 56. ne riješi pritužbu ili ne izvijesti ispitanika u roku od tri mjeseca o napretku ili ishodu pritužbe podnesene na temelju članka 77. |
| (3) Für Verfahren gegen eine Aufsichtsbehörde sind die Gerichte des Mitgliedstaats zuständig, in dem die Aufsichtsbehörde ihren Sitz hat. | 3. Proceedings against a supervisory authority shall be brought before the courts of the Member State where the supervisory authority is established. | 3. Postupci protiv nadzornog tijela vode se pred sudovima države članice u kojoj nadzorno tijelo ima poslovni nastan. |
| (4) Kommt es zu einem Verfahren gegen den Beschluss einer Aufsichtsbehörde, dem eine Stellungnahme oder ein Beschluss des Ausschusses im Rahmen des Kohärenzverfahrens vorangegangen ist, so leitet die Aufsichtsbehörde diese Stellungnahme oder diesen Beschluss dem Gericht zu. | 4. Where proceedings are brought against a decision of a supervisory authority which was preceded by an opinion or a decision of the Board in the consistency mechanism, the supervisory authority shall forward that opinion or decision to the court. | 4. Ako je pokrenut postupak protiv odluke nadzornog tijela kojoj je prethodilo mišljenje ili odluka Odbora u okviru mehanizma konzistentnosti, nadzorno tijelo prosljeđuje to mišljenje ili odluku sudu. |
| Artikel 79 | Article 79 | Članak 79. |
| Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter | Right to an effective judicial remedy against a controller or processor | Pravo na učinkoviti pravni lijek protiv voditelja obrade ili izvršitelja obrade |
| (1) Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. | 1. Without prejudice to any available administrative or non-judicial remedy, including the right to lodge a complaint with a supervisory authority pursuant to Article 77, each data subject shall have the right to an effective judicial remedy where he or she considers that his or her rights under this Regulation have been infringed as a result of the processing of his or her personal data in non-compliance with this Regulation. | 1. Ne dovodeći u pitanje nijedan dostupan upravni ili izvansudski pravni lijek, uključujući pravo na podnošenje pritužbe nadzornom tijelu na temelju članka 77., ispitanik ima pravo na učinkoviti pravni lijek ako smatra da su mu zbog obrade njegovih osobnih podataka protivno ovoj Uredbi prekršena njegova prava iz ove Uredbe. |
| (2) Für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter sind die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist. | 2. Proceedings against a controller or a processor shall be brought before the courts of the Member State where the controller or processor has an establishment. Alternatively, such proceedings may be brought before the courts of the Member State where the data subject has his or her habitual residence, unless the controller or processor is a public authority of a Member State acting in the exercise of its public powers. | 2. Postupci protiv voditelja obrade ili izvršitelja obrade vode se pred sudovima države članice u kojoj voditelj obrade ili izvršitelj obrade ima poslovni nastan. Osim toga, takvi se postupci mogu voditi pred sudovima države članice u kojoj ispitanik ima uobičajeno boravište, osim ako je voditelj obrade ili izvršitelj obrade tijelo javne vlasti neke države članice koje djeluje izvršavajući svoje javne ovlasti. |
| Artikel 80 | Article 80 | Članak 80. |
| Vertretung von betroffenen Personen | Representation of data subjects | Zastupanje ispitanika |
| (1) Die betroffene Person hat das Recht, eine Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, die ordnungsgemäß nach dem Recht eines Mitgliedstaats gegründet ist, deren satzungsmäßige Ziele im öffentlichem Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig ist, zu beauftragen, in ihrem Namen eine Beschwerde einzureichen, in ihrem Namen die in den Artikeln 77, 78 und 79 genannten Rechte wahrzunehmen und das Recht auf Schadensersatz gemäß Artikel 82 in Anspruch zu nehmen, sofern dieses im Recht der Mitgliedstaaten vorgesehen ist. | 1. The data subject shall have the right to mandate a not-for-profit body, organisation or association which has been properly constituted in accordance with the law of a Member State, has statutory objectives which are in the public interest, and is active in the field of the protection of data subjects' rights and freedoms with regard to the protection of their personal data to lodge the complaint on his or her behalf, to exercise the rights referred to in Articles 77, 78 and 79 on his or her behalf, and to exercise the right to receive compensation referred to in Article 82 on his or her behalf where provided for by Member State law. | 1. Ispitanik ima pravo ovlastiti neprofitno tijelo, organizaciju ili udruženje, koje je pravilno osnovano u skladu s pravom države članice, u čijem se statutu navode ciljevi od javnog interesa te je aktivno u području zaštite prava i sloboda ispitanika s obzirom na zaštitu njegovih osobnih podataka, da podnesu pritužbu u njegovo ime i da ostvaruju prava iz članaka 77., 78. i 79. u njegovo ime te da ostvaruju pravo na naknadu iz članka 82. u ime ispitanika ako je to predviđeno pravom države članice. |
| (2) Die Mitgliedstaaten können vorsehen, dass jede der in Absatz 1 des vorliegenden Artikels genannten Einrichtungen, Organisationen oder Vereinigungen unabhängig von einem Auftrag der betroffenen Person in diesem Mitgliedstaat das Recht hat, bei der gemäß Artikel 77 zuständigen Aufsichtsbehörde eine Beschwerde einzulegen und die in den Artikeln 78 und 79 aufgeführten Rechte in Anspruch zu nehmen, wenn ihres Erachtens die Rechte einer betroffenen Person gemäß dieser Verordnung infolge einer Verarbeitung verletzt worden sind. | 2. Member States may provide that any body, organisation or association referred to in paragraph 1 of this Article, independently of a data subject's mandate, has the right to lodge, in that Member State, a complaint with the supervisory authority which is competent pursuant to Article 77 and to exercise the rights referred to in Articles 78 and 79 if it considers that the rights of a data subject under this Regulation have been infringed as a result of the processing. | 2. Države članice mogu predvidjeti da svako tijelo, organizacija ili udruženje iz stavka 1. ovog članka, neovisno o mandatu ispitanika, ima pravo u toj državi članici podnijeti pritužbu nadzornom tijelu nadležnom u skladu s člankom 77. i ostvarivati prava iz članaka 78. i 79. ako smatra da su uslijed obrade osobnih podataka prekršena prava ispitanika iz ove Uredbe. |
| Artikel 81 | Article 81 | Članak 81. |
| Aussetzung des Verfahrens | Suspension of proceedings | Suspenzija postupka |
| (1) Erhält ein zuständiges Gericht in einem Mitgliedstaat Kenntnis von einem Verfahren zu demselben Gegenstand in Bezug auf die Verarbeitung durch denselben Verantwortlichen oder Auftragsverarbeiter, das vor einem Gericht in einem anderen Mitgliedstaat anhängig ist, so nimmt es mit diesem Gericht Kontakt auf, um sich zu vergewissern, dass ein solches Verfahren existiert. | 1. Where a competent court of a Member State has information on proceedings, concerning the same subject matter as regards processing by the same controller or processor, that are pending in a court in another Member State, it shall contact that court in the other Member State to confirm the existence of such proceedings. | 1. Ako nadležni sud države članice posjeduje informacije da je postupak u vezi s istim predmetom u smislu procesuiranja od istog voditelja obrade ili izvršitelja obrade u tijeku na sudu druge države članice, mora kontaktirati taj sud u drugoj državi članici kako bi potvrdio postojanje tog postupka. |
| (2) Ist ein Verfahren zu demselben Gegenstand in Bezug auf die Verarbeitung durch denselben Verantwortlichen oder Auftragsverarbeiter vor einem Gericht in einem anderen Mitgliedstaat anhängig, so kann jedes später angerufene zuständige Gericht das bei ihm anhängige Verfahren aussetzen. | 2. Where proceedings concerning the same subject matter as regards processing of the same controller or processor are pending in a court in another Member State, any competent court other than the court first seized may suspend its proceedings. | 2. Ako je postupak u vezi s istim predmetom u smislu procesuiranja od istog voditelja obrade ili izvršitelja obrade u tijeku na sudu u drugoj državi članici, svi nadležni sudovi osim suda pred kojim je prvo pokrenut postupak mogu suspendirati svoj postupak. |
| (3) Sind diese Verfahren in erster Instanz anhängig, so kann sich jedes später angerufene Gericht auf Antrag einer Partei auch für unzuständig erklären, wenn das zuerst angerufene Gericht für die betreffenden Klagen zuständig ist und die Verbindung der Klagen nach seinem Recht zulässig ist. | 3. Where those proceedings are pending at first instance, any court other than the court first seized may also, on the application of one of the parties, decline jurisdiction if the court first seized has jurisdiction over the actions in question and its law permits the consolidation thereof. | 3. Ako se vodi prvostupanjski postupak, svi sudovi osim suda pred kojim je prvo pokrenut postupak mogu također na zahtjev jedne od stranaka odbiti nadležnost, ako je sud pred kojim je prvo pokrenut postupak nadležan za odlučivanje u predmetnom postupku i ako njegovo pravo dopušta spajanje predmeta. |
