21.11.2018   

HR

Službeni list Europske unije

L 295/39


UREDBA (EU) 2018/1725 EUROPSKOG PARLAMENTA I VIJEĆA

od 23. listopada 2018.

o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ

(Tekst značajan za EGP)

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 16. stavak 2.,

uzimajući u obzir prijedlog Europske komisije,

nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,

uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora (1),

u skladu s redovnim zakonodavnim postupkom (2),

budući da:

(1)

Zaštita pojedinaca s obzirom na obradu osobnih podataka temeljno je pravo. Člankom 8. stavkom 1. Povelje Europske unije o temeljnim pravima („Povelja”) te člankom 16. stavkom 1. Ugovora o funkcioniranju Europske unije (UFEU) utvrđuje se da svatko ima pravo na zaštitu svojih osobnih podataka. To je pravo zajamčeno i člankom 8. Europske konvencije za zaštitu ljudskih prava i temeljnih sloboda.

(2)

Uredbom (EZ) br. 45/2001 Europskog parlamenta i Vijeća (3) pojedincima se osigurava prava koja su zakonito ostvariva, utvrđuju dužnosti voditelja obrade pri obradi podataka u institucijama i tijelima Zajednice te uspostavlja neovisno nadzorno tijelo, Europski nadzornik za zaštitu podataka, odgovorno za praćenje obrade osobnih podataka u institucijama i tijelima Unije. No ta se Uredba ne primjenjuje na obradu osobnih podataka u institucijama i tijelima Unije tijekom djelatnosti koja je izvan područja primjene prava Unije.

(3)

Uredba (EU) 2016/679 Europskog parlamenta i Vijeća (4) i Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća (5) donesene su 27. travnja 2016. Dok se Uredbom utvrđuju opća pravila za zaštitu pojedinaca u vezi s obradom osobnih podataka i za osiguravanje slobodnog kretanja osobnih podataka u Uniji, Direktivom se utvrđuju posebna pravila za zaštitu pojedinaca u vezi s obradom osobnih podataka te za osiguravanje slobodnog kretanja osobnih podataka u Uniji u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje.

(4)

Uredbom (EU) 2016/679 uređuju se prilagodbe Uredbe (EZ) br. 45/2001 kako bi se osigurao čvrst i usklađen okvir za zaštitu podataka u Uniji te kako bi se mogla primjenjivati usporedno s Uredbom (EU) 2016/679.

(5)

Radi usklađenog pristupa zaštiti osobnih podataka u cijeloj Uniji te slobodnog kretanja osobnih podataka unutar Unije potrebno je pravila o zaštiti osobnih podataka koja vrijede za institucije, tijela, urede i agencije Unije što bolje uskladiti s pravilima o zaštiti osobnih podataka donesenima za javni sektor u državama članicama. Kad god se odredbe ove Uredbe temelje na istim načelima kao i odredbe Uredbe (EU) 2016/679, te bi skupove odredbi, u skladu s ustaljenom sudskom praksom Suda Europske unije („Sud”) trebalo tumačiti ujednačeno, posebno zato što bi strukturu ove Uredbe trebalo shvatiti kao istovjetnu strukturi Uredbe (EU) 2016/679.

(6)

Trebalo bi zaštititi osobe čije osobne podatke obrađuju institucije i tijela Unije u bilo kojemu kontekstu, primjerice zato što su te osobe zaposlene u tim institucijama ili tijelima. Ova se Uredba ne bi trebala primjenjivati na obradu osobnih podataka preminulih osoba. Ova Uredba ne obuhvaća obradu osobnih podataka koji se tiču pravnih osoba, a osobito poduzetnika koji su ustanovljeni kao pravne osobe, uključujući ime i oblik pravne osobe i podatke za kontakt pravne osobe.

(7)

Radi sprečavanja stvaranja ozbiljnog rizika zaobilaženja propisa, zaštita pojedinaca trebala bi biti tehnološki neutralna i ne bi smjela ovisiti o upotrebljavanim tehnologijama.

(8)

Ova bi se Uredba trebala primjenjivati na obradu osobnih podataka koju obavljaju sve institucije, tijela, uredi i agencije Unije. Trebala bi se primjenjivati na obradu osobnih podataka koja se u cijelosti ili djelomično obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane. Dokumenti ili skupovi dokumenata te njihove naslovne stranice koji nisu strukturirani prema posebnim mjerilima ne bi trebali biti obuhvaćeni područjem primjene ove Uredbe.

(9)

U Izjavi br. 21 o zaštiti osobnih podataka u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje, priloženoj završnom aktu međuvladine konferencije na kojoj je donesen Ugovor iz Lisabona, na konferenciji je potvrđeno da bi se određena pravila o zaštiti osobnih podataka i slobodnom kretanju osobnih podataka u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje na temelju članka 16. UFEU-a mogla pokazati neophodnima zbog specifične prirode tih područja. Zasebno poglavlje ove Uredbe koje sadrži opća pravila stoga bi trebalo primjenjivati na obradu operativnih osobnih podataka kao što su osobni podaci koji se obrađuju za potrebe kaznenih istraga koje provode tijela, uredi ili agencije Unije pri obavljanju aktivnosti u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje.

(10)

Direktivom (EU) 2016/680 utvrđuju se usklađena pravila za zaštitu i slobodno kretanje osobnih podataka obrađenih u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje. Kako bi se pojedincima osigurala jednaka razina zaštite s pomoću prava koja su zakonito ostvariva u cijeloj Uniji te spriječila odstupanja koja ometaju razmjenu osobnih podataka između tijela, ureda ili agencija Unije pri obavljanju aktivnosti obuhvaćenih područjem primjene poglavlja 4. ili poglavlja 5. glave V. trećeg dijela UFEU-a i nadležnih tijela, pravila o zaštiti i slobodnom kretanju operativnih osobnih podataka koje obrađuju ta tijela, uredi ili agencije Unije trebala bi biti u skladu s Direktivom (EU) 2016/680.

(11)

Opća pravila poglavlja ove Uredbe o obradi operativnih osobnih podataka trebala bi se primjenjivati ne dovodeći u pitanje posebna pravila koja se primjenjuju na obradu operativnih osobnih podataka u tijelima, uredima i agencijama Unije pri izvršavanju aktivnosti obuhvaćenih područjem primjene poglavlja 4. ili poglavlja 5. glave V. trećeg dijela UFEU-a. Ta posebna pravila trebalo bi smatrati za lex specialis u odnosu na odredbe u poglavlju ove Uredbe u vezi s obradom operativnih osobnih podataka (lex specialis derogat legi generali). Kako bi se smanjila pravna rascjepkanost, posebna pravila o zaštiti podataka koja se primjenjuju na obradu operativnih osobnih podataka u tijelima, uredima ili agencijama Unije pri obavljanju aktivnosti obuhvaćenih područjem primjene poglavlja 4. ili poglavlja 5. glave V. trećeg dijela UFEU-a trebala bi biti u skladu s načelima na kojima se temelji poglavlje ove Uredbe u vezi s obradom operativnih osobnih podataka, kao i s odredbama ove Uredbe koje se odnose na neovisan nadzor, pravna sredstva, odgovornost i sankcije.

(12)

Poglavlje ove Uredbe o obradi operativnih osobnih podataka trebalo bi se primjenjivati na tijela, urede i agencije Unije kada obavljaju aktivnosti obuhvaćene područjem primjene glave V. poglavlja 4. i 5. trećeg dijela UFEU-a, bez obzira na to obavljaju li te aktivnosti kao glavne ili dodatne zadaće, za potrebe sprečavanja, otkrivanja, istrage ili progona kaznenih djela. Međutim, ono se ne bi smjelo primjenjivati na Europol ili na Ured europskog javnog tužitelja sve dok se pravni akti o osnivanju Europola i Ureda europskog javnog tužitelja ne izmijene s ciljem da se poglavlje ove Uredbe u vezi s obradom operativnih osobnih podataka, kako je prilagođeno, primjenjuje i na njih.

(13)

Komisija bi trebala provesti preispitivanje ove Uredbe, osobito poglavlja ove Uredbe o obradi operativnih osobnih podataka. Komisija bi trebala provesti preispitivanje i ostalih zakonodavnih akata usvojenih na osnovi Ugovora kojima s uređuje obrada operativnih osobnih podataka u tijelima, uredima ili agencijama Unije pri obavljanju aktivnosti obuhvaćenih područjem primjene poglavlja 4. i 5. glave V. trećeg dijela UFEU -a. Nakon tog preispitivanja, kako bi se zajamčila jedinstvena i dosljedna zaštita pojedinaca s obzirom na obradu osobnih podataka, Komisija bi trebala moći podnijeti odgovarajuće zakonodavne prijedloge, što podrazumijeva i, ako je potrebno, prilagodbu posebnog poglavlja ove Uredbe u vezi s obradom operativnih osobnih podataka, s ciljem njegove primjene na Europol i Ured europskog javnog tužitelja. Prilagodba bi trebala uzeti u obzir odredbe koje se odnose na neovisan nadzor, pravna sredstva, odgovornost i sankcije.

(14)

Ova bi Uredba trebala obuhvaćati obradu administrativnih osobnih podataka, kao što su podaci o osoblju, pri obavljanju aktivnosti obuhvaćenih područjem primjene poglavlja 4. i 5. glave V. trećeg dijela UFEU -a u tijelima, uredima ili agencijama Unije.

(15)

Ova Uredba trebala bi se primjenjivati na obradu osobnih podataka koju obavljaju institucije, tijela, uredi ili agencije Unije koje obavljaju aktivnosti obuhvaćene područjem primjene glave V. poglavlja 2. Ugovora o Europskoj uniji (UEU). Ova se Uredba ne bi trebala primjenjivati na obradu osobnih podataka koja se obavlja u misijama iz članka 42. stavka 1. te članaka 43. i 44. UEU-a, kojima se provodi zajednička sigurnosna i obrambena politika. Prema potrebi bi trebalo iznijeti odgovarajuće prijedloge radi dodatne regulacije obrade osobnih podataka u području zajedničke sigurnosne i obrambene politike.

(16)

Načela zaštite podataka trebala bi se primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Osobne podatke koji su pseudonimizirani, a koji bi se mogli pripisati pojedincu uporabom dodatnih informacija, trebalo bi smatrati informacijama o pojedincu čiji se identitet može utvrditi. Kako bi se odredilo može li se utvrditi identitet pojedinca, trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koja voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca. Kako bi se utvrdilo je li po svemu sudeći izgledno da se upotrebljavaju sredstva za utvrđivanje identiteta pojedinca, trebalo bi uzeti u obzir sve objektivne čimbenike, kao što su troškovi i vrijeme potrebno za utvrđivanje identiteta, uzimajući u obzir i tehnologiju dostupnu u vrijeme obrade i tehnološki razvoj. Načela zaštite podataka stoga se ne bi trebala primjenjivati na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su učinjeni anonimnima na način da se identitet ispitanika ne može ili više ne može utvrditi. Ova se Uredba stoga ne odnosi na obradu takvih anonimnih informacija, među ostalim za statističke ili istraživačke svrhe.

(17)

Primjena pseudonimizacije na osobne podatke može smanjiti rizike za dotične ispitanike i pomoći voditeljima obrade i izvršiteljima obrade u ispunjavanju njihovih obveza u vezi sa zaštitom podataka. Izričitim uvođenjem „pseudonimizacije” ovom se Uredbom ne namjeravaju isključiti bilo koje druge mjere za zaštitu podataka.

(18)

Pojedinci mogu biti pridruženi mrežnim identifikatorima koje pružaju njihovi uređaji, aplikacije, alati i protokoli, kao što su adrese internetskog protokola, identifikatori kolačića ili drugim identifikatorima poput oznaka za radiofrekvencijsku identifikaciju. Tako mogu ostati tragovi koji se, posebno u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje primaju poslužitelji, mogu upotrijebiti za izradu profila pojedinaca i njihovu identifikaciju.

(19)

Privola bi se trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave. To bi moglo obuhvaćati označivanje polja kvačicom pri posjetu internetskim stranicama, biranje tehničkih postavki usluga informacijskog društva ili drugu izjavu ili ponašanje koje u tom kontekstu jasno pokazuje da ispitanik prihvaća predloženu obradu svojih osobnih podataka. Šutnja, polje unaprijed označeno kvačicom ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom. Privola bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za sve njih. Ako se privola ispitanika treba dati nakon zahtjeva upućenog elektroničkim putem, taj zahtjev mora biti jasan, jezgrovit i ne smije nepotrebno ometati upotrebu usluge za koju se upotrebljava. Isto tako, ispitanik bi trebao imati pravo u bilo kojem trenutku povući privolu, a da to ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Kako bi se osiguralo da je privola dana dobrovoljno, ona ne bi smjela predstavljati valjanu pravnu osnovu za obradu osobnih podataka u određenom slučaju kada postoji jasna neravnoteža između ispitanika i voditelja obrade i kada stoga nije vjerojatno da je s obzirom na sve okolnosti te posebne situacije privola dana dobrovoljno. Često nije moguće u potpunosti identificirati svrhu obrade osobnih podataka u znanstvene svrhe u trenutku prikupljanja podataka. Stoga bi se ispitanicima trebalo omogućiti da svoju privolu daju za određena područja znanstvenog istraživanja uz pridržavanje priznatih etičkih normi za znanstveno istraživanje. Ispitanici bi trebali imati priliku dati svoju privolu samo za određena područja istraživanja ili dijelove istraživačkih projekata u mjeri u kojoj to dopušta željena namjena.

(20)

Svaka obrada osobnih podataka trebala bi biti zakonita i poštena. Za pojedince bi trebalo biti transparentno kako se osobni podaci koji se odnose na njih prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju kao i do koje se mjere ti osobni podaci obrađuju ili će se obrađivati. Načelom transparentnosti traži se da svaka informacija i komunikacija u vezi s obradom tih osobnih podataka bude lako dostupna i razumljiva te da se upotrebljava jasan i jednostavan jezik. To se načelo osobito odnosi na informacije ispitaniku o identitetu voditelja obrade i svrhama obrade te daljnje informacije radi osiguravanja poštenosti i transparentnosti obrade s obzirom na pojedince o kojima je riječ i njihovo pravo da dobiju potvrdu i na obavijest o osobnim podacima koji se obrađuju, a koji se odnose na njih. Pojedinci bi trebali biti upoznati s rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom osobnih podataka i načinom ostvarenja svojih prava u vezi s obradom. Osobito, određene svrhe u koje se osobni podaci obrađuju trebale bi biti izrijekom navedene i opravdane te određene u vrijeme prikupljanja osobnih podataka. Osobni podaci trebali bi biti primjereni, bitni i ograničeni na ono što je nužno za svrhe u koje se obrađuju. Zbog toga je osobito potrebno osigurati da je razdoblje u kojem se osobni podaci pohranjuju ograničeno na strogi minimum. Osobni podaci trebali bi se obrađivati samo ako se svrha obrade opravdano ne bi mogla postići drugim sredstvima. Radi osiguravanja da se osobni podaci ne drže duže nego što je nužno, voditelj obrade trebao bi odrediti rok za brisanje ili periodično preispitivanje. Trebalo bi poduzeti svaki razumno opravdani korak radi osiguravanja da se netočni osobni podaci isprave ili izbrišu. Osobne podatke trebalo bi obrađivati uz odgovarajuće poštovanje sigurnosti i povjerljivosti osobnih podataka, što obuhvaća i sprečavanje neovlaštenog pristupa osobnim podacima i opremi kojom se koristi pri obradi podataka, neovlaštenog otkrivanja tijekom njihova prijenosa ili njihove neovlaštene upotrebe.

(21)

Ako institucije i tijela Unije prenose osobne podatke unutar iste institucije ili tijela Unije, a primatelj nije dio voditelja obrade, ili drugim institucijama ili tijelima Unije, trebali bi, u skladu s načelom odgovornosti, provjeriti jesu li ti osobni podaci nužni za zakonito izvršavanje zadaća koje su u nadležnosti primatelja. Konkretno, kad primatelj podnese zahtjev za prijenos podataka, voditelj obrade trebao bi provjeriti postoji li relevantna osnova za zakonitu obradu osobnih podataka i nadležnost primatelja. Voditelj obrade također bi trebao privremeno ocijeniti potrebu za prijenosom podataka. Ako se pojave dvojbe u vezi s potrebom za prijenosom, voditelj obrade trebao bi od primatelja zatražiti dodatne informacije. Primatelj bi trebao osigurati da se potreba za prijenosom podataka može naknadno provjeriti.

(22)

Kako bi obrada bila zakonita, osobne podatke trebalo bi obrađivati kada je to nužno za izvršavanje nekog zadatka koji institucije i tijela Unije obavljaju u javnom interesu ili pri izvršavanju službene ovlasti, za ispunjavanje pravne obveze kojoj podliježe voditelj obrade ili neke druge legitimne osnove u skladu s ovom Uredbom, uključujući privolu dotičnog ispitanika, ako je to nužno za izvršavanje ugovora u kojem je ispitanik jedna od stranaka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora. Obrada osobnih podataka radi izvršavanja zadataka koje institucije i tijela Unije obavljaju u javnom interesu uključuje i obradu osobnih podataka potrebnu za upravljanje tim institucijama i tijelima te za njihovo djelovanje. Obrada osobnih podataka trebala bi se također smatrati zakonitom ako je potrebna za zaštitu interesa koji je neophodan za očuvanje života ispitanika ili druge fizičke osobe. Obrada osobnih podataka na temelju životno važnih interesa druge fizičke osobe u načelu bi se smjela obavljati samo ako se obrada očito ne može temeljiti na drugoj pravnoj osnovi. Neke vrste obrade mogu poslužiti i za važne potrebe javnog interesa i životno važne interese ispitanika, primjerice ako je obrada potrebna u humanitarne svrhe, među ostalim za praćenje epidemija i njihova širenja ili u humanitarnim krizama, posebno u slučajevima prirodnih katastrofa i katastrofa uzrokovanih ljudskim djelovanjem.

(23)

Pravo Unije iz ove Uredbe trebalo bi biti jasno i precizno, a njegova bi primjena trebala biti predvidljiva osobama koje mu podliježu, u skladu sa zahtjevima utvrđenima u Povelji i Europskoj konvenciji za zaštitu ljudskih prava i temeljnih sloboda.

(24)

Interna pravila iz ove Uredbe trebala bi biti jasni i precizni akti opće primjene kojima se proizvode pravni učinci u odnosu na ispitanike. Ona bi trebala biti donesena na najvišoj rukovodećoj razini institucija i tijela Unije u okviru njihove nadležnosti i u pitanjima koja se odnose na njihovo djelovanje. Ona bi trebala biti objavljena u Službenom listu Europske unije. Primjena tih pravila trebala bi biti predvidljiva osobama koje im podliježu u skladu sa zahtjevima utvrđenima u Povelji i Europskoj konvenciji za zaštitu ljudskih prava i temeljnih sloboda. Interna pravila mogu biti u obliku odluka, posebno kada ih donose institucije Unije.

(25)

Obrada osobnih podataka u svrhe različite od svrha za koje su podaci prvotno prikupljeni smjela bi se dopustiti samo ako je obrada usklađena sa svrhama za koje su osobni podaci prvotno prikupljeni. U takvom slučaju nije potrebna pravna osnova zasebna od one kojom je dopušteno prikupljanje osobnih podataka. Ako je obrada potrebna za obavljanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti voditelja obrade, pravom Unije mogu se utvrditi i odrediti zadaće i svrhe za koje će se nastavak obrade smatrati usklađenim i zakonitim. Nastavak obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebalo bi smatrati usklađenom zakonitom obradom. Pravna osnova koja se predviđa pravom Unije za obradu osobnih podataka također može činiti pravnu osnovu za daljnju obradu. Radi utvrđivanja je li svrha daljnje obrade usklađena sa svrhom prvotnog prikupljanja osobnih podataka, voditelj obrade nakon ispunjavanja svih zahtjeva zakonitosti izvorne obrade trebao bi uzeti u obzir, među ostalim: svaku vezu između te svrhe i svrhe planirane daljnje obrade; kontekst u kojem su osobni podaci prikupljeni, a posebno opravdana očekivanja ispitanikâ koja se temelje na njihovom odnosu s voditeljem obrade u pogledu daljnje uporabe podataka; prirodu osobnih podataka; posljedice planirane daljnje obrade za ispitanike te postojanje odgovarajućih zaštitnih mjera u izvornoj i planiranoj daljnjoj obradi.

(26)

Ako se obrada temelji na privoli ispitanika, voditelj obrade trebao bi moći dokazati da je ispitanik dao privolu za postupak obrade. Zaštitnim mjerama, posebno u kontekstu pisane izjave o drugom pitanju, trebalo bi se osigurati da je ispitanik svjestan činjenice da daje privolu i do koje mjere se ona daje. U skladu s Direktivom Vijeća 93/13/EEZ (6) izjavu o privoli koju je unaprijed sastavio voditelj obrade trebalo bi ponuditi u razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te u njoj ne bi smjelo biti nepoštenih uvjeta. Da bi ispitanik mogao dati privolu informiran, trebao bi barem znati identitet voditelja obrade i svrhe obrade za koju se upotrebljavaju osobni podaci. Ne može se smatrati da je privola dana dobrovoljno ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica.

(27)

Djeca zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka jer mogu biti manje svjesna predmetnih rizika, posljedica i zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka. Takvo pravo na posebnu zaštitu trebalo bi se posebno odnositi na stvaranje osobnih profila te prikupljanje osobnih podataka o djeci pri uslugama koje se izravno nude djetetu na internetskim stranicama institucija i tijela Unije, kao što su interpersonalne komunikacijske usluge ili internetska prodaja ulaznica te obrada osobnih podataka na temelju privole.

(28)

Kad primatelji s poslovnim nastanom u Uniji koji nisu institucije i tijela Unije žele da im institucije i tijela Unije prenesu osobne podatke, ti bi primatelji trebali dokazati da im je prijenos podataka potreban ili za izvršavanje svojih zadataka koje obavljaju u javnom interesu ili pri izvršavanju službene ovlasti koja im je dodijeljena. Osim toga, ti bi primatelji trebali dokazati da je prijenos potreban za posebnu svrhu u javnom interesu, a voditelj obrade trebao bi utvrditi postoji li razlog za pretpostavku da bi legitimni interesi ispitanika mogli biti dovedeni u pitanje. U takvim bi slučajevima voditelj obrade trebao odvagnuti različite suprotstavljene interese kako bi ocijenio proporcionalnost zatraženog prijenosa osobnih podataka. Posebna svrha u javnom interesu može se odnositi na transparentnost institucija i tijela Unije. Nadalje, institucije i tijela Unije trebali bi dokazati takvu potrebu kad na vlastitu inicijativu obavljaju prijenos, u skladu s načelom transparentnosti i dobre uprave. Uvjete utvrđene u ovoj Uredbi za prijenose primateljima s poslovnim nastanom u Uniji koji nisu institucije i tijela Unije trebalo bi smatrati dopunskima u odnosu na uvjete za zakonitu obradu.

(29)

Osobni podaci koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode. Takvi osobni podaci ne bi se smjeli obrađivati ako nisu ispunjeni posebni uvjeti utvrđeni ovom Uredbom. Ti osobni podaci trebali bi obuhvaćati osobne podatke koji otkrivaju rasno ili etničko podrijetlo, pri čemu upotreba termina „rasno podrijetlo” u ovoj Uredbi ne podrazumijeva da Unija prihvaća teorije koje pokušavaju dokazati postojanje odvojenih ljudskih rasa. Obradu fotografija ne bi trebalo sustavno smatrati obradom posebnih kategorija osobnih podataka jer su one obuhvaćene definicijom biometrijskih podataka samo pri obradi posebnim tehničkim sredstvima kojima se omogućuje jedinstvena identifikacija ili autentifikacija pojedinca. Osim posebnih zahtjeva za obradu osjetljivih podataka, trebala bi se primjenjivati opća načela i druga pravila iz ove Uredbe, posebno u pogledu uvjeta za zakonitu obradu. Odstupanja od opće zabrane obrade takvih posebnih kategorija osobnih podataka trebala bi biti izričito predviđena, među ostalim ako je ispitanik dao svoju izričitu privolu ili u vezi s posebnim potrebama, pogotovo ako se obrada provodi u sklopu legitimnih aktivnosti određenih udruženja ili zaklada koje se zalažu za ostvarivanje temeljnih sloboda.

(30)

Posebne kategorije osobnih podataka koje zaslužuju veći stupanj zaštite trebale bi se obrađivati u svrhe povezane sa zdravljem samo ako je to potrebno radi ostvarivanja tih svrhâ u korist pojedinaca i društva u cjelini, pogotovo u kontekstu upravljanja uslugama i sustavima zdravstvene ili socijalne skrbi. Stoga bi se ovom Uredbom trebali utvrditi usklađeni uvjeti za obradu posebnih kategorija osobnih podataka koji se odnose na zdravlje, za posebne potrebe, osobito kada obradu takvih podataka za određene zdravstvene svrhe provode osobe koje podliježu zakonskoj obvezi čuvanja profesionalne tajne. Pravom Unije trebalo bi predvidjeti specifične i primjerene mjere za zaštitu temeljnih prava i osobnih podataka pojedinaca.

(31)

Obrada posebnih kategorija osobnih podataka bez privole ispitanika može biti potrebna zbog javnog interesa u područjima javnog zdravlja. Takva bi obrada trebala podlijegati primjerenim i specifičnim mjerama kako bi se zaštitila prava i slobode pojedinaca. U tom bi kontekstu „javno zdravlje” trebalo tumačiti u skladu s definicijom iz Uredbe (EZ) br. 1338/2008 Europskog parlamenta i Vijeća (7), što znači svi elementi povezani sa zdravljem, tj. zdravstvenim stanjem, uključujući morbiditet i invaliditet, determinante koje utječu na to zdravstveno stanje, potrebe zdravstvene zaštite, sredstva dodijeljena zdravstvenoj zaštiti, pružanje zdravstvene zaštite i opća dostupnost zdravstvene zaštite, kao i troškovi i financiranje zdravstvene zaštite te uzroci smrtnosti. Takva obrada podataka koji se odnose na zdravlje za potrebe javnog interesa ne bi smjela dovesti do obrade osobnih podataka u druge svrhe.

(32)

Ako voditelj obrade ne može utvrditi identitet pojedinca na temelju osobnih podataka koje obrađuje, on ne bi smio biti obvezan prikupiti dodatne informacije kako bi utvrdio identitet ispitanika isključivo radi pridržavanja bilo koje odredbe iz ove Uredbe. Međutim, voditelj obrade ne bi smio odbiti dodatne informacije koje je ispitanik pružio radi ostvarivanja svojih prava. Identifikacija bi trebala uključivati digitalnu identifikaciju ispitanika, primjerice putem mehanizma autentifikacije, kao što su isti pristupni podaci kojima se ispitanik koristi da bi se prijavio za internetske usluge koje nudi voditelj obrade.

(33)

Obrada osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebala bi podlijegati odgovarajućim zaštitnim mjerama za prava i slobode ispitanika u skladu s ovom Uredbom. Tim zaštitnim mjerama trebalo bi osigurati da su tehničke i organizacijske mjere na snazi kako bi se osobito zajamčilo načelo smanjenja količine podataka. Daljnja obrada osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe provodi se kada voditelj obrade procijeni izvedivost ispunjavanja tih svrha obradom osobnih podataka koji ne omogućuju ili više ne omogućuju identifikaciju ispitanikâ, pod uvjetom da postoje odgovarajuće zaštitne mjere (kao što je, primjerice, pseudonimizacija osobnih podataka). Institucije i tijela Unije trebali bi pravom Unije, koje može uključivati i interna pravila koja su institucije i tijela Unije donijeli u pitanjima koja se odnose na njihovo djelovanje, predvidjeti odgovarajuće zaštitne mjere za obradu osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.

