52017PC0008

•Proporcionalnost

U skladu s načelom proporcionalnosti za postizanje temeljnih ciljeva osiguravanja jednakovrijedne razine zaštite pojedinaca u pogledu obrade osobnih podataka i slobodnog kretanja osobnih podataka u Uniji potrebno je i primjereno utvrditi pravila o obradi osobnih podataka u institucijama, tijelima, uredima i agencijama Unije. Ova uredba ne prelazi ono što je potrebno za ostvarivanje ciljeva u skladu s člankom 5. stavkom 4. Ugovora o Europskoj uniji.

•Odabir instrumenta

Uredba se smatra najprimjerenijim pravnim instrumentom za utvrđivanje okvira za zaštitu pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije te slobodnim kretanjem takvih podataka. Njome se pojedincima osiguravaju zakonski ostvariva prava te utvrđuju dužnosti voditelja obrade podataka u institucijama, tijelima, uredima i agencijama Unije. Njome se isto tako predviđa uspostavljanje neovisnog nadzornog tijela, Europskog nadzornika za zaštitu podataka, koje će biti odgovorno za praćenje obrade osobnih podataka u institucijama, tijelima, uredima i agencijama Unije.

3.REZULTATI EX POST EVALUACIJA, SAVJETOVANJA S DIONICIMA I PROCJENE UČINAKA

Komisija je provela savjetovanja s dionicima 2010. i 2011. te procjenu učinka u okviru pripreme paketa reformi u području zaštite podataka u kojoj se iznose informacije o predloženim izmjenama Uredbe (EZ) br. 45/2001. U tom je kontekstu Komisija provela i istraživanje o djelovanju Komisijinih koordinatora zaštite podataka (data protection coordinators, DPC-ovi) 5 .

Kad je riječ o praktičnoj primjeni Uredbe (EZ) br. 45/2001 u institucijama, tijelima, uredima i agencijama Unije, prikupljene su informacije od Europskog nadzornika za zaštitu podataka (European Data Protection Supervisor, EDPS), ostalih institucija, tijela, ureda i agencija Unije, ostalih glavnih uprava Komisije te vanjskog ugovornog suradnika. Upitnik je poslan Mreži službenika za zaštitu podataka (data protection officers, DPO-ovi) 6 .

Službenici za zaštitu podataka iz različitih institucija, tijela, ureda i agencija Unije održali su 9. srpnja 2015., 22. listopada 2015., 19. siječnja 2016. i 15. ožujka 2016. radionice o reformi Uredbe 45/2001.

Komisija je 2013. odlučila provesti evaluacijsku studiju o dotadašnjoj primjeni Uredbe (EZ) br. 45/2001 te je za njezino provođenje angažirala vanjskog ugovornog suradnika. Konačni rezultati evaluacijske studije (završno izvješće, pet studija slučaja te analiza po člancima) dostavljeni su Komisiji 8. lipnja 2015 7 .

Evaluacija je pokazala da je sustav upravljanja čiju okosnicu čine DPO-ovi i EDPS djelotvoran. Njome je utvrđeno da postoji jasna i dobro uravnotežena podjela ovlasti između DPO-ova i EDPS-a te da i jedni i drugi imaju primjeren niz ovlasti. No poteškoće bi se mogle pojaviti kao posljedica nedostatka autoriteta DPO-ova zbog nedovoljne podrške njihovih rukovoditelja.

Evaluacijska studija pokazala je da bi se Uredba (EZ) br. 45/2001 bolje provodila kad bi EDPS primjenjivao sankcije. Češćom primjenom svojih nadzornih ovlasti mogao bi poboljšati provedbu pravila o zaštiti podataka. Zaključeno je i da bi voditelji obrade podataka trebali primjenjivati pristup upravljanja rizicima te izvršiti procjene rizika prije obrade podataka kako bi bolje provodili zahtjeve u pogledu zadržavanja i sigurnosti podataka.

Studija je pokazala i da su postojeća pravila iz poglavlja IV. Uredbe (EZ) br. 45/2001 koja se odnose na telekomunikacijski sektor zastarjela te da je to poglavlje potrebno uskladiti s Direktivom o e-privatnosti. U skladu s evaluacijskom studijom potrebno je i pojasniti neke ključne definicije iz Uredbe (EZ) br. 45/2001. Među ostalim potrebno je identificirati voditelje obrade podataka u institucijama, tijelima, uredima i agencijama Unije, definirati primatelje te obvezu čuvanja povjerljivosti podataka proširiti i na vanjske izvršitelje obrade podataka.

U evaluacijskoj studiji istaknuto je i da je potrebno pojednostavniti sustav obavješćivanja i prethodnih provjera kako bi se povećala učinkovitost te smanjilo administrativno opterećenje.

Evaluator je proveo i internetsku anketu u 64 institucije, agencije, ureda i tijela Unije. Na anketna pitanja odgovorila su 422 službenika odgovorna za obradu podataka, 73 službenika za zaštitu podataka, 118 koordinatora zaštite podataka i 109 osoba zaduženih za IT. Evaluator je proveo i niz razgovora s dionicima. Zajedno s Komisijom 26. ožujka 2015. organizirao je završnu radionicu u kojoj su sudjelovali brojni voditelji obrade podataka, službenici za zaštitu podataka, koordinatori zaštite podataka, osobe zadužene za IT te predstavnici EDPS-a.

•Prikupljanje i primjena stručnih znanja

Vidjeti upućivanje na evaluacijsku studiju iz prethodne točke.

•Procjena učinka

Ovaj će Prijedlog utjecati uglavnom na institucije, tijela, urede i agencije Unije. To je potvrđeno informacijama dobivenima od EDPS-a, ostalih institucija, tijela, ureda i agencija Unije, glavnih uprava Komisije te vanjskog ugovornog suradnika. Osim toga učinci novih obveza koje proizlaze iz Uredbe (EU) 2016/679, s kojom se ova uredba mora uskladiti, procijenjeni su u kontekstu pripremnih radova za ovu uredbu. Za ovu uredbu stoga nije potrebna posebna procjena učinka.

•Primjerenost propisa i pojednostavljivanje

Nije primjenjivo

•Temeljna prava

Pravo na zaštitu osobnih podataka utvrđeno je člankom 8. Povelje Europske unije o temeljnim pravima (Povelja), člankom 16. UFEU-a te člankom 8. Europske konvencije o ljudskim pravima. Kao što je istaknuo Sud Europske unije, 8 pravo na zaštitu osobnih podataka nije apsolutno pravo, već se mora razmatrati u vezi s njegovom funkcijom u društvu 9 . Zaštita podataka usko je povezana s poštovanjem privatnog i obiteljskog života, koji je zaštićen člankom 7. Povelje.

Ovim se Prijedlogom utvrđuju pravila o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije te slobodnim kretanjem takvih podataka.

On bi mogao utjecati i na sljedeća temeljna prava utvrđena Poveljom: slobodu izražavanja (članak 11.); pravo na vlasništvo, a posebno na zaštitu intelektualnog vlasništva (članak 17. stavak 2.); zabranu svake diskriminacije na osnovi rase, etničkog podrijetla, genetskih osobina, religije ili uvjerenja, političkog ili bilo kakvog drugog mišljenja, invaliditeta ili spolne orijentacije (članak 21.); prava djeteta (članak 24.); pravo na visok stupanj zaštite zdravlja ljudi (članak 35.); pravo pristupa dokumentima (članak 42.); te pravo na učinkovit pravni lijek i na pošteno suđenje (članak 47.).

4.UTJECAJ NA PRORAČUN

Vidjeti financijski izvještaj u prilogu.

5.OSTALI DIJELOVI

•Planovi provedbe i mehanizmi praćenja, evaluacije i izvješćivanja

Nije primjenjivo

•Dokumenti s obrazloženjima (za direktive)

Nije primjenjivo

POGLAVLJE I. – OPĆE ODREDBE

U članku 1. definira se predmet uredbe te se, kao u članku 1. Uredbe (EZ) br. 45/2001, utvrđuju dva cilja uredbe: zaštititi temeljno pravo na zaštitu podataka te jamčiti slobodan protok osobnih podataka u Uniji. U njemu su predviđene i glavne zadaće Europskog nadzornika za zaštitu podataka.

U članku 2. utvrđuje se područje primjene uredbe: primjenjuje se na obradu osobnih podataka automatiziranim sredstvima ili na drugi način u svim institucijama i tijelima Unije pod uvjetom da se takva obrada provodi u okviru obavljanja djelatnosti koje su u potpunosti ili djelomično obuhvaćene područjem primjene prava Unije. Glavno područje primjene ove uredbe tehnološki je neutralno. Zaštita osobnih podataka primjenjuje se na obradu osobnih podataka automatiziranim sredstvima te na ručnu obradu ako su osobni podaci pohranjeni ili ih se namjerava pohraniti u sustav pohrane.

Članak 3. sadržava definicije pojmova upotrijebljenih u uredbi. Osim definicija „institucija i tijela Unije”, „voditelja obrade”, „korisnika” i „imenika”, koje su specifične za ovu uredbu, pojmovi upotrijebljeni u ovoj uredbi definirani su u Uredbi (EU) 2016/679, Uredbi (EU) 0000/00 (nova Uredba o e-privatnosti), Direktivi 00/0000/EU (Direktiva o Europskom zakoniku elektroničkih komunikacija) te Direktivi Komisije 2008/63/EZ.

POGLAVLJE II. – NAČELA

U članku 4. utvrđuju se načela obrade osobnih podataka, koja odgovaraju onima iz članka 5. Uredbe (EU) 2016/679. Njime se, u odnosu na Uredbu (EZ) br. 45/2001, dodaju nova načela transparentnosti te cjelovitosti i povjerljivosti.

Članak 5. temelji se na članku 6. Uredbe (EU) 2016/679 te se u njemu utvrđuju kriteriji zakonite obrade, izuzimajući jedino kriterij koji se odnosi na legitimni interes voditelja obrade, a koji nije primjenjiv na javni sektor te ga stoga ne bi trebalo primjenjivati na institucije i tijela Unije. U članku 5. zadržavaju se kriteriji koji su već utvrđeni člankom 5. Uredbe (EZ) br. 45/2001.

U članku 6. pojašnjeni su uvjeti za obradu u drugu sukladnu svrhu u skladu s člankom 6. stavkom 4. Uredbe (EU) 2016/679. U usporedbi s člankom 6. Uredbe (EZ) br. 45/2001 tom se novom odredbom predviđa veća fleksibilnost i pravna sigurnost u pogledu daljnje obrade u sukladne svrhe.

U članku 7. su, u skladu s člankom 7. Uredbe (EU) 2016/679, pojašnjeni uvjeti koje je potrebno ispuniti da bi privola bila valjana pravna osnova za zakonitu obradu.

U članku 8. se, u skladu s člankom 8. Uredbe (EU) 2016/679, utvrđuju dodatni uvjeti za zakonitu obradu osobnih podataka djece u odnosu na usluge informacijskog društva koje se nude izravno djeci. Utvrđuje se da dijete mora imati najmanje 13 godina da bi njegova privola bila valjana.

U članku 9. se, u skladu s člankom 8. Uredbe (EZ) br. 45/2001, utvrđuju pravila kojima se predviđa posebna razina zaštite pri prijenosu osobnih podataka primateljima koji nisu institucije i tijela Unije, a imaju poslovni nastan u Uniji i podliježu Uredbi (EU) 2016/679 ili Direktivi (EU) 2016/680. U njemu se pojašnjava da bi voditelj obrade, u slučaju kad se prijenos provodi na njegovu inicijativu, trebao dokazati nužnost i proporcionalnost prijenosa.

U članku 10., koji se temelji na članku 9. Uredbe (EU) 2016/679 te kojim se dodatno razrađuje članak 10. Uredbe (EZ) br. 45/2001, utvrđuje se opća zabrana obrade posebnih kategorija osobnih podataka te izuzeća od tog općeg pravila.

U članku 11. utvrđuju se, u skladu s člankom 10. Uredbe (EU) 2016/679 i člankom 10. stavkom 5. Uredbe (EZ) br. 45/2001, uvjeti za obradu osobnih podataka koji se odnose na kaznene osude i kažnjiva djela.

U članku 12. pojašnjavaju se obveze voditelja obrade podataka u pogledu informiranja ispitanika u skladu s člankom 11. Uredbe (EU) 2016/679 te se predviđa da ako voditelj obrade ne može utvrditi identitet pojedinca na temelju osobnih podataka koje obrađuje, on ne bi smio biti obvezan prikupiti dodatne informacije kako bi utvrdio identitet ispitanika isključivo radi pridržavanja bilo koje odredbe iz ove uredbe. No voditelj obrade ne bi smio odbiti prihvatiti dodatne informacije koje je ispitanik pružio radi ostvarivanja svojih prava.

U članku 13. utvrđuju se, na temelju članka 89. stavka 1. Uredbe (EU) 2016/679, pravila o zaštitnim mjerama u vezi s obradom koja se provodi u svrhe arhiviranja u javnom interesu, u svrhe znanstvenih ili povijesnih istraživanja ili u statističke svrhe.

POGLAVLJE III. – PRAVA ISPITANIKA

Odjeljak 1. – Transparentnost i modaliteti

Člankom 14. uvodi se, na temelju članka 12. Uredbe (EU) 2016/679, obveza voditelja obrade da pružaju transparentne, lako dostupne i razumljive informacije te da osiguraju postupke i mehanizme za ostvarivanje prava ispitanika, uključujući prema potrebi sredstva za podnošenje zahtjeva elektroničkim putem, da na zahtjeve ispitanika odgovore u utvrđenom roku te da obrazlože odbijanje zahtjeva. S obzirom na to da se od institucija i tijela Unije ne očekuje da ni u kakvim okolnostima naplaćuju naknade povezane s administrativnim troškovima pružanja informacija, ta mogućnost nije preuzeta iz Uredbe (EU) 2016/679.

Odjeljak 2. – Informacije i pristup osobnim podacima

U članku 15., koji se temelji na članku 13. Uredbe (EU) 2016/679 te u kojem se dodatno razrađuje članak 11. Uredbe (EZ) br. 45/2001, utvrđuju se obveze voditelja obrade u pogledu informiranja ispitanika u slučaju kad se osobni podaci prikupljaju od ispitanika, a uključuju pružanje informacija i o razdoblju pohrane, o pravu na pritužbu te o međunarodnim prijenosima.

U članku 16., koji se temelji na članku 14. Uredbe (EU) 2016/679 i u kojem se dodatno razrađuje članak 12. Uredbe (EZ) br. 45/2001, podrobnije se utvrđuju obveze voditelja obrade u pogledu informiranja ispitanika u slučaju kad osobni podaci nisu dobiveni od ispitanika, a uključuju pružanje informacija i o izvoru podataka. U tom se članku zadržavaju i moguća odstupanja predviđena Uredbom (EU) 2016/679, npr. nepostojanje obveze informiranja ako ispitanik već ima te informacije, ako je pružanje takvih informacija nemoguće ili bi zahtijevalo nerazmjeran napor voditelja obrade, ako osobni podaci moraju ostati povjerljivi u skladu s obvezom čuvanja profesionalne tajne koja je uređena pravom Unije ili ako je evidentiranje ili otkrivanje podataka izrijekom propisano zakonom. To bi se moglo primijeniti primjerice u postupcima službi nadležnih za pitanja socijalne sigurnosti ili zdravstva.

U članku 17. utvrđuje se, u skladu s člankom 15. Uredbe (EU) 2016/679 te dodatno razrađujući članak 13. Uredbe (EZ) br. 45/2001, pravo ispitanika na pristup svojim osobnim podacima te se dodaju novi elementi, kao što je obveza informiranja ispitanika o razdoblju pohrane te o pravu na ispravak, pravu na brisanje i pravu na pritužbu.

Odjeljak 3. – Ispravak i brisanje

U članku 18., koji se temelji na članku 16. Uredbe (EU) 2016/679 te u kojem se dodatno razrađuje članak 14. Uredbe (EZ) br. 45/2001, utvrđuje se pravo ispitanika na ispravak podataka.

U članku 19. utvrđuje se, u skladu s člankom 17. Uredbe (EU) 2016/679 te dodatno razrađujući članak 16. Uredbe (EZ) br. 45/2001, pravo ispitanika na zaborav i na brisanje. U tom se članku utvrđuju uvjeti prava na zaborav, uključujući obvezu voditelja obrade koji je objavio osobne podatke da obavijesti treće osobe o zahtjevu ispitanika da se izbrišu sve poveznice s tim osobnim podacima odnosno sve kopije ili rekonstrukcije tih osobnih podataka.

Člankom 20. uvodi se pravo na ograničenje obrade u određenim slučajevima, pri čemu se izbjegava dvosmislen termin „blokiranje” upotrijebljen u Uredbi (EZ) br. 45/2001 te osigurava dosljednost s novom terminologijom u skladu s člankom 18. Uredbe (EU) 2016/679.

U članku 21. utvrđuje se, u skladu s člankom 19. Uredbe (EU) 2016/679 te dodatno razrađujući članak 17. Uredbe (EZ) br. 45/2001, obveza voditelja obrade da primatelje kojima su otkriveni osobni podaci izvijesti o svakom ispravku ili brisanju osobnih podataka ili ograničenju obrade, osim ako se to pokaže nemogućim ili zahtijeva nerazmjeran napor. Voditelj obrade isto tako obavješćuje ispitanika o tim primateljima ako to ispitanik zatraži.

Člankom 22. uvodi se, u skladu s člankom 20. Uredbe (EU) 2016/679, pravo ispitanika na prenosivost podataka, tj. pravo na zaprimanje osobnih podataka koji se odnose na njega, a koje je dao voditelju obrade, odnosno pravo na izravni prijenos tih osobnih podataka drugom voditelju obrade ako je to tehnički izvedivo. Kao preduvjet te radi dodatnog poboljšanja pristupa pojedinaca svojim osobnim podacima, ovim se člankom predviđa pravo na dobivanje tih podataka od voditelja obrade u strukturiranom, uobičajenom i strojno čitljivom formatu. To se pravo primjenjuje samo ako se obrada temelji na privoli ispitanika ili na ugovoru zaključenom s ispitanikom.

Odjeljak 4. – Pravo na prigovor i automatizirano pojedinačno donošenje odluka

U članku 23., koji se temelji na članku 21. Uredbe (EU) 2016/679 te u kojem se dodatno razrađuje članak 18. Uredbe (EZ) br. 45/2001, utvrđuje se pravo ispitanika na prigovor.

Članak 24. odnosi se na pravo ispitanika da se na njega ne odnosi mjera koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, u skladu s člankom 22. Uredbe (EU) 2016/679 te dodatno razrađujući članak 19. Uredbe (EZ) br. 45/2001.

Odjeljak 5. – Ograničenja

Člankom 25. dopuštaju se ograničenja prava ispitanika utvrđenih u člancima od 14. do 22. te u člancima 34. i 38. i ograničenja načela utvrđenih u članku 4. (ako njegove odredbe odgovaraju pravima i obvezama predviđenima u člancima od 14. do 22.). Ta bi ograničenja trebalo utvrditi pravnim aktima donesenima na temelju Ugovorâ ili internih pravila institucija i tijela Unije. Ako pravnim aktima donesenima na temelju Ugovorâ ili internih pravila institucija i tijela Unije nije predviđena mogućnost takvog ograničenja, institucije i tijela Unije mogu uvesti ad hoc ograničenje pod uvjetom da se njime poštuje bit temeljnih prava i sloboda u odnosu na određeni postupak obrade te da predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu jednog ili više ciljeva koji dopuštaju ograničavanje prava ispitanika. Ovaj je pristup u skladu s člankom 23. Uredbe (EU) 2016/679. No za razliku od članka 23. Uredbe (EU) 2016/679, a u skladu s člankom 20. Uredbe (EZ) br. 45/2001, ovom se odredbom ne predviđa mogućnost ograničavanja prava na prigovor i prava ispitanika da ne podliježe odlukama koje se temelje isključivo na automatiziranoj obradi. Zahtjevi u pogledu ograničenja u skladu su s Poveljom o temeljnim pravima i Europskom konvencijom o ljudskim pravima, kako ih tumači Sud Europske unije odnosno Europski sud za ljudska prava.

POGLAVLJE IV. – VODITELJ OBRADE I IZVRŠITELJ OBRADE

Odjeljak 1. – Opće obveze

Članak 26. temelji se na članku 24. Uredbe (EU) 2016/679 te se njime uvodi „načelo odgovornosti” i opisuje obveza odgovornosti voditelja obrade da djeluje u skladu s ovom uredbom te da tu usklađenost dokaže, među ostalim i donošenjem odgovarajućih tehničkih i organizacijskih mjera te, prema potrebi, unutarnjih politika i mehanizama za osiguravanje takve usklađenosti. U ovoj odredbi nije zadržan članak 24. stavak 3. Uredbe (EU) 2016/679 s obzirom na to da institucije i tijela Unije nisu obvezni pridržavati se kodeksa ponašanja ili mehanizama certificiranja.

U članku 27. utvrđuju se, u skladu s člankom 25. Uredbe (EU) 2016/679, obveze voditelja obrade koje proizlaze iz načela tehničke i integrirane zaštite podataka.

Članak 28. o zajedničkim voditeljima obrade temelji se na članku 26. Uredbe (EU) 2016/679 te se u njemu pojašnjavaju odgovornosti zajedničkih voditelja obrade – neovisno o tome je li riječ o institucijama ili tijelima Unije ili ne – kako u pogledu njihovih unutarnjih odnosa tako i u odnosu prema ispitanicima. Ovom se odredbom uređuje situacija u kojoj su svi zajednički voditelji obrade obuhvaćeni istim pravnim režimom (ovom uredbom) te situacija u kojoj su neki od voditelja obrade obuhvaćeni ovom uredbom, a neki od njih drugim pravnim instrumentom (Uredbom (EU) 2016/679, Direktivom (EU) 2016/680, Direktivom (EU) 2016/681 i drugim posebnim režimima zaštite podataka koji se odnose na institucije ili tijela Unije).

U članku 29., koji se temelji se na članku 28. Uredbe (EU) 2016/679 i u kojem se dodatno razrađuje članak 23. Uredbe (EZ) br. 45/2001, pojašnjavaju se položaj i obveze izvršitelja obrade te se među ostalim utvrđuje da se izvršitelj obrade koji krši ovu Uredbu utvrđivanjem svrhe i načina obrade podataka smatra voditeljem obrade u pogledu te obrade.

Članak 30. o obradi pod vodstvom voditelja obrade i izvršitelja obrade temelji se na članku 29. Uredbe (EU) 2016/679 te se njime zabranjuje izvršitelju obrade ili bilo kojoj osobi koja djeluje pod vodstvom voditelja obrade ili izvršitelja obrade te ima pristup osobnim podacima da obrađuje te podatke ako to ne zatraži voditelj obrade, osim ako to nalaže pravo Unije ili pravo države članice.

Člankom 31., koji se temelji na članku 30. Uredbe (EU) 2016/679, uvodi se obveza voditelja obrade i izvršitelja obrade da čuvaju dokumentaciju o postupcima obrade za koje su odgovorni, umjesto prethodne obavijesti EDPS-u kako se zahtijeva člankom 25. Uredbe (EZ) br. 45/2001 i evidencije službenika za zaštitu podataka. Za razliku od Uredbe (EU) 2016/679 ovom se odredbom ne upućuje na predstavnike jer institucije Unije nemaju predstavnike, ali uvijek imaju službenike za zaštitu podataka. Upućivanja na prijenose na temelju odstupanja za posebne situacije kao što su ona iz Uredbe (EU) 2016/679 nisu zadržana jer te vrste prijenosa nisu predviđene ovom uredbom. Obveza vođenja evidencije aktivnosti obrade može biti centralizirana na razini institucije ili tijela Unije. U tom slučaju institucije i tijela Unije mogu voditi svoje evidencije u obliku javno dostupnog registra.

U članku 32. pojašnjavaju se, u skladu s člankom 31. Uredbe (EU) 2016/679, obveze institucija i tijela Unije u pogledu suradnje s EDPS-om.

Odjeljak 2. – Sigurnost osobnih podataka i povjerljivost elektroničkih komunikacija

Člankom 33. obvezuje se voditelja obrade, u skladu s člankom 32. Uredbe (EU) 2016/679 te dodatno razrađujući članak 22. Uredbe (EZ) br. 45/2001, da provodi odgovarajuće mjere za sigurnost obrade te se ta obveza proširuje i na izvršitelje obrade neovisno o ugovoru koji su sklopili s voditeljem obrade.

Članak 34. temelji se na članku 36. Uredbe (EZ) br. 45/2001 te se njime osigurava povjerljivost elektroničkih komunikacija unutar institucija i tijela Unije.

Članak 35. temelji se na postojećoj praksi institucija i tijela Unije te se njime štite informacije koje se odnose na terminalnu opremu krajnjih korisnika koji pristupaju javno dostupnim internetskim stranicama i mobilnim aplikacijama koje nude institucije i tijela Unije, u skladu s Uredbom (EU) XXXX/XX (nova Uredba o e-privatnosti), posebno njezinim člankom 8.

Članak 36. temelji se na članku 38. Uredbe (EZ) br. 45/2001 te se njime štite osobni podaci sadržani u javnim i privatnim imenicima institucija i tijela Unije.

Člancima 37. i 38. uvodi se obveza izvješćivanja o povredama osobnih podataka, u skladu s člancima 33. i 34. Uredbe (EU) 2016/679.

Odjeljak 3. – Procjena učinka na zaštitu podataka i prethodno savjetovanje

Člankom 39., koji se temelji se na članku 35. Uredbe (EU) 2016/679, uvodi se obveza voditelja obrade i izvršitelja obrade da prije postupaka obrade koji će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca provedu procjenu učinka tih postupaka obrade na zaštitu osobnih podataka. Ta se obveza posebno primjenjuje u slučaju sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, opsežne obrade posebnih kategorija osobnih podataka ili opsežnog sustavnog praćenja javno dostupnog područja.

Članak 40. temelji se na članku 36. Uredbe (EU) 2016/679 i odnosi se na slučajeve u kojima je prije obrade obvezno ishoditi odobrenje EDPS-a ili se savjetovati s njim. No prvim stavkom članka 40. preuzet je sadržaj uvodne izjave 94. Uredbe (EU) 2016/679 i cilj mu je pojasniti opseg obveze savjetovanja.

Odjeljak 4. – Obavješćivanje i zakonodavno savjetovanje

Člankom 41. predviđa se obveza institucija i tijela Unije da obavijeste EDPS kad pripremaju administrativne mjere i interna pravila koja se odnose na obradu osobnih podataka.

Člankom 42. predviđa se obveza Komisije da se savjetuje s EDPS-om nakon donošenja prijedloga zakonodavnog akta i preporuka ili prijedloga Vijeću u skladu s člankom 218. UFEU-a te pri pripremanju delegiranih akata ili provedbenih akata koji utječu na zaštitu prava i sloboda pojedinaca u pogledu obrade osobnih podataka. Ako su ti akti posebno važni za zaštitu prava i sloboda pojedinaca u pogledu obrade osobnih podataka, Komisija se može savjetovati i s Europskim odborom za zaštitu podataka. U tim bi slučajevima oba tijela trebala uskladiti svoje radnje u cilju donošenja zajedničkog mišljenja. Za davanje savjeta u navedenim slučajevima utvrđen je rok od osam tjedana, uz moguća odstupanja u hitnim slučajevima i u slučajevima u kojima je to potrebno, na primjer kad Komisija priprema delegirane i provedbene akte.

Odjeljak 5. – Obveza reagiranja na navode

U članku 43. utvrđuje se obveza voditelja obrade i izvršitelja obrade da reagiraju na navode nakon što im EDPS uputi predmet.

Odjeljak 6. – Službenik za zaštitu podataka

Člankom 44., koji se temelji se na članku 37. stavku 1. točki (a) Uredbe (EU) 2016/679 i članku 24. Uredbe (EZ) br. 45/2001, propisuje se obveza imenovanja službenika za zaštitu podataka u institucijama i tijelima Unije.

U članku 45., koji se temelji na članku 38. Uredbe (EU) 2016/679 i članku 24. Uredbe (EZ) br. 45/2001, utvrđuje se položaj službenika za zaštitu podataka.

U članku 46., koji se temelji na članku 39. Uredbe (EU) 2016/679 i članku 24. te drugom i trećem stavku Priloga Uredbi (EZ) br. 45/2001, utvrđuju se glavne zadaće službenika za zaštitu podataka.

POGLAVLJE V. – PRIJENOS OSOBNIH PODATAKA TREĆIM ZEMLJAMA ILI MEĐUNARODNIM ORGANIZACIJAMA

Člankom 47. nadopunjuje se članak 9. Uredbe (EZ) br. 45/2001 te se kao opće načelo u skladu s člankom 44. Uredbe (EU) 2016/679 utvrđuje da je za svaki prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama, kao i za daljnje prijenose osobnih podataka iz treće zemlje ili međunarodne organizacije u drugu treću zemlju ili međunarodnu organizaciju, obvezna usklađenost s ostalim odredbama ove uredbe te ispunjavanje uvjeta utvrđenih u poglavlju V.

U članku 48. utvrđuje se da se prijenos osobnih podataka trećoj zemlji ili međunarodnoj organizaciji može izvršiti ako Komisija u skladu s člankom 45. stavkom 3. Uredbe (EU) 2016/679 odluči da predmetna treća zemlja, područje ili jedan ili više određenih sektora u toj trećoj zemlji ili međunarodnoj organizaciji osiguravaju primjerenu razinu zaštite te se osobni podaci prenose isključivo kako bi voditelj obrade mogao izvršiti zadaće za koje je nadležan. Stavci 2. i 3. ovog članka preuzeti su iz članka 9. Uredbe (EZ) br. 45/2001 jer su korisni elementi za praćenje razine zaštite u trećim zemljama i međunarodnim organizacijama.

