02016R0679 — HR — 04.05.2016 — 000.003
Ovaj je tekst namijenjen isključivo dokumentiranju i nema pravni učinak. Institucije Unije nisu odgovorne za njegov sadržaj. Vjerodostojne inačice relevantnih akata, uključujući njihove preambule, one su koje su objavljene u Službenom listu Europske unije i dostupne u EUR-Lexu. Tim službenim tekstovima može se izravno pristupiti putem poveznica sadržanih u ovom dokumentu.
UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) ( L 119 4.5.2016, 1) |
Koju je ispravio:
UREDBA (EU) 2016/679 EUROPSKOG PARLAMENTA I VIJEĆA
od 27. travnja 2016.
o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)
(Tekst značajan za EGP)
POGLAVLJE I.
Opće odredbe
Članak 1.
Predmet i ciljevi
Članak 2.
Glavno područje primjene
Ova se Uredba ne odnosi na obradu osobnih podataka:
tijekom djelatnosti koja nije obuhvaćena opsegom prava Unije;
koju obavljaju države članice kada obavljaju aktivnosti koje su obuhvaćene područjem primjene glave V. poglavlja 2. UEU-a;
koju provodi fizička osoba tijekom isključivo osobnih ili kućnih aktivnosti;
koju obavljaju nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihova sprečavanja.
Članak 3.
Teritorijalno područje primjene
Ova se Uredba primjenjuje na obradu osobnih podataka ispitanikâ u Uniji koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji, ako su aktivnosti obrade povezane s:
nuđenjem robe ili usluga takvim ispitanicima u Uniji, neovisno o tome treba li ispitanik izvršiti plaćanje; ili
praćenjem njihova ponašanja dokle god se njihovo ponašanje odvija unutar Unije.
Članak 4.
Definicije
Za potrebe ove Uredbe:
„osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;
„obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;
„ograničavanje obrade” znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti;
„izrada profila” znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;
„pseudonimizacija” znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;
„sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;
„voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice;
„izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;
„primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade;
„treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;
„privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;
„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;
„genetski podaci” znači osobni podaci koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca;
„biometrijski podaci” znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci;
„podaci koji se odnose na zdravlje” znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu;
„glavni poslovni nastan” znači:
što se tiče voditelja obrade s poslovnim nastanima u više od jedne države članice, mjesto njegove središnje uprave u Uniji, osim ako se odluke o svrhama i sredstvima obrade osobnih podataka donose u drugom poslovnom nastanu voditelja obrade u Uniji te je potonji poslovni nastan ovlašten provoditi takve odluke, u kojem se slučaju poslovni nastan u okviru kojeg se donose takve odluke treba smatrati glavnim poslovnim nastanom;
što se tiče izvršitelja obrade s poslovnim nastanima u više od jedne države članice, mjesto njegove središnje uprave u Uniji, ili, ako izvršitelj obrade nema središnju upravu u Uniji, ili, ako izvršitelj obradenema središnju upravu u Uniji, poslovni nastan izvršitelja obrade u Uniji u kojem se odvijaju glavne aktivnosti obrade u kontekstu aktivnosti poslovnog nastana izvršitelja obrade u mjeri u kojoj izvršitelj obrade podliježe posebnim obvezama u skladu s ovom Uredbom;
„predstavnik” znači fizička ili pravna osoba s poslovnim nastanom u Uniji koju je voditelj obrade ili izvršitelj obrade imenovao pisanim putem u skladu s člankom 27., a koja predstavlja voditelja obrade ili izvršitelja obrade u pogledu njihovih obveza na temelju ove Uredbe;
„poduzeće” znači fizička ili pravna osoba koja se bavi gospodarskom djelatnošću, bez obzira na pravni oblik te djelatnosti, uključujući partnerstva ili udruženja koja se redovno bave gospodarskom djelatnošću;
„grupa poduzetnika” znači poduzetnik u vladajućem položaju te njemu podređeni poduzetnici;
„obvezujuća korporativna pravila” znači politike zaštite osobnih podataka kojih se voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice pridržava za prijenose ili skupove prijenosa osobnih podataka voditelju obrade ili izvršitelju obrade u jednoj ili više trećih zemalja unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću;
„nadzorno tijelo” znači neovisno tijelo javne vlasti koje je osnovala država članica u skladu s člankom 51.;
„predmetno nadzorno tijelo” znači nadzorno tijelo koje je povezano s obradom osobnih podataka zato što:
voditelj obrade ili izvršitelj obrade ima poslovni nastan na državnom području države članice tog nadzornog tijela;
obrada bitno utječe ili je izgledno da će bitno utjecati na ispitanike koji borave u državi članici tog nadzornog tijela; ili
podnesena je pritužba tom nadzornom tijelu.
„prekogranična obrada” znači ili:
obrada osobnih podataka koja se odvija u Uniji u kontekstu aktivnosti poslovnih nastana u više od jedne države članice voditelja obrade ili izvršitelja obrade, a voditelj obrade ili izvršitelj obrade ima poslovni nastan u više od jedne države članice; ili
obrada osobnih podataka koja se odvija u Uniji u kontekstu aktivnosti jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade, ali koja bitno utječe ili je izgledno da će bitno utjecati na ispitanike u više od jedne države članice.
„relevantni i obrazloženi prigovor” znači prigovor na nacrt odluke kao i na to je li došlo do kršenja ove Uredbe, ili je li djelovanje predviđeno u vezi s voditeljem obrade ili izvršiteljem obrade u skladu s ovom Uredbom, koji jasno pokazuje važnost rizika koje predstavlja nacrt odluke u pogledu temeljnih prava i sloboda ispitanika i, ako je primjenjivo, slobodnog protoka osobnih podataka unutar Unije;
„usluga informacijskog društva” znači usluga kako je definirana člankom 1. stavkom 1. točkom 2. Direktive 2015/1535 Europskog parlamenta i Vijeća ( 1 );
„međunarodna organizacija” znači organizacija i njezina podređena tijela uređena međunarodnim javnim pravom ili bilo koje drugo tijelo koje su sporazumom ili na osnovi sporazuma osnovale dvije ili više zemalja.
POGLAVLJE II.
Načela
Članak 5.
Načela obrade osobnih podataka
Osobni podaci moraju biti:
zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika („zakonitost, poštenost i transparentnost”);
prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u skladu s člankom 89. stavkom 1. ne smatra se neusklađenom s prvotnim svrhama („ograničavanje svrhe”);
primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”);
točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave („točnost”);
čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1., što podliježe provedbi primjerenih tehničkih i organizacijskih mjera propisanih ovom Uredbom radi zaštite prava i sloboda ispitanika („ograničenje pohrane”);
obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera („cjelovitost i povjerljivost”);
Članak 6.
Zakonitost obrade
Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:
ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;
obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;
obrada je nužna radi poštovanja pravnih obveza voditelja obrade;
obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe;
obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.
Točka (f) prvog podstavka ne odnosi se na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća.
Pravna osnova za obradu iz stavka 1. točaka (c) i (e) utvrđuje se u:
pravu Unije; ili
pravu države članice kojem voditelj obrade podliježe.
Svrha obrade određuje se tom pravnom osnovom ili, u pogledu obrade iz stavka 1. točke (e), mora biti nužna za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade. Ta pravna osnova može sadržavati posebne odredbe kako bi se prilagodila primjena pravila ove Uredbe, među ostalim opće uvjete kojima se uređuje zakonitost obrade od strane voditelja obrade, vrste podataka koji su predmet obrade, dotične ispitanike, subjekte kojima se osobni podaci mogu otkriti i svrhe u koje se podaci mogu otkriti, ograničavanje svrhe, razdoblje pohrane te aktivnosti obrade i postupke obrade, uključujući mjere za osiguravanje zakonite i poštene obrade, kao i za druge posebne situacije obrade kako je navedeno u poglavlju IX. Pravom Unije ili pravom države članice mora se ostvariti cilj od javnog interesa te ono mora biti razmjerno zakonitom cilju koji se želi postići.
Ako se obrada u svrhu koja je različita od svrhe u koju su podaci prikupljeni ne temelji na privoli ispitanika ili na pravu Unije ili pravu države članice koje predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu ciljeva iz članka 23. stavka 1., voditelj obrade, s ciljem utvrđivanja je li obrada u drugu svrhu u skladu sa svrhom u koju su osobni podaci prvotno prikupljeni, uzima u obzir, među ostalim:
svaku vezu između svrha prikupljanja osobnih podataka i svrha namjeravanog nastavka obrade;
kontekst u kojem su prikupljeni osobni podaci, posebno u pogledu odnosa između ispitanikâ i voditelja obrade;
prirodu osobnih podataka, osobito činjenicu obrađuju li se posebne kategorije osobnih podataka u skladu s člankom 9. ili osobni podaci koji se odnose na kaznene osude i kažnjiva djela u skladu s člankom 10.;
moguće posljedice namjeravanog nastavka obrade za ispitanike;
postojanje odgovarajućih zaštitnih mjera, koje mogu uključivati enkripciju ili pseudonimizaciju.
Članak 7.
Uvjeti privole
Članak 8.