(34)

Trebalo bi predvidjeti modalitete kojima se olakšava ostvarivanje prava ispitanika iz ove Uredbe, uključujući mehanizme za podnošenje zahtjeva te, ako je primjenjivo, besplatno ostvarivanje, osobito pristupa osobnim podacima, njihovo ispravljanje ili brisanje i ostvarivanje prava na prigovor. Voditelj obrade trebao bi pružiti i sredstva za elektroničku predaju zahtjeva, posebno ako se osobni podaci obrađuju elektronički. Voditelj obrade trebao bi biti dužan odgovoriti na zahtjev ispitanika bez nepotrebne odgode i najkasnije u roku od mjesec dana te iznijeti razloge ako nema namjeru ispuniti bilo koji takav zahtjev.

(35)

Načelima poštene i transparentne obrade zahtijeva se da je ispitanik informiran o postupku obrade i njegovim svrhama. Voditelj obrade trebao bi ispitaniku pružiti sve dodatne informacije neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir posebne okolnosti i kontekst obrade osobnih podataka. Osim toga ispitanik bi trebao biti informiran o postupku izrade profila i posljedicama takve izrade profila. Kada se prikupljaju osobni podaci od ispitanika, trebalo bi ga također obavijestiti o tome je li obvezan pružiti osobne podatke te o posljedicama ako takve podatke ne pruži. Ova se informacija može pružiti u kombinaciji sa standardiziranim ikonama kako bi se na lako vidljiv, razumljiv i jasno čitljiv način pružio smislen pregled planirane obrade. Kad su ikone predstavljene elektroničkim putem, trebale bi biti strojno čitljive.

(36)

Ispitaniku bi tijekom prikupljanja podataka trebalo dati informacije o obradi osobnih podataka koji se odnose na njega ili, ako se osobni podaci ne uzimaju od ispitanika već su prikupljeni iz drugog izvora, u razumnom roku ovisno o okolnostima slučaja. Ako se osobni podaci legitimno mogu otkriti drugom primatelju, ispitanika bi trebalo informirati kada se osobni podaci prvi put otkrivaju primatelju. Ako voditelj obrade namjerava obrađivati osobne podatke u svrhu koja je različita od one za koju su prikupljeni, voditelj obrade bi prije te daljnje obrade trebao ispitaniku pružiti informacije o toj drugoj svrsi i druge potrebne informacije. Ako se izvor osobnih podataka ne može dati ispitaniku jer su upotrebljavani razni izvori, trebalo bi dati opće informacije.

(37)

Ispitanik bi trebao imati pravo pristupa prikupljenim osobnim podacima koji se na njega odnose te ostvarivati to pravo lako i u razumnim intervalima kako bi bio svjestan obrade i provjerio njezinu zakonitost. To uključuje pravo ispitanika na pristup podacima o njegovom zdravstvenom stanju, na primjer podacima u medicinskoj dokumentaciji koja sadržava informacije kao što su dijagnoze, rezultati pretraga, liječnička mišljenja, liječenja ili zahvati. Svaki ispitanik stoga bi osobito trebao imati pravo znati i dobiti obavijest o svrhama obrade osobnih podataka, ako je moguće i o tome za koje se razdoblje osobni podaci obrađuju, o primateljima osobnih podataka, o logici automatske obrade osobnih podataka i o posljedicama takve obrade, barem kad se temelji na izradi profila. To pravo ne bi smjelo negativno utjecati na prava ili slobode drugih, uključujući i poslovne tajne ili intelektualno vlasništvo, a posebno na autorsko pravo kojim je zaštićen računalni program. Rezultat tih razmatranja ipak ne bi smjelo biti odbijanje pružanja svih informacija ispitaniku. Ako voditelj obrade obrađuje velike količine informacija koje se odnose na ispitanika, voditelj obrade trebao bi imati mogućnost prije dostave informacija zahtijevati od ispitanika da navede informacije ili aktivnosti obrade na koje se zahtjev odnosi.

(38)

Ispitanik bi trebao imati pravo na ispravak osobnih podataka koji se na njega odnose te „pravo na zaborav” ako se zadržavanjem takvih podataka krši ova Uredba ili pravo Unije koje se primjenjuje na voditelja obrade. Ispitanici bi trebali imati pravo na to da se njihovi osobni podaci izbrišu i više ne obrađuju ako ti osobni podaci više nisu potrebni s obzirom na svrhu u koju su prikupljeni ili na druge načine obrađivani, ako su ispitanici povukli svoju privolu ili ako podnesu prigovor na obradu osobnih podataka koji se odnose na njih ili ako obrada njihovih osobnih podataka na druge načine nije u skladu s ovom Uredbom. Ovo je pravo posebno važno ako je ispitanik dao privolu dok je bio dijete te nije bio u potpunosti svjestan rizika obrade, a kasnije želi ukloniti takve osobne podatke, posebno na internetu. Ispitanik bi trebao biti u mogućnosti ostvariti to pravo neovisno o činjenici da više nije dijete. No daljnja pohrana osobnih podataka trebala bi biti zakonita ako je nužna za ostvarivanje prava na slobodu izražavanja i na slobodu informiranja, radi ispunjavanja pravnih obveza, za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade, na temelju javnog interesa u području javnog zdravlja, u svrhe arhiviranja od javnog interesa, u svrhe znanstvenih ili povijesnih istraživanja, u statističke svrhe ili za postavljanje, ostvarivanje ili obranu pravnih zahtjeva.

(39)

Kako bi se ojačalo „pravo na zaborav” u internetskom okruženju, pravo na brisanje također bi trebalo proširiti tako da voditelj obrade koji je objavio osobne podatke bude obvezan obavijestiti voditelje obrade koji takve osobne podatke obrađuju da izbrišu sve poveznice s tim osobnim podacima ili sve kopije ili replike tih osobnih podataka. Pritom bi voditelj obrade trebao poduzeti razumne mjere, uzimajući u obzir dostupnu tehnologiju i sredstva koja su mu dostupna, uključujući tehničke mjere, da o zahtjevu ispitanika obavijesti voditelje obrade koji obrađuju osobne podatke.

(40)

Metode kojima se ograničava obrada osobnih podataka mogle bi, među ostalim, uključivati privremeno premještanje odabranih podataka u drugi sustav obrade, onemogućavanje dostupnosti odabranih podataka korisnicima ili privremeno uklanjanje objavljenih podataka s internetske stranice. U automatiziranim sustavima pohrane ograničavanje obrade u načelu bi trebalo osigurati tehničkim sredstvima na način da osobni podaci nisu predmet daljnjih postupaka obrade i da se ne mogu mijenjati. Činjenicu da je obrada osobnih podataka ograničena trebalo bi jasno navesti u sustavu.

(41)

Radi dodatnog jačanja nadzora nad vlastitim podacima, kada se obrada osobnih podataka obavlja automatskim putem, ispitaniku bi također trebalo dopustiti i da osobne podatke koji se odnose na njega, a koje je dao voditelju obrade, dobije u strukturiranom, uobičajeno upotrebljavanom, strojno čitljivom i interoperabilnom formatu i da ih prenese drugom voditelju obrade. Voditelje obrade trebalo bi poticati na razvijanje interoperabilnih formata koji omogućuju prenosivost podataka. To bi se pravo trebalo primjenjivati u slučajevima kada je ispitanik osobne podatke dao na temelju svoje privole ili kad je obrada nužna za izvršenje ugovora. Stoga se ono ne bi smjelo primjenjivati ako je obrada osobnih podataka nužna za ispunjavanje pravne obveze kojoj podliježe voditelj obrade ili za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade. Pravo ispitanika na prijenos ili primanje osobnih podataka koji se odnose na njega ne bi trebalo obvezivati voditelja obrade da upotrebljava ili održava tehnički kompatibilne sustave za obradu. Ako se određeni skup osobnih podataka odnosi na više ispitanika, pravo na primanje tih osobnih podataka ne bi smjelo dovoditi u pitanje prava i slobode ostalih ispitanika u skladu s ovom Uredbom. Nadalje, to pravo ne bi smjelo dovoditi u pitanje pravo ispitanika na brisanje osobnih podataka, kao ni ograničenja tog prava kako je navedeno u ovoj Uredbi, a pogotovo ne bi smjelo podrazumijevati brisanje osobnih podataka koji se odnose na ispitanika, koje je on dostavio u svrhu izvršavanja ugovora, u mjeri u kojoj su ti osobni podaci potrebni za izvršavanje tog ugovora i sve dok su potrebni. Ako je to tehnički izvedivo, ispitanik bi trebao imati pravo na to da se osobni podaci prenose izravno između voditelja obrade.

(42)

Ako bi se osobni podaci mogli zakonito obrađivati jer je obrada potrebna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade, ispitanik bi ipak trebao imati pravo prigovora na obradu bilo kojih osobnih podataka povezanih s njegovom posebnom situacijom. Voditelj obrade trebao bi dokazati da njegovi uvjerljivi legitimni interesi imaju prednost pred interesima ili temeljnim pravima i slobodama ispitanika.

(43)

Ispitanik bi trebao imati pravo na to da se na njega ne odnosi odluka, što može obuhvaćati mjeru kojom se procjenjuju osobni aspekti u vezi s njim i koja se isključivo temelji na automatiziranoj obradi te proizvodi pravne učinke koji se odnose na njega ili na sličan način znatno utječu na njega, kao što je praksa zapošljavanja putem interneta bez ikakve ljudske intervencije. Takva obrada uključuje „izradu profila” koja se odnosi na svaki oblik automatizirane obrade osobnih podataka kojom se procjenjuju osobni aspekti u vezi s pojedincem, osobito analizu ili predviđanje aspekata ispitanikova učinka na poslu, ekonomskog stanja, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja, kada ona proizvodi pravne učinke koji se odnose na ispitanika ili na sličan način znatno utječu na njega.

Međutim, donošenje odluka koje se temelji na takvoj obradi, što uključuje i izradu profila, trebalo bi se dopustiti ako se to izričito dopušta pravom Unije. U svakom slučaju na takve bi se obrade trebale primjenjivati odgovarajuće zaštitne mjere, koje bi trebale uključivati davanje određenih informacija ispitaniku i pravo na ljudsku intervenciju, pravo na izražavanje vlastitog stajališta, na dobivanje pojašnjenja odluke donesene nakon takve procjene i pravo na osporavanje odluke. Takve se mjere ne bi smjele odnositi na djecu. Kako bi se osigurala poštena i transparentna obrada podataka s obzirom na ispitanika, uzimajući u obzir posebne okolnosti i kontekst u kojem se osobni podaci obrađuju, voditelj obrade trebao bi poduzeti odgovarajuće matematičke i statističke postupke za izradu profila, provesti odgovarajuće tehničke i organizacijske mjere kako bi se posebno osiguralo da budu ispravljeni čimbenici koji dovode do netočnosti u osobnim podacima i da se rizici od pojave pogrešaka svedu na minimum, te osobne podatke osigurati na način kojim se uzima u obzir potencijalne rizike za interese i prava ispitanika i spriječiti, među ostalim, diskriminacijske učinke na pojedince na temelju rasnog ili etničkog podrijetla, političkog mišljenja, vjere ili uvjerenja, članstva u sindikatu, genetskog ili zdravstvenog stanja ili spolne orijentacije, ili obradu koja rezultira mjerama koje imaju takav učinak. Automatizirane odluke i izrada profila na temelju posebnih kategorija osobnih podataka smjele bi se dopustiti samo pod posebnim uvjetima.

(44)

Pravnim aktima donesenima na temelju Ugovorâ ili internim pravilima koje institucije i tijela Unije donose u pitanjima koja se odnose na njihovo djelovanje mogu se uvesti ograničenja s obzirom na posebna načela te na prava na informacije, pristup i ispravak ili brisanje osobnih podataka, pravo na prenosivost podataka, povjerljivost elektroničkih komunikacijskih podataka te obavješćivanje ispitanika o povredi osobnih podataka i ograničenja određenih povezanih obveza voditelja obrade, u mjeri u kojoj je to nužno i razmjerno u demokratskom društvu kako bi se zaštitila javna sigurnost te sprečavanje, istraga i progon kaznenih djela ili izvršavanje kaznenopravnih sankcija. To uključuje zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje te zaštitu ljudskog života, posebno kao odgovor na prirodne katastrofe ili one koje je izazvao čovjek, zaštitu unutarnje sigurnosti institucija i tijela Unije te zaštitu drugih važnih ciljeva koji su u općem javnom interesu Unije ili države članice, a posebno ciljeva zajedničke vanjske i sigurnosne politike Unije ili važnoga gospodarskog ili financijskog interesa Unije ili države članice, te vođenja javne evidencije u svrhu općeg javnog interesa ili zaštitu ispitanika ili prava i sloboda drugih osoba, među ostalim u svrhu socijalne zaštite, javnog zdravlja i u humanitarne svrhe.

(45)

Trebalo bi utvrditi dužnosti i odgovornosti voditelja obrade za svaku obradu osobnih podataka koju provede sam voditelj obrade ili netko drugi u ime voditelja obrade. Osobito, voditelj obrade trebao bi imati obvezu provođenja odgovarajućih i djelotvornih mjera te biti u mogućnosti dokazati usklađenost aktivnosti obrade s ovom Uredbom, uključujući i djelotvornost mjera. Tim bi mjerama u obzir trebalo uzeti prirodu, opseg, kontekst i svrhe obrade te rizik za prava i slobode pojedinaca.

(46)

Rizik za prava i slobode pojedinaca, različitih vjerojatnosti i ozbiljnosti, može proizaći iz obrade osobnih podataka koja bi mogla prouzročiti fizičku, materijalnu ili nematerijalnu štetu, posebno: ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, štete za ugled, gubitka povjerljivosti osobnih podataka zaštićenih profesionalnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije ili bilo koje druge znatne gospodarske ili društvene štete; ako ispitanici mogu biti uskraćeni za svoja prava i slobode ili spriječeni u obavljanju nadzora nad svojim osobnim podacima; ako se obrađuju osobni podaci koji odaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu i ako je riječ o obradi genetskih podataka, podataka koji se odnose na zdravlje ili spolni život ili kaznene osude i kažnjiva djela ili s tim povezane sigurnosne mjere; ako se procjenjuju osobni aspekti, posebno analiza ili predviđanje aspekata u vezi s učinkom na poslu, ekonomskim stanjem, zdravljem, osobnim preferencijama ili interesima, pouzdanošću ili ponašanjem, lokacijom ili kretanjem kako bi se izradili ili upotrebljavali osobni profili; ako se obrađuju osobni podaci osjetljivih pojedinaca, posebno djece; ili ako obrada uključuje veliku količinu osobnih podataka i utječe na velik broj ispitanika.

(47)

Vjerojatnost i ozbiljnost rizika za prava i slobode ispitanika trebala bi se određivati s obzirom na prirodu, opseg, kontekst i svrhe obrade. Rizik bi trebalo procjenjivati na temelju objektivne procjene kojom se utvrđuje uključuju li postupci obrade podataka rizik ili visoki rizik.

(48)

Zaštita prava i sloboda pojedinaca s obzirom na obradu osobnih podataka zahtijeva da se poduzmu odgovarajuće tehničke i organizacijske mjere radi osiguravanja poštovanja uvjeta ove Uredbe. Radi dokazivanja usklađenosti s ovom Uredbom voditelj obrade trebao bi uvesti interne politike i provesti mjere koje osobito ispunjavaju načela tehničke zaštite podataka i integrirane zaštite podataka. Takve mjere mogle bi se, među ostalim, sastojati od smanjenja količine obrade osobnih podataka, pseudonimizacije osobnih podataka što je prije moguće, transparentnosti u vezi s funkcijama i obradom osobnih podataka, omogućavanja ispitaniku da prati obradu podataka te omogućavanja voditelju obrade da stvara i poboljšava sigurnosne značajke. Načela tehničke i integrirane zaštite podataka trebalo bi također uzeti u obzir u kontekstu javnih natječaja.

(49)

Uredbom (EU) 2016/679 propisuje se da voditelji obrade dokazuju poštovanje odobrenih mehanizama certificiranja. Isto tako, institucije i tijela Unije trebali bi moći dokazati usklađenost s ovom Uredbom u pogledu certificiranja u skladu s člankom 42. Uredbe (EU) 2016/679.

(50)

Zaštita prava i sloboda ispitanikâ, kao i dužnost i odgovornost voditeljâ obrade i izvršiteljâ obrade zahtijevaju jasno utvrđivanje dužnosti u skladu s ovom Uredbom, među ostalim u slučajevima u kojima voditelj obrade određuje svrhe i sredstva obrade zajedno s drugim voditeljima obrade ili kada se postupak obrade provodi u ime voditelja obrade.

(51)

Kako bi se osiguralo poštovanje zahtjeva iz ove Uredbe u vezi s obradom koju provodi izvršitelj obrade u ime voditelja obrade, pri povjeravanju aktivnosti obrade izvršitelju obrade, voditelj obrade trebao bi angažirati samo izvršitelje obrade koji u zadovoljavajućoj mjeri jamče, osobito u pogledu stručnog znanja, pouzdanosti i resursa, provedbu tehničkih i organizacijskih mjera koje udovoljavaju zahtjevima iz ove Uredbe, među ostalim u pogledu sigurnosti obrade. Poštovanje odobrenog kodeksa ponašanja ili odobrenog mehanizma certificiranja od strane izvršitelja obrade koji nisu institucije i tijela Unije može se upotrijebiti kao element u dokazivanju poštovanja obveza voditelja obrade. Provođenje obrade od strane izvršitelja obrade koji nije institucija ili tijelo Unije trebalo bi biti uređeno ugovorom ili, ako je riječ o institucijama ili tijelima Unije koji djeluju kao izvršitelji obrade, ugovorom ili drugim pravnim aktom u skladu s pravom Unije koji izvršitelja obrade obvezuje prema voditelju obrade, a u kojemu su navedeni predmet i trajanje obrade, priroda i svrhe obrade, vrsta osobnih podataka te kategorije ispitanika, uzimajući u obzir posebne zadaće i odgovornosti izvršitelja obrade u kontekstu obrade koju treba provesti te rizika za prava i slobode ispitanika. Voditelj obrade i izvršitelj obrade trebali bi biti u mogućnosti izabrati pojedinačni ugovor ili standardne ugovorne klauzule koje je ili izravno donijela Komisija ili ih je donio Europski nadzornik za zaštitu podataka, a potom ih je donijela Komisija. Nakon što završi obradu u ime voditelja obrade, izvršitelj obrade trebao bi, prema izboru voditelja obrade, vratiti ili izbrisati osobne podatke, osim ako postoji obveza pohrane osobnih podataka sukladno pravu Unije ili pravu države članice kojem izvršitelj obrade podliježe.

(52)

Kako bi dokazali usklađenost s ovom Uredbom, voditelji obrade trebali bi voditi evidenciju o aktivnostima obrade za koje su odgovorni, a izvršitelji obrade trebali bi voditi evidenciju o kategorijama aktivnosti obrade za koje su odgovorni. Institucije i tijela Unije trebali bi biti obvezni surađivati s Europskim nadzornikom za zaštitu podataka i omogućiti mu uvid u svoje evidencije na zahtjev, kako bi mu mogle poslužiti za praćenje postupaka obrade. Osim ako to zbog veličine institucije ili tijela Unije nije primjereno, institucije i tijela Unije trebali bi biti u mogućnosti uspostaviti središnji registar evidencija o svojim aktivnostima obrade. Radi transparentnosti trebali bi biti u mogućnosti takav registar i objaviti.

(53)

Kako bi se očuvala sigurnost i spriječila obrada kojom se krši ova Uredba, voditelj obrade ili izvršitelj obrade trebao bi procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija. Tim bi se mjerama trebala osigurati odgovarajuća razina zaštite, uključujući povjerljivost, uzimajući u obzir najnovija dostignuća i troškove provedbe u odnosu na rizike i prirodu osobnih podataka koji se trebaju zaštititi. Pri procjeni rizika za sigurnost podataka u obzir bi trebalo uzeti rizike koje predstavlja obrada osobnih podataka, kao što su slučajno ili nezakonito uništenje, gubitak, izmjene, neovlašteno otkrivanje osobnih podataka ili neovlašten pristup osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani, a što posebno može dovesti do fizičke, materijalne ili nematerijalne štete.

(54)

Institucije i tijela Unije trebali bi osigurati povjerljivost elektroničkih komunikacija predviđenu člankom 7. Povelje. Institucije i tijela Unije trebali bi posebno jamčiti sigurnost svojih elektroničkih komunikacijskih mreža. Oni bi trebali štititi informacije koje se odnose na terminalnu opremu korisnika koji pristupaju njihovim javno dostupnim internetskim stranicama i mobilnim aplikacijama, u skladu s Direktivom 2002/58/EZ Europskog parlamenta i Vijeća (8). Oni bi također trebali štititi osobne podatke pohranjene u imenicima korisnika.

(55)

Ako se povreda osobnih podataka ne rješava na odgovarajući način i pravodobno, ona može prouzročiti fizičku, materijalnu ili nematerijalnu štetu pojedincima. Stoga, čim voditelj obrade primijeti da je došlo do povrede osobnih podataka, trebao bi o tome obavijestiti Europskog nadzornika za zaštitu podataka bez nepotrebnog odgađanja i to, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi osobnih podataka, osim ako voditelj obrade može dokazati, u skladu s načelom odgovornosti, da povreda osobnih podataka vjerojatno neće prouzročiti rizik za prava i slobode pojedinaca. Ako se takvo obavješćivanje ne može postići u roku od 72 sata, u obavijesti bi trebalo navesti razloge za kašnjenje, a informacije se mogu pružati postupno, bez nepotrebnog daljnjeg odgađanja. Ako je kašnjenje opravdano, umjesto da se obavijest šalje tek kad se incident u cijelosti riješi, manje osjetljive ili općenitije informacije o povredi trebalo bi poslati što prije.

(56)

Voditelj obrade trebao bi bez nepotrebne odgode obavijestiti ispitanika o povredi osobnih podataka ako je vjerojatno da će povreda osobnih podataka prouzročiti visoki rizik za prava i slobode tog pojedinca, kako bi on mogao poduzeti potrebne mjere opreza. U obavijesti bi trebalo opisati prirodu povrede osobnih podataka kao i preporuke kako bi dotični pojedinac mogao ublažiti moguće štetne posljedice. Takva bi se obavijest ispitanicima trebala pružiti što je prije izvedivo, u razumnim granicama, i u bliskoj suradnji s Europskim nadzornikom za zaštitu podataka, poštujući njegove upute ili upute drugih relevantnih tijela vlasti, kao što su tijela nadležna za izvršavanje zakonodavstva.

(57)

Uredbom (EZ) br. 45/2001 predviđena je opća obveza voditelja obrade da o obradi osobnih podataka obavijesti službenika za zaštitu podataka. Osim ako to zbog veličine institucije ili tijela Unije nije primjereno, službenik za zaštitu podataka vodi evidenciju o postupcima obrade o kojima je obaviješten. Osim te opće obveze, potrebno je uspostaviti djelotvorne postupke i mehanizme za nadzor postupaka obrade koji vjerojatno mogu prouzročiti visoki rizik za prava i slobode pojedinaca zbog svoje prirode, opsega, konteksta i svrha. Takve postupke također je potrebno uspostaviti posebno u slučaju postupaka obrade koji uključuju upotrebu novih tehnologija ili onih koji su nove vrste s obzirom na koje voditelj obrade još nije proveo procjenu učinka na zaštitu podataka ili koje su postale potrebne zbog vremena koje je proteklo od prvotne obrade. U takvim slučajevima voditelj obrade trebao bi prije obrade provesti procjenu učinka na zaštitu podataka radi procjene osobite vjerojatnosti i ozbiljnosti visokog rizika, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade te izvore rizika. Ta bi procjena učinka trebala posebno uključivati mjere, zaštitne mjere i mehanizme predviđene za umanjivanje tog rizika, za osiguravanje zaštite osobnih podataka i dokazivanje usklađenosti s ovom Uredbom.

(58)

Ako se u procjeni učinka na zaštitu podataka pokaže da bi obrada u nedostatku zaštitnih mjera, sigurnosnih mjera i mehanizama za umanjivanje rizika dovela do visokog rizika za prava i slobode pojedinaca, a voditelj obrade smatra da se taj rizik ne može umanjiti razumnim mjerama u pogledu dostupne tehnologije i troškova provedbe, prije početka obrade trebalo bi se savjetovati s Europskim nadzornikom za zaštitu podataka. Takav visok rizik vjerojatno će proizaći iz određenih vrsta obrade te opsega i učestalosti obrade, što može isto tako prouzročiti štetu ili ometanje prava i slobode ispitanika. Europski nadzornik za zaštitu podataka trebao bi odgovoriti na zahtjev za savjetovanje u određenom vremenskom roku. Međutim, izostanak reakcije Europskog nadzornika za zaštitu podataka u tom roku ne bi smio utjecati na bilo koju intervenciju Europskog nadzornika za zaštitu podataka u skladu s njegovim zadaćama i ovlastima iz ove Uredbe, uključujući ovlast da zabrani postupke obrade. U okviru tog postupka savjetovanja trebalo bi biti moguće dostaviti Europskom nadzorniku za zaštitu podataka rezultat procjene učinka na zaštitu podataka koja je provedena u vezi s predmetnom obradom, a posebno mjere predviđene za umanjivanje rizika za prava i slobode pojedinaca.

(59)

Radi osiguravanja usklađenosti planirane obrade s ovom Uredbom te posebno radi umanjivanja rizika za ispitanika, Europskog nadzornika za zaštitu podataka trebalo bi obavijestiti o upravnim mjerama i s njime se savjetovati o internim pravilima koja su institucije i tijela Unije donijeli u pitanjima koja se odnose na njihovo djelovanje, kada se njima predviđa obrada osobnih podataka, utvrđuju uvjeti za ograničavanje prava ispitanika ili osiguravaju odgovarajuće mjere zaštite prava ispitanika.

(60)

Uredbom (EU) 2016/679 osnovan je Europski odbor za zaštitu podataka kao neovisno tijelo Unije koje ima pravnu osobnost. Odbor bi trebao doprinositi dosljednoj primjeni Uredbe (EU) 2016/679 i Direktive (EU) 2016/680 u cijeloj Uniji, među ostalim i savjetovanjem Komisije. Istodobno bi Europski nadzornik za zaštitu podataka trebao i dalje izvršavati svoje nadzorne i savjetodavne funkcije u pogledu svih institucija i tijela Unije, na vlastitu inicijativu ili na zahtjev. Kako bi se osigurala usklađenost pravila o zaštiti podataka u cijeloj Uniji, pri pripremi prijedloga ili preporuka Komisija bi trebala nastojati savjetovati se s Europskim nadzornikom za zaštitu podataka. Komisija bi se obvezno trebala savjetovati nakon donošenja zakonodavnih akata ili tijekom pripreme delegiranih akata i provedbenih akata kako je utvrđeno u člancima 289., 290. i 291. UFEU-a te nakon donošenja preporuka i prijedloga povezanih sa sporazumima s trećim zemljama i međunarodnim organizacijama, kako je predviđeno u članku 218. UFEU-a, koji utječu na pravo na zaštitu osobnih podataka. U takvim bi slučajevima Komisija trebala biti obvezna savjetovati se s Europskim nadzornikom za zaštitu podataka, osim u slučajevima kada je Uredbom (EU) 2016/679 predviđeno obvezno savjetovanje s Europskim odborom za zaštitu podataka, na primjer o odlukama o primjerenosti ili delegiranim aktima o standardiziranim ikonama te zahtjevima u pogledu mehanizama certificiranja. Ako je predmetni akt posebno važan za zaštitu prava i sloboda pojedinaca u pogledu obrade osobnih podataka, Komisija bi trebala biti u mogućnosti savjetovati se i s Europskim odborom za zaštitu podataka. U tim bi slučajevima Europski nadzornik za zaštitu podataka, kao član Europskog odbora za zaštitu podataka, trebao s njim koordinirati svoj rad u cilju donošenja zajedničkog mišljenja. Europski nadzornik za zaštitu podataka i, kad je to primjenjivo, Europski odbor za zaštitu podataka trebali bi dati savjet pisanim putem u roku od osam tjedana. Taj bi rok trebao biti kraći u hitnim slučajevima ili kad je to inače primjereno, na primjer kad Komisija priprema delegirane i provedbene akte.