Članak 49. temelji se na članku 46. Uredbe (EU) 2016/679 te se njime zahtijeva da se za prijenose trećim zemljama za koje Komisija nije donijela odluku o primjerenosti zaštite navedu odgovarajuće mjere zaštite, posebno standardne klauzule o zaštiti podataka i ugovorne klauzule. Izvršitelji obrade koji nisu institucije i tijela Unije mogu, u skladu s Uredbom (EU) 2016/679, primjenjivati obvezujuća korporativna pravila, kodekse ponašanja i mehanizme certificiranja. Četvrti stavak ovog članka koji se odnosi na obvezu institucija i tijela Unije da obavijeste EDPS-a o kategorijama slučajeva u kojima su primijenili ovaj članak odgovara članku 9. stavku 8. Uredbe (EZ) br. 45/2001 te je zadržan zbog svoje specifičnosti. Peti se stavak temelji na nastavku valjanosti postojećih odobrenja kako je utvrđeno u članku 46. stavku 5. Uredbe (EU) 2016/679.

U članku 50. pojašnjava se u skladu s člankom 48. Uredbe (EU) 2016/679 da presude sudova ili odluke upravnih tijela trećih zemalja kojima se zahtijeva prijenos ili otkrivanje osobnih podataka mogu biti priznate ili izvršive na bilo koji način samo ako se temelje na međunarodnom sporazumu, kao što je ugovor o uzajamnoj pravnoj pomoći koji je na snazi između treće zemlje koja je podnijela zahtjev i Unije, ne dovodeći u pitanje druge razloge za prijenos u skladu s ovim poglavljem.

Članak 51. temelji se na članku 49. Uredbe (EZ) br. 2016/679 te se u njemu utvrđuju i pojašnjavaju odstupanja u pogledu prijenosa podataka. To se posebno primjenjuje na prijenose podataka koji se traže i nužni su iz važnih razloga od javnog interesa, na primjer u slučajevima međunarodnih prijenosa podataka u koja su uključena tijela nadležna za tržišno natjecanje, porezne ili carinske uprave, ili među službama nadležnima za pitanja socijalne sigurnosti ili za upravljanje ribarstvom. Peti stavak koji se odnosi na obvezu obavješćivanja EDPS-a o kategorijama slučajeva u kojima se prijenos provodi na temelju odstupanja odgovara sadašnjem članku 9. stavku 8. Uredbe (EZ) br. 45/2001.

Članak 52. temelji se na članku 50. Uredbe (EU) 2016/679 te se njime izričito predviđaju mehanizmi međunarodne suradnje za zaštitu osobnih podataka između EDPS-a, u suradnji s Komisijom i Europskim odborom za zaštitu podataka, te nadzornih tijela trećih zemalja.

POGLAVLJE VI. – EUROPSKI NADZORNIK ZA ZAŠTITU PODATAKA

Članak 53. temelji se na članku 41. Uredbe (EZ) br. 45/2001 te se odnosi na osnivanje EDPS-a.

Članak 54. temelji se na članku 42. Uredbe (EZ) br. 45/2001 i članku 3. Odluke 1247/2002/EZ te se u njemu utvrđuju pravila za imenovanje EDPS-a koje provode Europski parlament i Vijeće. Utvrđuje se i da mu mandat traje pet godina.

Članak 55. temelji se na članku 43. Uredbe (EZ) br. 45/2001 i članku 1. Odluke 1247/2002/EZ te se u njemu utvrđuju propisi i opći uvjeti kojima se uređuje obavljanje dužnosti EDPS-a, njegovo osoblje i financijska sredstva.

Članak 56. temelji se na članku 52. Uredbe (EU) 2016/679 i članku 44. Uredbe (EZ) br. 45/2001 te se u njemu pojašnjavaju uvjeti za neovisnost EDPS-a, uzimajući u obzir sudsku praksu Suda Europske unije.

U članku 57. utvrđuju se, na temelju članka 45. Uredbe (EZ) br. 45/2001, obveze čuvanja službene tajne kojima EDPS podliježe za vrijeme i nakon mandata s obzirom na povjerljive informacije koje dozna tijekom izvršavanja svojih dužnosti.

Članak 58. temelji se na članku 57. Uredbe (EU) 2016/679 i članku 46. Uredbe (EZ) br. 45/2001 te se u njemu utvrđuju zadaće EDPS-a, koje uključuju saslušavanje i istraživanje pritužbi te promicanje javne svijesti o rizicima, pravilima, zaštitnim mjerama i pravima.

Članak 59. temelji se na članku 58. Uredbe (EU) 2016/679 i članku 47. Uredbe (EZ) br. 45/2001 te se u njemu utvrđuju ovlasti EDPS-a.

Članak 60. temelji se na članku 59. Uredbe (EU) 2016/679 i članku 48. Uredbe (EZ) br. 45/2001 te se u njemu utvrđuje obveza EDPS-a da sastavlja godišnja izvješća o svojim aktivnostima.

POGLAVLJE VII. – SURADNJA I KONZISTENTNOST

Članak 61. temelji se na članku 61. Uredbe (EU) 2016/679 i članku 46. točki (f) Uredbe (EZ) br. 45/2001 te se njime uvode izričita pravila o suradnji EDPS-a s nacionalnim nadzornim tijelima.

Člankom 62. predviđaju se obveze EDPS-a u slučajevima kad se aktima Unije upućuje na ovaj članak u okviru koordiniranog nadzora s nacionalnim nadzornim tijelima. Njime se nastoji provesti jedinstveni model koordiniranog nadzora. Taj bi se model mogao upotrebljavati za koordinirani nadzor velikih informacijskih sustava kao što su Eurodac, Schengenski informacijski sustav II, Vizni informacijski sustav, Carinski informacijski sustav ili Informacijski sustav unutarnjeg tržišta, ali i za nadzor nekih agencija Unije u slučaju kad je između EDPS-a i nacionalnih tijela uspostavljen poseban model suradnje kao što je Europol. Europski odbor za zaštitu podataka trebao bi služiti kao jedinstveni forum za osiguravanje djelotvornog koordiniranog nadzora na svim razinama.

POGLAVLJE VIII. – PRAVNA SREDSTVA, ODGOVORNOST I SANKCIJE

Članak 63. temelji se na članku 77. Uredbe (EU) 2016/679 i članku 32. Uredbe (EZ) br. 45/2001 te se njime svakom ispitaniku osigurava pravo da podnese pritužbu EDPS-u. U njemu se utvrđuje i obveza EDPS-a da riješi pritužbu te obavijesti ispitanika o napretku i ishodu pritužbe u roku od tri mjeseca, a ako to ne učini u tom roku, smatra se da je pritužba odbijena.

Člankom 64. zadržava se članak 32. stavak 1. Uredbe (EZ) br. 45/2001 te se u njemu utvrđuje da je Sud Europske unije nadležan za rješavanje svih sporova koji se odnose na odredbe ove uredbe, uključujući i zahtjeve za odštetu.

U članku 65. utvrđuje se pravo na naknadu materijalne i nematerijalne štete, podložno uvjetima predviđenima Ugovorima, uključujući i uvjete koji se odnose na odgovornost.

Članak 66. temelji se na članku 83. Uredbe (EU) 2016/679 te se njime EDPS-u osiguravaju ovlasti za izricanje upravnih novčanih kazni institucijama i tijelima Unije, i to kao krajnju sankciju i samo ako institucija ili tijelo Unije nije postupilo u skladu s naredbom EDPS-a iz članka 59. stavka 2. točaka od (a) do (h) i točke (j). U tom se članku pobliže određuju i kriteriji za odlučivanje o iznosu upravne novčane kazne u svakom pojedinom slučaju, a najveće godišnje gornje granice određene su na temelju iznosa novčanih kazni koje se primjenjuju u nekim državama članicama.

Člankom 67. određenim se tijelima, organizacijama i udruženjima u skladu s člankom 80. stavkom 1. Uredbe (EU) 2016/679 dopušta da podnesu pritužbu u ime ispitanika.

Člankom 68. predviđaju se, u skladu s člankom 33. Uredbe (EZ) br. 45/2001, posebna pravila usmjerena na zaštitu osoblja Unije koje podnese pritužbu EDPS-u u vezi s navodnim kršenjem odredaba ove uredbe ne koristeći se pritom službenim kanalima.

Članak 69. temelji se na članku 49. Uredbe (EZ) br. 45/2001 te se njime predviđaju sankcije koje se primjenjuju u slučajevima kad dužnosnici ili drugi službenici Europske unije ne ispunjavaju obveze iz ove uredbe.

POGLAVLJE IX. – PROVEDBENI AKTI

Članak 70. sadržava odredbu o postupku odbora potrebnom za dodjeljivanje provedbenih ovlasti Komisiji u slučajevima kad su u skladu s člankom 291. UFEU-a potrebni jedinstveni uvjeti za provedbu pravno obvezujućih akata Unije. Primjenjuje se postupak ispitivanja.

POGLAVLJE X. – ZAVRŠNE ODREDBE

Člankom 71. stavljaju se izvan snage Uredba (EZ) br. 45/2001 i Odluka br. 1247/2002/EZ te se utvrđuje da upućivanja na ta dva instrumenta koja su stavljena izvan snage treba tumačiti kao upućivanja na ovu Uredbu.

U članku 72. pojašnjava se da ova uredba ne utječe na mandat Europskog nadzornika za zaštitu podataka i pomoćnika nadzornika te da se članak 54. stavci 4., 5. i 7. te članci 56. i 57. Uredbe primjenjuju na sadašnjeg pomoćnika do isteka njegova mandata, tj. do 5. prosinca 2019.

U članku 73. utvrđuje se da ova uredba stupa na snagu 25. svibnja 2018. kako bi se osigurala usklađenost s datumom početka primjene Uredbe (EU) 2016/679.

2017/0002 (COD)

Prijedlog

UREDBE EUROPSKOG PARLAMENTA I VIJEĆA

o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 16. stavak 2.,

uzimajući u obzir prijedlog Europske komisije,

nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,

uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora 10 ,

u skladu s redovnim zakonodavnim postupkom,

budući da:

(1)Zaštita pojedinaca s obzirom na obradu osobnih podataka temeljno je pravo. Člankom 8. stavkom 1. Povelje Europske unije o temeljnim pravima („Povelja”) te člankom 16. stavkom 1. Ugovora o funkcioniranju Europske unije (UFEU) utvrđuje se da svatko ima pravo na zaštitu svojih osobnih podataka.

(2)Uredbom (EZ) br. 45/2001 Europskog parlamenta i Vijeća 11 pojedincima se osiguravaju zakonski ostvariva prava, utvrđuju dužnosti voditelja obrade pri obradi podataka u institucijama i tijelima Zajednice te uspostavlja neovisno nadzorno tijelo, Europski nadzornik za zaštitu podataka, odgovorno za praćenje obrade osobnih podataka u institucijama i tijelima Unije. No ta se Uredba ne primjenjuje na obradu osobnih podataka u institucijama i tijelima Unije pri obavljanju aktivnosti koje nisu obuhvaćene područjem primjene prava Unije.

(3)Uredba (EU) 2016/679 Europskog parlamenta i Vijeća 12 i Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća 13 donesene su 27. travnja 2016. Dok se Uredbom utvrđuju opća pravila za zaštitu pojedinaca u vezi s obradom osobnih podataka i za osiguravanje slobodnog kretanja osobnih podataka u Uniji, Direktivom se utvrđuju posebna pravila za zaštitu pojedinaca u vezi s obradom osobnih podataka te za osiguravanje slobodnog kretanja osobnih podataka u Uniji u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje.

(4)U Uredbi (EU) 2016/679 naglašava se potreba za nužnim prilagodbama Uredbe (EZ) br. 45/2001 kako bi se osigurao čvrst i usklađen okvir za zaštitu podataka u Uniji te kako bi se mogla primjenjivati istodobno kad i Uredba (EU) 2016/679.

(5)Radi usklađenog pristupa zaštiti osobnih podataka u cijeloj Uniji te slobodnog kretanja osobnih podataka unutar Unije potrebno je pravila o zaštiti osobnih podataka koja vrijede za institucije i tijela Unije što bolje uskladiti s pravilima o zaštiti osobnih podataka donesenima za javni sektor u državama članicama. Kad god se odredbe ove Uredbe temelje na istoj ideji kao i odredbe Uredbe (EU) 2016/679, te bi odredbe trebalo tumačiti ujednačeno, posebno zato što bi strukturu ove Uredbe trebalo shvatiti kao istovjetnu strukturi Uredbe (EU) 2016/679.

(6)Trebalo bi zaštititi osobe čije osobne podatke obrađuju institucije i tijela Unije u bilo kojemu kontekstu, primjerice zato što su te osobe zaposlene u tim institucijama ili tijelima. Ova se Uredba ne bi trebala primjenjivati na obradu osobnih podataka preminulih osoba. Ova Uredba ne obuhvaća obradu osobnih podataka koji se odnose na pravne osobe, osobito na poduzeća koja su ustanovljena kao pravne osobe, uključujući ime i oblik te podatke za kontakt pravne osobe.

(7)Kako bi se spriječilo stvaranje ozbiljnog rizika zaobilaženja propisa, zaštita pojedinaca trebala bi biti tehnološki neutralna i ne bi smjela ovisiti o upotrebljavanim tehnologijama. Zaštita pojedinaca trebala bi se primjenjivati na obradu osobnih podataka automatiziranim sredstvima, kao i na ručnu obradu, ako su osobni podaci pohranjeni ili ih se namjerava pohraniti u sustav za pohranu podataka. Dokumenti ili skupovi dokumenata te njihove naslovne stranice koji nisu strukturirani prema posebnim mjerilima ne bi trebali biti obuhvaćeni područjem primjene ove Uredbe.

(8)U Izjavi br. 21 o zaštiti osobnih podataka u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje, priloženoj završnom aktu međuvladine konferencije na kojoj je donesen Ugovor iz Lisabona, na konferenciji je potvrđeno da bi se posebna pravila o zaštiti osobnih podataka i slobodnom kretanju osobnih podataka u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje na temelju članka 16. UFEU-a mogla pokazati nužnima zbog specifične prirode tih područja. Ova bi se Uredba stoga trebala primjenjivati na agencije Unije koje obavljaju aktivnosti u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje samo ako pravo Unije koje se primjenjuje na takve agencije ne sadržava posebna pravila o obradi osobnih podataka.

(9)Direktivom (EU) 2016/680 predviđaju se usklađena pravila za zaštitu i slobodno kretanje osobnih podataka obrađenih u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje. Kako bi se pojedincima osigurala jednaka razina zaštite pravima koja su zakonito ostvariva u cijeloj Uniji te spriječila odstupanja koja ometaju razmjenu osobnih podataka između agencija Unije koje obavljaju aktivnosti u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje i nadležnih tijela u državama članicama, pravila o zaštiti i slobodnom kretanju operativnih osobnih podataka koje obrađuju te agencije Unije trebala bi se temeljiti na načelima ove Uredbe te biti u skladu s Direktivom (EU) 2016/680.

(10)Ako je osnivačkim aktom agencije Unije koja obavlja aktivnosti obuhvaćene područjem primjene glave V. poglavlja 4. i 5. Ugovora utvrđen zaseban režim zaštite podataka za obradu operativnih osobnih podataka, ova uredba ne bi smjela utjecati na taj režim. No Komisija bi, u skladu s člankom 62. Direktive (EU) 2016/680, do 6. svibnja 2019. trebala preispitati akte Unije kojima se uređuje obrada koju provode nadležna tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje te bi prema potrebi trebala donijeti potrebne prijedloge za izmjenu tih akata kako bi se osigurao usklađen pristup zaštiti osobnih podataka u području pravosudne suradnje u kaznenim stvarima i policijske suradnje.

(11)Načela zaštite podataka trebala bi se primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Osobne podatke koji su pseudonimizirani, a koji bi se mogli pripisati pojedincu uporabom dodatnih informacija trebalo bi smatrati informacijama o pojedincu čiji se identitet može utvrditi. Kako bi se odredilo može li se utvrditi identitet pojedinca, trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koja voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca. Kako bi se utvrdilo je li po svemu sudeći izgledno da se upotrebljavaju sredstva za utvrđivanje identiteta pojedinca, trebalo bi uzeti u obzir sve objektivne čimbenike, kao što su troškovi i vrijeme potrebno za utvrđivanje identiteta, uzimajući u obzir i tehnologiju dostupnu u vrijeme obrade i tehnološki razvoj. Načela zaštite podataka stoga se ne bi trebala primjenjivati na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su anonimizirani tako da se identitet ispitanika ne može ili više ne može utvrditi. Ova se Uredba stoga ne odnosi na obradu takvih anonimnih informacija, među ostalim za statističke ili istraživačke svrhe.

(12)Primjenom pseudonimizacije osobnih podataka mogu se smanjiti rizici za predmetne ispitanike te se voditeljima obrade i izvršiteljima obrade može pomoći u ispunjavanju njihovih obveza u vezi sa zaštitom podataka. Izričitim uvođenjem „pseudonimizacije” ovom se Uredbom ne namjerava isključiti bilo koje druge mjere za zaštitu podataka.

(13)Pojedinci mogu biti povezani s mrežnim identifikatorima koje pružaju njihovi uređaji, aplikacije, alati i protokoli, kao što su adrese internetskog protokola i identifikatori kolačića ili drugim identifikatorima poput oznaka za radiofrekvencijsku identifikaciju. Tako mogu ostati tragovi koji se, posebno u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje primaju poslužitelji, mogu upotrijebiti za izradu profila pojedinaca i njihovu identifikaciju.

(14)Privola bi se trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, kao što je pisana izjava, uključujući elektroničku, ili usmena izjava. To bi moglo obuhvaćati označivanje polja kvačicom pri posjetu internetskim stranicama, biranje tehničkih postavki usluga informacijskog društva ili drugu izjavu ili ponašanje koje u tom kontekstu jasno pokazuje da ispitanik prihvaća predloženu obradu svojih osobnih podataka. Šutnja, polje unaprijed označeno kvačicom ili neaktivnost stoga se ne bi smjeli smatrati privolom. Privola bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kad obrada ima više svrha, privolu bi trebalo dati za sve njih. Ako se privola ispitanika zahtijeva elektroničkim putem, taj zahtjev mora biti jasan, jezgrovit i ne smije nepotrebno ometati upotrebu usluge za koju se upotrebljava.

(15)Svaka obrada osobnih podataka trebala bi biti zakonita i poštena. Za pojedince bi trebalo biti transparentno kako se osobni podaci koji se odnose na njih prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju te do koje se mjere ti osobni podaci obrađuju ili će se obrađivati. Prema načelu transparentnosti svaka informacija i komunikacija u vezi s obradom tih osobnih podataka treba biti lako dostupna i razumljiva te jasno i jednostavno sročena. To se načelo posebno odnosi na informacije ispitaniku o identitetu voditelja obrade i svrhama obrade te daljnje informacije radi osiguravanja poštenosti i transparentnosti obrade s obzirom na pojedince o kojima je riječ i njihovo pravo da dobiju potvrdu i obavijest o osobnim podacima koji se obrađuju, a odnose se na njih. Pojedinci bi trebali biti upoznati s rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom osobnih podataka i načinom ostvarenja svojih prava u vezi s obradom. Konkretno, posebne svrhe u koje se osobni podaci obrađuju trebale bi biti izrijekom navedene i opravdane te određene u vrijeme prikupljanja osobnih podataka. Osobni podaci trebali bi biti primjereni, bitni i ograničeni na ono što je nužno za svrhe u koje se obrađuju. Zbog toga je osobito potrebno osigurati da je razdoblje u kojem se osobni podaci pohranjuju ograničeno na strogi minimum. Osobni podaci trebali bi se obrađivati samo ako se svrha obrade ne bi mogla razumno postići drugim sredstvima. Kako bi se osiguralo da se osobni podaci ne drže duže nego što je nužno, voditelj obrade trebao bi odrediti rok za brisanje ili periodično preispitivanje. Trebalo bi poduzeti sve razumno opravdane korake radi osiguravanja da se netočni osobni podaci isprave ili izbrišu. Osobne podatke trebalo bi obrađivati na način kojim se jamči odgovarajuća sigurnost i povjerljivost osobnih podataka, uključujući sprečavanje neovlaštenog pristupa osobnim podacima i opremi za obradu podataka ili njihove neovlaštene upotrebe.

(16)Ako institucije i tijela Unije prenose osobne podatke unutar sebe ili drugim institucijama i tijelima Unije, trebali bi, u skladu s načelom odgovornosti, provjeriti jesu li ti osobni podaci nužni za zakonito izvršavanje zadaća koje su u nadležnosti primatelja u slučaju kad primatelj nije dio voditelja obrade. Konkretno, kad primatelj podnese zahtjev za prijenos podataka, voditelj obrade trebao bi provjeriti postoji li relevantna osnova za zakonitu obradu osobnih podataka koju provodi primatelj, kao i nadležnost primatelja te bi trebao privremeno ocijeniti potrebu za prijenosom podataka. Ako se pojave dvojbe u vezi s potrebom za prijenosom, voditelj obrade trebao bi od primatelja zatražiti dodatne informacije. Primatelj bi trebao osigurati da se potreba za prijenosom podataka može naknadno provjeriti.

(17)Kako bi obrada bila zakonita, osobne podatke trebalo bi obrađivati ako je to potrebno za izvršavanje zadaće koju institucije i tijela Unije obavljaju u javnom interesu ili pri izvršavanju službene ovlasti, za ispunjavanje pravne obveze kojoj podliježe voditelj obrade ili neke druge legitimne osnove kako je navedeno u ovoj Uredbi, uključujući privolu predmetnog ispitanika ili ako je to potrebno za izvršavanje ugovora kojeg je ispitanik jedna od stranaka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora. Obrada osobnih podataka radi izvršavanja zadaća koje institucije i tijela Unije obavljaju u javnom interesu uključuje i obradu osobnih podataka potrebnu za upravljanje tim institucijama i tijelima te za njihovo djelovanje. Obrada osobnih podataka trebala bi se također smatrati zakonitom ako je potrebna za zaštitu interesa koji je bitan za očuvanje života ispitanika ili druge fizičke osobe. Obrada osobnih podataka na temelju životno važnih interesa druge fizičke osobe u načelu bi se smjela obavljati samo ako se obrada očito ne može temeljiti na drugoj pravnoj osnovi. Neke vrste obrade mogu poslužiti i za važne potrebe javnog interesa i životno važne interese ispitanika, primjerice ako je obrada potrebna u humanitarne svrhe, među ostalim za praćenje epidemija i njihovog širenja ili u humanitarnim krizama, posebno u slučaju prirodnih katastrofa i katastrofa uzrokovanih ljudskim djelovanjem.

(18)Pravo Unije i interna pravila iz ove Uredbe trebali bi biti jasni i precizni, a njihova bi primjena trebala biti predvidljiva osobama koje im podliježu, u skladu sa sudskom praksom Suda Europske unije i Europskog suda za ljudska prava.

(19)Obrada osobnih podataka u druge svrhe osim onih za koje su podaci prvotno prikupljeni trebala bi se dopustiti samo ako je obrada usklađena sa svrhama za koje su osobni podaci prvotno prikupljeni. U takvom slučaju nije potrebna pravna osnova zasebna od one kojom je dopušteno prikupljanje osobnih podataka. Ako je obrada potrebna za izvršavanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti koju ima voditelj obrade, pravom Unije mogu se utvrditi i odrediti zadaće i svrhe za koje će se nastavak obrade smatrati usklađenim i zakonitim. Nastavak obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebalo bi smatrati usklađenom zakonitom obradom. Pravna osnova koja se predviđa pravom Unije za obradu osobnih podataka također može biti pravna osnova za daljnju obradu. Radi utvrđivanja je li svrha daljnje obrade usklađena sa svrhom prvotnog prikupljanja osobnih podataka, voditelj obrade bi nakon ispunjavanja svih zahtjeva zakonitosti izvorne obrade među ostalim trebao uzeti u obzir: svaku povezanost te svrhe sa svrhom planirane daljnje obrade; kontekst u kojem su osobni podaci prikupljeni, posebno opravdana očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade u pogledu daljnje uporabe podataka; prirodu osobnih podataka; posljedice planirane daljnje obrade za ispitanike; i postojanje primjerenih zaštitnih mjera u izvornoj i planiranoj daljnjoj obradi.

(20)Ako se obrada temelji na privoli ispitanika, voditelj obrade trebao bi moći dokazati da je ispitanik dao privolu za postupak obrade. Zaštitnim mjerama, posebno u okviru pisane izjave o drugom pitanju, trebalo bi se osigurati da je ispitanik svjestan činjenice da daje privolu i do koje mjere se ona daje. U skladu s Direktivom Vijeća 93/13/EEZ 14 izjavu o privoli koju je unaprijed sastavio voditelj obrade trebalo bi ponuditi u razumljivom i lako dostupnom obliku, jasno i jednostavno sročenu te u njoj ne bi smjelo biti nepoštenih uvjeta. Da bi ispitanik mogao dati privolu informiran, trebao bi barem znati identitet voditelja obrade i svrhe obrade osobnih podataka. Ne može se smatrati da je privola dana dobrovoljno ako ispitanik nema istinski ili slobodan izbor ili ako ne može odbiti ili povući privolu bez posljedica.

(21)Djeca zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka jer mogu biti manje svjesna predmetnih rizika, posljedica i zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka. Takvo pravo na posebnu zaštitu trebalo bi se posebno odnositi na stvaranje osobnih profila te prikupljanje osobnih podataka o djeci pri upotrebi usluga koje se izravno nude djetetu na internetskim stranicama institucija i tijela Unije, kao što su interpersonalne komunikacijske usluge ili internetska prodaja ulaznica te kad se osobni podaci obrađuju na temelju privole.

(22)Kad primatelji koji imaju poslovni nastan u Uniji i podliježu Uredbi (EU) 2016/679 ili Direktivi (EU) 2016/680 žele da im institucije i tijela Unije prenesu osobne podatke, ti bi primatelji trebali dokazati da je prijenos potreban za ostvarivanje njihova cilja, da je razmjeran te da ne prelazi ono što je nužno za ostvarivanje tog cilja. Institucije i tijela Unije trebali bi dokazati takvu potrebu kad na vlastitu inicijativu obavljaju prijenos, u skladu s načelom transparentnosti.

(23)Osobni podaci koji su po svojoj prirodi posebno osjetljivi u pogledu temeljnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do znatnih rizika za temeljna prava i slobode. Ti osobni podaci trebali bi obuhvaćati osobne podatke koji otkrivaju rasno ili etničko podrijetlo, pri čemu upotreba pojma „rasno podrijetlo” u ovoj Uredbi ne znači da Unija prihvaća teorije koje pokušavaju dokazati postojanje različitih ljudskih rasa. Obradu fotografija ne bi trebalo sustavno smatrati obradom posebnih kategorija osobnih podataka jer su one obuhvaćene definicijom biometrijskih podataka samo kad se obrađuju posebnim tehničkim sredstvima koja omogućuju jedinstvenu identifikaciju ili autentifikaciju pojedinca. Osim posebnih zahtjeva za obradu osjetljivih podataka trebala bi se primjenjivati opća načela i druga pravila iz ove Uredbe, posebno u pogledu uvjeta za zakonitu obradu. Odstupanja od opće zabrane obrade takvih posebnih kategorija osobnih podataka trebala bi biti izričito predviđena, među ostalim ako je ispitanik dao izričitu privolu ili u vezi s posebnim potrebama, pogotovo ako se obrada provodi u sklopu legitimnih aktivnosti određenih udruženja ili zaklada koje se zalažu za ostvarivanje temeljnih sloboda.

(24)Obrada posebnih kategorija osobnih podataka bez privole ispitanika može biti potrebna zbog javnog interesa u područjima javnog zdravlja. Takva bi obrada trebala podlijegati primjerenim i posebnim mjerama kako bi se zaštitila prava i slobode pojedinaca. U tom bi kontekstu „javno zdravlje” trebalo tumačiti u skladu s definicijom iz Uredbe (EZ) br. 1338/2008 Europskog parlamenta i Vijeća 15 , što znači svi elementi povezani sa zdravljem, tj. zdravstvenim stanjem, uključujući morbiditet i invaliditet, determinante koje utječu na to zdravstveno stanje, potrebe zdravstvene zaštite, sredstva dodijeljena zdravstvenoj zaštiti, pružanje zdravstvene zaštite i opća dostupnost zdravstvene zaštite, kao i troškovi i financiranje zdravstvene zaštite te uzroci smrtnosti. Takva obrada podataka koji se odnose na zdravlje za potrebe javnog interesa ne bi trebala dovesti do toga da treće osobe obrađuju osobne podatke u druge svrhe.

(25)Ako voditelj obrade ne može utvrditi identitet pojedinca na temelju osobnih podataka koje obrađuje, on ne bi smio biti obvezan prikupiti dodatne informacije kako bi utvrdio identitet ispitanika isključivo radi pridržavanja bilo koje odredbe iz ove Uredbe. No voditelj obrade ne bi smio odbiti prihvatiti dodatne informacije koje je ispitanik pružio radi ostvarivanja svojih prava. Identifikacija bi trebala uključivati digitalnu identifikaciju ispitanika, primjerice mehanizmom autentifikacije, kao što su isti pristupni podaci kojima se ispitanik prijavljuje za internetske usluge koje nudi voditelj obrade.