Uvjeti koji se primjenjuju na privolu djeteta u odnosu na usluge informacijskog društva
Države članice mogu u te svrhe zakonom predvidjeti nižu dobnu granicu, pod uvjetom da takva niža dobna granica nije niža od 13 godina.
Članak 9.
Obrada posebnih kategorija osobnih podataka
Stavak 1. ne primjenjuje se ako je ispunjen jedno od sljedećeg:
ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha, osim ako se pravom Unije ili pravom države članice propisuje da ispitanik ne može ukinuti zabranu iz stavka 1.;
obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika;
obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca ako ispitanik fizički ili pravno nije u mogućnosti dati privolu;
obrada se provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem te pod uvjetom da se obrada odnosi samo na članove ili bivše članove tijela ili na osobe koje imaju redovan kontakt s njom u vezi s njezinim svrhama i da osobni podaci nisu priopćeni nikome izvan tog tijela bez privole ispitanika;
obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik;
obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili kad god sudovi djeluju u sudbenom svojstvu;
obrada je nužna za potrebe značajnog javnog interesa na temelju prava Unije ili prava države članice koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika;
obrada je nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti zaposlenika, medicinske dijagnoze, pružanja zdravstvene ili socijalne skrbi ili tretmana ili upravljanja zdravstvenim ili socijalnim sustavima i uslugama na temelju prava Unije ili prava države članice ili u skladu s ugovorom sa zdravstvenim radnikom te u skladu s uvjetima i zaštitnim mjerama iz stavka 3.;
obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih proizvoda, na temelju prava Unije ili prava države članice kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno čuvanje profesionalne tajne;
obrada je nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1. na temelju prava Unije ili prava države članice koje je razmjerno cilju koji se nastoji postići te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika.
Članak 10.
Obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela
Obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela ili povezane mjere sigurnosti na temelju članka 6. stavka 1. provodi se samo pod nadzorom službenog tijela ili kada je obrada odobrena pravom Unije ili pravom države članice kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode ispitanikâ. Svaki sveobuhvatni registar kaznenih osuda vodi se samo pod nadzorom službenog tijela vlasti.
Članak 11.
Obrada koja ne zahtijeva identifikaciju
POGLAVLJE III.
Prava ispitanika
Članak 12.
Transparentne informacije, komunikacija i modaliteti za ostvarivanje prava ispitanika
Informacije pružene u skladu s člancima 13. i 14. i sva komunikacija i djelovanja iz članaka od 15. do 22. i članka 34. pružaju se bez naknade. Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog njihova učestalog ponavljanja, voditelj obrade može:
naplatiti razumnu naknadu uzimajući u obzir administrativne troškove pružanja informacija ili obavijesti ili postupanje po zahtjevu; ili
odbiti postupiti po zahtjevu.
Teret dokaza očigledne neutemeljenosti ili pretjeranosti zahtjeva jest na voditelju obrade.
Članak 13.
Informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanika
Ako su osobni podaci koji se odnose na ispitanika prikupljeni od ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka ispitaniku pruža sve sljedeće informacije:
identitet i kontaktne podatke voditelja obrade i, ako je primjenjivo, predstavnika voditelja obrade;
kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;
svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;
ako se obrada temelji na članku 6. stavku 1. točki (f), legitimne interese voditelja obrade ili treće strane;
primatelje ili kategorije primatelja osobnih podataka, ako ih ima; i
ako je primjenjivo, činjenicu da voditelj obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosâ iz članaka 46. ili 47. ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljeni na raspolaganje.
Osim informacija iz stavka 1., voditelj obrade u trenutku kada se osobni podaci prikupljaju pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada:
razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;
postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu te prava na prenosivost podataka;
ako se obrada temelji na članku 6. stavku 1. točki (a) ili članku 9. stavku 2. točki (a), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;
pravo na podnošenje prigovora nadzornom tijelu;
informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili zahtjev nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;
postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.
Članak 14.
Informacije koje se trebaju pružiti ako osobni podaci nisu dobiveni od ispitanika
Ako osobni podaci nisu dobiveni od ispitanika, voditelj obrade ispitaniku pruža sljedeće informacije:
identitet i kontaktne podatke voditelja obrade i predstavnika voditelja obrade, ako je primjenjivo;
kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;
svrhe obrade kojoj su namijenjeni osobni podaci kao i pravnu osnovu za obradu;
kategorije osobnih podataka o kojima je riječ;
primatelje ili kategorije primatelja osobnih podataka, prema potrebi;
ako je primjenjivo, namjeru voditelja obrade da osobne podatke prenese primatelju u trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosâ iz članka 46. ili 47., ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje;
Osim informacija iz stavka 1. voditelj obrade ispitaniku pruža sljedeće informacije neophodne za osiguravanje poštene i transparentne obrade s obzirom na ispitanika:
razdoblje u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;
ako se obrada temelji na članku 6. stavku 1. točki (f), legitimne interese voditelja obrade ili treće strane;
postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka;
ako se obrada temelji na članku 6. stavku 1. točki (a) ili članku 9. stavku 2. točki (a), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;
pravo na podnošenje prigovora nadzornom tijelu;
izvor osobnih podataka i, prema potrebi, dolaze li iz javno dostupnih izvora;
postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.
Voditelj obrade pruža informacije iz stavaka 1. i 2.:
unutar razumnog roka nakon dobivanja osobnih podataka, a najkasnije u roku od jednog mjeseca, uzimajući u obzir posebne okolnosti obrade osobnih podataka;
ako se osobni podaci trebaju upotrebljavati za komunikaciju s ispitanikom, najkasnije u trenutku prve komunikacije ostvarene s tim ispitanikom; ili
ako je predviđeno otkrivanje podataka drugom primatelju, najkasnije u trenutku kada su osobni podaci prvi put otkriveni.
Stavci od 1. do 4. ne primjenjuju se ako i u mjeri u kojoj:
ispitanik već posjeduje informacije;
pružanje takvih informacija nemoguće je ili bi zahtijevalo nerazmjerne napore; posebno za obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, podložno uvjetima i zaštitnim mjerama iz članka 89. stavka 1. ili u mjeri u kojoj je vjerojatno da se obvezom iz stavka 1. ovog članka može onemogućiti ili ozbiljno ugroziti postizanje ciljeva te obrade. U takvim slučajevima voditelj obrade poduzima odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanikâ, među ostalim stavljanjem informacija na raspolaganje javnosti;
dobivanje ili otkrivanje podataka izrijekom je propisano pravom Unije ili pravom države članice kojem podliježe voditelj obrade, a koje predviđa odgovarajuće mjere zaštite legitimnih interesa ispitanika; ili
ako osobni podaci moraju ostati povjerljivi u skladu s obvezom čuvanja profesionalne tajne koju uređuje pravo Unije ili pravo države članice, uključujući obvezu čuvanja tajne koja se navodi u statutu.
Članak 15.
Pravo ispitanika na pristup
Ispitanik ima pravo dobiti od voditelja obrade potvrdu obrađuju li se osobni podaci koji se odnose na njega te ako se takvi osobni podaci obrađuju, pristup osobnim podacima i sljedećim informacijama:
svrsi obrade;
kategorijama osobnih podataka o kojima je riječ;
primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama;
ako je to moguće, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;
postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu
pravu na podnošenje pritužbe nadzornom tijelu;
ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj informaciji o njihovu izvoru;
postojanju automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislenim informacijama o tome o kojoj je logici riječ, kao i važnosti i predviđenim posljedicama takve obrade za ispitanika.
Članak 16.
Pravo na ispravak
Ispitanik ima pravo bez nepotrebnog odgađanja ishoditi od voditelja obrade ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.
Članak 17.
Pravo na brisanje („pravo na zaborav”)
Ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja te voditelj obrade ima obvezu obrisati osobne podatke bez nepotrebnog odgađanja ako je ispunjen jedan od sljedećih uvjeta:
osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni;
ispitanik povuče privolu na kojoj se obrada temelji u skladu s člankom 6. stavkom 1. točkom (a) ili člankom 9. stavkom 2. točkom (a) i ako ne postoji druga pravna osnova za obradu;
ispitanik uloži prigovor na obradu u skladu s člankom 21. stavkom 1. te ne postoje jači legitimni razlozi za obradu, ili ispitanik uloži prigovor na obradu u skladu s člankom 21. stavkom 2.;
osobni podaci nezakonito su obrađeni;
osobni podaci moraju se brisati radi poštovanja pravne obveze iz prava Unije ili prava države članice kojem podliježe voditelj obrade;
osobni podaci prikupljeni su u vezi s ponudom usluga informacijskog društva iz članka 8. stavka 1.
Stavci 1. i 2. ne primjenjuju se u mjeri u kojoj je obrada nužna:
radi ostvarivanja prava na slobodu izražavanja i informiranja;
radi poštovanja pravne obveze kojom se zahtijeva obrada u pravu Unije ili pravu države članice kojem podliježe voditelj obrade ili za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;
zbog javnog interesa u području javnog zdravlja u skladu s člankom 9. stavkom 2. točkama (h) i (i) kao i člankom 9. stavkom 3.;
u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1. u mjeri u kojoj je vjerojatno da se pravom iz stavka 1. može onemogućiti ili ozbiljno ugroziti postizanje ciljeva te obrade; ili
radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.