| Artikel 82 | Article 82 | Članak 82. |
| Haftung und Recht auf Schadenersatz | Right to compensation and liability | Pravo na naknadu štete i odgovornost |
| (1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. | 1. Any person who has suffered material or non-material damage as a result of an infringement of this Regulation shall have the right to receive compensation from the controller or processor for the damage suffered. | 1. Svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove Uredbe ima pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu. |
| (2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat. | 2. Any controller involved in processing shall be liable for the damage caused by processing which infringes this Regulation. A processor shall be liable for the damage caused by processing only where it has not complied with obligations of this Regulation specifically directed to processors or where it has acted outside or contrary to lawful instructions of the controller. | 2. Svaki voditelj obrade koji je uključen u obradu odgovoran je za štetu prouzročenu obradom kojom se krši ova Uredba. Izvršitelj obrade je odgovoran za štetu prouzročenu obradom samo ako nije poštovao obveze iz ove Uredbe koje su posebno namijenjene izvršiteljima obrade ili je djelovao izvan zakonitih uputa voditelja obrade ili protivno njima. |
| (3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. | 3. A controller or processor shall be exempt from liability under paragraph 2 if it proves that it is not in any way responsible for the event giving rise to the damage. | 3. Voditelj obrade ili izvršitelj obrade izuzet je od odgovornosti na temelju stavka 2. ako dokaže da nije ni na koji način odgovoran za događaj koji je prouzročio štetu. |
| (4) Ist mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie gemäß den Absätzen 2 und 3 für einen durch die Verarbeitung verursachten Schaden verantwortlich, so haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist. | 4. Where more than one controller or processor, or both a controller and a processor, are involved in the same processing and where they are, under paragraphs 2 and 3, responsible for any damage caused by processing, each controller or processor shall be held liable for the entire damage in order to ensure effective compensation of the data subject. | 4. Ako je u istu obradu uključeno više od jednog voditelja obrade ili izvršitelja obrade ili su u istu obradu uključeni i voditelj obrade i izvršitelj obrade i ako su, u skladu sa stavcima 2. i 3., odgovorni za bilo kakvu štetu prouzročenu obradom, svaki voditelj obrade ili izvršitelj obrade smatra se odgovornim za cjelokupnu štetu kako bi se osigurala učinkovita naknada ispitaniku. |
| (5) Hat ein Verantwortlicher oder Auftragsverarbeiter gemäß Absatz 4 vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist dieser Verantwortliche oder Auftragsverarbeiter berechtigt, von den übrigen an derselben Verarbeitung beteiligten für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeitern den Teil des Schadenersatzes zurückzufordern, der unter den in Absatz 2 festgelegten Bedingungen ihrem Anteil an der Verantwortung für den Schaden entspricht. | 5. Where a controller or processor has, in accordance with paragraph 4, paid full compensation for the damage suffered, that controller or processor shall be entitled to claim back from the other controllers or processors involved in the same processing that part of the compensation corresponding to their part of responsibility for the damage, in accordance with the conditions set out in paragraph 2. | 5. Ako je voditelj obrade ili izvršitelj obrade, u skladu sa stavkom 4., platio punu odštetu za pretrpljenu štetu, taj voditelj obrade ili izvršitelj obrade ima pravo zatražiti od drugih voditelja obrade ili izvršitelja obrade koji su uključeni u istu obradu dio odštete koji odgovara njihovu udjelu u odgovornosti za štetu u skladu s uvjetima iz stavka 2. |
| (6) Mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz sind die Gerichte zu befassen, die nach den in Artikel 79 Absatz 2 genannten Rechtsvorschriften des Mitgliedstaats zuständig sind. | 6. Court proceedings for exercising the right to receive compensation shall be brought before the courts competent under the law of the Member State referred to in Article 79(2). | 6. Sudski postupak za ostvarivanje prava na naknadu štete vodi se pred sudovima koji su nadležni prema pravu države članice iz članka 79. stavka 2. |
| Artikel 83 | Article 83 | Članak 83. |
| Allgemeine Bedingungen für die Verhängung von Geldbußen | General conditions for imposing administrative fines | Opći uvjeti za izricanje upravnih novčanih kazni |
| (1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. | 1. Each supervisory authority shall ensure that the imposition of administrative fines pursuant to this Article in respect of infringements of this Regulation referred to in paragraphs 4, 5 and 6 shall in each individual case be effective, proportionate and dissuasive. | 1. Svako nadzorno tijelo osigurava da je izricanje upravnih novčanih kazni u skladu s ovim člankom u pogledu kršenja ove Uredbe iz stavaka 4., 5. i 6. u svakom pojedinačnom slučaju učinkovito, proporcionalno i odvraćajuće. |
| (2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt: | 2. Administrative fines shall, depending on the circumstances of each individual case, be imposed in addition to, or instead of, measures referred to in points (a) to (h) and (j) of Article 58(2). When deciding whether to impose an administrative fine and deciding on the amount of the administrative fine in each individual case due regard shall be given to the following: | 2. Upravne novčane kazne izriču se uz mjere ili umjesto mjera iz članka 58. stavka 2. točaka od (a) do (h) i članka 58. stavka 2. točke (j), ovisno o okolnostima svakog pojedinog slučaja. Pri odlučivanju o izricanju upravne novčane kazne i odlučivanju o iznosu te upravne novčane kazne u svakom pojedinom slučaju dužna se pozornost posvećuje sljedećem: |
| a) | Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens; | (a) | the nature, gravity and duration of the infringement taking into account the nature scope or purpose of the processing concerned as well as the number of data subjects affected and the level of damage suffered by them; | (a) | prirodi, težini i trajanju kršenja, uzimajući u obzir narav, opseg i svrhu obrade o kojoj je riječ kao i broj ispitanika i razinu štete koju su pretrpjeli; |
| b) | Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; | (b) | the intentional or negligent character of the infringement; | (b) | ima li kršenje obilježje namjere ili nepažnje; |
| c) | jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; | (c) | any action taken by the controller or processor to mitigate the damage suffered by data subjects; | (c) | svakoj radnji koju je voditelj obrade ili izvršitelj obrade poduzeo kako bi ublažio štetu koju su pretrpjeli ispitanici; |
| d) | Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen; | (d) | the degree of responsibility of the controller or processor taking into account technical and organisational measures implemented by them pursuant to Articles 25 and 32; | (d) | stupnju odgovornosti voditelja obrade ili izvršitelja obrade uzimajući u obzir tehničke i organizacijske mjere koje su primijenili u skladu s člancima 25. i 32.; |
| e) | etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters; | (e) | any relevant previous infringements by the controller or processor; | (e) | svim relevantnim prijašnjim kršenjima voditelja obrade ili izvršitelja obrade; |
| f) | Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern; | (f) | the degree of cooperation with the supervisory authority, in order to remedy the infringement and mitigate the possible adverse effects of the infringement; | (f) | stupnju suradnje s nadzornim tijelom kako bi se otklonilo kršenje i ublažili mogući štetni učinci tog kršenja; |
| g) | Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind; | (g) | the categories of personal data affected by the infringement; | (g) | kategorijama osobnih podataka na koje kršenje utječe; |
| h) | Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat; | (h) | the manner in which the infringement became known to the supervisory authority, in particular whether, and if so to what extent, the controller or processor notified the infringement; | (h) | načinu na koji je nadzorno tijelo doznalo za kršenje, osobito je li i u kojoj mjeri voditelj obrade ili izvršitelj obrade izvijestio o kršenju; |
| i) | Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden; | (i) | where measures referred to in Article 58(2) have previously been ordered against the controller or processor concerned with regard to the same subject-matter, compliance with those measures; | (i) | ako su protiv dotičnog voditelja obrade ili izvršitelja obrade u vezi s istim predmetom prethodno izrečene mjere iz članka 58. stavka 2., poštovanju tih mjera; |