(26)Obrada osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebala bi podlijegati odgovarajućim zaštitnim mjerama za prava i slobode ispitanika u skladu s ovom Uredbom. Tim bi zaštitnim mjerama trebalo osigurati da su tehničke i organizacijske mjere na snazi kako bi se posebno zajamčilo načelo smanjenja količine podataka. Daljnja obrada osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe provodi se kad voditelj obrade procijeni izvedivost ispunjavanja tih svrha obradom osobnih podataka koji ne omogućuju ili više ne omogućuju identifikaciju ispitanikâ, pod uvjetom da postoje odgovarajuće zaštitne mjere (kao što je, primjerice, pseudonimizacija osobnih podataka). Institucije i tijela Unije trebali bi pravom Unije, koje može uključivati i interna pravila, predvidjeti odgovarajuće zaštitne mjere za obradu osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.

(27)Trebalo bi predvidjeti modalitete za lakše ostvarivanje prava ispitanika iz ove Uredbe, uključujući mehanizme za podnošenje zahtjeva te, ako je primjenjivo, besplatno ostvarivanje posebno pristupa osobnim podacima, njihovo ispravljanje ili brisanje i ostvarivanje prava na prigovor. Voditelj obrade trebao bi pružiti i sredstva za elektroničku predaju zahtjeva, posebno ako se osobni podaci obrađuju elektronički. Voditelj obrade trebao bi biti dužan odgovoriti na zahtjev ispitanika bez nepotrebne odgode i najkasnije u roku od mjesec dana te iznijeti razloge ako nema namjeru ispuniti bilo koji takav zahtjev.

(28)Prema načelima poštene i transparentne obrade ispitanik treba biti informiran o postupku obrade i njegovim svrhama. Voditelj obrade trebao bi ispitaniku pružiti sve dodatne informacije potrebne za osiguravanje poštene i transparentne obrade uzimajući u obzir posebne okolnosti i kontekst obrade osobnih podataka. Osim toga ispitanik bi trebao biti informiran o postupku izrade profila i njegovim posljedicama. Kad se prikupljaju osobni podaci od ispitanika, trebalo bi ga obavijestiti i o tome je li obvezan pružiti osobne podatke te o posljedicama do kojih će doći ako takve podatke ne pruži. Ova se informacija može pružiti u kombinaciji sa standardiziranim ikonama kako bi se na lako vidljiv, razumljiv i jasno čitljiv način pružio smislen pregled planirane obrade. Kad su ikone prikazane elektronički, trebale bi biti strojno čitljive.

(29)Informacije o obradi osobnih podataka koji se odnose na ispitanika trebalo bi dati ispitaniku u trenutku kad se od njega uzimaju ti podaci ili, ako se osobni podaci ne uzimaju od ispitanika već su prikupljeni iz drugog izvora, u razumnom roku ovisno o okolnostima slučaja. Ako se osobni podaci legitimno mogu otkriti drugom primatelju, ispitanika bi trebalo informirati kad se osobni podaci prvi put otkrivaju primatelju. Ako voditelj obrade namjerava obrađivati osobne podatke u drugu svrhu osim one za koju su prikupljeni, prije te daljnje obrade trebao bi ispitaniku pružiti informacije o toj drugoj svrsi i druge potrebne informacije. Ako se izvor osobnih podataka ne može dati ispitaniku jer su upotrebljavani razni izvori, trebalo bi dati opće informacije.

(30)Ispitanik bi trebao imati pravo pristupa prikupljenim osobnim podacima koji se na njega odnose te ostvarivati to pravo lako i u razumnim intervalima kako bi bio svjestan obrade i provjerio njezinu zakonitost. To uključuje pravo ispitanika na pristup podacima o njegovu zdravstvenom stanju, na primjer podacima u medicinskoj dokumentaciji koja sadržava informacije kao što su dijagnoze, rezultati pretraga, liječnička mišljenja, liječenja ili zahvati. Svaki ispitanik stoga bi osobito trebao imati pravo znati koje su svrhe obrade osobnih podataka i dobiti obavijest o tim svrhama, ako je moguće i o tome za koje se razdoblje osobni podaci obrađuju, o primateljima osobnih podataka, o logici automatske obrade osobnih podataka i o posljedicama takve obrade, barem kad se temelji na izradi profila. To pravo ne bi smjelo negativno utjecati na prava ili slobode drugih, uključujući i poslovne tajne ili intelektualno vlasništvo, a posebno na autorsko pravo kojim je zaštićen računalni program. Rezultat tih razmatranja ipak ne bi smjelo biti odbijanje pružanja svih informacija ispitaniku. Ako voditelj obrade obrađuje velike količine informacija koje se odnose na ispitanika, trebao bi imati mogućnost prije dostave informacija zahtijevati od ispitanika da navede informacije ili aktivnosti obrade na koje se zahtjev odnosi.

(31)Ispitanik bi trebao imati pravo na ispravak osobnih podataka koji se na njega odnose te „pravo na zaborav” ako se zadržavanjem takvih podataka krši ova Uredba ili pravo Unije koje se primjenjuje na voditelja obrade. Ispitanici bi trebali imati pravo na to da se njihovi osobni podaci izbrišu i više ne obrađuju ako ti osobni podaci više nisu potrebni s obzirom na svrhu u koju su prikupljeni ili na druge načine obrađivani, ako su ispitanici povukli svoju privolu ili ako iznesu prigovor na obradu osobnih podataka koji se odnose na njih ili ako obrada njihovih osobnih podataka na druge načine nije u skladu s ovom Uredbom. Ovo je pravo posebno važno ako je ispitanik dao privolu dok je bio dijete te nije bio u potpunosti svjestan rizika obrade, a kasnije želi ukloniti takve osobne podatke, posebno na internetu. Ispitanik bi trebao biti u mogućnosti ostvariti to pravo neovisno o činjenici da više nije dijete. No daljnja pohrana osobnih podataka trebala bi biti zakonita ako je nužna za ostvarivanje prava na slobodu izražavanja i na slobodu informiranja, radi ispunjavanja pravnih obveza, za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade, na temelju javnog interesa u području javnog zdravlja, u svrhe arhiviranja od javnog interesa, u svrhe znanstvenih ili povijesnih istraživanja, u statističke svrhe ili za postavljanje, ostvarivanje ili obranu pravnih zahtjeva.

(32)Kako bi se ojačalo „pravo na zaborav” u internetskom okruženju, pravo na brisanje trebalo bi proširiti tako da voditelj obrade koji je objavio osobne podatke bude obvezan obavijestiti voditelje obrade koji takve osobne podatke obrađuju da izbrišu sve poveznice s tim osobnim podacima odnosno sve kopije ili replike tih osobnih podataka. Pritom bi voditelj obrade trebao poduzeti razumne mjere, uzimajući u obzir dostupnu tehnologiju i sredstva koja su mu dostupna, uključujući tehničke mjere, da o zahtjevu ispitanika obavijesti voditelje obrade koji obrađuju osobne podatke.

(33)Metode kojima se ograničava obrada osobnih podataka mogle bi, među ostalim, uključivati privremeno premještanje odabranih podataka u drugi sustav obrade, onemogućavanje dostupnosti odabranih podataka korisnicima ili privremeno uklanjanje objavljenih podataka s internetske stranice. U automatiziranim sustavima pohrane ograničavanje obrade u načelu bi trebalo osigurati tehničkim sredstvima na način da se osobni podaci dalje ne obrađuju i da se ne mogu mijenjati. Činjenicu da je obrada osobnih podataka ograničena trebalo bi jasno navesti u sustavu.

(34)Radi dodatnog jačanja nadzora nad vlastitim podacima, kad se obrada osobnih podataka obavlja automatiziranim sredstvima, ispitaniku bi trebalo dopustiti i da osobne podatke koji se odnose na njega, a koje je dao voditelju obrade, dobije u strukturiranom, uobičajenom, strojno čitljivom i interoperabilnom formatu i da ih prenese drugom voditelju obrade. Voditelje obrade trebalo bi poticati na razvijanje interoperabilnih formata koji omogućuju prenosivost podataka. To bi se pravo trebalo primjenjivati u slučajevima kad je ispitanik osobne podatke dao na temelju svoje privole ili kad je obrada nužna za izvršenje ugovora. Stoga se ono ne bi smjelo primjenjivati ako je obrada osobnih podataka nužna za ispunjavanje pravne obveze kojoj podliježe voditelj obrade ili za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade. Pravo ispitanika na prijenos ili primanje osobnih podataka koji se odnose na njega ne bi trebalo obvezivati voditelja obrade da upotrebljava ili održava tehnički kompatibilne sustave za obradu. Ako se određeni skup osobnih podataka odnosi na više ispitanika, pravo na primanje tih osobnih podataka ne bi smjelo dovoditi u pitanje prava i slobode ostalih ispitanika u skladu s ovom Uredbom. Nadalje, to pravo ne bi smjelo dovoditi u pitanje pravo ispitanika na brisanje osobnih podataka ni ograničenja tog prava kako je navedeno u ovoj Uredbi, a pogotovo ne bi smjelo podrazumijevati brisanje osobnih podataka koji se odnose na ispitanika, koje je on dostavio u svrhu izvršavanja ugovora, u mjeri u kojoj su ti osobni podaci potrebni za izvršavanje tog ugovora i sve dok su potrebni. Ako je to tehnički izvedivo, ispitanik bi trebao imati pravo na to da se osobni podaci prenose izravno između voditelja obrade.

(35)Ako se osobni podaci mogu zakonito obrađivati jer je obrada potrebna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade, ispitanik bi ipak trebao imati pravo prigovora na obradu bilo kojih osobnih podataka povezanih s njegovom posebnom situacijom. Voditelj obrade morao bi dokazati da njegovi uvjerljivi legitimni interesi imaju prednost pred interesima ili temeljnim pravima i slobodama ispitanika.

(36)Ispitanik bi trebao imati pravo na to da se na njega ne odnosi odluka, koja može obuhvaćati mjeru kojom se procjenjuju osobni aspekti u vezi s njim i koja se isključivo temelji na automatiziranoj obradi te proizvodi pravne učinke koji se odnose na njega ili na sličan način znatno utječu na njega, kao što je praksa zapošljavanja putem interneta bez ljudske intervencije. Takva obrada uključuje „izradu profila” koja se odnosi na svaki oblik automatizirane obrade osobnih podataka kojom se procjenjuju osobni aspekti u vezi s pojedincem, osobito analizu i predviđanje aspekata ispitanikovog učinka na poslu, ekonomskog stanja, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja kad ona proizvodi pravne učinke koji se odnose na ispitanika ili na sličan način znatno utječu na njega. No donošenje odluka koje se temelji na takvoj obradi, uključujući i izradu profila, trebalo bi se dopustiti ako to izričito dopušta pravo Unije. U svakom slučaju na takve bi se obrade trebale primjenjivati odgovarajuće zaštitne mjere, koje bi trebale uključivati davanje određenih informacija ispitaniku i pravo na ljudsku intervenciju, pravo na izražavanje vlastitog stajališta, na dobivanje pojašnjenja odluke donesene nakon takve procjene i pravo na osporavanje odluke. Takve se mjere ne bi smjele odnositi na djecu. Kako bi se osigurala poštena i transparentna obrada podataka s obzirom na ispitanika, uzimajući u obzir posebne okolnosti i kontekst u kojem se osobni podaci obrađuju, voditelj obrade trebao bi primijeniti odgovarajuće matematičke i statističke postupke za izradu profila, provesti odgovarajuće tehničke i organizacijske mjere kako bi se posebno osiguralo da budu ispravljeni čimbenici koji dovode do netočnosti osobnih podataka i da se rizici od pogrešaka svedu na minimum te bi trebao osigurati osobne podatke tako da se uzmu u obzir potencijalni rizici za interese i prava ispitanika i kojima se, među ostalim, sprečavaju diskriminacijski učinci na pojedince na temelju rasnog ili etničkog podrijetla, političkog mišljenja, vjere ili uvjerenja, članstva u sindikatu, genetskog ili zdravstvenog stanja ili seksualne orijentacije, ili koji rezultiraju mjerama koje imaju takav učinak. Automatizirane odluke i izrada profila na temelju posebnih kategorija osobnih podataka trebale bi se dopustiti samo pod posebnim uvjetima.

(37)Pravnim aktima donesenima na temelju Ugovorâ ili internih pravila institucija i tijela Unije mogu se uvesti ograničenja s obzirom na posebna načela te na prava na informacije, pristup i ispravak ili brisanje osobnih podataka, pravo na prenosivost podataka, povjerljivost elektroničkih komunikacija te obavješćivanje ispitanika o povredi osobnih podataka i ograničenja određenih povezanih obveza voditelja obrade, u mjeri u kojoj je to nužno i razmjerno u demokratskom društvu kako bi se zaštitila javna sigurnost te sprečavanje, istraga i progon kaznenih djela ili izvršavanje kaznenopravnih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje te zaštitu ljudskog života, posebno kao odgovor na prirodne katastrofe ili one koje je izazvao čovjek, zaštitu unutarnje sigurnosti institucija i tijela Unije te zaštitu drugih važnih ciljeva koji su u javnom interesu Unije ili države članice, a posebno važnog gospodarskog ili financijskog interesa Unije ili države članice, vođenja javne evidencije u svrhu općeg javnog interesa ili zaštitu ispitanika ili prava i sloboda drugih osoba, među ostalim u svrhu socijalne zaštite, javnog zdravlja i u humanitarne svrhe.

Ako pravnim aktima donesenima na temelju Ugovorâ ili internih pravila institucija i tijela Unije nije predviđeno ograničenje, institucije i tijela Unije mogu u određenom slučaju uvesti ad hoc ograničenje koje se odnosi na posebna načela i na prava ispitanika, pod uvjetom da se takvim ograničenjem poštuje bit temeljnih prava i sloboda te da u odnosu na određeni postupak obrade predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu jednog ili više ciljeva iz stavka 1. O tom bi ograničenju trebalo obavijestiti službenika za zaštitu podataka. Sva bi ograničenja trebala biti u skladu sa zahtjevima utvrđenima u Povelji i Europskoj konvenciji za zaštitu ljudskih prava i temeljnih sloboda.

(38)Trebalo bi uspostaviti dužnosti i odgovornosti voditelja obrade za svaku obradu osobnih podataka koju provede sam voditelj obrade ili netko drugi u njegovo ime. Konkretno, voditelj obrade trebao bi imati obvezu provođenja odgovarajućih i djelotvornih mjera te biti u mogućnosti dokazati usklađenost aktivnosti obrade s ovom Uredbom, uključujući i djelotvornost mjera. Tim bi mjerama u obzir trebalo uzeti prirodu, opseg, kontekst i svrhe obrade te rizik za prava i slobode pojedinaca. Rizik za prava i slobode pojedinaca, različitih vjerojatnosti i ozbiljnosti, može proizići iz obrade osobnih podataka koja bi mogla prouzročiti fizičku, materijalnu ili nematerijalnu štetu, posebno: ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, štete za ugled, gubitka povjerljivosti osobnih podataka zaštićenih profesionalnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije ili bilo koje druge znatne gospodarske ili društvene štete; ako se ispitanicima mogu uskratiti njihova prava i slobode ili ih se može spriječiti u obavljanju nadzora nad svojim osobnim podacima; ako se obrađuju osobni podaci koji odaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu i ako je riječ o obradi genetskih podataka, podataka koji se odnose na zdravlje ili spolni život ili kaznene osude i kažnjiva djela ili s tim povezane sigurnosne mjere; ako se procjenjuju osobni aspekti, posebno analiza ili predviđanje aspekata u vezi s učinkom na poslu, ekonomskim stanjem, zdravljem, osobnim preferencijama ili interesima, pouzdanošću ili ponašanjem, lokacijom ili kretanjem kako bi se izradili ili upotrebljavali osobni profili; ako se obrađuju osobni podaci osjetljivih pojedinaca, posebno djece; ili ako obrada uključuje veliku količinu osobnih podataka i utječe na velik broj ispitanika. Vjerojatnost i ozbiljnost rizika za prava i slobode ispitanika trebala bi se određivati s obzirom na prirodu, opseg, kontekst i svrhe obrade. Rizik bi trebalo procjenjivati na temelju objektivne procjene kojom se utvrđuje uključuju li postupci obrade podataka rizik ili visoki rizik.

(39)Zaštita prava i sloboda pojedinaca s obzirom na obradu osobnih podataka zahtijeva poduzimanje odgovarajućih tehničkih i organizacijskih mjera kako bi se osiguralo ispunjenje zahtjeva ove Uredbe. Radi dokazivanja usklađenosti s ovom Uredbom voditelj obrade trebao bi donijeti interne politike i provesti mjere kojima se posebno poštuju načela tehničke zaštite podataka i integrirane zaštite podataka. Takve mjere mogle bi se, među ostalim, sastojati od smanjenja količine obrade osobnih podataka, što brže pseudonimizacije osobnih podataka, transparentnosti u vezi s funkcijama i obradom osobnih podataka, omogućavanja ispitaniku da prati obradu podataka te omogućavanja voditelju obrade da stvara i poboljšava sigurnosne značajke. Načela tehničke i integrirane zaštite podataka trebalo bi uzeti u obzir i u kontekstu javnih natječaja.

(40)Zaštita prava i sloboda ispitanikâ te dužnost i odgovornost voditeljâ obrade i izvršiteljâ obrade zahtijevaju jasno utvrđivanje dužnosti u skladu s ovom Uredbom, među ostalim u slučajevima u kojima voditelj obrade određuje svrhe i sredstva obrade zajedno s drugim voditeljima obrade ili kad se postupak obrade provodi u ime voditelja obrade.

(41)Kako bi se osiguralo ispunjavanje zahtjeva iz ove Uredbe u vezi s obradom koju provodi izvršitelj obrade u ime voditelja obrade, pri povjeravanju aktivnosti obrade izvršitelju obrade voditelj obrade trebao bi angažirati samo izvršitelje obrade koji u dovoljnoj mjeri jamče, osobito u pogledu stručnog znanja, pouzdanosti i resursa, provedbu tehničkih i organizacijskih mjera koje ispunjavaju zahtjeve iz ove Uredbe, među ostalim u pogledu sigurnosti obrade. Poštovanje odobrenog kodeksa ponašanja ili odobrenog mehanizma certificiranja od strane izvršitelja obrade koji nisu institucije i tijela Unije može se upotrijebiti kao element u dokazivanju ispunjavanja obveza voditelja obrade. Postupak obrade koju provodi izvršitelj obrade trebao bi biti uređen ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice koji izvršitelja obrade obvezuje prema voditelju obrade, a u kojemu su navedeni predmet i trajanje obrade, priroda i svrhe obrade, vrsta osobnih podataka te kategorije ispitanika, uzimajući u obzir posebne zadaće i odgovornosti izvršitelja obrade u kontekstu obrade koju je potrebno provesti te rizika za prava i slobode ispitanika. Voditelj obrade i izvršitelj obrade trebali bi biti u mogućnosti izabrati pojedinačni ugovor ili standardne ugovorne klauzule koje je ili izravno donijela Komisija ili ih je donio Europski nadzornik za zaštitu podataka, a potom ih je donijela Komisija. Nakon što završi obradu u ime voditelja obrade, izvršitelj obrade trebao bi, prema izboru voditelja obrade, vratiti ili izbrisati osobne podatke, osim ako postoji obveza pohrane osobnih podataka u skladu s pravom Unije ili pravom države članice kojem izvršitelj obrade podliježe.

(42)Kako bi dokazali usklađenost s ovom Uredbom, voditelji obrade trebali bi voditi evidenciju o aktivnostima obrade za koje su odgovorni, a izvršitelji obrade trebali bi voditi evidenciju o kategorijama aktivnosti obrade za koje su odgovorni. Institucije i tijela Unije trebali bi biti obvezni surađivati s Europskim nadzornikom za zaštitu podataka i omogućiti mu na zahtjev uvid u svoje evidencije kako bi mu mogle poslužiti za praćenje postupaka obrade. Institucije i tijela Unije trebali bi biti u mogućnosti uspostaviti središnji registar evidencija o svojim aktivnostima obrade. Radi transparentnosti trebali bi biti u mogućnosti takav registar i objaviti.

(43)Kako bi se očuvala sigurnost i spriječila obrada kojom se krši ova Uredba, voditelj obrade ili izvršitelj obrade trebao bi procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija. Takvim bi se mjerama trebala osigurati odgovarajuća razina zaštite, uključujući povjerljivost, te uzeti u obzir najnovija dostignuća i troškovi provedbe u odnosu na rizik i vrstu osobnih podataka koji se trebaju zaštititi. Pri procjeni rizika za sigurnost podataka u obzir bi trebalo uzeti rizike koje predstavlja obrada osobnih podataka, kao što su slučajno ili nezakonito uništenje, gubitak, izmjene, neovlašteno otkrivanje osobnih podataka ili neovlašten pristup osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani, a što posebno može dovesti do fizičke, materijalne ili nematerijalne štete.

(44)Institucije i tijela Unije trebali bi osigurati povjerljivost elektroničkih komunikacija, kako je predviđeno člankom 7. Povelje. Institucije i tijela Unije trebali bi posebno osigurati sigurnost svojih elektroničkih komunikacijskih mreža, štititi informacije koje se odnose na terminalnu opremu krajnjih korisnika koji pristupaju njihovim javno dostupnim internetskim stranicama i mobilnim aplikacijama u skladu s Uredbom (EU) XXXX/XX (nova Uredba o e-privatnosti) te štititi osobne podatke sadržane u imenicima korisnika.

(45) Ako se povreda osobnih podataka ne riješi na odgovarajući način i pravodobno, mogla bi prouzročiti fizičku, materijalnu ili nematerijalnu štetu pojedincima. Stoga bi voditelj obrade, čim primijeti da je došlo do povrede osobnih podataka, trebao o tome obavijestiti Europskog nadzornika za zaštitu podataka bez nepotrebne odgode i to, ako je izvedivo, najkasnije 72 sata nakon što je za to saznao, osim ako u skladu s načelom odgovornosti može dokazati da povreda osobnih podataka vjerojatno neće prouzročiti rizik za prava i slobode pojedinaca. Ako ga nije moguće o tome obavijestiti u roku od 72 sata, u obavijesti bi trebalo navesti razloge za kašnjenje, a informacije se mogu pružati postupno, bez nepotrebne daljnje odgode. Ako je kašnjenje opravdano, umjesto da se obavijest šalje tek kad se incident u cijelosti riješi, manje osjetljive ili općenitije informacije o povredi trebalo bi poslati što prije.

(46)Voditelj obrade trebao bi bez nepotrebne odgode obavijestiti ispitanika o povredi osobnih podataka ako je vjerojatno da će povreda osobnih podataka prouzročiti visoki rizik za prava i slobode tog pojedinca kako bi on mogao poduzeti potrebne mjere opreza. U obavijesti bi trebalo opisati prirodu povrede osobnih podataka i preporuke kako bi predmetni pojedinac mogao ublažiti moguće štetne posljedice. Takva bi se obavijest ispitanicima trebala pružiti što je prije u razumnim granicama izvedivo i u bliskoj suradnji s Europskim nadzornikom za zaštitu podataka, poštujući njegove upute ili upute drugih relevantnih tijela, kao što su tijela za izvršavanje zakonodavstva.

(47)Uredbom (EZ) br. 45/2001 predviđa se opća obveza voditelja obrade da o obradi osobnih podataka obavijesti službenika za obradu podataka, koji zatim vodi evidenciju o postupcima obrade o kojima je obaviješten. Tom se obvezom stvara administrativno i financijsko opterećenje, a ona nije u svim slučajevima pridonijela poboljšanju zaštite osobnih podataka. Trebalo bi stoga ukinuti takve neselektivne opće obveze obavješćivanja i zamijeniti ih djelotvornim postupcima i mehanizmima koji su umjesto toga usmjereni na one vrste postupaka obrade koji vjerojatno mogu prouzročiti visok rizik za prava i slobode pojedinaca zbog svoje prirode, opsega, konteksta i svrha. Takve bi vrste postupaka obrade mogle biti posebno one koje uključuju upotrebu novih tehnologija ili one koje su nove vrste i s obzirom na koje voditelj obrade još nije proveo procjenu učinka na zaštitu podataka ili koje su postale potrebne zbog vremena koje je proteklo od prvotne obrade. U takvim bi slučajevima voditelj obrade trebao prije obrade provesti procjenu učinka na zaštitu podataka radi procjene konkretne vjerojatnosti i ozbiljnosti visokog rizika, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade te izvore rizika. Ta bi procjena učinka trebala posebno uključivati mjere, zaštitne mjere i mehanizme predviđene za umanjivanje tog rizika, za osiguravanje zaštite osobnih podataka i dokazivanje usklađenosti s ovom Uredbom.

(48)Ako se u procjeni učinka na zaštitu podataka pokaže da bi obrada u nedostatku zaštitnih mjera, sigurnosnih mjera i mehanizama za umanjivanje rizika dovela do visokog rizika za prava i slobode pojedinaca, a voditelj obrade smatra da se taj rizik ne može umanjiti razumnim mjerama s obzirom na dostupnu tehnologiju i troškove provedbe, prije početka obrade trebalo bi se savjetovati s Europskim nadzornikom za zaštitu podataka. Takav visok rizik vjerojatno će proizići iz određenih vrsta obrade te opsega i učestalosti obrade, što može isto tako prouzročiti štetu ili ometanje prava i slobode ispitanika. Europski nadzornik za zaštitu podataka trebao bi odgovoriti na zahtjev za savjetovanje u određenom roku. No ako Europski nadzornik za zaštitu podataka ne odgovori u navedenom roku, to ne bi smjelo utjecati ni na koju intervenciju Europskog nadzornika za zaštitu podataka u skladu s njegovim zadaćama i ovlastima iz ove Uredbe, uključujući ovlast da zabrani postupke obrade. U okviru tog postupka savjetovanja trebalo bi biti moguće dostaviti Europskom nadzorniku za zaštitu podataka rezultat procjene učinka na zaštitu podataka koja je provedena u vezi s predmetnom obradom, a posebno mjere predviđene za umanjivanje rizika za prava i slobode pojedinaca.

(49)Radi osiguravanja usklađenosti planirane obrade s ovom Uredbom te posebno radi umanjivanja rizika za ispitanika, Europskog nadzornika za zaštitu podataka trebalo bi obavijestiti o upravnim mjerama i internim pravilima institucija i tijela Unije kojima se predviđa obrada osobnih podataka, utvrđuju uvjeti za ograničavanje prava ispitanika ili osiguravaju odgovarajuće mjere zaštite prava ispitanika.

(50)Uredbom (EU) 2016/679 osnovan je Europski odbor za zaštitu podataka kao neovisno tijelo Unije koje ima pravnu osobnost. Odbor bi trebao pridonositi dosljednoj primjeni Uredbe (EU) 2016/679 i Direktive 2016/680 u cijeloj Uniji, među ostalim i savjetovanjem Komisije. Istodobno bi Europski nadzornik za zaštitu podataka trebao i dalje izvršavati svoje nadzorne i savjetodavne funkcije u pogledu svih institucija i tijela Unije, među ostalim na vlastitu inicijativu ili na zahtjev. Kako bi se osigurala usklađenost pravila o zaštiti podataka u cijeloj Uniji, Komisija bi se obvezno trebala savjetovati nakon donošenja zakonodavnog akta ili tijekom pripreme delegiranih akata i provedbenih akata kako je utvrđeno u člancima 289., 290. i 291. UFEU-a te nakon donošenja preporuka i prijedloga povezanih sa sporazumima s trećim zemljama i međunarodnim organizacijama, kako je predviđeno u članku 218. UFEU-a, koji utječu na pravo na zaštitu osobnih podataka. U takvim bi slučajevima Komisija trebala biti obvezna savjetovati se s Europskim nadzornikom za zaštitu podataka, osim ako je Uredbom (EU) 2016/679 predviđeno obvezno savjetovanje s Europskim odborom za zaštitu podataka, na primjer o odlukama o primjerenosti ili delegiranim aktima o standardiziranim ikonama te zahtjevima u pogledu mehanizama certificiranja. Ako je predmetni akt posebno važan za zaštitu prava i sloboda pojedinaca u pogledu obrade osobnih podataka, Komisija bi trebala biti u mogućnosti savjetovati se i s Europskim odborom za zaštitu podataka. U tim bi slučajevima Europski nadzornik za zaštitu podataka, kao član Europskog odbora za zaštitu podataka, trebao s njim koordinirati svoj rad u cilju donošenja zajedničkog mišljenja. Europski nadzornik za zaštitu podataka i, kad je to primjenjivo, Europski odbor za zaštitu podataka trebali bi dati savjet pisanim putem u roku od osam tjedana. Taj bi rok trebao biti kraći u hitnim slučajevima ili kad je to inače potrebno, na primjer kad Komisija priprema delegirane i provedbene akte.

(51)U svakoj bi instituciji ili tijelu Unije službenik za zaštitu podataka trebao osigurati da se primjenjuju odredbe ove Uredbe te savjetovati voditelje obrade i izvršitelje obrade o ispunjavanju njihovih obveza. Taj bi službenik trebao biti osoba sa stručnim znanjem o pravu i praksama u području zaštite podataka, pri čemu bi se razina tog znanja trebala utvrditi posebno u odnosu na postupke obrade podataka koji se provode te na zaštitu koja se zahtijeva za osobne podatke koje obrađuje voditelj obrade ili izvršitelj obrade. Takvom bi službeniku za zaštitu podataka trebalo biti omogućeno da svoje dužnosti i zadaće obavlja neovisno.

(52)Kad se osobni podaci prenose iz institucija i tijela Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne bi smjela biti narušena razina zaštite pojedinaca osigurana ovom Uredbom u Uniji, među ostalim u slučajevima daljnjih prijenosa osobnih podataka iz treće zemlje ili međunarodne organizacije voditeljima obrade, izvršiteljima obrade u istoj ili nekoj drugoj trećoj zemlji ili međunarodnoj organizaciji. U svakom slučaju, prijenosi trećim zemljama i međunarodnim organizacijama mogu se obavljati isključivo uz potpunu usklađenost s ovom Uredbom. Prijenos bi se smio obavljati samo ako, u skladu s drugim odredbama ove Uredbe, voditelj obrade ili izvršitelj obrade ispunjavaju uvjete utvrđene u odredbama ove Uredbe koji se odnose na prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama.