Članak 18.
Pravo na ograničenje obrade
Ispitanik ima pravo od voditelja obrade ishoditi ograničenje obrade ako je ispunjeno jedno od sljedećeg:
ispitanik osporava točnost osobnih podataka, na razdoblje kojim se voditelju obrade omogućuje provjera točnosti osobnih podataka;
obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe;
voditelj obrade više ne treba osobne podatke za potrebe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;
ispitanik je uložio prigovor na obradu na temelju članka 21. stavka 1. očekujući potvrdu nadilaze li legitimni razlozi voditelja obrade razloge ispitanika.
Članak 19.
Obveza izvješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obrade
Voditelj obrade priopćuje svaki ispravak ili brisanje osobnih podataka ili ograničenje obrade provedeno u skladu s člankom 16., člankom 17. stavkom 1. i člankom 18. svakom primatelju kojem su otkriveni osobni podaci, osim ako se to pokaže nemogućim ili zahtijeva nerazmjeran napor. Voditelj obrade obavješćuje ispitanika o tim primateljima ako to ispitanik zatraži.
Članak 20.
Pravo na prenosivost podataka
►C1 Ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio voditelju obrade, u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu ◄ te ima pravo prenijeti te podatke drugom voditelju obrade bez ometanja od strane voditelja obrade kojem su osobni podaci pruženi, ako:
obrada se temelji na privoli u skladu s člankom 6. stavkom 1. točkom (a) ili člankom 9. stavkom 2. točkom (a) ili na ugovoru u skladu s člankom 6. stavkom 1. točkom (b); i
obrada se provodi automatiziranim putem.
Članak 21.
Pravo na prigovor
Članak 22.
Automatizirano pojedinačno donošenje odluka, uključujući izradu profila
Stavak 1. ne primjenjuje se ako je odluka:
potrebna za sklapanje ili izvršenje ugovora između ispitanika i voditelja obrade podataka;
dopuštena pravom Unije ili pravom države članice kojem podliježe voditelj obrade te koje također propisuje odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika; ili
temeljena na izričitoj privoli ispitanika.
Članak 23.
Ograničenja
Na temelju prava Unije ili prava države članice kojem podliježu voditelj obrade podataka ili izvršitelj obrade zakonskom mjerom može se ograničiti opseg obveza i prava iz članaka od 12. do 22. i članka 34. te članka 5. ako te odredbe odgovaraju pravima i obvezama predviđenima u člancima od 12. do 22., ako se takvim ograničenjem poštuje bit temeljnih prava i sloboda te ono predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu:
nacionalne sigurnosti;
obrane;
javne sigurnosti;
sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje;
drugih važnih ciljeva od općeg javnog interesa Unije ili države članice, osobito važnog gospodarskog ili financijskog interesa Unije ili države članice, što uključuje monetarna, proračunska i porezna pitanja, javno zdravstvo i socijalnu sigurnost;
zaštite neovisnosti pravosuđa i sudskih postupaka;
sprečavanja, istrage, otkrivanja i progona kršenja etike za regulirane struke;
funkcije praćenja, inspekcije ili regulatorne funkcije koja je, barem povremeno, povezana s izvršavanjem službene ovlasti u slučajevima iz točaka od (a) do (e) i točke (g);
zaštite ispitanika ili prava i sloboda drugih;
ostvarivanja potraživanja u građanskim sporovima.
Osobito, svaka zakonodavna mjera iz stavka 1. sadrži posebne odredbe, prema potrebi, najmanje o:
svrhama obrade ili kategorijama obrade,
kategorijama osobnih podataka,
opsegu uvedenih ograničenja,
zaštitnim mjerama za sprečavanje zlouporabe ili nezakonitog pristupa ili prijenosa;
specifikaciji voditelja obrade ili kategorija voditeljâ obrade,
razdoblju pohrane i zaštitnim mjerama koje se mogu primijeniti uzimajući u obzir prirodu, opseg i svrhe obrade ili kategorije obrade;
rizicima za prava i slobode ispitanika; i
pravu ispitanika da budu obaviješteni o ograničenju, osim ako može biti štetno za svrhu tog ograničenja.
POGLAVLJE IV.
Voditelj obrade i izvršitelj obrade
Članak 24.
Obveze voditelja obrade
Članak 25.
Tehnička i integrirana zaštita podataka
Članak 26.
Zajednički voditelji obrade
Članak 27.
Predstavnici voditeljâ obrade ili izvršitelja obrade koji nemaju poslovni nastan u Uniji
Ova se obveza iz stavka 1. ovog članka ne primjenjuje na:
obradu koja je povremena, ne uključuje u velikoj mjeri obradu posebnih kategorija podataka iz članka 9. stavka 1. ili obradu osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. te za koju nije vjerojatno da će prouzročiti rizik za prava i slobode pojedinaca uzimajući u obzir prirodu, kontekst, opseg i svrhe obrade; ili
tijelo javne vlasti ili javno tijelo.
Članak 28.
Izvršitelj obrade
Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu osobnih podataka i kategoriju ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom osobito određuje da izvršitelj obrade:
obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade, među ostalim s obzirom na prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade; u tom slučaju izvršitelj obrade izvješćuje voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo izvješćivanje zbog važnih razloga od javnog interesa;
osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti;
poduzima sve potrebne mjere u skladu s člankom 32.;
poštuje uvjete iz stavaka 2. i 4. za angažiranje drugog izvršitelja obrade;
uzimajući u obzir prirodu obrade, pomaže voditelju obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III.;
pomaže voditelju obrade u osiguravanju usklađenosti s obvezama u skladu s člancima od 32. do 36., uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade;
po izboru voditelja, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka;
voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u ovom članku i koje omogućuju revizije, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose.
U pogledu točke (h) prvog podstavka, izvršitelj obrade odmah obavješćuje voditelja obrade ako prema njegovu mišljenju određena uputa krši ovu Uredbu ili druge odredbe Unije ili države članice o zaštiti podataka.
Članak 29.
Obrada pod vodstvom voditelja obrade ili izvršitelja obrade
Izvršitelj obrade i bilo koja osoba koja djeluje pod vodstvom voditelja obrade ili izvršitelja obrade koja ima pristup osobnim podacima, ne obrađuje te podatke ako to ne zatraži voditelj obrade, osim ako to nalaže pravo Unije ili pravo države članice.
Članak 30.
Evidencija aktivnosti obrade
Svaki voditelj obrade i predstavnik voditelja obrade, ako je primjenjivo, vodi evidenciju aktivnosti obrade za koje je odgovoran. Ta evidencija sadržava sve sljedeće informacije:
ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;
svrhe obrade;
opis kategorija ispitanika i kategorija osobnih podataka;
kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;
ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. drugog podstavka, dokumentaciju o odgovarajućim zaštitnim mjerama;
ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka;
ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1.
Svaki izvršitelj obrade i predstavnik izvršitelja obrade, ako je primjenjivo, vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade, koja sadržava:
ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te, ako je primjenjivo, predstavnika voditelja obrade ili izvršitelja obrade te službenika za zaštitu podataka;
kategorije obrade koje se obavljaju u ime svakog voditelja obrade;
ako je primjenjivo, prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. točke (h), dokumentaciju o odgovarajućim zaštitnim mjerama;
ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1.
Članak 31.
Suradnja s nadzornim tijelom
Voditelj obrade i izvršitelj obrade te, ako je to primjenjivo, njihovi predstavnici, na zahtjev surađuju s nadzornim tijelom u ispunjavanju njegovih zadaća.
Članak 32.
Sigurnost obrade
Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi:
pseudonimizaciju i enkripciju osobnih podataka;
sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade;
sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;
proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade.
Članak 33.
Izvješćivanje nadzornog tijela o povredi osobnih podataka
U izvješćivanju iz stavka 1. mora se barem:
opisati priroda povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj dotičnih ispitanika te kategorije i približan broj dotičnih evidencija osobnih podataka;
navesti ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još informacija;
opisati vjerojatne posljedice povrede osobnih podataka;
opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica.
Članak 34.
Obavješćivanje ispitanika o povredi osobnih podataka
Obavješćivanje ispitanika iz stavka 1. nije obvezno ako je ispunjen bilo koji od sljedećih uvjeta:
voditelj obrade poduzeo je odgovarajuće tehničke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom osobnih podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija;
voditelj obrade poduzeo je naknadne mjere kojima se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika iz stavka 1.;
time bi se zahtijevao nerazmjeran napor. U takvom slučaju mora postojati javno obavješćivanje ili slična mjera kojom se ispitanici obavješćuju na jednako djelotvoran način.
Članak 35.
Procjena učinka na zaštitu podataka
Procjena učinka na zaštitu podataka iz stavka 1. obvezna je osobito u slučaju:
sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca;
opsežne obrade posebnih kategorija osobnih podataka iz članka 9. stavka 1. ili podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.; ili
sustavnog praćenja javno dostupnog područja u velikoj mjeri.
Procjena sadrži barem:
sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući, ako je primjenjivo, legitimni interes voditelja obrade;
procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama;
procjenu rizika za prava i slobode ispitanikâ iz stavka 1.; i
mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s ovom Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.