(61)

U skladu s člankom 75. Uredbe (EU) 2016/679 Europski nadzornik za zaštitu podataka trebao bi pružati usluge tajništva Europskog odbora za zaštitu podataka.

(62)

U svim bi institucijama i tijelima Unije službenik za zaštitu podataka trebao bi osigurati da se primjenjuju odredbe ove Uredbe te savjetovati voditelje obrade i izvršitelje obrade o ispunjavanju njihovih obveza. Taj službenik bi trebao biti osoba sa stručnim znanjem o pravu i praksama u području zaštite podataka, pri čemu bi se razina tog znanja trebala utvrditi posebno u odnosu na postupke obrade podataka koje provode voditelj obrade i izvršitelj obrade te na zaštitu koja se zahtijeva za osobne podatke o kojima je riječ. Takvi službenici za zaštitu podataka trebali bi moći obavljati svoje dužnosti i zadaće na neovisan način.

(63)

Kad se osobni podaci prenose iz institucija i tijela Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, trebala bi biti zajamčena razina zaštite pojedinaca osigurana ovom Uredbom u Uniji. Ista jamstva trebala bi se primjenjivati u slučajevima daljnjih prijenosa osobnih podataka iz treće zemlje ili međunarodne organizacije voditeljima obrade, izvršiteljima obrade u istoj ili nekoj drugoj trećoj zemlji ili međunarodnoj organizaciji. U svakom slučaju, prijenosi u treće zemlje i međunarodne organizacije mogu se obavljati isključivo uz puno poštovanje ove Uredbe i temeljnih prava i sloboda sadržanih u Povelji. Prijenos bi se smio obavljati samo ako, u skladu s drugim odredbama ove Uredbe, voditelj obrade ili izvršitelj obrade ispunjavaju uvjete utvrđene u odredbama ove Uredbe koji se odnose na prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama.

(64)

U skladu s člankom 45. Uredbe (EU) 2016/679 ili člankom 36. Direktive (EU) 2016/680, Komisija može odlučiti da treća zemlja, područje, posebni sektor treće zemlje ili međunarodna organizacija pruža odgovarajuću razinu zaštite podataka. U takvim slučajevima institucija ili tijelo Unije može izvršiti prijenos osobnih podataka toj trećoj zemlji ili međunarodnoj organizaciji bez dodatnog odobrenja.

(65)

Ako nije donesena odluka o primjerenosti, voditelj obrade ili izvršitelj obrade trebali bi poduzeti mjere kojima će se nadomjestiti nedostatak zaštite podataka u trećoj zemlji putem odgovarajućih zaštitnih mjera za ispitanika. Takve odgovarajuće zaštitne mjere mogu obuhvaćati upotrebu standardnih klauzula o zaštiti podataka koje je donijela Komisija ili koje je donio Europski nadzornik za zaštitu podataka ili ugovornih klauzula koje je odobrio Europski nadzornik za zaštitu podataka. Ako izvršitelj obrade nije institucija ili tijelo Unije, te se odgovarajuće zaštitne mjere mogu sastojati i od obvezujućih korporativnih pravila, kodeksa ponašanja i mehanizama certificiranja koji se upotrebljavaju za međunarodne prijenose u skladu s Uredbom (EU) 2016/679. Te bi zaštitne mjere trebale osigurati usklađenost sa zahtjevima zaštite podataka i prava ispitanika primjereno obradi unutar Unije, uključujući dostupnost provedivih prava ispitanika i učinkovitih pravnih lijekova, među ostalim onih za dobivanje učinkovite upravne ili sudske zaštite i traženje naknade, u Uniji ili u trećoj zemlji. One bi se trebale posebno odnositi na usklađivanje s općim načelima koja se odnose na obradu osobnih podataka te načelima tehničke i integrirane zaštite podataka. Institucije i tijela Unije mogu isto tako obavljati prijenose tijelima javne vlasti ili tijelima s javnim ovlastima u trećim zemljama ili međunarodnim organizacijama s odgovarajućim dužnostima ili ovlastima, među ostalim na temelju odredaba koje se uključuju u administrativne aranžmane, kao što su memorandumi o razumijevanju, kojima se ispitanicima osiguravaju ostvariva i učinkovita prava. Kada se zaštitne mjere predviđaju u administrativnim aranžmanima koji nisu pravno obvezujući, trebalo bi ishoditi odobrenje Europskog nadzornika za zaštitu podataka.

(66)

Mogućnost da se voditelj obrade ili izvršitelj obrade koristi standardnim klauzulama o zaštiti podataka koje je donijela Komisija ili Europski nadzornik za zaštitu podataka ne bi trebala sprečavati voditelja obrade ili izvršitelja obrade da uključe standardne klauzule o zaštiti podataka u širi ugovor, kao što je ugovor između izvršitelja obrade i drugog izvršitelja obrade, niti da dodaju druge klauzule ili dodatne zaštitne mjere pod uvjetom da one izravno ili neizravno ne proturječe standardnim ugovornim klauzulama koje je donijela Komisija ili Europski nadzornik za zaštitu podataka ili ne dovode u pitanje temeljna prava ili slobode ispitanika. Voditelje obrade i izvršitelje obrade trebalo bi poticati da osiguraju dodatne zaštitne mjere putem ugovornih obveza koje nadopunjuju standardne klauzule o zaštiti podataka.

(67)

Neke treće zemlje donose zakone, propise i druge pravne akte radi izravne regulacije aktivnosti obrade koje provode institucije i tijela Unije. To može uključivati presude sudova ili odluke upravnih tijela u trećim zemljama kojima se od voditelja obrade ili izvršitelja obrade traži prijenos ili otkrivanje osobnih podataka i koje se ne temelje na važećem međunarodnom sporazumu između treće zemlje koja je podnijela zahtjev i Unije. Izvanteritorijalna primjena tih zakona, propisa i drugih pravnih akata može predstavljati kršenje međunarodnog prava i može ometati postizanje zaštite pojedinaca koja se ovom Uredbom osigurava u Uniji. Prijenosi bi se smjeli dopustiti samo ako su ispunjeni uvjeti ove Uredbe za prijenos trećim zemljama. To može, među ostalim, biti slučaj kada je otkrivanje nužno iz važnih razloga od javnog interesa priznatog pravom Unije.

(68)

Trebalo bi predvidjeti mogućnost prijenosa u određenim okolnostima kada je ispitanik dao izričitu privolu, ako je prijenos povremen i nužan s obzirom na ugovor ili pravni zahtjev, neovisno o tome je li riječ o sudskom, upravnom ili bilo kojem izvansudskom postupku, uključujući i postupke pred regulatornim tijelima. Trebalo bi predvidjeti i mogućnost prijenosa kad to zahtijevaju važni razlozi od javnog interesa propisani pravom Unije ili kada se prijenos obavlja iz registra uspostavljenog zakonom i namijenjenog uvidu javnosti ili osoba koje imaju legitiman interes. U potonjem slučaju takav prijenos ne bi trebao uključivati cjelokupne osobne podatke ili cijele kategorije podataka sadržanih u registru, osim ako je to dopušteno pravom Unije, a ako je registar namijenjen uvidu osoba koje imaju legitiman interes, prijenos bi se trebao obaviti samo na zahtjev tih osoba ili, ako su te osobe primatelji, u potpunosti uzimajući u obzir interese i temeljna prava ispitanika.

(69)

Ta bi se odstupanja posebno trebala primjenjivati na prijenose podataka koji se traže i nužni su iz važnih razloga od javnog interesa, na primjer u slučajevima međunarodne razmjene podataka između institucija i tijela Unije i tijela nadležnih za tržišno natjecanje, poreznih ili carinskih uprava, financijskih nadzornih tijela te služba nadležnih za pitanja socijalne sigurnosti ili za javno zdravlje, na primjer u slučaju praćenja kontakata kod zaraznih bolesti ili kako bi se smanjio i/ili uklonio doping u sportu. Prijenos osobnih podataka trebalo bi isto tako smatrati zakonitim ako je nužan za zaštitu interesa koji je bitan za životno važne interese ispitanika ili druge osobe, uključujući tjelesni integritet ili život, ako ispitanik nije u stanju dati privolu. Ako ne postoji odluka o primjerenosti, pravom Unije mogu se, iz važnih razloga od javnog interesa, izričito odrediti ograničenja prijenosa određenih kategorija podataka trećoj zemlji ili međunarodnoj organizaciji. Svaki prijenos osobnih podataka ispitanika koji tjelesno ili pravno nije u stanju dati privolu u međunarodnu humanitarnu organizaciju, s ciljem izvršenja zadaće obuhvaćene ženevskim konvencijama ili poštovanja međunarodnog humanitarnog prava mjerodavnog u oružanim sukobima, mogao bi se smatrati nužnim iz važnog razloga od javnog interesa ili zbog toga što je od životno važnog interesa za ispitanika.

(70)

U svakom slučaju, ako Komisija nije donijela odluku o odgovarajućoj razini zaštite podataka u trećoj zemlji, voditelj obrade ili izvršitelj obrade trebali bi iskoristiti rješenja koja ispitanicima osiguravaju ostvariva i učinkovita prava u pogledu obrade njihovih podataka u Uniji nakon što su ti podaci preneseni tako da će i dalje uživati zaštitu koju nude temeljna prava i zaštitne mjere.

(71)

Kada se osobni podaci kreću preko granica izvan Unije, može se povećati rizik koji prijeti sposobnosti pojedinaca da ostvare svoja prava na zaštitu podataka, osobito da se zaštite od nezakonite uporabe ili otkrivanja tih informacija. Istodobno se može dogoditi da nacionalna nadzorna tijela i Europski nadzornik za zaštitu podataka, nisu u mogućnosti rješavati pritužbe ili voditi istrage u vezi s aktivnostima izvan svoje nadležnosti. Njihova zalaganja za prekograničnu suradnju mogu omesti i nedovoljne ovlasti za sprečavanje ili ispravljanje, nedosljedni pravni režimi i praktične prepreke poput ograničenih resursa. Stoga bi trebalo promicati blisku suradnju između Europskog nadzornika za zaštitu podataka i nacionalnih nadzornih tijela kako bi im se pomoglo u razmjeni informacija s njihovim međunarodnim partnerima.

(72)

Ključna je sastavnica zaštite pojedinaca s obzirom na obradu njihovih osobnih podataka uspostava Europskog nadzornika za zaštitu podataka Uredbom (EZ) br. 45/2001, koji je ovlašten da potpuno neovisno obavlja svoje zadaće i izvršava svoje ovlasti. Ova bi Uredba trebala dodatno ojačati i pojasniti njegovu ulogu i neovisnost. Europski nadzornik za zaštitu podataka trebala bi biti osoba čija je neovisnost neupitna i koja je priznata kao osoba s iskustvom i vještinama potrebnima za obavljanje dužnosti Europskog nadzornika za zaštitu podataka jer, primjerice, pripada ili je pripadala jednom od nadzornih tijela osnovanih u skladu s člankom 51. Uredbe (EU) 2016/679.

(73)

Kako bi se osiguralo dosljedno praćenje i provedba pravila o zaštiti podataka u cijeloj Uniji, Europski nadzornik za zaštitu podataka trebao bi imati iste zadaće i stvarne ovlasti kao i nacionalna nadzorna tijela, među ostalim ovlasti za vođenje istrage, korektivne ovlasti i sankcije te ovlasti za davanje odobrenja i savjetodavne ovlasti, posebno u slučajevima pritužbi pojedinaca, ovlasti za obavješćivanje Suda o kršenjima ove Uredbe i ovlasti za sudjelovanje u pravnim postupcima u skladu s primarnim pravom. U takve bi ovlasti trebala biti uključena i ovlast za izricanje privremenog ili konačnog ograničenja obrade, uključujući zabranu. Kako bi se izbjegli suvišni troškovi i prekomjerne neugodnosti za dotične osobe na koje bi to moglo negativno utjecati, svaka mjera Europskog nadzornika za zaštitu podataka trebala bi biti primjerena, potrebna i razmjerna cilju osiguravanja usklađenosti s ovom Uredbom, a pritom bi trebalo uzeti u obzir okolnosti svakog pojedinačnog slučaja i poštovati pravo svake osobe da bude saslušana prije poduzimanja bilo koje pojedinačne mjere. Svaka pravno obvezujuća mjera Europskog nadzornika za zaštitu podataka trebala bi biti u pisanom obliku, jasna i jednoznačna te sadržavati datum izdavanja mjere, potpis Europskog nadzornika za zaštitu podataka i razloge za mjeru te upućivati na pravo na učinkovit pravni lijek.

(74)

Da bi se zaštitila neovisnost Suda u obavljanju njegovih sudskih zadaća, među ostalim u donošenju odluka, nadležnost za nadzor koju ima Europski nadzornik za zaštitu podataka ne bi trebala obuhvaćati obradu osobnih podataka koju Sud provodi kada djeluje u svom sudbenom svojstvu. Za takve postupke obrade Sud bi trebao ustanoviti neovisan nadzor, u skladu s člankom 8. stavkom 3. Povelje, primjerice putem internog mehanizma.

(75)

Odluke Europskog nadzornika za zaštitu podataka o izuzećima, jamstvima, odobrenjima i uvjetima u vezi s postupcima obrade podataka, kako je određeno u ovoj Uredbi, trebale bi se objaviti u izvješću o aktivnostima. Neovisno o objavljivanju godišnjeg izvješća o aktivnostima, Europski nadzornik za zaštitu podataka može objaviti izvješća o posebnim temama.

(76)

Europski nadzornik za zaštitu podataka trebao bi se pridržavati Uredbe (EZ) br. 1049/2001 Europskog parlamenta i Vijeća (9).

(77)

Nacionalna nadzorna tijela prate primjenu Uredbe (EU) 2016/679 i doprinose njezinoj dosljednoj primjeni u cijeloj Uniji kako bi zaštitila pojedince s obzirom na obradu njihovih osobnih podataka i olakšala slobodni protok osobnih podataka na unutarnjem tržištu. Radi povećanja usklađenosti primjene pravila o zaštiti podataka koja se primjenjuju u državama članicama i pravila o zaštiti podataka koja se primjenjuju na institucije i tijela Unije, Europski nadzornik za zaštitu podataka trebao bi učinkovito surađivati s nacionalnim nadzornim tijelima.

(78)

U određenim se slučajevima pravom Unije predviđa model koordiniranog nadzora koji provode Europski nadzornik za zaštitu podataka i nacionalna nadzorna tijela. Europski nadzornik za zaštitu podataka također je nadzorno tijelo Europola te je za te svrhe uspostavljen poseban model suradnje s nacionalnim nadzornim tijelima u okviru odbora za suradnju sa savjetodavnom funkcijom. Radi poboljšanja djelotvornog nadzora i provedbe materijalnih pravila o zaštiti podataka u Uniji, trebalo bi uvesti jedinstven, dosljedan model koordiniranog nadzora. Komisija bi stoga trebala podnositi zakonodavne prijedloge kada je to potrebno u cilju izmjene pravnih akata Unije kojima se predviđa model koordiniranog nadzora kako bi se uskladili s modelom koordiniranog nadzora iz ove Uredbe. Europski odbor za zaštitu podataka trebao bi služiti kao jedinstveni forum za osiguravanje djelotvornog koordiniranog nadzora u svim područjima.

(79)

Svaki bi ispitanik trebao imati pravo podnijeti pritužbu Europskom nadzorniku za zaštitu podataka te pravo na učinkovit pravni lijek pred Sudom u skladu s Ugovorima ako ispitanik smatra da su prekršena njegova prava iz ove Uredbe ili ako Europski nadzornik za zaštitu podataka ne postupi po pritužbi, djelomično ili u potpunosti odbaci ili odbije pritužbu ili ne djeluje kad je takvo djelovanje nužno radi zaštite prava ispitanika. Istragu pokrenutu na temelju pritužbe trebalo bi provesti, podložno sudskom preispitivanju, u mjeri koja je primjerena za određeni slučaj. Europski nadzornik za zaštitu podataka trebao bi u razumnom roku obavijestiti ispitanika o tijeku i ishodu pritužbe. Ako slučaj zahtijeva dodatnu koordinaciju s nacionalnim nadzornim tijelom, ispitaniku bi trebalo dati privremene informacije. Kako bi se olakšalo podnošenje pritužbi, Europski nadzornik za zaštitu podataka trebao bi poduzeti mjere kao što su osiguravanje obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući druga sredstva komunikacije.

(80)

Svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove Uredbe trebala bi imati pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu, podložno uvjetima predviđenima Ugovorima.

(81)

Kako bi se ojačala nadzorna uloga Europskog nadzornika za zaštitu podataka te učinkovita provedba ove Uredbe, Europski nadzornik za zaštitu podataka trebao bi imati ovlast za izricanje upravnih novčanih kazni, i to kao krajnje sankcije. Svrha novčanih kazni trebala bi biti sankcioniranje institucije ili tijela Unije, a ne pojedinaca, zbog neusklađenosti s ovom Uredbom kako bi se spriječila buduća kršenja ove Uredbe te poticala kultura zaštite osobnih podataka u institucijama i tijelima Unije. U ovoj bi Uredbi trebalo navesti kršenja podložna upravnim novčanim kaznama te gornje granice i kriterije za određivanje novčanih kazni povezanih s tim kršenjima. Europski nadzornik za zaštitu podataka trebao bi za svaki pojedinačni slučaj odrediti iznos novčane kazne uzimajući u obzir sve bitne okolnosti konkretne situacije, vodeći računa o prirodi, težini i trajanju kršenja, njegovim posljedicama te mjerama poduzetima da bi se osiguralo poštovanje obveza iz ove Uredbe i spriječile ili ublažile posljedice kršenja. Pri izricanju upravne novčane kazne instituciji ili tijelu Unije, Europski nadzornik za zaštitu podataka trebao bi razmotriti razmjernost iznosa novčane kazne. Upravnim postupkom za izricanje novčanih kazni institucijama i tijelima Unije trebala bi se poštovati opća načela prava Unije kako ih tumači Sud.

(82)

Ako ispitanik smatra da su prekršena njegova prava iz ove Uredbe, trebao bi imati pravo ovlastiti neprofitno tijelo, organizaciju ili udruženje osnovano u skladu s pravom Unije ili pravom države članice, u čijem se statutu navode ciljevi od javnog interesa i koje je aktivno u području zaštite osobnih podataka, da Europskom nadzorniku za zaštitu podataka podnese pritužbu u njegovo ime. Takvo tijelo, organizacija ili udruženje trebalo bi isto tako moći ostvariti pravo na pravni lijek u ime ispitanikâ ili ostvariti pravo na naknadu u ime ispitanikâ.

(83)

Dužnosnik ili neki drugi službenik Unije koji ne ispuni obveze iz ove Uredbe trebao bi podlijegati stegovnom ili drugom postupku u skladu s pravilima i postupcima koji su utvrđeni Pravilnikom o osoblju za dužnosnike Europske Unije i Uvjetima zaposlenja ostalih službenika Unije utvrđenima Uredbom Vijeća (EEZ, Euratom, EZUČ) br. 259/68 (10) („Pravilnik o osoblju”).

(84)

Radi osiguravanja jedinstvenih uvjeta za provedbu ove Uredbe, Komisiji bi trebalo dodijeliti provedbene ovlasti. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (11). Postupak ispitivanja trebalo bi primjenjivati za donošenje standardnih ugovornih klauzula između voditelja obrade i izvršitelja obrade te među izvršiteljima obrade, za donošenje popisa postupaka obrade za koje voditelji obrade koji obrađuju osobne podatke zahtijevaju prethodno savjetovanje s Europskim nadzornikom za zaštitu podataka radi izvršavanja zadaće u interesu javnosti te za donošenje standardnih ugovornih klauzula kojima se osiguravaju odgovarajuće zaštitne mjere za međunarodne prijenose.

(85)

Trebalo bi zaštititi povjerljive informacije koje statistička tijela Unije i nacionalna statistička tijela prikupljaju za potrebe sastavljanja službene europske i nacionalne statistike. Europsku statistiku trebalo bi razvijati, sastavljati i širiti u skladu sa statističkim načelima iz članka 338. stavka 2. UFEU-a. U Uredbi (EZ) br. 223/2009 Europskog parlamenta i Vijeća (12) predviđaju se daljnje pojedinosti u pogledu statističke povjerljivosti europske statistike.

(86)

Uredbu (EZ) br. 45/2001 i Odluku br. 1247/2002/EZ Europskog parlamenta, Vijeća i Komisije (13) trebalo bi staviti izvan snage. Upućivanja na Uredbu i Odluku koje su stavljene izvan snage trebala bi se tumačiti kao upućivanja na ovu Uredbu.

(87)

Kako bi se zaštitila potpuna neovisnost članova neovisnog nadzornog tijela, ova Uredba ne bi trebala utjecati na mandat sadašnjeg Europskog nadzornika za zaštitu podataka i sadašnjeg pomoćnika nadzornika. Sadašnji pomoćnik nadzornika trebao bi ostati na dužnosti do isteka mandata, osim ako se ispuni neki od uvjeta za prijevremeni prekid mandata Europskog nadzornika za zaštitu podataka koji je utvrđen ovom Uredbom. Odgovarajuće odredbe ove Uredbe trebale bi se primjenjivati na pomoćnika nadzornika do isteka njegova mandata.

(88)

U skladu s načelom proporcionalnosti za postizanje temeljnog cilja osiguravanja jednakovrijedne razine zaštite pojedinaca u pogledu obrade osobnih podataka i slobodnog kretanja osobnih podataka u Uniji potrebno je i primjereno utvrditi pravila o obradi osobnih podataka u institucijama i tijelima Unije. Ova Uredba ne prelazi ono što je potrebno za ostvarivanje ciljeva u skladu s člankom 5. stavkom 4. UEU-a.

(89)

Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 28. stavkom 2. Uredbe (EZ) br. 45/2001, koji je dao mišljenje 15. ožujka 2017. (14),

DONIJELI SU OVU UREDBU:

POGLAVLJE I.

OPĆE ODREDBE

Članak 1.

Predmet i ciljevi

1.   U ovoj se Uredbi utvrđuju pravila o zaštiti pojedinaca u pogledu obrade osobnih podataka u institucijama i tijelima te pravila povezana sa slobodnim kretanjem osobnih podataka među njima ili prema drugim primateljima koji imaju poslovni nastan u Uniji.

2.   Ovom se Uredbom štite temeljna prava i slobode pojedinaca, a posebno njihovo pravo na zaštitu osobnih podataka.

3.   Europski nadzornik za zaštitu podataka prati primjenu odredaba ove Uredbe na sve postupke obrade koje provode institucije ili tijela Unije.

Članak 2.

Područje primjene

1.   Ova se Uredba primjenjuje na obradu osobnih podataka u svim institucijama i tijelima Unije.

2.   Samo se članak 3. i poglavlje IX. ove Uredbe primjenjuju na obradu operativnih osobnih podataka, koju tijela, uredi i agencije Unije provode pri obavljanju aktivnosti obuhvaćenih područjem primjene trećeg dijela glave V. poglavlja 4. ili 5. UFEU-a.

3.   Ova Uredba ne primjenjuje se na obradu operativnih osobnih podataka koju provode Europol i Ured europskog javnog tužitelja dok se ne usvoje Uredba (EU) 2016/794 Europskog parlamenta i Vijeća (15) i Uredba Vijeća (EU) 2017/1939 (16) u skladu s člankom 98. ove Uredbe.

4.   Ova Uredba ne primjenjuje se na obradu osobnih podataka u misijama iz članka 42. stavka 1. i članaka 43. i 44. UEU-a.

5.   Ova se Uredba primjenjuje na potpuno ili djelomično automatiziranu obradu osobnih podataka te na neautomatiziranu obradu osobnih podataka koji su dio sustava pohrane ili su namijenjeni da budu dio sustava pohrane.

Članak 3.

Definicije

Za potrebe ove Uredbe primjenjuju se sljedeće definicije:

1.

„osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet te fizičke osobe;

2.

„operativni osobni podaci” znači svi osobni podaci koje obrađuju tijela, uredi ili agencije Unije pri obavljanju aktivnosti obuhvaćenih područjem primjene trećeg dijela glave V. poglavlja 4. ili 5. UFEU-a kako bi se ispunili ciljevi i zadaće utvrđeni u pravnim aktima o osnivanju tih tijela, ureda ili agencija;

3.

„obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

4.

„ograničavanje obrade” znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti;

5.

„izrada profila” znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;

6.

„pseudonimizacija” znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;

7.

„sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

8.

„voditelj obrade” znači institucija ili tijelo Unije ili glavna uprava ili bilo koji drugi organizacijski subjekt koji samostalno ili zajedno s ostalima određuje svrhe i sredstva obrade osobnih podataka; ako su svrhe i sredstva te obrade određeni posebnim aktom Unije, pravom Unije mogu se odrediti voditelj obrade ili posebni kriteriji za njegovo imenovanje;

9.

„voditelji obrade koji nisu institucije i tijela Unije” znači voditelji obrade u smislu članka 4. točke 7. Uredbe (EU) 2016/679 i voditelji obrade u smislu članka 3. točke 8. Direktive (EU) 2016/680;

10.

„institucije i tijela Unije” znači institucije, tijela, uredi i agencije Unije osnovani UEU-om, UFEU-om ili Ugovorom o Euratomu ili na temelju tih ugovora;

11.

„nadležno tijelo” znači svako tijelo javne vlasti u državi članici nadležno za sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje;

12.

„izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;

13.

„primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti u skladu je s mjerodavnim pravilima o zaštiti podataka prema svrhama obrade;

14.

„treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;

15.

„privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;

16.

„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;

17.

„genetski podaci” znači osobni podaci koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca;

18.

„biometrijski podaci” znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci;

19.

„podaci koji se odnose na zdravlje” znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu;

20.

„usluga informacijskog društva” znači usluga kako je definirana člankom 1. stavkom 1. točkom (b) Direktive (EU) 2015/1535 Europskog parlamenta i Vijeća (17);

21.

„međunarodna organizacija” znači organizacija i njezina podređena tijela uređena međunarodnim javnim pravom ili bilo koje drugo tijelo koje su sporazumom ili na temelju sporazuma osnovale dvije zemlje ili više njih;

22.

„nacionalno nadzorno tijelo” znači neovisno javno tijelo koje je država članica osnovala na temelju članka 51. Uredbe (EU) 2016/679 ili na temelju članka 41. Direktive (EU) 2016/680;

23.

„korisnik” znači svaka fizička osoba koja upotrebljava mrežu ili terminalnu opremu čijim radom upravlja institucija ili tijelo Unije;

24.

„imenik” znači javno dostupan imenik korisnika ili interni imenik korisnika dostupan unutar institucije ili tijela Unije ili kojim se zajednički koriste institucije i tijela Unije, u tiskanom ili elektroničkom obliku;

25.