(53)U skladu s člankom 45. Uredbe (EU) 2016/679 Komisija može odlučiti da treća zemlja, područje, posebni sektor treće zemlje ili međunarodna organizacija pruža odgovarajuću razinu zaštite podataka. U takvim slučajevima institucija ili tijelo Unije može izvršiti prijenos osobnih podataka toj trećoj zemlji ili međunarodnoj organizaciji bez dodatnog odobrenja.

(54)Ako nije donesena odluka o primjerenosti, voditelj obrade ili izvršitelj obrade trebali bi poduzeti mjere da se nadomjesti nedostatak zaštite podataka u trećoj zemlji putem odgovarajućih zaštitnih mjera za ispitanika. Takve odgovarajuće zaštitne mjere mogu obuhvaćati upotrebu standardnih klauzula o zaštiti podataka koje je donijela Komisija ili koje je donio Europski nadzornik za zaštitu podataka ili ugovornih klauzula koje je odobrio Europski nadzornik za zaštitu podataka. Ako izvršitelj obrade nije institucija ili tijelo Unije, te se odgovarajuće zaštitne mjere mogu sastojati i od obvezujućih korporativnih pravila, kodeksa ponašanja i mehanizama certificiranja koji se upotrebljavaju za međunarodne prijenose u skladu s Uredbom (EU) 2016/679. Te bi zaštitne mjere trebale osigurati ispunjavanje zahtjevâ zaštite podataka i prava ispitanika primjereno obradi unutar Unije, uključujući dostupnost provedivih prava ispitanika i djelotvornih pravnih sredstava, među ostalim onih za dobivanje učinkovite upravne ili sudske zaštite i traženje naknade, u Uniji ili u trećoj zemlji. One bi se trebale posebno odnositi na usklađivanje s općim načelima koja se odnose na obradu osobnih podataka te načelima tehničke i integrirane zaštite podataka. Institucije i tijela Unije mogu isto tako provoditi prijenose tijelima javne vlasti ili javnim tijelima u trećim zemljama ili međunarodnim organizacijama s odgovarajućim dužnostima ili funkcijama, među ostalim na temelju odredaba koje se uključuju u administrativne aranžmane, kao što su memorandumi o razumijevanju, kojima se ispitanicima osiguravaju ostvariva i učinkovita prava. Kad se zaštitne mjere predviđaju u administrativnim aranžmanima koji nisu pravno obvezujući, trebalo bi ishoditi odobrenje Europskog nadzornika za zaštitu podataka.

(55)Mogućnost da se voditelj obrade ili izvršitelj obrade koristi standardnim klauzulama o zaštiti podataka koje je donijela Komisija ili Europski nadzornik za zaštitu podataka ne bi trebala sprečavati voditelja obrade ili izvršitelja obrade da uključe standardne klauzule o zaštiti podataka u širi ugovor, kao što je ugovor između izvršitelja obrade i drugog izvršitelja obrade, niti da dodaju druge klauzule ili dodatne zaštitne mjere pod uvjetom da one izravno ili neizravno ne proturječe standardnim ugovornim klauzulama koje je donijela Komisija ili Europski nadzornik za zaštitu podataka ili ne dovode u pitanje temeljna prava ili slobode ispitanika. Voditelje obrade i izvršitelje obrade trebalo bi poticati da osiguraju dodatne zaštitne mjere putem ugovornih obveza koje nadopunjuju standardne klauzule o zaštiti podataka.

(56)Neke treće zemlje donose zakone, propise i druge pravne akte radi izravne regulacije aktivnosti obrade koje provode institucije i tijela Unije. To može uključivati presude sudova ili odluke upravnih tijela u trećim zemljama kojima se od voditelja obrade ili izvršitelja obrade traži prijenos ili otkrivanje osobnih podataka i koje se ne temelje na važećem međunarodnom sporazumu između treće zemlje koja je podnijela zahtjev i Unije. Izvanteritorijalna primjena tih zakona, propisa i drugih pravnih akata može predstavljati kršenje međunarodnog prava i može ometati postizanje zaštite pojedinaca koja se ovom Uredbom osigurava u Uniji. Prijenosi bi se smjeli dopustiti samo ako su ispunjeni uvjeti ove Uredbe za prijenos trećim zemljama. To može, među ostalim, biti slučaj kad je otkrivanje nužno iz važnih razloga od javnog interesa priznatog pravom Unije.

(57)Trebalo bi predvidjeti mogućnost prijenosa u određenim okolnostima kad je ispitanik dao izričitu privolu, ako je prijenos povremen i nužan s obzirom na ugovor ili pravni zahtjev, neovisno o tome je li riječ o sudskom, upravnom ili bilo kojem izvansudskom postupku, uključujući i postupke pred regulatornim tijelima. Trebalo bi predvidjeti i mogućnost prijenosa kad to zahtijevaju važni razlozi od javnog interesa propisani pravom Unije ili kad se prijenos obavlja iz registra uspostavljenog zakonom i namijenjenog uvidu javnosti ili osoba koje imaju legitiman interes. U potonjem slučaju takav prijenos ne bi trebao uključivati cjelokupne osobne podatke ili cijele kategorije podataka sadržanih u registru, osim ako je to dopušteno pravom Unije, a ako je registar namijenjen uvidu osoba koje imaju legitiman interes, prijenos bi se trebao obaviti samo na zahtjev tih osoba ili, ako su te osobe primatelji, u potpunosti uzimajući u obzir interese i temeljna prava ispitanika.

(58)Ta bi se odstupanja posebno trebala primjenjivati na prijenose podataka koji se traže i nužni su iz važnih razloga od javnog interesa, na primjer u slučajevima međunarodne razmjene podataka između institucija i tijela Unije i tijela nadležnih za tržišno natjecanje, poreznih ili carinskih uprava, financijskih nadzornih tijela te služba nadležnih za pitanja socijalne sigurnosti ili za javno zdravlje, na primjer u slučaju praćenja kontakata kod zaraznih bolesti ili kako bi se smanjio i/ili uklonio doping u sportu. Prijenos osobnih podataka trebalo bi isto tako smatrati zakonitim ako je nužan za zaštitu interesa koji je bitan za životno važne interese ispitanika ili druge osobe, uključujući tjelesni integritet ili život, ako ispitanik nije u stanju dati privolu. Ako ne postoji odluka o primjerenosti, pravom Unije mogu se, iz važnih razloga od javnog interesa, izričito odrediti ograničenja prijenosa određenih kategorija podataka trećoj zemlji ili međunarodnoj organizaciji. Svaki prijenos osobnih podataka ispitanika koji tjelesno ili pravno nije u stanju dati privolu u međunarodnu humanitarnu organizaciju, u cilju izvršenja zadaće obuhvaćene ženevskim konvencijama ili poštovanja međunarodnog humanitarnog prava mjerodavnog u oružanim sukobima, mogao bi se smatrati nužnim iz važnog razloga od javnog interesa ili zbog toga što je od životno važnog interesa za ispitanika.

(59)U svakom slučaju, ako Komisija nije donijela odluku o odgovarajućoj razini zaštite podataka u trećoj zemlji, voditelj obrade ili izvršitelj obrade trebali bi iskoristiti rješenja koja ispitanicima osiguravaju ostvariva i učinkovita prava u pogledu obrade njihovih podataka u Uniji nakon što su ti podaci preneseni tako da i dalje mogu ostvarivati temeljna prava i prednosti zaštitnih mjera.

(60)Kad se osobni podaci kreću preko granica izvan Unije, može se povećati rizik koji prijeti sposobnosti pojedinaca da ostvare svoja prava na zaštitu podataka, osobito da se zaštite od nezakonite uporabe ili otkrivanja tih informacija. Istodobno, može se dogoditi da nadzorna tijela u Uniji, uključujući Europskog nadzornika za zaštitu podataka, nisu u mogućnosti rješavati pritužbe ili voditi istrage u vezi s aktivnostima izvan svoje nadležnosti. Njihova zalaganja za prekograničnu suradnju mogu omesti i nedovoljne ovlasti za sprečavanje ili ispravljanje, nedosljedni pravni režimi i praktične prepreke poput ograničenih resursa. Stoga bi trebalo promicati blisku suradnju između Europskog nadzornika za zaštitu podataka i drugih nadzornih tijela za zaštitu podataka kako bi im se pomoglo u razmjeni informacija s njihovim međunarodnim partnerima.

(61)Ključna je sastavnica zaštite pojedinaca s obzirom na obradu njihovih osobnih podataka uspostava Europskog nadzornika za zaštitu podataka Uredbom (EZ) br. 45/2001, koji je ovlašten da potpuno neovisno obavlja svoje zadaće i izvršava svoje ovlasti. Ova bi Uredba trebala dodatno ojačati i pojasniti njegovu ulogu i neovisnost.

(62)Kako bi se osiguralo dosljedno praćenje i provedba pravila o zaštiti podataka u cijeloj Uniji, Europski nadzornik za zaštitu podataka trebao bi imati iste zadaće i stvarne ovlasti kao i nadzorna tijela u državama članicama, među ostalim ovlast za vođenje istrage, korektivne ovlasti i ovlast za izricanje sankcija te ovlasti za davanje odobrenja i savjetodavne ovlasti, posebno u slučajevima pritužbi pojedinaca, kao i ovlasti za obavješćivanje Suda Europske unije o kršenjima ove Uredbe i za sudjelovanje u pravnim postupcima u skladu s primarnim pravom. U takve bi ovlasti trebala biti uključena i ovlast za izricanje privremenog ili konačnog ograničenja obrade, uključujući zabranu. Kako bi se izbjegli suvišni troškovi i prekomjerne neugodnosti za predmetne osobe na koje bi to moglo negativno utjecati, svaka mjera Europskog nadzornika za zaštitu podataka trebala bi biti primjerena, potrebna i razmjerna cilju osiguravanja usklađenosti s ovom Uredbom, a pritom bi trebalo uzeti u obzir okolnosti svakog pojedinačnog slučaja i poštovati pravo svake osobe da bude saslušana prije poduzimanja bilo koje pojedinačne mjere. Svaka pravno obvezujuća mjera Europskog nadzornika za zaštitu podataka trebala bi biti u pisanom obliku, jasna i jednoznačna te sadržavati datum izdavanja mjere, potpis Europskog nadzornika za zaštitu podataka i razloge za mjeru te upućivati na pravo na učinkovit pravni lijek.

(63)Odluke Europskog nadzornika za zaštitu podataka o izuzećima, jamstvima, odobrenjima i uvjetima u vezi s postupcima obrade podataka, kako je određeno u ovoj Uredbi, trebale bi se objaviti u izvješću o aktivnostima. Neovisno o objavljivanju godišnjeg izvješća o aktivnostima Europski nadzornik za zaštitu podataka može objaviti izvješća o posebnim temama.

(64)Nacionalna nadzorna tijela prate primjenu Uredbe (EU) 2016/679 i pridonose njezinoj dosljednoj primjeni u cijeloj Uniji kako bi zaštitila pojedince s obzirom na obradu njihovih osobnih podataka i olakšala slobodni protok osobnih podataka na unutarnjem tržištu. Radi povećanja usklađenosti primjene pravila o zaštiti podataka koja se primjenjuju u državama članicama i pravila o zaštiti podataka koja se primjenjuju na institucije i tijela Unije, Europski nadzornik za zaštitu podataka trebao bi učinkovito surađivati s nacionalnim nadzornim tijelima.

(65)U određenim se slučajevima pravom Unije predviđa model koordiniranog nadzora koji provode Europski nadzornik za zaštitu podataka i nacionalna nadzorna tijela. Osim toga Europski nadzornik za zaštitu podataka nadzorno je tijelo Europola te je uspostavljen poseban model suradnje s nacionalnim nadzornim tijelima u okviru odbora za suradnju sa savjetodavnom funkcijom. Radi poboljšanja djelotvornog nadzora i provedbe materijalnih pravila o zaštiti podataka u Uniji bi trebalo uvesti jedinstven, dosljedan model koordiniranog nadzora. Komisija bi stoga prema potrebi trebala podnositi zakonodavne prijedloge u cilju izmjene pravnih akata Unije kojima se predviđa model koordinirane suradnje kako bi se uskladili s modelom koordinirane suradnje iz ove Uredbe. Europski odbor za zaštitu podataka trebao bi služiti kao jedinstveni forum za osiguravanje djelotvornog koordiniranog nadzora na svim razinama.

(66)Svaki bi ispitanik trebao imati pravo podnijeti pritužbu Europskom nadzorniku za zaštitu podataka te pravo na učinkovit pravni lijek pred Sudom Europske unije u skladu s Ugovorima ako ispitanik smatra da su prekršena njegova prava iz ove Uredbe ili ako Europski nadzornik za zaštitu podataka ne postupi po pritužbi, djelomično ili u potpunosti odbaci ili odbije pritužbu ili ne djeluje kad je takvo djelovanje nužno radi zaštite prava ispitanika. Istragu pokrenutu na temelju pritužbe trebalo bi provesti, podložno sudskom preispitivanju, u mjeri koja je primjerena za određeni slučaj. Europski nadzornik za zaštitu podataka trebao bi u razumnom roku obavijestiti ispitanika o tijeku i ishodu pritužbe. Ako slučaj zahtijeva dodatnu koordinaciju s nacionalnim nadzornim tijelom, ispitaniku bi trebalo dati privremene informacije. Kako bi se olakšalo podnošenje pritužbi, Europski nadzornik za zaštitu podataka trebao bi poduzeti mjere kao što su osiguravanje obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući druga sredstva komunikacije.

(67)Svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove Uredbe trebala bi imati pravo da od voditelja obrade ili izvršitelja obrade primi naknadu za pretrpljenu štetu, podložno uvjetima predviđenima Ugovorom.

(68)Kako bi se ojačala nadzorna uloga Europskog nadzornika za zaštitu podataka te učinkovita provedba ove Uredbe, Europski nadzornik za zaštitu podataka trebao bi imati ovlast za izricanje upravnih novčanih kazni, i to kao krajnje sankcije. Svrha novčanih kazni trebalo bi biti sankcioniranje institucije ili tijela, a ne pojedinaca, zbog neusklađenosti s ovom Uredbom kako bi se spriječila buduća kršenja ove Uredbe te poticala kultura zaštite osobnih podataka u institucijama i tijelima Unije. U ovoj bi Uredbi trebalo navesti kršenja te gornje granice i kriterije za određivanje upravnih novčanih kazni povezanih s tim kršenjima. Europski nadzornik za zaštitu podataka trebao bi za svaki pojedinačni slučaj odrediti iznos novčane kazne uzimajući u obzir sve bitne okolnosti konkretne situacije, vodeći računa o prirodi, težini i trajanju kršenja, njegovim posljedicama te mjerama poduzetima da bi se osiguralo ispunjavanje obveza iz ove Uredbe i spriječile ili ublažile posljedice kršenja. Pri izricanju upravne novčane kazne tijelu Unije Europski nadzornik za zaštitu podataka trebao bi razmotriti razmjernost iznosa novčane kazne. Upravnim postupkom za izricanje novčanih kazni institucijama i tijelima Unije trebala bi se poštovati opća načela prava Unije kako ih tumači Sud Europske unije.

(69)Ako ispitanik smatra da su prekršena njegova prava iz ove Uredbe, trebao bi imati pravo ovlastiti neprofitno tijelo, organizaciju ili udruženje osnovano u skladu s pravom Unije ili pravom države članice, u čijem se statutu navode ciljevi od javnog interesa i koje je aktivno u području zaštite osobnih podataka, da Europskom nadzorniku za zaštitu podataka podnese pritužbu u njegovo ime. Takvo tijelo, organizacija ili udruženje trebalo bi isto tako moći ostvariti pravo na pravni lijek u ime ispitanika ili ostvariti pravo na naknadu u ime ispitanika.

(70)Dužnosnik ili neki drugi službenik Unije koji ne ispuni obveze iz ove Uredbe trebao bi podlijegati stegovnom ili drugom postupku u skladu s pravilima i postupcima koji su utvrđeni Pravilnikom o osoblju za dužnosnike Europske Unije ili Uvjetima zaposlenja ostalih službenika Europske unije.

(71)Radi osiguravanja jedinstvenih uvjeta za provedbu ove Uredbe provedbene ovlasti trebalo bi dodijeliti Komisiji kad je to predviđeno ovom Uredbom. Te bi se ovlasti trebale izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća 16 . Za donošenje standardnih ugovornih klauzula između voditelja obrade i izvršitelja obrade te među izvršiteljima obrade, za donošenje popisa postupaka obrade za koje voditelji obrade koji obrađuju podatke zahtijevaju prethodno savjetovanje s Europskim nadzornikom za zaštitu podataka radi izvršavanja zadaće u interesu javnosti te za donošenje standardnih ugovornih klauzula kojima se osiguravaju odgovarajuće zaštitne mjere za međunarodne prijenose trebalo bi primjenjivati postupak ispitivanja.

(72)Trebalo bi zaštititi povjerljive informacije koje statistička tijela Unije i nacionalna statistička tijela prikupljaju za potrebe sastavljanja službene europske i nacionalne statistike. Europsku statistiku trebalo bi razvijati, izrađivati i širiti skladu sa statističkim načelima kako je određeno u članku 338. stavku 2. UFEU-a. U Uredbi (EZ) br. 223/2009 Europskog parlamenta i Vijeća 17 predviđaju se daljnje pojedinosti u pogledu statističke povjerljivosti europske statistike.

(73)Uredbu (EZ) br. 45/2001 i Odluku br. 1247/2002 trebalo bi staviti izvan snage. Upućivanja na Uredbu i Odluku koje su stavljene izvan snage trebale bi se tumačiti kao upućivanja na ovu Uredbu.

(74)Kako bi se zaštitila potpuna neovisnost članova neovisnog nadzornog tijela, ova Uredba ne bi trebala utjecati na mandat sadašnjeg Europskog nadzornika za zaštitu podataka i sadašnjeg pomoćnika nadzornika. Sadašnji pomoćnik nadzornika trebao bi ostati na dužnosti do isteka mandata, osim ako se ispuni jedan od uvjeta za prijevremeni prekid mandata Europskog nadzornika za zaštitu podataka koji je utvrđen ovom Uredbom. Odgovarajuće odredbe ove Uredbe trebale bi se primjenjivati na pomoćnika nadzornika do isteka njegova mandata.

(75)U skladu s načelom proporcionalnosti za postizanje temeljnog cilja osiguravanja jednakovrijedne razine zaštite pojedinaca i slobodnog kretanja osobnih podataka u Uniji potrebno je i primjereno utvrditi pravila o obradi osobnih podataka u institucijama i tijelima Unije. Ova Uredba ne prelazi ono što je potrebno za ostvarivanje ciljeva u skladu s člankom 5. stavkom 4. Ugovora o Europskoj uniji.

(76)Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 28. stavkom 2. Uredbe (EZ) br. 45/2001, koji je dao mišljenje dana XX/XX/XXXX.

DONIJELI SU OVU UREDBU:

POGLAVLJE I.

OPĆE ODREDBE

Članak 1.

Predmet i ciljevi

1.U ovoj se Uredbi utvrđuju pravila o zaštiti pojedinaca u pogledu obrade osobnih podataka u institucijama, tijelima, uredima i agencijama Unije te pravila o slobodnom kretanju osobnih podataka među njima ili prema primateljima koji imaju poslovni nastan u Uniji i podliježu Uredbi (EU) 2016/679 18 ili odredbama nacionalnog prava donesenima na temelju Direktive (EU) 2016/680 19 .

2.Ovom se Uredbom štite temeljna prava i slobode pojedinaca, a posebno njihovo pravo na zaštitu osobnih podataka.

3.Europski nadzornik za zaštitu podataka (EDPS) prati primjenu odredaba ove Uredbe na sve postupke obrade koje provode institucije ili tijela Unije.

Članak 2.

Područje primjene

1.Ova se Uredba primjenjuje na obradu osobnih podataka u svim institucijama i tijelima Unije ako se takva obrada provodi u okviru djelatnosti koje su potpuno ili djelomično u području primjene prava Unije.

2.Ova se Uredba primjenjuje na potpuno ili djelomično automatiziranu obradu osobnih podataka te na neautomatiziranu obradu osobnih podataka koji su dio sustava pohrane ili su tome namijenjeni.

Članak 3.

Definicije

1.Za potrebe ove Uredbe primjenjuju se sljedeće definicije:

(a)definicije iz Uredbe (EU) 2016/679, osim definicije pojma „voditelj obrade” iz članka 4. točke 7. te Uredbe;

(b) definicija pojma „elektronička komunikacija” iz članka 4. stavka 2. točke (a) Uredbe (EU) XX/XXXX [Uredba o e-privatnosti];

(c) definicije pojmova „elektronička komunikacijska mreža” i „krajnji korisnik” iz članka 2. točke 1. i točke 14. Direktive 00/0000/EU [Direktiva o Europskom zakoniku elektroničkih komunikacija];

(d) definicija pojma „terminalna oprema” iz članka 1. točke 1. Direktive Komisije 2008/63/EZ 20 .

2.Za potrebe ove Uredbe primjenjuju se i sljedeće definicije:

(a)„institucije i tijela Unije” znači institucije, tijela, uredi i agencije Unije osnovani Ugovorom o Europskoj uniji, Ugovorom o funkcioniranju Europske unije ili Ugovorom o Euratomu ili na temelju tih ugovora;

(b)„voditelj obrade” znači institucija, tijelo, ured ili agencija Unije ili glavna uprava ili bilo koji drugi organizacijski subjekt koji samostalno ili zajedno s ostalima određuje svrhe i sredstva obrade osobnih podataka; ako su svrhe i sredstva obrade određeni posebnim aktom Unije, pravom Unije mogu se odrediti voditelj obrade ili posebni kriteriji za njegovo imenovanje;

(c)„korisnik” znači svaka fizička osoba koja upotrebljava mrežu ili terminalnu opremu čijim radom upravlja institucija ili tijelo Unije;

(d)„imenik” znači javno dostupan imenik korisnika ili interni imenik korisnika dostupan unutar institucije ili tijela Unije ili kojim se zajednički koriste institucije i tijela Unije, u tiskanom ili elektroničkom obliku.

POGLAVLJE II.

NAČELA

Članak 4.

Načela obrade osobnih podataka

1.Osobni podaci moraju biti:

(a)zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika („zakonitost, poštenost i transparentnost”);

(b)prikupljeni u točno utvrđene, izrijekom navedene i zakonite svrhe te se ne smiju dalje obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe ne smatra se, u skladu s člankom 13., neusklađenom s prvotnim svrhama („ograničavanje svrhe”);

(c)primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”);

(d)točni i, ako je potrebno, ažurirani; potrebno je poduzeti sve odgovarajuće mjere da se podaci koji su netočni ili nepotpuni s obzirom na svrhe u koje su prikupljeni ili zbog kojih se dalje obrađuju bez odgode izbrišu ili isprave („točnost”);

(e)čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe za koje se osobni podaci obrađuju; osobni podaci mogu se pohraniti na dulja razdoblja ako se budu obrađivali isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 13., uz uvjet da se provode primjerene tehničke i organizacijske mjere propisane ovom Uredbom radi zaštite prava i sloboda ispitanika („ograničenje pohrane”);

(f)obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja, primjenom odgovarajućih tehničkih ili organizacijskih mjera („cjelovitost i povjerljivost”);

2.Voditelj obrade odgovoran je za usklađenost sa stavkom 1. te je mora moći dokazati („odgovornost”).

Članak 5.

Zakonitost obrade

1.Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a)obrada je nužna za izvršavanje zadaće od javnog interesa koja se obavlja na temelju službene ovlasti dodijeljene instituciji ili tijelu Unije ili pri izvršavanju te ovlasti;

(b)obrada je nužna za ispunjavanje pravnih obveza voditelja obrade;

(c)obrada je nužna za izvršavanje ugovora kojeg je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(d)ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(e)obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe.

2.Zadaće iz stavka 1. točke (a) utvrđuju se pravom Unije.

Članak 6.

Obrada u drugu sukladnu svrhu

Ako se obrada u drugu svrhu osim one u koju su osobni podaci prikupljeni ne temelji na privoli ispitanika ili na pravu Unije koje predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu ciljeva iz članka 25. stavka 1., voditelj obrade, kako bi utvrdio je li obrada u drugu svrhu u skladu sa svrhom u koju su osobni podaci prvotno prikupljeni, među ostalim uzima u obzir:

(a)svaku vezu između svrha prikupljanja osobnih podataka i svrha planirane daljnje obrade;

(b)kontekst u kojem su osobni podaci prikupljeni, posebno u pogledu odnosa između ispitanikâ i voditelja obrade;

(c)prirodu osobnih podataka, posebno s obzirom na to obrađuju li se posebne kategorije osobnih podataka u skladu s člankom 10. ili osobni podaci koji se odnose na kaznene osude i kažnjiva djela u skladu s člankom 11.;

(d)moguće posljedice planirane daljnje obrade za ispitanike;

(e)postojanje odgovarajućih zaštitnih mjera, koje mogu uključivati enkripciju ili pseudonimizaciju.

Članak 7.

Uvjeti privole

1.Kad se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka.

2.Ako ispitanik da privolu u vidu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen tako da se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku te jasno i jednostavno sročen. Svaki dio takve izjave koji predstavlja kršenje ove Uredbe nije obvezujući.

3.Ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Ispitanik se o tome obavješćuje prije davanja privole. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje.

4.Kad se procjenjuje je li privola bila dobrovoljna, posebno se uzima u obzir je li, među ostalim, izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora.

Članak 8.

Uvjeti koji se primjenjuju na privolu djeteta u odnosu na usluge informacijskog društva

1.Kad se primjenjuje članak 5. stavak 1. točka (d) u pogledu nuđenja usluga informacijskog društva izravno djetetu, obrada osobnih podataka djeteta zakonita je ako dijete ima najmanje 13 godina. Ako je dijete mlađe od 13 godina, takva je obrada zakonita samo ako i u mjeri u kojoj je privolu dao ili odobrio nositelj roditeljske odgovornosti za dijete.

2.Voditelj obrade mora uložiti razmjerne napore u provjeru je li privolu u takvim slučajevima dao ili odobrio nositelj roditeljske odgovornosti za dijete, uzimajući u obzir dostupnu tehnologiju.

3.Stavak 1. ne utječe na opće ugovorno pravo država članica, kao što su pravila o valjanosti, sklapanju ili učinku ugovora kad je riječ o djetetu.

Članak 9.

Prijenos osobnih podataka primateljima koji nisu institucije i tijela Unije, a imaju poslovni nastan u Uniji i podliježu Uredbi (EU) 2016/679 ili Direktivi (EU) 2016/680

1.Ne dovodeći u pitanje članke 4., 5., 6. i 10., osobni se podaci prenose primateljima koji imaju poslovni nastan u Uniji i koji podliježu Uredbi (EU) 2016/679 ili nacionalnom pravu donesenom na temelju Direktive (EU) 2016/680 samo ako primatelj dokaže:

(a)da su mu podaci potrebni za izvršavanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju javne ovlasti ili;

(b)da je prijenos podataka nužan i razmjeran svrhama prijenosa te ako nema razloga za pretpostavku da bi prava i slobode te legitimni interesi ispitanika mogli biti dovedeni u pitanje.

2.Ako se prijenos u skladu s ovim člankom odvija na inicijativu voditelja obrade, voditelj obrade dužan je primjenom kriterija utvrđenih u stavku 1. točki (a) ili (b) dokazati da je prijenos podataka nužan i razmjeran svrhama prijenosa.

Članak 10.

Obrada posebnih kategorija osobnih podataka

1.Zabranjuje se obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.

2.Stavak 1. ne primjenjuje se ako je ispunjen jedan od sljedećih uvjeta:

(a)ispitanik je dao izričitu privolu za obradu tih podataka za jednu ili više određenih svrha, osim ako se pravom Unije propisuje da ispitanik ne može ukinuti zabranu iz stavka 1.;

(b)obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno pravom Unije koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika ili

(c)obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca ako ispitanik fizički ili pravno nije u stanju dati privolu;

(d)obradu u sklopu svojih legitimnih aktivnosti i uz odgovarajuće zaštitne mjere provodi neprofitno tijelo koje je subjekt uključen u instituciju ili tijelo Unije i koje ima politički, filozofski, vjerski ili sindikalni cilj, pod uvjetom da se obrada odnosi samo na članove ili bivše članove tog tijela ili na osobe koje su s njim u redovitom kontaktu u vezi s njegovim ciljevima te da se podaci bez privole ispitanika ne priopćavaju nikome izvan tog tijela;

(e)obrada se odnosi na podatke za koje je očito da ih je objavio ispitanik;

(f)obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili kad god Sud Europske unije djeluje u sudbenom svojstvu ili

(g)obrada je nužna zbog znatnog javnog interesa na temelju prava Unije koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika;

(h)obrada je nužna u svrhu preventivne medicine ili medicine rada, za procjenu radne sposobnosti zaposlenika, medicinsku dijagnozu, pružanje zdravstvene ili socijalne skrbi ili liječenje ili upravljanje zdravstvenim ili socijalnim sustavima i uslugama na temelju prava Unije ili u skladu s ugovorom sa zdravstvenim radnikom te u skladu s uvjetima i zaštitnim mjerama iz stavka 3.;

(i)obrada je nužna u svrhu javnog interesa u području javnog zdravlja, kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova ili medicinskih proizvoda, na temelju prava Unije kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno čuvanje profesionalne tajne;

(j)obrada je nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe na temelju prava Unije koje je razmjerno cilju koji se nastoji postići te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika.

