4.5.2016   

HR

Službeni list Europske unije

L 119/1

(1)

Zaštita pojedinaca s obzirom na obradu osobnih podataka temeljno je pravo. Člankom 8. stavkom 1. Povelje Europske unije o temeljnim pravima („Povelja”) te člankom 16. stavkom 1. Ugovora o funkcioniranju Europske unije (UFEU) utvrđuje se da svatko ima pravo na zaštitu svojih osobnih podataka.

(2)

Načela i pravila o zaštiti pojedinaca u vezi s obradom njihovih osobnih podataka trebala bi poštovati njihova temeljna prava i slobode, a posebno njihovo pravo na zaštitu osobnih podataka, bez obzira na nacionalnost ili boravište pojedinaca. Ovom Uredbom želi se doprinijeti uspostavi područja slobode, sigurnosti i pravde te gospodarske unije, gospodarskom i socijalnom napretku, jačanju i približavanju gospodarstava na unutarnjem tržištu te dobrobiti pojedinaca.

(3)

Direktivom 95/46/EZ Europskog parlamenta i Vijeća (4) nastoji se uskladiti zaštita temeljnih prava i sloboda pojedinaca u vezi s obradom podataka kao i osigurati slobodan protok osobnih podataka između država članica.

(4)

Obrada osobnih podataka trebala bi biti osmišljena tako da bude u službi čovječanstva. Pravo na zaštitu osobnih podataka nije apsolutno pravo; mora ga se razmatrati u vezi s njegovom funkcijom u društvu te ga treba ujednačiti s drugim temeljnim pravima u skladu s načelom proporcionalnosti. Ovom se Uredbom poštuju sva temeljna prava i uvažavaju slobode i načela priznata Poveljom koja su sadržana u Ugovorima, osobito poštovanje privatnog i obiteljskog života, doma i komuniciranja, zaštita osobnih podataka, sloboda mišljenja, savjesti i vjeroispovijedi, sloboda izražavanja i informiranja, sloboda poduzetništva, pravo na učinkoviti pravni lijek i pošteno suđenje te pravo na kulturnu, vjersku i jezičnu raznolikost.

(5)

Gospodarska i društvena integracija proizašla iz funkcioniranja unutarnjeg tržišta dovela je do znatnog povećanja prekograničnih protoka osobnih podataka. Povećala se razmjena osobnih podataka između javnih i privatnih sudionika, uključujući pojedince, udruženja i poduzetnike širom Unije. U skladu s pravom Unije nacionalna tijela država članica pozivaju se na suradnju i razmjenu osobnih podataka kako bi mogla izvršavati svoje dužnosti ili izvršavati zadaće u ime tijela u drugoj državi članici.

(6)

Zbog brzog tehnološkog razvoja i globalizacije pojavili su se novi izazovi u zaštiti osobnih podataka. Opseg prikupljanja i razmjene osobnih podataka značajno se povećava. Tehnologijom se privatnim društvima i tijelima javne vlasti omogućuje uporaba osobnih podataka u dosada nedosegnutom opsegu radi ostvarenja njihovih djelatnosti. Pojedinci svoje osobne informacije sve više čine dostupnima javno i globalno. Tehnologija je preobrazila i gospodarstvo i društveni život te bi trebala dalje olakšavati slobodan protok osobnih podataka u Uniji i prijenos trećim zemljama i međunarodnim organizacijama, osiguravajući pri tome visoku razinu zaštite osobnih podataka.

(7)

Za takav razvoj potreban je čvrst i usklađeniji okvir za zaštitu podataka u Uniji koji se temelji na odlučnoj provedbi s obzirom na važnost stvaranja povjerenja koje će omogućiti razvoj digitalne ekonomije na čitavom unutarnjem tržištu. Pojedinci bi trebali imati nadzor nad vlastitim osobnim podacima. Pravnu i praktičnu sigurnost pojedinaca, gospodarskih subjekata i tijela javne vlasti trebalo bi poboljšati.

(8)

Ako se ovom Uredbom predviđaju specifikacije ili ograničenja njezinih pravila pravom države članice, države članice mogu, u mjeri u kojoj je to potrebno radi usklađenosti i kako bi nacionalne odredbe bile razumljive osobama na koje se primjenjuju, elemente ove Uredbe uključiti u svoje nacionalno pravo.

(9)

Ciljevi i načela Direktive 95/46/EZ i dalje su utemeljeni, no njome nisu spriječeni rascjepkanost provedbe zaštite podataka u Uniji, pravna nesigurnost ili rasprostranjeno javno mišljenje da osobito kod internetskih aktivnosti postoje znatni rizici povezani sa zaštitom pojedinaca. Razlike u razini zaštite prava i sloboda pojedinaca, a posebno prava na zaštitu osobnih podataka, koje pružaju države članice u vezi s obradom osobnih podataka mogu spriječiti slobodni protok osobnih podataka u Uniji. Te razlike stoga mogu predstavljati prepreku obavljanju gospodarskih djelatnosti na razini Unije, narušiti tržišno natjecanje te spriječiti nadležna tijela u ispunjenju njihovih odgovornosti na temelju prava Unije. Do takve razlike u razinama zaštite došlo je zbog postojanja razlika u provedbi i primjeni Direktive 95/46/EZ.

(10)

Kako bi se osigurala postojana i visoka razina zaštite pojedinaca te uklonile prepreke protoku osobnih podataka unutar Unije, razina zaštite prava i sloboda pojedinaca u vezi s obradom takvih podataka trebala bi biti jednaka u svim državama članicama. U čitavoj Uniji trebalo bi osigurati postojanu i homogenu primjenu pravila za zaštitu temeljnih prava i sloboda pojedinaca u vezi s obradom osobnih podataka. U pogledu obrade osobnih podataka za usklađivanje s pravnom obvezom, za izvršavanje zadaće od javnog interesa ili pri obavljanju službene ovlasti dodijeljene voditelju obrade državama članicama trebalo bi dopustiti da zadrže ili uvedu nacionalne odredbe kako bi se dodatno odredila primjena pravila iz ove Uredbe. Zajedno s općim i horizontalnim zakonodavstvom o zaštiti podataka kojim se provodi Direktiva 95/46/EZ, države članice imaju nekoliko posebnih zakona za pojedine sektore u onim područjima u kojima su potrebne konkretnije odredbe. Ovom Uredbom također se državama članicama pruža prostor za djelovanje kako bi bolje odredile njezina pravila uključujući obradu posebnih kategorija osobnih podataka („osjetljivi podaci”). U tom smislu ovom se Uredbom ne isključuje pravo države članice kojim se utvrđuju okolnosti posebnih situacija obrade, što uključuje preciznije određivanje uvjeta pod kojima je obrada osobnih podataka zakonita.

(11)

Djelotvorna zaštita osobnih podataka širom Unije zahtijeva jačanje i detaljno određivanje prava ispitanika i obveza onih koji obrađuju i određuju obradu osobnih podataka, kao i jednake ovlasti praćenja i osiguravanja poštovanja pravila za zaštitu osobnih podataka i jednake sankcije za kršenja u državama članicama.

(12)

Člankom 16. stavkom 2. UFEU-a Europskom parlamentu i Vijeću nalaže se utvrđivanje pravila o zaštiti pojedinaca s obzirom na obradu osobnih podataka i pravila u vezi sa slobodnim kretanjem takvih podataka.

(13)

Kako bi se osigurala dosljedna razina zaštite pojedinaca širom Unije i spriječila razilaženja koja ometaju slobodno kretanje osobnih podataka na unutarnjem tržištu, potrebna je Uredba radi pružanja pravne sigurnosti i transparentnosti gospodarskim subjektima, uključujući mikropoduzeća, mala i srednja poduzeća, te pružanja pojedincima u svim državama članicama istu razinu pravno primjenjivih prava i obveza te odgovornosti za voditelje obrade i izvršitelje obrade kako bi se osiguralo postojano praćenje obrade osobnih podataka i jednake sankcije u svim državama članicama, kao i djelotvornu suradnju između nadzornih tijela različitih država članica. Za ispravno funkcioniranje unutarnjeg tržišta ne ograničava se niti zabranjuje slobodno kretanje osobnih podataka u Uniji zbog razloga povezanih sa zaštitom pojedinaca u vezi s obradom osobnih podataka. Ova Uredba sadržava odstupanja za organizacije u kojima je zaposleno manje od 250 osoba s obzirom na vođenje evidencije, radi uzimanja u obzir posebnih situacija mikropoduzeća, malih i srednjih poduzeća. Osim toga, institucije i tijela Unije te države članice i njihova nadzorna tijela potiču se da u primjeni ove Uredbe uzmu u obzir posebne potrebe mikropoduzeća, malih i srednjih poduzeća. Pojam mikropoduzeća, malih i srednjih poduzeća trebao bi se temeljiti na članku 2. Priloga Preporuci Komisije 2003/361/EZ (5).

(14)

Zaštita koja se pruža ovom Uredbom u vezi s obradom osobnih podataka trebala bi se odnositi na pojedince bez obzira na njihovu nacionalnost ili boravište. Ovom se Uredbom ne obuhvaća obrada osobnih podataka koji se tiču pravnih osoba, a osobito poduzetnika koji su ustanovljeni kao pravne osobe, uključujući ime i oblik pravne osobe i kontaktne podatke pravne osobe.

(15)

Radi sprečavanja stvaranja ozbiljnog rizika zaobilaženja propisa, zaštita pojedinaca trebala bi biti tehnološki neutralna i ne bi smjela ovisiti o upotrebljavanim tehnologijama. Zaštita pojedinaca trebala bi se primjenjivati na obradu osobnih podataka automatiziranim sredstvima, kao i na ručnu obradu, ako su osobni podaci pohranjeni ili ih se namjerava pohraniti u sustav pohrane. Dokumenti ili skupovi dokumenata, kao i njihove naslovne stranice, koji nisu strukturirani prema posebnim mjerilima ne bi trebali biti obuhvaćeni područjem primjene ove Uredbe.

(16)

Ova se Uredba ne primjenjuje na pitanja zaštite temeljnih prava i sloboda ili slobodnog protoka osobnih podataka u vezi s djelatnostima koje ne ulaze u područje primjene prava Unije, kao što su djelatnosti u vezi s nacionalnom sigurnošću. Ova se Uredba ne primjenjuje na obradu osobnih podataka od strane država članica pri obavljanju djelatnosti povezanih sa zajedničkom vanjskom i sigurnosnom politikom Unije.

(17)

Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća (6) primjenjuje se na obradu osobnih podataka koju obavljaju institucije, tijela, uredi i agencije Unije. Uredba (EZ) br. 45/2001 i drugi pravni akti Unije primjenjivi na takvu obradu osobnih podataka trebali bi se prilagoditi načelima i pravilima iz ove Uredbe i primjenjivati s obzirom na ovu Uredbu. Kako bi se osigurao čvrst i usklađen okvir za zaštitu podataka u Uniji, nakon donošenja ove Uredbe trebale bi uslijediti potrebne prilagodbe Uredbe (EZ) br. 45/2001 kako bi se omogućila istovremena primjena obiju uredaba.

(18)

Ova se Uredba ne primjenjuje na obradu osobnih podataka koju fizičke osobe obavljaju u okviru isključivo osobne ili kućne aktivnosti te stoga nije povezana s profesionalnom ili komercijalnom djelatnošću. U osobne ili kućne aktivnosti može se ubrajati korespondencija i posjedovanje adresa ili društveno umrežavanje te internetske aktivnosti poduzete u kontekstu takvih aktivnosti. Međutim, ova se Uredba primjenjuje na voditelje obrade ili izvršitelje obrade koji pružaju sredstva za obradu osobnih podataka za takve osobne ili kućne aktivnosti.

(19)

Zaštita pojedinaca s obzirom na obradu osobnih podataka koju obavljaju nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i slobodnom kretanju takvih podataka i njihovo sprečavanje, podliježe posebnom pravnom aktu Unije. Stoga se ova Uredba ne bi trebala primjenjivati na aktivnosti obrade u te svrhe. No, osobni podaci koje su obradila tijela javne vlasti u skladu s ovom Uredbom trebali bi, kada se upotrebljavaju u te svrhe, biti uređeni posebnim pravnim aktom Unije i to Direktivom (EU) 2016/680 Europskog parlamenta i Vijeća (7). Države članice mogu povjeriti nadležnim tijelima u smislu Direktive (EU) 2016/680 zadaće koje se ne provode nužno u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, tako da je obrada osobnih podataka za te druge svrhe, u mjeri u kojoj potpada pod područje primjene prava Unije, obuhvaćena područjem primjene ove Uredbe.

U vezi s obradom osobnih podataka koju obavljaju ta nadležna tijela u svrhe koje su obuhvaćene područjem primjene ove Uredbe, države članice trebale bi biti u mogućnosti zadržati ili uvesti preciznije odredbe kojima se prilagođava primjena pravila ove Uredbe. Tim se odredbama mogu detaljnije utvrditi posebni zahtjevi za obradu osobnih podataka koju obavljaju ta nadležna tijela u te druge svrhe, uzimajući u obzir ustavnu, organizacijsku i administrativnu strukturu dotične države članice. Kada osobne podatke obrađuju privatna tijela i takva obrada ulazi u područje primjene ove Uredbe, ova Uredba trebala bi predvidjeti mogućnost da države članice pod posebnim uvjetima zakonom ograniče određene obveze i prava kada takvo ograničenje predstavlja nužnu i proporcionalnu mjeru u demokratskom društvu za očuvanje posebnih važnih interesa, uključujući javnu sigurnost te sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje. To je, na primjer, relevantno u okviru borbe protiv pranja novca ili djelatnosti forenzičkih laboratorija.

(20)

Iako se ova Uredba primjenjuje, među ostalim, na aktivnosti sudova i drugih pravosudnih tijela, u pravu Unije ili pravu države članice moglo bi se odrediti radnje i postupke obrade u vezi s obradom osobnih podataka koju obavljaju sudovi i druga pravosudna tijela. Nadležnost nadzornih tijela ne bi smjela obuhvaćati obradu osobnih podataka kada sudovi djeluju u sudbenom svojstvu kako bi se zaštitila neovisnost pravosuđa u obavljanju njegovih sudskih zadaća, među ostalim u donošenju odluka. Trebalo bi biti moguće povjeriti nadzor takvih radnji obrade podataka posebnim tijelima u okviru pravosudnog sustava države članice, koja bi posebno trebala osigurati sukladnost s pravilima ove Uredbe, promicati svijest djelatnika u pravosuđu s o njihovim obvezama na temelju ove Uredbe i rješavati pritužbe u vezi s takvom obradom osobnih podataka.

(21)

Ovom se Uredbom ne dovodi u pitanje primjena Direktive 2000/31/EZ Europskog parlamenta i Vijeća (8), posebno pravila o odgovornosti posrednih davatelja usluga iz članaka od 12. do 15. Tom se Direktivom nastoji doprinijeti ispravnom funkcioniranju unutarnjeg tržišta putem osiguravanja slobodnog kretanja usluga informacijskog društva između država članica.

(22)

Svaka obrada osobnih podataka u Uniji s obzirom na djelatnosti poslovnog nastana voditelja obrade ili izvršitelja obrade trebala bi se obavljati u skladu s ovom Uredbom, neovisno o tome obavlja li se sama obrada u Uniji. Poslovni nastan podrazumijeva djelotvorno i stvarno obavljanje djelatnosti putem stabilnih aranžmana. Pravni oblik takvih aranžmana, bilo kroz podružnicu ili društvo kćer s pravnom osobnošću, nije odlučujući čimbenik u tom pogledu.

(23)

Kako bi se osiguralo da pojedincima nije uskraćena zaštita na koju imaju pravo na temelju ove Uredbe, na obradu osobnih podataka ispitanika koji se nalaze u Uniji, a koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji, trebala bi se primjenjivati ova Uredba ako su aktivnosti obrade povezane s ponudom robe ili usluga takvim ispitanicima, bez obzira na to ima li ta ponuda veze s plaćanjem. Kako bi se utvrdilo nudi li takav voditelj obrade ili izvršitelj obrade robu ili usluge ispitanicima koji se nalaze u Uniji, trebalo bi utvrditi je li očito da voditelj obrade ili izvršitelj obrade namjerava ponuditi usluge ispitanicima koji se nalaze u jednoj ili više država članica Unije. Iako su sama dostupnost internetskih stranica voditelja obrade, izvršitelja obrade ili posrednika u Uniji ili adrese elektroničke pošte i drugih kontaktnih podataka ili korištenje jezikom koji je općenito u uporabi u trećoj zemlji u kojoj voditelj obrade ima poslovni nastan nedovoljni za utvrđivanje takve namjere, čimbenici kao što je korištenje jezikom ili valutom koji su općenito u uporabi u jednoj ili više država članica s mogućnošću naručivanja robe i usluga na tom drugom jeziku, ili spominjanje kupaca ili korisnika koji se nalaze u Uniji, mogu jasno pokazati da voditelj obrade namjerava nuditi robu ili usluge ispitanicima u Uniji.

(24)

Na obradu osobnih podataka ispitanika koji se nalaze u Uniji, a koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji, također bi se trebala primjenjivati ova Uredba kada se odnosi na praćenje ponašanja takvih ispitanika ako se njihovo ponašanje odvija unutar Unije. Kako bi se odredilo može li se aktivnost obrade smatrati praćenjem ponašanja ispitanika, trebalo bi utvrditi prati li se pojedince na internetu među ostalim mogućom naknadnom upotrebom tehnika obrade osobnih podataka koje se sastoje od izrade profila pojedinca, osobito radi donošenja odluka koje se odnose na njega ili radi analize ili predviđanja njegovih osobnih sklonosti, ponašanja i stavova.

(25)

Kada se pravo države članice primjenjuje na temelju međunarodnog javnog prava, ova Uredba trebala bi se primjenjivati i na voditelje obrade koji nemaju poslovni nastan u Uniji, kao na primjer u diplomatskom ili konzularnom predstavništvu države članice.

(26)

Načela zaštite podataka trebala bi se primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Osobne podatke koji su pseudonimizirani, a koji bi se mogli pripisati nekom pojedincu uporabom dodatnih informacija trebalo bi smatrati informacijama o pojedincu čiji se identitet može utvrditi. Kako bi se odredilo može li se identitet pojedinca utvrditi, trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koja voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca. Kako bi se utvrdilo je li po svemu sudeći izgledno da se upotrebljavaju sredstva za utvrđivanje identiteta pojedinca, trebalo bi uzeti u obzir sve objektivne čimbenike, kao što su troškovi i vrijeme potrebno za utvrđivanje identiteta, uzimajući u obzir i tehnologiju dostupnu u vrijeme obrade i tehnološki razvoj. Načela zaštite podataka stoga se ne bi trebala primjenjivati na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su učinjeni anonimnima na način da se identitet ispitanika ne može ili više ne može utvrditi. Ova se Uredba stoga ne odnosi na obradu takvih anonimnih informacija, među ostalim za statističke ili istraživačke svrhe.

(27)

Ova se Uredba ne primjenjuje na osobne podatke preminulih osoba. Države članice mogu predvidjeti pravila u vezi s obradom osobnih podataka preminulih osoba.

(28)

Primjena pseudonimizacije na osobne podatke može smanjiti rizike za dotične ispitanike i pomoći voditeljima obrade i izvršiteljima obrade u ispunjavanju njihovih obveza u vezi sa zaštitom podataka. Izričitim uvođenjem „pseudonimizacije” ovom se Uredbom ne namjerava isključiti bilo koje druge mjere za zaštitu podataka.

(29)

Radi poticanja primjene pseudonimizacije prilikom obrade osobnih podataka trebalo bi omogućiti da isti voditelj obrade može provoditi mjere pseudonimizacije i opću analizu u slučajevima kada je taj voditelj obrade poduzeo tehničke i organizacijske mjere potrebne za osiguravanje, u dotičnoj obradi, provedbe ove Uredbe, te zasebno čuvanje dodatnih informacija za pripisivanje osobnih podataka određenom ispitaniku. Voditelj obrade koji obrađuje osobne podatke trebao bi navesti ovlaštene osobe u okviru istog voditelja obrade.