„elektronička komunikacijska mreža” znači sustav prijenosa, bez obzira na to temelji li se na stalnoj infrastrukturi ili centraliziranom upravljačkom kapacitetu, i, prema potrebi, oprema za prespajanje ili usmjeravanje te druga sredstva, uključujući elemente mreže koji nisu aktivni, a koji omogućuju prijenos signala žičanim, radijskim, svjetlosnim ili drugim elektromagnetskim sredstvom, što uključuje satelitske mreže, fiksne (s prespajanjem kanala, prespajanjem paketa podataka, uključujući internet) i mobilne zemaljske mreže, elektroenergetske kabelske sustave, u mjeri u kojoj se koriste za prijenos signala, mreže koje se upotrebljavaju za radijsko i televizijsko emitiranje te mreže kabelske televizije, bez obzira na vrstu informacija koju prenose;

26.

„terminalna oprema” znači terminalna oprema kako je definirana člankom 1. točkom 1. Direktive Komisije 2008/63/EZ (18).

POGLAVLJE II.

OPĆA NAČELA

Članak 4.

Načela obrade osobnih podataka

1.   Osobni podaci moraju biti:

(a)

obrađivani zakonito, pošteno i transparentno s obzirom na ispitanika („zakonitost, poštenost i transparentnost”);

(b)

prikupljenji u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe ne smatra se, u skladu s člankom 13., neusklađenom s prvotnim svrhama („ograničavanje svrhe”);

(c)

primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”);

(d)

točni i, prema potrebi, ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odgode izbrišu ili isprave („točnost”);

(e)

čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 13., što podliježe provedbi odgovarajućih tehničkih i organizacijskih mjera propisanih ovom Uredbom radi zaštite prava i sloboda ispitanika („ograničenje pohrane”);

(f)

obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja, primjenom odgovarajućih tehničkih ili organizacijskih mjera („cjelovitost i povjerljivost”);

2.   Voditelj obrade odgovoran je za usklađenost sa stavkom 1. te je mora moći dokazati („pouzdanost”).

Članak 5.

Zakonitost obrade

1.   Obrada je zakonita samo ako i u onoj mjeri u kojoj je ispunjeno najmanje jedno od sljedećega:

(a)

obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti dodijeljene instituciji ili tijelu Unije;

(b)

obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(c)

obrada je nužna za izvršavanje ugovora kojeg je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(d)

ispitanik je dao privolu za obradu svojih osobnih podataka u jednu posebnu svrhu ili više njih;

(e)

obrada je nužna kako bi se zaštitili životno važni interesi ispitanika ili druge fizičke osobe.

2.   Osnova za obradu iz stavka 1. točaka (a) i (b) utvrđuje se u pravu Unije.

Članak 6.

Obrada u drugu sukladnu svrhu

Ako se obrada svrhu koja je različita od one u koju su osobni podaci prikupljeni ne temelji na privoli ispitanika ili na pravu Unije koje predstavlja nužnu i razmjernu mjeru u demokratskom društvu za zaštitu ciljeva iz članka 25. stavka 1., voditelj obrade, kako bi utvrdio je li obrada u drugu svrhu u skladu sa svrhom u koju su osobni podaci prvotno prikupljeni, među ostalim uzima u obzir:

(a)

svaku vezu između svrha prikupljanja osobnih podataka i svrha planirane daljnje obrade;

(b)

kontekst u kojem su osobni podaci prikupljeni, posebno u pogledu odnosa između ispitanikâ i voditelja obrade;

(c)

prirodu osobnih podataka, posebno s obzirom na to obrađuju li se posebne kategorije osobnih podataka u skladu s člankom 10. ili osobni podaci koji se odnose na kaznene osude i kažnjiva djela u skladu s člankom 11.;

(d)

moguće posljedice planirane daljnje obrade za ispitanike;

(e)

postojanje odgovarajućih zaštitnih mjera, koje mogu uključivati enkripciju ili pseudonimizaciju.

Članak 7.

Uvjeti privole

1.   Kad se obrada temelji na privoli, voditelj obrade mora moći dokazati da je ispitanik dao privolu za obradu svojih osobnih podataka.

2.   Ako ispitanik da privolu u vidu pisane izjave koja se odnosi i na druga pitanja, zahtjev za privolu mora biti predočen tako da se može jasno razlučiti od drugih pitanja, u razumljivom i lako dostupnom obliku uz uporabu jasnog i jednostavnog jezika. Svaki dio takve izjave koji predstavlja kršenje ove Uredbe nije obvezujući.

3.   Ispitanik ima pravo u svakom trenutku povući svoju privolu. Povlačenje privole ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Ispitanik se o tome obavješćuje prije davanja privole. Povlačenje privole mora biti jednako jednostavno kao i njezino davanje.

4.   Kad se procjenjuje je li privola bila dobrovoljna, posebno se uzima u obzir je li, među ostalim, izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom za obradu osobnih podataka koja nije nužna za izvršenje tog ugovora.

Članak 8.

Uvjeti koji se primjenjuju na privolu djeteta u odnosu na usluge informacijskog društva

1.   Kad se primjenjuje članak 5. stavak 1. točka (d) u pogledu nuđenja usluga informacijskog društva izravno djetetu, obrada osobnih podataka djeteta zakonita je ako dijete ima najmanje 13 godina. Ako je dijete ispod dobne granice od 13 godina, takva je obrada zakonita samo ako i u mjeri u kojoj je privolu dao ili odobrio nositelj roditeljske odgovornosti nad djetetom.

2.   Voditelj obrade mora uložiti razumne napore kako bi provjerio je li privolu u takvim slučajevima dao ili odobrio nositelj roditeljske odgovornosti nad djetetom, uzimajući u obzir dostupnu tehnologiju.

3.   Stavak 1. ne utječe na opće ugovorno pravo država članica, kao što su pravila o valjanosti, sklapanju ili učinku ugovora kad je riječ o djetetu.

Članak 9.

Prijenos osobnih podataka primateljima s poslovnim nastanom u Uniji koji nisu institucije i tijela Unije

1.   Ne dovodeći u pitanje članke od 4. do 6. i članak 10., osobni se podaci prenose primateljima s poslovnim nastanom u Uniji koji nisu institucije i tijela Unije samo ako:

(a)

primatelj utvrdi da su podaci potrebni za izvršavanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti primatelja; ili

(b)

primatelj utvrdi da je potrebno izvršiti prijenos podataka za posebne svrhe u javnom interesu, a voditelj obrade, u slučaju da postoji razlog za pretpostavku da bi legitimni interesi ispitanika mogli biti dovedeni u pitanje, utvrdi da je prijenos podataka u te svrhe razmjeran, nakon što je dokazano odvagnuo različite suprotstavljene interese.

2.   Ako voditelj obrade inicira prijenos u skladu s ovim člankom, dužan je primjenom kriterija utvrđenih u stavku 1. točki (a) ili (b) dokazati da je prijenos podataka nužan za svrhe prijenosa i razmjeran njima.

3.   Institucije i tijela Unije usklađuju pravo na zaštitu osobnih podataka s pravom pristupa dokumentima u skladu s pravom Unije.

Članak 10.

Obrada posebnih kategorija osobnih podataka

1.   Zabranjuje se obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca.

2.   Stavak 1. ne primjenjuje se ako je ispunjeno jedno od sljedećega:

(a)

ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha, osim ako se pravom Unije propisuje da ispitanik ne može ukinuti zabranu iz stavka 1.;

(b)

obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno pravom Unije koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika;

(c)

obrada je nužna za zaštitu životno važnih interesa ispitanika ili druge osobe ako ispitanik fizički ili pravno nije u stanju dati privolu;

(d)

obradu u sklopu svojih legitimnih aktivnosti i uz odgovarajuće zaštitne mjere provodi neprofitno tijelo koje je subjekt uključen u instituciju ili tijelo Unije i koje ima politički, filozofski, vjerski ili sindikalni cilj, pod uvjetom da se obrada odnosi samo na članove ili bivše članove tog tijela ili na osobe koje su s njim u redovitom kontaktu u vezi s njegovim ciljevima te da se podaci bez privole ispitanika ne priopćavaju nikome izvan tog tijela;

(e)

obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik;

(f)

obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili kad god Sud djeluje u sudbenom svojstvu;

(g)

obrada je nužna zbog značajnog javnog interesa na temelju prava Unije koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika;

(h)

obrada je nužna u svrhu preventivne medicine ili medicine rada, za procjenu radne sposobnosti zaposlenika, medicinsku dijagnozu, pružanje zdravstvene ili socijalne skrbi ili liječenje ili upravljanje zdravstvenim ili socijalnim sustavima i uslugama na temelju prava Unije ili u skladu s ugovorom sa zdravstvenim radnikom te u skladu s uvjetima i zaštitnim mjerama iz stavka 3.;

(i)

obrada je nužna u svrhu javnog interesa u području javnog zdravlja, kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova ili medicinskih proizvoda, na temelju prava Unije kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno čuvanje profesionalne tajne; ili

(j)

obrada je nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe na temelju prava Unije koje je razmjerno cilju koji se nastoji postići te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika.

3.   Osobni podaci iz stavka 1. mogu se obrađivati u svrhe navedene u stavku 2. točki (h) kada te podatke obrađuje stručno tijelo ili se podaci obrađuju pod odgovornošću stručnog tijela koje podliježe obvezi čuvanja profesionalne tajne sukladno pravu Unije ili države članice ili pravilima koja su odredila nadležna nacionalna tijela ili druga osoba koja također podliježe obvezi čuvanja tajne sukladno pravu Unije ili države članice ili pravilima koja su utvrdila nadležna nacionalna tijela.

Članak 11.

Obrada osobnih podataka koji se odnose na kaznene osude i kažnjiva djela

Obrada osobnih podataka koji se odnose na kaznene osude i kaznena djela ili povezane mjere sigurnosti na temelju članka 5. stavka 1. provodi se samo pod nadzorom službenog tijela ili kada je obrada odobrena pravom Unije kojim se propisuju odgovarajuće zaštitne mjere za prava i slobode ispitanikâ.

Članak 12.

Obrada koja ne zahtijeva identifikaciju

1.   Ako se u svrhe u koje voditelj obrade obrađuje osobne podatke ne zahtijeva ili više ne zahtijeva da voditelj obrade identificira ispitanika, voditelj obrade nije obvezan zadržavati, prikupljati ili obrađivati dodatne informacije radi identificiranja ispitanika samo u svrhu poštovanja ove Uredbe.

2.   Ako u slučajevima iz stavka 1. ovog članka voditelj obrade može dokazati da nije u mogućnosti identificirati ispitanika, voditelj obrade o tome na odgovarajući način obavješćuje ispitanika, ako je moguće. U takvim slučajevima ne primjenjuju se članci od 17. do 22., osim ako ispitanik u svrhu ostvarivanja svojih prava iz tih članaka pruži dodatne informacije koje omogućuju njegovu identifikaciju.

Članak 13.

Zaštitne mjere vezano za obradu u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe

Na obradu u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe primjenjuju se odgovarajuće zaštitne mjere u skladu s ovom Uredbom u pogledu prava i sloboda ispitanika. Tim zaštitnim mjerama osigurava se da su na snazi tehničke i organizacijske mjere, posebno kako bi se zajamčilo načelo smanjenja količine podataka. Te mjere mogu uključivati pseudonimizaciju, pod uvjetom da se te svrhe mogu postići na taj način. Ako se te svrhe mogu postići daljnjom obradom koja ne dopušta ili više ne dopušta identifikaciju ispitanika, te se svrhe postižu na taj način.

POGLAVLJE III.

PRAVA ISPITANIKA

ODJELJAK 1.

Transparentnost i modaliteti

Članak 14.

Transparentne informacije, komunikacija i modaliteti za ostvarivanje prava ispitanika

1.   Voditelj obrade poduzima odgovarajuće mjere kako bi se ispitaniku pružile sve informacije iz članaka 15. i 16. i sva komunikacija iz članaka od 17. do 24. i članka 35. u vezi s obradom u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika, osobito za svaku informaciju koja je posebno namijenjena djetetu. Informacije se pružaju u pisanom obliku ili drugim sredstvima, uključujući prema potrebi elektroničkim putem. Ako to zatraži ispitanik, informacije se mogu pružiti usmenim putem, pod uvjetom da je identitet ispitanika utvrđen drugim sredstvima.

2.   Voditelj obrade olakšava ostvarivanje prava ispitanika iz članaka od 17. do 24. U slučajevima iz članka 12. stavka 2. voditelj obrade ne smije odbiti postupiti po zahtjevu ispitanika u svrhu ostvarivanja njegovih prava iz članaka od 17. do 24., osim ako voditelj obrade dokaže da nije u mogućnosti utvrditi identitet ispitanika.

3.   Voditelj obrade ispitaniku na zahtjev pruža informacije o poduzetim radnjama iz članaka od 17. do 24. bez nepotrebne odgode i u svakom slučaju u roku od mjesec dana od zaprimanja zahtjeva. Taj se rok može prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjevâ. Voditelj obrade u roku od mjesec dana od zaprimanja zahtjeva obavješćuje ispitanika o svakom takvom produljenju zajedno s razlozima odgađanja. Ako ispitanik podnese zahtjev elektroničkim putem, informacije se, ako je moguće, pružaju elektroničkim putem, osim ako ispitanik zatraži drukčije.

4.   Ako voditelj obrade ne postupi po zahtjevu ispitanika, voditelj obrade bez odgode i najkasnije jedan mjesec od primitka zahtjeva izvješćuje ispitanika o razlozima zbog kojih nije postupio i o mogućnosti podnošenja pritužbe Europskom nadzorniku za zaštitu podataka i traženja pravnog lijeka.

5.   Informacije pružene u skladu s člancima 15. i 16. i sva komunikacija i djelovanja iz članaka od 17. do 24. i članka 35. pružaju se bez naknade. Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog njihova učestalog ponavljanja, voditelj obrade može odbiti postupiti po zahtjevu. Teret dokazivanja očigledne neutemeljenosti ili pretjeranosti zahtjeva snosi voditelj obrade.

6.   Ne dovodeći u pitanje članak 12., ako voditelj obrade ima opravdane sumnje u pogledu identiteta pojedinca koji podnosi zahtjev iz članaka od 17. do 23., voditelj obrade može tražiti pružanje dodatnih informacija neophodnih za potvrđivanje identiteta ispitanika.

7.   Informacije koje treba pružiti ispitanicima u skladu s člancima 15. i 16. mogu se pružiti u kombinaciji sa standardiziranim ikonama kako bi se na lako vidljiv, razumljiv i jasno čitljiv način pružio smislen pregled planirane obrade. Ako su ikone prikazane elektroničkim putem, moraju biti strojno čitljive.

8.   Ako Komisija u skladu s člankom 12. stavkom 8. Uredbe (EU) 2016/679 donese delegirane akte kojima se određuju informacije koje treba prikazati ikonama te postupci za utvrđivanje standardiziranih ikona, institucije i tijela Unije prema potrebi pružaju informacije iz članaka 15. i 16. ove Uredbe u kombinaciji s takvim standardiziranim ikonama.

ODJELJAK 2.

Informacije i pristup osobnim podacima

Članak 15.

Informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanika

1.   Ako se osobni podaci koji se odnose na ispitanika prikupljaju od tog ispitanika, voditelj obrade u trenutku prikupljanja osobnih podataka predmetnom ispitaniku pruža sve sljedeće informacije:

(a)

identitet i podatke za kontakt voditelja obrade;

(b)

podatke za kontakt službenika za zaštitu podataka;

(c)

svrhe obrade kojima su namijenjeni osobni podaci i pravnu osnovu za obradu;

(d)

primatelje ili kategorije primatelja osobnih podataka, ako postoje;

(e)

ako je primjenjivo, činjenicu da voditelj obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti ili, u slučaju prijenosâ iz članka 48., upućivanje na odgovarajuće ili prikladne zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje.

2.   Osim informacija iz stavka 1., voditelj obrade u trenutku prikupljanja osobnih podataka pruža ispitaniku sljedeće dodatne informacije potrebne kako bi se osigurala poštena i transparentna obrada:

(a)

razdoblje u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterije na temelju kojih se to razdoblje utvrdilo;

(b)

postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili, ako je primjenjivo, prava na ulaganje prigovora na obradu ili prava na prenosivost podataka;

(c)

ako se obrada temelji na članku 5. stavku 1. točki (d) ili članku 10. stavku 2. točki (a), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;

(d)

pravu na podnošenje pritužbe Europskom nadzorniku za zaštitu podataka;

(e)

informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;

(f)

postojanje automatiziranog donošenja odluka, uključujući izradu profila iz članka 24. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

3.   Ako voditelj obrade namjerava dalje obrađivati osobne podatke u svrhu koja je različita od one za koju su prikupljeni, voditelj obrade prije te daljnje obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 2.

4.   Stavci 1., 2. i 3. ne primjenjuju se ako i u onoj mjeri u kojoj ispitanik već raspolaže informacijama.

Članak 16.

Informacije koje se trebaju pružiti ako osobni podaci nisu dobiveni od ispitanika

1.   Ako osobni podaci nisu dobiveni od ispitanika, voditelj obrade ispitaniku pruža sljedeće informacije:

(a)

identitet i podatke kontakt voditelja obrade;

(b)

podatke za kontakt službenika za zaštitu podataka;

(c)

svrhe obrade kojima su namijenjeni osobni podaci i pravnoj osnovi za obradu;

(d)

kategorije osobnih podataka o kojima je riječ;

(e)

primatelje ili kategorije primatelja osobnih podataka, ako postoje;

(f)

ako je primjenjivo, namjeru voditelja obrade da osobne podatke prenese primatelju u trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti ili, u slučaju prijenosâ iz članka 48., upućivanje na odgovarajuće ili prikladne zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje.

2.   Osim informacija iz stavka 1. voditelj obrade ispitaniku pruža sljedeće dodatne informacije neophodne za osiguravanje poštene i transparentne obrade s obzirom na ispitanika:

(a)

razdoblje u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterije na temelju kojih se utvrdilo to razdoblje;

(b)

postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili, ako je primjenjivo, prava na ulaganje prigovora na obradu ili prava na prenosivost podataka;

(c)

ako se obrada temelji na članku 5. stavku 1. točki (d) ili članku 10. stavku 2. točki (a), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;

(d)

pravo na podnošenje pritužbe Europskom nadzorniku za zaštitu podataka;

(e)

izvor osobnih podataka i, ako je primjenjivo, dolaze li iz javno dostupnih izvora;

(f)

postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 24. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

3.   Voditelj obrade pruža informacije iz stavaka 1. i 2.:

(a)

unutar razumnog roka nakon dobivanja osobnih podataka, a najkasnije u roku od jednog mjeseca, uzimajući u obzir posebne okolnosti obrade osobnih podataka;

(b)

ako se osobni podaci trebaju upotrebljavati za komunikaciju s ispitanikom, najkasnije u trenutku prve komunikacije ostvarene s tim ispitanikom; ili

(c)

ako je predviđeno otkrivanje podataka drugom primatelju, najkasnije u trenutku kada su osobni podaci prvi put otkriveni.

4.   Ako voditelj obrade namjerava dalje obrađivati osobne podatke u svrhu koja je različita od one za koju su osobni podaci dobiveni, voditelj obrade prije te daljnje obrade ispitaniku pruža informacije o toj drugoj svrsi te sve druge relevantne informacije iz stavka 2.

5.   Stavci od 1. do 4. ne primjenjuju se ako i u mjeri u kojoj:

(a)

ispitanik već posjeduje informacije;

(b)

pružanje takvih informacija nije moguće ili bi zahtijevalo nerazmjeran napor, posebno za obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe ili u mjeri u kojoj je vjerojatno da se obvezom iz stavka 1. ovog članka može onemogućiti ili ozbiljno ugroziti postizanje ciljeva te obrade;

(c)

dobivanje ili otkrivanje podataka izrijekom je propisano pravom Unije, koje predviđa odgovarajuće mjere zaštite legitimnih interesa ispitanika; ili

(d)

ako osobni podaci moraju ostati povjerljivi u skladu s obvezom čuvanja profesionalne tajne koju uređuje pravo Unije, uključujući obvezu čuvanja tajne koja se navodi u statutu.

6.   U slučajevima o kojima je riječ u stavku 5. točki (b) voditelj obrade poduzima odgovarajuće mjere za zaštitu prava i sloboda te legitimnih interesa ispitanika, među ostalim i javnim obznanjivanjem informacija.

Članak 17.

Pravo ispitanika na pristup

1.   Ispitanik ima pravo od voditelja obrade dobiti potvrdu o tome obrađuju li se osobni podaci koji se odnose na njega te, ako se obrađuju, pristup tim osobnim podacima i informacije o sljedećem:

(a)

svrhama obrade;

(b)

kategorijama osobnih podataka o kojima je riječ;

(c)

primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, posebno primateljima u trećim zemljama ili međunarodnim organizacijama;

(d)

ako je moguće, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;

(e)

postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu;

(f)

pravu na podnošenje pritužbe Europskom nadzorniku za zaštitu podataka;

(g)

ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj informaciji o njihovu izvoru;

(h)

postojanju automatiziranog donošenja odluka, što uključuje izradu profila iz članka 24. stavaka 1. i 4. te, barem u tim slučajevima, smislenim informacijama o tome o kojoj je logici riječ, kao i važnosti i predviđenim posljedicama takve obrade za ispitanika.

2.   Ako se osobni podaci prenose u treću zemlju ili međunarodnu organizaciju, ispitanik ima pravo biti informiran o odgovarajućim zaštitnim mjerama u skladu s člankom 48. koje se odnose na prijenos.

3.   Voditelj obrade osigurava kopiju osobnih podataka koji se obrađuju. Ako ispitanik podnese zahtjev u elektroničkom obliku, informacije se pružaju u uobičajenom elektroničkom obliku, osim ako ispitanik zatraži drukčije.

4.   Pravo na dobivanje kopije iz stavka 3. ne smije negativno utjecati na prava i slobode drugih.

ODJELJAK 3.

Ispravak i brisanje

Članak 18.

Pravo na ispravak

Ispitanik ima pravo bez nepotrebne odgode od voditelja obrade ishoditi ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.

Članak 19.

Pravo na brisanje („pravo na zaborav”)

1.   Ispitanik ima pravo od voditelja obrade ishoditi brisanje osobnih podataka koji se na njega odnose bez nepotrebne odgode te voditelj obrade ima obvezu izbrisati osobne podatke bez nepotrebne odgode ako je ispunjen jedan od sljedećih uvjeta:

(a)

osobni podaci više nisu nužni s obzirom na svrhe za koje su prikupljeni ili na drugi način obrađeni;

(b)

ispitanik povuče privolu na kojoj se obrada temelji u skladu s člankom 5. stavkom 1. točkom (d) ili člankom 10. stavkom 2. točkom (a) i ako ne postoji druga pravna osnova za obradu;

(c)

ispitanik podnese prigovor na obradu u skladu s člankom 23. stavkom 1. te ne postoje jači legitimni razlozi za obradu;

(d)

osobni podaci nezakonito su obrađeni;

(e)

osobni podaci moraju se izbrisati radi poštovanja pravne obveze kojoj podliježe voditelj obrade;

(f)

osobni podaci prikupljeni su u vezi s ponudom usluga informacijskog društva iz članka 8. stavka 1.

2.   Ako je voditelj obrade javno objavio osobne podatke i dužan je u skladu sa stavkom 1. izbrisati te osobne podatke, uzimajući u obzir dostupnu tehnologiju i trošak provedbe, voditelj obrade poduzima razumne mjere, uključujući tehničke mjere, kako bi informirao voditelje obrade ili voditelje obrade koji nisu institucije i tijela Unije koji obrađuju osobne podatke da je ispitanik zatražio da izbrišu sve poveznice do njih ili kopiju ili rekonstrukciju tih osobnih podataka.

3.   Stavci 1. i 2. ne primjenjuju se u mjeri u kojoj je obrada nužna:

(a)

radi ostvarivanja prava na slobodu izražavanja i informiranja;

(b)

radi poštovanja pravne obveze kojoj podliježe voditelj obrade ili za izvršavanja zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(c)

zbog javnog interesa u području javnog zdravlja u skladu s člankom 10. stavkom 2. točkama (h) i (i) te člankom 10. stavkom 3.;

(d)

u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u mjeri u kojoj je vjerojatno da se pravom iz stavka 1. može onemogućiti ili ozbiljno ugroziti postizanje ciljeva te obrade; ili

(e)

radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

Članak 20.

Pravo na ograničenje obrade

1.   Ispitanik ima pravo od voditelja obrade ishoditi ograničenje obrade ako je ispunjeno jedno od sljedećega:

(a)

ispitanik osporava točnost osobnih podataka na razdoblje kojim se voditelju obrade omogućuje provjera točnosti osobnih podataka, uključujući i njihovu potpunost;

(b)

obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe;

(c)

voditelj obrade više ne treba osobne podatke za potrebe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;

(d)

ispitanik je podnio prigovor na obradu na temelju članka 23. stavka 1. dok se ne utvrdi imaju li legitimni razlozi voditelja obrade prednost pred razlozima ispitanika.

2.   Ako je obrada ograničena stavkom 1., takvi osobni podaci smiju se, uz iznimku pohrane, obrađivati samo uz privolu ispitanika ili za postavljanje, ostvarivanje ili obranu pravnih zahtjeva ili zaštitu prava druge fizičke ili pravne osobe ili zbog važnog javnog interesa Unije ili države članice.

3.   Ispitanika koji je ishodio ograničenje obrade na temelju stavka 1. voditelj obrade obavješćuje prije nego što ograničenje obrade bude ukinuto.

4.   U automatiziranim sustavima pohrane ograničavanje obrade osobnih podataka u načelu se osigurava tehničkim sredstvima. Činjenica da su osobni podaci ograničeni naznačuje se u sustavu tako da bude jasno da se predmetni osobni podaci ne smiju upotrijebiti.

Članak 21.

Obveza obavješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obrade

Voditelj obrade priopćuje svaki ispravak ili brisanje osobnih podataka ili ograničenje obrade provedeno u skladu s člankom 18., člankom 19. stavkom 1. i člankom 20. svakom primatelju kojem su osobni podaci otkriveni, osim ako se to pokaže nemogućim ili zahtijeva nerazmjeran napor. Voditelj obrade obavješćuje ispitanika o tim primateljima ako ispitanik to zatraži.

Članak 22.

Pravo na prenosivost podataka

1.   Ispitanik ima pravo zaprimiti osobne podatke koji se odnose na njega, a koje je pružio voditelju obrade u strukturiranom, uobičajeno upotrebljavanom i strojno čitljivom formatu te ima pravo prenijeti te podatke drugom voditelju obrade, bez ometanja od strane voditelja obrade kojem su osobni podaci pruženi, ako se:

(a)

obrada temelji na privoli u skladu s člankom 5. stavkom 1. točkom (d) ili člankom 10. stavkom 2. točkom (a) ili na ugovoru u skladu s člankom 5. stavkom 1. točkom (c); i

(b)

obrada provodi automatiziranim putem.

2.   Prilikom ostvarivanju svojeg prava na prenosivost podataka na temelju stavka 1. ispitanik ima pravo na izravni prijenos osobnih podataka od jednog voditelja obrade drugome ili voditeljima obrade koji nisu institucije i tijela Unije, ako je to tehnički izvedivo.

3.   Ostvarivanjem prava iz stavka 1. ovog članka ne dovodi se u pitanje članak 19. To se pravo ne primjenjuje na obradu nužnu za obavljanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade.

4.   Pravo iz stavka 1. ne smije negativno utjecati na prava i slobode drugih.

ODJELJAK 4.

Pravo na prigovor i automatizirano pojedinačno donošenje odluKA

Članak 23.