3.Osobni podaci iz stavka 1. mogu se obrađivati u svrhe navedene u stavku 2. točki (h) kad te podatke obrađuje stručno tijelo ili se obrađuju pod odgovornošću stručnog tijela koje podliježe obvezi čuvanja profesionalne tajne u skladu s pravom Unije.

Članak 11.

Obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela

Obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela ili s njima povezane mjere sigurnosti na temelju članka 5. stavka 1. provodi se samo ako je odobrena pravom Unije, koje može uključivati i interna pravila, kojim se propisuju odgovarajuće posebne zaštitne mjere za prava i slobode ispitanika.

Članak 12.

Obrada koja ne zahtijeva identifikaciju

1.Ako se u svrhe u koje voditelj obrade obrađuje osobne podatke ne zahtijeva ili više ne zahtijeva da voditelj obrade identificira ispitanika, voditelj obrade nije obvezan zadržavati, pribavljati ili obrađivati dodatne informacije radi identificiranja ispitanika samo u svrhu poštovanja ove Uredbe.

2.Ako u slučajevima iz stavka 1. ovog članka voditelj obrade može dokazati da nije u mogućnosti identificirati ispitanika, voditelj obrade o tome na odgovarajući način obavješćuje ispitanika, ako je moguće. U takvim slučajevima ne primjenjuju se članci od 17. do 22., osim ako ispitanik u svrhu ostvarivanja svojih prava iz tih članaka pruži dodatne informacije koje omogućuju njegovu identifikaciju.

Članak 13.

Zaštitne mjere koje se odnose na obradu u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe

Na obradu u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe primjenjuju se odgovarajuće zaštitne mjere u skladu s ovom Uredbom u pogledu prava i sloboda ispitanika. Tim zaštitnim mjerama osigurava se da su na snazi tehničke i organizacijske mjere, posebno kako bi se zajamčilo načelo smanjenja količine podataka. Te mjere mogu uključivati pseudonimizaciju, pod uvjetom da se te svrhe mogu postići na taj način. Ako se te svrhe mogu postići daljnjom obradom koja ne dopušta ili više ne dopušta identifikaciju ispitanika, te se svrhe postižu na taj način.

POGLAVLJE III.

PRAVA ISPITANIKA

ODJELJAK 1.

TRANSPARENTNOST I MODALITETI

Članak 14.

Transparentne informacije, komunikacija i modaliteti za ostvarivanje prava ispitanika

1.Voditelj obrade poduzima odgovarajuće mjere kako bi se ispitaniku pružile sve informacije iz članaka 15. i 16. i sva komunikacija iz članaka od 17. do 24. i članka 38. u vezi s obradom u sažetom, transparentnom, razumljivom i lako dostupnom obliku, jasno i jednostavno sročene, što se osobito odnosi na informacije koje su posebno namijenjene djetetu. Informacije se pružaju u pisanom obliku ili drugim sredstvima, među ostalim, ako je prikladno, elektroničkim putem. Ako to zatraži ispitanik, informacije se mogu pružiti usmenim putem, pod uvjetom da je identitet ispitanika utvrđen drugim sredstvima.

2.Voditelj obrade olakšava ostvarivanje prava ispitanika iz članaka od 17. do 24. U slučajevima iz članka 12. stavka 2. voditelj obrade ne smije odbiti postupiti po zahtjevu ispitanika u svrhu ostvarivanja njegovih prava iz članaka od 17. do 24., osim ako voditelj obrade dokaže da nije u mogućnosti utvrditi identitet ispitanika.

3.Voditelj obrade ispitaniku na zahtjev pruža informacije o poduzetim radnjama iz članaka od 17. do 24. bez nepotrebne odgode i u svakom slučaju u roku od mjesec dana od zaprimanja zahtjeva. Taj se rok može prema potrebi produljiti za još dva mjeseca, uzimajući u obzir složenost i broj zahtjevâ. Voditelj obrade u roku od mjesec dana od zaprimanja zahtjeva obavješćuje ispitanika o svakom takvom produljenju i o razlozima odgode. Ako ispitanik podnese zahtjev elektroničkim putem, informacije se, ako je moguće, pružaju elektroničkim putem, osim ako ispitanik zatraži drukčije.

4.Ako voditelj obrade ne postupi po zahtjevu ispitanika, bez odgode i najkasnije mjesec dana od primitka zahtjeva obavješćuje ispitanika o razlozima zbog kojih nije postupio te o mogućnosti podnošenja pritužbe Europskom nadzorniku za zaštitu podataka i traženja pravnog lijeka.

5.Informacije pružene u skladu s člancima 15. i 16. i sva komunikacija i djelovanja iz članaka od 17. do 24. i članka 38. pružaju se bez naknade. Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, posebno zbog njihove učestalosti, voditelj obrade može odbiti postupiti po zahtjevu.

Teret dokazivanja očigledne neutemeljenosti ili pretjeranosti zahtjeva snosi voditelj obrade.

6.Ne dovodeći u pitanje članak 12., ako voditelj obrade ima opravdane sumnje u pogledu identiteta pojedinca koji podnosi zahtjev iz članaka od 17. do 23., voditelj obrade može tražiti pružanje dodatnih informacija potrebnih za potvrđivanje identiteta ispitanika.

7.Informacije koje treba pružiti ispitanicima u skladu s člancima 15. i 16. mogu se pružiti u kombinaciji sa standardiziranim ikonama kako bi se na lako vidljiv, razumljiv i jasno čitljiv način pružio smislen pregled planirane obrade. Ako su ikone prikazane elektronički, moraju biti strojno čitljive.

8.Ako Komisija u skladu s člankom 12. stavkom 8. Uredbe (EU) 2016/679 donese delegirane akte kojima se određuju informacije koje treba prikazati ikonama te postupci za utvrđivanje standardiziranih ikona, institucije i tijela Unije prema potrebi pružaju informacije iz članaka 15. i 16. u kombinaciji s takvim standardiziranim ikonama.

ODJELJAK 2.

INFORMACIJE I PRISTUP OSOBNIM PODACIMA

Članak 15.

Informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanika

1.Ako se osobni podaci koji se odnose na ispitanika prikupljaju od tog ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka predmetnom ispitaniku pruža sve sljedeće informacije:

(a)identitet i podatke za kontakt voditelja obrade;

(b)podatke za kontakt službenika za zaštitu podataka;

(c)svrhe obrade kojoj su namijenjeni osobni podaci i pravnu osnovu za obradu;

(d)primatelje ili kategorije primatelja osobnih podataka, ako postoje;

(e)ako je primjenjivo, namjeru voditelja obrade da osobne podatke prenese trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti ili, u slučaju prijenosâ iz članka 49., upućivanje na odgovarajuće ili prikladne zaštitne mjere i načine pribavljanja njihove kopije ili mjesto na kojem su stavljene na raspolaganje.

2.Osim informacija iz stavka 1. voditelj obrade u trenutku prikupljanja osobnih podataka pruža ispitaniku sljedeće dodatne informacije potrebne za osiguravanje poštene i transparentne obrade:

(a)razdoblje u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterije na temelju kojih se to razdoblje utvrđuje;

(b)postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili, ako je primjenjivo, prava na ulaganje prigovora na obradu ili prava na prenosivost podataka;

(c)ako se obrada temelji na članku 5. stavku 1. točki (d) ili članku 10. stavku 2. točki (a), postojanje prava na povlačenje privole u bilo kojem trenutku, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je povučena;

(d)pravo na podnošenje pritužbe Europskom nadzorniku za zaštitu podataka;

(e)informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;

(f)postojanje automatiziranog donošenja odluka, uključujući izradu profila iz članka 24. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

3.Ako voditelj obrade namjerava dodatno obrađivati osobne podatke u drugu svrhu osim one za koju su prikupljeni, prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 2.

4.Stavci 1., 2. i 3. ne primjenjuju se ako i u onoj mjeri u kojoj ispitanik već raspolaže informacijama.

Članak 16.

Informacije koje treba pružiti ako osobni podaci nisu dobiveni od ispitanika

1.Ako osobni podaci nisu dobiveni od ispitanika, voditelj obrade ispitaniku pruža sljedeće informacije:

(a)identitet i podatke za kontakt voditelja obrade;

(b)podatke za kontakt službenika za zaštitu podataka;

(c)svrhe obrade kojoj su namijenjeni osobni podaci i pravnu osnovu za obradu;

(d)kategorije osobnih podataka o kojima je riječ;

(e)primatelje ili kategorije primatelja osobnih podataka, ako postoje;

(f)ako je primjenjivo, namjeru voditelja obrade da osobne podatke prenese primatelju u trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti ili, u slučaju prijenosâ iz članka 49., upućivanje na odgovarajuće ili prikladne zaštitne mjere i načine pribavljanja njihove kopije ili mjesto na kojem su stavljene na raspolaganje.

2.Osim informacija iz stavka 1. voditelj obrade ispitaniku pruža sljedeće dodatne informacije potrebne za osiguravanje poštene i transparentne obrade s obzirom na ispitanika:

(a)razdoblje u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterije na temelju kojih se to razdoblje utvrđuje;

(d)pravo na podnošenje pritužbe Europskom nadzorniku za zaštitu podataka;

(e)izvor osobnih podataka i, ako je primjenjivo, dolaze li iz javno dostupnih izvora;

(f)postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 24. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

3.Voditelj obrade pruža informacije iz stavaka 1. i 2.:

(a)unutar razumnog roka nakon dobivanja osobnih podataka, a najkasnije u roku od mjesec dana, uzimajući u obzir posebne okolnosti obrade osobnih podataka;

(b)ako se osobni podaci trebaju upotrebljavati za komunikaciju s ispitanikom, najkasnije u trenutku prve komunikacije ostvarene s tim ispitanikom; ili

(c)ako je predviđeno otkrivanje podataka drugom primatelju, najkasnije u trenutku kad su osobni podaci prvi put otkriveni.

4.Ako voditelj obrade namjerava dodatno obrađivati osobne podatke u drugu svrhu osim one za koju su osobni podaci dobiveni, prije te dodatne obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 2.

5.Stavci od 1. do 4. ne primjenjuju se ako i u mjeri u kojoj:

(a)ispitanik već ima te informacije;

(b)pružanje takvih informacija nemoguće je ili bi zahtijevalo nerazmjeran napor, posebno za obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe ili u mjeri u kojoj je vjerojatno da se obvezom iz stavka 1. ovog članka može onemogućiti ili ozbiljno ugroziti postizanje ciljeva te obrade;

(c)dobivanje ili otkrivanje podataka izrijekom je propisano pravom Unije; ili

(d)ako osobni podaci moraju ostati povjerljivi u skladu s obvezom čuvanja profesionalne tajne koja je uređena pravom Unije.

Članak 17.

Pravo ispitanika na pristup

1.Ispitanik ima pravo od voditelja obrade dobiti potvrdu o tome obrađuju li se osobni podaci koji se odnose na njega te, ako se obrađuju, pristup tim osobnim podacima i informacije o sljedećem:

(a)svrhama obrade;

(b)kategorijama osobnih podataka o kojima je riječ;

(c)primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, posebno primateljima u trećim zemljama ili međunarodnim organizacijama;

(d)ako je moguće, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako nije moguće, kriterijima za utvrđivanje tog razdoblja;

(e)postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu;

(f)pravu na podnošenje pritužbe Europskom nadzorniku za zaštitu podataka;

(g)ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj informaciji o njihovu izvoru;

(h)postojanju automatiziranog donošenja odluka, što uključuje izradu profila iz članka 24. stavaka 1. i 4. te, barem u tim slučajevima, smislenim informacijama o tome o kojoj je logici riječ, kao i važnosti i predviđenim posljedicama takve obrade za ispitanika.

2.Ako se osobni podaci prenose u treću zemlju ili međunarodnu organizaciju, ispitanik ima pravo biti informiran o odgovarajućim zaštitnim mjerama u skladu s člankom 49. koje se odnose na prijenos.

3.Voditelj obrade osigurava kopiju osobnih podataka koji se obrađuju. Ako ispitanik podnese zahtjev elektroničkim putem, informacije se pružaju u uobičajenom elektroničkom obliku, osim ako ispitanik zatraži drukčije.

4.Pravo na dobivanje kopije iz stavka 3. ne smije negativno utjecati na prava i slobode drugih.

ODJELJAK 3.

ISPRAVAK I BRISANJE

Članak 18.

Pravo na ispravak

Ispitanik ima pravo bez nepotrebne odgode od voditelja obrade ishoditi ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.

Članak 19.

Pravo na brisanje („pravo na zaborav”)

1.Ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebne odgode, a voditelj obrade ima obvezu izbrisati osobne podatke bez nepotrebne odgode ako je ispunjen jedan od sljedećih uvjeta:

(a)osobni podaci više nisu nužni s obzirom na svrhe za koje su prikupljeni ili na drugi način obrađeni;

(b)ispitanik povuče privolu na kojoj se obrada temelji u skladu s člankom 5. stavkom 1. točkom (d) ili člankom 10. stavkom 2. točkom (a) i ako ne postoji druga pravna osnova za obradu;

(c)ispitanik podnese prigovor na obradu u skladu s člankom 23. stavkom 1. te ne postoje jači legitimni razlozi za obradu;

(d)osobni podaci nezakonito su obrađeni;

(e)osobni podaci moraju se brisati radi ispunjavanja pravne obveze kojoj podliježe voditelj obrade;

(f)osobni podaci prikupljeni su u vezi s ponudom usluga informacijskog društva iz članka 8. stavka 1.

2.Ako je voditelj obrade javno objavio osobne podatke i dužan ih je u skladu sa stavkom 1. izbrisati, s obzirom na dostupnu tehnologiju i trošak provedbe poduzima razumne mjere, među ostalim i tehničke, kako bi informirao voditelje obrade koji obrađuju osobne podatke da je ispitanik od njih zatražio da izbrišu sve poveznice s tim osobnim podacima odnosno sve kopije ili rekonstrukcije tih osobnih podataka.

3.Stavci 1. i 2. ne primjenjuju se u mjeri u kojoj je obrada nužna:

(a)za ostvarivanje prava na slobodu izražavanja i informiranja;

(b)za ispunjavanje pravne obveze kojoj podliježe voditelj obrade ili za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti dodijeljene voditelju obrade;

(c)zbog javnog interesa u području javnog zdravlja u skladu s člankom 10. stavkom 2. točkama (h) i (i) te člankom 10. stavkom 3.;

(d)u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u mjeri u kojoj je vjerojatno da se pravom iz stavka 1. može onemogućiti ili ozbiljno ugroziti postizanje ciljeva te obrade; ili

(e)za postavljanje, ostvarivanje ili obranu pravnih zahtjeva.

Članak 20.

Pravo na ograničenje obrade

1.Ispitanik ima pravo od voditelja obrade ishoditi ograničenje obrade ako je ispunjen jedan od sljedećih uvjeta:

(a)ispitanik osporava točnost osobnih podataka na razdoblje koje voditelju obrade omogućuje da provjeri točnost osobnih podataka, uključujući i njihovu potpunost;

(b)obrada je nezakonita, a ispitanik se protivi brisanju osobnih podataka i umjesto toga traži ograničenje njihove uporabe;

(c)voditelj obrade više ne treba osobne podatke za svrhe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;

(d)ispitanik je podnio prigovor na obradu na temelju članka 23. stavka 1. dok se ne utvrdi imaju li legitimni razlozi voditelja obrade prednost pred razlozima ispitanika.

2.Ako je obrada ograničena stavkom 1., takvi osobni podaci smiju se, uz iznimku pohrane, obrađivati samo uz privolu ispitanika ili za postavljanje, ostvarivanje ili obranu pravnih zahtjeva ili zaštitu prava druge fizičke ili pravne osobe ili zbog važnog javnog interesa Unije ili države članice.

3.Ispitanika koji je ishodio ograničenje obrade na temelju stavka 1. voditelj obrade obavješćuje prije nego što ograničenje obrade bude ukinuto.

4.U automatiziranim sustavima pohrane ograničavanje obrade osobnih podataka u načelu se osigurava tehničkim sredstvima. Činjenica da je obrada osobnih podataka ograničena naznačuje se u sustavu tako da bude jasno da se predmetni osobni podaci ne smiju upotrijebiti.

Članak 21.

Obveza obavješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obrade

Voditelj obrade priopćuje svaki ispravak ili brisanje osobnih podataka ili ograničenje obrade provedeno u skladu s člankom 18., člankom 19. stavkom 1. i člankom 20. svakom primatelju kojem su osobni podaci otkriveni, osim ako se to pokaže nemogućim ili zahtijeva nerazmjeran napor. Voditelj obrade obavješćuje ispitanika o tim primateljima ako ispitanik to zatraži.

Članak 22.

Pravo na prenosivost podataka

1.Ispitanik ima pravo osobne podatke koji se odnose na njega i koje je dao voditelju obrade dobiti u strukturiranom, uobičajenom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade, a da voditelj obrade kojem su osobni podaci dani to ne ometa, ako:

(a)obrada se temelji na privoli u skladu s člankom 5. stavkom 1. točkom (d) ili člankom 10. stavkom 2. točkom (a) ili na ugovoru u skladu s člankom 5. stavkom 1. točkom (c); i

(b)obrada se provodi automatiziranim sredstvima.

2.Pri ostvarivanju svojeg prava na prenosivost podataka na temelju stavka 1. ispitanik ima pravo da mu se osobni podaci izravno prenesu od jednog voditelja obrade drugome ako je to tehnički izvedivo.

3.Ostvarivanjem prava iz stavka 1. ovog članka ne dovodi se u pitanje članak 19. To se pravo ne primjenjuje na obradu nužnu za obavljanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti dodijeljene voditelju obrade.

4.Pravo iz stavka 1. ne smije negativno utjecati na prava i slobode drugih.

ODJELJAK 4.

PRAVO NA PRIGOVOR I AUTOMATIZIRANO POJEDINAČNO DONOŠENJE ODLUKA

Članak 23.

Pravo na prigovor

1.Ispitanik ima pravo, u skladu s člankom 5. stavkom 1. točkom (a), na temelju svoje posebne situacije u svakom trenutku podnijeti prigovor na obradu osobnih podataka koji se odnose na njega, uključujući izradu profila koja se temelji na toj odredbi. Voditelj obrade više ne smije obrađivati osobne podatke osim ako dokaže da postoje uvjerljivi legitimni razlozi za obradu koji imaju prednost pred interesima, pravima i slobodama ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

2.Ispitaniku se najkasnije u trenutku prve komunikacije s njim izričito mora skrenuti pozornost na pravo iz stavka 1. te se to mora učiniti na jasan način i odvojeno od svih drugih informacija.

3.Ne dovodeći u pitanje članke 34. i 35., u kontekstu služenja uslugama informacijskog društva ispitanik može ostvariti svoje pravo na prigovor automatiziranim putem, uporabom tehničkih specifikacija.

4.Ako se osobni podaci obrađuju u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe ispitanik na temelju svoje posebne situacije ima pravo podnijeti prigovor na obradu osobnih podataka koji se na njega odnose, osim ako je obrada nužna za izvršavanje zadaće od javnog interesa.

Članak 24.

Automatizirano pojedinačno donošenje odluka, uključujući izradu profila

1.Ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način znatno na njega utječu.

2.Stavak 1. ne primjenjuje se ako je odluka:

(a)potrebna za sklapanje ili izvršenje ugovora između ispitanika i voditelja obrade podataka;

(b)dopuštena pravom Unije, kojim se propisuju i odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika; ili

(c)temeljena na izričitoj privoli ispitanika.

3.U slučajevima iz stavka 2. točaka (a) i (c) voditelj obrade provodi odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika, barem prava na ljudsku intervenciju voditelja obrade, prava izražavanja vlastitog stajališta te prava na osporavanje odluke.

4.Odluke iz stavka 2. ne smiju se temeljiti na posebnim kategorijama osobnih podataka iz članka 10. stavka 1., osim ako se primjenjuje članak 10. stavak 2. točka (a) ili (g) te ako su uspostavljene odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika.

ODJELJAK 5.

OGRANIČENJA

Članak 25.

Ograničenja

1.Pravnim aktima donesenima na temelju Ugovorâ ili, u pitanjima koja se odnose na djelovanje institucija i tijela Unije, internih pravila koja su donijele te institucije i tijela može se ograničiti primjena članaka od 14. do 22., 34. i 38. te članka 4. ako njegove odredbe odgovaraju pravima i obvezama predviđenima u člancima od 14. do 22., ako se takvim ograničenjem poštuje bit temeljnih prava i sloboda te je ono nužna i razmjerna mjera u demokratskom društvu za zaštitu:

(a)nacionalne sigurnosti, javne sigurnosti ili obrane država članica;

(b)sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje;

(c)drugih važnih ciljeva od općeg javnog interesa Unije ili države članice, posebice važnog gospodarskog ili financijskog interesa Unije ili države članice, što uključuje monetarna, proračunska i porezna pitanja, javno zdravlje i socijalnu sigurnost;

(d)unutarnje sigurnosti institucija i tijela Unije, uključujući sigurnost njihovih elektroničkih komunikacijskih mreža;

(e)zaštite neovisnosti pravosuđa i sudskih postupaka;

(f)sprečavanja, istrage, otkrivanja i progona kršenja etike za regulirane struke;

(g)funkcije praćenja, inspekcije ili regulatorne funkcije koja je, barem povremeno, povezana s izvršavanjem službene ovlasti u slučajevima iz točaka od (a) do (c);

(h)zaštite ispitanika ili prava i sloboda drugih;

(i)ostvarivanja potraživanja u građanskim sporovima.

2.Ako ograničenje nije predviđeno pravnim aktom donesenim na temelju Ugovorâ ili internih pravila u skladu sa stavkom 1., institucije i tijela Unije mogu ograničiti primjenu članaka od 14. do 22., 34. i 38. te članka 4. ako njegove odredbe odgovaraju pravima i obvezama predviđenima u člancima od 14. do 22., ako se takvim ograničenjem poštuje bit temeljnih prava i sloboda u odnosu na određeni postupak obrade te je ono nužna i razmjerna mjera u demokratskom društvu za zaštitu jednog ili više ciljeva iz stavka 1. O tom se ograničenju obavješćuje nadležni službenik za zaštitu podataka.

3.Ako se osobni podaci obrađuju u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, pravom Unije, koje može uključivati interna pravila, mogu se predvidjeti odstupanja od prava navedenih u člancima 17., 18., 20. i 23., uz primjenu uvjeta i mjera zaštite iz članka 13., u mjeri u kojoj je vjerojatno da bi se takvim pravima moglo onemogućiti ili ozbiljno ugroziti postizanje tih posebnih svrha te su takva odstupanja nužna za postizanje tih svrha.

4.Ako se osobni podaci obrađuju u svrhe arhiviranja u javnom interesu, pravom Unije, koje može uključivati interna pravila, mogu se predvidjeti odstupanja od prava iz članaka 17., 18., 20., 21., 22. i 23., uz primjenu uvjeta i mjera zaštite iz članka 13., u mjeri u kojoj je vjerojatno da bi se takvim pravima moglo onemogućiti ili ozbiljno ugroziti postizanje tih posebnih svrha te su takva odstupanja nužna za postizanje tih svrha.

5.Interna pravila iz stavaka 1., 3. i 4. moraju biti dovoljno jasna i precizna te na odgovarajući način objavljena.

6.Ako se uvede ograničenje u skladu sa stavkom 1. ili 2., ispitanika se mora, u skladu s pravom Unije, obavijestiti o glavnim razlozima na kojima se temelji primjena ograničenja te o njegovu pravu na podnošenje pritužbe Europskom nadzorniku za zaštitu podataka.

7.Ako se ograničenje uvedeno u skladu sa stavkom 1. ili 2. primjenjuje kako bi se ispitaniku uskratio pristup, Europski nadzornik za zaštitu podataka pri ispitivanju pritužbe obavješćuje ispitanika samo o tome jesu li podaci obrađeni ispravno te, ako nisu, jesu li izvršeni svi potrebni ispravci.

8.Obavješćivanje iz stavaka 6. i 7. te iz članka 46. stavka 2. može se odgoditi, izostaviti ili uskratiti ako bi poništilo učinak ograničenja uvedenog u skladu sa stavkom 1. ili 2.

POGLAVLJE IV.

VODITELJ OBRADE I IZVRŠITELJ OBRADE

ODJELJAK 1.

OPĆE OBVEZE

Članak 26.

Obveze voditelja obrade

1.Uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade te različite razine vjerojatnosti i ozbiljnosti rizika za prava i slobode pojedinaca, voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom. Te se mjere prema potrebi preispituju i ažuriraju.

2.Ako su razmjerne u odnosu na aktivnosti obrade, mjere iz stavka 1. uključuju odgovarajuće politike zaštite podataka koje provodi voditelj obrade.

Članak 27.

Tehnička i integrirana zaštita podataka

1.Uzimajući u obzir najnovija dostignuća, trošak provedbe i prirodu, opseg, kontekst i svrhe obrade te različite razine vjerojatnosti i ozbiljnosti rizika za prava i slobode pojedinaca koji proizlaze iz obrade podataka, voditelj obrade, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, kao što je pseudonimizacija, za omogućavanje učinkovite primjene načela zaštite podataka, kao što je smanjenje količine podataka, te za uključenje potrebnih zaštitnih mjera u obradu kako bi se ispunili zahtjevi iz ove Uredbe i zaštitila prava ispitanika.

2.Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.

Članak 28.

Zajednički voditelji obrade

1.Ako institucija ili tijelo Unije i jedan ili više voditelja obrade, koji mogu, ali ne moraju biti institucije ili tijela Unije, zajednički odrede svrhe i načine obrade, oni su zajednički voditelji obrade. Oni na transparentan način određuju svoje odgovornosti za ispunjavanje obveza u vezi sa zaštitom podataka, posebno u pogledu ostvarivanja prava ispitanika, i svojih dužnosti u pogledu pružanja informacija iz članaka 15. i 16. te to čine međusobnim dogovorom, osim ako su, i u mjeri u kojoj su, odgovornosti voditeljâ obrade utvrđene pravom Unije ili pravom države članice kojem voditelji obrade podliježu. Dogovorom se može odrediti kontaktna točka za ispitanike.

2.U dogovoru iz stavka 1. moraju se propisno odražavati uloge i odnosi zajedničkih voditelja obrade prema ispitanicima. Bit dogovora stavlja se na uvid ispitaniku.

3.Ispitanik može ostvarivati svoja prava iz ove Uredbe u vezi s jedim ili više zajedničkih voditelja obrade, kao i protiv njih, uzimajući u obzir njihovu ulogu kako je određena uvjetima dogovora iz stavka 1.

Članak 29.

Izvršitelj obrade

1.Ako se obrada provodi u ime voditelja obrade, voditelj obrade surađuje samo s izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz ove Uredbe i da se njome osigurava zaštita prava ispitanika.

2.Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja izvršitelj obrade dužan je obavijestiti voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da podnese prigovor na takve izmjene.

3.Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade te u kojem se navode predmet i trajanje obrade, priroda i svrha obrade, vrsta osobnih podataka i kategorije ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom posebno određuje da izvršitelj obrade:

(a)obrađuje osobne podatke samo prema dokumentiranim uputama voditelja obrade, među ostalim s obzirom na prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade; u tom slučaju izvršitelj obrade obavješćuje voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo obavješćivanje zbog važnih razloga od javnog interesa;

(b)osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti;

(c)poduzima sve potrebne mjere u skladu s člankom 33.;

(d)poštuje uvjete iz stavaka 2. i 4. za angažiranje drugog izvršitelja obrade;

(e)uzimajući u obzir prirodu obrade, pomaže voditelju obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III.;

(f)pomaže voditelju obrade u osiguravanju usklađenosti s obvezama iz članaka od 33. do 40., uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade;

(g)prema izboru voditelja obrade briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga povezanih s obradom te briše postojeće kopije, osim ako je pravom Unije ili pravom države članice propisana obveza pohrane osobnih podataka;

(h)voditelju obrade stavlja na raspolaganje sve informacije koje su potrebne za dokazivanje usklađenosti s obvezama utvrđenima u ovom članku i koje omogućuju revizije, uključujući inspekcije koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade te im doprinose.

U pogledu točke (h) prvog podstavka izvršitelj obrade bez odgode obavješćuje voditelja obrade ako se prema njegovu mišljenju određenom uputom krši ova Uredba ili druge odredbe Unije ili države članice o zaštiti podataka.

4.Ako izvršitelj obrade angažira drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja obrade, iste obveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade iz stavka 3. nameću se tom drugom izvršitelju obrade ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, a posebno obveza davanja dostatnih jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera na način da se obradom ispune zahtjevi iz ove Uredbe. Ako taj drugi izvršitelj obrade ne ispunjava obveze zaštite podataka, prvi izvršitelj obrade ostaje u cijelosti odgovoran voditelju obrade za izvršavanje obveza tog drugog izvršitelja obrade.

5.Ako izvršitelj obrade nije institucija ili tijelo Unije, njegovo poštovanje odobrenog kodeksa ponašanja iz članka 40. stavka 5. Uredbe (EU) 2016/679 ili odobrenog mehanizma certificiranja iz članka 42. Uredbe (EU) 2016/679 može se upotrijebiti kao element za dokazivanje dostatnih jamstava iz stavaka 1. i 4. ovog članka.