| j) | Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und | (j) | adherence to approved codes of conduct pursuant to Article 40 or approved certification mechanisms pursuant to Article 42; and | (j) | poštovanju odobrenih kodeksa ponašanja u skladu s člankom 40. ili odobrenih mehanizama certificiranja u skladu s člankom 42.; i |
| k) | jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste. | (k) | any other aggravating or mitigating factor applicable to the circumstances of the case, such as financial benefits gained, or losses avoided, directly or indirectly, from the infringement. | (k) | svim ostalim otegotnim ili olakotnim čimbenicima koji su primjenjivi na okolnosti slučaja, kao što su financijska dobit ostvarena kršenjem ili gubici izbjegnuti, izravno ili neizravno, tim kršenjem. |
| (3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß. | 3. If a controller or processor intentionally or negligently, for the same or linked processing operations, infringes several provisions of this Regulation, the total amount of the administrative fine shall not exceed the amount specified for the gravest infringement. | 3. Ako voditelj obrade ili izvršitelj obrade za istu ili povezane obrade namjerno ili iz nepažnje prekrši nekoliko odredaba ove Uredbe ukupan iznos novčane kazne ne smije biti veći od administrativnog iznosa utvrđenog za najteže kršenje. |
| (4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: | 4. Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 10 000 000 EUR, or in the case of an undertaking, up to 2 % of the total worldwide annual turnover of the preceding financial year, whichever is higher: | 4. Za kršenja sljedećih odredaba, u skladu sa stavkom 2., mogu se izreći upravne novčane kazne u iznosu do 10 000 000 EUR, ili u slučaju poduzetnika do 2 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće: |
| a) | die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43; | (a) | the obligations of the controller and the processor pursuant to Articles 8, 11, 25 to 39 and 42 and 43; | (a) | obveza voditelja obrade i izvršitelja obrade u skladu s člancima 8., 11., od 25. do 39., te 42. i 43.; |
| b) | die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43; | (b) | the obligations of the certification body pursuant to Articles 42 and 43; | (b) | obveza certifikacijskog tijela u skladu s člancima 42. i 43.; |
| c) | die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4. | (c) | the obligations of the monitoring body pursuant to Article 41(4). | (c) | obveza tijela za praćenje u skladu s člankom 41.stavkom 4.; |
| (5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: | 5. Infringements of the following provisions shall, in accordance with paragraph 2, be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher: | 5. Za kršenja sljedećih odredaba, u skladu sa stavkom 2.a, mogu se izreći upravne novčane kazne u iznosu do 20 000 000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće: |
| a) | die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9; | (a) | the basic principles for processing, including conditions for consent, pursuant to Articles 5, 6, 7 and 9; | (a) | osnovnih načela za obradu, što uključuje uvjete privole u skladu s člancima 5., 6., 7. i 9.; |
| b) | die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22; | (b) | the data subjects' rights pursuant to Articles 12 to 22; | (b) | prava ispitanika u skladu s člancima od 12. do 22.; |
| c) | die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49; | (c) | the transfers of personal data to a recipient in a third country or an international organisation pursuant to Articles 44 to 49; | (c) | prijenosa osobnih podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji u skladu s člancima od 44. do 49.; |
| d) | alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden; | (d) | any obligations pursuant to Member State law adopted under Chapter IX; | (d) | svih obveza u skladu s pravom države članice donesenim na temelju poglavlja IX.; |
| e) | Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1. | (e) | non-compliance with an order or a temporary or definitive limitation on processing or the suspension of data flows by the supervisory authority pursuant to Article 58(2) or failure to provide access in violation of Article 58(1). | (e) | nepoštovanja naredbe ili privremenog ili trajnog ograničenje obrade ili suspenzije protoka podataka nadzornog tijela u skladu s člankom 58. stavkom 2. ili uskraćivanje pristupa kršenjem članka 58. stavka 1. |
| (6) Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. | 6. Non-compliance with an order by the supervisory authority as referred to in Article 58(2) shall, in accordance with paragraph 2 of this Article, be subject to administrative fines up to 20 000 000 EUR, or in the case of an undertaking, up to 4 % of the total worldwide annual turnover of the preceding financial year, whichever is higher. | 6. Za nepoštovanje naredbe nadzornog tijela iz članka 58. stavka 2. u skladu sa stavkom 2. ovog članka mogu se izreći upravne novčane kazne u iznosu do 20 000 000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće. |
| (7) Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können. | 7. Without prejudice to the corrective powers of supervisory authorities pursuant to Article 58(2), each Member State may lay down the rules on whether and to what extent administrative fines may be imposed on public authorities and bodies established in that Member State. | 7. Ne dovodeći u pitanje korektivne ovlasti nadzornih tijela iz članka 58. stavka 2. svaka država članica može utvrditi pravila mogu li se i u kojoj mjeri tijelima javne vlasti ili tijelima s poslovnim nastanom u toj državi članici izreći upravne novčane kazne. |
| (8) Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen. | 8. The exercise by the supervisory authority of its powers under this Article shall be subject to appropriate procedural safeguards in accordance with Union and Member State law, including effective judicial remedy and due process. | 8. Na izvršavanje ovlasti nadzornog tijela u skladu s ovim člankom primjenjuju se odgovarajuće postupovne zaštitne mjere u skladu s pravom Unije i pravom države članice, uključujući učinkoviti pravni lijek i pravilno postupanje. |
| (9) Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbußen vor, kann dieser Artikel so angewandt werden, dass die Geldbuße von der zuständigen Aufsichtsbehörde in die Wege geleitet und von den zuständigen nationalen Gerichten verhängt wird, wobei sicherzustellen ist, dass diese Rechtsbehelfe wirksam sind und die gleiche Wirkung wie die von Aufsichtsbehörden verhängten Geldbußen haben. In jeden Fall müssen die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein. Die betreffenden Mitgliedstaaten teilen der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften mit, die sie aufgrund dieses Absatzes erlassen, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften. | 9. Where the legal system of the Member State does not provide for administrative fines, this Article may be applied in such a manner that the fine is initiated by the competent supervisory authority and imposed by competent national courts, while ensuring that those legal remedies are effective and have an equivalent effect to the administrative fines imposed by supervisory authorities. In any event, the fines imposed shall be effective, proportionate and dissuasive. Those Member States shall notify to the Commission the provisions of their laws which they adopt pursuant to this paragraph by 25 May 2018 and, without delay, any subsequent amendment law or amendment affecting them. | 9. Ako pravnim sustavom države članice nisu predviđene upravne novčane kazne, ovaj se članak može primjenjivati na način da novčanu kaznu pokreće nadležno nadzorno tijelo, a izriču je nadležni nacionalni sudovi pritom osiguravajući da su ta pravna sredstva učinkovita i imaju istovrijedan učinak kao i upravne novčane kazne koje izriču nadzorna tijela. U svakom slučaju novčane kazne koje se izriču moraju biti učinkovite, proporcionalne i odvraćajuće. Te države članice najkasnije do 25. svibnja 2018. obavješćuju Komisiju o odredbama svojih zakona koje donesu u skladu s ovim stavkom te, bez odgode, o svim daljnjim izmjenama zakona ili izmjeni koja na njih utječe. |
| Artikel 84 | Article 84 | Članak 84. |
| Sanktionen | Penalties | Sankcije |
| (1) Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung — insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen — fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. | 1. Member States shall lay down the rules on other penalties applicable to infringements of this Regulation in particular for infringements which are not subject to administrative fines pursuant to Article 83, and shall take all measures necessary to ensure that they are implemented. Such penalties shall be effective, proportionate and dissuasive. | 1. Države članice utvrđuju pravila o ostalim sankcijama koje se primjenjuju na kršenja odredaba ove Uredbe, te poduzimaju sve potrebne mjere kako bi se osigurala njihova provedba. Te sankcije moraju biti učinkovite, proporcionalne i odvraćajuće. |