Članak 36.
Prethodno savjetovanje
Prilikom savjetovanja s nadzornim tijelom u skladu sa stavkom 1. voditelj obrade nadzornom tijelu dostavlja:
ako je primjenjivo, odgovarajuće odgovornosti voditelja obrade, zajedničkih voditelja obrade i izvršitelja obrade uključenih u obradu, osobito za obrade unutar grupe poduzetnika;
svrhu i sredstva namjeravane obrade;
zaštitne mjere i druge mjere za zaštitu prava i sloboda ispitanika u na temelju ove Uredbe;
ako je primjenjivo, kontaktne podatke službenika za zaštitu podataka;
procjenu učinka na zaštitu podataka kako je predviđena u članku 35.; i
sve druge informacije koje nadzorno tijelo zatraži.
Članak 37.
Imenovanje službenika za zaštitu podataka
Voditelj obrade i izvršitelj obrade imenuju službenika za zaštitu podataka u svakom slučaju u kojem:
obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti,
osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili
osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka na temelju članka 9. ili osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.
Članak 38.
Položaj službenika za zaštitu podataka
Članak 39.
Zadaće službenika za zaštitu podataka
Službenik za zaštitu podataka obavlja najmanje sljedeće zadaće:
informiranje i savjetovanje voditelja obrade ili izvršitelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama iz ove Uredbe te drugim odredbama Unije ili države članice o zaštiti podataka;
praćenje poštovanja ove Uredbe te drugih odredaba Unije ili države članice o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije;
pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja u skladu s člankom 35.;
suradnja s nadzornim tijelom;
djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, što uključuje i prethodno savjetovanje iz članka 36. te savjetovanje, prema potrebi, o svim drugim pitanjima.
Članak 40.
Kodeksi ponašanja
Udruženja i druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade mogu izraditi kodekse ponašanja ili izmijeniti ili proširiti takve kodekse radi preciziranja primjene ove Uredbe, kao što je u pogledu:
poštene i transparentne obrade;
legitimnih interesa voditelj obrade u posebnim kontekstima;
prikupljanja osobnih podataka;
pseudonimizacije osobnih podataka;
informiranja javnosti i ispitanika;
ostvarivanja prava ispitanika;
informiranja i zaštite djece te načina pribavljanja privole nositelja roditeljske odgovornosti nad djetetom;
mjera i postupaka iz članaka 24. i 25. te mjera za osiguravanje sigurnosti obrade iz članka 32.;
izvješćivanja nadzornih tijela o povredama osobnih podataka i obavješćivanja ispitanika o takvim povredama;
prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama; ili
izvansudskih postupaka i drugih postupaka za rješavanje sporova između voditelja obrade i ispitanika s obzirom na obradu, ne dovodeći u pitanje prava ispitanika na temelju članaka 77. i 79.
Članak 41.
Praćenje odobrenih kodeksa ponašanja
Tijelo iz stavka 1. može biti akreditirano za praćenje sukladnosti s kodeksom ponašanja ako je to tijelo:
nadležnom nadzornom tijelu zadovoljavajuće dokazalo svoju neovisnost i stručnost u predmetu kodeksa;
uspostavilo postupke koji mu omogućuju procjenu kvalificiranosti voditelja obrade i izvršitelja obrade za primjenu kodeksa, praćenje njihova poštovanja odredbi kodeksa i periodičnog preispitivanja njegova funkcioniranja;
uspostavilo postupke i strukture za rješavanje pritužbi na kršenja kodeksa ili na način na koji voditelj obrade ili izvršitelj obrade provode ili su proveli kodeks i učinilo te postupke i strukture transparentnima ispitanicima i javnosti; i
nadležnom nadzornom tijelu na njemu zadovoljavajući način dokazalo da njegove zadaće i dužnosti ne dovode do sukoba interesa.
Članak 42.
Certificiranje
Članak 43.
Certifikacijska tijela
►C1 Ne dovodeći u pitanje zadaće i ovlasti nadležnog nadzornog tijela iz članaka 57. i 58., certifikacijska tijela s odgovarajućim stupnjem stručnosti iz područja zaštite podataka, nakon što o tome obavijeste nadzorno tijelo kako bi ono moglo prema potrebi izvršavati svoje ovlasti na temelju članka 58. stavka 2. točke (h), izdaju i obnavljaju certifikat. ◄ Države članice osiguravaju da je ta certifikacijska tijela akreditiralo jedno ili oba sljedeća tijela:
nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56.;
nacionalno akreditacijsko tijelo imenovano u skladu s Uredbom (EZ) br. 765/2008 Europskog parlamenta i Vijeća ( 2 ) u skladu s EN-ISO/IEC 17065/2012 i s dodatnim zahtjevima koje određuje nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56.
Certifikacijska tijela iz stavka 1. akreditirana su u skladu sa tim stavkom. samo ako su:
nadležnom nadzornom tijelu zadovoljavajuće dokazala svoju neovisnost i stručnost u predmetu certificiranja;
obvezala se poštovati kriterije iz članka 42. stavka 5. koje je odobrilo nadzorno tijelo nadležno na temelju članka 55. ili članka 56. ili Odbor na temelju članka 63.;
uspostavila postupke za izdavanje, periodično preispitivanje i povlačenje certificiranja, pečata i oznaka za zaštitu podataka;
uspostavila postupke i strukture za rješavanje pritužbi na kršenja certifikacije ili način na koji voditelj obrade ili izvršitelj obrade provode ili su proveli certificiranje, i učinila te postupke i strukture transparentnima ispitanicima i javnosti; i
nadležnom nadzornom tijelu na zadovoljavajući način dokazala da njegove zadaće i dužnosti ne dovode do sukoba interesa.
POGLAVLJE V.
Prijenosi osobnih podataka trećim zemljama ili međunarodnim organizacijama
Članak 44.
Opća načela prijenosa
Svaki prijenos osobnih podataka koji se obrađuju ili su namijenjeni za obradu nakon prijenosa u treću zemlju ili međunarodnu organizaciju odvija se jedino ako, u skladu s drugim odredbama ove Uredbe, voditelj obrade i izvršitelj obrade djeluju u skladu s uvjetima iz ovog poglavlja koji vrijede i za daljnje prijenose osobnih podataka iz treće zemlje ili međunarodne organizacije u još jednu treću zemlju ili međunarodnu organizaciju. Sve odredbe iz ovog poglavlja primjenjuju se kako bi se osiguralo da se ne ugrozi razina zaštite pojedinaca zajamčena ovom Uredbom.
Članak 45.
Prijenosi na temelju odluke o primjerenosti
Prilikom procjene primjerenosti stupnja zaštite Komisija osobito uzima u obzir sljedeće elemente:
vladavinu prava, poštovanje ljudskih prava i temeljnih sloboda, relevantno zakonodavstvo, i opće i sektorsko, što uključuje zakonodavstvo o javnoj sigurnosti, obrani, nacionalnoj sigurnosti, kaznenom pravu i pristupu tijela javne vlasti osobnim podacima, kao i provedbu tog zakonodavstva, pravila o zaštiti podataka, pravila struke i mjere sigurnosti, što uključuje pravila za daljnji prijenos osobnih podataka još jednoj trećoj zemlji ili međunarodnoj organizaciji, koja se poštuju u toj trećoj zemlji ili međunarodnoj organizaciji, sudsku praksu te postojanje djelotvornih i provedivih prava ispitanika te učinkovite upravne i sudske zaštite ispitanika čiji se osobni podaci prenose;
postojanje i djelotvorno funkcioniranje jednog neovisnog nadzornog tijela ili više njih u trećoj zemlji, ili tijela kojem podliježe međunarodna organizacija, s odgovornošću osiguravanja i provođenja poštovanja pravila o zaštiti podataka, što uključuje primjerene provedbene ovlasti za pomoć ispitanicima i savjetovanje ispitanika u ostvarivanju njihovih prava te za suradnju s nadzornim tijelima država članica; i
međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela, ili druge obveze koje proizlaze iz pravno obvezujućih konvencija ili instrumenata, kao i iz njezina sudjelovanja u multilateralnim ili regionalnim sustavima, osobito u vezi sa zaštitom osobnih podataka.
Zbog valjano utemeljenih krajnje hitnih razloga, Komisija donosi odmah primjenjive provedbene akte u skladu s postupkom iz članka 93. stavka 3.
Članak 46.
Prijenosi koji podliježu odgovarajućim zaštitnim mjerama
Odgovarajuće zaštitne mjere iz stavka 1. mogu, bez potrebe za ikakvim posebnim ovlaštenjem nadzornog tijela, pružati:
pravno obvezujući i provedivi instrument između tijela javne vlasti ili javnih tijela;
obvezujuća korporativna pravila u skladu s člankom 47.;
standardne klauzule o zaštiti podataka koje donosi Komisija u skladu s postupkom ispitivanja iz članka 93. stavka 2.;
standardne klauzule o zaštiti podataka koje donosi nadzorno tijelo i koje Komisija odobrava u skladu s postupkom ispitivanja iz članka 93. stavka 2.;
odobreni kodeks ponašanja u skladu s člankom 40. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, među ostalim u pogledu prava ispitanika; ili
odobreni mehanizam certificiranja u skladu s člankom 42. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, između ostalog u pogledu prava ispitanika.