6.Ne dovodeći u pitanje bilo koji pojedinačni ugovor između voditelja obrade i izvršitelja obrade, ugovor ili drugi pravni akt iz stavaka 3. i 4. ovog članka može se temeljiti, u cijelosti ili djelomično, na standardnim ugovornim klauzulama iz stavaka 7. i 8. ovog članka, među ostalim i onda kad su one dio certifikata dodijeljenog izvršitelju obrade koji nije institucija ili tijelo Unije u skladu s člankom 42. Uredbe (EU) 2016/679.

7.Komisija može utvrditi standardne ugovorne klauzule za pitanja iz stavka 3. i 4. ovog članka, u skladu s postupkom ispitivanja iz članka 70. stavka 2.

8.Europski nadzornik za zaštitu podataka može donijeti standardne ugovorne klauzule za pitanja iz stavaka 3. i 4.

9.Ugovor ili drugi pravni akt iz stavaka 3. i 4. mora biti u pisanom obliku, uključujući elektronički oblik.

10.Ne dovodeći u pitanje članke 65. i 66., ako izvršitelj obrade krši ovu Uredbu utvrđivanjem svrhe i načine obrade podataka, izvršitelj obrade smatra se voditeljem obrade u pogledu te obrade.

Članak 30.

Obrada pod vodstvom voditelja obrade i izvršitelja obrade

Izvršitelj obrade i bilo koja osoba koja djeluje pod vodstvom voditelja obrade ili izvršitelja obrade i ima pristup osobnim podacima ne obrađuje te podatke ako to ne zatraži voditelj obrade, osim ako to nalaže pravo Unije ili pravo države članice.

Članak 31.

Evidencija aktivnosti obrade

1.Svaki voditelj obrade vodi evidenciju o aktivnostima obrade za koje je odgovoran. Ta evidencija sadržava sve sljedeće informacije:

(a)ime i podatke za kontakt voditelja obrade, službenika za zaštitu podataka i, ako je primjenjivo, izvršitelja obrade i zajedničkog voditelja obrade;

(b)svrhe obrade;

(c)opis kategorija ispitanika i kategorija osobnih podataka;

(d)kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u državama članicama, trećim zemljama ili međunarodne organizacije;

(e)ako je primjenjivo, prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, uključujući identificiranje te treće zemlje ili međunarodne organizacije te dokumentaciju o odgovarajućim zaštitnim mjerama;

(f)ako je moguće, predviđene rokove za brisanje različitih kategorija podataka;

(g)ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 33.

2.Svaki izvršitelj obrade vodi evidenciju svih kategorija aktivnosti obrade koje obavlja u ime voditelja obrade, koja sadržava:

(a)ime i podatke za kontakt jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te službenika za zaštitu podataka;

(b)kategorije obrade koja se obavlja u ime svakog voditelja obrade;

(c)ako je primjenjivo, prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, uključujući identificiranje te treće zemlje ili međunarodne organizacije te dokumentaciju o odgovarajućim zaštitnim mjerama;

(d)ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 33.

3.Evidencija iz stavaka 1. i 2. mora biti u pisanom obliku, uključujući elektronički oblik.

4.Institucije i tijela Unije na zahtjev stavljaju evidenciju na raspolaganje Europskom nadzorniku za zaštitu podataka.

5.Institucije i tijela Unije mogu odlučiti voditi evidenciju aktivnosti obrade u obliku središnjeg registra. U tom slučaju mogu odlučiti i da taj registar bude javno dostupan.

Članak 32.

Suradnja s Europskim nadzornikom za zaštitu podataka

Institucije i tijela Unije na zahtjev surađuju s Europskim nadzornikom za zaštitu podataka u izvršavanju njegovih zadaća.

ODJELJAK 2.

SIGURNOST OSOBNIH PODATAKA I POVJERLJIVOST ELEKTRONIČKIH KOMUNIKACIJA

Članak 33.

Sigurnost obrade podataka

1.Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade te različite razine vjerojatnosti i ozbiljnosti rizika za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi:

(a)pseudonimizaciju i enkripciju osobnih podataka;

(b)sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade;

(c)sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;

(d)proces za redovno testiranje, procjenu i evaluaciju učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade.

2.Pri procjeni odgovarajuće razine sigurnosti u obzir se posebno uzimaju rizici koje predstavlja obrada, posebno rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

3.Voditelj obrade i izvršitelj obrade poduzimaju mjere kako bi osigurali da svaki pojedinac koji djeluje pod njihovom odgovornošću, a ima pristup osobnim podacima, ne obrađuje te podatke ako to ne zatraži voditelj obrade, osim ako to nalaže pravo Unije.

Članak 34.

Povjerljivost elektroničkih komunikacija

Institucije i tijela Unije osiguravaju povjerljivost elektroničkih komunikacija, posebno osiguravanjem svojih elektroničkih komunikacijskih mreža.

Članak 35.

Zaštita informacija koje se odnose na terminalnu opremu krajnjih korisnika

Institucije i tijela Unije štite informacije koje se odnose na terminalnu opremu krajnjih korisnika koji pristupaju njihovim javno dostupnim internetskim stranicama i mobilnim aplikacijama u skladu s Uredbom (EU) XXXX/XX (nova Uredba o e-privatnosti), a posebno njezinim člankom 8.

Članak 36.

Imenici korisnika

1.Osobni podaci sadržani u imenicima korisnika te pristup takvim imenicima ograničeni su na ono što je strogo nužno za posebne potrebe imenika.

2.Institucije i tijela Unije poduzimaju sve potrebne mjere kako bi spriječili da se osobni podaci sadržani u tim imenicima, bez obzira na to jesu li dostupni javnosti, upotrebljavaju u svrhu izravnog marketinga.

Članak 37.

Prijavljivanje povrede osobnih podataka Europskom nadzorniku za zaštitu podataka

1.U slučaju povrede osobnih podataka voditelj obrade bez nepotrebne odgode i, ako je izvedivo, najkasnije 72 sata nakon što za to sazna, prijavljuje tu povredu Europskom nadzorniku za zaštitu podataka, osim ako nije vjerojatno da će ta povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako se prijava ne dostavi Europskom nadzorniku za zaštitu podataka u roku od 72 sata, uz nju se moraju navesti razlozi za kašnjenje.

2.Nakon što sazna za povredu osobnih podataka, izvršitelj obrade bez nepotrebne odgode o tome obavješćuje voditelja obrade.

3.U prijavi iz stavka 1. mora se barem:

(a)opisati priroda povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj predmetnih ispitanika te kategorije i približan broj predmetnih evidencija osobnih podataka;

(b)navesti ime i podaci za kontakt službenika za zaštitu podataka;

(c)opisati vjerojatne posljedice povrede osobnih podataka;

(d)opisati mjere koje je voditelj obrade poduzeo ili predložio da se poduzmu za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere ublažavanja njezinih mogućih štetnih posljedica.

4.Ako i u onoj mjeri u kojoj nije moguće istodobno pružiti informacije, moguće ih je pružati postupno, bez nepotrebne daljnje odgode.

5.Voditelj obrade obavješćuje službenika za zaštitu podataka o povredi osobnih podataka.

6.Voditelj obrade dokumentira svaku povredu osobnih podataka, uključujući činjenice povezane s povredom osobnih podataka, njezine posljedice i poduzete korektivne mjere. Ta dokumentacija omogućuje Europskom nadzorniku za zaštitu podataka provjeru usklađenosti s ovim člankom.

Članak 38.

Obavješćivanje ispitanika o povredi osobnih podataka

1.Ako postoji vjerojatnost da će povreda osobnih podataka prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade bez nepotrebne odgode obavješćuje ispitanika o povredi osobnih podataka.

2.U obavijesti iz stavka 1. ovog članka koja se dostavlja ispitaniku opisuje se priroda povrede osobnih podataka jasnim i jednostavnim jezikom te se navode barem informacije i mjere iz članka 37. stavka 3. točaka (b), (c) i (d).

3.Obavješćivanje ispitanika iz stavka 1. nije obvezno ako je ispunjen bilo koji od sljedećih uvjeta:

(a)voditelj obrade poduzeo je odgovarajuće tehničke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija;

(b)voditelj obrade poduzeo je naknadne mjere kojima se osigurava da se visoki rizik za prava i slobode ispitanika iz stavka 1. vjerojatno više neće ostvariti;

(c)to bi zahtijevalo nerazmjeran napor. U takvom se slučaju umjesto toga daje javna obavijest ili se poduzima slična mjera kojom se ispitanici obavješćuju na jednako djelotvoran način.

4.Ako voditelj obrade nije već obavijestio ispitanika o povredi osobnih podataka, Europski nadzornik za zaštitu podataka nakon razmatranja vjerojatnosti da će povreda osobnih podataka prouzročiti visok rizik može od njega zahtijevati da to učini ili može zaključiti da je ispunjen neki od uvjeta iz stavka 3.

ODJELJAK 3.

PROCJENA UČINKA NA ZAŠTITU PODATAKA I PRETHODNO SAVJETOVANJE

Članak 39.

Procjena učinka na zaštitu podataka

1.Ako je vjerojatno da će neka vrsta obrade, posebno putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka. Jedna procjena može se odnositi na niz sličnih postupaka obrade koji predstavljaju slične visoke rizike.

2.Pri provođenju procjene učinka na zaštitu podataka voditelj obrade traži savjet od službenika za zaštitu podataka.

3.Procjena učinka na zaštitu podataka iz stavka 1. obvezna je posebno u slučaju:

(a)sustavne i opsežne evaluacije osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način znatno utječu na pojedinca;

(b)opsežne obrade posebnih kategorija osobnih podataka iz članka 10. ili osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 11.; ili

4.Europski nadzornik za zaštitu podataka sastavlja i objavljuje popis vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka u skladu sa stavkom 1.

5.Europski nadzornik za zaštitu podataka može isto tako sastaviti i objaviti popis vrsta postupaka obrade za koje nije potrebna procjena učinka na zaštitu podataka.

6.Procjena sadržava barem:

(a)sustavan opis predviđenih postupaka obrade i svrha obrade;

(b)procjenu nužnosti i razmjernosti postupaka obrade u odnosu njihove svrhe;

(c)procjenu rizika za prava i slobode ispitanikâ iz stavka 1.; i

(d)mjere predviđene za uklanjanje rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje usklađenosti s ovom Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.

7.Pri procjeni učinka postupaka obrade koje provode izvršitelji obrade koji nisu institucije i tijela Unije uzima se u obzir poštuju li takvi izvršitelji obrade odobrene kodekse ponašanja iz članka 40. Uredbe (EU) 2016/679, posebno u svrhe procjene učinka na zaštitu podataka.

8.Prema potrebi voditelj obrade od ispitanika ili njihovih predstavnika traži mišljenje o planiranoj obradi ne dovodeći u pitanje zaštitu javnih interesa ili sigurnost postupaka obrade.

9.Ako obrada u skladu s člankom 5. stavkom 1. točkom (a) ili (b) ima pravnu osnovu u pravnom aktu koji je donesen na temelju Ugovora i kojim se uređuju posebni postupci obrade ili skupina predmetnih postupaka te je procjena učinka na zaštitu podataka već provedena kao dio opće procjene učinka prije donošenja pravnog akta, stavci od 1. do 6. ne primjenjuju se, osim ako je pravom Unije predviđeno drukčije.

10.Prema potrebi voditelj obrade provodi preispitivanje kako bi procijenio odvija li se obrada u skladu s procjenom učinka na zaštitu podataka, i to barem onda kad se promijeni rizik koji predstavljaju postupci obrade.

Članak 40.

Prethodno savjetovanje

1.Ako se u procjeni učinka na zaštitu podataka iz članka 39. pokaže da bi obrada u nedostatku zaštitnih mjera, sigurnosnih mjera i mehanizama za umanjivanje rizika dovela do visokog rizika za prava i slobode pojedinaca, a voditelj obrade smatra da se taj rizik ne može umanjiti razumnim mjerama u pogledu dostupne tehnologije i troškova provedbe, voditelj obrade mora se prije obrade savjetovati s Europskim nadzornikom za zaštitu podataka. Voditelj obrade traži savjet službenika za zaštitu podataka o potrebi za prethodnim savjetovanjem.

2.Ako Europski nadzornik za zaštitu podataka smatra da bi se planiranom obradom iz stavka 1. kršila ova Uredba, osobito ako voditelj obrade nije u dovoljnoj mjeri utvrdio ili umanjio rizik, Europski nadzornik za zaštitu podataka u roku od najviše osam tjedana od zaprimanja zahtjeva za savjetovanje pisanim putem savjetuje voditelja obrade i, prema potrebi, izvršitelja obrade te može iskoristiti bilo koju od svojih ovlasti iz članka 59. Taj se rok može produžiti za šest tjedana uzimajući u obzir složenost planirane obrade. Europski nadzornik za zaštitu podataka u roku od mjesec dana od zaprimanja zahtjeva obavješćuje voditelja obrade i, ako je primjenjivo, izvršitelja obrade o svakom takvom produljenju i o razlozima odgode. Ti se rokovi mogu suspendirati sve dok Europski nadzornik za zaštitu podataka ne dobije informacije koje je zatražio u svrhe savjetovanja.

3.Kad se savjetuje s Europskim nadzornikom za zaštitu podataka u skladu sa stavkom 1., voditelj obrade mu dostavlja:

(a)ako je primjenjivo, informacije o odgovarajućim odgovornostima voditelja obrade, zajedničkih voditelja obrade i izvršitelja obrade uključenih u obradu;

(b)informacije o svrhama i sredstvima planirane obrade;

(c)informacije o zaštitnim mjerama i drugim mjerama za zaštitu prava i sloboda ispitanika na temelju ove Uredbe;

(d)podatke za kontakt službenika za zaštitu podataka;

(e)procjenu učinka na zaštitu podataka predviđenu člankom 39.; i

(f)sve druge informacije koje zatraži Europski nadzornik za zaštitu podataka.

4.Komisija može provedbenim aktom utvrditi popis slučajeva u kojima se voditelji obrade moraju savjetovati s Europskim nadzornikom za zaštitu podataka i od njega dobiti odobrenje u pogledu obrade u svrhu izvršavanja zadaće koju voditelj obrade obavlja u javnom interesu, uključujući obradu takvih podataka povezanu sa socijalnom zaštitom i javnim zdravljem.

ODJELJAK 4.

OBAVJEŠĆIVANJE I ZAKONODAVNO SAVJETOVANJE

Članak 41.

Obavješćivanje

Institucije i tijela Unije obavješćuju Europskog nadzornika za zaštitu podataka kad pripremaju administrativne mjere i interna pravila koja se odnose na obradu osobnih podataka koja uključuje instituciju ili tijelo Unije pojedinačno ili zajedno s ostalima.

Članak 42.

Zakonodavno savjetovanje

1.Nakon donošenja prijedloga zakonodavnog akta i preporuka ili prijedloga Vijeću u skladu s člankom 218. UFEU-a te pri pripremanju delegiranih akata ili provedbenih akata koji utječu na zaštitu prava i sloboda pojedinaca u pogledu obrade osobnih podataka Komisija se savjetuje s Europskim nadzornikom za zaštitu podataka.

2.Ako je akt iz stavka 1. posebno važan za zaštitu prava i sloboda pojedinaca u pogledu obrade osobnih podataka, Komisija se može savjetovati i s Europskim odborom za zaštitu podataka. U tim slučajevima Europski nadzornik za zaštitu podataka i Europski odbor za zaštitu podataka koordiniraju svoj rad u cilju donošenja zajedničkog mišljenja.

3.Savjet iz stavaka 1. i 2. daje se u pisanom obliku u roku od najviše osam tjedana od zaprimanja zahtjeva za savjetovanje iz stavaka 1. i 2. U hitnim slučajevima ili kad je to inače potrebno Komisija može skratiti taj rok.

4.Ovaj se članak ne primjenjuje kad se Komisija, u skladu s Uredbom (EU) 2016/679, mora savjetovati s Europskim odborom za zaštitu podataka.

ODJELJAK 5.

OBVEZA REAGIRANJA NA NAVODE

Članak 43.

Obveza reagiranja na navode

Ako Europski nadzornik za zaštitu podataka izvršava ovlasti predviđene člankom 59. stavkom 2. točkama (a), (b) i (c), predmetni voditelj obrade ili izvršitelj obrade obavješćuje Europskog nadzornika za zaštitu podataka o svojim stajalištima u razumnom roku koji određuje Europski nadzornik za zaštitu podataka uzimajući u obzir okolnosti svakog slučaja. U odgovoru se navodi i opis mjera poduzetih kao odgovor na primjedbe Europskog nadzornika za zaštitu podataka, ako ih je bilo.

ODJELJAK 6.

SLUŽBENIK ZA ZAŠTITU PODATAKA

Članak 44.

Imenovanje službenika za zaštitu podataka

1.Svaka institucija ili tijelo Unije imenuje službenika za zaštitu podataka.

2.Nekoliko institucija i tijela Unije može zajednički imenovati jednog službenika za zaštitu podataka, uzimajući u obzir svoju organizacijsku strukturu i veličinu.

3.Službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija, a posebno stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 46.

4.Službenik za zaštitu podataka može biti član osoblja institucije ili tijela Unije ili obavljati zadaće na temelju ugovora o djelu.

5.Institucije i tijela Unije objavljuju podatke za kontakt službenika za zaštitu podataka i priopćuju ih Europskom nadzorniku za zaštitu podataka.

Članak 45.

Položaj službenika za zaštitu podataka

1.Institucije i tijela Unije osiguravaju da je službenik za zaštitu podataka primjereno i pravodobno uključen u sva pitanja u pogledu zaštite osobnih podataka.

2.Institucije i tijela Unije podupiru službenika za zaštitu podataka u izvršavanju zadaća iz članka 46. pružajući mu potrebna sredstva za izvršavanje tih zadaća i pristup osobnim podacima i postupcima obrade te za održavanje njegova stručnog znanja.

3.Institucije i tijela Unije osiguravaju da službenik za zaštitu podataka ne prima nikakve upute u pogledu izvršenja svojih zadaća. Voditelj obrade ili izvršitelj obrade ne smiju ga razriješiti dužnosti ili kazniti zbog izvršavanja njegovih zadaća. Službenik za zaštitu podataka izravno odgovara najvišoj rukovodećoj razini voditelja obrade ili izvršitelja obrade.

4.Ispitanici se mogu obratiti službeniku za zaštitu podataka u pogledu svih pitanja povezanih s obradom svojih osobnih podataka i ostvarivanja svojih prava iz ove Uredbe.

5.Službenik za zaštitu podataka i njegovo osoblje obvezani su tajnošću ili povjerljivošću u vezi s obavljanjem svojih zadaća, u skladu s pravom Unije.

6.Službenik za zaštitu podataka može ispunjavati i druge zadaće i dužnosti. Voditelj obrade ili izvršitelj obrade osigurava da takve zadaće i dužnosti ne dovedu do sukoba interesa.

7.Voditelj obrade i izvršitelj obrade, predmetni odbor za osoblje i bilo koji pojedinac o svakom se pitanju koje se odnosi na tumačenje ili primjenu ove Uredbe mogu savjetovati sa službenikom za zaštitu podataka, a da se pritom ne moraju koristiti službenim kanalima. Nitko ne smije pretrpjeti štetu zbog predmeta na koji je skrenuta pozornost nadležnom službeniku za zaštitu podataka u kojem je navodno došlo do kršenja odredaba ove Uredbe.

8.Službenik za zaštitu podataka imenuje se na razdoblje od tri do pet godina te ima pravo biti ponovno imenovan. Službenika za zaštitu podataka dužnosti može razriješiti institucija ili tijelo Zajednice koje ga je imenovalo, ali samo uz suglasnost Europskog nadzornika za zaštitu podataka ako službenik za zaštitu podataka više ne ispunjava uvjete potrebne za obavljanje svojih dužnosti.

9.Službenika za zaštitu podataka nakon njegova imenovanja institucija ili tijelo koje ga je imenovalo registrira pri Europskom nadzorniku za zaštitu podataka.

Članak 46.

Zadaće službenika za zaštitu podataka

1.Službenik za zaštitu podataka obavlja sljedeće zadaće:

(a)informira i savjetuje voditelja obrade ili izvršitelja obrade te zaposlenike koji obavljaju obradu o njihovim obvezama u skladu s ovom Uredbom te drugim odredbama Unije o zaštiti podataka;

(b)na neovisan način osigurava internu primjenu ove Uredbe te prati usklađenost s ovom Uredbom, s drugim primjenjivim pravom Unije koje sadržava odredbe o zaštiti podataka te s politikama voditelja obrade ili izvršitelja obrade u vezi sa zaštitom osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije;

(c)osigurava da ispitanici budu obaviješteni o svojim pravima i obvezama u skladu s ovom Uredbom;

(d)kad se to od njega zatraži, daje savjete o potrebi prijavljivanja povrede osobnih podataka ili obavješćivanja o povredi osobnih podataka u skladu s člancima 37. i 38.;

(e)kad se to od njega zatraži, daje savjete o procjeni učinka na zaštitu podataka te prati njezino izvršavanje u skladu s člankom 39. te se savjetuje s Europskim nadzornikom za zaštitu podataka u slučaju dvojbe o potrebi procjene učinka na zaštitu podataka;

(f)kad se to od njega zatraži, daje savjete o potrebi prethodnog savjetovanja s Europskim nadzornikom za zaštitu podataka u skladu s člankom 40. te se savjetuje s Europskim nadzornikom za zaštitu podataka u slučaju dvojbe o potrebi prethodnog savjetovanja;

(g)odgovara na zahtjeve Europskog nadzornika za zaštitu podataka i, u okviru svoje nadležnosti, surađuje i savjetuje se s Europskim nadzornikom za zaštitu podataka na njegov zahtjev ili na vlastitu inicijativu.

2.Službenik za zaštitu podataka može voditelju obrade i izvršitelju obrade dati preporuke za praktično poboljšanje zaštite podataka te ih savjetovati o pitanjima u vezi s primjenom odredaba o zaštiti podataka. Nadalje, službenik za zaštitu podataka može na vlastitu inicijativu ili na zahtjev voditelja obrade ili izvršitelja obrade, predmetnog odbora za osoblje ili bilo kojeg pojedinca istražiti pitanja i događaje koji su izravno povezani s njegovim zadaćama, a koje je zapazio te povratno o tome izvijestiti osobu koja je zatražila istragu ili voditelja obrade ili izvršitelja obrade.

3.Dodatna provedbena pravila koja se odnose na službenika za zaštitu podataka donosi svaka institucija ili tijelo Unije. Provedbena pravila posebno se odnose na zadaće, dužnosti i ovlasti službenika za zaštitu podataka.

POGLAVLJE V.

Prijenosi osobnih podataka trećim zemljama ili međunarodnim organizacijama

Članak 47.

Opća načela prijenosa

Svaki prijenos osobnih podataka koji se obrađuju ili su namijenjeni obradi nakon prijenosa trećoj zemlji ili međunarodnoj organizaciji odvija se samo ako, u skladu s drugim odredbama ove Uredbe, voditelj obrade i izvršitelj obrade djeluju u skladu s uvjetima iz ovog poglavlja, što vrijedi i za daljnje prijenose osobnih podataka iz treće zemlje ili međunarodne organizacije drugoj trećoj zemlji ili međunarodnoj organizaciji. Sve se odredbe iz ovog poglavlja primjenjuju kako bi se osiguralo da se ne ugrozi razina zaštite pojedinaca zajamčena ovom Uredbom.

Članak 48.

Prijenosi na temelju odluke o primjerenosti

1.Prijenos osobnih podataka trećoj zemlji ili međunarodnoj organizaciji može se izvršiti kad Komisija u skladu s člankom 45. stavkom 3. Uredbe (EU) 2016/679 odluči da je u predmetnoj trećoj zemlji, području ili jednom ili više određenih sektora u toj trećoj zemlji ili u međunarodnoj organizaciji osigurana primjerena razina zaštite te se osobni podaci prenose isključivo kako bi voditelj obrade mogao izvršiti zadaće za koje je nadležan.

2.Institucije i tijela Unije obavješćuju Komisiju i Europskog nadzornika za zaštitu podataka o slučajevima za koje smatraju da predmetna treća zemlja ili međunarodna organizacija ne osigurava primjerenu razinu zaštite u smislu stavka 1.

3.Institucije i tijela Unije poduzimaju potrebne mjere za poštovanje odluka Komisije kad Komisija u skladu s člankom 45. stavcima 3. i 5. Uredbe (EU) 2016/679 utvrdi da treća zemlja ili međunarodna organizacija osigurava primjerenu razinu zaštite ili da je više ne osigurava.

Članak 49.

Prijenosi koji podliježu odgovarajućim zaštitnim mjerama

1.Ako nije donesena odluka u skladu s člankom 45. stavkom 3. Uredbe (EU) 2016/679, voditelj obrade ili izvršitelj obrade može prenijeti osobne podatke trećoj zemlji ili međunarodnoj organizaciji samo ako je predvidio odgovarajuće zaštitne mjere te pod uvjetom da su ispitanicima na raspolaganju provediva prava i djelotvorna pravna sredstva.

2.Odgovarajuće zaštitne mjere iz stavka 1. mogu se, bez potrebe za posebnim odobrenjem Europskog nadzornika za zaštitu podataka, predvidjeti:

(a)pravno obvezujućim i provedivim instrumentom između tijela javne vlasti ili javnih tijela;

(b)standardnim klauzulama o zaštiti podataka koje donosi Komisija u skladu s postupkom ispitivanja iz članka 70. stavka 2.;

(c)standardnim klauzulama o zaštiti podataka koje donosi Europski nadzornik za zaštitu podataka i koje Komisija odobrava u skladu s postupkom ispitivanja iz članka 70. stavka 2.;

(d)obvezujućim korporativnim pravilima, kodeksima ponašanja i mehanizmima certificiranja u skladu s člankom 46. stavkom 2. točkama (b), (e) i (f) Uredbe (EU) 2016/679 ako izvršitelj obrade nije institucija ili tijelo Unije.

3.Pod uvjetom da to odobri Europski nadzornik za zaštitu podataka, odgovarajuće zaštitne mjere iz stavka 1. mogu se isto tako predvidjeti posebno:

(a)ugovornim klauzulama između voditelja obrade ili izvršitelja obrade i voditelja obrade, izvršitelja obrade ili primatelja osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji; ili

(b)odredbama koje treba uključiti u administrativne aranžmane između tijela javne vlasti ili javnih tijela i koje sadržavaju provediva i djelotvorna prava ispitanika.

4.Institucije i tijela Unije obavješćuju Europskog nadzornika za zaštitu podataka o kategorijama slučajeva u kojima je primijenjen ovaj članak.

5.Odobrenja koja izda Europski nadzornik za zaštitu podataka na temelju članka 9. stavka 7. Uredbe (EU) br. 45/2001 ostaju valjana dok ih Europski nadzornik za zaštitu podataka prema potrebi ne izmijeni, zamijeni ili stavi izvan snage.

Članak 50.

Prijenos ili otkrivanje podataka koji nisu dopušteni u pravu Unije

Sve presude suda ili sve odluke upravnog tijela treće zemlje kojima se od voditelja obrade ili izvršitelja obrade zahtijeva prijenos ili otkrivanje osobnih podataka mogu biti priznate ili izvršive na bilo koji način samo ako se temelje na nekom međunarodnom sporazumu, kao što je ugovor o uzajamnoj pravnoj pomoći, koji je na snazi između treće zemlje koja je podnijela zahtjev i Unije, ne dovodeći u pitanje druge razloge za prijenos u skladu s ovim poglavljem.

Članak 51.

Odstupanja za posebne situacije

1.Ako ne postoji odluka u skladu s člankom 45. stavkom 3. Uredbe (EU) 2016/679 ili odgovarajuće zaštitne mjere u skladu s člankom 49., prijenos ili skup prijenosa osobnih podataka trećoj zemlji ili međunarodnoj organizaciji ostvaruje se samo pod jednim od sljedećih uvjeta:

(a)ispitanik je izričito pristao na predloženi prijenos nakon što je bio obaviješten o mogućim rizicima takvih prijenosa za ispitanika zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera;

(b)prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih mjera na zahtjev ispitanika;

(c)prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja obrade i druge fizičke ili pravne osobe;

(d)prijenos je nužan iz važnih razloga od javnog interesa;

(e)prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva; ili

(f)prijenos je nužan za zaštitu životno važnih interesa ispitanika ili drugih osoba ako ispitanik fizički ili pravno nije u stanju dati privolu; ili

(g)prijenos se obavlja iz registra koji prema pravu Unije služi pružanju informacija javnosti i u koji javnost ili bilo koja osoba koja može dokazati svoj legitimni interes ima uvid, ali samo u mjeri u kojoj su u konkretnom slučaju ispunjeni uvjeti koji su u pogledu uvida propisani pravom Unije.

2.Prijenos na temelju stavka 1. točke (g) ne uključuje cjelokupne osobne podatke ili cijele kategorije osobnih podataka sadržanih u registru, osim ako je to dopušteno pravom Unije. Kad je registar namijenjen uvidu osoba koje imaju legitimni interes, prijenos se obavlja samo na zahtjev tih osoba ili ako su one primatelji.

3.Javni interes iz stavka 1. točke (d) mora biti priznat u pravu Unije.

4.Ako ne postoji odluka o primjerenosti, pravom Unije mogu se, iz važnih razloga od javnog interesa, izričito odrediti ograničenja prijenosa određenih kategorija osobnih podataka trećoj zemlji ili međunarodnoj organizaciji.

5.Institucije i tijela Unije obavješćuju Europskog nadzornika za zaštitu podataka o kategorijama slučajeva u kojima je primijenjen ovaj članak.

Članak 52.