| (2) Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit. | 2. Each Member State shall notify to the Commission the provisions of its law which it adopts pursuant to paragraph 1, by 25 May 2018 and, without delay, any subsequent amendment affecting them. | 2. Svaka država članica priopćuje Komisiji odredbe svojih zakona koje je donijela u skladu sa stavkom 1. do 25. svibnja 2018. i bez odgađanja o svakoj sljedećoj izmjeni koja na njih utječe. |
| KAPITEL IX | CHAPTER IX | POGLAVLJE IX. |
| Vorschriften für besondere Verarbeitungssituationen | Provisions relating to specific processing situations | Odredbe u vezi s posebnim situacijama obrade |
| Artikel 85 | Article 85 | Članak 85. |
| Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit | Processing and freedom of expression and information | Obrada i sloboda izražavanja i informiranja |
| (1) Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang. | 1. Member States shall by law reconcile the right to the protection of personal data pursuant to this Regulation with the right to freedom of expression and information, including processing for journalistic purposes and the purposes of academic, artistic or literary expression. | 1. Države članice zakonom usklađuju pravo na zaštitu osobnih podataka u skladu s ovom Uredbom s pravom na slobodu izražavanja i informiranja, što uključuje obradu u novinarske svrhe i svrhe akademskog, umjetničkog ili književnog izražavanja. |
| (2) Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. | 2. For processing carried out for journalistic purposes or the purpose of academic artistic or literary expression, Member States shall provide for exemptions or derogations from Chapter II (principles), Chapter III (rights of the data subject), Chapter IV (controller and processor), Chapter V (transfer of personal data to third countries or international organisations), Chapter VI (independent supervisory authorities), Chapter VII (cooperation and consistency) and Chapter IX (specific data processing situations) if they are necessary to reconcile the right to the protection of personal data with the freedom of expression and information. | 2. U vezi s obradom koja se obavlja u novinarske svrhe ili u svrhe akademskog, umjetničkog ili književnog izražavanja, države članice predviđaju izuzeća ili odstupanja od poglavlja II. (načela), poglavlja III. (prava ispitanika), poglavlja IV. (voditelj obrade i izvršitelj obrade), poglavlja V. (prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama), poglavlja VI. (neovisna nadzorna tijela), poglavlja VII. (suradnja i konzistentnost) i poglavlja IX. (posebne situacije obrade) ako su ona potrebna kako bi se uskladilo pravo na zaštitu osobnih podataka sa slobodom izražavanja i informiranja. |
| (3) Jeder Mitgliedstaat teilt der Kommission die Rechtsvorschriften, die er aufgrund von Absatz 2 erlassen hat, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften mit. | 3. Each Member State shall notify to the Commission the provisions of its law which it has adopted pursuant to paragraph 2 and, without delay, any subsequent amendment law or amendment affecting them. | 3. Svaka država članica Komisiji priopćuje odredbe svojih zakona koje je donijela u skladu sa stavkom 2. te, bez odgode, o svim daljnjim izmjenama zakona ili izmjeni koja na njih utječe. |
| Artikel 86 | Article 86 | Članak 86. |
| Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten | Processing and public access to official documents | Obrada i javni pristup službenim dokumentima |
| Personenbezogene Daten in amtlichen Dokumenten, die sich im Besitz einer Behörde oder einer öffentlichen Einrichtung oder einer privaten Einrichtung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe befinden, können von der Behörde oder der Einrichtung gemäß dem Unionsrecht oder dem Recht des Mitgliedstaats, dem die Behörde oder Einrichtung unterliegt, offengelegt werden, um den Zugang der Öffentlichkeit zu amtlichen Dokumenten mit dem Recht auf Schutz personenbezogener Daten gemäß dieser Verordnung in Einklang zu bringen. | Personal data in official documents held by a public authority or a public body or a private body for the performance of a task carried out in the public interest may be disclosed by the authority or body in accordance with Union or Member State law to which the public authority or body is subject in order to reconcile public access to official documents with the right to the protection of personal data pursuant to this Regulation. | Tijelo javne vlasti, javno ili privatno tijelo može otkriti osobne podatke iz službenih dokumenata koje posjeduje to tijelo javne vlasti ili to tijelo u svrhu obavljanja zadaće u javnom interesu u skladu s pravom Unije ili pravom države članice koje se primjenjuje na to tijelo javne vlasti ili to tijelo kako bi se uskladio javni pristup službenim dokumentima s pravom na zaštitu osobnih podataka u skladu s ovom Uredbom. |
| Artikel 87 | Article 87 | Članak 87. |
| Verarbeitung der nationalen Kennziffer | Processing of the national identification number | Obrada nacionalnog identifikacijskog broja |
| Die Mitgliedstaaten können näher bestimmen, unter welchen spezifischen Bedingungen eine nationale Kennziffer oder andere Kennzeichen von allgemeiner Bedeutung Gegenstand einer Verarbeitung sein dürfen. In diesem Fall darf die nationale Kennziffer oder das andere Kennzeichen von allgemeiner Bedeutung nur unter Wahrung geeigneter Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung verwendet werden. | Member States may further determine the specific conditions for the processing of a national identification number or any other identifier of general application. In that case the national identification number or any other identifier of general application shall be used only under appropriate safeguards for the rights and freedoms of the data subject pursuant to this Regulation. | Države članice mogu dodatno utvrditi posebne uvjete za obradu nacionalnog identifikacijskog broja ili bilo kojeg drugog identifikatora opće primjene. U tom se slučaju nacionalni identifikacijski broj ili bilo koji drugi identifikator opće primjene upotrebljava samo uz primjenu odgovarajućih zaštitnih mjera u pogledu prava i sloboda ispitanika u skladu s ovom Uredbom. |
| Artikel 88 | Article 88 | Članak 88. |
| Datenverarbeitung im Beschäftigungskontext | Processing in the context of employment | Obrada u kontekstu zaposlenja |
| (1) Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarung en festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen. | 1. Member States may, by law or by collective agreements, provide for more specific rules to ensure the protection of the rights and freedoms in respect of the processing of employees' personal data in the employment context, in particular for the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organisation of work, equality and diversity in the workplace, health and safety at work, protection of employer's or customer's property and for the purposes of the exercise and enjoyment, on an individual or collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship. | 1. Države članice mogu zakonom ili kolektivnim ugovorima predvidjeti preciznija pravila s ciljem osiguravanja zaštite prava i sloboda u vezi s obradom osobnih podataka zaposlenika u kontekstu zaposlenja, osobito za potrebe zapošljavanja, izvršavanja ugovora o radu, što uključuje ispunjavanje zakonski propisanih obveza ili obveza propisanih kolektivnim ugovorima, za potrebe upravljanja, planiranja i organizacije rada, jednakosti i različitosti na radnome mjestu, zdravlja i sigurnosti na radu, zaštite imovine poslodavca ili klijenta i za potrebe ostvarenja i uživanja prava i koristi iz radnog odnosa, na individualnoj ili kolektivnoj osnovi, te za potrebe prestanka radnog odnosa. |
| (2) Diese Vorschriften umfassen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz. | 2. Those rules shall include suitable and specific measures to safeguard the data subject's human dignity, legitimate interests and fundamental rights, with particular regard to the transparency of processing, the transfer of personal data within a group of undertakings, or a group of enterprises engaged in a joint economic activity and monitoring systems at the work place. | 2. Ta pravila uključuju prikladne i posebne mjere za zaštitu ljudskog dostojanstva ispitanika, njegovih legitimnih interesa i temeljnih prava, posebno u odnosu na transparentnost obrade, prijenos osobnih podataka unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću i sustavâ praćenja na radnom mjestu. |
| (3) Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit. | 3. Each Member State shall notify to the Commission those provisions of its law which it adopts pursuant to paragraph 1, by 25 May 2018 and, without delay, any subsequent amendment affecting them. | 3. Svaka država članica priopćuje Komisiji te odredbe svojih zakona koje je donijela u skladu sa stavkom 1. do 25. svibnja 2018. i bez odgađanja o svakoj sljedećoj izmjeni koja na njih utječe. |