Pravo na prigovor

1.   Ispitanik ima pravo, u skladu s člankom 5. stavkom 1. točkom (a), na temelju svoje posebne situacije u svakom trenutku podnijeti prigovor na obradu osobnih podataka koji se odnose na njega, uključujući izradu profila koja se temelji na toj odredbi. Voditelj obrade više ne smije obrađivati osobne podatke osim ako dokaže da postoje uvjerljivi legitimni razlozi za obradu koji imaju prednost pred interesima, pravima i slobodama ispitanika ili radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

2.   Ispitaniku se najkasnije u trenutku prve komunikacije s njim izričito mora skrenuti pozornost na pravo iz stavka 1. te se to mora učiniti na jasan način i odvojeno od svih drugih informacija.

3.   Ne dovodeći u pitanje članke 36. i 37., u kontekstu korištenja usluga informacijskog društva ispitanik može ostvariti svoje pravo na prigovor automatiziranim putem, uporabom tehničkih specifikacija.

4.   Ako se osobni podaci obrađuju u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe ispitanik na temelju svoje posebne situacije ima pravo podnijeti prigovor na obradu osobnih podataka koji se na njega odnose, osim ako je obrada nužna za izvršavanje zadaće zbog javnog interesa.

Članak 24.

Automatizirano pojedinačno donošenje odluka, uključujući izradu profila

1.   Ispitanik ima pravo da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se na njega odnose ili na sličan način znatno na njega utječu.

2.   Stavak 1. ne primjenjuje se ako je odluka:

(a)

potrebna za sklapanje ili izvršenje ugovora između ispitanika i voditelja obrade podataka;

(b)

dopuštena pravom Unije, kojim se propisuju i odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika; ili

(c)

temeljena na izričitoj privoli ispitanika.

3.   U slučajevima iz stavka 2. točaka (a) i (c) voditelj obrade provodi odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika, barem prava na ljudsku intervenciju voditelja obrade, prava izražavanja vlastitog stajališta te prava na osporavanje odluke.

4.   Odluke iz stavka 2. ovog članka ne smiju se temeljiti na posebnim kategorijama osobnih podataka iz članka 10. stavka 1., osim ako se primjenjuje članak 10. stavak 2. točka (a) ili (g) te ako su uspostavljene odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika.

ODJELJAK 5.

Ograničenja

Članak 25.

Ograničenja

1.   Pravnim aktima donesenima na temelju Ugovorâ ili, u pitanjima koja se odnose na djelovanje institucija i tijela Unije, internih pravila koja su donijele te institucije i tijela može se ograničiti primjena članaka od 14. do 22. te članak 35. i 36., kao i članak i 4. ako njegove odredbe odgovaraju pravima i obvezama predviđenima u člancima od 14. do 22., ako se takvim ograničenjem poštuje bit temeljnih prava i sloboda te je ono nužna i razmjerna mjera u demokratskom društvu za zaštitu:

(a)

nacionalne sigurnosti, javne sigurnosti ili obrane država članica;

(b)

sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje;

(c)

drugih važnih ciljeva od općeg javnog interesa Unije ili države članice, posebice ciljeva zajedničke vanjske i sigurnosne politike Unije ili važnog gospodarskog ili financijskog interesa Unije ili države članice, što uključuje monetarna, proračunska i porezna pitanja, javno zdravlje i socijalnu sigurnost;

(d)

unutarnje sigurnosti institucija i tijela Unije, uključujući sigurnost njihovih elektroničkih komunikacijskih mreža;

(e)

zaštite neovisnosti pravosuđa i sudskih postupaka;

(f)

sprečavanja, istrage, otkrivanja i progona kršenja etike za regulirane struke;

(g)

funkcije praćenja, inspekcije ili regulatorne funkcije koja je, barem povremeno, povezana s izvršavanjem službene ovlasti u slučajevima iz točaka od (a) do (c);

(h)

zaštite ispitanika ili prava i sloboda drugih;

(i)

ostvarivanja potraživanja u građanskim sporovima.

2.   Svaki zakonodavni akt ili interno pravilo iz stavka 1. osobito sadrži, prema potrebi, posebne odredbe o:

(a)

svrhama obrade ili kategorijama obrade,

(b)

kategorijama osobnih podataka,

(c)

opsegu uvedenih ograničenja,

(d)

zaštitnim mjerama za sprečavanje zlouporabe ili nezakonitog pristupa ili prijenosa;

(e)

specifikaciji voditelja obrade ili kategorijama voditeljâ obrade,

(f)

razdoblju pohrane i zaštitnim mjerama koje se mogu primijeniti uzimajući u obzir prirodu, opseg i svrhe obrade ili kategorije obrade; i

(g)

rizicima za prava i slobode ispitanika.

3.   Ako se osobni podaci obrađuju u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, pravom Unije, koje može uključivati interna pravila koja su donijela institucije i tijela Unije u pitanjima koja se odnose na njihovo djelovanje, mogu se predvidjeti odstupanja od prava navedenih u člancima 17., 18., 20. i 23., uz primjenu uvjeta i mjera zaštite iz članka 13., u mjeri u kojoj je vjerojatno da bi se takvim pravima moglo onemogućiti ili ozbiljno ugroziti postizanje tih posebnih svrha te su takva odstupanja neophodna za postizanje tih svrha.

4.   Ako se osobni podaci obrađuju u svrhe arhiviranja u javnom interesu, pravom Unije, koje može uključivati interna pravila koja su donijela institucije i tijela Unije u pitanjima koja se odnose na njihovo djelovanje, mogu se predvidjeti odstupanja od prava iz članaka 17., 18., 20., 21., 22. i 23., uz primjenu uvjeta i mjera zaštite iz članka 13., u mjeri u kojoj je vjerojatno da bi se takvim pravima moglo onemogućiti ili ozbiljno ugroziti postizanje tih posebnih svrha te su takva odstupanja neophodna za postizanje tih svrha.

5.   Interna pravila iz stavaka 1., 3. i 4. su jasni i precizni akti opće primjene kojima se proizvode pravni učinci u odnosu na ispitanike, doneseni na najvišoj rukovodećoj razini institucija i tijela Unije te se moraju objaviti u Službenom listu Europske unije.

6.   Ako se uvede ograničenje u skladu sa stavkom 1., ispitanika se mora obavijestiti, u skladu s pravom Unije, o glavnim razlozima na kojima se temelji primjena ograničenja te o njegovu pravu na podnošenje pritužbe Europskom nadzorniku za zaštitu podataka.

7.   Ako se ograničenje uvedeno u skladu sa stavkom 1. primjenjuje kako bi se ispitaniku uskratio pristup, Europski nadzornik za zaštitu podataka pri ispitivanju pritužbe obavješćuje ispitanika samo o tome jesu li podaci obrađeni ispravno te, ako nisu, jesu li izvršeni svi potrebni ispravci.

8.   Obavješćivanje iz stavaka 6. i 7. ovog članka te iz članka 45. stavka 2. može se odgoditi, izostaviti ili uskratiti ako bi poništilo učinak ograničenja uvedenog u skladu sa stavkom 1. ovog članka.

POGLAVLJE IV.

VODITELJ OBRADE I IZVRŠITELJ OBRADE

ODJELJAK 1.

Opće obveze

Članak 26.

Obveze voditelja obrade

1.   Uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade te rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Uredbom. Te se mjere prema potrebi preispituju i ažuriraju.

2.   Ako su razmjerne u odnosu na aktivnosti obrade, mjere iz stavka 1. uključuju odgovarajuće politike zaštite podataka koje provodi voditelj obrade.

3.   Poštovanje odobrenih mehanizama certificiranja iz članka 42. Uredbe (EU) 2016/679 može se iskoristiti kao element za dokazivanje poštovanja obveza voditelja obrade.

Članak 27.

Tehnička i integrirana zaštita podataka

1.   Uzimajući u obzir najnovija dostignuća, trošak provedbe i prirodu, opseg, kontekst i svrhe obrade te rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, voditelj obrade, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, kao što je pseudonimizacija, za omogućavanje učinkovite primjene načela zaštite podataka, kao što je smanjenje količine podataka, te za uključenje potrebnih zaštitnih mjera u obradu kako bi se ispunili zahtjevi iz ove Uredbe i zaštitila prava ispitanika.

2.   Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski dostupni neograničenom broju fizičkih osoba bez intervencije pojedinca.

3.   Odobren mehanizam certificiranja sukladno članku 42. Uredbe (EU) 2016/679 može se iskoristiti kao element za dokazivanje sukladnosti sa zahtjevima iz stavaka 1. i 2. ovog članka.

Članak 28.

Zajednički voditelji obrade

1.   Ako dva ili više voditelja obrade ili jedan ili više voditelja obrade zajedno s jednim ili više voditelja obrade koji nisu institucije i tijela Unije, zajednički odrede svrhe i načine obrade, oni su zajednički voditelji obrade. Oni na transparentan način određuju svoje odgovornosti za poštovanje obveza u vezi sa zaštitom podataka, posebno u pogledu ostvarivanja prava ispitanika, i svojih dužnosti u vezi s pružanjem informacija iz članaka 15. i 16. te to čine međusobnim dogovorom, osim ako su i u mjeri u kojoj su odgovornosti zajedničkih voditeljâ obrade utvrđene pravom Unije ili pravom države članice kojem zajednički voditelji obrade podliježu. Dogovorom se može odrediti kontaktna točka za ispitanike.

2.   Dogovor iz stavka 1. mora propisno odražavati uloge i odnose zajedničkih voditelja obrade u odnosu na ispitanike. Bit dogovora je dostupna ispitaniku.

3.   Bez obzira na uvjete dogovora iz stavka 1., ispitanik može ostvarivati svoja prava iz ove Uredbe u vezi sa svakim voditeljem obrade, kao i protiv svakog od njih.

Članak 29.

Izvršitelj obrade

1.   Ako se obrada provodi u ime voditelja obrade, voditelj obrade surađuje samo s izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz ove Uredbe i da se njome osigurava zaštita prava ispitanika.

2.   Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja, izvršitelj obrade obavješćuje voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da podnese prigovor na takve izmjene.

3.   Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a u kojem se navode predmet i trajanje obrade, priroda i svrha obrade, vrsta osobnih podataka i kategorije ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom osobito određuje da izvršitelj obrade:

(a)

obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade, među ostalim s obzirom na prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade; u tom slučaju izvršitelj obrade obavješćuje voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo obavješćivanje zbog važnih razloga od javnog interesa;

(b)

osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti;

(c)

poduzima sve potrebne mjere u skladu s člankom 33.;

(d)

poštuje uvjete iz stavaka 2. i 4. za angažiranje drugog izvršitelja obrade;

(e)

uzimajući u obzir prirodu obrade, pomaže voditelju obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III.;

(f)

pomaže voditelju obrade u osiguravanju usklađenosti s obvezama iz članaka od 33. do 41., uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade;

(g)

prema izboru voditelja obrade briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga povezanih s obradom te briše postojeće kopije, osim ako je pravom Unije ili pravom države članice propisana obveza pohrane osobnih podataka;

(h)

voditelju obrade stavlja na raspolaganje sve informacije koje su potrebne za dokazivanje poštovanja obveza utvrđenih u ovom članku i koje omogućuju revizije, uključujući inspekcije koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade te im doprinose.

U pogledu točke (h) prvog podstavka izvršitelj obrade bez odgode obavješćuje voditelja obrade ako se prema njegovu mišljenju određenom uputom krši ova Uredba ili druge odredbe Unije ili države članice o zaštiti podataka.

4.   Ako izvršitelj obrade angažira drugog izvršitelja obrade za provođenje posebnih aktivnosti obrade u ime voditelja obrade, iste obveze za zaštitu podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između voditelja obrade i izvršitelja obrade iz stavka 3. nameću se tom drugom izvršitelju obrade ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, a posebno obveza davanja dostatnih jamstava za provedbu odgovarajućih tehničkih i organizacijskih mjera na način da se obradom udovoljava zahtjevima iz ove Uredbe. Ako taj drugi izvršitelj obrade ne ispunjava obveze zaštite podataka, početni izvršitelj obrade ostaje u cijelosti odgovoran voditelju obrade za izvršavanje obveza tog drugog izvršitelja obrade.

5.   Ako izvršitelj obrade nije institucija ili tijelo Unije, njegovo poštovanje odobrenog kodeksa ponašanja iz članka 40. stavka 5. Uredbe (EU) 2016/679 ili odobrenog mehanizma certificiranja iz članka 42. Uredbe (EU) 2016/679 može se upotrijebiti kao element za dokazivanje dostatnih jamstava iz stavaka 1. i 4. ovog članka.

6.   Ne dovodeći u pitanje bilo koji pojedinačni ugovor između voditelja obrade i izvršitelja obrade, ugovor ili drugi pravni akt iz stavaka 3. i 4. ovog članka može se temeljiti, u cijelosti ili djelomično, na standardnim ugovornim klauzulama iz stavaka 7. i 8. ovog članka, među ostalim i onda kada su one dio certifikata dodijeljenog izvršitelju obrade koji nije institucija ili tijelo Unije u skladu s člankom 42. Uredbe (EU) 2016/679.

7.   Komisija može utvrditi standardne ugovorne klauzule za pitanja iz stavka 3. i 4. ovog članka, u skladu s postupkom ispitivanja iz članka 96. stavka 2.

8.   Europski nadzornik za zaštitu podataka može donijeti standardne ugovorne klauzule za pitanja iz stavaka 3. i 4.

9.   Ugovor ili drugi pravni akt iz stavaka 3. i 4. mora biti u pisanom obliku, uključujući elektronički oblik.

10.   Ne dovodeći u pitanje članke 65. i 66., ako izvršitelj obrade krši ovu Uredbu utvrđivanjem svrhe i načina obrade podataka, izvršitelj obrade smatra se voditeljem obrade u pogledu te obrade.

Članak 30.

Obrada pod vodstvom voditelja obrade ili izvršitelja obrade

Izvršitelj obrade i bilo koja osoba koja djeluje pod vodstvom voditelja obrade ili izvršitelja obrade koja ima pristup osobnim podacima, ne obrađuje te podatke ako to ne zatraži voditelj obrade, osim ako to nalaže pravo Unije ili pravo države članice.

Članak 31.

Evidencija aktivnosti obrade

1.   Svaki voditelj obrade vodi evidenciju aktivnosti obrade za koje je odgovoran. Ta evidencija sadržava sve sljedeće informacije:

(a)

ime i podatke za kontakt voditelja obrade, službenika za zaštitu podataka i, ako je primjenjivo, izvršitelja obrade i zajedničkog voditelja obrade;

(b)

svrhe obrade;

(c)

opis kategorija ispitanika i kategorija osobnih podataka;

(d)

kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u državama članicama, trećim zemljama ili međunarodne organizacije;

(e)

ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te dokumentaciju o odgovarajućim zaštitnim mjerama;

(f)

ako je moguće, predviđene rokove za brisanje različitih kategorija podataka;

(g)

ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 33.

2.   Svaki izvršitelj obrade vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju za voditelja obrade, koja sadržava:

(a)

ime i podatke za kontakt jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te službenika za zaštitu podataka;

(b)

kategorije obrade koja se obavljaju u ime svakog voditelja obrade;

(c)

ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te dokumentaciju o odgovarajućim zaštitnim mjerama;

(d)

ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 33.

3.   Evidencija iz stavaka 1. i 2. mora biti u pisanom obliku, uključujući elektronički oblik.

4.   Institucije i tijela Unije na zahtjev stavljaju evidenciju na raspolaganje Europskom nadzorniku za zaštitu podataka.

5.   Osim ako to zbog veličine institucije ili tijela Unije nije primjereno, institucije i tijela Unije vode evidenciju aktivnosti obrade u obliku središnjeg registra. Oni osiguravaju javnu dostupnost registra.

Članak 32.

Suradnja s Europskim nadzornikom za zaštitu podataka

Institucije i tijela Unije na zahtjev surađuju s Europskim nadzornikom za zaštitu podataka u izvršavanju njegovih zadaća.

ODJELJAK 2.

Sigurnost osobnih podataka

Članak 33.

Sigurnost obrade

1.   Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, uključujući prema potrebi:

(a)

pseudonimizaciju i enkripciju osobnih podataka;

(b)

sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade;

(c)

sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;

(d)

proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade.

2.   Prilikom procjene odgovarajuće razine sigurnosti u obzir se posebno uzimaju rizici koje predstavlja obrada, posebno rizici od slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja osobnih podataka ili neovlaštenog pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani.

3.   Voditelj obrade i izvršitelj obrade poduzimaju mjere kako bi osigurali da svaki pojedinac koji djeluje pod odgovornošću voditelja obrade ili izvršitelja obrade, a koji ima pristup osobnim podacima, ne obrađuje te podatke ako to nije prema uputama voditelja obrade, osim ako je to obvezan učiniti prema pravu Unije ili pravu države članice.

4.   Poštovanje odobrenog mehanizma certificiranja sukladno članku 42. Uredbe (EU) 2016/679 može se iskoristiti kao element za dokazivanje sukladnosti sa zahtjevima iz stavka 1. ovog članka.

Članak 34.

Izvješćivanje Europskog nadzornika za zaštitu podataka o povredi osobnih podataka

1.   U slučaju povrede osobnih podataka voditelj obrade bez nepotrebne odgode i, ako je to izvedivo, najkasnije 72 sata nakon saznanja o toj povredi, izvješćuje Europskog nadzornika za zaštitu podataka o toj povredi, osim ako nije vjerojatno da će ta povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje Europskog nadzornika za zaštitu podataka nije učinjeno unutar 72 sata, ono mora biti popraćeno razlozima za kašnjenje.

2.   Nakon što sazna za povredu osobnih podataka, izvršitelj obrade bez nepotrebne odgode o tome izvješćuje voditelja obrade.

3.   U izvješćivanju iz stavka 1. mora se barem:

(a)

opisati priroda povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj dotičnih ispitanika te kategorije i približan broj dotičnih evidencija osobnih podataka;

(b)

navesti ime i podatke za kontakt službenika za zaštitu podataka;

(c)

opisati vjerojatne posljedice povrede osobnih podataka;

(d)

opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući, prema potrebi, mjere ublažavanja njezinih mogućih štetnih posljedica.

4.   Ako i u onoj mjeri u kojoj nije moguće istodobno pružiti informacije, moguće ih je pružati postupno, bez nepotrebne daljnje odgode.

5.   Voditelj obrade obavješćuje službenika za zaštitu podataka o povredi osobnih podataka.

6.   Voditelj obrade dokumentira sve povrede osobnih podataka, uključujući činjenice vezane za povredu osobnih podataka, njezine posljedice i poduzete korektivne mjere. Ta dokumentacija omogućuje Europskom nadzorniku za zaštitu podataka provjeru usklađenosti s ovim člankom.

Članak 35.

Obavješćivanje ispitanika o povredi osobnih podataka

1.   U slučaju povrede osobnih podataka koja će vjerojatno prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade bez nepotrebne odgode obavješćuje ispitanika o povredi osobnih podataka.

2.   Obavijesti ispitaniku iz stavka 1. ovog članka opisuje prirodu povrede osobnih podataka uporabom jasnog i jednostavnog jezika te ono sadržava barem informacije i mjere iz članka 34. stavka 3. točaka (b), (c) i (d).

3.   Obavješćivanje ispitanika iz stavka 1. nije obvezno ako je ispunjen bilo koji od sljedećih uvjeta:

(a)

voditelj obrade poduzeo je odgovarajuće tehničke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom osobnih podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija;

(b)

voditelj obrade poduzeo je naknadne mjere kojima se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika iz stavka 1.;

(c)

time bi se zahtijevao nerazmjeran napor. U takvom slučaju mora postojati javno obavješćivanje ili slična mjera kojom se ispitanici obavješćuju na jednako djelotvoran način.

4.   Ako voditelj obrade nije do tog trenutka obavijestio ispitanika o povredi osobnih podataka, Europski nadzornik za zaštitu podataka nakon razmatranja vjerojatnosti da će povreda osobnih podataka prouzročiti visok rizik može od njega zahtijevati da to učini ili može zaključiti da je ispunjen neki od uvjeta iz stavka 3.

ODJELJAK 3.

Povjerljivost elektroničkih komunikacija

Članak 36.

Povjerljivost elektroničkih komunikacija

Institucije i tijela Unije jamče povjerljivost elektroničkih komunikacija, posebno osiguravanjem svojih elektroničkih komunikacijskih mreža.

Članak 37.

Zaštita informacija koje se prenose u terminalnu opremu korisnika, koje se u njoj pohranjuju, iz nje prikupljaju, s pomoću nje obrađuju ili su na neki drugi način s njom povezane

Institucije i tijela Unije štite informacije koje se prenose u terminalnu opremu korisnika, koje se u njoj pohranjuju, iz nje prikupljaju, s pomoću nje obrađuju ili su na neki drugi način s njom povezane, pri čemu se tom opremom pristupa njihovim javno dostupnim internetskim stranicama i mobilnim aplikacijama, u skladu s člankom 5. stavkom 3. Direktive 2002/58/EZ.

Članak 38.

Imenici korisnika

1.   Osobni podaci sadržani u imenicima korisnika te pristup takvim imenicima ograničeni su na ono što je neophodno za točno određene namjene imenika.

2.   Institucije i tijela Unije poduzimaju sve potrebne mjere kako bi spriječili da se osobni podaci sadržani u tim imenicima, bez obzira na to jesu li dostupni javnosti ili nisu, upotrebljavaju u svrhu izravnog marketinga.

ODJELJAK 4.

Procjena učinka na zaštitu podataka i prethodno savjetovanJE

Članak 39.

Procjena učinka na zaštitu podataka

1.   Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka. Jedna procjena može se odnositi na niz sličnih postupaka obrade koji predstavljaju slične visoke rizike.

2.   Pri provođenju procjene učinka na zaštitu podataka voditelj obrade traži savjet od službenika za zaštitu podataka.

3.   Procjena učinka na zaštitu podataka iz stavka 1. obvezna je posebno u slučaju:

(a)

sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca;

(b)

opsežne obrade posebnih kategorija osobnih podataka iz članka 10. ili osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 11.; ili

(c)

opsežnog sustavnog praćenja javno dostupnog područja.

4.   Europski nadzornik za zaštitu podataka sastavlja i javno objavljuje popis vrsta postupaka obrade koje podliježu zahtjevu za procjenu učinka na zaštitu podataka u skladu sa stavkom 1.

5.   Europski nadzornik za zaštitu podataka može isto tako sastaviti i objaviti popis vrsta postupaka obrade za koje nije potrebna procjena učinka na zaštitu podataka.

6.   Prije usvajanja popisâ iz stavaka 4. i 5. ovog članka, Europski nadzornik za zaštitu podataka Europskom odboru za zaštitu podataka uspostavljenom člankom 68 Uredbe (EU) 2016/679 upućuje zahtjev da te popise ispita u skladu s člankom 70. stavkom 1. točkom (e) te uredbe ako se odnose na postupke obrade koje voditelj obrade provodi zajednički s jednim ili više voditelja obrade koji nisu institucije i tijela Unije.

7.   Procjena sadržava barem:

(a)

sustavan opis predviđenih postupaka obrade i svrha obrade;

(b)

procjenu nužnosti i razmjernosti postupaka obrade povezanih s njihovim svrhama;

(c)

procjenu rizika za prava i slobode ispitanikâ iz stavka 1.; i

(d)

mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje usklađenosti s ovom Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.

8.   Pri procjeni učinka postupaka obrade koje provode izvršitelji obrade koji nisu institucije i tijela Unije uzima se u obzir poštuju li takvi izvršitelji obrade odobrene kodekse ponašanja iz članka 40. Uredbe (EU) 2016/679, posebno u svrhe procjene učinka na zaštitu podataka.

9.   Prema potrebi voditelj obrade od ispitanika ili njihovih predstavnika traži mišljenje o planiranoj obradi ne dovodeći u pitanje zaštitu javnih interesa ili sigurnost postupaka obrade.

10.   Ako obrada u skladu s člankom 5. stavkom 1. točkom (a) ili (b) ima pravnu osnovu u pravnom aktu koji je donesen na temelju Ugovora i kojim se uređuju posebni postupci obrade ili skupina predmetnih postupaka te je procjena učinka na zaštitu podataka već provedena kao dio opće procjene učinka prije donošenja pravnog akta, stavci od 1. do 6. ovog članka ne primjenjuju se, osim ako je tim pravnim aktom predviđeno drukčije.

11.   Prema potrebi voditelj obrade provodi preispitivanje kako bi procijenio je li obrada provedena u skladu s procjenom učinka na zaštitu podataka barem onda kada postoji promjena u razini rizika koji predstavljaju postupci obrade.

Članak 40.

Prethodno savjetovanje

1.   Ako se u procjeni učinka na zaštitu podataka iz članka 39. pokaže da bi obrada u nedostatku zaštitnih mjera, sigurnosnih mjera i mehanizama za umanjivanje rizika dovela do visokog rizika za prava i slobode pojedinaca, a voditelj obrade smatra da se taj rizik ne može umanjiti razumnim mjerama u pogledu dostupne tehnologije i troškova provedbe, voditelj obrade mora se prije obrade savjetovati s Europskim nadzornikom za zaštitu podataka. Voditelj obrade traži savjet službenika za zaštitu podataka o potrebi za prethodnim savjetovanjem.

2.   Ako Europski nadzornik za zaštitu podataka smatra da bi se planiranom obradom iz stavka 1. kršila ova Uredba, osobito ako voditelj obrade nije u dovoljnoj mjeri utvrdio ili umanjio rizik, Europski nadzornik za zaštitu podataka u roku od najviše osam tjedana od zaprimanja zahtjeva za savjetovanje pisanim putem savjetuje voditelja obrade i, prema potrebi, izvršitelja obrade te može iskoristiti bilo koju od svojih ovlasti iz članka 58. Taj se rok može produžiti za šest tjedana uzimajući u obzir složenost planirane obrade. Europski nadzornik za zaštitu podataka u roku od mjesec dana od zaprimanja zahtjeva obavješćuje voditelja obrade i, prema potrebi, izvršitelja obrade o svakom takvom produljenju i o razlozima odgode. Ti se rokovi mogu obustaviti sve dok Europski nadzornik za zaštitu podataka ne dobije informacije koje je zatražio u svrhe savjetovanja.

3.   Prilikom savjetovanja s Europskim nadzornikom za zaštitu podataka u skladu sa stavkom 1., voditelj obrade mu dostavlja:

(a)

ako je primjenjivo, odgovarajuće odgovornosti voditelja obrade, zajedničkih voditelja obrade i izvršitelja obrade uključenih u obradu;

(b)

svrhe i sredstva planirane obrade;

(c)

zaštitne mjere i druge mjere za zaštitu prava i sloboda ispitanika na temelju ove Uredbe;

(d)

podatke za kontakt službenika za zaštitu podataka;

(e)

procjenu učinka na zaštitu podataka kako je predviđena člankom 39.; i

(f)

sve druge informacije koje zatraži Europski nadzornik za zaštitu podataka.

4.   Komisija može provedbenim aktom utvrditi popis slučajeva u kojima se voditelji obrade moraju savjetovati s Europskim nadzornikom za zaštitu podataka i od njega dobiti odobrenje u pogledu obrade osobnih podataka u svrhu izvršavanja zadaće koju voditelj obrade obavlja u javnom interesu, uključujući obradu takvih podataka povezanu sa socijalnom zaštitom i javnim zdravljem.

ODJELJAK 5.

Obavješćivanje i zakonodavno savjetovanje

Članak 41.