(30)

Pojedinci mogu biti pridruženi mrežnim identifikatorima koje pružaju njihovi uređaji, aplikacije, alati i protokoli, kao što su adrese internetskog protokola, identifikatori kolačića ili drugim identifikatorima poput oznaka za radiofrekvencijsku identifikaciju. Tako mogu ostati tragovi koji se, posebno u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje primaju poslužitelji, mogu upotrijebiti za izradu profila pojedinaca i njihovu identifikaciju.

(31)

Tijela javne vlasti kojima se otkrivaju osobni podaci u skladu s pravnom obvezom izvršavanja njihovih službenih zadaća, poput poreznih i carinskih tijela, jedinica za financijsku istragu, neovisnih upravnih tijela ili tijela za financijska tržišta, odgovorna za reguliranje i nadzor tržišta vrijednosnih papira, ne bi se smjela smatrati primateljima ako prime osobne podatke koji su potrebni za provedbu određene istrage u općem interesu, u skladu s pravom Unije ili pravom države članice. Zahtjevi za otkrivanje koje šalju tijela javne vlasti trebali bi uvijek biti u pisanom obliku, obrazloženi i povremeni i ne bi se trebali odnositi na čitav sustav pohrane ili dovesti do međupovezanosti sustavâ pohrane. Ta tijela javne vlasti trebala bi obrađivati takve osobne podatke u skladu s primjenjivim pravilima za zaštitu podataka ovisno o svrhama obrade.

(32)

Privola bi se trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave. To bi moglo obuhvaćati označivanje polja kvačicom pri posjetu internetskim stranicama, biranje tehničkih postavaka usluga informacijskog društva ili drugu izjavu ili ponašanje koje jasno pokazuje u tom kontekstu da ispitanik prihvaća predloženu obradu svojih osobnih podataka. Šutnja, unaprijed kvačicom označeno polje ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom. Privola bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za sve njih. Ako se privola ispitanika treba dati nakon zahtjeva upućenog elektroničkim putem, taj zahtjev mora biti jasan, jezgrovit i ne smije nepotrebno ometati upotrebu usluge za koju se upotrebljava.

(33)

Često nije moguće u potpunosti identificirati svrhu obrade osobnih podataka u znanstvene svrhe u trenutku prikupljanja podataka. Stoga bi se ispitanicima trebalo omogućiti da svoju privolu daju za određena područja znanstvenog istraživanja uz pridržavanje priznatih etičkih normi za znanstveno istraživanje. Ispitanici bi trebali imati priliku dati svoju privolu samo za određena područja istraživanja ili dijelove istraživačkih projekata u mjeri u kojoj to dopušta željena namjena.

(34)

Genetski podaci trebali bi se definirati kao osobni podaci u vezi s naslijeđenim ili stečenim genetskim obilježjima pojedinca koji proizlaze iz analize biološkog uzorka pojedinca o kojemu je riječ, osobito analize kromosoma, deoksiribonukleinske kiseline (DNK) ili ribonukleinske kiseline (RNK) ili iz analize drugog elementa koji omogućuje dobivanje jednakovrijedne informacije.

(35)

Osobni podaci koji se odnose na zdravlje trebali bi obuhvaćati sve podatke koji se odnose na zdravstveno stanje ispitanika, a koji otkrivaju informacije u vezi s prijašnjim, trenutačnim ili budućim fizičkim ili mentalnim zdravstvenim stanjem ispitanika. To uključuje informacije o pojedincu prikupljene tijekom registracije za ili tijekom pružanja tom pojedincu zdravstvenih usluga kako je navedeno u Direktivi 2011/24/EU Europskog parlamenta i Vijeća (9); broj, simbol ili oznaku koja je pojedincu dodijeljena u svrhu njegove jedinstvene identifikacije za zdravstvene svrhe; informacije izvedene iz testiranja ili ispitivanja dijela tijela ili tjelesne tvari, među ostalim iz genetskih podataka i bioloških uzoraka; i bilo kakvu informaciju o, na primjer, bolesti, invalidnosti, riziku od bolesti, medicinskoj povijesti, kliničkom tretmanu ili fiziološkom ili biomedicinskom stanju ispitanika neovisno o njegovu izvoru, kao na primjer od liječnika ili drugog zdravstvenog djelatnika, bolnice, medicinskog uređaja ili dijagnostičkog testa in vitro.

(36)

Glavni poslovni nastan voditelja obrade u Uniji trebalo bi biti mjesto njegove središnje uprave u Uniji, osim ako se odluke o svrhama i načinima obrade osobnih podataka donose u drugom poslovnom nastanu voditelja obrade u Uniji, u kojem slučaju taj drugi poslovni nastan trebao bi se smatrati glavnim poslovnim nastanom. Glavni poslovni nastan voditelja obrade u Uniji trebalo bi utvrditi prema objektivnim kriterijima, a pod time bi se trebalo podrazumijevati djelotvorno i stvarno obavljanje upravljačkih aktivnosti koje utvrđuju glavne odluke u vezi sa svrhama i načinima obrade putem stabilnih aranžmana. Taj kriterij ne bi smio ovisiti o tome obavljali se obrada osobnih podataka na toj lokaciji. Prisutnost i uporaba tehničkih sredstava i tehnologija za obradu osobnih podataka ili aktivnosti obrade same po sebi ne predstavljaju glavni poslovni nastan pa prema tome nisu odlučujući kriteriji za glavni poslovni nastan. Glavni poslovni nastan izvršitelja obrade trebalo bi biti mjesto njegove središnje uprave u Uniji ili, ako nema središnju upravu u Uniji, mjesto u Uniji u kojemu se odvijaju glavne aktivnosti obrade. U slučajevima koji uključuju i voditelja obrade i izvršitelja obrade, nadležno vodeće nadzorno tijelo trebalo bi ostati nadzorno tijelo države članice u kojoj voditelj obrade ima glavni poslovni nastan, ali nadzorno tijelo izvršitelja obrade trebalo bi smatrati predmetnim nadzornim tijelom te te bi to nadzorno tijelo trebalo sudjelovati u postupku suradnje koji je predviđen ovom Uredbom. U svakom slučaju, nadzorna tijela jedne države članice ili više njih u kojima izvršitelj obrade ima jedan ili više poslovnih nastana ne bi trebalo smatrati predmetnim nadzornim tijelima ako se nacrt odluke odnosi samo na voditelja obrade. Kada obradu obavlja grupa poduzetnika, glavni nastan poduzetnika u vladajućem položaju trebalo bi smatrati glavnim nastanom grupe poduzetnika, osim ako svrhe i načine obrade ne određuje drugi poduzetnik.

(37)

Grupa poduzetnika trebala bi obuhvaćati poduzetnika u vladajućem položaju i njemu podređene poduzetnike gdje bi poduzetnik u vladajućem položaju trebao biti poduzetnik koji može imati prevladavajući utjecaj nad drugim poduzetnicima na temelju, na primjer, vlasništva, financijskog sudjelovanja ili pravila kojima je ono uređeno ili ovlasti za provedbu pravila o zaštiti osobnih podataka. Poduzetnik koji nadzire obradu osobnih podataka kod poduzetnika koji su s njim povezani trebao bi se zajedno s njima smatrati „grupom poduzetnika”.

(38)

Djeca zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka budući mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka. Takvo pravo na posebnu zaštitu trebalo bi se posebno odnositi na upotrebu osobnih podataka djece u svrhu marketinga ili stvaranja osobnih ili korisničkih profila te prikupljanje osobnih podataka o djeci prilikom upotrebe usluga koje se izravno nude djetetu. Privola nositelja roditeljske odgovornosti ne bi trebala biti nužna u kontekstu preventivnih usluga ili usluga savjetovanja koje su ponuđene izravno djetetu.

(39)

Svaka obrada osobnih podataka trebala bi biti zakonita i poštena. Za pojedince bi trebalo biti transparentno kako se osobni podaci koji se odnose na njih prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju, kao i do koje se mjere ti osobni podaci obrađuju ili će se obrađivati. Načelom transparentnosti traži se da svaka informacija i komunikacija u vezi s obradom tih osobnih podataka bude lako dostupna i razumljiva te da se upotrebljava jasan i jednostavan jezik. To se načelo osobito odnosi na informacije ispitaniku o identitetu voditelja obrade i svrhama obrade te daljnje informacije radi osiguravanja poštenosti i transparentnosti obrade s obzirom na pojedince o kojima je riječ i njihovo pravo da dobiju potvrdu i na obavijest o osobnim podacima koji se obrađuju, a koji se odnose na njih. Pojedinci bi trebali biti upoznati s rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom osobnih podataka i načinom ostvarenja svojih prava u vezi s obradom. Osobito,određena svrha u koju se osobni podaci obrađuju trebala bi biti izrijekom navedena i opravdana te određena u vrijeme prikupljanja osobnih podataka. Osobni podaci trebali bi biti primjereni, bitni i ograničeni na ono što je nužno za svrhe u koje se podaci obrađuju. Zbog toga je osobito potrebno osigurati da je razdoblje u kojem se osobni podaci pohranjuju ograničeno na strogi minimum. Osobni podaci trebali bi se obrađivati samo ako se svrha obrade opravdano ne bi mogla postići drugim sredstvima. Radi osiguravanja da se osobni podaci ne drže duže nego što je nužno, voditelj obrade trebao bi odrediti rok za brisanje ili periodično preispitivanje. Trebalo bi poduzeti svaki razumno opravdani korak radi osiguravanja da se netočni osobni podaci isprave ili izbrišu. Osobne podatke trebalo bi obrađivati uz odgovarajuće poštovanje sigurnosti i povjerljivosti osobnih podataka, što obuhvaća i sprečavanje neovlaštenog pristupa osobnim podacima i opremi kojom se koristi pri obradi podataka ili njihove neovlaštene upotrebe.

(40)

Kako bi obrada bila zakonita, osobne podatke trebalo bi obrađivati na temelju privole dotičnog ispitanika ili neke druge legitimne osnove, bilo propisane u ovoj Uredbi bilo u drugom pravu Unije ili pravu države članice na koji upućuje ova Uredba, uključujući obvezu poštovanja pravne obveze kojoj podliježe voditelj obrade ili obvezno izvršavanje ugovora u kojem je ispitanik jedna od stranaka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora.

(41)

Ako se ovom Uredbom upućuje na pravnu osnovu ili zakonodavnu mjeru, to ne znači nužno da parlament mora donijeti zakonodavni akt, ne dovodeći u pitanje zahtjeve u skladu s ustavnim poretkom dotične države članice. Međutim, takva pravna osnova ili zakonodavna mjera trebala bi biti jasna i precizna, a njezina primjena trebala bi biti predvidljiva osobama na koje se primjenjuje sukladno sudskoj praksi Suda Europske unije („Sud”) i Europskog suda za ljudska prava.

(42)

Ako se obrada temelji na privoli ispitanika, voditelj obrade trebao bi moći dokazati da je ispitanik dao privolu za postupak obrade. Zaštitnim mjerama, posebno u kontekstu pisane izjave o drugom pitanju, trebalo bi se osigurati da je ispitanik svjestan činjenice da daje privolu i do koje mjere se ona daje. U skladu s Direktivom Vijeća 93/13/EEZ (10) izjavu o privoli koju je unaprijed sastavio voditelj obrade trebalo bi ponuditi u razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te u njoj ne bi smjelo biti nepoštenih uvjeta. Da bi ispitanik mogao dati privolu informiran, trebao bi barem znati identitet voditelja obrade i svrhe obrade za koju se upotrebljavaju osobni podaci. Ne može se smatrati da je privola dana dobrovoljno ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica.

(43)

Kako bi se osiguralo da je privola dana dobrovoljno, ona ne bi smjela predstavljati valjanu pravnu osnovu za obradu osobnih podataka u određenom slučaju kada postoji jasna neravnoteža između ispitanika i voditelja obrade, posebno ako je voditelj obrade tijelo javne vlasti i stoga nije vjerojatno da je s obzirom na sve okolnostima te posebne situacije privola dana dobrovoljno. Smatra se da privola nije dana dobrovoljno ako se njome ne omogućuje davanje zasebne privole za različite postupke obrade podataka, unatoč tome što je primjerena pojedinačnom slučaju ili ako izvršenje ugovora, među ostalim i pružanje usluge, ovisi o privoli i ako takva privola nije nužna za takvo izvršenje.

(44)

Obrada bi se trebala smatrati zakonitom ako je potrebna u kontekstu ugovora ili namjere sklapanja ugovora.

(45)

Ako se obrada odvija u skladu s pravnim obvezama kojima podliježe voditelj obrade ili ako je obrada potrebna za izvršavanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti, obrada bi se trebala temeljiti na pravu Unije ili pravu države članice. Ovom se Uredbom ne zahtijeva potreba posebnog propisa za svaku pojedinačnu obradu. Jedan propis kao osnova za više postupaka obrade, koji se temelje na pravnoj obvezi kojoj podliježe voditelj obrade ili ako je obrada potrebna za izvršenje zadaće koja se provodi zbog javnog interesa ili pri izvršavanju službene ovlasti, može biti dovoljan. Pravom Unije ili pravom države članice također bi se trebala odrediti svrha obrade. Osim toga, tim bi se propisom mogli utvrditi opći uvjeti ove Uredbe kojima se uređuje zakonitost obrade osobnih podataka, utvrditi specifikacije za utvrđivanje voditelja obrade, vrste osobnih podataka koji podliježu obradi, dotičnih ispitanika, subjekata kojima se osobni podaci mogu otkriti, ograničenja svrhe, razdoblja pohrane i drugih mjera za osiguravanje zakonite i poštene obrade. Osim toga, pravom Unije ili pravom države članice trebalo bi odrediti bi li voditelj obrade koji obavlja zadaću u javnom interesu ili prilikom izvršavanja službene ovlasti trebao biti tijelo javne vlasti ili druga fizička ili pravna osoba koja posluje sukladno javnom pravu ili privatnom pravu, kao što je strukovno udruženje, u slučaju da je to opravdano javnim interesom, među ostalim u slučaju zdravstvenih svrha, kao što su javno zdravlje i socijalna zaštita te upravljanje službama za zdravstvenu skrb.

(46)

Obrada osobnih podataka trebala bi se također smatrati zakonitom ako je potrebna za zaštitu interesa koji je neophodan za očuvanje života ispitanika ili druge fizičke osobe. Obrada osobnih podataka na temelju životno važnih interesa druge fizičke osobe u načelu bi se smjela obavljati samo ako se obrada očito ne može temeljiti na drugoj pravnoj osnovi. Neke vrste obrade mogu poslužiti i za važne potrebe javnog interesa i životno važne interese ispitanika kao, na primjer, ako je obrada potrebna u humanitarne svrhe, među ostalim za praćenje epidemija i njihovog širenja ili u humanitarnim krizama, posebno u slučajevima prirodnih katastrofa i katastrofa uzrokovanih ljudskim djelovanjem.

(47)

Legitimni interesi voditelja obrade, među ostalim onih interesa voditelja obrade kojem se osobni podaci mogu otkriti ili treće strane, mogu predstavljati pravnu osnovu za obradu pod uvjetom da interesi ili temeljna prava i slobode ispitanika nemaju prednost, uzimajući u obzir razumna očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade. Takav legitiman interes mogao bi na primjer postojati u slučaju relevantnog i odgovarajućeg odnosa ispitanika i voditelja obrade u situacijama poput one kada je ispitanik klijent voditelja obrade ili u njegovoj službi. U svakom slučaju postojanje legitimnog interesa zahtijevalo bi pažljivu procjenu, među ostalim i toga može li ispitanik u vrijeme i u kontekstu prikupljanja osobnih podataka razumno očekivati obradu u dotičnu svrhu. Interesi i temeljna prava ispitanika posebno bi mogli nadvladati interes voditelja obrade ako se osobni podaci obrađuju u okolnostima u kojima ispitanici razumno ne očekuju daljnju obradu. Budući da je zakonodavac dužan zakonski odrediti pravnu osnovu za obradu osobnih podataka koju provode tijela javne vlasti, ta pravna osnova ne bi se smjela primjenjivati na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća. Obrada osobnih podataka koja je nužna u svrhe sprečavanja prijevara također predstavlja legitiman interes dotičnog voditelja obrade podataka. Može se smatrati da postoji legitiman interes kod obrade osobnih podataka provedene za potrebe izravnog marketinga.

(48)

Voditelji obrade koji su dio grupe poduzetnika ili institucija povezanih sa središnjim tijelom mogu imati legitimni interes za prijenos osobnih podataka unutar grupe poduzetnika za unutarnje administrativne potrebe, među ostalim za obradu osobnih podataka klijenata ili zaposlenika. Opća načela za prijenos osobnih podataka unutar grupe poduzetnika određenom poduzetniku koje se nalazi u trećoj zemlji ostaju nepromijenjena.

(49)

Obrada osobnih podataka u mjeri koja je nužna i proporcionalna za potrebe osiguravanja sigurnosti mreže i informacija, odnosno sposobnosti mreže ili informacijskog sustava da se odupre, na danom stupnju povjerljivosti, slučajnim događajima ili nezakonitim ili zlonamjernim radnjama koje ugrožavaju dostupnost, autentičnost, integritet i povjerljivost pohranjenih ili prenesenih osobnih podataka te sigurnost povezanih usluga koje nude ili koje su dostupne putem tih mreža i sustava, koju provode tijela javne vlasti, jedinice za hitne računalne intervencije (CERT-ovi), jedinice za računalne sigurnosne incidente (CSIRT-ovi), pružatelji elektroničkih komunikacijskih mreža i usluga te davatelji sigurnosnih tehnologija i usluga smatra se legitimnim interesom dotičnog voditelja obrade podataka. To bi, na primjer, moglo uključivati sprečavanje neovlaštenog pristupa elektroničkim komunikacijskim mrežama i širenja zlonamjernih kodova te zaustavljanje napada „uskraćivanjem usluge” te sprečavanje štete na računalnim i elektroničkim komunikacijskim sustavima.

(50)

Obrada osobnih podataka u svrhe različite od svrha za koje su podaci prvotno prikupljeni smjela bi se dopustiti samo ako je obrada usklađena sa svrhama za koje su osobni podaci prvotno prikupljeni. U takvom slučaju nije potrebna pravna osnova zasebna od one kojom je dopušteno prikupljanje osobnih podataka. Ako je obrada potrebna za obavljanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti koju ima voditelj obrade, pravom Unije ili pravom države članice mogu se utvrditi i odrediti zadaće i svrhe za koje će se nastavak obrade smatrati usklađenim i zakonitim. Nastavak obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebalo bi smatrati usklađenom zakonitom obradom. Pravna osnova koja se predviđa pravom Unije ili pravom države članice za obradu osobnih podataka također može činiti pravnu osnovu za daljnju obradu. Radi utvrđivanja je li svrha nastavka obrade usklađena sa svrhom prvotnog prikupljanja osobnih podataka, voditelj obrade nakon ispunjavanja svih zahtjeva zakonitosti izvorne obrade trebao bi uzeti u obzir, među ostalim, svaku vezu između te svrhe i svrhe planiranog nastavka obrade, kontekst u kojem su prikupljeni osobni podaci posebno opravdana očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade u pogledu daljnje uporabe podataka, prirodu osobnih podataka, posljedice planiranog nastavka obrade za ispitanike i postojanje primjerenih zaštitnih mjera u izvornoj i planiranoj daljnjoj obradi.

Ako je ispitanik dao privolu ili se obrada temelji na pravu Unije ili pravu države članice koje čini potrebnu i razmjernu mjeru u demokratskom društvu posebno za zaštitu važnih ciljeva od općeg javnog interesa, voditelju obrade trebalo bi dopustiti daljnju obradu osobnih podataka neovisno o usklađenosti svrha. U svakom slučaju trebalo bi osigurati primjenu načela iz ove Uredbe, a osobito informirati ispitanika o tim drugim svrhama te o njegovim pravima, među ostalim o pravu na prigovor. Ukazivanje voditelja obrade na moguća kaznena djela ili prijetnje javnoj sigurnosti i prijenos relevantnih osobnih podataka nadležnom tijelu u pojedinim slučajevima ili u više njih koji se odnose na isto kazneno djelo ili prijetnje javnoj sigurnosti trebalo bi smatrati legitimnim interesom voditelja obrade. Međutim, takav prijenos u legitimnom interesu voditelja obrade ili daljnju obradu osobnih podataka trebalo bi zabraniti ako obrada nije u skladu s pravnim, profesionalnim ili drugim prisilnim obvezama poštovanja tajnosti.