Pod uvjetom da to odobri nadležno nadzorno tijelo, odgovarajuće zaštitne mjere iz stavka 1. konkretno mogu pružiti i:
ugovorne klauzule između voditelja obrade ili izvršitelja obrade i voditelja obrade, izvršitelja obrade ili primatelja osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji; ili
odredbe koje treba unijeti u administrativne dogovore između tijela javne vlasti ili javnih tijela i koja sadrže provediva i djelotvorna prava ispitanika.
Članak 47.
Obvezujuća korporativna pravila
Nadležno nadzorno tijelo odobrava obvezujuća korporativna pravila u skladu s mehanizmom konzistentnosti iz članka 63. pod uvjetom da:
su pravno obvezujuća i da se primjenjuju na svakog zainteresiranog člana određene grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, što uključuje njihove zaposlenike, te da ih oni provode;
izrijekom daju provediva prava ispitanicima u pogledu obrade njihovih osobnih podataka; i
ispunjavaju zahtjeve utvrđene u stavku 2.
Obvezujuća korporativna pravila iz stavka 1. određuju najmanje:
strukturu i kontaktne podatke grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću i svakog od njezinih članova;
prijenose podataka ili skupove prijenosa, uključujući i kategorije osobnih podataka, vrste obrade i njezine svrhe, vrstu ispitanika koji su time pogođeni i identifikaciju treće zemlje ili zemalja o kojima je riječ;
njihovo pravno obvezujuće obilježje, kako iznutra tako i prema van;
primjenu općih načela zaštite podataka, posebice ograničavanja svrhe, smanjenja količine podataka, ograničenog razdoblja pohrane, kvalitete podataka, tehničke i integrirane zaštite podataka, pravne osnove obrade, obrade posebnih kategorija osobnih podataka, mjera za osiguravanje sigurnosti podataka i zahtjeve u pogledu daljnjih prijenosa tijelima koja nisu obvezana obvezujućim korporativnim pravilima;
prava ispitanikâ s obzirom na obradu i načine za ostvarenje tih prava, uključujući i pravo da ne podliježu odlukama koje se isključivo temelje na automatiziranoj obradi, što uključuje izradu profila u skladu s člankom 22., pravo na pritužbu nadležnom nadzornom tijelu i nadležnim sudovima država članica u skladu s člankom 79. i dobivanje sudske pomoći te, prema potrebi, naknade za kršenje obvezujućih korporativnih pravila;
da voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice prihvati odgovornost za sva kršenja obvezujućih korporativnih pravila bilo kojeg zainteresiranog člana bez poslovnog nastana u Uniji; voditelj obrade ili izvršitelj obrade izuzet je od ove odgovornosti, u cijelosti ili djelomično, samo ako dokaže da taj član nije odgovoran za događaj koji je prouzročio štetu;
kako se ispitanicima pružaju informacija o obvezujućim korporativnim pravilima, osobito o odredbama iz točaka (d), (e) i (f) ovog stavka, pored informacija iz članaka 13. i 14.;
zadaće svakog službenika za zaštitu podataka imenovanog u skladu s člankom 37. ili bilo koje druge osobe ili subjekta odgovornih za praćenje usklađenosti s obvezujućim korporativnim pravilima unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, te praćenje osposobljavanja i rješavanja pritužbi;
postupke povodom pritužbi;
mehanizme unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, kojima se osigurava provjera poštovanja obvezujućih korporativnih pravila. Takvi mehanizmi uključuju revizije zaštite podataka i metode za korektivne mjere za zaštitu prava ispitanika. Rezultati takve provjere trebali bi se priopćiti osobi ili subjektu iz točke (h) i upravnom odboru poduzetnika u vladajućem položaju u grupi poduzetnika ili grupi poduzeća koja se bave zajedničkom gospodarskom djelatnošću, te se na zahtjev ustupiti nadležnom nadzornom tijelu;
mehanizme za izvješćivanje i vođenje evidencije o promjenama pravila i izvješćivanje nadzornog tijela o tim promjenama;
mehanizam suradnje s nadzornim tijelom radi osiguravanja usklađenosti svakog člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, osobito tako da se nadzornom tijelu stave na raspolaganje rezultati provjera mjera iz točke (j);
►C1 mehanizme za izvješćivanje nadležnog nadzornog tijela o bilo kakvim pravnim zahtjevima koji se na člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću primjenjuju u trećoj zemlji ◄ , a koje bi mogle imati značajan štetan utjecaj na jamstva pružena obvezujućim korporativnim pravilima; i
odgovarajuće osposobljavanje za zaštitu podataka za osoblje koje ima stalan ili redovan pristup osobnim podacima.
Članak 48.
Prijenos ili otkrivanje podataka koji nisu dopušteni u pravu Unije
Sve presude suda ili sve odluke upravnog tijela treće zemlje kojima se od voditelja obrade ili izvršitelja obrade zahtijeva prijenos ili otkrivanje osobnih podataka mogu biti priznate ili izvršive na bilo koji način samo ako se temelje na nekom međunarodnom sporazumu, poput ugovora o uzajamnoj pravnoj pomoći, koji je na snazi između treće zemlje koja je podnijela zahtjev i Unije ili države članice, ne dovodeći u pitanje druge razloge za prijenos u skladu s ovim poglavljem.
Članak 49.
Odstupanja za posebne situacije
Ako ne postoji odluka o primjerenosti u skladu s člankom 45. stavkom 3., ili odgovarajuće zaštitne mjere u skladu s člankom 46., što uključuje obvezujuća korporativna pravila, prijenos ili skup prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju ostvaruje se samo pod jednim od sljedećih uvjeta:
ispitanik je izričito pristao na predloženi prijenos nakon što je bio obaviješten o mogućim rizicima takvih prijenosa za ispitanika zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera;
prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih mjera na zahtjev ispitanika;
prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja obrade i druge fizičke ili pravne osobe;
prijenos je nužan iz važnih razloga javnog interesa;
prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva;
prijenos je nužan za zaštitu životno važnih interesa ispitanika ili drugih osoba ako ispitanik fizički ili pravno ne može dati privolu;
prijenos se obavlja iz registra koji prema pravu Unije ili pravu države članice služi pružanju informacija javnosti i koji je otvoren na uvid javnosti ili bilo kojoj osobi koja može dokazati neki opravdani interes, ali samo u mjeri u kojoj su ispunjeni uvjeti propisani u pravu Unije ili pravu države članice za uvid u tom posebnom slučaju.
Kad se prijenos ne može temeljiti na nekoj odredbi iz članka 45. ili 46., uključujući odredbe obvezujućih korporativnih pravila, i kad nije primjenjivo nijedno odstupanje za posebne situacije iz prvog podstavka ovog stavka, prijenos u treću zemlju ili međunarodnu organizaciju može se ostvariti samo ako se prijenos ne ponavlja, ako se odnosi samo na ograničen broj ispitanika, nužan je za potrebe uvjerljivih, legitimnih interesa voditelja obrade koji nisu podređeni interesima ili pravima i slobodama ispitanika, a voditelj obrade procijenio sve okolnosti prijenosa podataka te je na temelju te procjene predvidio odgovarajuće zaštitne mjere u pogledu zaštite osobnih podataka. Voditelj obrade obavješćuje nadzorno tijelo o tom prijenosu. Uz pružanje informacija iz članaka 13. i 14., voditelj obrade ispitanika obavješćuje o prijenosu i o uvjerljivim legitimnim interesima.
Članak 50.
Međunarodna suradnja s ciljem zaštite osobnih podataka
Komisija i nadzorna tijela poduzimaju odgovarajuće mjere u pogledu trećih zemalja i međunarodnih organizacija s ciljem:
razvoja mehanizama međunarodne suradnje za olakšavanje djelotvornog izvršavanja zakonodavstva o zaštiti osobnih podataka;
osiguranja međunarodne uzajamne pomoći u izvršavanju zakonodavstva o zaštiti osobnih podataka, uključujući obavješćivanjem, upućivanjem pritužbi, pomoći u istragama i razmjenom informacija, u skladu s odgovarajućim zaštitnim mjerama za zaštitu osobnih podataka i drugim temeljnim pravima i slobodama;
uključivanja relevantnih dionika u raspravu i aktivnosti čiji je cilj produbiti međunarodnu suradnju u izvršavanju zakonodavstva o zaštiti osobnih podataka;
promicanja razmjene i dokumentiranja zakonodavstva i prakse u vezi sa zaštitom osobnih podataka, među ostalim u vezi sa sukobima nadležnosti s trećim zemljama.
POGLAVLJE VI.
Neovisna nadzorna tijela
Članak 51.
Nadzorno tijelo
Članak 52.
Neovisnost
Članak 53.
Opći uvjeti za članove nadzornog tijela
Države članice osiguravaju da svakog člana njihovih nadzornih tijela u okviru transparentnog postupka imenuje:
Članak 54.