Obavješćivanje i savjetovanje

1.   Institucije i tijela Unije obavješćuju Europskog nadzornika za zaštitu podataka kad pripremaju administrativne mjere i interna pravila koja se odnose na obradu osobnih podataka koju institucija ili tijelo Unije provodi samostalno ili zajedno s ostalima.

2.   Institucije i tijela Unije savjetuju se s Europskim nadzornikom za zaštitu podataka prilikom sastavljanja internih pravila iz članka 25.

Članak 42.

Zakonodavno savjetovanje

1.   Nakon donošenja prijedloga zakonodavnog akta, preporuka ili prijedloga Vijeću u skladu s člankom 218. UFEU-a ili pri pripremanju delegiranih akata ili provedbenih akata kada oni utječu na zaštitu prava i sloboda fizičkih osoba u pogledu obrade osobnih podataka Komisija se savjetuje s Europskim nadzornikom za zaštitu podataka.

2.   Ako je akt iz stavka 1. posebno važan za zaštitu prava i sloboda pojedinaca u pogledu obrade osobnih podataka, Komisija se može savjetovati i s Europskim odborom za zaštitu podataka. U tim slučajevima Europski nadzornik za zaštitu podataka i Europski odbor za zaštitu podataka koordiniraju svoj rad s ciljem donošenja zajedničkog mišljenja.

3.   Savjet iz stavaka 1. i 2. daje se u pisanom obliku u roku od najviše osam tjedana od zaprimanja zahtjeva za savjetovanje iz stavaka 1. i 2. U hitnim slučajevima ili ako je to inače potrebno Komisija može skratiti taj rok.

4.   Ovaj se članak ne primjenjuje kad se Komisija u skladu s Uredbom (EU) 2016/679 mora savjetovati s Europskim odborom za zaštitu podataka.

ODJELJAK 6.

Službenik za zaštitu podataka

Članak 43.

Imenovanje službenika za zaštitu podataka

1.   Svaka institucija ili tijelo Unije imenuje službenika za zaštitu podataka.

2.   Nekoliko institucija i tijela Unije može zajednički imenovati jednog službenika za zaštitu podataka, uzimajući u obzir svoju organizacijsku strukturu i veličinu.

3.   Službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija, a posebno stručnog znanja o pravu i praksama u području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 45.

4.   Službenik za zaštitu podataka je član osoblja institucije ili tijela Unije. Uzimajući u obzir njihovu veličinu i ako opcija iz stavka 2. nije iskorištena, institucije i tijela Unije mogu imenovati službenika za zaštitu podataka koji ispunjava svoje zadaće na temelju ugovora o djelu.

5.   Institucije i tijela Unije objavljuju podatke za kontakt službenika za zaštitu podataka i priopćuju ih Europskom nadzorniku za zaštitu podataka.

Članak 44.

Radno mjesto službenika za zaštitu podataka

1.   Institucije i tijela Unije osiguravaju da je službenik za zaštitu podataka na primjeren način i pravodobno uključen u sva pitanja u pogledu zaštite osobnih podataka.

2.   Institucije i tijela Unije podupiru službenika za zaštitu podataka u izvršavanju zadaća iz članka 45. pružajući mu potrebna sredstva za izvršavanje tih zadaća i pristup osobnim podacima i postupcima obrade te za održavanje njegova stručnog znanja.

3.   Institucije i tijela Unije osiguravaju da službenik za zaštitu podataka ne prima nikakve upute u pogledu izvršenja tih zadaća. Voditelj obrade ili izvršitelj obrade ne smiju ga razriješiti dužnosti ili kazniti zbog izvršavanja njegovih zadaća. Službenik za zaštitu podataka izravno odgovara najvišoj rukovodećoj razini voditelja obrade ili izvršitelja obrade.

4.   Ispitanici se mogu obratiti službeniku za zaštitu podataka u pogledu svih pitanja povezanih s obradom svojih osobnih podataka i ostvarivanja svojih prava iz ove Uredbe.

5.   Službenik za zaštitu podataka i njegovo osoblje obvezani su tajnošću ili povjerljivošću u vezi s obavljanjem svojih zadaća, u skladu s pravom Unije.

6.   Službenik za zaštitu podataka može ispunjavati i druge zadaće i dužnosti. Voditelj obrade ili izvršitelj obrade osigurava da takve zadaće i dužnosti ne dovedu do sukoba interesa.

7.   Voditelj obrade i izvršitelj obrade, predmetni odbor za osoblje i bilo koji pojedinac o svakom se pitanju koje se odnosi na tumačenje ili primjenu ove Uredbe mogu savjetovati sa službenikom za zaštitu podataka, a da se pritom ne moraju koristiti službenim kanalima. Nitko ne smije pretrpjeti štetu zbog predmeta na koji je skrenuta pozornost nadležnom službeniku za zaštitu podataka u kojem je navodno došlo do kršenja odredaba ove Uredbe.

8.   Službenik za zaštitu podataka imenuje se na razdoblje od tri do pet godina te ima pravo biti ponovno imenovan. Službenika za zaštitu podataka dužnosti može razriješiti institucija ili tijelo Unije koje ga je imenovalo, ako službenik za zaštitu podataka više ne ispunjava uvjete potrebne za obavljanje svojih dužnosti i samo uz suglasnost Europskog nadzornika za zaštitu podataka.

9.   Službenika za zaštitu podataka nakon njegova imenovanja institucija ili tijelo koje ga je imenovalo registrira pri Europskom nadzorniku za zaštitu podataka.

Članak 45.

Zadaće službenika za zaštitu podataka

1.   Službenik za zaštitu podataka obavlja sljedeće zadaće:

(a)

informira i savjetuje voditelja obrade ili izvršitelja obrade te zaposlenike koji obavljaju obradu o njihovim obvezama iz ove Uredbe te drugim odredbama Unije o zaštiti podataka;

(b)

na neovisan način osigurava internu primjenu ove Uredbe; prati usklađenost s ovom Uredbom, s drugim primjenjivim pravom Unije koje sadržava odredbe o zaštiti podataka te s politikama voditelja obrade ili izvršitelja obrade u vezi sa zaštitom osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije;

(c)

osigurava da ispitanici budu obaviješteni o svojim pravima i obvezama u skladu s ovom Uredbom;

(d)

kad se to od njega zatraži, daje savjete o potrebi izvješćivanja o povredi osobnih podataka ili obavješćivanja o povredi osobnih podataka u skladu s člancima 34. i 35.;

(e)

kad se to od njega zatraži, daje savjete o procjeni učinka na zaštitu podataka te prati njezino izvršavanje u skladu s člankom 39. te se savjetuje s Europskim nadzornikom za zaštitu podataka u slučaju dvojbe o potrebi procjene učinka na zaštitu podataka;

(f)

kad se to od njega zatraži, daje savjete o potrebi prethodnog savjetovanja s Europskim nadzornikom za zaštitu podataka u skladu s člankom 40.; savjetuje se s Europskim nadzornikom za zaštitu podataka u slučaju dvojbe o potrebi prethodnog savjetovanja;

(g)

odgovara na zahtjeve Europskog nadzornika za zaštitu podataka; u okviru svoje nadležnosti surađuje i savjetuje se s Europskim nadzornikom za zaštitu podataka na njegov zahtjev ili na vlastitu inicijativu;

(h)

osigurava da postupci obrade ne utječu negativno na prava i slobode ispitanika.

2.   Službenik za zaštitu podataka može voditelju obrade i izvršitelju obrade dati preporuke za praktično poboljšanje zaštite podataka te ih savjetovati o pitanjima u vezi s primjenom odredaba o zaštiti podataka. Nadalje, službenik za zaštitu podataka može na vlastitu inicijativu ili na zahtjev voditelja obrade ili izvršitelja obrade, predmetnog odbora za osoblje ili bilo koje fizičke osobe istražiti pitanja i događaje koji su izravno povezani s njegovim zadaćama, a koje je zapazio te povratno o tome povratno izvijestiti osobu koja je zatražila istragu ili voditelja obrade ili izvršitelja obrade.

3.   Dodatna provedbena pravila koja se odnose na službenika za zaštitu podataka donosi svaka institucija ili tijelo Unije. Provedbena pravila posebno se odnose na zadaće, dužnosti i ovlasti službenika za zaštitu podataka.

POGLAVLJE V.

PRIJENOSI OSOBNIH PODATAKA TREĆIM ZEMLJAMA ILI MEĐUNARODNIM ORGANIZACIJAMA

Članak 46.

Opća načela prijenosa

Svaki prijenos osobnih podataka koji se obrađuju ili su namijenjeni za obradu nakon prijenosa u treću zemlju ili međunarodnu organizaciju odvija se jedino ako u skladu s drugim odredbama ove Uredbe voditelj obrade i izvršitelj obrade djeluju u skladu s uvjetima iz ovog poglavlja koji vrijede i za daljnje prijenose osobnih podataka iz treće zemlje ili međunarodne organizacije u još jednu treću zemlju ili međunarodnu organizaciju. Sve se odredbe iz ovog poglavlja primjenjuju kako bi se osiguralo da se ne ugrozi razina zaštite pojedinaca zajamčena ovom Uredbom.

Članak 47.

Prijenosi na temelju odluke o primjerenosti

1.   Prijenos osobnih podataka trećoj zemlji ili međunarodnoj organizaciji može se izvršiti kad Komisija u skladu s člankom 45. stavkom 3. Uredbe (EU) 2016/679 ili člankom 36. stavkom 3. Direktive (EU) 2016/680 odluči da predmetna treća zemlja, područje ili jedan ili više određenih sektora unutar te treće zemlje ili međunarodna organizacija osigurava primjerenu razinu zaštite te kada se osobni podaci prenose isključivo kako bi voditelj obrade mogao izvršiti zadaće za koje je nadležan.

2.   Institucije i tijela Unije obavješćuju Komisiju i Europskog nadzornika za zaštitu podataka o slučajevima za koje smatraju da predmetna treća zemlja, područje ili jedan ili više određenih sektora unutar te treće zemlje ili međunarodna organizacija ne osigurava primjerenu razinu zaštite u smislu stavka 1.

3.   Institucije i tijela Unije poduzimaju potrebne mjere za poštovanje odluka Komisije kad Komisija u skladu s člankom 45. stavkom 3. ili 5. Uredbe (EU) 2016/679 ili s člankom 36. stavkom 3. ili 5. Direktive (EU) 2016/680 utvrdi da treća zemlja, područje ili jedan ili više određenih sektora unutar te treće zemlje ili međunarodna organizacija osigurava primjerenu razinu zaštite ili da je više ne osigurava.

Članak 48.

Prijenosi koji podliježu odgovarajućim zaštitnim mjerama

1.   Ako nije donesena odluka na temelju članka 45. stavka 3. Uredbe (EU) 2016/679 ili članka 36. stavka 3. Direktive (EU) 2016/680, voditelj obrade ili izvršitelj obrade može prenijeti osobne podatke trećoj zemlji ili međunarodnoj organizaciji samo ako je predvidio odgovarajuće zaštitne mjere i pod uvjetom da su ispitanicima na raspolaganju provediva prava i učinkoviti pravni lijekovi.

2.   Odgovarajuće zaštitne mjere iz stavka 1. mogu, bez potrebe za ikakvim posebnim odobrenjem Europskog nadzornika za zaštitu podataka, pružati:

(a)

pravno obvezujući i provedivi instrument između tijela javne vlasti ili javnih tijela;

(b)

standardne klauzule o zaštiti podataka koje donosi Komisija u skladu s postupkom ispitivanja iz članka 96. stavka 2.;

(c)

standardne klauzule o zaštiti podataka koje donosi Europski nadzornik za zaštitu podataka i koje Komisija odobrava u skladu s postupkom ispitivanja iz članka 96. stavka 2.;

(d)

ako izvršitelj obrade nije institucija ili tijelo Unije, obvezujuća korporativna pravila, kodekse ponašanja i mehanizme certificiranja u skladu s člankom 46. stavkom 2. točkama (b), (e) i (f) Uredbe (EU) 2016/679.

3.   Pod uvjetom da to odobri Europski nadzornik za zaštitu podataka, odgovarajuće zaštitne mjere iz stavka 1. konkretno mogu pružiti i:

(a)

ugovorne klauzule između voditelja obrade ili izvršitelja obrade i voditelja obrade, izvršitelja obrade ili primatelja osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji; ili

(b)

odredbe koje treba unijeti u administrativne dogovore između tijela javne vlasti ili javnih tijela i koja sadrže provediva i djelotvorna prava ispitanika.

4.   Odobrenja koja izda Europski nadzornik za zaštitu podataka na temelju članka 9. stavka 7. Uredbe (EZ) br. 45/2001 ostaju valjana dok ih Europski nadzornik za zaštitu podataka prema potrebi ne izmijeni, zamijeni ili stavi izvan snage.

5.   Institucije i tijela Unije obavješćuju Europskog nadzornika za zaštitu podataka o kategorijama slučajeva u kojima je primijenjen ovaj članak.

Članak 49.

Prijenos ili otkrivanje podataka koji nisu dopušteni u pravu Unije

Sve presude suda ili sve odluke upravnog tijela treće zemlje kojima se od voditelja obrade ili izvršitelja obrade zahtijeva prijenos ili otkrivanje osobnih podataka mogu biti priznate ili izvršive na bilo koji način samo ako se temelje na nekom međunarodnom sporazumu, poput ugovora o uzajamnoj pravnoj pomoći, koji je na snazi između treće zemlje koja je podnijela zahtjev i Unije, ne dovodeći u pitanje druge razloge za prijenos u skladu s ovim poglavljem.

Članak 50.

Odstupanja za posebne situacije

1.   Ako ne postoji odluka o primjerenosti u skladu s člankom 45. stavkom 3. Uredbe (EU) 2016/679 ili člankom 36. stavkom 3. Direktive (EU) 2016/680 ili odgovarajuće zaštitne mjere u skladu s člankom 48. ove Uredbe, prijenos ili skup prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju ostvaruje se samo pod jednim od sljedećih uvjeta:

(a)

ispitanik je izričito pristao na predloženi prijenos nakon što je bio obaviješten o mogućim rizicima takvih prijenosa za ispitanika zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera;

(b)

prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih mjera na zahtjev ispitanika;

(c)

prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja obrade i druge fizičke ili pravne osobe;

(d)

prijenos je nužan iz važnih razloga od javnog interesa;

(e)

prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva;

(f)

prijenos je nužan za zaštitu životno važnih interesa ispitanika ili drugih osoba ako ispitanik fizički ili pravno ne može dati privolu; ili

(g)

prijenos se obavlja iz registra koji prema pravu Unije služi pružanju informacija javnosti i koji je otvoren na uvid javnosti ili bilo kojoj osobi koja može dokazati neki legitimni interes, ali samo u mjeri u kojoj su u tom posebnom slučaju ispunjeni uvjeti koji su u pogledu uvida propisani pravom Unije.

2.   Stavak 1. točke (a), (b) i (c) ne primjenjuju se na aktivnosti koje provode institucije i tijela Unije u izvršavanju svojih javnih ovlasti.

3.   Javni interes iz stavka 1. točke (d) mora biti priznat u pravu Unije.

4.   Prijenos na temelju stavka 1. točke (g) ne uključuje cjelokupne osobne podatke u cjelini ni cijele kategorije osobnih podataka sadržanih u registru, osim ako je to dopušteno pravom Unije. Kada je registar namijenjen uvidu osoba koje imaju legitimni interes, prijenos se obavlja samo na zahtjev tih osoba ili ako su one primatelji.

5.   Ako ne postoji odluka o primjerenosti, pravo Unije može iz važnih razloga javnog interesa izričito odrediti ograničenja prijenosa određenih kategorija osobnih podataka trećoj zemlji ili međunarodnoj organizaciji.

6.   Institucije i tijela Unije obavješćuju Europskog nadzornika za zaštitu podataka o kategorijama slučajeva u kojima je primijenjen ovaj članak.

Članak 51.

Međunarodna suradnja s ciljem zaštite osobnih podataka

Europski nadzornik za zaštitu podataka, u suradnji s Komisijom i Europskim odborom za zaštitu podataka, poduzima odgovarajuće mjere u pogledu trećih zemalja i međunarodnih organizacija s ciljem:

(a)

razvoja mehanizama međunarodne suradnje za olakšavanje djelotvornog izvršavanja zakonodavstva o zaštiti osobnih podataka;

(b)

osiguranja međunarodne uzajamne pomoći u izvršavanju zakonodavstva o zaštiti osobnih podataka, uključujući obavješćivanjem, upućivanjem pritužbi, pružanjem pomoći u istragama i razmjenom informacija, u skladu s odgovarajućim zaštitnim mjerama za zaštitu osobnih podataka i drugim temeljnim pravima i slobodama;

(c)

uključivanja relevantnih dionika u raspravu i aktivnosti čiji je cilj produbiti međunarodnu suradnju u izvršavanju zakonodavstva o zaštiti osobnih podataka;

(d)

promicanja razmjene i dokumentiranja zakonodavstva i prakse u vezi sa zaštitom osobnih podataka, među ostalim u vezi sa sukobima nadležnosti s trećim zemljama.

POGLAVLJE VI.

EUROPSKI NADZORNIK ZA ZAŠTITU PODATAKA

Članak 52.

Europski nadzornik za zaštitu podataka

1.   Uspostavlja se Europski nadzornik za zaštitu podataka.

2.   U vezi s obradom osobnih podataka Europski nadzornik za zaštitu podataka dužan je osigurati da institucije i tijela Unije poštuju temeljna prava i slobode fizičkih osoba, a posebno njihovo pravo na zaštitu podataka.

3.   Europski nadzornik za zaštitu podataka odgovoran je za praćenje i osiguravanje primjene odredaba ove Uredbe i svih ostalih akata Unije koji se odnose na zaštitu temeljnih prava i sloboda fizičkih osoba u vezi s obradom osobnih podataka u instituciji ili tijelu Unije, kao i za savjetovanje institucija i tijela Unije te ispitanika o svim pitanjima u vezi s obradom osobnih podataka. U tu svrhu Europski nadzornik za zaštitu podataka obavlja zadaće predviđene člankom 57. te izvršava ovlasti koje su mu dodijeljene člankom 58.

4.   Na dokumente koje posjeduje Europski nadzornik za zaštitu podataka primjenjuje se Uredba (EZ) br. 1049/2001. Europski nadzornik za zaštitu podataka donosi detaljna pravila za primjenu Uredbe (EZ) br. 1049/2001 u vezi s tim dokumentima.

Članak 53.

Imenovanje Europskog nadzornika za zaštitu podataka

1.   Europski parlament i Vijeće sporazumno imenuju Europskog nadzornika za zaštitu podataka na mandat od pet godina na temelju popisa koji je Komisija sastavila nakon javnog natječaja za kandidate. Natječaj za kandidate omogućuje svim zainteresiranim stranama u cijeloj Uniji da podnesu svoje prijave. Popis kandidata koji je sastavila Komisija javan je i na njega su uvrštena najmanje tri kandidata. Na temelju popisa koji je sastavila Komisija nadležni odbor Europskog parlamenta može odlučiti da će održati raspravu kako bi mogao izraziti svoje mišljenje o tome kojem kandidatu daje prednost.

2.   Na popisu kandidata iz stavka 1. nalaze se osobe čija je neovisnost neupitna i koje su priznate kao osobe sa stručnim znanjem u području zaštite podataka te iskustvom i vještinama potrebnima za obavljanje dužnosti Europskog nadzornika za zaštitu podataka.

3.   Mandat Europskog nadzornika za zaštitu podataka može se jedanput obnoviti.

4.   Dužnosti Europskog nadzornika za zaštitu podataka prestaju u sljedećim okolnostima:

(a)

ako se Europski nadzornik za zaštitu podataka zamijeni;

(b)

ako Europski nadzornik za zaštitu podataka podnese ostavku;

(c)

ako se Europski nadzornik za zaštitu podataka razriješi dužnosti ili mora otići u mirovinu po sili zakona.

5.   Na zahtjev Europskog parlamenta, Vijeća ili Komisije, Sud može Europskog nadzornika za zaštitu podataka razriješiti dužnosti ili mu oduzeti pravo na mirovinu ili na druge zamjenske pogodnosti ako više ne ispunjava uvjete neophodne za obavljanje svojih dužnosti ili ako je kriv za ozbiljne propuste.

6.   U slučaju uobičajene zamjene ili dobrovoljnog odstupanja s dužnosti Europski nadzornik za zaštitu podataka ostaje na položaju dok mu se ne pronađe zamjena.

7.   Članci od 11. do 14. i članak 17. Protokola o povlasticama i imunitetima Europske unije primjenjuju se i na Europskog nadzornika za zaštitu podataka.

Članak 54.

Propisi i opći uvjeti kojima se uređuje obavljanje dužnosti Europskog nadzornika za zaštitu podataka, njegovo osoblje i financijska sredstva

1.   Europski nadzornik za zaštitu podataka je u pogledu određivanja primitka od rada, dodataka, starosne mirovine te svih drugih naknada na osnovi rada izjednačen sa sucem Suda.

2.   Tijelo nadležno za proračun dužno je osigurati da Europski nadzornik za zaštitu podataka dobije osoblje i financijska sredstva potrebna za obavljanje svojih zadataka.

3.   Proračun Europskog nadzornika za zaštitu podataka prikazuje se kao posebna proračunska stavka u odjeljku općeg proračuna Unije povezanom s administrativnim rashodima.

4.   Europskom nadzorniku za zaštitu podataka pomaže tajništvo. Dužnosnike i ostale članove osoblja tajništva imenuje Europski nadzornik za zaštitu podataka i on je njihov nadređeni. Oni rade isključivo prema njegovim uputama. Njihov se broj određuje svake godine kao dio postupka izrade proračuna. Članak 75. stavak 2. Uredbe (EU) 2016/679 primjenjuje se na osoblje Europskog nadzornika za zaštitu podataka uključeno u obavljanje zadaća povjerenih Europskom odboru za zaštitu podataka na temelju prava Unije.

5.   Dužnosnici i ostali članovi osoblja tajništva Europskog nadzornika za zaštitu podataka podliježu pravilima i propisima koji se primjenjuju na dužnosnike i ostale službenike Unije.

6.   Sjedište Europskog nadzornika za zaštitu podataka nalazi se u Bruxellesu.

Članak 55.

Neovisnost

1.   Europski nadzornik za zaštitu podataka djeluje potpuno neovisno pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti u skladu s ovom Uredbom.

2.   Pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti u skladu s ovom Uredbom, Europski nadzornik za zaštitu podataka mora biti slobodan od izravnog ili neizravnog vanjskog utjecaja te ni od koga ne smije tražiti ni primati upute.

3.   Europski nadzornik za zaštitu podataka suzdržava se od svih radnji koje nisu u skladu s njegovim dužnostima te se tijekom svojeg mandata ne smije baviti ni jednim drugim zanimanjem, ni plaćenim ni neplaćenim.

4.   Nakon isteka mandata Europski nadzornik za zaštitu podataka dužan je ponašati se časno i suzdržano u pogledu prihvaćanja imenovanja i povlastica.

Članak 56.

Profesionalna tajna

Europski nadzornik za zaštitu podataka i njegovo osoblje za vrijeme i nakon završetka mandata podliježu obvezi čuvanja profesionalne tajne s obzirom na sve povjerljive informacije koje doznaju tijekom obavljanja svojih službenih dužnosti.

Članak 57.

Zadaće

1.   Ne dovodeći u pitanje ostale zadaće utvrđene ovom Uredbom, Europski nadzornik za zaštitu podataka obavlja sljedeće:

(a)

prati i osigurava primjenu ove Uredbe koju provode institucije i tijela Unije, osim pri obradi osobnih podataka koju provodi Sud kad djeluje u okviru svoje sudbene nadležnosti;

(b)

promiče javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom te njihovo razumijevanje. Aktivnosti koje su posebno namijenjene djeci moraju dobiti posebnu pozornost;

(c)

promiče osviještenost voditeljâ obrade i izvršiteljâ obrade o njihovim obvezama iz ove Uredbe;

(d)

na zahtjev pruža informacije bilo kojem ispitaniku u vezi s ostvarivanjem njegovih prava iz ove Uredbe i, prema potrebi, u tu svrhu surađuje s nacionalnim nadzornim tijelima;

(e)

rješava pritužbe koje podnese ispitanik ili tijelo, organizacija ili udruženje u skladu s člankom 67. i istražuje u odgovarajućoj mjeri predmet pritužbe te podnositelja pritužbe i u razumnom roku izvješćuje o napretku i ishodu istrage, posebno ako je potrebna daljnja istraga ili koordinacija s drugim nadzornim tijelom;

(f)

provodi istrage o primjeni ove Uredbe, među ostalim na temelju informacija primljenih od drugog nadzornog tijela ili drugog tijela javne vlasti;

(g)

na vlastitu inicijativu ili na zahtjev savjetuje sve institucije i tijela Unije o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca u pogledu obrade osobnih podataka;

(h)

prati odgovarajuće razvojne trendove u onoj mjeri u kojoj oni utječu na zaštitu osobnih podataka, posebno razvoj informacijskih i komunikacijskih tehnologija;

(i)

donosi standardne ugovorne klauzule iz članka 29. stavka 8. i članka 48. stavka 2. točke (c);

(j)

utvrđuje i vodi popis u vezi sa zahtjevom za procjenu učinka na zaštitu podataka u skladu s člankom 39. stavkom 4.;

(k)

sudjeluje u aktivnostima Europskog odbora za zaštitu podataka;

(l)

osigurava tajništvo za Europski odbor za zaštitu podataka u skladu s člankom 75. Uredbe (EU) 2016/679;

(m)

daje savjete o obradi iz članka 40. stavka 2.;

(n)

odobrava ugovorne klauzule i odredbe iz članka 48. stavka 3.;

(o)

vodi internu evidenciju o kršenjima ove Uredbe i mjerama poduzetima u skladu s člankom 58. stavkom 2.;

(p)

ispunjava sve ostale zadaće povezane sa zaštitom osobnih podataka; i

(q)

sastavlja svoj Poslovnik.

2.   Europski nadzornik za zaštitu podataka olakšava podnošenje pritužbi iz stavka 1. točke (e) mjerama poput obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući ostala sredstva komunikacije.

3.   Izvršavanje zadaća Europskog nadzornika za zaštitu podataka besplatno je za ispitanika.

4.   Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog učestalog ponavljanja, Europski nadzornik za zaštitu podataka može odbiti postupiti po zahtjevu. Teret dokazivanja očigledne neutemeljenosti ili pretjeranosti zahtjeva snosi Europski nadzornik za zaštitu podataka.

Članak 58.

Ovlasti

1.   Europski nadzornik za zaštitu podataka ima sljedeće istražne ovlasti:

(a)

narediti voditelju obrade i izvršitelju obrade da mu pruže sve informacije koje su mu potrebne za obavljanje svojih zadaća;

(b)

provoditi istrage u obliku revizija zaštite podataka;

(c)

obavijestiti voditelja obrade ili izvršitelja obrade o navodnom kršenju ove Uredbe;

(d)

ishoditi od voditelja obrade i izvršitelja obrade pristup svim osobnim podacima i svim informacijama potrebnim za obavljanje svojih zadaća;

(e)

ishoditi pristup svim prostorijama voditelja obrade i izvršitelja obrade, uključujući svu opremu i sredstva za obradu podataka, u skladu s pravom Unije.