| Artikel 89 | Article 89 | Članak 89. |
| Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken | Safeguards and derogations relating to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes | Zaštitne mjere i odstupanja vezano za obradu u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe |
| (1) Die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken unterliegt geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung. Mit diesen Garantien wird sichergestellt, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören, sofern es möglich ist, diese Zwecke auf diese Weise zu erfüllen. In allen Fällen, in denen diese Zwecke durch die Weiterverarbeitung, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, erfüllt werden können, werden diese Zwecke auf diese Weise erfüllt. | 1. Processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, shall be subject to appropriate safeguards, in accordance with this Regulation, for the rights and freedoms of the data subject. Those safeguards shall ensure that technical and organisational measures are in place in particular in order to ensure respect for the principle of data minimisation. Those measures may include pseudonymisation provided that those purposes can be fulfilled in that manner. Where those purposes can be fulfilled by further processing which does not permit or no longer permits the identification of data subjects, those purposes shall be fulfilled in that manner. | 1. Na obradu u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe primjenjuju se odgovarajuće zaštitne mjere u skladu s ovom Uredbom u pogledu prava i sloboda ispitanika. Tim zaštitnim mjerama osigurava se da su na snazi tehničke i organizacijske mjere, posebno kako bi se zajamčilo načelo smanjenja količine podataka. Te mjere mogu uključivati pseudonimizaciju, pod uvjetom da se te svrhe mogu postići na taj način. Ako se te svrhe mogu postići daljnjom obradom koja ne dopušta ili više ne dopušta identifikaciju ispitanika, te se svrhe postižu na taj način. |
| (2) Werden personenbezogene Daten zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken verarbeitet, können vorbehaltlich der Bedingungen und Garantien gemäß Absatz 1 des vorliegenden Artikels im Unionsrecht oder im Recht der Mitgliedstaaten insoweit Ausnahmen von den Rechten gemäß der Artikel 15, 16, 18 und 21 vorgesehen werden, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung dieser Zwecke notwendig sind. | 2. Where personal data are processed for scientific or historical research purposes or statistical purposes, Union or Member State law may provide for derogations from the rights referred to in Articles 15, 16, 18 and 21 subject to the conditions and safeguards referred to in paragraph 1 of this Article in so far as such rights are likely to render impossible or seriously impair the achievement of the specific purposes, and such derogations are necessary for the fulfilment of those purposes. | 2. Ako se osobni podaci obrađuju u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, pravom Unije ili pravom države članice mogu se predvidjeti odstupanja od prava navedenih u člancima 15., 16., 18. i 21., uz primjenu uvjeta i mjera zaštite iz stavka 1. ovog članka, u mjeri u kojoj je vjerojatno da bi se takvim pravima moglo onemogućiti ili ozbiljno ugroziti postizanje tih posebnih svrha te su takva odstupanja neophodna za postizanje tih svrha. |
| (3) Werden personenbezogene Daten für im öffentlichen Interesse liegende Archivzwecke verarbeitet, können vorbehaltlich der Bedingungen und Garantien gemäß Absatz 1 des vorliegenden Artikels im Unionsrecht oder im Recht der Mitgliedstaaten insoweit Ausnahmen von den Rechten gemäß der Artikel 15, 16, 18, 19, 20 und 21 vorgesehen werden, als diese Rechte voraussichtlich die Verwirklichung der spezifischen Zwecke unmöglich machen oder ernsthaft beeinträchtigen und solche Ausnahmen für die Erfüllung dieser Zwecke notwendig sind. | 3. Where personal data are processed for archiving purposes in the public interest, Union or Member State law may provide for derogations from the rights referred to in Articles 15, 16, 18, 19, 20 and 21 subject to the conditions and safeguards referred to in paragraph 1 of this Article in so far as such rights are likely to render impossible or seriously impair the achievement of the specific purposes, and such derogations are necessary for the fulfilment of those purposes. | 3. Ako se osobni podaci obrađuju u svrhe arhiviranja u javnom interesu, pravom Unije ili pravom države članice mogu se predvidjeti odstupanja od prava navedenih u člancima 15., 16., 18., 19., 20. i 21., uz primjenu uvjeta i mjera zaštite iz stavka 1. ovog članka, u mjeri u kojoj je vjerojatno da bi se takvim pravima moglo onemogućiti ili ozbiljno ugroziti postizanje tih posebnih svrha te su takva odstupanja neophodna za postizanje tih svrha. |
| (4) Dient die in den Absätzen 2 und 3 genannte Verarbeitung gleichzeitig einem anderen Zweck, gelten die Ausnahmen nur für die Verarbeitung zu den in diesen Absätzen genannten Zwecken. | 4. Where processing referred to in paragraphs 2 and 3 serves at the same time another purpose, the derogations shall apply only to processing for the purposes referred to in those paragraphs. | 4. Ako obrada navedena u stavcima 2. i 3. istovremeno služi i drugoj svrsi, odstupanja se primjenjuju samo za obradu u svrhe koje su navedene u tim stavcima. |
| Artikel 90 | Article 90 | Članak 90. |
| Geheimhaltungspflichten | Obligations of secrecy | Obveze tajnosti |
| (1) Die Mitgliedstaaten können die Befugnisse der Aufsichtsbehörden im Sinne des Artikels 58 Absatz 1 Buchstaben e und f gegenüber den Verantwortlichen oder den Auftragsverarbeitern, die nach Unionsrecht oder dem Recht der Mitgliedstaaten oder nach einer von den zuständigen nationalen Stellen erlassenen Verpflichtung dem Berufsgeheimnis oder einer gleichwertigen Geheimhaltungspflicht unterliegen, regeln, soweit dies notwendig und verhältnismäßig ist, um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht zur Geheimhaltung in Einklang zu bringen. Diese Vorschriften gelten nur in Bezug auf personenbezogene Daten, die der Verantwortliche oder der Auftragsverarbeiter bei einer Tätigkeit erlangt oder erhoben hat, die einer solchen Geheimhaltungspflicht unterliegt. | 1. Member States may adopt specific rules to set out the powers of the supervisory authorities laid down in points (e) and (f) of Article 58(1) in relation to controllers or processors that are subject, under Union or Member State law or rules established by national competent bodies, to an obligation of professional secrecy or other equivalent obligations of secrecy where this is necessary and proportionate to reconcile the right of the protection of personal data with the obligation of secrecy. Those rules shall apply only with regard to personal data which the controller or processor has received as a result of or has obtained in an activity covered by that obligation of secrecy. | 1. Države članice mogu donositi posebna pravila za utvrđivanje ovlasti nadzornih tijela iz članka 58. stavka 1.točaka (e) i (f) u pogledu voditelja obrade ili izvršitelja obrade koji, na temelju prava Unije ili prava države članice ili na temelju pravila koja su donijela nacionalna nadležna tijela, podliježu obvezi profesionalne tajne i drugim jednakovrijednim obvezama tajnosti, ako je to nužno i razmjerno kako bi se uskladilo pravo na zaštitu osobnih podataka s obvezom tajnosti. Ta se pravila primjenjuju samo na osobne podatke koje je voditelj obrade ili izvršitelj obrade dobio kao rezultat, ili primio tijekom aktivnosti koja je obuhvaćena obvezom tajnosti. |
| (2) Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Vorschriften mit, die er aufgrund von Absatz 1 erlässt, und setzt sie unverzüglich von allen weiteren Änderungen dieser Vorschriften in Kenntnis. | 2. Each Member State shall notify to the Commission the rules adopted pursuant to paragraph 1, by 25 May 2018 and, without delay, any subsequent amendment affecting them. | 2. Svaka država članica priopćuje Komisiji pravila donesena na temelju stavka 1. do 25. svibnja 2018. i bez odgađanja o svakoj sljedećoj izmjeni koja na njih utječe. |
| Artikel 91 | Article 91 | Članak 91. |
| Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften | Existing data protection rules of churches and religious associations | Postojeća pravila o zaštiti podataka crkava i vjerskih udruženja |
| (1) Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden. | 1. Where in a Member State, churches and religious associations or communities apply, at the time of entry into force of this Regulation, comprehensive rules relating to the protection of natural persons with regard to processing, such rules may continue to apply, provided that they are brought into line with this Regulation. | 1. Ako crkve i vjerska udruženja ili zajednice u državi članici primjenjuju, u vrijeme stupanja na snagu ove Uredbe, sveobuhvatna pravila u pogledu zaštite pojedinaca s obzirom na obradu, ta postojeća pravila mogu se i dalje primjenjivati pod uvjetom da se usklade s ovom Uredbom. |