(51)

Osobni podaci koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode. Ti bi osobni podaci trebali obuhvatiti osobne podatke koji otkrivaju rasno ili etničko podrijetlo, pri čemu upotreba termina „rasno podrijetlo” u ovoj Uredbi ne podrazumijeva da Unija prihvaća teorije koje pokušavaju odrediti postojanje odvojenih ljudskih rasa. Obradu fotografija ne bi trebalo sustavno smatrati obradom posebnih kategorija osobnih podataka jer su one biti obuhvaćene samo definicijom biometrijskih podataka pri obradi posebnim tehničkim sredstvima kojima se omogućuje jedinstvena identifikacija ili autentifikacija pojedinca. Takvi osobni podaci ne bi se smjeli obrađivati osim ako je obrada dopuštena u posebnim slučajevima navedenima u ovoj Uredbi, uzimajući u obzir da pravom država članica mogu biti propisane posebne odredbe o zaštiti podataka kako bi se prilagodila primjena pravila iz ove Uredbe radi poštovanja pravne obveze ili za obavljanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti koju ima voditelj obrade. Osim posebnih zahtjeva za takvu obradu, trebala bi se primjenjivati opća načela i druga pravila iz ove Uredbe, posebno u pogledu uvjeta za zakonitu obradu. Odstupanja od opće zabrane obrade takvih posebnih kategorija osobnih podataka trebala bi biti izričito predviđena, među ostalim ako je ispitanik dao svoju izričitu privolu ili u vezi s posebnim potrebama, pogotovo ako se obrada provodi u sklopu legitimnih aktivnosti određenih udruženja ili zaklada čiji je cilj dopustiti ostvarivanje temeljnih sloboda.

(52)

Odstupanje od zabrane obrade posebnih kategorija osobnih podataka također bi se trebalo dopustiti kad god je to predviđeno pravom Unije ili pravom države članice i podložno odgovarajućim zaštitnim mjerama radi zaštite osobnih podataka i drugih temeljnih prava, ako je u javnom interesu da se to učini, posebno u slučaju obrade osobnih podataka u području radnog prava, prava u vezi socijalnom zaštitom, uključujući mirovine te u svrhu zdravstvene zaštite, praćenja i uzbunjivanja, sprečavanja ili kontrole zaraznih bolesti i drugih ozbiljnih opasnosti za zdravlje. Takvo se odstupanje može učiniti u zdravstvene svrhe, među ostalim za javno zdravlje i upravljanje uslugama zdravstvene skrbi, posebno kako bi se osigurala kvaliteta i isplativost postupaka koji se upotrebljavaju za rješavanje potraživanja za naknadama i uslugama u sustavu zdravstvenog osiguranja ili u svrhe arhiviranja u javnom interesu, u svrhe znanstvenih ili povijesnih istraživanja ili u statističke svrhe. Odstupanjem bi se također trebala omogućiti obrada takvih osobnih podataka ako su nužni za postavljanje, ostvarivanje ili obranu pravnih zahtjeva, neovisno je li to u sudskom ili upravnom postupku ili bilo kojem izvansudskom postupku.

(53)

Posebne kategorije osobnih podataka koje zaslužuju veći stupanj zaštite trebale bi se obrađivati samo u svrhe povezane sa zdravljem radi ostvarivanja tih svrhâ u korist pojedinaca i društva u cjelini, pogotovo u kontekstu upravljanja uslugama i sustavima zdravstvene ili socijalne skrbi, u što se ubraja i obrada takvih podataka koju u svrhu kontrole kvalitete, informacija o upravljanju i općeg nacionalnog i lokalnog nadzora sustava zdravstvene ili socijalne skrbi provode uprava i središnja nacionalna tijela nadležna za zdravlje i u svrhu osiguravanja kontinuiteta zdravstvene ili socijalne skrbi i prekogranične zdravstvene skrbi ili u svrhe zdravstvene zaštite, nadzora i uzbunjivanja, ili u svrhe arhiviranja u javnom interesu,u svrhe znanstvenih ili povijesnih istraživanja ili u statističke svrhe utemeljene na pravu Unije ili pravu države članice i čime treba ostvariti cilj od javnog interesa, kao i za studije koje se provode u javnom interesu u području javnog zdravlja. Stoga bi se ovom Uredbom trebali utvrditi usklađeni uvjeti za obradu posebnih kategorija osobnih podataka koji se odnose na zdravlje, za posebne potrebe, osobito kada obradu takvih podataka za određene zdravstvene svrhe provode osobe koje podliježu zakonskoj obvezi čuvanja poslovne tajne. Pravom Unije ili pravom države članice trebalo bi predvidjeti specifične i primjerene mjere za zaštitu temeljnih prava i osobnih podataka pojedinaca. Državama članicama trebalo bi omogućiti zadržavanje ili uvođenje dodatnih uvjeta, uključujući ograničenja, u vezi s obradom genetskih podataka, biometrijskih podataka ili podataka koji se odnose na zdravlje. Međutim, to ne bi trebalo spriječiti slobodan protok osobnih podataka unutar Unije ako se ti uvjeti primjenjuju na prekograničnu obradu takvih podataka.

(54)

Obrada posebnih kategorija osobnih podataka bez privole ispitanika može biti potrebna zbog javnog interesa u područjima javnog zdravlja. Takva bi obrada trebala podlijegati primjerenim i specifičnim mjerama kako bi se zaštitila prava i slobode pojedinaca. U tom bi kontekstu „javno zdravlje” trebalo tumačiti kako je definirano u Uredbi (EZ) br. 1338/2008 Europskog parlamenta i Vijeća (11), što znači svi elementi povezani sa zdravljem, tj. zdravstvenim stanjem, uključujući morbiditet i invaliditet, determinante koje utječu na to zdravstveno stanje, potrebe zdravstvene zaštite, sredstva dodijeljena zdravstvenoj zaštiti, pružanje zdravstvene zaštite i opća dostupnost zdravstvene zaštite, kao i troškovi i financiranje zdravstvene zaštite te uzroci smrtnosti. Takva obrada podataka koji se odnose na zdravlje za potrebe javnog interesa ne bi smjela prouzročiti obradu osobnih podataka u druge svrhe koju obavljaju treće strane kao što su poslodavci ili osiguravajuća društva i banke.

(55)

Osim toga, obrada osobnih podataka koju na temelju odredaba ustavnog prava ili međunarodnog javnog prava obavljaju službena tijela radi postizanja ciljeva službeno priznatih vjerskih udruženja, provodi se na temelju javnog interesa.

(56)

Ako tijekom izbornih aktivnosti djelovanje demokratskog sustava u državi članici zahtijeva da političke stranke prikupljaju osobne podatke o političkim mišljenjima ljudi, obrada takvih podataka može se dopustiti iz razloga javnog interesa, pod uvjetom da se uspostave odgovarajuće zaštitne mjere.

(57)

Ako voditelj obrade ne može utvrditi identitet pojedinca na temelju osobnih podataka koje obrađuje, on ne bi smio biti obvezan prikupiti dodatne informacije kako bi utvrdio identitet ispitanika isključivo radi pridržavanja bilo koje odredbe iz ove Uredbe. Međutim, voditelj obrade ne bi smio odbiti dodatne informacije koje je pružio ispitanik kako bi pružio potporu ostvarivanju svojih prava. Identifikacija bi trebala uključivati digitalnu identifikaciju ispitanika, primjerice putem mehanizma autentifikacije kao što su isti podaci kojima se ispitanik koristi da bi se prijavio za internetske usluge koje nudi voditelj obrade.

(58)

Načelom transparentnosti zahtijeva se da svaka informacija namijenjena javnosti ili ispitaniku bude sažeta, lako dostupna i razumljiva, da se upotrebljava jasan i jednostavan jezik te da se usto, prema potrebi, koristi vizualizacijom. Takva bi se informacija također mogla dati u elektroničkom obliku, na primjer na internetskim stranicama, kada je namijenjena javnosti. To je osobito bitno u situacijama u kojima zbog velikog broja sudionika i tehnološke složenosti prakse ispitaniku nije lako prepoznati i razumjeti prikupljaju li se osobni podaci o njemu, tko ih prikuplja i u koju svrhu, kao što je slučaj internetskog oglašavanja. Imajući u vidu da djeca zaslužuju posebnu zaštitu, svaka informacija i komunikacija, u slučaju da je obrada usmjerena prema djetetu, trebale bi biti na jasnom i jednostavnom jeziku koji dijete lako može razumjeti.

(59)

Trebalo bi predvidjeti modalitete kojima se olakšava ostvarivanje prava ispitanika iz ove Uredbe, uključujući mehanizme za podnošenje zahtjeva te, ako je primjenjivo, besplatno ostvarivanje, osobito zahtjeva za pristup osobnim podacima, njihovo ispravljanje ili brisanje i ostvarivanje prava na prigovor. Voditelj obrade trebao bi također pružiti sredstva za elektroničku predaju zahtjeva, osobito ako se osobni podaci obrađuju elektronički. Voditelj obrade trebao bi biti dužan odgovoriti na zahtjev ispitanika bez nepotrebnog odgađanja i najkasnije u roku od mjesec dana te iznijeti razloge ako voditelj obrade nema namjeru ispuniti bilo koji takav zahtjev.

(60)

Načelima poštene i transparentne obrade zahtijeva se da je ispitanik informiran o postupku obrade i njegovim svrhama. Voditelj obrade trebao bi ispitaniku pružiti sve dodatne informacije neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir posebne okolnosti i kontekst obrade osobnih podataka. Osim toga ispitanik bi trebao biti informiran o postupku izrade profila i posljedicama takve izrade profila. Kada se prikupljaju osobni podaci od ispitanika, trebalo bi ga također obavijestiti o tome je li obvezan pružiti osobne podatke te o posljedicama ako takve podatke ne pruži. Ova se informacija može pružiti u kombinaciji sa standardiziranim ikonama kako bi se na lako vidljiv, razumljiv i jasno čitljiv način pružio smislen pregled planirane obrade. Kada su ikone predstavljene elektroničkim putem, trebale bi biti strojno čitljive.

(61)

Ispitaniku bi tijekom prikupljanja podataka trebalo dati informacije o obradi osobnih podataka koji se odnose na njega, ili ako se osobni podaci ne uzimaju od ispitanika već su prikupljeni iz drugog izvora, u razumnom roku ovisno o okolnostima slučaja. Ako se osobni podaci legitimno mogu otkriti drugom primatelju, ispitanika bi trebalo informirati kada se osobni podaci prvi put otkrivaju primatelju. Ako voditelj obrade namjerava obrađivati osobne podatke u svrhu koja je različita od one za koju su prikupljeni, voditelj obrade bi prije te daljnje obrade ispitaniku trebao pružiti informacije o toj drugoj svrsi te druge potrebne informacije. Ako se izvor osobnih podataka ne može dati ispitaniku jer su upotrebljavani razni izvori, trebalo bi dati opće informacije.

(62)

Obvezu pružanja informacija ipak nije potrebno nametati ako ispitanik već posjeduje tu informaciju, ako je bilježenje ili otkrivanje osobnih podataka izrijekom propisano zakonom ili ako je pružanje informacije ispitaniku nemoguće ili bi zahtijevalo nerazmjeran napor. Primjer nemogućnosti pružanja informacija ili nerazmjernog napora posebno bi se mogao javiti ako se obrada obavlja u svrhe arhiviranja u javnom interesu, u svrhe znanstvenih ili povijesnih istraživanja ili u statističke svrhe. U tom smislu trebalo bi razmotriti broj ispitanika, starost podataka i bilo koje druge donesene prikladne zaštitne mjere.

(63)

Ispitanik bi trebao imati pravo pristupa prikupljenim osobnim podacima koji se na njega odnose te ostvarivati to pravo lako i u razumnim intervalima kako bi bio svjestan obrade i provjerio njezinu zakonitost. To uključuje pravo ispitanika na pristup podacima o njegovom zdravstvenom stanju, na primjer podacima u medicinskoj dokumentaciji koja sadržava informacije poput dijagnoza, rezultata pretraga, liječničkih mišljenja, liječenja ili zahvata. Svaki ispitanik stoga bi osobito trebao imati pravo znati i dobiti obavijest o svrhama obrade osobnih podataka, ako je moguće i za koje razdoblje se osobni podaci obrađuju, o primateljima osobnih podataka, o logici automatske obrade osobnih podataka i o posljedicama takve obrade, barem kad se temelji na izradi profila. Ako je moguće, voditelj obrade trebao bi imati mogućnost omogućiti daljinski pristup zaštićenom sustavu koji bi ispitaniku omogućio izravan pristup njegovim osobnim podacima. To pravo ne bi smjelo negativno utjecati na prava ili slobode drugih, uključujući i poslovne tajne ili intelektualno vlasništvo, a osobito na autorsko pravo kojima je zaštićen računalni program. Rezultat tih razmatranja ipak ne bi smjelo biti odbijanje pružanja svih informacija ispitaniku. Ako voditelj obrade obrađuje velike količine informacija koje se odnose na ispitanika, voditelj obrade trebao bi imati mogućnost prije dostave informacije zahtijevati od ispitanika da navede informacije ili aktivnosti obrade na koje se zahtjev odnosi.

(64)

Voditelj obrade trebao bi se koristiti svim razumnim mjerama kako bi utvrdio identitet ispitanika koji traži pristup, a osobito u okviru internetskih usluga i mrežnih identifikatora. Voditelj obrade ne bi smio pohraniti osobne podatke samo zato da bi mogao odgovoriti na moguće zahtjeve.

(65)

Ispitanik bi trebao imati pravo na ispravak osobnih podataka koji se na njega odnose te „pravo na zaborav” ako zadržavanje takvih podataka krši ovu Uredbu ili pravo Unije ili pravo države članice koje se primjenjuje na voditelja obrade. Ispitanici bi osobito trebali imati pravo da se njihovi osobni podaci brišu i više ne obrađuju ako ti osobni podaci više nisu potrebni s obzirom na svrhu u koju su prikupljeni ili na druge načine obrađivani, ako su ispitanici povukli svoju privolu ili ako daju prigovor na obradu osobnih podataka koji se odnose na njih ili ako obrada njihovih osobnih podataka na druge načine nije u skladu s ovom Uredbom. Ovo je pravo osobito bitno ako je ispitanik dao svoju privolu dok je bio dijete i nije bio u potpunosti svjestan rizika obrade, a kasnije želi ukloniti takve osobne podatke, osobito na internetu. Ispitanik bi trebao biti u mogućnosti ostvariti to pravo neovisno o činjenici da više nije dijete. No daljnja pohrana osobnih podataka trebala bi biti zakonita ako je nužna za ostvarivanje prava na slobodu izražavanja i na slobodu informiranja, radi poštovanja pravnih obveza, za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade, na temelju javnog interesa u području javnog zdravlja, u svrhe arhiviranja od javnog interesa, u svrhe znanstvenih ili povijesnih istraživanja, u statističke svrhe ili za postavljanje, ostvarivanje ili obranu pravnih zahtjeva.

(66)

Kako bi se ojačalo „pravo na zaborav” u internetskom okruženju, pravo na brisanje također bi trebalo proširiti tako da bi voditelj obrade koji je objavio osobne podatke bio obvezan obavijestiti voditelje obrade koji takve osobne podatke obrađuju da obrišu sve poveznice s tim osobnim podacima ili kopijama ili replikama tih osobnih podataka. Pritom bi voditelj obrade trebao poduzeti razumne mjere, uzimajući u obzir dostupnu tehnologiju i sredstva dostupna voditelju obrade, uključujući tehničke mjere da obavijesti voditelje obrade, koji obrađuju osobne podatke, o zahtjevu ispitanika.

(67)

Metode kojima se ograničava obrada osobnih podataka mogle bi, među ostalim, uključivati privremeno premještanje odabranih osobnih podataka u drugi sustav obrade, činjenje odabranih podataka nedostupnima za korisnike ili privremeno uklanjanje objavljenih podataka s internetske stranice. U automatiziranim sustavima pohrane ograničavanje obrade u načelu bi trebalo osigurati tehničkim sredstvima na način da osobni podaci nisu predmet daljnjih obrada i da se ne mogu mijenjati. Činjenicu da je obrada osobnih podataka ograničena trebalo bi jasno navesti u sustavu.

(68)

Radi dodatnog jačanja nadzora nad vlastitim podacima, kada se obrada obavlja automatskim putem, ispitaniku bi se također trebalo dopustiti da osobne podatke koji se odnose na njega, a koje je dao voditelju obrade dobije u strukturiranom, uobičajeno upotrebljavanom, strojno čitljivom i interoperabilnom formatu i da ih prenese drugom voditelju obrade. Voditelje obrade trebalo bi poticati na razvijanje interoperabilnih formata koji omogućuju prenosivost podataka. To bi se pravo trebalo primjenjivati u slučajevima kad je ispitanik osobne podatke da ona temelju svoje privole ili kad je obrada nužna za izvršenje ugovora. To se pravo ne bi smjelo primjenjivati ako se obrada temelji na drugoj pravnoj osnovi koja nije privola ili ugovor. Samom svojom prirodom to se pravo ne može ostvariti u slučaju da voditelji obrade osobne podatke obrađuju u okviru svojih javnih dužnosti. Stoga se ono ne bi smjelo primjenjivati ako je obrada osobnih podataka nužna kako bi se poštovala pravna obveza kojoj voditelj obrade podliježe ili za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade. Pravo ispitanika na prijenos ili primanje osobnih podataka koji se odnose na njega ne bi trebalo obvezivati voditelja obrade da upotrebljava ili održava tehnički kompatibilne sustave za obradu. Ako se određeni skup osobnih podataka odnosi na više ispitanika, pravo na primanje tih osobnih podataka ne bi smjelo dovoditi u pitanje prava i sloboda ostalih ispitanika u skladu s ovom Uredbom. Nadalje, tim pravom također se ne bi smjelo dovoditi u pitanje pravo ispitanika na brisanje osobnih podataka, kao i ograničenja tog prava, kako je navedeno u ovoj Uredbi, te ono osobito ne bi smjelo podrazumijevati brisanje osobnih podataka koji se odnose na ispitanika, koje je on dostavio u svrhu izvršavanja ugovora, u mjeri u kojoj su ti osobni podaci potrebni za izvršavanje tog ugovora i koliko god su potrebni. Ako je tehnički izvedivo, ispitanik bi trebao imati pravo na to se osobni podaci prenose izravno između voditelja obrade.

(69)

Ako bi se osobni podaci mogli zakonito obrađivati jer je obrada potrebna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade ili na temelju legitimnih interesa voditelja obrade ili treće strane, svaki bi ispitanik ipak trebao imati pravo prigovora na obradu bilo kojih osobnih podataka povezanih s njegovom posebnom situacijom. Voditelj obrade trebao bi pokazati da njegovi uvjerljivi legitimni interesi imaju prednost pred interesima temeljnih prava i sloboda ispitanika.

(70)

Ako se osobni podaci obrađuju u svrhu izravnog marketinga, ispitanik bi trebao imati pravo prigovora na takvu obradu, uključujući izradu profila u mjeri u kojoj je povezana s takvim izravnim marketingom, bilo u odnosu na početnu ili daljnju obradu, u bilo koje vrijeme i besplatno. To bi se pravo ispitaniku trebalo izričito dati na znanje i predstaviti mu se jasno i odvojeno od svih drugih informacija.

(71)

Ispitanik bi trebao imati pravo na to da se na njega ne odnosi odluka, što može obuhvaćati mjeru, kojom se procjenjuju osobni aspekti u vezi s njim koja se isključivo temelji na automatiziranoj obradi i koja proizvodi pravne učinke koji se odnose na njega ili slično na njega znatno utječu, poput automatskog odbijanja zahtjeva za kreditom putem interneta ili prakse zapošljavanja putem interneta bez ikakve ljudske intervencije. Takva obrada uključuje „izradu profila” koja se odnosi na svaki oblik automatizirane obrade osobnih podataka kojom se procjenjuju osobni aspekti u vezi s pojedincem, osobito analizu i predviđanje aspekata ispitanikovog učinka na poslu, ekonomskog stanja, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja kada ona proizvodi pravne učinke koji se odnose na ispitanika ili na njega snažno utječu. Međutim, donošenje odluka koje se temelji na takvoj obradi, što uključuje i izradu profila, trebalo bi se dopustiti ako se to izričito dopušta pravom Unije ili pravom države članice kojem podliježe voditelj obrade, među ostalim u svrhe praćenja i sprečavanja prijevare i porezne utaje, što se provodi u skladu s propisima, standardima i preporukama institucija Unije ili nacionalnih nadzornih tijela te osiguravanja sigurnosti i pouzdanosti usluge koju pruža voditelj obrade ili ako je nužno za sklapanje ili izvršavanje ugovora između ispitanika i voditelja obrade ili kada je ispitanik izričito dao svoju privolu. U svakom slučaju na takve bi se obrade trebale primjenjivati odgovarajuće zaštitne mjere, koje bi trebale uključivati davanje određenih informacija ispitaniku i pravo na ljudsku intervenciju, pravo na izražavanje vlastitog stajališta, na dobivanje pojašnjenja odluke donesene nakon takve procjene i pravo na osporavanje odluke. Takve se mjere ne bi smjele odnositi na djecu.