Pravila za osnivanje nadzornog tijela
Svaka država članica zakonom predviđa sve od navedenog:
osnivanje svakog nadzornog tijela;
kvalifikacije i uvjete prihvatljivosti potrebne za imenovanje članom svakog nadzornog tijela;
pravila i postupke za imenovanje člana ili članova svakog nadzornog tijela;
trajanje mandata člana ili članova svakog nadzornog tijela ne kraćeg od četiri godine, osim za prvo imenovanje nakon 24. svibnja 2016., a čiji dio može trajati kraće ako je to potrebno kako bi se zaštitila neovisnost nadzornog tijela putem postupka postupnog imenovanja;
jesu li član ili članovi svakog nadzornog tijela prihvatljivi da budu ponovno izabrani i, ako jesu, na koliko mandata;
uvjete kojima se uređuju obveze člana ili članova osoblja svakog nadzornog tijela, zabrane djelovanja, poslova i pogodnosti koji nisu u skladu s tim tijekom i nakon mandata te pravila kojima se uređuje prestanak radnog odnosa.
Članak 55.
Nadležnost
Članak 56.
Nadležnost vodećeg nadzornog tijela
Članak 57.
Zadaće
Ne dovodeći u pitanje ostale zadaće utvrđene u ovoj Uredbi, svako nadzorno tijelo na svom području:
prati i provodi primjenu ove Uredbe;
promiče javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom te njihovo razumijevanje. Aktivnosti koje su posebno namijenjene djeci moraju dobiti posebnu pozornost;
savjetuje, u skladu s pravom države članice, nacionalni parlament, vladu i druge institucije i tijela o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca u pogledu obrade;
promiče osviještenost voditeljâ obrade i izvršiteljâ obrade o njihovim obvezama iz ove Uredbe;
na zahtjev pruža informacije bilo kojem ispitaniku u vezi s ostvarivanjem njihovih prava iz ove Uredbe, a prema potrebi, u tu svrhu surađuje s nadzornim tijelima u drugim državama članicama;
rješava pritužbe koje podnose ispitanik ili tijelo, organizacija ili udruženje u skladu s člankom 80. i istražuje u odgovarajućoj mjeri predmet pritužbe te podnositelja pritužbe u razumnom roku izvješćuje o napretku i ishodu istrage, posebno ako je potrebna daljnja istraga ili koordinacija s drugim nadzornim tijelom;
surađuje s drugim nadzornim tijelima, među ostalim dijeljenjem informacija, te pruža uzajamnu pomoć drugim nadzornim tijelima s ciljem osiguranja konzistentnosti primjene i provedbe ove Uredbe;
provodi istrage o primjeni ove Uredbe, među ostalim na temelju informacija primljenih od drugog nadzornog ili drugog tijela javne vlasti;
prati bitne razvoje u onoj mjeri u kojoj utječu na zaštitu osobnih podataka, osobito razvoj informacijskih i komunikacijskih tehnologija i komercijalnih praksi;
donosi standardne ugovorne klauzule iz članka 28. stavka 8. i članka 46. stavka 2. točke (d);
utvrđuje i vodi popis u vezi sa zahtjevom za procjenu učinka na zaštitu podataka u skladu s člankom 35. stavkom 4.;
daje savjete o postupcima obrade iz članka 36. stavka 2.;
potiče izradu kodeksa ponašanja u skladu s člankom 40. stavkom 1. i daje mišljenje i odobrava takve kodekse ponašanja koji pružaju dostatne mjere zaštite, u skladu s člankom 40. stavkom 5.;
potiče uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u skladu s člankom 42. stavkom 1. i odobrava kriterije certificiranja u skladu s člankom 42. stavkom 5.;
prema potrebi, provodi periodično preispitivanje izdanih certifikata u skladu s člankom 42. stavkom 7.;
sastavlja i objavljuje zahtjeve za akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i za akreditaciju certifikacijskog tijela u skladu s člankom 43.;
provodi akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i akreditaciju certifikacijskog tijela u skladu s člankom 43.;
odobrava ugovorne klauzule i odredbe iz članka 46. stavka 3.;
odobrava obvezujuća korporativna pravila u skladu s člankom 43.;
doprinosi aktivnostima Odbora;
vodi internu evidenciju o kršenjima ove Uredbe i mjerama koje su poduzete u skladu s člankom 58. stavkom 2.; i
ispunjava sve ostale zadaće u vezi sa zaštitom osobnih podataka.
Članak 58.
Ovlasti
Svako nadzorno tijelo ima sve sljedeće istražne ovlasti:
narediti voditelju obrade i izvršitelju obrade, a prema potrebi i predstavniku voditelja obrade ili izvršitelja obrade, da mu pruže sve informacije potrebne za obavljanje svojih zadaća;
provoditi istrage u obliku revizije zaštite podataka;
provoditi preispitivanje certifikata izdanih u skladu s člankom 42. stavkom 7.;
obavijestiti voditelja obrade ili izvršitelja obrade o navodnom kršenju ove Uredbe;
ishoditi, od voditelja obrade i izvršitelja obrade, pristup svim osobnim podacima i svim informacijama potrebnim za obavljanje svojih zadaća;
ishoditi pristup svim prostorijama voditelja obrade i izvršitelja obrade, uključujući svu opremu i sredstva za obradu podataka, u skladu s pravom Unije ili postupovnim pravom države članice.
Svako nadzorno tijelo ima sve sljedeće korektivne ovlasti:
izdavati upozorenja voditelju obrade ili izvršitelju obrade da bi namjeravani postupci obrade lako mogli prouzročiti kršenje odredaba ove Uredbe;
izdavati službene opomene voditelju obrade ili izvršitelju obrade ako se postupcima obrade krše odredbe ove Uredbe;
narediti voditelju obrade ili izvršitelju obrade da poštuje zahtjeve ispitanika za ostvarivanje njegovih prava u skladu s ovom Uredbom;
narediti voditelju obrade ili izvršitelju obrade da postupke obrade uskladi s odredbama ove Uredbe, prema potrebi na točno određen način i u točno zadanom roku;
narediti voditelju obrade da ispitanika obavijesti o povredi osobnih podataka;
privremeno ili konačno ograničiti, među ostalim zabraniti, obradu;
narediti ispravljanje ili brisanje osobnih podataka ili ograničavanje obrade u skladu s člancima 16., 17. i 18. i izvješćivanje o takvim radnjama primatelja kojima su osobni podaci otkriveni u skladu s člankom 17. stavkom 2. i člankom 19.;
povući certifikat ili certifikacijskom tijelu narediti da povuče certifikat izdan u skladu s člankom 42. i 43., ili certifikacijskom tijelu narediti da ne iza certifikat ako nisu ispunjeni zahtjevi za certificiranje ili ako oni više nisu ispunjeni;
izreći upravnu novčanu kaznu u skladu s člankom 83. uz mjere, ili umjesto mjera koje se navode u ovom stavku, ovisno o okolnostima svakog pojedinog slučaja;
narediti suspenziju protoka podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji.
Svako nadzorno tijelo ima sve sljedeće ovlasti u vezi s odobravanjem te savjetodavne ovlasti:
savjetovati voditelja obrade u skladu s prethodnim postupkom savjetovanja iz članka 36.,
na vlastitu inicijativu ili na zahtjev, izdati nacionalnom parlamentu, vladi države članice ili, u skladu s pravom države članice, drugim institucijama i tijelima, te javnosti, mišljenje o svakom pitanju u vezi sa zaštitom osobnih podataka;
odobriti obradu iz članka 36. stavka 5., ako se pravom države članice takvo prethodno odobrenje zahtijeva;
izdati mišljenje i odobriti nacrte kodeksâ ponašanja u skladu s člankom 40. stavkom 5.;
akreditirati certifikacijska tijela u skladu s člankom 43.;
izdati certifikate i odobriti kriterije certificiranja u skladu s člankom 42. stavkom 5.;
donijeti standardne klauzule o zaštiti podataka iz članka 28. stavka 8. i članka 46. stavka 2. točke (d);
odobriti ugovorne klauzule iz članka 46. stavka 3. točke (a);
odobriti administrativne dogovore iz članka 46. stavka 3. točke (b);
odobriti obvezujuća korporativna pravila u skladu s člankom 47.
Članak 59.
Izvješća o aktivnostima
Svako nadzorno tijelo sastavlja godišnje izvješće o svojim aktivnostima kojima može biti obuhvaćen popis vrsta kršenja o kojima je izviješteno i vrste mjera poduzetih u skladu s člankom 58. stavkom 2. Ta se izvješća prosljeđuju nacionalnom parlamentu, vladi i drugim tijelima kako je određeno pravom države članice. Ona moraju biti dostupna javnosti, Komisiji i Odboru.
POGLAVLJE VII.
Suradnja i konzistentnost
Članak 60.
Suradnja vodećeg nadzornog tijela i drugih predmetnih nadzornih tijela
Članak 61.
Uzajamna pomoć
Nadzorno tijelo kojem je upućen zahtjev ne smije odbiti udovoljiti zahtjevu osim u slučaju da:
nije nadležno za predmet zahtjeva ili za mjere koje se od njega traže da ih provede; ili
poštovanje zahtjeva kršilo bi ovu Uredbu, pravo Unije ili pravo države članice kojem podliježe nadzorno tijelo kojem je zahtjev upućen.
Članak 62.
Zajedničke operacije nadzornih tijela
Članak 63.