| (2) Kirchen und religiöse Vereinigungen oder Gemeinschaften, die gemäß Absatz 1 umfassende Datenschutzregeln anwenden, unterliegen der Aufsicht durch eine unabhängige Aufsichtsbehörde, die spezifischer Art sein kann, sofern sie die in Kapitel VI niedergelegten Bedingungen erfüllt. | 2. Churches and religious associations which apply comprehensive rules in accordance with paragraph 1 of this Article shall be subject to the supervision of an independent supervisory authority, which may be specific, provided that it fulfils the conditions laid down in Chapter VI of this Regulation. | 2. Crkve i vjerska udruženja koje primjenjuju sveobuhvatna pravila u skladu sa stavkom 1. ovog članka nadzire neovisno nadzorno tijelo koje može biti posebno tijelo, pod uvjetom da ispunjava uvjete utvrđene poglavljem VI. ove Uredbe. |
| KAPITEL X | CHAPTER X | POGLAVLJE X. |
| Delegierte Rechtsakte und Durchführungsrechtsakte | Delegated acts and implementing acts | Delegirani akti i provedbeni akti |
| Artikel 92 | Article 92 | Članak 92. |
| Ausübung der Befugnisübertragung | Exercise of the delegation | Izvršavanje delegiranja ovlasti |
| (1) Die Befugnis zum Erlass delegierter Rechtsakte wird der Kommission unter den in diesem Artikel festgelegten Bedingungen übertragen. | 1. The power to adopt delegated acts is conferred on the Commission subject to the conditions laid down in this Article. | 1. Ovlast za donošenje delegiranih akata dodjeljuje se Komisiji podložno uvjetima utvrđenima u ovom članku. |
| (2) Die Befugnis zum Erlass delegierter Rechtsakte gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 wird der Kommission auf unbestimmte Zeit ab dem 24. Mai 2016 übertragen. | 2. The delegation of power referred to in Article 12(8) and Article 43(8) shall be conferred on the Commission for an indeterminate period of time from 24 May 2016. | 2. Ovlast za donošenje delegiranih akata iz članka 12. stavka 8. i članka 43. stavka 8. dodjeljuje se Komisiji na neodređeno vrijeme počevši od 24. svibnja 2016. |
| (3) Die Befugnisübertragung gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 kann vom Europäischen Parlament oder vom Rat jederzeit widerrufen werden. Der Beschluss über den Widerruf beendet die Übertragung der in diesem Beschluss angegebenen Befugnis. Er wird am Tag nach seiner Veröffentlichung im Amtsblatt der Europäischen Union oder zu einem im Beschluss über den Widerruf angegebenen späteren Zeitpunkt wirksam. Die Gültigkeit von delegierten Rechtsakten, die bereits in Kraft sind, wird von dem Beschluss über den Widerruf nicht berührt. | 3. The delegation of power referred to in Article 12(8) and Article 43(8) may be revoked at any time by the European Parliament or by the Council. A decision of revocation shall put an end to the delegation of power specified in that decision. It shall take effect the day following that of its publication in the Official Journal of the European Union or at a later date specified therein. It shall not affect the validity of any delegated acts already in force. | 3. Europski parlament ili Vijeće u svakom trenutku mogu opozvati delegiranje ovlasti iz članka 12. stavka 8. i članka 43. stavka 8. Odlukom o opozivu prekida se delegiranje ovlasti koje je u njoj navedeno. Odluka o opozivu počinje proizvoditi učinke sljedećeg dana od dana objave spomenute odluke u Službenom listu Europske unije ili na kasniji dan naveden u spomenutoj odluci. On ne utječe na valjanost delegiranih akata koji su već na snazi. |
| (4) Sobald die Kommission einen delegierten Rechtsakt erlässt, übermittelt sie ihn gleichzeitig dem Europäischen Parlament und dem Rat. | 4. As soon as it adopts a delegated act, the Commission shall notify it simultaneously to the European Parliament and to the Council. | 4. Čim donese delegirani akt, Komisija ga istodobno priopćuje Europskom parlamentu i Vijeću. |
| (5) Ein delegierter Rechtsakt, der gemäß Artikel 12 Absatz 8 und Artikel 43 Absatz 8 erlassen wurde, tritt nur in Kraft, wenn weder das Europäische Parlament noch der Rat innerhalb einer Frist von drei Monaten nach Übermittlung dieses Rechtsakts an das Europäische Parlament und den Rat Einwände erhoben haben oder wenn vor Ablauf dieser Frist das Europäische Parlament und der Rat beide der Kommission mitgeteilt haben, dass sie keine Einwände erheben werden. Auf Veranlassung des Europäischen Parlaments oder des Rates wird diese Frist um drei Monate verlängert. | 5. A delegated act adopted pursuant to Article 12(8) and Article 43(8) shall enter into force only if no objection has been expressed by either the European Parliament or the Council within a period of three months of notification of that act to the European Parliament and the Council or if, before the expiry of that period, the European Parliament and the Council have both informed the Commission that they will not object. That period shall be extended by three months at the initiative of the European Parliament or of the Council. | 5. Delegirani akt donesen na temelju članka 12. stavka 8. i članka 43. stavka 8. stupa na snagu samo ako Europski parlament ili Vijeće u roku od tri mjeseca od priopćenja tog akta Europskom parlamentu i Vijeću na njega ne podnesu nikakav prigovor ili ako su prije isteka tog roka i Europski parlament i Vijeće obavijestili Komisiju da neće uložiti prigovore. Taj se rok produljuje za tri mjeseca na inicijativu Europskog parlamenta ili Vijeća. |
| Artikel 93 | Article 93 | Članak 93. |
| Ausschussverfahren | Committee procedure | Postupak odbora |
| (1) Die Kommission wird von einem Ausschuss unterstützt. Dieser Ausschuss ist ein Ausschuss im Sinne der Verordnung (EU) Nr. 182/2011. | 1. The Commission shall be assisted by a committee. That committee shall be a committee within the meaning of Regulation (EU) No 182/2011. | 1. Komisiji pomaže odbor. Navedeni odbor je odbor u smislu Uredbe (EU) br. 182/2011. |
| (2) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 5 der Verordnung (EU) Nr. 182/2011. | 2. Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply. | 2. Pri upućivanju na ovaj stavak, primjenjuje se članak 5. Uredbe (EU) br. 182/2011. |
| (3) Wird auf diesen Absatz Bezug genommen, so gilt Artikel 8 der Verordnung (EU) Nr. 182/2011 in Verbindung mit deren Artikel 5. | 3. Where reference is made to this paragraph, Article 8 of Regulation (EU) No 182/2011, in conjunction with Article 5 thereof, shall apply. | 3. Pri upućivanju na ovaj stavak, primjenjuje se članak 8. Uredbe (EU) br. 182/2011 zajedno s njezinim člankom 5. |
| KAPITEL XI | CHAPTER XI | POGLAVLJE XI. |
| Schlussbestimmungen | Final provisions | Završne odredbe |
| Artikel 94 | Article 94 | Članak 94. |
| Aufhebung der Richtlinie 95/46/EG | Repeal of Directive 95/46/EC | Stavljanje izvan snage Direktive 95/46/EZ |
| (1) Die Richtlinie 95/46/EG wird mit Wirkung vom 25. Mai 2018 aufgehoben. | 1. Directive 95/46/EC is repealed with effect from 25 May 2018. | 1. Direktiva 95/46/EZ stavlja se izvan snage s učinkom od 25. svibnja 2018. |
| (2) Verweise auf die aufgehobene Richtlinie gelten als Verweise auf die vorliegende Verordnung. Verweise auf die durch Artikel 29 der Richtlinie 95/46/EG eingesetzte Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten gelten als Verweise auf den kraft dieser Verordnung errichteten Europäischen Datenschutzausschuss. | 2. References to the repealed Directive shall be construed as references to this Regulation. References to the Working Party on the Protection of Individuals with regard to the Processing of Personal Data established by Article 29 of Directive 95/46/EC shall be construed as references to the European Data Protection Board established by this Regulation. | 2. Upućivanja na direktivu koja je stavljena izvan snage tumače se kao upućivanja na ovu Uredbu. Upućivanja na Radnu skupinu o zaštiti pojedinaca s obzirom na obradu osobnih podataka osnovanu člankom 29. Direktive 95/46/EZ tumače se kao upućivanja na Europski odbor za zaštitu podataka osnovan ovom Uredbom. |
| Artikel 95 | Article 95 | Članak 95. |
| Verhältnis zur Richtlinie 2002/58/EG | Relationship with Directive 2002/58/EC | Odnos s Direktivom 2002/58/EZ |
| Diese Verordnung erlegt natürlichen oder juristischen Personen in Bezug auf die Verarbeitung in Verbindung mit der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen in der Union keine zusätzlichen Pflichten auf, soweit sie besonderen in der Richtlinie 2002/58/EG festgelegten Pflichten unterliegen, die dasselbe Ziel verfolgen. | This Regulation shall not impose additional obligations on natural or legal persons in relation to processing in connection with the provision of publicly available electronic communications services in public communication networks in the Union in relation to matters for which they are subject to specific obligations with the same objective set out in Directive 2002/58/EC. | Ovom Uredbom ne propisuju se dodatne obveze fizičkim ili pravnim osobama u pogledu obrade u vezi s pružanjem javno dostupnih elektroničkih komunikacijskih usluga u javnim komunikacijskim mrežama u Uniji povezanih s pitanjima u pogledu kojih vrijede posebne obveze s istim ciljem iz Direktive 2002/58/EZ. |