Kako bi se osigurala poštena i transparentna obrada podataka s obzirom na ispitanika, uzimajući u obzir posebne okolnosti i kontekst u kojem se osobni podaci obrađuju, voditelj obrade trebao bi poduzeti odgovarajuće matematičke i statističke postupke za izradu profila, provesti odgovarajuće tehničke i organizacijske mjere kako bi se posebno osiguralo da budu ispravljeni čimbenici koji dovode do netočnosti u osobnim podacima i da se rizici od pojave pogrešaka svedu na minimum, te osobne podatke osigurati na način kojim se uzima u obzir potencijalne rizike za interese i prava ispitanika i kojim se, među ostalim, sprečavaju diskriminacijski učinci na pojedince na temelju rasnog ili etničkog porijekla, političkog mišljenja, vjere ili uvjerenja, članstva u sindikatu, genetskog ili zdravstvenog stanja ili spolne orijentacije, ili koji rezultiraju mjerama koje imaju takav učinak. Automatizirane odluke i izrada profila na temelju posebnih kategorija osobnih podataka smjele bi se dopustiti samo pod posebnim uvjetima.

(72)

Izrada profila podliježe pravilima ove Uredbe kojima se uređuje obrada osobnih podataka, kao što su pravna osnova obrade ili načela zaštite podataka. Europski odbor za zaštitu podataka osnovan ovom Uredbom („Odbor”) trebao bi imati mogućnost izdati smjernice u tom kontekstu.

(73)

Pravom Unije ili pravom države članice mogu se uvesti ograničenja s obzirom na posebna načela te s obzirom na ograničenja prava na informacije, pristup i ispravak ili brisanje osobnih podataka te ograničenja prava na prenosivost podataka, prava na prigovor, odluka koje se temelje na izradi profila, kao i ograničenja obavješćivanja ispitanika o povredi osobnih podataka te ograničenja određenih povezanih obveza voditelja obrade, u mjeri u kojoj je to nužno i proporcionalno u demokratskom društvu kako bi se zaštitila javna sigurnost, među ostalim ljudski život posebno kao odgovor na prirodne katastrofe ili one koje je izazvao čovjek te sprečavanje, istraga i progon kaznenih djela ili izvršavanje kaznenopravnih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje ili kršenja etike zakonski uređenih djelatnosti, kako bi se zaštitili drugi važni ciljevi koji su u javnom interesu Unije ili države članice, a posebno važan gospodarski ili financijski interes Unije ili države članice, vođenje javne evidencije u svrhu općeg javnog interesa, daljnja obrada arhiviranih osobnih podataka za potrebe pružanja posebnih informacija u vezi s političkim ponašanjem za vrijeme bivših totalitarnih državnih režima ili zaštita ispitanika ili prava i sloboda drugih osoba, među ostalim u svrhu socijalne zaštite, javnog zdravlja i u humanitarne svrhe. Ta ograničenja trebala bi biti u skladu sa zahtjevima utvrđenima u Povelji i Europskoj konvenciji za zaštitu ljudskih prava i temeljnih sloboda.

(74)

Trebalo bi uspostaviti dužnosti i odgovornosti voditelja obrade za svaku obradu osobnih podataka koju provede sm voditelj obrade ili netko drugi u ime voditelja obrade. Osobito, voditelj obrade trebao bi imati obvezu provođenja odgovarajućih i djelotvornih mjera te biti u mogućnosti dokazati usklađenost aktivnosti obrade s ovom Uredbom uključujući i djelotvornost mjera. Tim bi mjerama u obzir trebalo uzeti prirodu, opseg, kontekst i svrhe obrade te rizik za prava i slobode pojedinaca.

(75)

Rizik za prava i obveze pojedinaca, različitih vjerojatnosti i ozbiljnosti, može proizaći iz obrade osobnih podataka koja bi mogla prouzročiti fizičku, materijalnu ili nematerijalnu štetu, posebno ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, štete za ugled, gubitka povjerljivosti osobnih podataka zaštićenih poslovnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije, ili bilo koje druge znatne gospodarske ili društvene štete; ili ako ispitanici mogu biti uskraćeni za svoja prava i slobode ili spriječeni u obavljanju nadzora nad svojim osobnim podacima; ako se obrađuju osobni podaci koji odaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu i ako je riječ o obradi genetičkih podataka, podataka koji se odnose na zdravlje ili spolni život ili kaznene osude i kažnjiva djela ili povezane sigurnosne mjere; ako se procjenjuju osobni aspekti, osobito analiza ili predviđanje aspekata u vezi s učinkom na poslu, ekonomskim stanjem, zdravljem, osobnim preferencijama ili interesima, pouzdanošću ili ponašanjem, lokacijom ili kretanjem kako bi se izradili ili upotrebljavali osobni profili; ako se obrađuju osobni podaci osjetljivih pojedinaca, osobito djece; ili ako obrada uključuje veliku količinu osobnih podataka i utječe na velik broj ispitanika.

(76)

Vjerojatnost i ozbiljnost rizika za prava i slobode ispitanika trebala bi se određivati s obzirom na prirodu, opseg, kontekst i svrhe obrade. Rizik bi trebalo procjenjivati na temelju objektivne procjene kojom se utvrđuje uključuju li postupci obrade podataka rizik ili visoki rizik.

(77)

Upute za provedbu odgovarajućih mjera i za dokazivanje poštovanja odredaba od strane voditelja obrade ili izvršitelja obrade, posebno u pogledu utvrđivanja rizika povezanog s obradom, njihove procjene s obzirom na podrijetlo, prirodu, vjerojatnost i težinu te utvrđivanje najboljih praksi za umanjivanje rizika, osobito bi se mogle pružiti putem odobrenih kodeksa ponašanja, odobrenih certifikata, smjernica koje pruža Odbor ili naznakama koje pruža službenik za zaštitu podataka. Odbor može također izdati smjernice o postupcima obrade za koje se smatra da nije vjerojatno da će dovesti do visokog rizika za prava i slobode pojedinaca i navesti koje mjere mogu u takvim slučajevima biti dovoljne za suočavanje s navedenim rizikom.

(78)

Zaštita prava i sloboda pojedinaca s obzirom na obradu osobnih podataka zahtijeva da se poduzmu odgovarajuće tehničke i organizacijske mjere radi osiguravanja poštovanja uvjeta ove Uredbe. Radi dokazivanja sukladnosti s ovom Uredbom voditelj obrade trebao bi uvesti interne politike i provesti mjere koje osobito ispunjavaju načela tehničke zaštite podataka i integrirane zaštite podataka. Takve mjere mogle bi se, među ostalim, sastojati od smanjenja količine obrade osobnih podataka, pseudonimizacije osobnih podataka što je prije moguće, transparentnosti u vezi s funkcijama i obradom osobnih podataka, omogućavanja ispitaniku da prati obradu podataka, omogućavanja voditelju obrade da stvara i poboljšava sigurnosne značajke. Prilikom razvijanja, osmišljavanja, odabira i upotrebe aplikacija, usluga i proizvoda koji se temelje na obradi osobnih podataka ili obrađuju osobne podatke kako bi ispunili svoju zadaću, proizvođače proizvoda, usluga i aplikacija trebalo bi poticati da uzmu u obzir pravo na zaštitu podataka prilikom razvijanja i osmišljavanja takvih proizvoda, usluga i aplikacija i da uzimajući u obzir najnovija dostignuća osiguraju da voditelji obrade i izvršitelji obrade mogu ispuniti svoje obveze u pogledu zaštite podataka. Načela tehničke i integrirane zaštite podataka trebalo bi također uzeti u obzir u kontekstu javnih natječaja.

(79)

Zaštita prava i sloboda ispitanikâ, kao i dužnost i odgovornost voditeljâ obrade i izvršiteljâ obrade, također u vezi s praćenjem i mjerama koje provode nadzorna tijela, zahtijevaju jasno utvrđivanje dužnosti u skladu s ovom Uredbom, među ostalim u slučajevima u kojima voditelj obrade određuje svrhe i sredstva obrade zajedno s drugim voditeljima obrade ili kada se postupak obrade provodi u ime voditelja obrade.

(80)

Ako voditelj obrade ili izvršitelj obrade koji nema poslovni nastan u Uniji obrađuje osobne podatke ispitanikâ u Uniji čije su aktivnosti obrade povezane s ponudom robe ili usluga, bez obzira na to je li potrebno plaćanje ispitanika, za takve bi ispitanike u Uniji, ili za praćenje njihova ponašanja dok se ono odvija unutar Unije, voditelj obrade ili izvršitelj obrade trebali bi imenovati predstavnika, osim ako se obrada obavlja povremeno, ne uključuje opsežnu obradu posebnih kategorija osobnih podataka ili je obrada osobnih podataka povezana s kaznenim presudama i kažnjivim djelima te vjerojatno neće dovesti do rizika za prava i slobode pojedinaca, uzimajući u obzir prirodu, kontekst, opseg i svrhe obrade ili ako je voditelj obrade tijelo javne vlasti ili javno tijelo. Predstavnik bi trebao djelovati u ime voditelja obrade ili izvršitelja obrade i može mu se obratiti svako nadzorno tijelo. Voditelj obrade ili izvršitelj obrade trebao bi izričito, pisanim ovlaštenjem imenovati predstavnika da djeluje u njegovo ime s obzirom na obveze voditelja obrade i izvršitelja obrade na temelju ove Uredbe. Imenovanje takvog predstavnika ne utječe na dužnost ili odgovornost voditelja obrade ili izvršitelja obrade na temelju ove Uredbe. Takav bi predstavnik svoje zadaće trebao obavljati u skladu s mandatom dobivenim od voditelja obrade ili izvršitelja obrade, uključujući suradnju s nadležnim nadzornim tijelima u vezi sa svakom radnjom poduzetom za osiguravanje poštovanja ove Uredbe. U slučaju da voditelj obrade ili izvršitelj obrade krši pravila, imenovani bi predstavnik trebao podlijegati postupku izvršavanja zakonodavstva.

(81)

Kako bi se osiguralo poštovanje zahtjeva iz ove Uredbe u vezi s obradom koju provodi izvršitelj obrade u ime voditelja obrade, pri povjeravanju aktivnosti obrade izvršitelju obrade, voditelj obrade trebao bi angažirati samo izvršitelje obrade koji u zadovoljavajućoj mjeri jamče, osobito u pogledu stručnog znanja, pouzdanosti i resursa, provedbu tehničkih i organizacijskih mjera koje udovoljavaju zahtjevima iz ove Uredbe, među ostalim u pogledu sigurnosti obrade. Poštovanje odobrenog kodeksa ponašanja ili mehanizma certificiranja odobrenog od strane izvršitelja obrade može se upotrijebiti kao element u dokazivanju poštovanja obveza voditelja obrade. Provođenje obrade od strane izvršitelja obrade trebalo bi biti uređeno ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice koji izvršitelja obrade obvezuje prema voditelju obrade, a u kojemu su navedeni predmet i trajanje obrade, priroda i svrhe obrade, vrsta osobnih podataka te kategorije ispitanika, uzimajući u obzir posebne zadaće i odgovornosti izvršitelja obrade u kontekstu obrade koju treba provesti te rizika za prava i slobode ispitanika. Voditelj obrade i izvršitelj obrade mogu izabrati pojedinačni ugovor ili standardne ugovorne klauzule koje je ili izravno donijela Komisija ili ih je donijelo nadzorno tijelo u skladu s mehanizmom konzistentnosti, a potom donijela Komisija. Nakon što završi obradu u ime voditelja obrade, izvršitelj obrade trebao bi, prema izboru voditelja obrade, vratiti ili izbrisati osobne podatke osim ako postoji obveza pohrane osobnih podataka sukladno pravu Unije ili pravu države članice kojem izvršitelj obrade podliježe.

(82)

Voditelj obrade ili izvršitelj obrade trebao bi voditi evidenciju o aktivnostima obrade pod svojom odgovornošću radi dokazivanja sukladnosti s ovom Uredbom. Svaki voditelj obrade i izvršitelj obrade trebao bi imati obvezu surađivati s nadzornim tijelom i omogućiti mu na zahtjev uvid u tu evidenciju kako bi mu mogla poslužiti za praćenje postupaka obrade.

(83)

Kako bi se očuvala sigurnost i spriječila obrada kojom se krši ova Uredba, voditelj obrade ili izvršitelj obrade trebali bi procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija. Tim bi se mjerama trebala osigurati odgovarajuća razina zaštite uključujući povjerljivost, uzimajući u obzir najnovija dostignuća i troškove provedbe u odnosu na rizike i prirodu osobnih podataka koji se trebaju zaštititi Prilikom procjene rizika za sigurnost podataka u obzir bi trebalo uzeti rizike koje predstavlja obrada osobnih podataka poput slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog odavanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani, a što osobito može dovesti do fizičke, materijalne ili nematerijalne štete.

(84)

Radi poboljšanja sukladnosti s ovom Uredbom kada postupci obrade vjerojatno mogu dovesti do visokog stupnja rizika za prava i slobode pojedinaca, voditelj obrade trebao bi biti odgovoran za provođenje procjene učinka na zaštitu podataka kako bi se osobito procijenili izvor, priroda, osobitost i ozbiljnost tog rizika. Ishod procjene trebao bi se uzeti u obzir pri utvrđivanju odgovarajućih mjera radi dokazivanja da je obrada osobnih podataka sukladna s ovom Uredbom. Ako se u procjeni učinka na zaštitu podataka pokaže da postupci obrade uključuju visok rizik koji voditelj obrade ne može umanjiti odgovarajućim mjerama u smislu dostupne tehnologije i troškova provedbe, prije obrade trebalo bi se savjetovati s nadzornim tijelom.

(85)

Ako se povreda osobnih podataka ne rješava na odgovarajući način i pravodobno, ona može prouzročiti fizičku, materijalnu ili nematerijalnu štetu pojedincima, kao što su gubitak nadzora nad osobnim podacima ili ograničavanje njihovih prava, diskriminacija, krađa identiteta ili prijevara, financijski gubici, neovlašteni obrnuti postupak pseudonimizacije, šteta za ugled, gubitak povjerljivosti osobnih podataka zaštićenih poslovnom tajnom ili bilo koju drugu ekonomsku ili društvenu štetu za dotičnog pojedinca. Stoga, čim voditelj obrade primijeti da je došlo do povrede osobnih podataka, trebao bi o tome izvijestiti nadležno nadzorno tijelo bez nepotrebnog odgađanja i to, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi osobnih podataka, osim ako voditelj obrade može dokazati, u skladu s načelom odgovornosti, da povreda osobnih podataka vjerojatno neće prouzročiti rizik za prava i slobode pojedinaca. Ako se takvo obavješćivanje ne može postići u roku od 72 sata, obavijest bi trebala biti popraćena razlozima kašnjenja, a informacije se mogu pružiti u fazama bez nepotrebnog daljnjeg odgađanja.

(86)

Voditelj obrade trebao bi bez nepotrebnog odlaganja obavijestiti ispitanika o povredi osobnih podataka ako je vjerojatno da će povreda osobnih podataka prouzročiti visoki rizik za prava i slobode pojedinca, kako bi on mogao poduzeti potrebne mjere opreza. U obavijesti bi trebalo opisati prirodu povrede osobnih podataka kao i preporuke kako bi dotični pojedinac mogao ublažiti potencijalne negativne učinke. Takva bi se obavijest ispitanicima trebala pružiti što je prije, u razumnim granicama, izvedivo i u bliskoj suradnji s nadzornim tijelom, poštujući njegove upute ili upute drugih relevantnih tijela vlasti,kao što su tijela za izvršavanje zakonodavstva. Na primjer, o potrebi za umanjivanjem neposrednog rizika od štete bilo bi potrebno odmah obavijestiti ispitanike, dok potreba za provedbom odgovarajućih mjera protiv daljnje ili slične povrede osobnih podataka može opravdati duži rok za obavijest.

(87)

Trebalo bi se utvrditi jesu li provedene sve odgovarajuće mjere tehnološke zaštite i organizacijske mjere da bi se odmah utvrdilo je li došlo do povrede osobnih podataka i odmah obavijestilo nadzorno tijelo i ispitanika. Trebalo bi utvrditi činjenicu je li obavijest pružena bez nepotrebnog odgađanja posebno uzimajući u obzir prirodu i ozbiljnost povrede osobnih podataka i njezine posljedice i negativne učinke za ispitanika. Takva obavijest može dovesti do intervencije nadzornog tijela u skladu s njegovim zadaćama i ovlastima predviđenima ovom Uredbom.

(88)

Pri određivanju detaljnih pravila o formatu i postupcima primjenjivima na obavješćivanje o povredi osobnih podataka trebalo bi posvetiti dužnu pažnju okolnostima povrede, među ostalim jesu li osobni podaci bili zaštićeni odgovarajućim mjerama tehničke zaštite, djelotvorno ograničavajući vjerojatnost zlouporabe identiteta ili druge oblike zlouporabe. Osim toga takva pravila i postupci trebali bi uzeti u obzir legitimne interese tijelâ za izvršavanje zakonodavstva kada rano otkrivanje može nepotrebno naškoditi istrazi okolnosti povrede osobnih podataka.

(89)

Direktivom 95/46/EZ predviđena je opća obveza izvješćivanja nadzornih tijela o obradi osobnih podataka. Nametanjem te obveze stvara se administrativni i financijski teret, a ona nije u svim slučajevima dovela do poboljšanja zaštite osobnih podataka. Trebalo bi, stoga, ukinuti takve sveobuhvatne obveze općeg obavješćivanja i zamijeniti ih djelotvornim postupcima i mehanizmima koji se umjesto toga usredotočuju na one vrste postupaka obrade koji vjerojatno mogu prouzročiti visok rizik za prava i slobode pojedinaca zbog svoje prirode, opsega, konteksta i svrha. Takve vrste postupaka obrade mogu biti osobito one koje uključuju upotrebu novih tehnologija ili one koje su nove vrste i s obzirom na koje voditelj obrade još nije proveo procjenu učinka na zaštitu podataka ili za koje je procjena učinka na zaštitu podataka postala potrebna s obzirom na vrijeme koje je proteklo od prvotne obrade.

(90)

U takvim slučajevima, voditelj obrade trebao bi provesti procjenu učinka na zaštitu podataka prije obrade radi procjene osobite vjerojatnosti i ozbiljnosti visokog rizika, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade te izvore rizika. Ta bi procjena učinka trebala posebno uključivati mjere, zaštitne mjere i mehanizme predviđene za umanjivanje tog rizika, za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s ovom Uredbom.