Mehanizam konzistentnosti
Kako bi se doprinijelo dosljednoj primjeni ove Uredbe u cijeloj Uniji, nadzorna tijela surađuju međusobno i prema potrebi s Komisijom u okviru mehanizma konzistentnosti, kako je utvrđeno u ovom odjeljku.
Članak 64.
Mišljenje Odbora
Odbor daje mišljenje kada nadležno nadzorno tijelo namjerava donijeti bilo koju od mjera navedenih dalje u tekstu. Nadležno nadzorno tijelo u tu svrhu obavješćuje Odbor o nacrtu odluke ako ona:
ima za cilj donijeti popis postupaka obrade na koje se primjenjuje zahtjev procjene učinka na zaštitu podataka u skladu s člankom 35. stavkom 4.;
odnosi se na pitanje u skladu s člankom 40. stavkom 7. o tome jesu li nacrt kodeksa ponašanja ili izmjena ili dopuna kodeksa ponašanja usklađeni s ovom Uredbom;
ima za cilj odobriti zahtjeve za akreditaciju tijela na temelju članka 41. stavka 3., certifikacijskog tijela na temelju članka 43. stavka 3. ili kriterije za certifikaciju iz članka 42. stavka 5.;
ima za cilj odrediti standardne klauzule zaštite podataka iz članka 46. stavka 2. točke (d) i iz članka 28. stavka 8.;
ima za cilj odobriti ugovorne klauzule iz članka 46. stavka 3. točke (a); ili
ima za cilj odobriti obvezujuća korporativna pravila u smislu članka 47.
Predsjednik Odbora bez nepotrebnog odgađanja elektroničkim putem izvješćuje:
članove Odbora i Komisiju o svim bitnim informacijama koje su mu priopćene upotrebljavajući standardizirani format. Tajništvo Odbora prema potrebi omogućuje prijevode bitnih informacija; i
nadzorno tijelo iz stavaka 1. i 2., ovisno o slučaju, i Komisiju o mišljenju i objavljuje ga.
Članak 65.
Rješavanje sporova pri Odboru
Kako bi se osigurala ispravna i dosljedna primjena ove Uredbe u pojedinačnim slučajevima, Odbor donosi obvezujuću odluku u sljedećim slučajevima:
►C1 ako je, u slučaju iz članka 60. stavka 4., predmetno nadzorno tijelo podnijelo relevantan i obrazložen prigovor na nacrt odluke vodećeg nadzornog tijela, a vodeće nadzorno tijelo nije uzelo u obzir prigovor ili je takav prigovor odbilo kao nerelevantan ili neobrazložen. ◄ Obvezujuća odluka odnosi se na sva pitanja koja su predmet relevantnog i obrazloženog prigovora, a posebno na pitanje kršenja ove Uredbe;
ako postoje oprečna stajališta oko toga koje je od predmetnih nadzornih tijela nadležno za glavni poslovni nastan;
ako nadležno nadzorno tijelo ne zatraži mišljenje Odbora u slučaju navedenom u članku 64. stavku 1. ili ne uzme u obzir mišljenje Odbora dano u skladu s člankom 64. U tom slučaju svako predmetno nadzorno tijelo ili Komisija mogu o predmetu obavijestiti Odbor.
Članak 66.
Hitni postupak
Članak 67.
Razmjena informacija
Komisija može donijeti provedbene akte općeg područja primjene radi određivanja aranžmana za razmjenu informacija između nadzornih tijela elektroničkim putem i između nadzornih tijela i Odbora, osobito standardiziranog formata iz članka 64.
Ti provedbeni akti donose se u skladu s postupkom ispitivanja navedenim u članku 93. stavku 2.
Članak 68.
Europski odbor za zaštitu podataka
Članak 69.
Neovisnost
Članak 70.
Zadaće Odbora
Odbor osigurava dosljednu primjenu ove Uredbe. U tu svrhu Odbor na vlastitu inicijativu ili prema potrebi na zahtjev Komisije, osobito:
prati i osigurava pravilnu primjenu ove Uredbe u slučajevima predviđenima člancima 64. i 65. ne dovodeći u pitanje zadaće nacionalnih nadzornih tijela;
savjetuje Komisiju o svim pitanjima u pogledu zaštite osobnih podataka u Uniji, među ostalim i o svim predloženim izmjenama ove Uredbe;
savjetuje Komisiju o formatu i postupcima za razmjenu informacija među voditeljima obrade, izvršiteljima obrade i nadzornim tijelima za obvezujuća korporativna pravila;
izdaje smjernice, preporuke i primjere najbolje prakse o postupcima za brisanje poveznica na osobne podatke, kopija ili replika tih osobnih podataka iz javno dostupnih sredstava komunikacije iz članka 17. stavka 2;
ispituje na vlastitu inicijativu, na zahtjev jednog od svojih članova ili na zahtjev Komisije sva pitanja koja obuhvaćaju primjenu Uredbe i izdaje smjernice, preporuke i primjere najbolje prakse kako bi poticao dosljednu primjenu ove Uredbe;
izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i uvjeta za odluke koje se temelje na izradi profila u skladu s člankom 22. stavkom 2.;
izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog članka za utvrđivanje povreda osobnih podataka te određivanje nepotrebnog odgađanja iz članka 33. stavaka 1. i 2. te za posebne okolnosti u kojima se od voditelja obrade ili izvršitelja obrade zahtijeva obavješćivanje o povredi osobnih podataka;
izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog članka u pogledu okolnosti u kojima će povreda osobnih podataka vjerojatno dovesti do visokog rizika u pogledu pravâ i sloboda pojedinaca iz članka 34. stavka 1.
izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i zahtjeva za prijenose osobnih podataka na temelju obvezujućih korporativnih pravila kojih se pridržavaju voditelji obrade i obvezujućih korporativnih pravila kojih se pridržavaju izvršitelji obrade te daljnjih zahtjeva potrebnih za osiguravanje zaštite osobnih podataka ispitanika iz članka 47.;
izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i zahtjeva za prijenose osobnih podataka na temelju članka 49. stavka 1.;
izrađuje smjernice za nadzorna tijela s obzirom na primjenu mjera iz članka 58. stavaka 1., 2. i 3. i određuje upravne novčane kazne u skladu s člankom 83.;
preispituje praktičnu primjenu smjernica, preporuka i primjera najbolje prakse;
izdaje smjernice, preporuke i primjere najbolje prakse u skladu sa stavkom 1. točkom (e) za uspostavu zajedničkih postupaka za izvješćivanje pojedinaca o kršenjima ove Uredbe u skladu s člankom 54. stavkom 2.;
potiče izradu kodeksa ponašanja i uspostavu mehanizme certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u skladu s člancima 40. i 42.;
odobrava kriterije za certifikaciju u skladu s člankom 42. stavkom 5. te vodi javnu evidenciju mehanizama certificiranja, pečata i oznaka za zaštitu podataka u skladu s člankom 42. stavkom 8. i certificiranih voditelja obrade ili izvršitelja obrade s poslovnim nastanom u trećim zemljama u skladu s člankom 42. stavkom 7.;
odobrava zahtjeve iz članka 43. stavka 3. s obzirom na akreditaciju certifikacijskih tijela iz članka 43.;
Komisiji daje mišljenje o zahtjevima za certificiranje iz članka 43. stavka 8.;
Komisiji daje mišljenje o ikonama iz članka 12. stavka 7.;
daje mišljenje Komisiji o procjeni primjerenosti razine zaštite koja postoji u trećoj zemlji ili međunarodnoj organizaciji, kao i o procjeni o tome je li treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija prestao osiguravati primjerenu razinu zaštite. ►C2 U tu svrhu Komisija dostavlja Odboru svu potrebnu dokumentaciju, uključujući korespondenciju s vladom treće zemlje, vezano za tu treću zemlju, područje ili određeni sektor, ili s međunarodnom organizacijom. ◄
daje mišljenja o nacrtima odluka nadzornih tijela u skladu s mehanizmom konzistentnosti iz članka 64. stavka 1. te o predmetima podnesenim na temelju članka 64. stavka 2. i pitanju obvezujućih odluka na temelju članka 65., uključujuću slučajeve iz članka 66.;
promiče suradnju i djelotvornu bilateralnu i multilateralnu razmjenu informacija i najboljih praksi između nadzornih tijela;
promiče zajedničke programe osposobljavanja i potpomaže razmjenu osoblja između nadzornih tijela te nadzornih tijela trećih zemalja ili međunarodnih organizacija;
promiče razmjenu znanja i dokumentacije o zakonodavstvu i praksi u području zaštite podataka s nadzornim tijelima za zaštitu podataka širom svijeta.
daje mišljenje o kodeksima ponašanja sastavljenima na razini Unije u skladu s člankom 40. stavkom 9.; i
vodi javnosti dostupnu elektroničku evidenciju odluka koje su donijela nadzorna tijela i sudovi o pitanjima rješavanim u okviru mehanizma konzistentnosti.
Članak 71.
Izvješća
Članak 72.
Postupak
Članak 73.
Predsjednik
Članak 74.