| Artikel 96 | Article 96 | Članak 96. |
| Verhältnis zu bereits geschlossenen Übereinkünften | Relationship with previously concluded Agreements | Odnos s prethodno sklopljenim sporazumima |
| Internationale Übereinkünfte, die die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen mit sich bringen, die von den Mitgliedstaaten vor dem 24. Mai 2016 abgeschlossen wurden und die im Einklang mit dem vor diesem Tag geltenden Unionsrecht stehen, bleiben in Kraft, bis sie geändert, ersetzt oder gekündigt werden. | International agreements involving the transfer of personal data to third countries or international organisations which were concluded by Member States prior to 24 May 2016, and which comply with Union law as applicable prior to that date, shall remain in force until amended, replaced or revoked. | Međunarodni sporazumi koji uključuju prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama koje su države članice sklopile prije 24. svibnja 2016., a koji su u skladu s pravom Unije primjenjivim prije tog datuma, ostaju na snazi dok ih se ne izmijeni, zamijeni ili stavi izvan snage. |
| Artikel 97 | Article 97 | Članak 97. |
| Berichte der Kommission | Commission reports | Izvješća Komisije |
| (1) Bis zum 25. Mai 2020 und danach alle vier Jahre legt die Kommission dem Europäischen Parlament und dem Rat einen Bericht über die Bewertung und Überprüfung dieser Verordnung vor. Die Berichte werden öffentlich gemacht. | 1. By 25 May 2020 and every four years thereafter, the Commission shall submit a report on the evaluation and review of this Regulation to the European Parliament and to the Council. The reports shall be made public. | 1. Do 25. svibnja 2020. i svake četiri godine nakon toga Komisija podnosi izvješće Europskom parlamentu i Vijeću o ocjeni i preispitivanju ove Uredbe. Izvješća se javno objavljuju. |
| (2) Im Rahmen der Bewertungen und Überprüfungen nach Absatz 1 prüft die Kommission insbesondere die Anwendung und die Wirkungsweise | 2. In the context of the evaluations and reviews referred to in paragraph 1, the Commission shall examine, in particular, the application and functioning of: | 2. U okviru ocjena i preispitivanjâ iz stavka 1. Komisija osobito ispituje primjenu i funkcioniranje: |
| a) | des Kapitels V über die Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen insbesondere im Hinblick auf die gemäß Artikel 45 Absatz 3 der vorliegenden Verordnung erlassenen Beschlüsse sowie die gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG erlassenen Feststellungen, | (a) | Chapter V on the transfer of personal data to third countries or international organisations with particular regard to decisions adopted pursuant to Article 45(3) of this Regulation and decisions adopted on the basis of Article 25(6) of Directive 95/46/EC; | (a) | poglavlja V. o prijenosu osobnih podataka trećim zemljama ili međunarodnim organizacijama, a osobito u pogledu odluka donesenih na temelju članka 45. stavka 3. ove Uredbe i odluka donesenih na temelju članka 25. stavka 6. Direktive 95/46/EZ; |
| b) | des Kapitels VII über Zusammenarbeit und Kohärenz. | (b) | Chapter VII on cooperation and consistency. | (b) | poglavlja VII. o suradnji i konzistentnosti. |
| (3) Für den in Absatz 1 genannten Zweck kann die Kommission Informationen von den Mitgliedstaaten und den Aufsichtsbehörden anfordern. | 3. For the purpose of paragraph 1, the Commission may request information from Member States and supervisory authorities. | 3. Za potrebe stavka 1. Komisija može zatražiti informacije od država članica i nadzornih tijela. |
| (4) Bei den in den Absätzen 1 und 2 genannten Bewertungen und Überprüfungen berücksichtigt die Kommission die Standpunkte und Feststellungen des Europäischen Parlaments, des Rates und anderer einschlägiger Stellen oder Quellen. | 4. In carrying out the evaluations and reviews referred to in paragraphs 1 and 2, the Commission shall take into account the positions and findings of the European Parliament, of the Council, and of other relevant bodies or sources. | 4. Pri obavljanju ocjena i preispitivanjâ iz stavka 1. i 2. Komisija uzima u obzir stajališta i nalaze Europskog parlamenta, Vijeća te drugih relevantnih tijela ili izvora. |
| (5) Die Kommission legt erforderlichenfalls geeignete Vorschläge zur Änderung dieser Verordnung vor und berücksichtigt dabei insbesondere die Entwicklungen in der Informationstechnologie und die Fortschritte in der Informationsgesellschaft. | 5. The Commission shall, if necessary, submit appropriate proposals to amend this Regulation, in particular taking into account of developments in information technology and in the light of the state of progress in the information society. | 5. Komisija prema potrebi podnosi odgovarajuće prijedloge s ciljem izmjene ove Uredbe, posebno uzimajući u obzir razvoj informacijske tehnologije te s obzirom na napredak informacijskog društva. |
| Artikel 98 | Article 98 | Članak 98. |
| Überprüfung anderer Rechtsakte der Union zum Datenschutz | Review of other Union legal acts on data protection | Preispitivanje drugih akata Unije o zaštiti podataka |
| Die Kommission legt gegebenenfalls Gesetzgebungsvorschläge zur Änderung anderer Rechtsakte der Union zum Schutz personenbezogener Daten vor, damit ein einheitlicher und kohärenter Schutz natürlicher Personen bei der Verarbeitung sichergestellt wird. Dies betrifft insbesondere die Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung solcher Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union und zum freien Verkehr solcher Daten. | The Commission shall, if appropriate, submit legislative proposals with a view to amending other Union legal acts on the protection of personal data, in order to ensure uniform and consistent protection of natural persons with regard to processing. This shall in particular concern the rules relating to the protection of natural persons with regard to processing by Union institutions, bodies, offices and agencies and on the free movement of such data. | Komisija prema potrebi podnosi zakonodavne prijedloge s ciljem izmjene drugih pravnih akata Unije o zaštiti osobnih podataka kako bi se osigurala jedinstvena i dosljedna zaštita pojedinaca s obzirom na obradu. To se osobito odnosi na pravila u vezi sa zaštitom pojedinaca u pogledu obrade koju obavljaju institucije, tijela, uredi i agencije Unije te pravila u vezi sa slobodnim kretanjem takvih podataka. |
| Artikel 99 | Article 99 | Članak 99. |
| Inkrafttreten und Anwendung | Entry into force and application | Stupanje na snagu i primjena |
| (1) Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. | 1. This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union. | 1. Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije. |
| (2) Sie gilt ab dem 25. Mai 2018. | 2. It shall apply from 25 May 2018. | 2. Primjenjuje se od 25. svibnja 2018. |
| Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat. | This Regulation shall be binding in its entirety and directly applicable in all Member States. | Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama. |
| Geschehen zu Brüssel am 27. April 2016. | Done at Brussels, 27 April 2016. | Sastavljeno u Bruxellesu 27. travnja 2016. |
| Im Namen des Europäischen Parlaments | For the European Parliament | Za Europski parlament |
| Der Präsident | The President | Predsjednik |
| M. SCHULZ | M. SCHULZ | M. SCHULZ |
| Im Namen des Rates | For the Council | Za Vijeće |
| Die Präsidentin | The President | Predsjednica |
| J.A. HENNIS-PLASSCHAERT | J.A. HENNIS-PLASSCHAERT | J.A. HENNIS-PLASSCHAERT |
| (1)
ABl. C 229 vom 31.7.2012, S. 90. | (1)
OJ C 229, 31.7.2012, p. 90. | (1)
SL C 229, 31.7.2012., str. 90. |
| (2)
ABl. C 391 vom 18.12.2012, S. 127. | (2)
OJ C 391, 18.12.2012, p. 127. | (2)
SL C 391, 18.12.2012., str. 127. |
| (3) Standpunkt des Europäischen Parlaments vom 12. März 2014 (noch nicht im Amtsblatt veröffentlicht) und Standpunkt des Rates in erster Lesung vom 8. April 2016 (noch nicht im Amtsblatt veröffentlicht). Standpunkt des Europäischen Parlaments vom 14. April 2016. | (3) Position of the European Parliament of 12 March 2014 (not yet published in the Official Journal) and position of the Council at first reading of 8 April 2016 (not yet published in the Official Journal). Position of the European Parliament of 14 April 2016. | (3) Stajalište Europskog parlamenta od 12. ožujka 2014. (još nije objavljeno u Službenom listu) i stajalište Vijeća u prvom čitanju od 8. travnja 2016. (još nije objavljeno u Službenom listu). Stajalište Europskog parlamenta od 14. travnja 2016. |
| (4) Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31). | (4) Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ L 281, 23.11.1995, p. 31). | (4) Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL L 281, 23.11.1995., str. 31.). |