(91)

To bi se osobito trebalo primjenjivati na postupke obrade velikog opsega kojima se nastoji obraditi znatna količina osobnih podataka na regionalnoj, nacionalnoj ili nadnacionalnoj razini i koji bi mogli utjecati na velik broj ispitanika i koji će vjerojatno dovesti do visokog rizika, primjerice zbog osjetljivosti, u kojima se u skladu s postignutom razinom tehnološkog znanja novom tehnologijom koristi u velikom opsegu, kao i na druge postupke obrade koji dovode do visokog rizika za prava i slobode ispitanika, osobito ako ti postupci ispitanicima otežavaju ostvarenje njihovih prava. Procjena učinka na zaštitu podataka osobito bi se trebala provoditi kada se osobni podaci obrađuju radi donošenja odluka o određenim pojedincima na temelju bilo kakve sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na izradi profila iz tih podataka ili na temelju obrade posebnih kategorija osobnih podataka, biometrijskih podataka ili podataka o kaznenim osudama i kažnjivim djelima ili povezanim mjerama sigurnosti. Procjena učinka na zaštitu podataka jednako je potrebna za opsežno praćenje javno dostupnih područja, posebno ako se upotrebljavaju optičko-elektronički uređaji, ili za bilo koje druge postupke za koje nadležno nadzorno tijelo smatra će obrada vjerojatno dovesti do visokog rizika za prava i slobode ispitanika, osobito zato što se njima ispitanike sprečava u ostvarivanju prava ili upotrebi usluge ili ugovora, ili zato što se opsežna obrada provodi sustavno. Obradu osobnih podataka ne bi trebalo smatrati opsežnom ako se odnosi na osobne podatke pacijenata ili klijenata pojedinih liječnika, zdravstvenih djelatnika ili odvjetnika. U takvim slučajevima procjena učinka na zaštitu podataka ne bi trebala biti obvezna.

(92)

U nekim okolnostima može biti razumno i ekonomično da procjena učinka na zaštitu podataka obuhvaća više od jednog projekta i tematski šire područje, na primjer ako tijela javne vlasti ili javna tijela namjeravaju uspostaviti zajedničku aplikaciju ili platformu za obradu ili ako nekoliko voditelja obrade namjerava uvesti zajedničku aplikaciju ili okruženje za obradu u cijeli jedan industrijski sektor ili segment ili za horizontalnu djelatnost široke uporabe.

(93)

U kontekstu donošenja zakonodavstva države članice na kojem se temelji izvršavanje zadaća tijela javne vlasti ili javnog tijela i kojim se uređuju dotični posebni postupci obrade ili skup postupaka, države članice mogu smatrati potrebnom provedbu takve procjene prije obrade.

(94)

Ako se u procjeni učinka na zaštitu podataka pokaže da bi obrada u nedostatku zaštitnih mjera, sigurnosnih mjera i mehanizama za umanjivanje rizika dovela do visokog rizika za prava i slobode pojedinaca, a voditelj obrade smatra da se taj rizik ne može umanjiti razumnim mjerama u pogledu dostupne tehnologije i troškova provedbe, prije početka obrade trebalo bi se savjetovati s nadzornim tijelom. Takav visok rizik vjerojatno će proizaći iz određenih vrsta obrade i opsega i učestalosti obrade, što može također prouzročiti štetu ili ometanje prava i slobode ispitanika. Nadzorno tijelo trebalo bi odgovoriti na zahtjev za savjetovanje u određenom vremenskom roku. Međutim, izostanak reakcije nadzornog tijela u tom roku ne bi smio utjecati na bilo koju intervenciju nadzornog tijela u skladu sa njegovim zadaćama i ovlastima iz ove Uredbe, uključujući ovlast da zabrani postupke obrade. Rezultat procjene učinka na zaštitu podataka koja je provedena u vezi s dotičnom obradom može se kao dio tog postupka savjetovanja dostaviti nadzornom tijelu, a osobito mjere predviđene za umanjivanje rizika za prava i slobode pojedinaca.

(95)

Prema potrebi i na zahtjev, izvršitelj obrade trebao bi pomagati voditelju obrade u osiguravanju usklađenosti s obvezama koje proizlaze iz provedbe procjene učinka na zaštitu podataka i iz prethodnog savjetovanja s nadzornim tijelom.

(96)

Savjetovanje s nadležnim tijelom također bi se trebalo održati tijekom izrade zakonodavne ili regulatorne mjere koja propisuje obradu osobnih podataka radi osiguravanja usklađenosti predviđene obrade s ovom Uredbom te osobito radi umanjivanja rizika za ispitanika.

(97)

Ako obradu provodi tijelo javne vlasti, uz iznimku sudova i neovisnih pravosudnih tijela kada djeluju u okviru svoje sudske nadležnosti, ako, u privatnom sektoru, obradu provodi voditelj obrade čije su osnovne djelatnosti postupci obrade koji zahtijevaju redovno i sustavno opsežno praćenje ispitanika, ili ako se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od opsežne obrade posebnih kategorija osobnih podataka i podataka koji se odnose na kaznene osude i kažnjiva djela, osoba sa stručnim znanjem prava i prakse zaštite podataka trebala bi pomagati voditelju obrade ili izvršitelju obrade pri praćenju unutarnje usklađenosti s ovom Uredbom. U privatnom sektoru, osnovne djelatnosti voditelja obrade odnose se na njegove primarne djelatnosti i ne odnose se na obradu osobnih podataka kao dodatne djelatnosti. Nužna razina stručnog znanja trebala bi se utvrditi posebno u odnosu na postupke obrade podataka koji se provode te na zaštitu koju za obrađene osobne podatke zahtijeva voditelj obrade ili izvršitelj obrade. Takvi službenici za zaštitu podataka, bez obzira jesu li zaposlenici voditelja obrade, trebali bi moći obavljati svoje dužnosti i zadaće na neovisan način.

(98)

Udruženja ili druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade trebalo bi poticati da izrade kodekse ponašanja unutar granica ove Uredbe kako bi se olakšala djelotvorna primjena ove Uredbe, uzimajući u obzir posebna obilježja obrade koja se provodi u određenim sektorima i posebne potrebe mikropoduzeća, malih i srednjih poduzeća. Posebno, takvim bi se kodeksima ponašanja mogle definirati obveze voditelja obrade i izvršitelja obrade, uzimajući u obzir rizik za prava i slobode pojedinaca koji može proizaći iz obrade.

(99)

Prilikom izrade kodeksa ponašanja ili kada se mijenja ili proširuje takav kodeks, udruženja i druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade trebali bi se savjetovati s odgovarajućim dionicima, uključujući ispitanike ako je to izvedivo i uzimati u obzir primljene podneske i izražena mišljenja kao odgovore na takva savjetovanja.

(100)

Kako bi se povećala transparentnost i usklađenost s ovom Uredbom, trebalo bi se poticati uvođenje mehanizama certificiranja te pečata i oznaka za zaštitu podataka, što bi ispitanicima omogućilo brzu procjenu razine zaštite podataka za relevantne proizvode i usluge.

(101)

Tokovi osobnih podataka u zemlje izvan Unije i međunarodne organizacije i iz njih neophodni su za širenje međunarodne trgovine i međunarodne suradnje. Povećanje takvih tokova dovelo je do novih izazova i zabrinutosti u vezi sa zaštitom osobnih podataka. Međutim kada se osobni podaci prenose iz Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne bi smjela biti narušena razina zaštite pojedinaca osigurana ovom Uredbom u Uniji, među ostalim u slučajevima daljnjih prijenosa osobnih podataka iz treće zemlje ili međunarodne organizacije voditeljima obrade, izvršiteljima obrade u istoj ili nekoj drugoj trećoj zemlji ili međunarodnoj organizaciji. U svakom slučaju, prijenosi u treće zemlje i međunarodne organizacije mogu se obavljati isključivo uz puno poštovanje ove Uredbe. Prijenos bi se smio obavljati isključivo ako, u skladu s drugim odredbama ove Uredbe, voditelj obrade ili izvršitelj obrade ispunjavaju uvjete utvrđene u odredbama ove Uredbe vezanim za prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama.

(102)

Ovom Uredbom ne dovode se u pitanje međunarodni sporazumi sklopljeni između Unije i trećih zemalja kojima se uređuje prijenos osobnih podataka, uključujući odgovarajuće zaštitne mjere za ispitanike. Države članice mogu sklapati međunarodne sporazume koji uključuju prijenos osobnih podataka u treće zemlje ili međunarodne organizacije u onoj mjeri u kojoj takvi sporazumi ne utječu na ovu Uredbu ili bilo koje druge odredbe prava Unije i koji uključuju odgovarajuću razinu zaštite temeljnih prava ispitanikâ.

(103)

Komisija može odlučiti s učinkom na cijelu Uniju da treća zemlja, područje ili posebni sektor u trećoj zemlji, ili međunarodna organizacija pruža odgovarajuću razinu zaštite podataka te na taj način pruža pravnu sigurnost i ujednačenost u cijeloj Uniji kad je riječ o trećoj zemlji ili međunarodnoj organizaciji za koju se smatra da pruža takvu razinu zaštite. U takvim slučajevima prijenosi osobnih podataka u te treću zemlju ili međunarodnu organizaciju mogu se obavljati bez potrebe za dobivanjem daljnjeg ovlaštenja. Komisija također može odlučiti da povuče takvu odluku, nakon što trećoj zemlji ili međunarodnoj organizaciji uputi obavijest i izjavu u kojoj se navode razlozi.

(104)

Sukladno s temeljnim vrijednostima na kojima se temelji Unija, osobito zaštitom ljudskih prava, pri svojoj procjeni treće zemlje ili područja ili posebnog sektora u trećoj zemlji Komisija bi trebala uzeti u obzir kako određena treća zemlja poštuje vladavinu prava, pristup pravosuđu kao i međunarodne norme i standarde ljudskih prava i njihove opće i sektorske zakone, uključujući zakonodavstvo o javnoj sigurnosti, obrani i nacionalnoj sigurnosti kao i javni poredak i kazneno pravo. Pri donošenju odluke o primjerenosti u vezi s područjem ili posebnim sektorom u trećoj zemlji trebalo bi uzeti u obzir jasne i objektivne kriterije, kao što su specifične aktivnosti obrade i područje primjene mjerodavnih zakonskih normi i zakonodavstva koji su na snaziu trećoj zemlji. Treća zemlja trebala bi ponuditi jamstva kojima se osigurava primjerena razina zaštite, u načelu istovjetna onoj koja je osigurana u Uniji, posebno kada se osobni podaci obrađuju u jednom ili više određenih sektora. Konkretno, treća zemlja trebala bi osigurati učinkovit neovisan nadzor zaštite podataka te mehanizme suradnje s tijelima država članica za zaštitu podataka dok bi ispitanici trebali imati učinkovita i ostvariva prava te učinkovitu upravnu i sudsku zaštitu.

(105)

Osim međunarodnih obveza koje su treća zemlja ili međunarodna organizacija preuzele, Komisija bi trebala uzeti u obzir obveze koje proizlaze iz sudjelovanja treće zemlje ili međunarodne organizacije u multilateralnim ili regionalnim sustavima, posebno u odnosu na zaštitu osobnih podataka, kao i provedbu tih obveza. Posebno bi trebalo uzeti u obzir pristupanje treće zemlje Konvenciji Vijeća Europe od 28. siječnja 1981. o zaštiti pojedinaca vezanoj uz automatsku obradu osobnih podataka te njezin Dodatni protokol. Komisija bi se trebala savjetovati s Odborom kada ocjenjuje razinu zaštite u trećim zemljama ili međunarodnim organizacijama.

(106)

Komisija bi trebala pratiti djelovanje odluka o razini zaštite u trećoj zemlji, području ili posebnom sektoru u trećoj zemlji, ili u međunarodnoj organizaciji, te pratiti djelovanje odluka koje su donesene na temelju članka 25. stavka 6. i članka 26. stavka 4. Direktive 95/46/EZ. U svojim odlukama o primjerenosti Komisija bi trebala predvidjeti mehanizam periodičnog preispitivanja njihova funkcioniranja. To bi se periodično preispitivanje trebalo provesti uz savjetovanje s dotičnom trećom zemljom ili međunarodnom organizacijom i uzeti u obzir sve relevantne događaje u trećoj zemlji ili međunarodnoj organizaciji. Za potrebe praćenja i provođenja periodičnih preispitivanja Komisija bi trebala uzeti u obzir stajališta i zaključke Europskog parlamenta i Vijeća, kao i ostalih relevantnih tijela i izvora. Komisija bi trebala ocijeniti, u razumnom roku, funkcioniranje potonjih odluka i o svim relevantnim nalazima izvijestiti Odbor u smislu Uredbe (EU) br. 182/2011 Europskog parlamenta i Vijeća (12) kako je ustanovljen na temelju ove Uredbe, te Europski parlament i Vijeće.

(107)

Komisija može utvrditi da treća zemlja, područje ili posebni sektor u trećoj zemlji, ili međunarodna organizacija više ne osiguravaju primjereni stupanj zaštite podataka. Stoga bi se prijenos osobnih podataka u tu treću zemlju ili međunarodnu organizaciju trebao zabraniti, osim ako su ispunjeni uvjeti iz ove Uredbe koji se odnose na prijenose koji podliježu odgovarajućim zaštitnim mjerama, uključujući obvezujuća korporativna pravila, te odstupanja za posebne situacije. U tom slučaju trebalo bi predvidjeti savjetovanje između Komisije i takvih trećih zemalja ili međunarodnih organizacija. Komisija bi trebala pravodobno obavijestiti treću državu ili međunarodnu organizaciju o razlozima i započeti savjetovanja s njom kako bi se riješila situacija.

(108)

Ako nije donesena odluka o primjerenosti voditelj obrade ili izvršitelj obrade trebali bi poduzeti mjere kojima će se nadomjestiti nedostatak zaštite podataka u trećoj zemlji putem odgovarajućih zaštitnih mjera za ispitanika. Takve odgovarajuće zaštitne mjere mogu obuhvaćati uporabu obvezujućih korporativnih pravila, standardne klauzule o zaštiti podataka koje je usvojila Komisija, standardne klauzule o zaštiti podataka koje je usvojilo nadzorno tijelo ili ugovorne klauzule koje je odobrilo nadzorno tijelo. Tim zaštitnim mjerama trebalo bi osigurati sukladnost sa zahtjevima za zaštitu podataka i prava ispitanikâ primjereno obradi unutar Unije, uključujući dostupnost provedivih prava ispitanika i učinkovitih pravnih lijekova, među ostalim onih za dobivanje učinkovite upravne ili sudske zaštite i traženje naknade, u Uniji ili u trećoj zemlji. One bi se trebale osobito odnositi na usklađivanje s općim načelima koja se odnose na obradu osobnih podataka, načela tehničke i integrirane zaštite podataka. Tijela javne vlasti ili tijela s javnim ovlastima ili tijela u trećim zemljama ili pri međunarodnim organizacijama s odgovarajućim dužnostima ili ovlastima mogu također obavljati prijenose, među ostalim na temelju odredaba koje se uključuju u administrativne aranžmane poput memoranduma o razumijevanju, kojima se ispitaniku osiguravaju ostvariva i učinkovita prava. Kada se zaštitne mjere predviđaju u administrativnim aranžmanima koji nisu pravno obvezujući, trebalo bi ishoditi ovlaštenje nadležnog nadzornog tijela.

(109)

Mogućnost da se voditelj obrade ili izvršitelja obrade koristi standardnim klauzulama o zaštiti podataka koje je donijela Komisija ili nadzorno tijelo ne bi trebala sprečavati mogućnost voditelja obrade ili izvršitelja obrade ni da uključe standardne klauzule o zaštiti podataka u širi ugovor, kao što je ugovor između izvršitelja obrade i drugog izvršitelja obrade, ni da dodaju druge klauzule ili dodatne zaštitne mjere pod uvjetom da one izravno ili neizravno ne proturječe standardnim ugovornim klauzulama koje je donijela Komisija ili nadzorno tijelo ili ne dovode u pitanje temeljna prava ili slobode ispitanika. Voditelje obrade i izvršitelje obrade trebalo bi poticati da osiguraju dodatne zaštitne mjere putem dodatnih ugovornih obveza koje nadopunjuju standardne klauzule o zaštiti.

(110)

Grupa poduzetnika ili grupa poduzeća angažiranih u zajedničkoj gospodarskoj aktivnosti trebala bi moći koristiti odobrena obvezujuća korporativna pravila za svoje međunarodne prijenose iz Unije u organizacije unutar iste grupe poduzetnika ili grupe poduzeća angažiranih u zajedničkoj gospodarskoj aktivnosti, ako korporativna pravila obuhvaćaju sva osnovna načela i provediva prava za osiguranje odgovarajućih zaštitnih mjera za prijenose ili kategorije prijenosa osobnih podataka.

(111)

Trebalo bi predvidjeti odredbe za mogućnost prijenosa u određenim okolnostima kada je ispitanik dao izričitu privolu, ako je prijenos povremen i nužan s obzirom na ugovor ili pravni zahtjev, neovisno o tome je li u sudskom, upravnom ili bilo kojem izvansudskom postupku, uključujući i postupke pred regulatornim tijelima. Trebalo bi također omogućiti prijenose u slučaju važnih razloga od javnog interesa propisanih pravom Unije ili pravom države članice ili kada se prijenos obavlja iz registra uspostavljenog zakonom i namijenjenog uvidu javnosti ili osoba koje imaju legitiman interes. U potonjem slučaju takav prijenos ne bi trebao uključivati cjelokupne osobne podatke ili cijele kategorije podataka koje sadrži evidencija i, ako je evidencija namijenjena uvidu osoba koje imaju legitimni interes, prijenos bi se trebao obaviti samo na zahtjev tih osoba ili ako su te osobe primatelji, u potpunosti uzimajući u obzir interese i temeljna prava ispitanika.

(112)

Ta bi se odstupanja posebno trebala primjenjivati na prijenose podataka koji se traže i nužni su iz važnih razloga od javnog interesa, na primjer u slučajevima međunarodne razmjene podataka između tijela nadležnih za tržišno natjecanje, poreznih i carinskih uprava, među financijskim nadzornim tijelima, među službama nadležnim za pitanja socijalne sigurnosti ili za javno zdravlje, na primjer u slučaju praćenja kontakata kod zaraznih bolesti ili kako bi se smanjio i/ili uklonio doping u sportu. Prijenos osobnih podataka trebalo bi također smatrati zakonitim ako je nužan za zaštitu interesa koji je temeljan za vitalne interese ispitanika ili druge osobe, uključujući tjelesni integritet ili život, ako ispitanik nije u stanju dati privolu. Ako ne postoji odluka o primjerenosti, pravom Unije ili pravom države članice mogu se, iz važnih razloga od javnog interesa, izričito odrediti ograničenja prijenosa određenih kategorija podataka trećoj zemlji ili međunarodnoj organizaciji. Države članice trebale bi izvijestiti Komisiju o takvim odredbama. Svaki prijenos osobnih podataka ispitanika koji tjelesno ili pravno nije u stanju dati privolu u međunarodnu humanitarnu organizaciju, s ciljem izvršenja zadaće obuhvaćene ženevskim konvencijama ili poštovanja međunarodnog humanitarnog prava mjerodavnog u oružanim sukobima, mogao bi se smatrati nužnim zbog važnosti javnog interesa ili zbog toga što je od vitalnog interesa za ispitanika.

(113)

Prijenosi koji se ne mogu smatrati ponavljajućim i koji se odnose samo na ograničen broj ispitanika mogli bi također biti mogući u svrhe uvjerljivih, legitimnih interesa voditelja obrade, kada ti interesi nisu podređeni interesima ili pravima i slobodama ispitanika i kada je voditelj obrade procijenio sve okolnosti prijenosa podataka. Voditelj obrade posebnu bi pozornost trebao obratiti na prirodu osobnih podataka, namjenu i trajanje predložene obrade ili predloženih obrada, kao i na situaciju u zemlji porijekla, trećoj zemlji i zemlji konačnog odredišta te bi trebao predvidjeti odgovarajuće zaštitne mjere temeljnih prava i sloboda pojedinaca u vezi s obradom njihovih osobnih podataka. Takvi prijenosi trebali bi biti mogući samo u preostalim slučajevima kada nikakvi drugi razlozi za prijenos nisu primjenjivi. Za potrebe obrade u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebalo bi uzeti u obzir legitimna očekivanja društva za povećanjem znanja. Voditelj obrade o prijenosu bi trebao obavijestiti nadzorno tijelo i ispitanika.

(114)

U svakom slučaju, ako Komisija nije donijela odluku o odgovarajućoj razini zaštite podataka u trećoj zemlji, voditelj obrade ili izvršitelj obrade trebali bi iskoristiti rješenja koja ispitanicima osiguravaju ostvariva i učinkovita prava u pogledu obrade njihovih podataka u Uniji nakon što su ti podaci preneseni tako da će i dalje uživati zaštitu koju nude temeljna prava i zaštitne mjere.