Zadaće predsjednika
Predsjednik ima sljedeće zadaće:
saziva sastanke Odbora i priprema njegov dnevni red;
obavješćuje vodeće nadzorno tijelo i predmetna nadzorna tijela o odlukama koje je donio Odbor u skladu s člankom 65.;
osigurava pravodobno izvršavanje zadaća Odbora, osobito u vezi s mehanizmom konzistentnosti iz članka 63.
Članak 75.
Tajništvo
Tajništvo je osobito odgovorno za:
tekuće poslove Odbora;
komunikaciju između članova Odbora, njegova predsjednika i Komisije;
komunikaciju s drugim institucijama i javnošću;
uporabu elektroničkih sredstava za internu i eksternu komunikaciju;
prijevode bitnih informacija;
pripremu sastanaka Odbora i daljnje postupanje;
pripremu, izradu i objavu mišljenja, odluka o rješavanju sporova među nadzornim tijelima i drugih tekstova koje Odbor donosi.
Članak 76.
Povjerljivost
POGLAVLJE VIII.
Pravna sredstva, odgovornost i sankcije
Članak 77.
Pravo na pritužbu nadzornom tijelu
Članak 78.
Pravo na učinkoviti sudski pravni lijek protiv nadzornog tijela
Članak 79.
Pravo na učinkoviti sudski pravni lijek protiv voditelja obrade ili izvršitelja obrade
Članak 80.
Zastupanje ispitanika
Članak 81.
Suspenzija postupka
Članak 82.
Pravo na naknadu štete i odgovornost
Članak 83.
Opći uvjeti za izricanje upravnih novčanih kazni
Upravne novčane kazne izriču se uz mjere ili umjesto mjera iz članka 58. stavka 2. točaka od (a) do (h) i članka 58. stavka 2. točke (j), ovisno o okolnostima svakog pojedinog slučaja. Pri odlučivanju o izricanju upravne novčane kazne i odlučivanju o iznosu te upravne novčane kazne u svakom pojedinom slučaju dužna se pozornost posvećuje sljedećem:
prirodi, težini i trajanju kršenja, uzimajući u obzir narav, opseg i svrhu obrade o kojoj je riječ kao i broj ispitanika i razinu štete koju su pretrpjeli;
ima li kršenje obilježje namjere ili nepažnje;
svakoj radnji koju je voditelj obrade ili izvršitelj obrade poduzeo kako bi ublažio štetu koju su pretrpjeli ispitanici;
stupnju odgovornosti voditelja obrade ili izvršitelja obrade uzimajući u obzir tehničke i organizacijske mjere koje su primijenili u skladu s člancima 25. i 32.;
svim relevantnim prijašnjim kršenjima voditelja obrade ili izvršitelja obrade;
stupnju suradnje s nadzornim tijelom kako bi se otklonilo kršenje i ublažili mogući štetni učinci tog kršenja;
kategorijama osobnih podataka na koje kršenje utječe;
načinu na koji je nadzorno tijelo doznalo za kršenje, osobito je li i u kojoj mjeri voditelj obrade ili izvršitelj obrade izvijestio o kršenju;
ako su protiv dotičnog voditelja obrade ili izvršitelja obrade u vezi s istim predmetom prethodno izrečene mjere iz članka 58. stavka 2., poštovanju tih mjera;
poštovanju odobrenih kodeksa ponašanja u skladu s člankom 40. ili odobrenih mehanizama certificiranja u skladu s člankom 42.; i
svim ostalim otegotnim ili olakotnim čimbenicima koji su primjenjivi na okolnosti slučaja, kao što su financijska dobit ostvarena kršenjem ili gubici izbjegnuti, izravno ili neizravno, tim kršenjem.
Za kršenja sljedećih odredaba, u skladu sa stavkom 2., mogu se izreći upravne novčane kazne u iznosu do 10 000 000 EUR, ili u slučaju poduzetnika do 2 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće:
obveza voditelja obrade i izvršitelja obrade u skladu s člancima 8., 11., od 25. do 39., te 42. i 43.;
obveza certifikacijskog tijela u skladu s člancima 42. i 43.;
obveza tijela za praćenje u skladu s člankom 41.stavkom 4.;
Za kršenja sljedećih odredaba, u skladu sa stavkom 2., mogu se izreći upravne novčane kazne u iznosu do 20 000 000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće:
osnovnih načela za obradu, što uključuje uvjete privole u skladu s člancima 5., 6., 7. i 9.;
prava ispitanika u skladu s člancima od 12. do 22.;
prijenosa osobnih podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji u skladu s člancima od 44. do 49.;
svih obveza u skladu s pravom države članice donesenim na temelju poglavlja IX.;
nepoštovanja naredbe ili privremenog ili trajnog ograničenje obrade ili suspenzije protoka podataka nadzornog tijela u skladu s člankom 58. stavkom 2. ili uskraćivanje pristupa kršenjem članka 58. stavka 1.
Članak 84.
Sankcije
POGLAVLJE IX.
Odredbe u vezi s posebnim situacijama obrade
Članak 85.
Obrada i sloboda izražavanja i informiranja
Članak 86.
Obrada i javni pristup službenim dokumentima
Tijelo javne vlasti, javno ili privatno tijelo može, u skladu s pravom Unije ili pravom države članice koje se primjenjuje na to tijelo javne vlasti ili to tijelo, otkriti osobne podatke iz službenih dokumenata, koje posjeduje u svrhu obavljanja zadaće u javnom interesu, kako bi se uskladio javni pristup službenim dokumentima s pravom na zaštitu osobnih podataka u skladu s ovom Uredbom.
Članak 87.
Obrada nacionalnog identifikacijskog broja
Države članice mogu dodatno utvrditi posebne uvjete za obradu nacionalnog identifikacijskog broja ili bilo kojeg drugog identifikatora opće primjene. U tom se slučaju nacionalni identifikacijski broj ili bilo koji drugi identifikator opće primjene upotrebljava samo uz primjenu odgovarajućih zaštitnih mjera u pogledu prava i sloboda ispitanika u skladu s ovom Uredbom.
Članak 88.
Obrada u kontekstu zaposlenja
Članak 89.
Zaštitne mjere i odstupanja vezano za obradu u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe
Članak 90.
Obveze tajnosti
Članak 91.
Postojeća pravila o zaštiti podataka crkava i vjerskih udruženja
POGLAVLJE X.
Delegirani akti i provedbeni akti
Članak 92.
Izvršavanje delegiranja ovlasti
Članak 93.
Postupak odbora
POGLAVLJE XI.
Završne odredbe
Članak 94.
Stavljanje izvan snage Direktive 95/46/EZ
Članak 95.
Odnos s Direktivom 2002/58/EZ
Ovom Uredbom ne propisuju se dodatne obveze fizičkim ili pravnim osobama u pogledu obrade u vezi s pružanjem javno dostupnih elektroničkih komunikacijskih usluga u javnim komunikacijskim mrežama u Uniji povezanih s pitanjima u pogledu kojih vrijede posebne obveze s istim ciljem iz Direktive 2002/58/EZ.
Članak 96.
Odnos s prethodno sklopljenim sporazumima
Međunarodni sporazumi koji uključuju prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama koje su države članice sklopile prije 24. svibnja 2016., a koji su u skladu s pravom Unije primjenjivim prije tog datuma, ostaju na snazi dok ih se ne izmijeni, zamijeni ili stavi izvan snage.
Članak 97.
Izvješća Komisije
U okviru ocjena i preispitivanjâ iz stavka 1. Komisija osobito ispituje primjenu i funkcioniranje:
poglavlja V. o prijenosu osobnih podataka trećim zemljama ili međunarodnim organizacijama, a osobito u pogledu odluka donesenih na temelju članka 45. stavka 3. ove Uredbe i odluka donesenih na temelju članka 25. stavka 6. Direktive 95/46/EZ;
poglavlja VII. o suradnji i konzistentnosti.
Članak 98.
Preispitivanje drugih akata Unije o zaštiti podataka
Komisija prema potrebi podnosi zakonodavne prijedloge s ciljem izmjene drugih pravnih akata Unije o zaštiti osobnih podataka kako bi se osigurala jedinstvena i dosljedna zaštita pojedinaca s obzirom na obradu. To se osobito odnosi na pravila u vezi sa zaštitom pojedinaca u pogledu obrade koju obavljaju institucije, tijela, uredi i agencije Unije te pravila u vezi sa slobodnim kretanjem takvih podataka.
Članak 99.
Stupanje na snagu i primjena
Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.
( 1 ) Direktiva (EU) 2015/1535 Europskog parlamenta i Vijeća od 9. rujna 2015. o utvrđivanju postupka pružanja informacija u području tehničkih propisa i pravila o uslugama informacijskog društva (SL L 241, 17.9.2015., str. 1.).
( 2 ) Uredba (EZ) br. 765/2008 Europskog parlamenta i Vijeća od 9. srpnja 2008. o utvrđivanju zahtjeva za akreditaciju i za nadzor tržišta u odnosu na stavljanje proizvoda na tržište i o stavljanju izvan snage Uredbe (EEZ) br. 339/93 (SL L 218, 13.8.2008., str. 30.).
( 3 ) Uredba (EZ) br. 1049/2001 Europskog parlamenta i Vijeća od 30. svibnja 2001. o javnom pristupu dokumentima Europskog parlamenta, Vijeća i Komisije (SL L 145, 31.5.2001., str. 43.).