| (5) Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (C (2003) 1422) (ABl. L 124 vom 20.5.2003, S. 36). | (5) Commission Recommendation of 6 May 2003 concerning the definition of micro, small and medium-sized enterprises (C(2003) 1422) (OJ L 124, 20.5.2003, p. 36). | (5) Preporuka Komisije od 6. svibnja 2003. o definiciji mikropoduzeća te malih i srednjih poduzeća (C(2003) 1422) (SL L 124, 20.5.2003., str. 36.). |
| (6) Verordnung (EG) Nr. 45/2001 des Europäischen Parlaments und des Rates vom 18. Dezember 2000 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr (ABl. L 8 vom 12.1.2001, S. 1). | (6) Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data (OJ L 8, 12.1.2001, p. 1). | (6) Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (SL L 8, 12.1.2001., str. 1.). |
| (7) Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2000/383/JI des Rates (siehe Seite 89 dieses Amtsblatts). | (7) Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data and repealing Council Framework Decision 2008/977/JHA (see page 89 of this Official Journal). | (7) Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca pri obradi osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (vidjeti stranicu 89. ovoga Službenog lista). |
| (8) Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“) (ABl. L 178 vom 17.7.2000, S. 1). | (8) Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market (‘Directive on electronic commerce’) (OJ L 178, 17.7.2000, p. 1). | (8) Direktiva 2000/31/EZ Europskog parlamenta i Vijeća od 8. lipnja 2000. o određenim pravnim aspektima usluga informacijskog društva na unutarnjem tržištu, posebno elektroničke trgovine (Direktiva o elektroničkoj trgovini) (SL L 178, 17.7.2000., str. 1.). |
| (9) Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (ABl. L 88 vom 4.4.2011, S. 45). | (9) Directive 2011/24/EU of the European Parliament and of the Council of 9 March 2011 on the application of patients' rights in cross-border healthcare (OJ L 88, 4.4.2011, p. 45). | (9) Direktiva 2011/24/EU Europskog parlamenta i Vijeća od 9. ožujka 2011. o primjeni prava pacijenata u prekograničnoj zdravstvenoj skrbi (SL L 88, 4.4.2011., str. 45.). |
| (10) Richtlinie 93/13/EWG des Rates vom 5. April 1993 über missbräuchliche Klauseln in Verbraucherverträgen (ABl. L 95 vom 21.4.1993, S. 29). | (10) Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts (OJ L 95, 21.4.1993, p. 29). | (10) Direktiva Vijeća 93/13/EEZ od 5. travnja 1993. o nepoštenim uvjetima u potrošačkim ugovorima (SL L 95, 21.4.1993., str. 29.). |
| (11) Verordnung (EG) Nr. 1338/2008 des Europäischen Parlaments und des Rates vom 16. Dezember 2008 zu Gemeinschaftsstatistiken über öffentliche Gesundheit und über Gesundheitsschutz und Sicherheit am Arbeitsplatz (ABl. L 354 vom 31.12.2008, S. 70). | (11) Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work (OJ L 354, 31.12.2008, p. 70). | (11) Uredba (EZ) br. 1338/2008 Europskog parlamenta i Vijeća od 16. prosinca 2008. o statističkim podacima Zajednice o javnom zdravlju i zdravlju i sigurnosti na radnom mjestu (SL L 354, 31.12.2008., str. 70.). |
| (12) Verordnung (EU) Nr. 182/2011 des Europäischen Parlaments und des Rates vom 16. Februar 2011 zur Festlegung der allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrollieren (ABl. L 55 vom 28.2.2011, S. 13). | (12) Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission's exercise of implementing powers (OJ L 55, 28.2.2011, p. 13). | (12) Uredba (EZ) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.). |
| (13) Verordnung (EU) Nr. 1215/2012 des Europäischen Parlaments und des Rates vom 12. Dezember 2012 über die gerichtliche Zuständigkeit und die Anerkennung und Vollstreckung von Entscheidungen in Zivil- und Handelssachen (ABl. L 351 vom 20.12.2012, S. 1). | (13) Regulation (EU) No 1215/2012 of the European Parliament and of the Council of 12 December 2012 on jurisdiction and the recognition and enforcement of judgments in civil and commercial matters (OJ L 351, 20.12.2012, p. 1). | (13) Uredba (EU) br. 1215/2012 Europskog parlamenta i Vijeća od 12. prosinca 2012. o nadležnosti, priznavanju i izvršenju sudskih odluka u građanskim i trgovačkim stvarima (SL L 351, 20.12.2012., str. 1.). |
| (14) Richtlinie 2003/98/EG des Europäischen Parlaments und des Rates vom 17. November 2003 über die Weiterverwendung von Informationen des öffentlichen Sektors (ABl. L 345 vom 31.12.2003, S. 90). | (14) Directive 2003/98/EC of the European Parliament and of the Council of 17 November 2003 on the re-use of public sector information (OJ L 345, 31.12.2003, p. 90). | (14) Direktiva 2003/98/EZ Europskog parlamenta i Vijeća od 17. studenoga 2003. o ponovnoj uporabi informacija javnog sektora (SL L 345, 31.12.2003., str. 90.). |
| (15) Verordnung (EU) Nr. 536/2014 des Europäischen Parlaments und des Rates vom 16. April 2014 über klinische Prüfungen mit Humanarzneimitteln und zur Aufhebung der Richtlinie 2001/20/EG Text von Bedeutung für den EWR (ABl. L 158 vom 27.5.2014, S. 1). | (15) Regulation (EU) No 536/2014 of the European Parliament and of the Council of 16 April 2014 on clinical trials on medicinal products for human use, and repealing Directive 2001/20/EC (OJ L 158, 27.5.2014, p. 1). | (15) Uredba (EU) br. 536/2014 Europskog parlamenta i Vijeća od 16. travnja 2014. o kliničkim ispitivanjima lijekova za primjenu kod ljudi te o stavljanju izvan snage Direktive 2001/20/EZ (SL L 158, 27.5.2014., str. 1.). |
| (16) Verordnung (EG) Nr. 223/2009 des Europäischen Parlaments und des Rates vom 11. März 2009 über europäische Statistiken und zur Aufhebung der Verordnung (EG, Euratom) Nr. 1101/2008 des Europäischen Parlaments und des Rates über die Übermittlung von unter die Geheimhaltungspflicht fallenden Informationen an das Statistische Amt der Europäischen Gemeinschaften, der Verordnung (EG) Nr. 322/97 des Rates über die Gemeinschaftsstatistiken und des Beschlusses 89/382/EWG, Euratom des Rates zur Einsetzung eines Ausschusses für das Statistische Programm der Europäischen Gemeinschaften (ABl. L 87 vom 31.3.2009, S. 164). | (16) Regulation (EC) No 223/2009 of the European Parliament and of the Council of 11 March 2009 on European statistics and repealing Regulation (EC, Euratom) No 1101/2008 of the European Parliament and of the Council on the transmission of data subject to statistical confidentiality to the Statistical Office of the European Communities, Council Regulation (EC) No 322/97 on Community Statistics, and Council Decision 89/382/EEC, Euratom establishing a Committee on the Statistical Programmes of the European Communities (OJ L 87, 31.3.2009, p. 164). | (16) Uredba (EZ) br. 223/2009 Europskog parlamenta i Vijeća od 11. ožujka 2009. o europskoj statistici i stavljanju izvan snage Uredbe (EZ, Euratom) br. 1101/2008 Europskog parlamenta i Vijeća o dostavi povjerljivih statističkih podataka Statističkom uredu Europskih zajednica, Uredbe Vijeća (EZ) br. 322/97 o statistici Zajednice i Odluke Vijeća 89/382/EEZ, Euratom o osnivanju Odbora za statistički program Europskih zajednica (SL L 87, 31.3.2009., str. 164.). |
| (17)
ABl. C 192 vom 30.6.2012, S. 7. | (17)
OJ C 192, 30.6.2012, p. 7. | (17)
SL C 192, 30.6.2012., str. 7. |
| (18) Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37). | (18) Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) (OJ L 201, 31.7.2002, p. 37). | (18) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.). |
| (19) Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1). | (19) Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services (OJ L 241, 17.9.2015, p. 1). | (19) Direktiva (EU) 2015/1535 Europskog parlamenta i Vijeća od 9. rujna 2015. o utvrđivanju postupka pružanja informacija u području tehničkih propisa i pravila o uslugama informacijskog društva (SL L 241, 17.9.2015., str. 1.). |
| (20) Verordnung (EG) Nr. 765/2008 des Europäischen Parlaments und des Rates vom 9. Juli 2008 über die Vorschriften für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung von Produkten und zur Aufhebung der Verordnung (EWG) Nr. 339/93 des Rates (ABl. L 218 vom 13.8.2008, S. 30). | (20) Regulation (EC) No 765/2008 of the European Parliament and of the Council of 9 July 2008 setting out the requirements for accreditation and market surveillance relating to the marketing of products and repealing Regulation (EEC) No 339/93 (OJ L 218, 13.8.2008, p. 30). | (20) Uredba (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 (SL L 218, 13.8.2008., str. 30.). |
| (21) Verordnung (EG) Nr. 1049/2001 des Europäischen Parlaments und des Rates vom 30. Mai 2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlaments, des Rates und der Kommission (ABl. L 145 vom 31.5.2001, S. 43). | (21) Regulation (EC) No 1049/2001 of the European Parliament and of the Council of 30 May 2001 regarding public access to European Parliament, Council and Commission documents (OJ L 145, 31.5.2001, p. 43). | (21) Uredba (EZ) br. 1049/2001 Europskog parlamenta i Vijeća od 30. svibnja 2001. o javnom pristupu dokumentima Europskog parlamenta, Vijeća i Komisije (SL L 145, 31.5.2001., str. 43.). |