(115)

Neke treće zemlje donose zakone, propise i druge pravne akte radi izravne regulacije aktivnosti obrade fizičkih i pravnih osoba pod jurisdikcijom država članica. To može uključivati presude sudova ili odluke upravnih tijela u trećim zemljama kojima se od voditelja obrade ili izvršitelja obrade traži prijenos ili otkrivanje osobnih podataka i koje se ne temelje na međunarodnom sporazumu, poput ugovora o uzajamnoj pravnoj pomoći, koji vrijede između treće zemlje koja je podnijela zahtjev i Unije ili države članice. Izvanteritorijalna primjena tih zakona, propisa i drugih pravnih akata može predstavljati kršenje međunarodnog prava i može ometati postizanje zaštite pojedinaca koja se ovom Uredbom osigurava u Uniji. Prijenosi bi se smjeli dopustiti samo ako su ispunjeni uvjeti ove Uredbe za prijenos u treće zemlje. Ovo može, među ostalim, biti slučaj kada je otkrivanje nužno iz važnih razloga javnog interesa priznatog pravom Unije ili pravom države članice koje se primjenjuje na voditelja obrade.

(116)

Kada se osobni podaci kreću preko granica izvan Unije, može se povećati rizik koji prijeti sposobnosti pojedinaca da ostvare svoja prava zaštite podataka, osobito da se zaštite od nezakonite uporabe ili otkrivanja tih informacija. Nadzorna tijela mogu istodobno otkriti da nisu u stanju rješavati pritužbe ili voditi istrage u vezi s aktivnostima izvan svojih granica. Njihove napore da rade zajedno u prekograničnom kontekstu također mogu omesti nedovoljne ovlasti za sprečavanje ili ispravljanje, nedosljedni pravni režimi i praktične prepreke kao što su ograničeni resursi. Stoga postoji potreba da se promiče bliska suradnja između nadzornih tijela za zaštitu podataka kako bi im se pomoglo u razmjeni informacija i provođenju istraga s njihovom međunarodnim partnerima. Za potrebe razvoja mehanizama međunarodne suradnje za olakšavanje i pružanje međunarodne međusobne pomoći u provedbi zakonodavstva zaštite osobnih podataka Komisija i nadzorna tijela trebali bi razmjenjivati informacije i surađivati u aktivnostima povezanima s izvršavanjem svojih ovlasti s nadležnim tijelima trećih zemalja na temelju reciprociteta i u skladu s odredbama ovom Uredbom.

(117)

Ključnu sastavnicu zaštite pojedinaca s obzirom na obradu njihovih osobnih podataka predstavlja osnivanje nadzornih tijela u državama članicama, ovlaštenih obavljati svoje zadaće i izvršavati svoje ovlasti potpuno neovisno. Države članice trebale bi imati mogućnost osnovati više od jednog nadzornog tijela radi usklađivanja sa svojom ustavnom, organizacijskom i upravnom strukturom.

(118)

Neovisnost nadzornih tijela ne bi trebala značiti da se nadzorna tijela ne smiju podvrgnuti mehanizmu nadzora ili praćenja u vezi s financijskim izdacima ili sudskom preispitivanju.

(119)

Ako država članica osnuje nekoliko nadzornih tijela, zakonom bi trebala uspostaviti mehanizme za osiguravanje djelotvornog sudjelovanja tih nadzornih tijela u mehanizmu konzistentnosti. Ta bi država članica osobito trebala imenovati nadzorno tijelo koje djeluje kao jedinstvena kontaktna točka za djelotvorno sudjelovanje tih tijela u mehanizmu kako bi se osigurala brza i neometana suradnja s drugim nadzornim tijelima, Odborom i Komisijom.

(120)

Svako nadzorno tijelo trebalo bi imati na raspolaganju financijske i ljudske resurse, prostorije i infrastrukturu, potrebne za djelotvorno izvršavanje njihovih zadaća, uključujući one povezane s uzajamnom pomoći i suradnjom s drugim nadzornim tijelima u Uniji. Svako nadzorno tijelo trebalo bi imati odvojeni, javni godišnji proračun koji može biti dio ukupnog državnog ili nacionalnog proračuna.

(121)

Opći uvjeti za člana ili članove nadzornog tijela trebali bi biti zakonski propisani u svakoj državi članici i posebno bi trebali osiguravati da te članove imenuju u transparentnom postupku parlament, vlada ili šef države dotične države članice na temelju prijedloga vlade, člana vlade, parlamenta ili doma parlamenta, ili neovisno tijelo kojem je to povjereno pravom države članice. Radi osiguravanja neovisnosti nadzornog tijela član ili članovi trebali bi se ponašati pošteno, suzdržavati od svake radnje koja nije u skladu s njihovim dužnostima i ne bi se smjeli tijekom obavljanja mandata baviti bilo kakvom djelatnošću koja nije u skladu s tom funkcijom, bez obzira na to je li ona plaćena ili ne. Nadzorno bi tijelo trebalo imati vlastito osoblje, koje je izabralo nadzorno tijelo ili neovisno tijelo utvrđeno pravom države članice, koje bi trebalo biti pod isključivim vodstvom člana ili članova nadzornog tijela.

(122)

Svako nadzorno tijelo trebalo bi biti nadležno na području svoje države članice za izvršavanje ovlasti i obavljanje zadaća koje su mu povjerene u skladu s ovom Uredbom. To bi posebno trebalo obuhvatiti obradu u kontekstu aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade na državnom području njegove države članice, obradu osobnih podataka koju obavljaju tijela javne vlasti ili privatna tijela koja djeluju u javnom interesu obrađujući dotične ispitanike na svom državnom području ili obradu koju obavlja voditelj obrade ili izvršitelj obrade koji nema poslovni nastan u Uniji kada ciljni ispitanici borave na njegovu državnom području. To bi trebalo uključivati rješavanje pritužbi koje je podnio ispitanik, provođenje istraga o primjeni ove Uredbe i promicanje javne svijesti o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom osobnih podataka.

(123)

Nadzorna tijela trebala bi pratiti primjenu odredaba iz ove Uredbe i doprinositi njezinoj dosljednoj primjeni u cijeloj Uniji kako bi zaštitila pojedince s obzirom na obradu njihovih osobnih podataka i olakšala slobodni protok osobnih podataka na unutarnjem tržištu. U tu svrhu nadzorna tijela trebala bi surađivati međusobno i s Komisijom, bez potrebe za bilo kakvim dogovorom između država članica o pružanju uzajamne pomoći ili o takvoj suradnji.

(124)

Ako se obrada osobnih podataka odvija u kontekstu aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji, a voditelj obrade ili izvršitelj obrade imaju poslovni nastan u više od jedne države članice ili ako obrada koja se odvija u kontekstu aktivnosti jedinog poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji bitno utječe ili je izgledno da će bitno utjecati na ispitanike u više od jedne države članice, nadzorno tijelo za glavni poslovni nastan voditelja obrade ili izvršitelja obrade ili za jedini poslovni nastan voditelja obrade ili izvršitelja obrade trebalo bi djelovati kao vodeće tijelo. Ono bi trebalo surađivati s drugim predmetnim tijelima zato što voditelj obrade ili izvršitelj obrade ima poslovni nastan na državnom području njihove države članice, zato što to bitno utječe na ispitanike koji imaju boravište na njihovom državnom području ili zato što im je podnesena pritužba. Također, ako je pritužbu podnio ispitanik koji nema boravište u toj državi članici, nadzorno tijelo kojem je takva pritužba podnesena također bi trebalo biti predmetno nadzorno tijelo. U okviru zadaća za izdavanje smjernica o bilo kojem pitanju koje obuhvaća primjenu ove Uredbe, Odbor bi trebao imati mogućnost izdati smjernice posebno o kriterijima koje treba uzeti u obzir kako bi se utvrdilo utječe li predmetna obrada bitno na ispitanike u više od jedne države članice i o tome što predstavlja relevantan i obrazložen prigovor.

(125)

Vodeće tijelo trebalo bi biti nadležno za donošenje obvezujućih odluka o mjerama kojima se primjenjuju ovlasti koje su mu dodijeljene u skladu s ovom Uredbom. U svojem svojstvu vodećeg tijela nadzorno bi tijelo trebalo u velikoj mjeri uključivati i usklađivati predmetna nadzorna tijela u postupku donošenja odluka. Ako se donese odluka o odbacivanju pritužbe ispitanika u cijelosti ili djelomično, tu bi odluku trebalo donijeti nadzorno tijelo kojem je pritužba podnesena.

(126)

O odluci bi se trebali zajednički dogovoriti vodeće nadzorno tijelo i predmetno nadzorno tijelo te bi ona trebala biti usmjerena na glavni ili jedini poslovni nastan voditelja obrade ili izvršitelja obrade i biti obvezujuća za voditelja obrade i izvršitelja obrade. Voditelj obrade ili izvršitelj obrade trebali bi poduzeti potrebne mjere kako bi osigurali sukladnost s ovom Uredbom i provedbu odluke o kojoj je vodeće tijelo dalo obavijest glavnom nastanu voditelja obrade ili izvršitelja obrade u pogledu aktivnosti obrade u Uniji.

(127)

Svako nadzorno tijelo koje ne djeluje kao vodeće nadzorno tijelo trebalo bi biti nadležno za rješavanje lokalnih slučajeva ako voditelj obrade ili izvršitelj obrade ima poslovni nastan u više od jedne države članice, ali se predmet posebne obrade odnosi samo na obradu obavljenu u jednoj državi članici koja uključuje samo ispitanike u toj jednoj državi članici, na primjer, ako se predmet odnosi na obradu osobnih podataka o zaposlenicima u posebnom kontekstu zaposlenja u određenoj državi članici. U takvim slučajevima nadzorno tijelo trebalo bi o tom pitanju bez odgode obavijestiti vodeće nadzorno tijelo. Nakon što primi obavijest, vodeće nadzorno tijelo trebalo bi odlučiti o tome hoće li predmet rješavati na temelju odredbe o suradnji između vodećeg nadzornog tijela i drugih predmetnih nadzornih tijela („jedinstveni mehanizam”), ili bi ga na lokalnoj razini trebalo rješavati nadzorno tijelo koje mu je uputilo obavijest. Pri donošenju odluke o tome hoće li rješavati predmet, vodeće nadzorno tijelo trebalo bi voditi računa o tome ima li voditelj obrade ili izvršitelj obrade poslovni nastan u državi članici nadzornog tijela koje je uputilo obavijest, kako bi se osiguralo djelotvorno izvršenje odluke u odnosu na voditelja obrade ili izvršitelja obrade. Kada vodeće nadzorno tijelo odluči rješavati predmet, nadzorno tijelo koje mu je uputilo obavijest trebalo bi biti u mogućnosti podnijeti nacrt odluke, koji bi vodeće nadzorno tijelo trebalo što je više moguće uzeti u obzir prilikom pripreme svojeg nacrta odluke u okviru jedinstvenog mehanizma.

(128)

Pravila o vodećem nadzornom tijelu i jedinstvenom mehanizmu ne bi se smjela primjenjivati ako obradu obavljaju tijela javne vlasti ili privatna tijela koja djeluju u javnom interesu. U takvim slučajevima jedino nadzorno tijelo nadležno za izvršavanje ovlasti koje su mu dodijeljene u skladu s ovom Uredbom trebalo bi biti nadzorno tijelo države članice u kojoj tijelo javne vlasti ili privatno tijelo ima poslovni nastan.

(129)

Kako bi se osiguralo dosljedno praćenje i provedba ove Uredbe u cijeloj Uniji, nadzorna tijela trebala bi u svakoj državi članici imati iste zadaće i stvarne ovlasti, među ostalim ovlasti za vođenje istrage, korektivne ovlasti i sankcije te ovlasti za davanje odobrenja i savjetodavne ovlasti, posebno u slučajevima pritužbi pojedinaca, te ne dovodeći u pitanje ovlasti tijelâ kaznenog progona u skladu s pravom države članice, za upozoravanje pravosudnih tijela na kršenja ove Uredbe i sudjelovanje u pravnim postupcima. Takve bi ovlasti također trebale obuhvaćati ovlast za izricanje privremenog ili konačnog ograničenja obrade, uključujući zabranu. Države članice mogu navesti druge zadaće u vezi sa zaštitom osobnih podataka u skladu s ovom Uredbom. Ovlasti nadzornih tijela trebale bi se izvršavati u skladu s primjerenim postupovnim zaštitnim mjerama utvrđenima u pravu Unije i pravu države članice nepristrano, pošteno i u razumnom roku. Konkretno, svaka bi mjera trebala biti primjerena, nužna i proporcionalna s ciljem osiguranja sukladnosti s ovom Uredbom, uzimajući u obzir okolnosti svakog pojedinačnog slučaja, poštovanje prava svake osobe da se sasluša prije poduzimanja bilo koje pojedinačne mjere koja bi štetno utjecala na nju te izbjegavanje suvišnih troškova i prekomjernih neugodnosti za dotične osobe. Ovlasti za vođenje istrage u pogledu pristupa objektima trebale bi se izvršavati u skladu s posebnim zahtjevima postupovnog prava države članice, poput zahtjeva za dobivanje prethodnog sudskog ovlaštenja. Svaka pravno obvezujuća mjera nadzornog tijela trebala bi biti u pisanom obliku, biti jasna i jednoznačna, navoditi nadzorno tijelo koje je izdalo mjeru, datum izdavanja mjere, sadržavati potpis predsjednika ili člana nadzornog tijela kojeg je on ovlastio, navoditi razloge za tu mjeru i upućivati na pravo na učinkoviti pravni lijek. Time se ne bi trebali isključiti dodatni zahtjevi na temelju postupovnog prava države članice. Donošenje pravno obvezujuće odluke podrazumijeva da to može dovesti do sudskog preispitivanja u državi članici nadzornog tijela koje je donijelo određenu odluku.

(130)

Ako nadzorno tijelo kojem je podnesena pritužba nije vodeće nadzorno tijelo, vodeće nadzorno tijelo trebalo bi usko surađivati s nadzornim tijelom kojem je podnesena pritužba u skladu s odredbama o suradnji i konzistentnosti iz ove Uredbe. U takvim slučajevima vodeće nadzorno tijelo trebalo bi, kada poduzima mjere kojima se proizvode pravni učinci, među ostalim nametanje upravnih novčanih kazni, osobito voditi računa o mišljenju nadzornog tijela kojem je podnesena pritužba i koje bi trebalo ostati nadležno za provedbu istrage na državnom području svoje države članice u vezi s vodećim nadzornim tijelom.

(131)

Kada bi drugo nadzorno tijelo trebalo djelovati kao vodeće nadzorno tijelo za aktivnosti obrade voditelja obrade ili izvršitelja obrade, ali se konkretni predmet pritužbe ili moguća povreda odnosi samo na aktivnosti obrade voditelja obrade ili izvršitelja obrade u državi članici u kojoj je podnesena pritužba ili otkrivena moguća povreda i predmet znatno ne utječe ili vjerojatno neće znatno utjecati na ispitanike u drugim državama članicama, nadzorno tijelo koje zaprimi pritužbu ili otkrije situacije u kojima dolazi do mogućih kršenja ove Uredbe ili je o njima na drugi način obaviješteno trebalo bi težiti sporazumnom rješenju s voditeljem obrade i, ako se to pokaže neuspješnim, primijeniti sve svoje ovlasti. To bi trebalo uključivati posebnu obradu koja se obavlja na državnom području države članice nadzornog tijela ili u pogledu ispitanika na državnom području te države članice, obradu koja se obavlja u kontekstu ponude robe ili usluga koja je posebno namijenjena ispitanicima na državnom području države članice nadzornog tijela, ili obradu koja se treba procijeniti uzimajući u obzir relevantne pravne obveze u skladu s pravom države članice.

(132)

Aktivnosti nadzornih tijela za podizanje svijesti javnosti trebale bi uključivati posebne mjere za voditelje obrade i izvršitelje obrade, uključujući mikropoduzeća, mala i srednja poduzeća kao i pojedince, posebno u kontekstu obrazovanja.

(133)

Nadzorna tijela trebala bi pomagati jedna drugima u obavljanju svojih zadaća i pružati si uzajamnu pomoć radi osiguravanja dosljedne primjene i provedbe Uredbe na unutarnjem tržištu. Nadzorno tijelo koje zatraži uzajamnu pomoć može donijeti privremenu mjeru ako ne primi odgovor na zahtjev za uzajamnu pomoć u roku od mjesec dana od primitka zahtjeva od strane drugog nadzornog tijela.

(134)

Svako nadzorno tijelo trebalo bi prema potrebi sudjelovati u zajedničkim operacijama s drugim nadzornim tijelima. Nadzorno tijelo koje primi zahtjev trebalo bi biti obvezno odgovoriti na zahtjev u zadanom roku.

(135)

Radi osiguravanja dosljedne primjene ove Uredbe u cijeloj Uniji trebalo bi uspostaviti mehanizam konzistentnosti za suradnju među nadzornim tijelima. Taj bi se mehanizam posebno trebao primjenjivati ako nadzorno tijelo namjerava donijeti mjeru kojom se poduzimaju pravni učinci u pogledu postupaka obrade koji bitno utječu na veliki broj ispitanika u više država članica. Također bi se trebao primjenjivati kada bilo koje predmetno nadzorno tijelo ili Komisija traži da se takva pitanja rješavaju mehanizmom konzistentnosti. Taj mehanizam ne bi trebao utjecati na bilo koje mjere koje Komisija može poduzeti za izvršavanje svojih ovlasti prema Ugovorima.

(136)

Primjenjujući mehanizam konzistentnosti, Odbor bi trebao u određenom vremenskom roku dati mišljenje, ako većina njegovih članova tako odluči ili ako to zatraži bilo koje predmetno nadzorno tijelo ili Komisija. Odbor bi također trebao biti ovlašten za donošenje pravno obvezujućih odluka u slučaju sporova između nadzornih tijela. U tu svrhu trebao bi izdati, u načelu dvotrećinskom većinom svojih članova, pravno obvezujuće odluke u jasno određenim slučajevima u kojima postoje sukobljena stajališta među nadzornim tijelima posebno u mehanizmu za suradnju između vodećeg nadzornog tijela i predmetnog nadzornog tijela o meritumu predmeta, osobito o tome je li došlo do kršenja ove Uredbe.

(137)

Može doći do hitne potrebe za djelovanjem kako bi se zaštitila prava i slobode ispitanika, osobito ako postoji opasnost da bi se provedba prava ispitanika mogla u većoj mjeri narušiti. Nadzorno tijelo trebalo bi imati mogućnost donijeti opravdane privremene mjere na svojem državnom području s utvrđenim razdobljem valjanosti koje ne bi trebalo biti duže od tri mjeseca.

(138)

Primjena takvog mehanizma trebala bi biti uvjet za zakonitost mjere nadzornog tijela kojom se proizvode pravni učinci u slučajevima kada je njezina primjena obvezna. U ostalim slučajevima od prekogranične važnosti trebalo bi primijeniti mehanizam za suradnju između vodećeg nadzornog tijela i predmetnih nadzornih tijela te bi se među predmetnim nadzornim tijelima mogla davati uzajamna pomoć i obavljati zajedničke operacije na bilateralnoj ili multilateralnoj osnovi, bez aktiviranja mehanizma konzistentnosti.

(139)

Kako bi se promicala dosljedna primjena ove Uredbe, Odbor bi trebalo osnovati kao neovisno tijelo Unije. Kako bi ispunio svoje ciljeve, Europski odbor za zaštitu podataka trebao bi imati pravnu osobnost. Odbor bi trebao predstavljati njegov predsjednik. On bi trebao zamijeniti Radnu skupinu za zaštitu pojedinaca u vezi s obradom osobnih podataka osnovanu Direktivom 95/46/EZ. Trebao bi se sastojati od predsjednika nadzornog tijela svake države članice i Europskog nadzornika za zaštitu podataka ili njihovih zamjenika. Komisija bi trebala sudjelovati u aktivnostima Odbora bez prava glasa, a Europski nadzornik za zaštitu podataka trebao bi imati posebno pravo glasa. Odbor bi trebao doprinijeti dosljednoj primjeni ove Uredbe u cijeloj Uniji, među ostalim savjetovanjem Komisije, osobito o razini zaštite u trećim zemljama ili međunarodnim organizacijama, te promicanjem suradnje nadzornih tijela u cijeloj Uniji. Pri izvršavanju svojih zadaća Odbor bi trebao djelovati neovisno.