Međunarodna suradnja s ciljem zaštite osobnih podataka

Europski nadzornik za zaštitu podataka, u suradnji s Komisijom i Europskim odborom za zaštitu podataka, poduzima odgovarajuće mjere u pogledu trećih zemalja i međunarodnih organizacija s ciljem:

(a)razvoja mehanizama međunarodne suradnje za olakšavanje djelotvornog izvršavanja zakonodavstva o zaštiti osobnih podataka;

(b)osiguranja međunarodne uzajamne pomoći u izvršavanju zakonodavstva o zaštiti osobnih podataka, među ostalim obavješćivanjem, upućivanjem pritužbi, pružanjem pomoći u istragama i razmjenom informacija, u skladu s odgovarajućim zaštitnim mjerama za zaštitu osobnih podataka i drugih temeljnih prava i sloboda;

(c)uključivanja relevantnih dionika u raspravu i aktivnosti čiji je cilj produbiti međunarodnu suradnju u izvršavanju zakonodavstva o zaštiti osobnih podataka;

(d)promicanja razmjene i dokumentiranja zakonodavstva i prakse u vezi sa zaštitom osobnih podataka, među ostalim u vezi sa sukobima nadležnosti s trećim zemljama.

POGLAVLJE VI.

EUROPSKI NADZORNIK ZA ZAŠTITU PODATAKA

Članak 53.

Europski nadzornik za zaštitu podataka

1.Uspostavlja se Europski nadzornik za zaštitu podataka.

2.U vezi s obradom osobnih podataka Europski nadzornik za zaštitu podataka odgovoran je osigurati da institucije i tijela Unije poštuju temeljna prava i slobode fizičkih osoba, a posebno njihovo pravo na zaštitu podataka.

3.Europski nadzornik za zaštitu podataka odgovoran je za praćenje i osiguravanje primjene odredaba ove Uredbe i svih ostalih akata Unije koji se odnose na zaštitu temeljnih prava i sloboda fizičkih osoba u vezi s obradom osobnih podataka u instituciji ili tijelu Unije, kao i za savjetovanje institucija i tijela Unije te ispitanika o svim pitanjima u vezi s obradom osobnih podataka. U tu svrhu Europski nadzornik za zaštitu podataka obavlja zadaće predviđene člankom 58. te izvršava ovlasti koje su mu dodijeljene člankom 59.

Članak 54.

Imenovanje Europskog nadzornika za zaštitu podataka

1.Europski parlament i Vijeće sporazumno imenuju Europskog nadzornika za zaštitu podataka na mandat od pet godina na temelju popisa koji je Komisija sastavila nakon javnog natječaja za kandidate. Natječaj za kandidate omogućuje svim zainteresiranim stranama u cijeloj Uniji da podnesu svoje prijave. Popis kandidata koji je sastavila Komisija javan je. Na temelju popisa koji je sastavila Komisija nadležni odbor Europskog parlamenta može odlučiti održati raspravu kako bi mogao izraziti svoje mišljenje o tome kojem kandidatu daje prednost.

2.Na popisu koji je sastavila Komisija i na temelju kojeg se bira Europski nadzornik za zaštitu podataka nalaze se osobe čija je neovisnost neupitna i koje su priznate kao osobe s iskustvom i vještinama potrebnima za obavljanje dužnosti Europskog nadzornika za zaštitu podataka jer, primjerice, pripadaju ili su pripadali nadzornim tijelima osnovanima u skladu s člankom 41. Uredbe (EU) 2016/679.

3.Mandat Europskog nadzornika za zaštitu podataka može se jedanput obnoviti.

4.Dužnosti Europskog nadzornika za zaštitu podataka prestaju u sljedećim okolnostima:

(a)ako se Europski nadzornik za zaštitu podataka zamijeni;

(b) ako Europski nadzornik za zaštitu podataka podnese ostavku;

(c)ako se Europski nadzornik za zaštitu podataka razriješi dužnosti ili mora otići u mirovinu po sili zakona.

5.Na zahtjev Europskog parlamenta, Vijeća ili Komisije, Sud Europske unije može Europskog nadzornika za zaštitu podataka razriješiti dužnosti ili mu oduzeti pravo na mirovinu ili druge zamjenske povlastice ako više ne ispunjava uvjete potrebne za obavljanje svojih dužnosti ili počini teži propust u radu.

6.U slučaju uobičajene zamjene ili dobrovoljnog odstupanja s dužnosti Europski nadzornik za zaštitu podataka ostaje na položaju dok mu se ne pronađe zamjena.

7.Članci od 11. do 14. i članak 17. Protokola o povlasticama i imunitetima Europske unije primjenjuju se i na Europskog nadzornika za zaštitu podataka.

Članak 55.

Propisi i opći uvjeti kojima se uređuje obavljanje dužnosti Europskog nadzornika za zaštitu podataka, njegovo osoblje i financijska sredstva

1.Europski nadzornik za zaštitu podataka je u pogledu određivanja primitka od rada, dodataka, starosne mirovine te svih drugih naknada na osnovi rada izjednačen sa sucem Suda Europske unije.

2.Tijelo nadležno za proračun dužno je osigurati da Europski nadzornik za zaštitu podataka dobije osoblje i financijska sredstva potrebna za obavljanje svojih zadataka.

3.Proračun Europskog nadzornika za zaštitu podataka prikazuje se kao poseban naslov proračuna u odjeljku IX. općeg proračuna Europske unije.

4.Europskom nadzorniku za zaštitu podataka pomaže Tajništvo. Dužnosnike i ostale članove osoblja Tajništva imenuje Europski nadzornik za zaštitu podataka i on je njihov nadređeni. Oni rade isključivo prema njegovim uputama. Njihov se broj određuje svake godine kao dio postupka izrade proračuna.

5.Dužnosnici i ostali članovi osoblja Tajništva Europskog nadzornika za zaštitu podataka podliježu pravilima i propisima koji se primjenjuju na dužnosnike i ostale službenike Europske unije.

6.Europski nadzornik za zaštitu podataka ima sjedište u Bruxellesu.

Članak 56.

Neovisnost

1.Europski nadzornik za zaštitu podataka djeluje potpuno neovisno pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti u skladu s ovom Uredbom.

2.Pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti u skladu s ovom Uredbom Europski nadzornik za zaštitu podataka mora biti slobodan od izravnog ili neizravnog vanjskog utjecaja te ni od koga ne smije tražiti ni primati upute.

3.Europski nadzornik za zaštitu podataka suzdržava se od svakog djelovanja koje je nespojivo s njegovim dužnostima te se za trajanja mandata ne smije baviti ni jednim drugim zanimanjem, ni plaćenim ni neplaćenim.

4.Europski nadzornik za zaštitu podataka dužan je, nakon isteka mandata, ponašati se časno i suzdržano u pogledu prihvaćanja imenovanja i povlastica.

Članak 57.

Profesionalna tajna

Europski nadzornik za zaštitu podataka i njegovo osoblje za vrijeme i nakon završetka mandata podliježu obvezi čuvanja profesionalne tajne s obzirom na sve povjerljive informacije koje doznaju tijekom obavljanja svojih službenih dužnosti.

Članak 58.

Zadaće

1.Ne dovodeći u pitanje ostale zadaće utvrđene ovom Uredbom, Europski nadzornik za zaštitu podataka obavlja sljedeće:

(a)prati i osigurava primjenu ove Uredbe i ostalih akata Unije koji se odnose na zaštitu fizičkih osoba pri obradi osobnih podataka koju provodi institucija ili tijelo Unije, osim pri obradi osobnih podataka koju provodi Sud Europske unije kad djeluje u okviru svoje sudbene nadležnosti;

(b)promiče javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom te njihovo razumijevanje. Aktivnostima koje su posebno namijenjene djeci mora se posvetiti posebna pozornost;

(c)promiče osviještenost voditeljâ obrade i izvršiteljâ obrade o njihovim obvezama iz ove Uredbe;

(d)na zahtjev pruža informacije bilo kojem ispitaniku u vezi s ostvarivanjem njegovih prava iz ove Uredbe i, ako je primjereno, u tu svrhu surađuje s nadzornim tijelima u državama članicama;

(e)rješava pritužbe koje podnese ispitanik ili tijelo, organizacija ili udruženje u skladu s člankom 67. i istražuje u odgovarajućoj mjeri predmet pritužbe te podnositelja pritužbe u razumnom roku izvješćuje o napretku i ishodu istrage, posebno ako je potrebna daljnja istraga ili koordinacija s drugim nadzornim tijelom;

(f)provodi istrage o primjeni ove Uredbe, među ostalim na temelju informacija primljenih od drugog nadzornog tijela ili drugog tijela javne vlasti;

(g)savjetuje sve institucije i tijela Unije o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca u pogledu obrade osobnih podataka;

(h)prati odgovarajuće razvojne trendove u mjeri u kojoj oni utječu na zaštitu osobnih podataka, posebno razvoj informacijske i komunikacijske tehnologije;

(i)donosi standardne ugovorne klauzule iz članka 29. stavka 8. i članka 49. stavka 2. točke (c);

(j)utvrđuje i vodi popis u vezi s uvjetima za procjenu učinka na zaštitu podataka u skladu s člankom 39. stavkom 4.;

(k)sudjeluje u aktivnostima Europskog odbora za zaštitu podataka uspostavljenog člankom 68. Uredbe (EU) 2016/679;

(l)osigurava tajništvo za Europski odbor za zaštitu podataka u skladu s člankom 75. Uredbe (EU) 2016/679;

(m)daje savjete o obradi iz članka 40. stavka 2.;

(n)odobrava ugovorne klauzule i odredbe iz članka 49. stavka 3.;

(o)vodi internu evidenciju o kršenjima ove Uredbe i mjerama poduzetima u skladu s člankom 59. stavkom 2.;

(p)ispunjava sve ostale zadaće povezane sa zaštitom osobnih podataka; i

(q)sastavlja svoj Poslovnik.

2.Europski nadzornik za zaštitu podataka olakšava podnošenje pritužbi iz stavka 1. točke (e) mjerama poput obrasca za podnošenje pritužbe koji se može ispuniti i elektronički, ne isključujući ostala sredstva komunikacije.

3.Izvršavanje zadaća Europskog nadzornika za zaštitu podataka besplatno je za ispitanika.

4.Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, posebno zbog njihove učestalosti, Europski nadzornik za zaštitu podataka može odbiti postupiti po zahtjevu. Teret dokazivanja očigledne neutemeljenosti ili pretjeranosti zahtjeva snosi Europski nadzornik za zaštitu podataka.

Članak 59.

Ovlasti

1.Europski nadzornik za zaštitu podataka ima sljedeće istražne ovlasti:

(a)narediti voditelju obrade i izvršitelju obrade da mu pruže sve informacije koje su mu potrebne za obavljanje zadaća;

(b)provoditi istrage u obliku revizija zaštite podataka;

(c)obavijestiti voditelja obrade ili izvršitelja obrade o navodnom kršenju ove Uredbe;

(d)ishoditi od voditelja obrade i izvršitelja obrade pristup svim osobnim podacima i svim informacijama potrebnima za obavljanje svojih zadaća;

(e)ishoditi pristup svim prostorijama voditelja obrade i izvršitelja obrade, uključujući svu opremu i sredstva za obradu podataka, u skladu s pravom Unije ili postupovnim pravom države članice.

2.Europski nadzornik za zaštitu podataka ima sljedeće korektivne ovlasti:

(a)izdavati upozorenja voditelju obrade ili izvršitelju obrade da bi planirani postupci obrade mogli prouzročiti kršenje odredaba ove Uredbe;

(b)izdavati službene opomene voditelju obrade ili izvršitelju obrade ako se postupcima obrade krše odredbe ove Uredbe;

(c)uputiti predmet odgovarajućem voditelju ili izvršitelju obrade i, ako je potrebno, Europskom parlamentu, Vijeću i Komisiji;

(d)narediti voditelju obrade ili izvršitelju obrade da ispuni zahtjeve ispitanika za ostvarivanje njegovih prava u skladu s ovom Uredbom;

(e)narediti voditelju obrade ili izvršitelju obrade da postupke obrade prema potrebi uskladi s odredbama ove Uredbe na određeni način i u zadanom roku;

(f)narediti voditelju obrade da ispitanika obavijesti o povredi osobnih podataka;

(g)privremeno ili konačno ograničiti, čak i zabraniti obradu;

(h)narediti ispravljanje ili brisanje osobnih podataka ili ograničavanje obrade u skladu s člancima 18., 19. i 20. te obavijestiti o takvim radnjama primatelje kojima su osobni podaci otkriveni u skladu s člankom 19. stavkom 2. i člankom 21.;

(i)ako institucija ili tijelo Unije ne poštuje jednu od mjera iz ovog stavka, ovisno o okolnostima svakog pojedinog slučaja izreći upravnu novčanu kaznu u skladu s člankom 66.;

(j)narediti suspenziju protoka podataka primatelju u državi članici, trećoj zemlji ili međunarodnoj organizaciji.

3.Europski nadzornik za zaštitu podataka ima sljedeće ovlasti za davanje odobrenja i savjetodavne ovlasti:

(a)davati savjete ispitanicima pri njihovu ostvarivanju svojih prava;

(b)savjetovati voditelja obrade u skladu s postupkom prethodnog savjetovanja iz članka 40.;

(c)na vlastitu inicijativu ili na zahtjev izdati institucijama i tijelima Unije te javnosti mišljenje o bilo kojem pitanju povezanom sa zaštitom osobnih podataka;

(d)donijeti standardne klauzule o zaštiti podataka iz članka 29. stavka 8. i članka 49. stavka 2. točke (c);

(e)odobriti ugovorne klauzule iz članka 49. stavka 3. točke (a);

(f)odobriti administrativne aranžmane iz članka 49. stavka 3. točke (b).

4.Izvršavanje ovlasti dodijeljenih Europskom nadzorniku za zaštitu podataka u skladu s ovim člankom podliježe odgovarajućim zaštitnim mjerama utvrđenima u pravu Unije, među ostalim učinkovitom pravnom lijeku i odgovarajućem postupku.

5.Europski nadzornik za zaštitu podataka ima ovlast uputiti predmet Sudu Europske unije pod uvjetima propisanima Ugovorom te intervenirati u postupcima pred Sudom Europske unije.

Članak 60.

Izvješće o aktivnostima

1.Europski nadzornik za zaštitu podataka podnosi godišnje izvješće o svojim aktivnostima Europskom parlamentu, Vijeću i Komisiji te ga istodobno objavljuje.

2.Europski nadzornik za zaštitu podataka upućuje izvješće o aktivnostima ostalim institucijama i tijelima Unije koji mogu iznijeti svoje primjedbe imajući na umu moguće preispitivanje izvješća u Europskom parlamentu.

POGLAVLJE VII.

SURADNJA I KONZISTENTNOST

Članak 61.

Suradnja s nacionalnim nadzornim tijelima

Europski nadzornik za zaštitu podataka surađuje s nadzornim tijelima osnovanima u skladu s člankom 41. Uredbe (EU) 2016/679 i člankom 51. Direktive (EU) 2016/680 (dalje u tekstu „nacionalna nadzorna tijela”) te sa zajedničkim nadzornim tijelom osnovanim u skladu s člankom 25. Odluke Vijeća 2009/917/PUP, 21 i to u mjeri potrebnoj za izvršavanje njihovih dužnosti, posebno razmjenom relevantnih informacija, zahtijevanjem od nacionalnih nadzornih tijela da izvršavaju svoje ovlasti ili odgovaranjem na zahtjeve koje su mu poslala ta tijela.

Članak 62.

Koordinirani nadzor koji provode Europski nadzornik za zaštitu podataka i nacionalna nadzorna tijela

1.Ako se u aktu Unije upućuje na ovaj članak, Europski nadzornik za zaštitu podataka aktivno surađuje s nacionalnim nadležnim tijelima kako bi osigurao djelotvoran nadzor nad velikim informacijskim sustavima ili agencijama Unije.

2.Europski nadzornik za zaštitu podataka, djelujući u okviru svojih nadležnosti i odgovornosti, razmjenjuje relevantne informacije, pomaže u obavljanju revizija i inspekcija, ispituje poteškoće u tumačenju ili primjeni ove Uredbe i drugih mjerodavnih akata Unije, proučava probleme koji se javljaju pri izvršavanju neovisnog nadzora ili ostvarivanju prava ispitanika, izrađuje usklađene prijedloge za rješavanje problema te promiče svijest o pravima zaštite podataka, prema potrebi, zajedno s nacionalnim nadzornim tijelima.

3.Za svrhe utvrđene u stavku 2. Europski nadzornik za zaštitu podataka sastaje se s nacionalnim nadzornim tijelima najmanje dvaput godišnje u okviru Europskog odbora za zaštitu podataka. Troškove i organizaciju tih sastanaka preuzima Europski nadzornik za zaštitu podataka. Poslovnik se donosi na prvom sastanku. Daljnje metode rada razvijaju se zajednički prema potrebi.

4.Svake dvije godine Europski nadzornik za zaštitu podataka šalje Europskom parlamentu, Vijeću i Komisiji zajedničko izvješće o aktivnostima koordiniranog nadzora.

POGLAVLJE VIII.

PRAVNA SREDSTVA, ODGOVORNOST I SANKCIJE

Članak 63.

Pravo na podnošenje pritužbe Europskom nadzorniku za zaštitu podataka

1.Ne dovodeći u pitanje bilo koji pravni lijek u sudskom, upravnom ili izvansudskom postupku svaki ispitanik ima pravo podnijeti pritužbu Europskom nadzorniku za zaštitu podataka ako ispitanik smatra da se obradom osobnih podataka koji se odnose na njega krši ova Uredba.

2.Europski nadzornik za zaštitu podataka obavješćuje ispitanika o napretku i ishodu pritužbe, uključujući mogućnost pravnog lijeka na temelju članka 64.

3.Ako Europski nadzornik za zaštitu podataka ne riješi pritužbu ili ne obavijesti ispitanika u roku od tri mjeseca o napretku ili ishodu pritužbe, smatra se da je pritužba odbijena.

Članak 64.

Pravo na učinkovit pravni lijek

Sud Europske unije nadležan je za rješavanje svih sporova koji se odnose na odredbe ove Uredbe, uključujući i zahtjeve za odštetu.

Članak 65.

Pravo na naknadu štete

Svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove Uredbe ima pravo pod uvjetima iz Ugovora od voditelja obrade ili izvršitelja obrade primiti naknadu za pretrpljenu štetu.

Članak 66.

Upravne novčane kazne

1.Europski nadzornik za zaštitu podataka može institucijama i tijelima Unije izreći upravnu novčanu kaznu, ovisno o okolnostima svakog pojedinačnog slučaja, ako institucija ili tijelo Unije ne postupi u skladu s naredbom Europskog nadzornika za zaštitu podataka iz članka 59. stavka 2. točaka od (d) do (h) i točke (j). Pri odlučivanju o izricanju upravne novčane kazne i o njezinu iznosu u svakom pojedinom slučaju dužna se pozornost posvećuje sljedećem:

(a)prirodi, težini i trajanju kršenja, uzimajući u obzir narav, opseg i svrhu obrade o kojoj je riječ te broj ispitanika i razinu štete koju su pretrpjeli;

(b)svakoj mjeri koju su institucija ili tijelo Unije poduzeli kako bi ublažili štetu koju su pretrpjeli ispitanici;

(c)stupnju odgovornosti institucije ili tijela Unije uzimajući u obzir tehničke i organizacijske mjere koje su primijenili u skladu s člancima 27. i 33.;

(d)svim sličnim prijašnjim kršenjima koje je počinila institucija ili tijelo Unije;

(e)stupnju suradnje s Europskim nadzornikom za zaštitu podataka kako bi se ispravilo kršenje i ublažile moguće štetne posljedice tog kršenja;

(f)kategorijama osobnih podataka na koje kršenje utječe;

(g)načinu na koji je Europski nadzornik za zaštitu podataka doznao za kršenje, posebno jesu li i u kojoj mjeri institucija ili tijelo Unije prijavili kršenje;

(h)ako su protiv predmetne institucije ili tijela Unije u vezi s istim predmetom prethodno izrečene mjere iz članka 59., usklađenosti s tim mjerama.

Postupci u kojima se izriču te novčane kazne trebali bi biti provedeni u razumnom roku ovisno o okolnostima slučaja te uzimajući u obzir odgovarajuće mjere i postupke iz članka 69.

2.Ako institucija ili tijelo Unije prekrši obvezu iz članaka 8., 12., 27., 28., 29., 30., 31., 32., 33., 37., 38., 39., 40., 44., 45. i 46, izriču se, u skladu sa stavkom 1., upravne novčane kazne u iznosu do 25 000 EUR po kršenju te do ukupnog iznosa od 250 000 EUR godišnje.

3.Za kršenja sljedećih odredaba koje počini institucija ili tijelo Unije izriču se, u skladu sa stavkom 1., upravne novčane kazne u iznosu do 50 000 EUR po kršenju te do ukupnog iznosa od 500 000 EUR godišnje:

(a)osnovnih načela obrade, uključujući uvjete privole u skladu s člancima 4., 5., 7. i 10.;

(b)prava ispitanika u skladu s člancima od 14. do 24.;

(c)prijenosa osobnih podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji u skladu s člancima od 47. do 51.

4.Ako za iste ili povezane ili kontinuirane postupke obrade institucija ili tijelo Unije prekrši nekoliko odredaba ove Uredbe ili prekrši istu odredbu ove Uredbe više puta, ukupan iznos upravne novčane kazne ne smije biti veći od iznosa utvrđenog za najteže kršenje.

5.Prije donošenja odluka u skladu s ovim člankom Europski nadzornik za zaštitu podataka pruža instituciji ili tijelu Unije protiv kojeg vodi postupak mogućnost da se očituje na njegove prigovore. Europski nadzornik za zaštitu podataka temelji svoje odluke isključivo na prigovorima u pogledu kojih su se stranke mogle očitovati. Podnositelji pritužbe moraju biti uključeni u postupke.

6.U postupcima se u potpunosti mora poštovati pravo stranaka na obranu. Imaju pravo na uvid u spis Europskog nadzornika za zaštitu podataka uz uvjet da se poštuju legitimni interesi pojedinaca ili poduzeća da štite svoje osobne podatke ili poslovne tajne.

7.Sredstva ostvarena naplatom novčanih kazni iz ovog članka prihod su općeg proračuna Europske unije.

Članak 67.

Zastupanje ispitanika

Ispitanik ima pravo ovlastiti neprofitno tijelo, organizaciju ili udruženje koje je pravilno osnovano u skladu s pravom Unije ili pravom države članice, u čijem se statutu navode ciljevi od javnog interesa te je aktivno u području zaštite prava i sloboda ispitanika s obzirom na zaštitu njihovih osobnih podataka, da u njegovo ime podnese pritužbu Europskom nadzorniku za zaštitu podataka, da u njegovo ime ostvaruje prava iz članka 63. te da u njegovo ime ostvaruje pravo na naknadu iz članka 65.

Članak 68.

Pritužbe osoblja Unije

Svaka osoba zaposlena u instituciji ili tijelu Unije može, bez postupanja putem službenih kanala, podnijeti pritužbu Europskom nadzorniku za zaštitu podataka zbog navodnog kršenja odredaba ove Uredbe. Nitko ne smije trpjeti štetu zbog pritužbe koja je zbog navodnog kršenja podnesena Europskom nadzorniku za zaštitu podataka.

Članak 69.

Sankcije

Dužnosnik ili drugi službenik Unije koji namjerno ili iz nepažnje ne ispuni obveze utvrđene ovom Uredbom podliježe stegovnom ili drugom postupku u skladu s pravilima i postupcima koji su utvrđeni Pravilnikom o osoblju za dužnosnike Europske Unije ili Uvjetima zaposlenja ostalih službenike Europske unije.

POGLAVLJE IX.

PROVEDBENI AKTI

Članak 70.

Postupak odbora

1.Komisiji pomaže odbor osnovan člankom 93. Uredbe (EU) 2016/679. Navedeni odbor je odbor u smislu Uredbe (EU) br. 182/2011.

2.Ako se upućuje na ovaj stavak, primjenjuje se članak 5. Uredbe (EU) br. 182/2011.

POGLAVLJE X.

ZAVRŠNE ODREDBE

Članak 71.

Stavljanje izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ

Uredba (EZ) br. 45/2001 22 i Odluka br. 1247/2002/EZ 23 stavljaju se izvan snage s učinkom od 25. svibnja 2018. Upućivanja na Uredbu i Odluku koje su stavljene izvan snage smatraju se upućivanjima na ovu Uredbu.

Članak 72.

Prijelazne mjere

1.Ova Uredba ne utječe na Odluku 2014/886/EU Europskog parlamenta i Vijeća 24 te na sadašnji mandat Europskog nadzornika za zaštitu podataka i pomoćnika nadzornika.

2.Pomoćnik nadzornika je u pogledu određivanja primitka od rada, dodataka, starosne mirovine te svih drugih naknada na osnovi rada izjednačen s tajnikom Suda Europske unije.

3.Članak 54. stavci 4., 5. i 7. te članci 56. i 57. ove Uredbe primjenjuju se na sadašnjeg pomoćnika nadzornika do isteka njegova mandata 5. prosinca 2019.

4.Pomoćnik nadzornika do isteka svojeg mandata 5. prosinca 2019. pomaže Europskom nadzorniku za zaštitu podataka u svim njegovim dužnostima te ga zamjenjuje kad je Europski nadzornik za zaštitu podataka odsutan ili spriječen u obavljanju tih dužnosti.

Članak 73.

Stupanje na snagu i primjena

1.Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

2.Primjenjuje se od 25. svibnja 2018.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu

Za Europski parlament Za Vijeće

Predsjednik Predsjednik

ZAKONODAVNI FINANCIJSKI IZVJEŠTAJ

1.OKVIR PRIJEDLOGA/INICIJATIVE

1.1.Naslov prijedloga/inicijative

1.2.Odgovarajuća područja politike u strukturi ABM/ABB

1.3.Vrsta prijedloga/inicijative

1.4.Cilj/ciljevi

1.5.Osnova prijedloga/inicijative

1.6.Trajanje i financijski utjecaj

1.7.Predviđene metode upravljanja

2.MJERE UPRAVLJANJA

2.1.Pravila praćenja i izvješćivanja

2.2.Sustav upravljanja i kontrole

2.3.Mjere za sprečavanje prijevara i nepravilnosti

3.PROCIJENJENI FINANCIJSKI UTJECAJ PRIJEDLOGA/INICIJATIVE

3.1.Naslovi višegodišnjeg financijskog okvira i proračunskih linija rashoda na koje se prijedlog/inicijativa odnosi

3.2.Procijenjeni utjecaj na rashode

3.2.1.Sažetak procijenjenog utjecaja na rashode

3.2.2.Procijenjeni utjecaj na odobrena sredstva za poslovanje

3.2.3.Procijenjeni utjecaj na odobrena administrativna sredstva

3.2.4.Usklađenost s tekućim višegodišnjim financijskim okvirom

3.2.5.Doprinos trećih osoba

3.3.Procijenjeni utjecaj na prihode

ZAKONODAVNI FINANCIJSKI IZVJEŠTAJ

1.OKVIR PRIJEDLOGA/INICIJATIVE

1.1.Naslov prijedloga/inicijative

Prijedlog uredbe Europskog parlamenta i Vijeća o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ

1.2.Odgovarajuća područja politike u strukturi ABM/ABB 25

Pravosuđe – Zaštita osobnih podataka

1.3.Vrsta prijedloga/inicijative

◻ Prijedlog/inicijativa odnosi se na novo djelovanje

◻ Prijedlog/inicijativa odnosi se na novo djelovanje nakon pilot-projekta/pripremnog djelovanja 26

–Prijedlog/inicijativa odnosi se na produženje postojećeg djelovanja

◻ Prijedlog/inicijativa odnosi se na djelovanje koje je preusmjereno na novo djelovanje

1.4.Cilj/ciljevi

1.4.1.Višegodišnji strateški ciljevi Komisije na koje se odnosi prijedlog/inicijativa

Stupanjem na snagu Ugovora iz Lisabona – a posebno uvođenjem novog pravnog okvira (članak 16. UFEU-a) – otvorena je prilika za uspostavljanje sveobuhvatnog okvira za zaštitu podataka u svim područjima.

Unija je 27. travnja 2016. donijela Uredbu (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (Tekst značajan za EGP), SL L 119, 4.5.2016., str. 1. – 88.

Unija je istoga dana donijela Direktivu (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP, SL L 119, 4.5.2016., str. 89. – 131.

Cilj je ovog Prijedloga dovršiti uspostavljanje sveobuhvatnog okvira za zaštitu podataka u Uniji usklađivanjem pravila o zaštiti podataka koja se primjenjuju na institucije i tijela Unije s pravilima o zaštiti podataka iz Uredbe (EU) 2016/679. Radi dosljednosti i usklađenosti institucije i tijela Unije trebali bi primjenjivati skup pravila o zaštiti podataka sličan onome koji primjenjuje javni sektor u državama članicama.

1.4.2.Posebni ciljevi i odgovarajuće aktivnosti u okviru strukture ABM/ABB

Posebni cilj br. 1:

Osigurati dosljednu primjenu pravila o zaštiti podataka u cijeloj Uniji.

Posebni cilj br. 2:

Racionalizirati postojeći model upravljanja zaštitom podataka u institucijama i tijelima Unije.

Posebni cilj br. 3:

Osigurati bolju usklađenost s pravilima o zaštiti podataka i njihovu provedbu u institucijama i tijelima Unije.

1.4.3.Očekivani rezultati i utjecaj

Navesti učinke koje bi prijedlog/inicijativa trebali imati na ciljane korisnike/skupine.

Institucije i tijela Unije koji su voditelji obrade trebali bi imati koristi od prijelaza sa sadašnjih administrativnih postupaka (ex ante pristup) povezanih sa zaštitom podataka na djelotvornu usklađenost i strožu provedbu materijalnih pravila o zaštiti podataka te nova načela zaštite podataka i pojmove uvedene Uredbom (EU) 2016/679 (ex post pristup), koji će se primjenjivati u cijeloj Uniji.