2.   Europski nadzornik za zaštitu podataka ima sljedeće korektivne ovlasti:

(a)

izdavati upozorenja voditelju obrade ili izvršitelju obrade da bi planirani postupci obrade mogli prouzročiti kršenje odredaba ove Uredbe;

(b)

izdavati službene opomene voditelju obrade ili izvršitelju obrade ako se postupcima obrade krše odredbe ove Uredbe;

(c)

uputiti predmete odgovarajućem voditelju ili izvršitelju obrade i, ako je potrebno, Europskom parlamentu, Vijeću i Komisiji;

(d)

narediti voditelju obrade ili izvršitelju obrade da poštuje zahtjeve ispitanika za ostvarivanje njegovih prava u skladu s ovom Uredbom;

(e)

narediti voditelju obrade ili izvršitelju obrade da postupke obrade uskladi s odredbama ove Uredbe, prema potrebi na točno određeni način i u točno zadanom roku;

(f)

narediti voditelju obrade da ispitanika obavijesti o povredi osobnih podataka;

(g)

privremeno ili konačno ograničiti, čak i zabraniti obradu;

(h)

narediti ispravljanje ili brisanje osobnih podataka ili ograničavanje obrade u skladu s člancima 18., 19. i 20. te obavijestiti o takvim radnjama primatelje kojima su osobni podaci otkriveni u skladu s člankom 19. stavkom 2. i člankom 21.;

(i)

izreći upravnu novčanu kaznu u skladu s člankom 66. u slučaju da institucija ili tijelo Unije ne poštuje jednu od mjera iz točaka od (d) do (h) i točke (j) ovog stavka, ovisno o okolnostima svakog pojedinog slučaja;

(j)

narediti suspenziju protoka podataka primatelju u državi članici, trećoj zemlji ili međunarodnoj organizaciji.

3.   Europski nadzornik za zaštitu podataka ima sljedeće ovlasti za davanje odobrenja i savjetodavne ovlasti:

(a)

davati savjete ispitanicima pri ostvarivanju njihovih prava;

(b)

savjetovati voditelja obrade u skladu s postupkom prethodnog savjetovanja iz članka 40., a u skladu s člankom 41. stavkom 2.;

(c)

na vlastitu inicijativu ili na zahtjev izdati institucijama i tijelima Unije te javnosti mišljenje o bilo kojem pitanju povezanom sa zaštitom osobnih podataka;

(d)

donijeti standardne klauzule o zaštiti podataka iz članka 29. stavka 8. i članka 48. stavka 2. točke (c);

(e)

odobriti ugovorne klauzule iz članka 48. stavka 3. točke (a);

(f)

odobriti administrativne dogovore iz članka 48. stavka 3. točke (b);

(g)

odobriti postupke obrade u skladu s provedbenim aktima donesenim na temelju članka 40. stavka 4.

4.   Europski nadzornik za zaštitu podataka ima ovlast uputiti predmet Sudu pod uvjetima propisanima Ugovorima te intervenirati u postupcima pred Sudom.

5.   Izvršavanje ovlasti dodijeljenih Europskom nadzorniku za zaštitu podataka u skladu s ovim člankom podliježe odgovarajućim zaštitnim mjerama utvrđenima u pravu Unije, među ostalim učinkovitom pravnom lijeku i odgovarajućem postupku.

Članak 59.

Obveza voditeljâ obrade i izvršiteljâ obrade da reagiraju na navode

Ako Europski nadzornik za zaštitu podataka izvršava ovlasti predviđene člankom 58. stavkom 2. točkama (a), (b) i (c), predmetni voditelj obrade ili izvršitelj obrade obavješćuje Europskog nadzornika za zaštitu podataka o svojim stajalištima u razumnom roku koji određuje Europski nadzornik za zaštitu podataka uzimajući u obzir okolnosti svakog slučaja. U odgovoru se navodi i opis mjera poduzetih kao odgovor na primjedbe Europskog nadzornika za zaštitu podataka, ako ih je bilo.

Članak 60.

Izvješće o aktivnostima

1.   Europski nadzornik za zaštitu podataka podnosi godišnje izvješće o svojim aktivnostima Europskom parlamentu, Vijeću i Komisiji te ga istodobno objavljuje.

2.   Europski nadzornik za zaštitu podataka upućuje izvješće iz stavka 1. ostalim institucijama i tijelima Unije koji mogu iznijeti svoje primjedbe radi mogućeg preispitivanja izvješća u Europskom parlamentu.

POGLAVLJE VII.

SURADNJA I KONZISTENTNOST

Članak 61.

Suradnja između Europskog nadzornika za zaštitu podataka i nacionalnih nadzornih tijela

Europski nadzornik za zaštitu podataka surađuje s nacionalnim nadzornim tijelima te sa zajedničkim nadzornim tijelom osnovanim u skladu s člankom 25. Odluke Vijeća 2009/917/PUP (19), i to u mjeri potrebnoj za izvršavanje njihovih dužnosti, posebno međusobnom razmjenom relevantnih informacija, međusobnim zahtijevanjem da izvršavaju svoje ovlasti te odgovaranjem na međusobne zahtjeve.

Članak 62.

Koordinirani nadzor koji provode Europski nadzornik za zaštitu podataka i nacionalna nadzorna tijela

1.   Ako se u aktu Unije upućuje na ovaj članak, Europski nadzornik za zaštitu podataka i nacionalna nadzorna tijela, djelujući u okviru svojih nadležnosti, aktivno surađuju u okviru svojih odgovornosti kako bi osigurali djelotvoran nadzor nad velikim informacijskim sustavima i tijelima te nad uredima i agencijama Unije.

2.   Oni, prema potrebi, u okviru svojih nadležnosti i odgovornosti razmjenjuju relevantne informacije, pomažu si međusobno u obavljanju revizija i inspekcija, ispituju poteškoće u tumačenju ili primjeni ove Uredbe i drugih mjerodavnih akata Unije, proučavaju probleme koji se javljaju pri izvršavanju neovisnog nadzora ili ostvarivanju prava ispitanika, izrađuju usklađene prijedloge za rješavanje problema te promiču osviještenost o pravima zaštite podataka.

3.   Za svrhe utvrđene u stavku 2. Europski nadzornik za zaštitu podataka i nacionalna nadzorna tijela sastaju se najmanje dvaput godišnje u okviru Europskog odbora za zaštitu podataka. Europski odbor za zaštitu podataka može u te svrhe po potrebi razviti daljnje metode rada.

4.   Europski nadzornik za zaštitu podataka svake dvije godine šalje Europskom parlamentu, Vijeću i Komisiji zajedničko izvješće o aktivnostima koordiniranog nadzora.

POGLAVLJE VIII.

PRAVNA SREDSTVA, ODGOVORNOST I SANKCIJE

Članak 63.

Pravo na podnošenje pritužbe Europskom nadzorniku za zaštitu podataka

1.   Ne dovodeći u pitanje bilo koji pravni lijek u sudskom, upravnom ili izvansudskom postupku, svaki ispitanik ima pravo podnijeti pritužbu Europskom nadzorniku za zaštitu podataka ako ispitanik smatra da obrada osobnih podataka koja se odnosi na njega krši ovu Uredbu.

2.   Europski nadzornik za zaštitu podataka obavješćuje podnositelja pritužbe o napretku i ishodu pritužbe, uključujući mogućnost pravnog lijeka na temelju članka 64.

3.   Ako Europski nadzornik za zaštitu podataka ne riješi pritužbu ili ne obavijesti ispitanika u roku od tri mjeseca o napretku ili ishodu pritužbe, smatra se da je Europski nadzornik za zaštitu podataka donio negativnu odluku.

Članak 64.

Pravo na učinkovit pravni lijek

1.   Sud je nadležan za rješavanje svih sporova koji se odnose na odredbe ove Uredbe, uključujući i zahtjeve za odštetu.

2.   Postupci protiv odluka Europskog nadzornika za zaštitu podataka, uključujući odluke iz članka 63. stavka 3., pokreću se pred Sudom.

3.   Sud ima neograničenu nadležnost za preispitivanje upravnih novčanih kazni iz članka 66. On može ukinuti, smanjiti ili povećati te novčane kazne u skladu s ograničenjima iz članka 66.

Članak 65.

Pravo na naknadu štete

Svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove Uredbe ima pravo pod uvjetima iz Ugovora na naknadu za pretrpljenu štetu od institucije ili tijela Unije.

Članak 66.

Upravne novčane kazne

1.   Europski nadzornik za zaštitu podataka može institucijama i tijelima Unije izreći upravnu novčanu kaznu, ovisno o okolnostima svakog pojedinog slučaja, ako institucija ili tijelo Unije ne postupi u skladu s naredbom Europskog nadzornika za zaštitu podataka iz članka 58. stavka 2. točaka od (d) do (h) i točke (j). Pri odlučivanju o izricanju upravne novčane kazne i o njezinu iznosu u svakom pojedinom slučaju, dužna se pozornost posvećuje sljedećem:

(a)

prirodi, težini i trajanju kršenja, uzimajući u obzir narav, opseg i svrhu obrade o kojoj je riječ te broj ispitanika i razinu štete koju su pretrpjeli;

(b)

svakoj radnji koju su institucija ili tijelo Unije poduzeli kako bi ublažili štetu koju su pretrpjeli ispitanici;

(c)

stupnju odgovornosti institucije ili tijela Unije uzimajući u obzir tehničke i organizacijske mjere koje su primijenili u skladu s člancima 27. i 33.;

(d)

svim sličnim prijašnjim kršenjima koje je počinila institucija ili tijelo Unije;

(e)

stupnju suradnje s Europskim nadzornikom za zaštitu podataka kako bi se otklonilo kršenje i ublažile moguće štetne posljedice tog kršenja;

(f)

kategorijama osobnih podataka na koje kršenje utječe;

(g)

načinu na koji je Europski nadzornik za zaštitu podataka doznao za kršenje, posebno jesu li i u kojoj mjeri institucija ili tijelo Unije prijavili kršenje;

(h)

usklađenosti sa svim mjerama iz članka 58. koje su prethodno izrečene protiv predmetne institucije ili tijela Unije u vezi s istim predmetom. Postupci u kojima se izriču te novčane kazne provode se u razumnom roku ovisno o okolnostima slučaja te uzimajući u obzir odgovarajuće mjere i postupke iz članka 69.

2.   Ako institucija ili tijelo Unije prekrši obvezu iz članaka 8., 12., od 27. do 35., 39., 40., 43., 44. i 45., izriču se, u skladu sa stavkom 1., upravne novčane kazne u iznosu do 25 000 EUR po kršenju te do ukupnog iznosa od 250 000 EUR godišnje.

3.   Za kršenja sljedećih odredaba koje počini institucija ili tijelo Unije izriču se, u skladu sa stavkom 1., upravne novčane kazne u iznosu do 50 000 EUR po kršenju te do ukupnog iznosa od 500 000 EUR godišnje:

(a)

osnovnih načela za obradu, uključujući uvjete privole u skladu s člancima 4., 5., 7. i 10.;

(b)

prava ispitanika u skladu s člancima od 14. do 24.;

(c)

prijenosa osobnih podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji u skladu s člancima od 46. do 50.

4.   Ako za iste ili povezane ili kontinuirane postupke obrade institucija ili tijelo Unije prekrši nekoliko odredaba ove Uredbe ili prekrši istu odredbu ove Uredbe više puta, ukupan iznos upravne novčane kazne ne smije biti veći od iznosa utvrđenog za najteže kršenje.

5.   Prije donošenja odluka u skladu s ovim člankom Europski nadzornik za zaštitu podataka pruža instituciji ili tijelu Unije protiv kojeg vodi postupak mogućnost da se očituje na njegove prigovore. Europski nadzornik za zaštitu podataka temelji svoje odluke isključivo na prigovorima u pogledu kojih su se stranke mogle očitovati. Podnositelji pritužbe moraju biti uključeni u postupke.

6.   U postupcima se u potpunosti poštuje pravo stranaka na obranu. Imaju pravo na uvid u spis Europskog nadzornika za zaštitu podataka uz uvjet da se poštuju legitimni interesi pojedinaca ili poduzeća da štite svoje osobne podatke ili poslovne tajne.

7.   Sredstva ostvarena naplatom novčanih kazni iz ovog članka prihod su općeg proračuna Unije.

Članak 67.

Zastupanje ispitanika

Ispitanik ima pravo ovlastiti neprofitno tijelo, organizaciju ili udruženje koje je pravilno osnovano u skladu s pravom Unije ili pravom države članice, u čijem se statutu navode ciljevi od javnog interesa te je aktivno u području zaštite prava i sloboda ispitanika s obzirom na zaštitu njihovih osobnih podataka, da u njegovo ime podnese pritužbu Europskom nadzorniku za zaštitu podataka, da u njegovo ime ostvaruje prava iz članaka 63. i 64. te da u njegovo ime ostvaruje pravo na naknadu iz članka 65.

Članak 68.

Pritužbe osoblja Unije

Svaka osoba zaposlena u instituciji ili tijelu Unije može i bez postupanja putem službenih kanala podnijeti pritužbu Europskom nadzorniku za zaštitu podataka zbog navodnog kršenja odredaba ove Uredbe. Nitko ne smije trpjeti štetu zbog toga što Europskom nadzorniku za zaštitu podataka podnese pritužbu usmjerenu na to navodno kršenje.

Članak 69.

Sankcije

Ako dužnosnik ili drugi službenik Unije namjerno ili iz nepažnje ne ispuni obveze utvrđene ovom Uredbom, taj dužnosnik ili službenik podliježe stegovnom ili drugom postupku u skladu s pravilima i postupcima koji su utvrđeni Pravilnikom o osoblju.

POGLAVLJE IX.

OBRADA OSOBNIH PODATAKA KOJU TIJELA, UREDI I AGENCIJE UNIJE PROVODE PRI OBAVLJAJU AKTIVNOSTI OBUHVAĆENIH PODRUČJEM PRIMJENE DIJELA TREĆEG GLAVE V. POGLAVLJA 4. ILI 5. UFEU-A

Članak 70.

Područje primjene ovog poglavlja

Ovo poglavlje primjenjuje se samo na obradu operativnih osobnih podataka koju tijela, uredi ili agencije Unije provode u obavljanju aktivnosti obuhvaćenih područjem primjene dijela trećeg glave V. poglavlja 4. ili poglavlja 5. UFEU-a ne dovodeći u pitanje posebna pravila o zaštiti podataka koja se primjenjuju na ta tijela, urede ili agencije Unije.

Članak 71.

Načela obrade operativnih osobnih podataka

1.   Operativni osobni podaci:

(a)

obrađivani zakonito i pošteno („zakonitost i poštenost”);

(b)

prikupljeni u posebne, izričite i zakonite svrhe te se ne smiju obrađivati na način koji nije u skladu s tim svrhama („ograničavanje svrhe”);

(c)

primjereni, relevantni te nisu pretjerani u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”);

(d)

točni i, prema potrebi, ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se operativni osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave („točnost”);

(e)

čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi koje se operativni osobni podaci obrađuju („ograničenje pohrane”);

(f)

obrađivani na način kojim se osigurava odgovarajuća sigurnost operativnih osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja, primjenom odgovarajućih tehničkih ili organizacijskih mjera („cjelovitost i povjerljivost”).

2.   Obrada koju obavlja isti ili neki drugi voditelj obrade u bilo koju svrhu utvrđenu u pravnom aktu kojim se osniva tijelo, ured ili agencija Unije različitu od one za koju su osobni operativni podaci prikupljeni dopuštena je:

(a)

ako je voditelj obrade ovlašten za obradu takvih operativnih osobnih podataka u takvu svrhu u skladu s pravom Unije; i

(b)

ako je obrada nužna i razmjerna toj drugoj svrsi u skladu s pravom Unije.

3.   Obrada koju obavlja isti ili neki drugi voditelj obrade može uključivati arhiviranje u javnom interesu, u znanstvene, statističke ili povijesne svrhe, u svrhe utvrđene u pravnom aktu kojim se osniva tijelo, ured ili agencija Unije, podložno odgovarajućim zaštitnim mjerama u pogledu prava i sloboda ispitanika.

4.   Voditelj obrade odgovoran je za usklađenost sa stavcima 1., 2. i 3. te je mora moći dokazati.

Članak 72.

Zakonitost obrade operativnih osobnih podataka

1.   Obrada operativnih osobnih podataka zakonita je samo ako i u onoj mjeri u kojoj je takva obrada potrebna za izvršavanje zadaće koju tijela, uredi i agencije Unije obavljaju pri izvršavanju aktivnosti obuhvaćenih područjem primjene dijela trećeg glave V. poglavlja 4. ili poglavlja 5. UFEU-a te u mjeri u kojoj se takva obrada temelji na pravu Unije.

2.   U posebnim pravnim aktima Unije kojima se uređuje obrada unutar područja primjene ovog poglavlja navode se barem ciljevi obrade, operativni osobni podaci koji će se obraditi, svrhe obrade i rokovi za pohranu operativnih osobnih podataka ili za periodično preispitivanje potrebe za daljnjom pohranom operativnih osobnih podataka.

Članak 73.

Razlika između različitih kategorija ispitanika

Voditelj obrade, po potrebi i koliko je god to moguće, radi jasnu razliku između operativnih osobnih podataka različitih kategorija ispitanika, kao što su kategorije navedene u pravnim aktima kojima se osnivaju tijela, uredi i agencije Unije.

Članak 74.

Razlika između operativnih osobnih podataka i provjera kvalitete operativnih osobnih podataka

1.   Voditelj obrade razlikuje što je više moguće operativne osobne podatke utemeljene na činjenicama od operativnih osobnih podataka utemeljenih na osobnim procjenama.

2.   Voditelj obrade poduzima sve razumne mjere kako bi osigurao da se operativni osobni podaci koji su netočni, nepotpuni ili nisu više ažurni ne prenose niti stavljaju na raspolaganje. U tu svrhu voditelj obrade, koliko je to izvedivo i po potrebi, provjerava kvalitetu operativnih osobnih podataka prije njihova prenošenja ili stavljanja na raspolaganje, na primjer tako da se savjetuje s nadležnim tijelom od kojeg podaci potječu. Koliko god je to moguće, voditelj obrade pri svim prijenosima operativnih osobnih podataka dodaje potrebne informacije koje primatelju omogućuju da ocijeni stupanj točnosti, potpunosti i pouzdanosti operativnih osobnih podataka, kao i mjeru u kojoj su ažurirani.

3.   Pokaže li se da su preneseni netočni operativni osobni podaci ili da su operativni osobni podaci preneseni nezakonito, primatelj mora biti obaviješten bez odgode. U takvom se slučaju predmetni operativni osobni podaci ispravljaju ili brišu ili se obrada ograničava u skladu s člankom 82.

Članak 75.

Posebni uvjeti obrade

1.   Kad se u skladu s mjerodavnim pravom Unije osiguravaju posebni uvjeti obrade, voditelj obrade obavješćuje primatelja takvih operativnih osobnih podataka o tim uvjetima i zahtjevu za poštovanje tih uvjeta.

2.   Voditelj obrade poštuje posebne uvjete obrade za obradu koju obavlja nadležno tijelo koje prenosi podatke u skladu s člankom 9. stavcima 3. i 4. Direktive (EU) 2016/680.

Članak 76.

Obrada posebnih kategorija operativnih osobnih podataka

1.   Obrada operativnih osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, religijska ili filozofska vjerovanja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca, operativnih osobnih podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca dopuštena je samo ako je to nužno u operativne svrhe, u okviru mandata predmetnog tijela, ureda ili agencije Unije te uz poštovanje odgovarajućih zaštitnih mjera u pogledu prava i sloboda ispitanika. Zabranjena je diskriminacija pojedinaca na temelju takvih osobnih podataka.

2.   Službenik za zaštitu podataka bez nepotrebne odgode se obavješćuje o primjeni ovog članka.

Članak 77.

Automatizirano pojedinačno donošenje odluka, uključujući izradu profila

1.   Zabranjuje se svaka odluka utemeljena samo na automatiziranoj obradi, među ostalim i na izradi profila, koja proizvodi negativne pravne učinke na ispitanika ili na njega znatno utječe, osim ako je odobrena pravom Unije kojem podliježe voditelj obrade te koje propisuje odgovarajuće zaštitne mjere za prava i slobode ispitanika, barem pravo na osobnu intervenciju voditelja obrade.

2.   Odluke iz stavka 1. ovog članka ne smiju se temeljiti na posebnim kategorijama osobnih podataka iz članka 76., osim ako su uspostavljene odgovarajuće zaštitne mjere u pogledu prava, sloboda te legitimnih interesa ispitanika.

3.   Zabranjuje se izrada profila koja dovodi do diskriminacije pojedinaca na temelju posebnih kategorija osobnih podataka iz članka 76., u skladu s pravom Unije.

Članak 78.

Obavješćivanje i modaliteti ostvarivanja prava ispitanika

1.   Voditelj obrade poduzima razumne korake kako bi se ispitaniku pružile sve informacije iz članka 79. te daje ispitaniku sve obavijesti u pogledu članaka od 80. do 84. te članka 92. u vezi s obradom u jezgrovitom, razumljivom i lako dostupnom obliku, upotrebljavajući jasan i jednostavan jezik. Informacije se pružaju bilo kojim odgovarajućim sredstvom, uključujući elektronička sredstva. U pravilu voditelj obrade pruža informacije u istom obliku u kojem je zahtjev.

2.   Voditelj obrade olakšava ostvarivanje prava ispitanika iz članaka od 79. do 84.

3.   Voditelj obrade u pisanom obliku obavješćuje ispitanika o daljnjem postupanju nakon njegova zahtjeva bez nepotrebne odgode, a u svakom slučaju najkasnije tri mjeseca nakon primanja zahtjeva ispitanika.

4.   Voditelj obrade osigurava da se informacije na temelju članka 79. te sve obavijesti pružene ili mjere poduzete na temelju članaka od 80. do 84. i članka 92. pružaju odnosno poduzimaju bez naknade. Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog njihova učestalog ponavljanja, voditelj obrade može odbiti postupiti po zahtjevu. Teret dokazivanja očigledne neutemeljenosti ili pretjeranosti zahtjeva snosi voditelj obrade.

5.   Ako ima opravdane sumnje u pogledu identiteta pojedinca koji podnosi zahtjev iz članka 80. ili 82., voditelj obrade može tražiti pružanje dodatnih informacija potrebnih za potvrđivanje identiteta ispitanika.

Članak 79.

Informacije koje se stavljaju na raspolaganje ili daju ispitaniku

1.   Voditelj obrade ispitaniku stavlja na raspolaganje barem sljedeće informacije:

(a)

identitet i podatke za kontakt tijela, ureda ili agencije Unije;

(b)

podacima za kontakt službenika za zaštitu podataka;

(c)

svrhe obrade za koje su operativni osobni podaci namijenjeni;

(d)

pravo na podnošenje pritužbe Europskom nadzorniku za zaštitu podataka i njegove podatke za kontakt;

(e)

postojanje prava da se od voditelja obrade zatraži pristup operativnim osobnim podacima, njihov ispravak ili brisanje te ograničavanje obrade operativnih osobnih podataka koji se odnose na ispitanika.

2.   Uz informacije iz stavka 1., voditelj obrade u posebnim slučajevima predviđenima pravom Unije i kako bi se ispitaniku omogućilo ostvarivanje njegovih prava, ispitaniku daje dodatne informacije o:

(a)

pravnoj osnovi obrade;

(b)

razdoblju u kojem će se operativni osobni podaci pohranjivati ili, ako to nije moguće, o kriterijima korištenima za utvrđivanje tog razdoblja;

(c)

ako je to primjenjivo, kategorijama primatelja operativnih osobnih podataka, uključujući treće zemlje ili međunarodne organizacije;

(d)

po potrebi i dodatne informacije, osobito ako se operativni osobni podaci prikupljaju bez znanja ispitanika.

3.   Voditelj obrade može odgoditi, ograničiti ili uskratiti pružanje informacija ispitaniku na temelju stavka 2. u onoj mjeri i u onom trajanju u kojem takva mjera predstavlja potrebnu i razmjernu mjeru u demokratskom društvu uz dužno poštovanje temeljnih prava i legitimnih interesa dotične fizičke osobe, kako bi se:

(a)

izbjeglo ometanje službenih ili pravnih ispitivanja, istraga ili postupaka;

(b)

izbjeglo dovođenje u pitanje sprečavanja, otkrivanja, istrage ili progona kaznenih djela ili izvršavanja kaznenih sankcija;

(c)

zaštitila javna sigurnost država članica;

(d)

zaštitila nacionalna sigurnost država članica;

(e)

zaštitila prava i slobode drugih, na primjer žrtava i svjedoka.

Članak 80.

Pravo ispitanika na pristup

Ispitanik ima pravo od voditelja obrade dobiti potvrdu o tome obrađuju li se operativni osobni podaci koji se na njega odnose te ako se obrađuju, ima pravo na pristup operativnim osobnim podacima i informacije o sljedećem:

(a)

svrhama obrade i pravnoj osnovi obrade;

(b)

kategorijama operativnih osobnih podataka o kojima je riječ;

(c)

primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama;

(d)

ako je to moguće, predviđenom razdoblju u kojem će se operativni osobni podaci pohranjivati ili, ako nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;

(e)

postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje operativnih osobnih podataka ili ograničavanje obrade operativnih osobnih podataka koji se odnose na ispitanika;

(f)

pravu na podnošenje pritužbe Europskom nadzorniku za zaštitu podataka i njegovim podacima za kontakt;

(g)

obavješćivanju o operativnim osobnim podacima koji se obrađuju i o svim dostupnim informacijama o njihovu izvoru.

Članak 81.

Ograničenja prava pristupa

1.   Voditelj obrade može u cijelosti ili djelomično ograničiti pravo pristupa ispitanika u onoj mjeri i u onom trajanju u kojem takvo djelomično ili potpuno ograničavanje čini neophodnu i razmjernu mjeru u demokratskom društvu uz dužno poštovanje temeljnih prava i legitimnih interesa dotičnog pojedinca, kako bi se:

(a)

izbjeglo ometanje službenih ili pravnih ispitivanja, istraga ili postupaka;

(b)

izbjeglo dovođenje u pitanje sprečavanja, otkrivanja, istrage ili progona kaznenih djela ili izvršavanja kaznenih sankcija;

(c)

zaštitila javna sigurnost država članica;

(d)

zaštitila nacionalna sigurnost država članica;

(e)

zaštitila prava i slobode drugih, na primjer žrtava i svjedoka.

2.   U slučajevima iz stavka 1. voditelj obrade bez nepotrebne odgode pisanim putem obavješćuje ispitanika o svakom odbijanju ili ograničavanju pristupa te o razlozima odbijanja ili ograničavanja. To se ne primjenjuje ako bi pružanje takvih informacija dovelo u pitanje neku od svrha iz stavka 1. Voditelj obrade obavješćuje ispitanika o mogućnosti da Europskom nadzorniku za zaštitu podataka podnese pritužbu ili da zatraži pravni lijek na Sudu. Voditelj obrade bilježi činjenične ili pravne razloge na kojima se odluka temelji. Te se informacije na zahtjev stavljaju na raspolaganje Europskom nadzorniku za zaštitu podataka.

Članak 82.

Pravo na ispravak ili brisanje operativnih osobnih podataka i ograničenje obrade

1.   Ispitanik ima pravo od voditelja obrade bez nepotrebne odgode ishoditi ispravak netočnih operativnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade, ispitanik ima pravo dopuniti nepotpune operativne osobne podatke, među ostalim i davanjem dodatne izjave.

2.   Voditelj obrade briše operativne osobne podatke bez nepotrebne odgode, a ispitanik ima pravo od voditelja obrade ishoditi brisanje operativnih osobnih podataka koji se na njega odnose bez nepotrebne odgode ako se obradom krše odredbe članka 71., članka 72. stavka 1. ili članka 76. ili ako se operativni osobni podaci moraju izbrisati radi poštovanja pravne obveze kojoj voditelj obrade podliježe.