(140)

Odboru bi trebalo pomagati tajništvo koje osigurava Europski nadzornik za zaštitu podataka. Osoblje Europskog nadzornika za zaštitu podataka koje sudjeluje u izvršavanju zadaća povjerenih Odboru temeljem ove Uredbe trebalo bi biti odgovorno predsjedniku Odbora te svoje zadaće obavljati isključivo prema njegovim uputama.

(141)

Svaki bi ispitanik trebao imati pravo podnijeti pritužbu jednom nadzornom tijelu, posebno u državi članici u kojoj ima uobičajeno boravište i imati pravo na učinkoviti pravni lijek u skladu s člankom 47. Povelje ako ispitanik smatra da su prekršena njegova prava iz ove Uredbe ili ako nadzorno tijelo ne postupi po pritužbi, djelomično ili u potpunosti odbaci ili odbije pritužbu ili ne djeluje kada je takvo djelovanje nužno radi zaštite prava ispitanika. Nakon pritužbe trebalo bi provesti istragu, podložno sudskom preispitivanju, u onoj mjeri u kojoj je to određenom slučaju prikladno. Nadzorno bi tijelo trebalo u razumnom roku izvijestiti ispitanika o napretku i ishodu pritužbe. Ako slučaj zahtijeva dodatnu istragu ili koordinaciju s drugim nadzornim tijelom, ispitaniku bi trebalo dati privremene informacije. Kako bi se olakšalo podnošenje pritužbi, svako nadzorno tijelo trebalo bi poduzeti mjere poput osiguranja obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući ostala sredstva komunikacije.

(142)

Ako ispitanik smatra da su prekršena njegova prava iz ove Uredbe, trebao bi imati pravo ovlastiti neprofitno tijelo, organizaciju ili udruženje osnovano u skladu s pravom države članice, u čijem se statutu navode ciljevi od javnog interesa i koje je aktivno u području zaštite osobnih podataka, da nadzornom tijelu podnese pritužbu u njegovo ime, da ostvari pravo na pravni lijek u ime ispitanikâ ili da ostvari pravo na naknadu u ime ispitanikâ ako je to predviđeno pravom države članice. Država članica može predvidjeti da takvo tijelo, organizacija ili udruženje ima pravo, neovisno o mandatu ispitanika, podnijeti u toj državi članici pritužbu i imati pravo na učinkoviti pravni lijek ako ima razloga smatrati da je do kršenja prava ispitanika došlo zbog obrade osobnih podataka kojom se krši ova Uredba. Tom tijelu, organizaciji ili udruženju ne smije biti dopušteno tražiti naknadu u ime ispitanika neovisno o mandatu ispitanika.

(143)

Svaka fizička ili pravna osoba ima pravo pokrenuti postupak za poništenje odluka Odbora pred Sudom u skladu s uvjetima iz članka 263. UFEU-a. Kao primatelji takvih odluka, predmetna nadzorna tijela koja ih žele osporiti moraju pokrenuti postupak u roku od dva mjeseca od zaprimanja obavijesti o njima, u skladu s člankom 263. UFEU-a. Kada se odluke Odbora izravno odnose na pojedinog voditelja obrade, izvršitelja obrade ili podnositelja pritužbe, ta osoba može pokrenuti postupak za poništenje tih odluka u roku od dva mjeseca od njihove objave na internetskim stranicama Odbora, u skladu s člankom 263. UFEU-a. Ne dovodeći u pitanje to pravo u skladu s člankom 263. UFEU-a, svaka fizička ili pravna osoba trebala bi imati učinkovit pravni lijek pred nadležnim nacionalnim sudom protiv odluke nadzornog tijela koja proizvodi pravne učinke prema toj osobi. Takva odluka posebno se odnosi na provedbu istražnih, korektivnih i autorizacijskih ovlasti nadzornog tijela ili odbacivanje ili odbijanje pritužbi. Pravo na učinkovit pravni lijek međutim ne obuhvaća mjere nadzornih tijela koje nisu pravno obvezujuće poput mišljenja ili savjeta koja je dalo nadzorno tijelo. Postupci protiv nadzornog tijela trebali bi se pokrenuti pred sudovima države članice u kojoj nadzorno tijelo ima poslovni nastan te bi se trebali voditi u skladu s postupovnim pravom te države članice. Ti bi sudovi trebali imati punu nadležnost koja bi trebala obuhvaćati nadležnost za ispitivanje svih činjeničnih i pravnih pitanja bitnih za konkretni spor.

Ako je nadzorno tijelo pritužbu odbilo ili odbacilo, podnositelj pritužbe može postupak pokrenuti pred sudovima iste države članice. U kontekstu pravnih lijekova povezanih s primjenom ove Uredbe, nacionalni sudovi koji smatraju odluku o određenom pitanju nužnom za donošenje presude, mogu, ili ako je riječ o slučaju iz članka 267. UFEU-a, moraju, zatražiti od Suda da donese odluku o prethodnim pitanjima u vezi s tumačenjem prava Unije, među ostalim i ove Uredbe. Nadalje, ako se odluka nadležnog tijela o primjeni odluke Odbora osporava pred nacionalnim sudom te je u pitanju valjanost odluke Odbora, taj nacionalni sud nije ovlašten proglasiti odluku Odbora nevaljanom, već, kad god odluku smatra nevaljanom, pitanje o valjanosti mora uputiti Sudu u skladu s člankom 267. UFEU-a kako ga tumači Sud. Međutim, nacionalni sud ne može uputiti pitanje o valjanosti odluke Odbora na zahtjev fizičke ili pravne osobe koja je imala priliku pokrenuti postupak za poništenje te odluke, ali to nije učinila u razdoblju utvrđenom u članku 263. UFEU-a, osobito ako se odluka izravno i pojedinačno odnosila na nju.

(144)

Ako sud na kojem se vodi postupak protiv odluke nadzornog tijela ima razloga vjerovati da se postupci u vezi s istom obradom, poput istog predmeta u smislu aktivnosti obrade istog voditelja obrade ili izvršitelja obrade ili istog razloga za pokretanje postupka, vode na nadležnom sudu u drugoj državi članici, trebao bi kontaktirati s tim sudom kako bi potvrdio postojanje takvih povezanih postupaka. Ako se povezani postupci vode na sudu druge države članice, svaki sud osim suda na kojem je prvo pokrenut postupak može zastati sa svojim postupcima ili se može, na zahtjev jedne od strana, proglasiti nenadležnim i prepustiti nadležnost sudu na kojem je prvo pokrenut postupak ako je taj sud nadležan za predmetne postupke, a pravo koje se na njemu primjenjuje omogućuje povezivanje takvih povezanih postupaka. Smatra se da su postupci povezani kada su međusobno tako tijesno u vezi da je opravdano njihovo zajedničko saslušanje i zajedničko odlučivanje o njima kako bi se izbjegla opasnost od proturječnih presuda u odvojenim postupcima.

(145)

Za postupke koji se vode protiv voditelja obrade ili izvršitelja obrade tužitelj bi trebao imati mogućnost pokretanja spora pred sudovima država članica gdje voditelj obrade ili izvršitelj obrade imaju poslovni nastan ili gdje ispitanik ima boravište, osim u slučaju kada je voditelj obrade tijelo javne vlasti koje djeluje u svojstvu izvršitelja svojih javnih ovlasti.

(146)

Voditelj obrade ili izvršitelj obrade trebao bi nadoknaditi svaku štetu koju osoba može pretrpjeti zbog obrade kojom se krši ova Uredba. Voditelj obrade ili izvršitelj obrade trebao bi biti izuzet od odgovornosti ako dokaže da nije ni na koji način odgovoran za štetu. Pojam štete trebalo bi široko tumačiti s obzirom na sudsku praksu Suda tako da se u potpunosti odražavaju ciljevi ove Uredbe. Time se ne dovode u pitanje zahtjevi za naknadu štete koja proizlazi iz kršenja drugih pravila prava Unije ili prava države članice. Obrada kojom se krši ova Uredba također uključuje obradu kojom se krše delegirani i provedbeni akti doneseni u skladu s ovom Uredbom i pravom države članice kojim se razrađuju pravila ove Uredbe. Ispitanici bi trebali dobiti potpunu i učinkovitu naknadu za štetu koju su pretrpjeli. Ako su voditelji obrade ili izvršitelji obrade uključeni u istu obradu, svaki voditelj obrade ili izvršitelja obrade trebalo bi smatrati odgovornim za cjelokupnu štetu. Međutim ako su povezani u isti sudski postupak, u skladu s pravom države članice, naknada se može raspodijeliti u skladu s odgovornošću svakog voditelja obrade ili izvršitelja obrade za štetu uzrokovanu obradom, pod uvjetom da se osigura puna i učinkovita naknada ispitaniku koji je pretrpio štetu. Svaki voditelj obrade ili izvršitelj obrade koji je platio punu naknadu, može naknadno pokrenuti postupak za regres protiv drugih voditelja obrade ili izvršitelja obrade uključenih u istu obradu.

(147)

Ako su posebna pravila o nadležnosti sadržana u ovoj Uredbi, posebno u vezi s postupcima kojima se traži pravni lijek, među ostalim i naknada, od voditelja obrade ili izvršitelja obrade, opća pravila o nadležnosti poput pravila iz Uredbe (EU) br. 1215/2012 Europskog parlamenta i Vijeća (13) ne bi smjela dovoditi u pitanje primjenu takvih posebnih pravila.

(148)

Kako bi se poboljšalo izvršavanje pravila ove Uredbe, trebale bi se propisati sankcije, uključujući upravne novčane kazne, za svako kršenje ove Uredbe, uz odgovarajuće mjere koje propisuje nadzorno tijelo u skladu s ovom Uredbom ili umjesto njih. U slučaju lakšeg kršenja ili ako bi moguća novčana kazna nerazmjerno opteretila fizičku osobu, umjesto novčane kazne može se izdati upozorenje. Međutim, posebna bi se pozornost trebala posvetiti naravi, ozbiljnosti i trajanju kršenja, namjeri kršenja, mjerama poduzetim za ublažavanje pretrpljene štete, stupnju odgovornosti ili svim relevantnim prethodnim kršenjima, načinu na koji je nadzorno tijelo doznalo za kršenje, usklađenosti s mjerama naloženima protiv voditelja obrade ili izvršitelja obrade, pridržavanju kodeksa ponašanja te svakom drugom otegotnom ili olakotnom čimbeniku. Propisivanje sankcija, uključujući upravne novčane kazne, trebalo bi podlijegati odgovarajućim postupovnim zaštitnim mjerama u skladu s općim načelima prava Unije i Poveljom, uključujući i učinkovitu sudsku zaštitu i pravilno postupanje.

(149)

Države članice trebale bi imati mogućnost propisati pravila o kaznenim sankcijama za kršenja ove Uredbe, uključujući i kršenja nacionalnih pravila donesenih na temelju ove Uredbe i unutar njezinih granica. Te kaznene sankcije mogu obuhvaćati i oduzimanje dobiti stečene kršenjem ove Uredbe. Međutim, izricanje kazni za povrede takvih nacionalnih pravila i upravnih sankcija ne bi smjelo dovesti do kršenja načela ne bis in idem, kako ga tumači Sud.

(150)

Kako bi se ojačale i uskladile upravne sankcije za kršenje ove Uredbe, svako nadzorno tijelo trebalo bi imati ovlasti izricati upravne novčane kazne. U ovoj Uredbi trebalo bi navesti kršenja te gornju granicu i kriterije za određivanje povezanih upravnih novčanih kazni, što bi za svaki pojedinačni slučaj trebalo odrediti nadležno nadzorno tijelo, uzimajući u obzir sve bitne okolnosti posebne situacije, vodeći računa osobito o prirodi, težini i trajanju kršenja i njegovim posljedicama te mjerama poduzetim da bi se osiguralo poštovanje obveza iz ove Uredbe te spriječile ili ublažile posljedice kršenja. Kada se upravne kazne izriču poduzetniku, poduzetnik bi se u te svrhe trebao shvatiti poduzetnik u skladu s člancima 101. i 102. UFEU-a. Ako su upravne kazne izrečene osobama koje nisu poduzetnik, prilikom razmatranja odgovarajućeg iznosa novčane kazne nadzorno tijelo trebalo bi uzeti u obzir opću razinu dohotka u državi članici te ekonomsko stanje osobe. Također se može primijeniti mehanizam konzistentnosti radi promicanja konzistentne primjene upravnih novčanih kazni. Države članice trebale bi utvrditi i trebaju li i do koje mjere primjenjivati upravne novčane kazne za državna tijela. Izricanje upravne novčane kazne ili upozorenja ne utječe na primjenu ovlasti nadzornih tijela ili drugih sankcija na temelju ove Uredbe.

(151)

U pravnim sustavima Danske i Estonije nisu dopuštene upravne novčane kazne kako su navedene u ovoj Uredbi. Pravila za upravne novčane kazne mogu se primjenjivati na način da u Danskoj nadležni nacionalni sudovi izriču novčanu kaznu kao kaznenu sankciju, a da u Estoniji nadzorno tijelo izriče novčanu kaznu u okviru prekršajnog postupka, pod uvjetom da takva primjena pravilâ u tim državama članicama ima istovrijedni učinak kao i upravne novčane kazne koje izriču nadzorna tijela. Stoga bi nadležni nacionalni sudovi trebali uzeti u obzir preporuku nadzornog tijela koje ukaže na novčanu kaznu. U svakom slučaju novčane kazne trebale bi biti učinkovite, proporcionalne i odvraćajuće.

(152)

Ako ovom Uredbom nisu usklađene upravne novčane kazne ili ako je to potrebno u drugim slučajevima, primjerice u slučajevima teških kršenja ove Uredbe, države članice trebale bi uvesti sustav kojim se predviđaju učinkovite, proporcionalne i odvraćajuće sankcije. Prirodu tih sankcija kaznenih ili upravnih, trebalo bi odrediti pravom države članice.

(153)

U pravu država članica trebalo bi uskladiti pravila kojima se uređuje sloboda izražavanja i informiranja, među ostalim novinarskog, akademskog, umjetničkog i/ili književnog izražavanja s pravom na zaštitu osobnih podataka u skladu s ovom Uredbom. Na obradu osobnih podataka isključivo u novinarske svrhe ili u svrhe akademskog, umjetničkog ili književnog izražavanja trebalo bi primjenjivati odstupanja ili izuzeća od određenih odredaba ove Uredbe, ako je to potrebno kako bi se uskladilo pravo na zaštitu osobnih podataka s pravom na slobodu izražavanja i informiranja, kako je utvrđeno u članku 11. Povelje. To bi se posebno trebalo primjenjivati na obradu osobnih podataka u audiovizualnom području te u novinskim i medijskim arhivima. Stoga bi države članice trebale donijeti zakonodavne mjere kojima bi se predvidjela izuzeća i odstupanja potrebna radi usklađivanja tih temeljnih prava. Države članice trebale bi usvojiti takva izuzeća i odstupanja u pogledu općih načela, pravâ ispitanika, u pogledu voditelja obrade i izvršitelja obrade, prijenosa osobnih podataka u treće zemlje ili međunarodne organizacije, neovisnih nadzornih tijela, suradnje i usklađenosti te posebnih slučajeva obrade podataka. Ako se ta izuzeća i odstupanja razlikuju od jedne države članice do druge trebalo bi se primjenjivati pravo države članice koje se primjenjuje na voditelja obrade. Radi uzimanja u obzir važnosti prava na slobodu izražavanja u svakom demokratskom društvu potrebno je široko tumačiti pojmove u vezi s tom slobodom, kao što je novinarstvo.

(154)

Ovom se Uredbom omogućuje uzimanje u obzir načela javnog pristupa službenim dokumentima kada se primjenjuje ova Uredba. Može se smatrati da je javni pristup službenim dokumentima u javnom interesu. Tijelo javne vlasti ili javno tijelo trebalo bi imati mogućnost javno objaviti osobne podatke iz dokumenata koje takvo tijelo javne vlasti ili javno tijelo posjeduje ako je ta objava predviđena pravom Unije ili pravom države članice koje se primjenjuje na to tijelo javne vlasti ili javno tijelo. Takvim propisima trebali bi se uskladiti javni pristup službenim dokumentima i ponovna uporaba informacija iz javnog sektora s pravom na zaštitu osobnih podataka te bi se njima stoga moglo predvidjeti potrebno usklađivanje s pravom na zaštitu osobnih podataka u skladu s ovom Uredbom. Upućivanje na tijela javne vlasti i javna tijela trebalo bi u ovom kontekstu obuhvaćati sva tijela vlasti ili druga tijela obuhvaćena pravom države članice u pogledu javnog pristupa dokumentima. Direktivom 2003/98/EZ Europskog parlamenta i Vijeća (14) ne mijenja se niti se u bilo kojem pogledu utječe na razinu zaštite pojedinaca s obzirom na obradu osobnih podataka na temelju odredaba iz prava Unije i prava države članice, a osobito se njome ne mijenjaju obveze i prava utvrđena u ovoj Uredbi. Ta se Direktiva osobito ne bi smjela primjenjivati na dokumente kojima je pristup izuzet ili ograničen režimima pristupa radi zaštite osobnih podataka te na dijelove dokumenata kojima se može pristupiti pomoću tih režima, a koji sadrže osobne podatke čija je ponovna upotreba predviđena zakonom kao upotreba koja nije u skladu s pravom u pogledu zaštite pojedinaca s obzirom na obradu osobnih podataka.

(155)

Pravom države članice ili kolektivnim ugovorima, uključujući „ugovore o radovima”, mogu se predvidjeti posebna pravila za obradu osobnih podataka zaposlenikâ u kontekstu zaposlenja, posebno za uvjete pod kojima se osobni podaci u kontekstu zaposlenja mogu obrađivati na temelju privole zaposlenika, za potrebe zapošljavanja, izvršavanja ugovora o radu, uključujući ispunjavanje zakonski propisanih obveza ili obveza propisanih kolektivnim ugovorima, za potrebe upravljanja radom i njegova planiranja i organizacije, jednakosti i različitosti na radnom mjestu, zdravlja i sigurnosti na radu i za potrebe ostvarenja i uživanja prava i koristi iz radnog odnosa, na individualnoj ili kolektivnoj osnovi, te za potrebe prestanka radnog odnosa.

(156)

Obrada osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebala bi podlijegati odgovarajućim zaštitnim mjerama za prava i slobode ispitanika u skladu s ovom Uredbom. Tim zaštitnim mjerama trebalo bi osigurati da su tehničke i organizacijske mjere na snazi kako bi se osobito zajamčilo načelo smanjenja količine podataka. Daljnja obrada osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe provodi se kada voditelj obrade procijeni izvedivost ispunjavanja tih svrha obradom osobnih podataka koji ne omogućuju ili više ne omogućuju identifikaciju ispitanikâ, pod uvjetom da postoje odgovarajuće zaštitne mjere (poput, primjerice, pseudonimizacije osobnih podataka). Države članice trebale bi osigurati odgovarajuće zaštitne mjere za obradu osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe. Države članice trebale bi biti ovlaštene predvidjeti, pod posebnim uvjetima i uz primjenu odgovarajućih zaštitnih mjera za ispitanike, specifikacije i odstupanja u pogledu zahtjevâ za informiranjem, pravâ na ispravak, na brisanje, na zaborav, na ograničavanja obrade, na prenosivost podataka te na podnošenje prigovora pri obradi osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe. Dotični uvjeti i zaštitne mjere mogu podrazumijevati posebne postupke za ispitanike kako bi oni mogli ostvarivati ta prava ako je to primjereno s obzirom na svrhu posebne obrade, uz tehničke i organizacijske mjere usmjerene na smanjenje obrade osobnih podataka na najmanju mjeru kako bi se poštovala načela proporcionalnosti i nužnosti. Obrada osobnih podataka u znanstvene svrhe također bi trebala biti u skladu s drugim relevantnim zakonodavstvom, poput zakonodavstva o kliničkim ispitivanjima.