Pojedinci čije podatke obrađuju institucije i tijela Unije imat će bolju kontrolu nad svojim osobnim podacima te veće povjerenje u digitalno okruženje. Susrest će se i s većom odgovornošću institucija i tijela Unije.

Europski nadzornik za zaštitu podataka moći će se u većoj mjeri usredotočiti na svoju nadzornu ulogu. Zadaće u pogledu davanja savjeta Komisiji bit će jasnije raspodijeljene između Europskog odbora za zaštitu podataka osnovanog Uredbom (EU) 2016/679 i Europskog nadzornika za zaštitu podataka te će se izbjeći udvostručivanja.

1.4.4.Pokazatelji rezultata i utjecaja

Navesti pokazatelje koji omogućuju praćenje provedbe prijedloga/inicijative.

Pokazatelji uključuju sljedeće elemente:

broj mišljenja koja su izdali Europski odbor za zaštitu podataka i Europski nadzornik za zaštitu podataka,

raščlamba aktivnosti službenika za zaštitu podataka,

upotreba procjena učinka na zaštitu podataka,

broj pritužbi koje su podnijeli ispitanici,

novčane kazne izrečene voditeljima obrade odgovornima za kršenje sigurnosti podataka.

1.5.Osnova prijedloga/inicijative

1.5.1.Zahtjevi koje je potrebno kratkoročno ili dugoročno ispuniti

U Uredbi (EU) 2016/679 (članak 2. stavak 3., članak 98., uvodna izjava 17.) zakonodavci Unije utvrdili su da Uredbu (EZ) br. 45/2001 treba prilagoditi načelima i pravilima uspostavljenima Uredbom (EU) 2016/679 kako bi se osigurao čvrst i usklađen okvir za zaštitu podataka u Uniji te kako bi se oba instrumenta mogla početi primjenjivati istodobno, tj. 25. svibnja 2018.

1.5.2.Dodana vrijednost sudjelovanja EU-a

Pravila o zaštiti podataka koja se primjenjuju na institucije i tijela Unije mogu se uvesti jedino aktom EU-a.

1.5.3.Pouke iz prijašnjih sličnih iskustava

Ovaj se Prijedlog temelji na iskustvu s Uredbom (EZ) br. 45/2001 te procjeni njezine primjene izvršenoj u okviru evaluacijske studije (koju je od rujna 2014. do lipnja 2015. provodio vanjski ugovorni suradnik) 27 .

1.5.4.Usklađenost i moguća sinergija s ostalim odgovarajućim instrumentima

Ovaj se Prijedlog nastavlja na Uredbu (EU) 2016/679 i njime se dovršava izgradnja čvrstog, usklađenog i suvremenog okvira za zaštitu podataka u Uniji, koji je tehnološki neutralan i primjeren bez obzira na buduće događaje.

1.6.Trajanje i financijski utjecaj

◻ Prijedlog/inicijativa ograničenog trajanja

–◻ Prijedlog/inicijativa na snazi od [DD/MM]GGGG do [DD/MM]GGGG.

–◻ Financijski utjecaj od GGGG do GGGG.

Prijedlog/inicijativa neograničenog trajanja

Provedba s razdobljem uspostave od [2017.] do 25. svibnja 2018., nakon čega će uslijediti redovna provedba.

1.7.Predviđene metode upravljanja 28

Izravno upravljanje Komisije

–◻ koje obavljaju njezini odjeli, uključujući njezino osoblje u delegacijama Unije;

–◻ koje obavljaju izvršne agencije

◻ Podijeljeno upravljanje s državama članicama

◻ Neizravno upravljanje delegiranjem zadaća provedbe:

–◻ trećim zemljama ili tijelima koja su one odredile,

–◻ međunarodnim organizacijama i njihovim agencijama (navesti),

–◻ EIB-u i Europskom investicijskom fondu,

–◻ tijelima na koja se upućuje u člancima 208. i 209. Financijske uredbe,

–◻ tijelima javnog prava,

–◻ tijelima uređenima privatnim pravom koja pružaju javne usluge u mjeri u kojoj daju odgovarajuća financijska jamstva,

–◻ tijelima uređenima privatnim pravom države članice kojima je povjerena provedba javno-privatnog partnerstva i koja daju odgovarajuća financijska jamstva,

–◻ osobama kojima je povjerena provedba posebnih aktivnosti u ZVSP-u u skladu s glavom V. UEU-a i koje su navedene u odgovarajućem temeljnom aktu.

–Ako je označeno više načina upravljanja, pojedinosti navesti u odjeljku „Napomene”.

Napomene

Ovaj je prijedlog ograničen na institucije i tijela Unije te utječe na njih.

2.MJERE UPRAVLJANJA

2.1.Pravila praćenja i izvješćivanja

Navesti učestalost i uvjete.

Ovaj je prijedlog ograničen na primjenu pravila o zaštiti podataka u institucijama i tijelima Unije. Nadzor i provedba tih pravila zadaća je koju obavlja Europski nadzornik za zaštitu podataka. Stoga je praćenje i izvješćivanje isto tako zadaća Europskog nadzornika za zaštitu podataka. U skladu s člankom 60. ovog Prijedloga Europski nadzornik za zaštitu podataka posebno je obvezan podnijeti godišnje izvješće o aktivnostima iz svoje nadležnosti Europskom parlamentu, Vijeću i Komisiji te ga istodobno objaviti.

2.2.Sustav upravljanja i kontrole

2.2.1.Utvrđeni rizici

Evaluacijsku studiju o primjeni Uredbe (EZ) br. 45/2001 provodio je vanjski ugovorni suradnik od rujna 2014. do lipnja 2015. U njoj se analizira i učinak uvođenja ključnih pojmova i načela iz Uredbe (EU) 2016/679 u institucije i tijela Unije.

Novi model zaštite podataka usmjeren je na djelotvornu usklađenost s pravilima o zaštiti podataka te djelotvoran nadzor i provedbu tih pravila. Za njegovu će provedbu biti potrebna promjena u kulturi zaštite podataka u institucijama i tijelima Unije te prijelaz s administrativnog ex ante pristupa na djelotvoran ex post pristup.

2.2.2.Informacije o organizaciji sustava unutarnje kontrole

Postojeće metode kontrole koje primjenjuju institucije i tijela Unije.

2.2.3.Procjene troškova i koristi kontrola i procjena očekivane razine rizika od pogreške

Postojeće metode kontrole koje primjenjuju institucije i tijela Unije.

2.3.Mjere za sprečavanje prijevara i nepravilnosti

Navesti postojeće ili predviđene mjere za sprečavanje i zaštitu od prijevara.

Postojeće metode sprečavanja prijevara koje primjenjuju institucije i tijela Unije.

3.PROCIJENJENI FINANCIJSKI UTJECAJ PRIJEDLOGA/INICIJATIVE

3.1.Naslovi višegodišnjeg financijskog okvira i proračunskih linija rashoda na koje se prijedlog/inicijativa odnosi

Postojeće proračunske linije

Prema redoslijedu naslova višegodišnjeg financijskog okvira i proračunskih linija.

Naslov višegodišnjeg financijskog okvira:

Proračunska linija

Vrsta
rashoda

Doprinos

Broj
[Naslov………………………...……………]

Dif./Nedif 29 .

zemalja EFTA-e 30

zemalja kandidatkinja 31

trećih zemalja

u smislu članka 21. stavka 2. točke (b) Financijske uredbe

[XX.GG.GG.GG]

Dif./Nedif.

DA/NE

Zatražene nove proračunske linije

Prema redoslijedu naslova višegodišnjeg financijskog okvira i proračunskih linija.

Naslov višegodišnjeg financijskog okvira:

Proračunska linija

Vrsta
rashoda

Doprinos

Broj
[Naslov………………………...……………]

Dif./Nedif.

zemalja EFTA-e

zemalja kandidatkinja

trećih zemalja

u smislu članka 21. stavka 2. točke (b) Financijske uredbe

[XX.GG.GG.GG]

DA/NE

3.2.Procijenjeni utjecaj na rashode

Ovaj Prijedlog utječe samo na rashode institucija i tijela Unije. No evaluacija troškova povezanih s ovim prijedlogom pokazuje da on ne stvara znatne dodatne rashode za institucije i tijela Unije.

Kad je riječ o voditeljima obrade u institucijama i tijelima Unije, evaluacijska studija o Uredbi (EZ) br. 45/2001 pokazuje da njihove aktivnosti zaštite podataka odgovaraju količini od približno 70 ekvivalenata punog radnog vremena (EPRV), tj. oko 9,3 milijuna EUR godišnje. Približno 20 % njihovih aktivnosti zaštite podataka trenutačno se odnosi na obavješćivanje o obradi podataka. Ta se aktivnost ukida ovom Uredbom, što odgovara godišnjim uštedama od 1,922 milijuna EUR za voditelje obrade u institucijama i tijelima Unije. Očekuje se da će se te uštede poravnati povećanim ulaganjem voditelja obrade u provedbu novih načela i pojmova koji se uvode ovom Uredbom.

Preciznije, istraživanje provedeno u okviru evaluacijske studije pokazalo je sljedeće:

a) uvođenje načela smanjenja količine podataka imalo bi minimalan ili nikakav učinak na institucije i tijela Unije;

b) uvođenje načela transparentnosti ne bi znatno utjecalo na institucije i tijela Unije;

c) uvođenjem većih obveza u pogledu informiranja povećalo bi se radno opterećenje voditelja obrade podataka i službenika za zaštitu podataka;

d) uvođenje prava na zaborav ne bi znatno utjecalo na institucije i tijela Unije;

e) uvođenje prava na prenosivost podataka imalo bi minimalan ili nikakav učinak na institucije i tijela Unije;

f) uvođenje procjena učinka na zaštitu umjereno bi utjecalo na radno opterećenje voditelja obrade i službenika za zaštitu podataka jer neke institucije i tijela Unije već provode procjene učinka na zaštitu podataka pa će se stoga takve procjene morati provoditi tek u ograničenom broju slučajeva;

g) uvođenjem obveze prijavljivanja povreda osobnih podataka povećalo bi se radno opterećenje voditelja obrade, ali takve povrede nisu česte;

h) nekoliko institucija i tijela Unije već primjenjuje tehničku i integriranu zaštitu podataka.

Nadalje, u procjeni učinka provedenoj prije donošenja prijedloga paketa reformi u području zaštite podataka zaključeno je da se „uvođenjem načela tehničke zaštite podataka ne bi stvorilo administrativno opterećenje tijelima javne vlasti i voditeljima obrade.” 32

Kad je riječ o službenicima za zaštitu podataka, u evaluacijskoj je studiji procijenjeno da trošak postojeće mreže službenika za zaštitu podataka i koordinatora za zaštitu podataka u institucijama i tijelima Unije iznosi 82,9 EPRV-a ili 10,9 milijuna EUR godišnje. Oni 26 % vremena posvećenog aktivnostima zaštite podataka troše na aktivnosti koje se ukidaju ovom Uredbom, tj. na sastavljanje prijava (umjesto voditelja obrade), procjenu primljenih prijava i njihovo evidentiranje u registru te obavljanje prethodnih provjera. Time se za institucije i tijela Unije ostvaruju dodatne uštede od 2,834 milijuna EUR godišnje. Osim toga ovom se Uredbom otvara prostor za moguće dodatne uštede tako što se institucijama i tijelima Unije dopušta da umjesto zapošljavanja novog osoblja aktivnosti službenika za zaštitu podataka povjere vanjskim suradnicima.

Uštede s obzirom na aktivnosti službenika za zaštitu podataka poravnat će se njihovim angažiranjem u izvršavanju većih obveza u pogledu informiranja, u procjenama učinka na zaštitu podataka (u ograničenim okolnostima kad budu potrebni) te u prethodnim savjetovanjima s Europskim nadzornikom za zaštitu podataka (čiji će opseg biti mnogo ograničeniji od sadašnje obveze prethodnog provjeravanja).

Kad je riječ o Europskom nadzorniku za zaštitu podataka, njegov godišnji proračun prilično je stabilan od 2011. i kreće se u iznosu od približno 8 milijuna EUR. Njegov Odjel za nadzor i provedbu i Odjel za politiku i savjetovanja trenutačno imaju sličan broj članova osoblja, koji se nije mijenjao od 2008. Veća usredotočenost ove Uredbe na nadzornu ulogu Europskog nadzornika za zaštitu podataka poravnat će se usmjerenijom savjetodavnom ulogom te uklanjanjem udvostručivanja zadaća s Europskim odborom za zaštitu podataka. Stoga se preraspodjela osoblja Europskog nadzornika za zaštitu podataka može izvršiti interno.

Ovim se Prijedlogom predviđa mogućnost Europskog nadzornika za zaštitu podataka da izriče upravne novčane kazne institucijama i tijelima Unije. Svaka se institucija ili tijelo Unije može kazniti novčanom kaznom u visini od najviše 250 000 EUR godišnje (25 000 EUR po kršenju) ili 500 000 EUR godišnje (50 000 EUR po kršenju) za najteže prekršaje iz ove Uredbe. Očekuje se da će se te novčane kazne primjenjivati samo u najtežim slučajevima te nakon što institucija ili tijelo Unije ne postupi u skladu s mjerama koje donese Europski nadzornik za zaštitu podataka pri izvršavanju drugih korektivnih ovlasti. Stoga se očekuje da će financijski utjecaj takvih novčanih kazni biti ograničen.

3.2.1.Sažetak procijenjenog utjecaja na rashode

u milijunima EUR (do tri decimalna mjesta)

Naslov višegodišnjeg financijskog
okvira

Broj

[Naslov……………...……………………………………………………………….]

GU <…….>			Godina N 33	Godina N+1	Godina N+2	Godina N+3	Unijeti onoliko godina koliko je potrebno za prikaz trajanja utjecaja (vidjeti točku 1.6.)	UKUPNO
• Odobrena sredstva za poslovanje
Broj proračunske linije	Obveze	(1)
	Plaćanja	(2)
Broj proračunske linije	Obveze	(1a)
	Plaćanja	(2a)
Odobrena administrativna sredstva koja se financiraju iz omotnice za posebne programe 34
Broj proračunske linije		(3)
UKUPNA odobrena sredstva za Glavnu upravu <…….>	Obveze	= 1 + 1a + 3
	Plaćanja	= 2 + 2a +3

• UKUPNA odobrena sredstva za poslovanje	Obveze	(4)
	Plaćanja	(5)
• UKUPNA odobrena administrativna sredstva koja se financiraju iz omotnice za posebne programe		(6)
UKUPNA odobrena sredstva iz NASLOVA <….> višegodišnjeg financijskog okvira	Obveze	= 4 + 6
	Plaćanja	= 5 + 6

Ako prijedlog/inicijativa utječe na više naslova:

• UKUPNA odobrena sredstva za poslovanje	Obveze	(4)
	Plaćanja	(5)
• UKUPNA odobrena administrativna sredstva koja se financiraju iz omotnice za posebne programe		(6)
UKUPNA odobrena sredstva iz NASLOVA od 1. do 4. višegodišnjeg financijskog okvira (referentni iznos)	Obveze	= 4 + 6
	Plaćanja	= 5 + 6

Naslov višegodišnjeg financijskog
okvira

„Administrativni rashodi”

u milijunima EUR (do tri decimalna mjesta)

		Godina N	Godina N+1	Godina N+2	Godina N+3	Unijeti onoliko godina koliko je potrebno za prikaz trajanja utjecaja (vidjeti točku 1.6.)	UKUPNO
GU <…….>
• Ljudski resursi
• Ostali administrativni rashodi
GLAVNA UPRAVA UKUPNO <…….>	Odobrena sredstva

UKUPNA odobrena sredstva
iz NASLOVA 5.
višegodišnjeg financijskog okvira

(Ukupne preuzete obveze = ukupna plaćanja)

u milijunima EUR (do tri decimalna mjesta)

		Godina N 35	Godina N+1	Godina N+2	Godina N+3	Unijeti onoliko godina koliko je potrebno za prikaz trajanja utjecaja (vidjeti točku 1.6.)	UKUPNO
UKUPNA odobrena sredstva iz NASLOVA od 1. do 5. višegodišnjeg financijskog okvira	Obveze
	Plaćanja

3.2.2.Procijenjeni utjecaj na odobrena sredstva za poslovanje

Za prijedlog/inicijativu nisu potrebna odobrena sredstva za poslovanje

◻ Za prijedlog/inicijativu potrebna su sljedeća odobrena sredstva za poslovanje:

Odobrena sredstva za preuzete obveze u milijunima EUR (do tri decimalna mjesta)

Navesti ciljeve i rezultate

⇩

Godina
N

Godina
N+1

Godina
N+2

Godina
N+3

Unijeti onoliko godina koliko je potrebno za prikaz trajanja utjecaja (vidjeti točku 1.6.)

UKUPNO

REZULTATI

Vrsta 36

Prosječni trošak

Br.

Trošak

Br.

Trošak

Br.

Trošak

Br.

Trošak

Br.

Trošak

Br.

Trošak

Br.

Trošak

Ukupni broj

Ukupni trošak

POSEBNI CILJ br. 1 37 …

– Rezultat

Međuzbroj za posebni cilj br. 1

POSEBNI CILJ br. 2 ...

– Rezultat

Međuzbroj za posebni cilj br. 2

UKUPNI TROŠAK

3.2.3.Procijenjeni utjecaj na odobrena administrativna sredstva

3.2.3.1.Sažetak

Za prijedlog/inicijativu nisu potrebna odobrena administrativna sredstva.

◻ Za prijedlog/inicijativu potrebna su sljedeća odobrena administrativna sredstva:

u milijunima EUR (do tri decimalna mjesta)

Godina
N 38

Godina
N+1

Godina
N+2

Godina
N+3

Unijeti onoliko godina koliko je potrebno za prikaz trajanja utjecaja (vidjeti točku 1.6.)

UKUPNO

NASLOV 5 višegodišnjeg financijskog okvira
Ljudski resursi
Ostali administrativni rashodi
Međuzbroj NASLOVA 5. višegodišnjeg financijskog okvira

Izvan NASLOVA 5. 39 višegodišnjeg financijskog okvira
Ljudski resursi
Ostali administrativni rashodi
Međuzbroj izvan NASLOVA 5. višegodišnjeg financijskog okvira

UKUPNO

Potrebna odobrena sredstva za ljudske resurse i ostali administrativni rashodi pokrit će se odobrenim sredstvima glavne uprave koja su već dodijeljena za upravljanje djelovanjem i/ili su preraspoređena unutar glavne uprave te, po potrebi, bilo kojim dodatnim sredstvima koja se mogu dodijeliti nadležnoj glavnoj upravi u okviru godišnjeg postupka dodjele sredstava uzimajući u obzir proračunska ograničenja.

3.2.3.2.Procijenjene potrebe u pogledu ljudskih resursa

Za prijedlog/inicijativu nisu potrebni ljudski resursi.

◻ Za prijedlog/inicijativu potrebni su sljedeći ljudski resursi:

Procjenu navesti u ekvivalentima punog radnog vremena

		Godina N	Godina N+1	Godina N+2	Godina N+3	Unijeti onoliko godina koliko je potrebno za prikaz trajanja utjecaja (vidjeti točku 1.6.)
• Radna mjesta prema planu radnih mjesta (dužnosnici i privremeni djelatnici)
XX 01 01 01 (Sjedište i predstavništva Komisije)
XX 01 01 02 (Delegacije)
XX 01 05 01 (Neizravno istraživanje)
10 01 05 01 (Izravno istraživanje)
• Vanjsko osoblje (u ekvivalentu punog radnog vremena: EPRV) 40
XX 01 02 01 (UO, UNS, AO iz „globalne omotnice”)
XX 01 02 02 (UO, LO, UNS, AO i MSD u delegacijama)
XX 01 04 yy 41	– u sjedištu
	– u delegacijama
XX 01 05 02 (UO, UNS, AO – neizravno istraživanje)
10 01 05 02 (UO, UNS, AO – izravno istraživanje)
Ostale proračunske linije (navesti)
UKUPNO

XX se odnosi na odgovarajuće područje politike ili glavu proračuna.

Potrebe za ljudskim resursima pokrit će se osobljem kojemu je već povjereno upravljanje djelovanjem i/ili koje je preraspoređeno unutar glavne uprave te, prema potrebi, bilo kojim dodatnim sredstvima koja se mogu dodijeliti nadležnoj glavnoj upravi u okviru godišnjeg postupka dodjele sredstava uzimajući u obzir proračunska ograničenja.

Opis zadaća koje treba obaviti:

Dužnosnici i privremeno osoblje
Vanjsko osoblje

3.2.4.Usklađenost s tekućim višegodišnjim financijskim okvirom

Prijedlog/inicijativa u skladu je s postojećim višegodišnjim financijskim okvirom.

◻ Prijedlog/inicijativa povlači za sobom reprogramiranje relevantnog naslova višegodišnjeg financijskog okvira.

Objasniti o kakvom je reprogramiranju riječ te navesti odgovarajuće proračunske linije i iznose.

◻ Za prijedlog/inicijativu potrebna je primjena instrumenta za financijsku fleksibilnost ili revizija višegodišnjeg financijskog okvira.

Objasniti što je potrebno te navesti predmetne naslove i proračunske linije te odgovarajuće iznose.

3.2.5.Doprinos trećih osoba

Prijedlogom/inicijativom ne predviđa se sufinanciranje od trećih osoba.

Prijedlogom/inicijativom predviđa se sufinanciranje prema sljedećoj procjeni:

Odobrena sredstva u milijunima EUR (do tri decimalna mjesta)

	Godina N	Godina N+1	Godina N+2	Godina N+3	Unijeti onoliko godina koliko je potrebno za prikaz trajanja utjecaja (vidjeti točku 1.6.)	Ukupno
Navesti tijelo koje sudjeluje u financiranju
UKUPNA sredstva sufinanciranja

3.3.Procijenjeni utjecaj na prihode

Prijedlog/inicijativa nema financijski utjecaj na prihode.

◻ Prijedlog/inicijativa ima sljedeći financijski utjecaj:

–◻ na vlastita sredstva

–◻ na razne prihode

u milijunima EUR (do tri decimalna mjesta)

Proračunska linija u okviru prihoda:	Odobrena sredstva dostupna za tekuću proračunsku godinu	Utjecaj prijedloga/inicijative 42
		Godina N	Godina N+1	Godina N+2	Godina N+3	Unijeti onoliko godina koliko je potrebno za prikaz trajanja utjecaja (vidjeti točku 1.6.)
Članak ………….

Za razne namjenske prihode navesti odgovarajuće proračunske linije rashoda.

Navesti metodu izračuna utjecaja na prihode.

(1) Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka, SL L 8, 12.1.2001.

(2) Odluka br. 1247/2002/EZ od 1. srpnja 2002. o propisima i općim uvjetima kojima se uređuje obavljanje dužnosti Europskog nadzornika za zaštitu podataka, SL L 183, 12.7.2002., str. 1.

(3) Vidjeti članak 98. i uvodnu izjavu 17. Uredbe (EU) 2016/679.

(4) Vidjeti presudu Suda EU-a od 9. ožujka 2010., Komisija protiv Njemačke, predmet C-518/07, ECLI:EU:C:2010:125, točke 26. i 28.

(5) Vidjeti http://ec.europa.eu/justice/data-protection/reform/index_en.htm

(6) Vidjeti opće izvješće Europskog nadzornika za zaštitu podataka Measuring compliance with Regulation (EC) 45/2001 in EU institutions (‘Survey 2013’) (Mjerenje usklađenosti s Uredbom (EZ) 45/2001 u institucijama EU-a (‚Istraživanje 2013.’)) te „Mišljenje 3/2015 ‚Velika prilika za Europu: preporuke EDPS-a o mogućnostima EU-a u pogledu reforme zaštite podataka’.”

(7) JUST/2013/FRAC/FW/0157/A4 u kontekstu višestrukog okvirnog ugovora JUST/2011/EVAL/01 (RS 2013/05) – Evaluacijska studija o Uredbi (EZ) 45/2001, Ernst and Young, dostupna na http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=51087

(8) Presuda Suda EU-a, 9. studenoga 2010., Volker und Markus Schecke i Eifert, spojeni predmeti C-92/09 i C-93/09 ECLI:EU:C:2009:284, točka 48.

(9) U skladu s člankom 52. stavkom 1. Povelje moguća su ograničenja prava na zaštitu podataka, ali samo ako su ta ograničenja predviđena zakonom, ako se njima poštuje bit prava i sloboda te, podložno načelu proporcionalnosti, ako su potrebna i ako zaista odgovaraju ciljevima od općeg interesa koje priznaje Europska unija ili potrebi zaštite prava i sloboda drugih osoba.

(10) SL C, , str. .

(11) Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (SL L 8, 12.1.2001., str. 1.)

(12) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (Tekst značajan za EGP), SL L 119, 4.5.2016., str. 1. – 88.

(13) Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP, SL L 119, 4.5.2016., str. 89. – 131.

(14) Direktiva Vijeća 93/13/EEZ od 5. travnja 1993. o nepoštenim uvjetima u potrošačkim ugovorima (SL L 95, 21.4.1993., str. 29.).

(15) Uredba (EZ) br. 1338/2008 Europskog parlamenta i Vijeća od 16. prosinca 2008. o statističkim podacima Zajednice o javnom zdravlju i zdravlju i sigurnosti na radnom mjestu ( SL L 354, 31.12.2008., str. 70. ).

(16) Uredba (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).

(17) Uredba (EZ) br. 223/2009 Europskog parlamenta i Vijeća od 11. ožujka 2009. o europskoj statistici i stavljanju izvan snage Uredbe (EZ, Euratom) br. 1101/2008 Europskog parlamenta i Vijeća o dostavi povjerljivih statističkih podataka Statističkom uredu Europskih zajednica, Uredbe Vijeća (EZ) br. 322/97 o statistici Zajednice i Odluke Vijeća 89/382/EEZ, Euratom o osnivanju Odbora za statistički program Europskih zajednica ( SL L 87, 31.3.2009., str. 164. ).

(18) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (Tekst značajan za EGP), SL L 119, 4.5.2016., str. 1. – 88.

(19) Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP, SL L 119, 4.5.2016., str. 89. – 131.

(20) Direktiva Komisije 2008/63/EZ od 20. lipnja 2008. o tržišnom natjecanju na tržištima telekomunikacijske terminalne opreme (SL L 162, 21.6.2008., str. 20.).

(21) Odluka Vijeća 2009/917/PUP od 30. studenoga 2009. o uporabi informacijske tehnologije u carinske svrhe, SL L 323, 10.12.2009., str. 20. – 30.

(22) Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka, SL L 8, 12.1.2001.

(23) Odluka br. 1247/2002/EZ od 1. srpnja 2002. o propisima i općim uvjetima kojima se uređuje obavljanje dužnosti Europskog nadzornika za zaštitu podataka, SL L 183, 12.7.2002., str. 1.

(24) Odluka 2014/886/EU Europskog parlamenta i Vijeća od 4. prosinca 2014. o imenovanju Europskog nadzornika za zaštitu podataka i pomoćnika nadzornika, SL L 351, 9.12.2014., str. 9.

(25) ABM: upravljanje na temelju djelatnosti (engl. activity-based management); ABB: priprema proračuna na temelju djelatnosti (engl. activity-based budgeting).

(26) Kako je navedeno u članku 54. stavku 2. točkama (a) ili (b) Financijske uredbe.

(27) JUST/2013/FRAC/FW/0157/A4 u kontekstu višestrukog okvirnog ugovora JUST/2011/EVAL/01 (RS 2013/05) – Evaluacijska studija o Uredbi (EZ) 45/2001, Ernst and Young

(28) Informacije o načinima upravljanja i upućivanja na Financijsku uredbu dostupni su na internetskim stranicama BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html

(29) Dif. = diferencirana odobrena sredstva; Nedif. = nediferencirana odobrena sredstva

(30) EFTA: Europsko udruženje slobodne trgovine (engl. European Free Trade Association)

(31) Zemlje kandidatkinje i, ako je primjenjivo, potencijalne zemlje kandidatkinje sa zapadnog Balkana.

(32) Radni dokument službi Komisije, Procjena učinka, SEC(2012) 72 final, stranica 110.

(33) Godina N godina je početka provedbe prijedloga/inicijative.

(34) Tehnička i/ili administrativna pomoć i rashodi za potporu provedbi programa i/ili djelovanja EU-a (prijašnje linije „BA”), neizravnih istraživanja i izravnih istraživanja.

(35) Godina N godina je početka provedbe prijedloga/inicijative.

(36) Rezultati se odnose na proizvode i usluge koji se isporučuju (npr. broj financiranih razmjena studenata, broj izgrađenih kilometara cesta itd.).

(37) Kako je opisano u točki 1.4.2. „Posebni cilj/ciljevi…”

(38) Godina N godina je početka provedbe prijedloga/inicijative.

(39) Tehnička i/ili administrativna pomoć i rashodi za potporu provedbi programa i/ili djelovanja EU-a (prijašnje linije „BA”), neizravnih istraživanja i izravnih istraživanja.

(40) UO = ugovorno osoblje; LO = lokalno osoblje; UNS = upućeni nacionalni stručnjaci; AO = agencijsko osoblje; MSD = mladi stručnjaci u delegacijama.

(41) U okviru gornje granice za vanjsko osoblje iz odobrenih sredstava za poslovanje (prijašnje linije „BA”).

(42) Kad je riječ o tradicionalnim vlastitim sredstvima (carine, pristojbe na šećer), navedeni iznosi moraju biti neto iznosi, to jest bruto iznosi umanjeni za 25 % na ime troškova naplate.

Choose the experimental features you want to try