3.   Umjesto brisanja voditelj obrade ograničava obradu ako:

(a)

ispitanik osporava točnost osobnih podataka, a njihova se točnost ili netočnost ne može utvrditi; ili

(b)

osobni podaci moraju biti sačuvani kao dokaz.

Ako je obrada ograničena na temelju prvog podstavka točke (a), voditelj obrade obavješćuje ispitanika prije uklanjanja ograničenja obrade.

Podaci obuhvaćeni ograničenjem obrađuju se samo u onu svrhu zbog koje nisu bili izbrisani.

4.   Voditelj obrade obavješćuje ispitanika u pisanom obliku o svakom odbijanju ispravljanja ili brisanja operativnih osobnih podataka ili ograničavanja obrade te o razlozima odbijanja. Voditelj obrade može u cijelosti ili djelomično ograničiti pružanje takvih informacija u onoj mjeri u kojoj takvo ograničavanje čini nužnu i razmjernu mjeru u demokratskom društvu uz dužno poštovanje temeljnih prava i legitimnih interesa dotičnog pojedinca, i kako bi se:

(a)

izbjeglo ometanje službenih ili pravnih ispitivanja, istraga ili postupaka;

(b)

izbjeglo dovođenje u pitanje sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija;

(c)

zaštitila javna sigurnost država članica;

(d)

zaštitila nacionalna sigurnost država članica;

(e)

zaštitila prava i slobode drugih, na primjer žrtava i svjedoka.

Voditelj obrade obavješćuje ispitanika o mogućnosti da Europskom nadzorniku za zaštitu podataka podnese pritužbu ili da zatraži pravni lijek na Sudu.

5.   Voditelj obrade o ispravku netočnih operativnih osobnih podataka obavješćuje nadležno tijelo od kojeg potječu netočni operativni osobni podaci.

6.   Ako su operativni osobni podaci bili ispravljeni ili izbrisani ili je obrada bila ograničena na temelju stavaka 1., 2. ili 3., voditelj obrade to priopćuje primateljima i obavješćuje ih o tome da moraju ispraviti ili izbrisati operativne osobne podatke ili ograničiti obradu operativnih osobnih podataka za koje su odgovorni.

Članak 83.

Pravo pristupa u kaznenim istragama i postupcima

Ako operativni osobni podaci potječu od nadležnog tijela, tijela, uredi i agencije Unije prije odlučivanja o pravu pristupa ispitanika provjeravaju s dotičnim nadležnim tijelom nalaze li se takvi osobni podaci u sudskoj odluci ili evidenciji ili u spisu predmeta obrađenom tijekom kaznenih istraga i postupaka u državi članici tog nadležnog tijela. U tom slučaju odluka o pravu pristupa donosi se u dogovoru i u bliskoj suradnji s dotičnim nadležnim tijelom.

Članak 84.

Ostvarivanje prava ispitanika i provjera koju provodi Europski nadzornik za zaštitu podataka

1.   U slučajevima iz članka 79. stavka 3., članka 81. i članka 82. stavka 4. prava ispitanika mogu se ostvariti i preko Europskog nadzornika za zaštitu podataka.

2.   Voditelj obrade obavješćuje ispitanika o mogućnosti ostvarivanja njegovih prava preko Europskog nadzornika za zaštitu podataka u skladu sa stavkom 1.

3.   Ako se ostvaruje pravo iz stavka 1., Europski nadzornik za zaštitu podataka obavješćuje ispitanika barem o tome da je proveo sve potrebne provjere ili preispitivanje. Europski nadzornik za zaštitu podataka obavješćuje ispitanika i o njegovu pravu da zatraži pravni lijek na Sudu.

Članak 85.

Tehnička i integrirana zaštita podataka

1.   Uzimajući u obzir najnovija dostignuća, trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, voditelj obrade, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, za omogućavanje učinkovite primjene načela zaštite podataka, kao što je smanjenje količine podataka, te uključenje potrebnih zaštitnih mjera u obradu, kako bi se ispunili zahtjevi iz ove Uredbe i pravnog akta kojim se on osniva i zaštitila prava ispitanika.

2.   Voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kojima se osigurava da integriranim načinom budu obrađeni samo operativni osobni podaci koji su prikladni i relevantni te nisu pretjerani u odnosu na svrhe u koje se obrađuju. Ta se obveza primjenjuje na količinu prikupljenih operativnih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da operativni osobni podaci nisu automatski dostupni neograničenom broju fizičkih osoba bez intervencije pojedinca.

Članak 86.

Zajednički voditelji obrade

1.   Ako dva ili više voditelja obrade ili jedan ili više voditelja obrade zajedno s jednim ili više voditelja obrade koji nisu institucije i tijela Unije, zajednički odrede svrhe i načine obrade, oni su zajednički voditelji obrade. Oni na transparentan način određuju svoje odgovornosti za poštovanje obveza u vezi sa zaštitom podataka, posebno u pogledu ostvarivanja prava ispitanika, i svojih dužnosti u vezi s pružanjem informacija iz članka 79. te to čine međusobnim dogovorom, osim ako su, i u mjeri u kojoj su, odgovornosti zajedničkih voditeljâ obrade utvrđene pravom Unije ili pravom države članice kojem zajednički voditelji obrade podliježu. Dogovorom se može odrediti kontaktna točka za ispitanike.

2.   Dogovor iz stavka 1. mora propisno odražavati uloge i odnose zajedničkih voditelja obrade u odnosu na ispitanike. Bit dogovora je dostupna ispitaniku.

3.   Bez obzira na uvjete dogovora iz stavka 1., ispitanik može ostvarivati svoja prava iz ove Uredbe u vezi sa svakim voditeljem obrade, kao i protiv svakog od njih.

Članak 87.

Izvršitelj obrade

1.   Ako se obrada provodi u ime voditelja obrade, voditelj obrade surađuje samo s izvršiteljima obrade koji u dovoljnoj mjeri jamče provedbu odgovarajućih tehničkih i organizacijskih mjera na način da je obrada u skladu sa zahtjevima iz ove Uredbe i pravnog akta kojim se osniva voditelj obrade te da se njome osigurava zaštita prava ispitanika.

2.   Izvršitelj obrade ne smije angažirati drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja izvršitelj obrade obavješćuje voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da podnese prigovor na takve izmjene.

3.   Obrada koju provodi izvršitelj obrade uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji izvršitelja obrade obvezuje prema voditelju obrade, a koji navodi predmet i trajanje obrade, prirodu i svrhu obrade, vrstu operativnih osobnih podataka i kategorije ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili drugim pravnim aktom osobito određuje da izvršitelj obrade:

(a)

djeluje samo prema uputama voditelja obrade;

(b)

osigurava da su se osobe ovlaštene za obradu operativnih osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu odgovarajućim zakonskim odredbama o povjerljivosti;

(c)

svim odgovarajućim sredstvima pomaže voditelju obrade osigurati usklađenost s odredbama o pravima ispitanika;

(d)

prema izboru voditelja obrade briše ili vraća voditelju obrade sve operativne osobne podatke nakon dovršetka pružanja usluga povezanih s obradom te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane operativnih osobnih podataka;

(e)

voditelju obrade stavlja na raspolaganje sve informacije neophodne za dokazivanje poštovanja obveza utvrđenih u ovom članku;

(f)

poštuje uvjete iz stavka 2 i ovog stavka za angažiranje drugog izvršitelja obrade.

4.   Ugovor ili drugi pravni akt iz stavka 3. mora biti u pisanom obliku, što uključuje elektronički oblik.

5.   Ako izvršitelj obrade krši ovu Uredbu ili pravni akt kojim se osniva voditelj obrade utvrđivanjem svrha i načina obrade, taj se izvršitelj obrade smatra voditeljem obrade u pogledu te obrade.

Članak 88.

Zapisivanje

1.   Voditelj obrade bilježi zapise o svim sljedećim postupcima obrade u automatiziranim sustavima obrade: prikupljanju, izmjeni, pristupu, obavljanju uvida, otkrivanju, uključujući prijenose, kombiniranje i brisanje operativnih osobnih podataka. Zapisi o obavljanju uvida i otkrivanju podataka omogućuju da se ustanovi obrazloženje, datum i vrijeme takvih postupaka, identitet osobe koja je imala uvid u operativne osobne podatke ili ih je otkrila te, u mjeri u kojoj je to moguće, identitet primatelja tih operativnih osobnih podataka.

2.   Zapisi se upotrebljavaju samo u svrhe provjere zakonitosti obrade, samopraćenja, osiguravanja cjelovitosti i sigurnosti operativnih osobnih podataka te za kaznene postupke. Takvi zapisi brišu se nakon tri godine, osim ako su potrebni za nadzor koji je u tijeku.

3.   Voditelj obrade na zahtjev stavlja zapise na raspolaganje svojem službeniku za zaštitu podataka i Europskom nadzorniku za zaštitu podataka.

Članak 89.

Procjena učinka na zaštitu podataka

1.   Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe te obrade, prouzročiti visoki rizik za prava i slobode pojedinaca, voditelj obrade prije obrade provodi procjenu učinka predviđenih postupaka obrade na zaštitu operativnih osobnih podataka.

2.   Procjena iz stavka 1. sadrži barem općenit opis predviđenih postupaka obrade, procjenu rizika za prava i slobode ispitanika, predviđene mjere za te rizike, zaštitne mjere, sigurnosne mjere i mehanizme kako bi se osigurala zaštita operativnih osobnih podataka i dokazala usklađenost s pravilima o zaštiti podataka, uzimajući pritom u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.

Članak 90.

Prethodno savjetovanje s Europskim nadzornikom za zaštitu podataka

1.   Prije obrade koja će biti dio novog sustava pohrane koji se treba uspostaviti voditelj obrade savjetuje se s Europskim nadzornikom za zaštitu podataka u sljedećim slučajevima ako:

(a)

procjena učinka na zaštitu podataka kako je predviđeno člankom 89. upućuje na to da bi obrada mogla rezultirati visokim rizikom ako voditelj obrade ne poduzme mjere kako bi umanjio rizik; ili

(b)

vrsta obrade, posebno ako se upotrebljavaju nove tehnologije, mehanizmi ili postupci, predstavlja visok rizik za prava i slobode ispitanika.

2.   Europski nadzornik za zaštitu podataka može izraditi popis postupaka obrade za koje je potrebno obaviti prethodno savjetovanje u skladu sa stavkom 1.

3.   Voditelj obrade dostavlja Europskom nadzorniku za zaštitu podataka procjenu učinka na zaštitu podataka iz članka 89. te na zahtjev pruža sve ostale informacije kako bi Europskom nadzorniku za zaštitu podataka omogućio da provede procjenu usklađenosti obrade te posebno procjenu rizika za zaštitu operativnih osobnih podataka ispitanika i procjenu povezanih zaštitnih mjera.

4.   Ako Europski nadzornik za zaštitu podataka smatra da bi se namjeravanom obradom iz stavka 1. kršila ova Uredba ili pravni akt kojim se osniva tijelo, ured ili agencija Unije te osobito ako voditelj obrade nije u dovoljnoj mjeri utvrdio ili ublažio rizik, Europski nadzornik za zaštitu podataka, u roku od najviše šest tjedana od zaprimanja zahtjeva za savjetovanje, pisanim putem savjetuje voditelja obrade. Taj se rok može produljiti za mjesec dana, uzimajući u obzir složenost planirane obrade. Europski nadzornik za zaštitu podataka u roku od mjesec dana od zaprimanja zahtjeva za savjetovanje obavješćuje voditelja obrade o svakom takvom produljenju kao i o razlozima odgode.

Članak 91.

Sigurnost obrade operativnih osobnih podataka

1.   Uzimajući u obzir najnovija dostignuća, troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različite razine vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, voditelj obrade i izvršitelj obrade provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, osobito u pogledu obrade posebnih kategorija operativnih osobnih podataka.

2.   U pogledu automatizirane obrade voditelj obrade i izvršitelj obrade nakon procjene rizika provode mjere čija je svrha:

(a)

neovlaštenim osobama zabraniti pristup opremi za obradu podataka koja se upotrebljava za obradu („nadzor pristupa opremi”);

(b)

spriječiti neovlašteno čitanje, kopiranje, mijenjanje ili uklanjanje nosača podataka („nadzor nosača podataka”);

(c)

spriječiti neovlašteno unošenje operativnih osobnih podataka i neovlašteno pregledavanje, mijenjanje ili brisanje pohranjenih operativnih osobnih podataka („nadzor pohrane”);

(d)

spriječiti upotrebu sustava automatizirane obrade neovlaštenim osobama, koje se koriste opremom za podatkovnu komunikaciju („nadzor korisnika”);

(e)

osigurati da osobe koje su ovlaštene za upotrebu sustava automatizirane obrade imaju pristup samo operativnim osobnim podacima koji su predviđeni njihovim odobrenjem za pristup („nadzor pristupa podacima”);

(f)

osigurati mogućnost da se provjeri i utvrdi kojim tijelima su operativni osobni podaci preneseni ili bi mogli biti preneseni ili stavljeni na raspolaganje podatkovnom komunikacijom („nadzor komunikacija”);

(g)

osigurati mogućnost da se naknadno provjeri i utvrdi koji su operativni osobni podaci uneseni u sustave automatizirane obrade podataka te tko ih je i kada unio („nadzor unosa”);

(h)

spriječiti neovlašteno čitanje, kopiranje, mijenjanje ili brisanje operativnih osobnih podataka tijekom prijenosa operativnih osobnih podataka ili prijenosa nosača podataka („nadzor prijenosa”);

(i)

osigurati mogućnost ponovne uspostave instaliranih sustava u slučaju prekida („ponovna uspostava”);

(j)

osigurati da sustav dobro funkcionira, da se pojava grešaka u funkcioniranju sustava prijavi („pouzdanost”) i da se pohranjeni operativni osobni podaci ne mogu ugroziti zbog nedostataka u funkcioniranju sustava („cjelovitost”).

Članak 92.

Izvješćivanje Europskog nadzornika za zaštitu podataka o povredi osobnih podataka

1.   U slučaju povrede osobnih podataka voditelj obrade bez nepotrebne odgode i, ako je to izvedivo, najkasnije 72 sata nakon što saznanja za tu povredu, izvješćuje Europskog nadzornika za zaštitu podataka o toj povredi, osim ako nije vjerojatno da će ta povreda osobnih podataka prouzročiti rizik za prava i slobode pojedinaca. Ako izvješćivanje Europskog nadzornika za zaštitu podataka nije učineno u roku od 72 sata, ono mora biti popraćeno razlozima za kašnjenje.

2.   U izvješćivanju iz stavka 1. se barem:

(a)

opisuje priroda povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj ispitanika te kategorije i približan broj evidencija operativnih osobnih podataka o kojima je riječ;

(b)

navode ime i podaci za kontakt službenika za zaštitu podataka;

(c)

opisuju vjerojatne posljedice povrede osobnih podataka;

(d)

opisuju mjere koje je voditelj obrade poduzeo ili predložio da se poduzmu za rješavanje problema povrede osobnih podataka, uključujući po potrebi mjere za ublažavanje njezinih mogućih štetnih učinaka.

3.   Ako nije moguće istodobno pružiti informacije iz stavka 2. i u onoj mjeri u kojoj to nije moguće, te informacije mogu se pružati postupno, bez nepotrebne daljnje odgode.

4.   Voditelj obrade bilježi svaku povredu osobnih podataka iz stavka 1., uključujući činjenice povezane s povredom osobnih podataka, njezine učinke i poduzete korektivne mjere. Ta dokumentacija omogućuje Europskom nadzorniku za zaštitu podataka provjeru usklađenosti s ovim člankom.

5.   Ako se povreda osobnih podataka odnosi na operativne osobne podatke koje je prenijelo nadležno tijelo ili koji su preneseni nadležnom tijelu, voditelj obrade priopćava informacije iz stavka 2. tom nadležnom tijelu bez nepotrebne odgode.

Članak 93.

Obavješćivanje ispitanika o povredi osobnih podataka

1.   Ako je vjerojatno da će povreda osobnih podataka rezultirati visokim rizikom za prava i slobode pojedinaca, voditelj obrade bez nepotrebne odgode obavješćuje ispitanika o povredi osobnih podataka.

2.   U obavijesti ispitaniku iz stavka 1. ovog članka jasnim i jednostavnim jezikom opisuje se priroda povrede osobnih podataka i navode barem informacije i preporuke iz članka 92. stavka 2. točaka (b), (c) i (d).

3.   Obavješćivanje ispitanika iz stavka 1. nije obvezno ako je ispunjen bilo koji od sljedećih uvjeta:

(a)

voditelj obrade proveo je odgovarajuće tehnološke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom operativnih osobnih podataka, posebno one koje operativne osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija;

(b)

voditelj obrade poduzeo je naknadne mjere kojima se osigurava da pojava visokog rizika za prava i slobode ispitanika iz stavka 1. više nije vjerojatna;

(c)

to bi uključivalo nerazmjeran napor. U takvom slučaju, umjesto toga mora postojati javno obavješćivanje ili slična mjera kojom se ispitanici obavješćuju na jednako djelotvoran način.

4.   Ako voditelj obrade još nije obavijestio ispitanika o povredi osobnih podataka, Europski nadzornik za zaštitu podataka, nakon razmatranja vjerojatnosti da će povreda osobnih podataka prouzročiti visoki rizik, može od voditelja obrade tražiti da to učini ili može zaključiti da je ispunjen neki od uvjeta iz stavka 3.

5.   Obavješćivanje ispitanika iz stavka 1. ovog članka može se odgoditi, ograničiti ili uskratiti pod uvjetima i na temelju razloga iz članka 79. stavka 3.

Članak 94.

Prijenos osobnih podataka trećim zemljama i međunarodnim organizacijama

1.   Podložno svim ograničenjima i pod uvjetima iz pravnih akata kojima se osnivaju tijelo, ured ili agencija Unije voditelj obrade može prenositi operativne osobne podatke tijelu treće zemlje ili međunarodnoj organizaciji ako je takav prijenos potreban za izvršavanje zadaća voditelja obrade i samo ako su ispunjeni uvjeti utvrđeni u ovom članku, odnosno:

(a)

Komisija je donijela odluku o primjerenosti u skladu s člankom 36. stavkom 3. Direktive (EU) 2016/680 kojom se utvrđuje da treća zemlja ili područje ili sektor za obradu podataka u toj trećoj zemlji ili dotična međunarodna organizacija osigurava prikladnu razinu zaštite;

(b)

ako ne postoji odluka Komisije o primjerenosti iz točke (a), sklopljen je međunarodni ugovor između Unije i te treće zemlje ili međunarodne organizacije u skladu s člankom 218. UFEU-a čime se osiguravaju dostatne zaštitne mjere u odnosu na zaštitu privatnosti te temeljnih prava i sloboda pojedinaca;

(c)

ako ne postoji odluka Komisije o primjerenosti iz točke (a) ili međunarodni ugovor iz točke (b), sklopljen je sporazum o suradnji kojim se omogućuje razmjena operativnih osobnih podataka između tijela, ureda ili agencijeUnije i te treće zemlje u pitanju prije početka primjene pravnog akta kojim se osniva dotično tijelo, ured ili agencija Unije.

2.   Pravni akti kojima se osnivaju tijela, uredi ili agencije Unije mogu zadržati ili uvesti preciznije odredbe o uvjetima za međunarodni prijenos operativnih osobnih podataka, posebno o prijenosu podataka uz odgovarajuće zaštitne mjere i odstupanjima za posebne situacije.

3.   Voditelj obrade na svojim internetskim stranicama objavljuje i ažurira popis odluka o primjerenosti iz stavka 1. točke (a), sporazuma, administrativnih dogovora i drugih instrumenata koji se odnose na prijenos operativnih osobnih podataka u skladu sa stavkom 1.

4.   Voditelj obrade vodi detaljnu evidenciju o svim prijenosima provedenima na temelju ovog članka.

Članak 95.

Tajnost sudskih istraga i kaznenih postupaka

Pravnim aktima kojima se osnivaju tijela, uredi ili agencije Unije koje obavljaju aktivnosti obuhvaćene područjem primjene dijela trećeg glave V. poglavlja 4. ili 5. UFEU-a može se obvezati Europski nadzornik za zaštitu podataka da u izvršavanju svojih ovlasti u najvećoj mjeri vodi računa o tajnosti sudskih istraga i kaznenih postupaka u skladu s pravom Unije ili pravom države članice.

POGLAVLJE X.

PROVEDBENI AKTI

Članak 96.

Postupak odbora

1.   Komisiji pomaže odbor osnovan člankom 93. Uredbe (EU) 2016/679. Navedeni odbor je odbor u smislu Uredbe (EU) br. 182/2011.

2.   Ako se upućuje na ovaj stavak, primjenjuje se članak 5. Uredbe (EU) br. 182/2011.

POGLAVLJE XI.

PREISPITIVANJE

Članak 97.

Klauzula o preispitivanju

Najkasnije 30. travnja 2022. i svakih pet godina nakon toga, Komisija Europskom parlamentu i Vijeću podnosi izvješće o primjeni ove Uredbe, popraćeno, po potrebi, odgovarajućim zakonodavnim prijedlozima.

Članak 98.

Preispitivanje pravnih akata Unije

1.   Do 30. travnja 2022. Komisija preispituje pravne akte donesene na temelju Ugovora kojima se uređuje obrada operativnih osobnih podataka koju obavljaju tijela, uredi ili agencije Unije pri obavljanju aktivnosti obuhvaćenih područjem primjene dijela trećeg glave V. poglavlja 4. ili 5. UFEU-a kako bi se:

(a)

ocijenila njihova usklađenost s Direktivom (EU) 2016/680 i poglavljem IX. ove Uredbe;

(b)

utvrdila sva odstupanja koja bi mogla omesti razmjenu operativnih osobnih podataka između tijela, ureda i agencija Unije pri obavljanju aktivnosti u tim područjima i nadležnih tijela; te

(c)

utvrdila odstupanja koja bi mogla dovesti do pravne rascjepkanosti zakonodavstva o zaštiti podataka u Uniji.

2.   Na temelju tog preispitivanja, kako bi se zajamčila ujednačena i dosljedna zaštita pojedinaca u vezi s obradom, Komisija može podnijeti odgovarajuće zakonodavne prijedloge, posebno radi primjene poglavlja IX. ove Uredbe na Europol i Ured europskog javnog tužitelja i uključujući prilagodbe poglavlja IX. ove Uredbe, ako je to potrebno.

POGLAVLJE XII.

ZAVRŠNE ODREDBE

Članak 99.

Stavljanje izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ

Uredba (EZ) br. 45/2001 i Odluka br. 1247/2002/EZ stavljaju se izvan snage s učinkom od 11. prosinca 2018. Upućivanja na Uredbu i Odluku koje su stavljene izvan snage smatraju se upućivanjima na ovu Uredbu.

Članak 100.

Prijelazne mjere

1.   Ova Uredba ne utječe na Odluku 2014/886/EU Europskog parlamenta i Vijeća (20) te na sadašnji mandat Europskog nadzornika za zaštitu podataka i pomoćnika nadzornika.

2.   Pomoćnik nadzornika je u pogledu određivanja primitka od rada, dodataka, starosne mirovine te svih drugih naknada na osnovi rada izjednačen s tajnikom Suda.

3.   Članak 53. stavci 4., 5. i 7. te članci 55. i 56. ove Uredbe primjenjuju se na sadašnjeg pomoćnika nadzornika do isteka njegova mandata.

4.   Pomoćnik nadzornika do isteka svojeg tekućeg mandata pomaže Europskom nadzorniku za zaštitu podataka u izvršavanju njegovih dužnosti te ga zamjenjuje kad je Europski nadzornik za zaštitu podataka odsutan ili spriječen u obavljanju tih dužnosti.

Članak 101.

Stupanje na snagu i primjena

1.   Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

2.   Međutim, ova se Uredba primjenjuje na obradu osobnih podataka koju provodi Eurojust od 18. prosinca 2000..

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Strasbourgu 23. listopada 2018.

Za Europski parlament

Predsjednik

A. TAJANI

Za Vijeće

Predsjednica

K. EDTSTADLER


(1)  SL C 288, 31.8.2017., str. 107.

(2)  Stajalište Europskog parlamenta od 13. rujna 2018. (još nije objavljeno u Službenom listu) i odluka Vijeća od 11. listopada 2018.

(3)  Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (SL L 8, 12.1.2001., str. 1.).

(4)  Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).

(5)  Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL L 119, 4.5.2016., str. 89.).

(6)  Direktiva Vijeća 93/13/EEZ od 5. travnja 1993. o nepoštenim uvjetima u potrošačkim ugovorima (SL L 95, 21.4.1993., str. 29.).

(7)  Uredba (EZ) br. 1338/2008 Europskog parlamenta i Vijeća od 16. prosinca 2008. o statističkim podacima Zajednice o javnom zdravlju i zdravlju i sigurnosti na radnom mjestu (SL L 354, 31.12.2008., str. 70.).

(8)  Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.).

(9)  Uredba (EZ) br. 1049/2001 Europskog parlamenta i Vijeća od 30. svibnja 2001. o javnom pristupu dokumentima Europskog parlamenta, Vijeća i Komisije (SL L 145, 31.5.2001., str. 43.).

(10)  SL L 56, 4.3.1968., str. 1.

(11)  Uredba (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).

(12)  Uredba (EZ) br. 223/2009 Europskog parlamenta i Vijeća od 11. ožujka 2009. o europskoj statistici i stavljanju izvan snage Uredbe (EZ, Euratom) br. 1101/2008 Europskog parlamenta i Vijeća o dostavi povjerljivih statističkih podataka Statističkom uredu Europskih zajednica, Uredbe Vijeća (EZ) br. 322/97 o statistici Zajednice i Odluke Vijeća 89/382/EEZ, Euratom o osnivanju Odbora za statistički program Europskih zajednica (SL L 87, 31.3.2009., str. 164.).

(13)  Odluka br. 1247/2002/EZ Europskog parlamenta, Vijeća i Komisije od 1. srpnja 2002. o propisima i općim uvjetima kojima se uređuje obavljanje dužnosti Europskog nadzornika za zaštitu podataka (SL L 183, 12.7.2002., str. 1.).

(14)  SL C 164, 24.5.2017., str. 2.

(15)  Uredba (EU) 2016/794 Europskog parlamenta i Vijeća od 11. svibnja 2016. o Agenciji Europske unije za suradnju tijela za izvršavanje zakonodavstva (Europol) te zamjeni i stavljanju izvan snage odluka Vijeća 2009/371/PUP, 2009/934/PUP, 2009/935/PUP, 2009/936/PUP i 2009/968/PUP (SL L 135, 24.5.2016., str. 53.).

(16)  Uredba Vijeća (EU) 2017/1939 od 12. listopada 2017. o provedbi pojačane suradnje u vezi s osnivanjem Ureda europskog javnog tužitelja (EPPO) (SL L 283, 31.10.2017., str. 1.).

(17)  Direktiva (EU) 2015/1535 Europskog parlamenta i Vijeća od 9. rujna 2015. o utvrđivanju postupka pružanja informacija u području tehničkih propisa i pravila o uslugama informacijskog društva (SL L 241, 17.9.2015., str. 1.).

(18)  Direktiva Komisije 2008/63/EZ od 20. lipnja 2008. o tržišnom natjecanju na tržištima telekomunikacijske terminalne opreme (SL L 162, 21.6.2008., str. 20.).

(19)  Odluka Vijeća 2009/917/PUP od 30. studenoga 2009. o uporabi informacijske tehnologije u carinske svrhe (SL L 323, 10.12.2009., str. 20.).

(20)  Odluka 2014/886/EU Europskog parlamenta i Vijeća od 4. prosinca 2014. o imenovanju Europskog nadzornika za zaštitu podataka i pomoćnika nadzornika (SL L 351, 9.12.2014., str. 9.).