(157)

Povezivanjem informacija iz registara istraživači mogu steći novo znanje od velike vrijednosti u pogledu raširenih medicinskih stanja kao što su kardiovaskularne bolesti, rak i depresija. Na temelju registara rezultati istraživanja mogu se unaprijediti jer se temelje na većem broju stanovnika. U okviru društvenih znanosti, istraživanje na temelju registara omogućuje istraživačima da steknu ključno znanje o dugoročnoj povezanosti brojnih društvenih čimbenika, kao što su nezaposlenost i obrazovanje s drugim životnim čimbenicima. Rezultati istraživanja dobiveni putem registara dovode do pouzdanih, visokokvalitetnih spoznaja koje mogu biti temelj za oblikovanje i provedbu politike koja se temelji na znanju; njima se poboljšava kvaliteta života velikog broja ljudi te učinkovitost društvenih usluga. Kako bi se olakšalo znanstveno istraživanje, osobni se podaci mogu obrađivati u svrhe znanstvenog istraživanja, što podliježe odgovarajućim uvjetima i zaštitnim mjerama određenima u pravu Unije ili pravu države članice.

(158)

Ako se osobni podaci obrađuju u svrhe arhiviranja, ova Uredba trebala bi se također primjenjivati na takvu obradu, imajući u vidu da se ova Uredba ne bi trebala primjenjivati na osobne podatke preminulih osoba. Tijela javne vlasti ili javna ili privatna tijela koja posjeduju evidenciju od javnog interesa trebala bi biti službe koje, na temelju prava Unije ili prava države članice, imaju pravnu obvezu stjecati, čuvati, ocjenjivati, slagati, opisivati, komunicirati, promicati, širiti i pružati pristup evidencijama od trajne vrijednosti za opći javni interes. Države članice također bi trebale biti ovlaštene predvidjeti daljnju obradu osobnih podataka u svrhe arhiviranja, na primjer s ciljem pružanja posebnih informacija u vezi s političkim ponašanjem za vrijeme bivših totalitarističkih državnih režima, genocida, zločinâ protiv čovječnosti, posebice holokausta, ili ratnih zločina.

(159)

Ako se osobni podaci obrađuju u svrhe znanstvenog istraživanja, ova bi se Uredba trebala primjenjivati i na tu obradu. Za potrebe ove Uredbe, obrada osobnih podataka u svrhe znanstvenog istraživanja trebala bi se tumačiti u širokom smislu, uključujući primjerice tehnološki razvoj i demonstracijske aktivnosti, temeljno istraživanje, primijenjeno istraživanje, istraživanje koje se financira iz privatnih izvora. Dodatno, njome bi se trebao uzeti u obzir cilj Unije na temelju članka 179. stavka 1. UFEU-a u vezi s uspostavom europskog istraživačkog prostora. Svrhe znanstvenog istraživanja trebale bi također obuhvaćati studije koje se provode u javnom interesu u području javnog zdravlja. Kako bi se poštovale posebnosti obrade osobnih podataka u svrhe znanstvenog istraživanja, trebali bi se primjenjivati posebni uvjeti, osobito u pogledu objavljivanja ili druge vrste otkrivanja osobnih podataka u kontekstu svrha znanstvenog istraživanja. Ako su slijedom rezultata znanstvenog istraživanja, osobito u kontekstu zdravlja, potrebne dodatne mjere u interesu ispitanika, u pogledu tih mjera trebala bi se primjenjivati opća pravila iz ove Uredbe.

(160)

Ako se osobni podaci obrađuju u svrhe povijesnog istraživanja, ova Uredba trebala bi se primjenjivati i na takvu obradu. To bi također trebalo obuhvaćati povijesno istraživanje i istraživanje u genealoške svrhe, imajući u vidu da se ova Uredba ne bi trebala primjenjivati na preminule osobe.

(161)

Za potrebe pristanka za sudjelovanje u aktivnostima znanstvenog istraživanja u okviru kliničkih ispitivanja trebale bi se primjenjivati relevantne odredbe Uredbe (EU) br. 536/2014 Europskog parlamenta i Vijeća (15).

(162)

Ako se osobni podaci obrađuju u statističke svrhe, ova bi se Uredba trebala primjenjivati na takvu obradu. U pravu Unije ili pravu država članica trebalo bi, u okviru ograničenja ove Uredbe, utvrditi statistički sadržaj, nadzor pristupa, specifikacije za obradu osobnih podataka u statističke svrhe i primjerene mjere kako bi se zaštitila prava i slobode ispitanika te kako bi se osigurala statistička povjerljivost. Statističke svrhe znače svako prikupljanje i obradu osobnih podataka potrebnih za statistička istraživanja ili za proizvodnju statističkih rezultata. Ti statistički rezultati mogu se dalje upotrijebiti u različite svrhe, među ostalim u svrhu znanstvenog istraživanja. Pod statističkom svrhom podrazumijeva se da rezultat obrade u statističke svrhe nisu osobni podaci, već agregirani podaci te da se taj rezultat ili podaci ne upotrebljavaju kao potpora mjerama ili odlukama u vezi nekog pojedinca.

(163)

Trebalo bi zaštititi povjerljive informacije koje statistička tijela Unije i nacionalna statistička tijela prikupljaju za potrebe sastavljanja službene europske i nacionalne statistike. Europsku statistiku trebalo bi razvijati, izrađivati i diseminirati u skladu sa statističkim načelima kako je određeno u članku 338. stavku 2. UFEU-a, dok bi nacionalna statistika trebala biti i u skladu s pravom države članice. U Uredbi (EZ) br. 223/2009 Europskog parlamenta i Vijeća (16) predviđaju se daljnje pojedinosti u pogledu statističke povjerljivosti europske statistike.

(164)

U vezi s ovlastima nadzornih tijela za dobivanje pristupa osobnim podacima i prostorijama od voditelja obrade ili izvršitelja obrade, države članice mogu zakonskim putem, u okviru ograničenja ove Uredbe, donijeti posebna pravila radi očuvanja profesionalnih ili drugih odgovarajućih obveza čuvanja tajnosti podataka, u mjeri u kojoj je nužno uskladiti pravo na zaštitu osobnih podataka s obvezom čuvanja profesionalne tajne. Time se ne dovode u pitanje postojeće obveze država članica da primijene pravila o čuvanju profesionalne tajne kada pravo Unije tako nalaže.

(165)

Ovom Uredbom poštuje se i ne dovodi se u pitanje status crkava i vjerskih udruženja ili zajednica u državama članicama prema postojećem ustavnom pravu, kako je priznato člankom 17. UFEU-a.

(166)

Kako bi se ostvarili ciljevi ove Uredbe, odnosno zaštitila temeljna prava i slobode pojedinaca, a osobito njihova prava na zaštitu osobnih podataka i osiguravanje slobodnog kretanja osobnih podataka unutar Unije, Komisiji bi trebalo delegirati ovlast za donošenje akata u skladu s člankom 290. UFEU-a. Konkretnije, delegirane akte trebalo bi donositi poštujući kriterije i zahtjeve za mehanizme certificiranja, informacije koje se iznose putem standardiziranih ikona i postupke za utvrđivanje takvih ikona. Posebno je važno da Komisija tijekom svojeg pripremnog rada provede odgovarajuća savjetovanja, uključujući ona na razini stručnjaka. Prilikom pripreme i izrade delegiranih akata, Komisija bi trebala osigurati da se relevantni dokumenti Europskom parlamentu i Vijeću šalju istodobno, na vrijeme i na primjeren način.

(167)

Radi osiguranja jedinstvenih uvjeta za provedbu ove Uredbe, provedbene ovlasti trebalo bi dodijeliti Komisija kada je to predviđeno ovom Uredbom. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011. U tom kontekstu Komisija bi trebala razmotriti posebne mjere za mikropoduzeća te mala i srednja poduzeća.

(168)

Za donošenje provedbenih akata o standardnim ugovornim klauzulama između voditelja obrade i izvršitelja obrade te među izvršiteljima obrade; kodeksima ponašanja; tehničkim standardima i mehanizmima certificiranja; primjerenom stupnju zaštite u trećoj zemlji, na području ili u određenom sektoru unutar treće zemlje ili u međunarodnoj organizaciji; standardnim klauzulama o zaštiti; formatima i postupcima za razmjenu informacija elektroničkim putem među voditeljima obrade, izvršiteljima obrade i nadzornim tijelima za obvezujuća korporativna pravila; uzajamnoj pomoći; sustavima za razmjenu informacija elektroničkim putem između nadzornih tijela i između nadzornih tijela i Odbora trebalo primjenjivati postupak ispitivanja.

(169)

Komisija bi trebala donijeti provedbene akte koji se odmah primjenjuju kada se temeljem raspoloživih dokaza otkrije da treća zemlja, područje ili određeni sektor unutar te treće zemlje, ili međunarodna organizacija ne osigurava primjereni stupanj zaštite, te to zahtijevaju krajnje hitni razlozi.

(170)

S obzirom na to da cilj ove Uredbe, odnosno osiguravanje jednakovrijedne razine zaštite pojedinaca i slobodnog protoka osobnih podataka širom Unije, ne mogu dostatno ostvariti države članice, nego se zbog opsega ili učinaka radnji oni na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji (UEU). U skladu s načelom proporcionalnosti, utvrđenim u tom članku, ova Uredba ne prelazi ono što je potrebno za ostvarivanje tih ciljeva.

(171)

Direktiva 95/46/EZ trebala bi se ovom Uredbom staviti izvan snage. Obrade koje su već u tijeku na datum početka primjene ove Uredbe trebalo bi uskladiti s ovom Uredbom u roku od dvije godine nakon što ova Uredba stupi na snagu. Ako se obrada temelji na privoli na temelju Direktive 95/46/EZ te ako je način na koji je ta privola dana u skladu s uvjetima iz ove Uredbe, nije potrebno da ispitanik ponovno daje svoju privolu kako bi se voditelju obrade omogućio nastavak takve obrade nakon datuma početka primjene ove Uredbe. Donesene odluke Komisije i odobrenja nadzornih tijela koja se temelje na Direktivi 95/46/EZ ostaju na snazi dok ih se ne izmijeni, zamijeni ili stavi izvan snage.

(172)

Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 28. stavkom 2. Uredbe (EZ) br. 45/2001 Europskog parlamenta i Vijeća koji je dao mišljenje 7. ožujka 2012. (17).

(173)

Ova bi se Uredba trebala primjenjivati na sva pitanja u vezi sa zaštitom temeljnih prava i sloboda u odnosu na obradu osobnih podataka koja ne podliježu posebnim obvezama s istim ciljem koji je utvrđen Direktivom 2002/58/EZ Europskog parlamenta i Vijeća (18), uključujući obveze voditelja obrade i prava pojedinaca. Kako bi se pojasnio odnos između ove Uredbe i Direktive 2002/58/EZ, tu bi Direktivu trebalo izmijeniti na odgovarajući način. Nakon donošenja ove Uredbe, Direktivu 2002/58/EZ trebalo bi preispitati posebno kako bi se osigurala usklađenost s ovom Uredbom,

(a)

tijekom djelatnosti koja nije obuhvaćena opsegom prava Unije;

(b)

koju obavljaju države članice kada obavljaju aktivnosti koje su obuhvaćene područjem primjene glave V. poglavlja 2. UEU-a;

(c)

koju provodi fizička osoba tijekom isključivo osobnih ili kućnih aktivnosti;

(d)

koju obavljaju nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihova sprečavanja.

(a)

nuđenjem robe ili usluga takvim ispitanicima u Uniji, neovisno o tome treba li ispitanik izvršiti plaćanje; ili

(b)

praćenjem njihova ponašanja dokle god se njihovo ponašanje odvija unutar Unije.

1.

„osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi („ispitanik”); pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

2.

„obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili na skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

3.

„ograničavanje obrade” znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti;

4.

„izrada profila” znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;

5.

„pseudonimizacija” znači obrada osobnih podataka na način da se osobni podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te da podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;

6.

„sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

7.

„voditelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se predvidjeti pravom Unije ili pravom države članice;

8.

„izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;

9.

„primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u skladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade;

10.

„treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje nije ispitanik, voditelj obrade, izvršitelj obrade ni osobe koje su ovlaštene za obradu osobnih podataka pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade;

11.

„privola” ispitanika znači svako dobrovoljno, posebno, informirano i nedvosmisleno izražavanje želja ispitanika kojim on izjavom ili jasnom potvrdnom radnjom daje pristanak za obradu osobnih podataka koji se na njega odnose;

12.

„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;

13.

„genetski podaci” znači osobni podaci koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca;

14.

„biometrijski podaci” znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci;

15.

„podaci koji se odnose na zdravlje” znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu;

16.

„glavni poslovni nastan” znači:

17.

„predstavnik” znači fizička ili pravna osoba s poslovnim nastanom u Uniji koju je voditelj obrade ili izvršitelj obrade imenovao pisanim putem u skladu s člankom 27., a koja predstavlja voditelja obrade ili izvršitelja obrade u pogledu njihovih obveza na temelju ove Uredbe;

18.

„poduzeće” znači fizička ili pravna osoba koja se bavi gospodarskom djelatnošću, bez obzira na pravni oblik te djelatnosti, uključujući partnerstva ili udruženja koja se redovno bave gospodarskom djelatnošću;

19.

„grupa poduzetnika” znači poduzetnik u vladajućem položaju te njemu podređeni poduzetnici;

20.

„obvezujuća korporativna pravila” znači politike zaštite osobnih podataka kojih se voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice pridržava za prijenose ili skupove prijenosa osobnih podataka voditelju obrade ili izvršitelju obrade u jednoj ili više trećih zemalja unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću;

21.

„nadzorno tijelo” znači neovisno tijelo javne vlasti koje je osnovala država članica u skladu s člankom 51.;

22.

„predmetno nadzorno tijelo” znači nadzorno tijelo koje je povezano s obradom osobnih podataka zato što:

23.

„prekogranična obrada” znači ili:

24.

„relevantni i obrazloženi prigovor” znači prigovor na nacrt odluke kao i na to je li došlo do kršenja ove Uredbe, ili je li djelovanje predviđeno u vezi s voditeljem obrade ili izvršiteljem obrade u skladu s ovom Uredbom, koji jasno pokazuje važnost rizika koje predstavlja nacrt odluke u pogledu temeljnih prava i sloboda ispitanika i, ako je primjenjivo, slobodnog protoka osobnih podataka unutar Unije;

25.

„usluga informacijskog društva” znači usluga kako je definirana člankom 1. stavkom 1. točkom 2. Direktive 2015/1535 Europskog parlamenta i Vijeća (19);

26.

„međunarodna organizacija” znači organizacija i njezina podređena tijela uređena međunarodnim javnim pravom ili bilo koje drugo tijelo koje su sporazumom ili na osnovi sporazuma osnovale dvije ili više zemalja.

(a)

zakonito, pošteno i transparentno obrađivani s obzirom na ispitanika („zakonitost, poštenosti transparentnost”);

(b)

prikupljeni u posebne, izričite i zakonite svrhe te se dalje ne smiju obrađivati na način koji nije u skladu s tim svrhama; daljnja obrada u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, u skladu s člankom 89. stavkom 1. ne smatra se neusklađenom s prvotnim svrhama („ograničavanje svrhe”);

(c)

primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju („smanjenje količine podataka”);

(d)

točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave („točnost”);

(e)

čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju; osobni podaci mogu se pohraniti na dulja razdoblja ako će se osobni podaci obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1., što podliježe provedbi primjerenih tehničkih i organizacijskih mjera propisanih ovom Uredbom radi zaštite prava i sloboda ispitanika („ograničenje pohrane”);

(f)

obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera („cjelovitost i povjerljivost”);

(a)

ispitanik je dao privolu za obradu svojih osobnih podataka u jednu ili više posebnih svrha;

(b)

obrada je nužna za izvršavanje ugovora u kojem je ispitanik stranka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora;

(c)

obrada je nužna radi poštovanja pravnih obveza voditelja obrade;

(d)

obrada je nužna kako bi se zaštitili ključni interesi ispitanika ili druge fizičke osobe;

(e)

obrada je nužna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(f)

obrada je nužna za potrebe legitimnih interesa voditelja obrade ili treće strane, osim kada su od tih interesa jači interesi ili temeljna prava i slobode ispitanika koji zahtijevaju zaštitu osobnih podataka, osobito ako je ispitanik dijete.

(a)

pravu Unije; ili

(b)

pravu države članice kojem voditelj obrade podliježe.

(a)

svaku vezu između svrha prikupljanja osobnih podataka i svrha namjeravanog nastavka obrade;

(b)

kontekst u kojem su prikupljeni osobni podaci, posebno u pogledu odnosa između ispitanikâ i voditelja obrade;

(c)

prirodu osobnih podataka, osobito činjenicu obrađuju li se posebne kategorije osobnih podataka u skladu s člankom 9. ili osobni podaci koji se odnose na kaznene osude i kažnjiva djela u skladu s člankom 10.;

(d)

moguće posljedice namjeravanog nastavka obrade za ispitanike;

(e)

postojanje odgovarajućih zaštitnih mjera, koje mogu uključivati enkripciju ili pseudonimizaciju.

(a)

ispitanik je dao izričitu privolu za obradu tih osobnih podataka za jednu ili više određenih svrha, osim ako se pravom Unije ili pravom države članice propisuje da ispitanik ne može ukinuti zabranu iz stavka 1.;

(b)

obrada je nužna za potrebe izvršavanja obveza i ostvarivanja posebnih prava voditelja obrade ili ispitanika u području radnog prava i prava o socijalnoj sigurnosti te socijalnoj zaštiti u mjeri u kojoj je to odobreno u okviru prava Unije ili prava države članice ili kolektivnog ugovora u skladu s pravom države članice koje propisuje odgovarajuće zaštitne mjere za temeljna prava i interese ispitanika;

(c)

obrada je nužna za zaštitu životno važnih interesa ispitanika ili drugog pojedinca ako ispitanik fizički ili pravno nije u mogućnosti dati privolu;

(d)

obrada se provodi u sklopu legitimnih aktivnosti s odgovarajućim zaštitnim mjerama zaklade, udruženja ili drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem te pod uvjetom da se obrada odnosi samo na članove ili bivše članove tijela ili na osobe koje imaju redovan kontakt s njom u vezi s njezinim svrhama i da osobni podaci nisu priopćeni nikome izvan tog tijela bez privole ispitanika;

(e)

obrada se odnosi na osobne podatke za koje je očito da ih je objavio ispitanik;

(f)

obrada je nužna za uspostavu, ostvarivanje ili obranu pravnih zahtjeva ili kad god sudovi djeluju u sudbenom svojstvu;

(g)

obrada je nužna za potrebe značajnog javnog interesa na temelju prava Unije ili prava države članice koje je razmjerno željenom cilju te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika;

(h)

obrada je nužna u svrhu preventivne medicine ili medicine rada radi procjene radne sposobnosti zaposlenika, medicinske dijagnoze, pružanja zdravstvene ili socijalne skrbi ili tretmana ili upravljanja zdravstvenim ili socijalnim sustavima i uslugama na temelju prava Unije ili prava države članice ili u skladu s ugovorom sa zdravstvenim radnikom te u skladu s uvjetima i zaštitnim mjerama iz stavka 3.;

(i)

obrada je nužna u svrhu javnog interesa u području javnog zdravlja kao što je zaštita od ozbiljnih prekograničnih prijetnji zdravlju ili osiguravanje visokih standarda kvalitete i sigurnosti zdravstvene skrbi te lijekova i medicinskih proizvoda, na temelju prava Unije ili prava države članice kojim se propisuju odgovarajuće i posebne mjere za zaštitu prava i sloboda ispitanika, posebno čuvanje profesionalne tajne;

(j)

obrada je nužna u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1. na temelju prava Unije ili prava države članice koje je razmjerno cilju koji se nastoji postići te kojim se poštuje bit prava na zaštitu podataka i osiguravaju prikladne i posebne mjere za zaštitu temeljnih prava i interesa ispitanika.

(a)

naplatiti razumnu naknadu uzimajući u obzir administrativne troškove pružanja informacija ili obavijesti ili postupanje po zahtjevu; ili

(b)

odbiti postupiti po zahtjevu.

(a)

identitet i kontaktne podatke voditelja obrade i, ako je primjenjivo, predstavnika voditelja obrade;

(b)

kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;

(c)

svrhe obrade radi kojih se upotrebljavaju osobni podaci kao i pravnu osnovu za obradu;

(d)

ako se obrada temelji na članku 6. stavku 1. točki (f), legitimne interese voditelja obrade ili treće strane;

(e)

primatelje ili kategorije primatelja osobnih podataka, ako ih ima; i

(f)

ako je primjenjivo, činjenicu da voditelja obrade namjerava osobne podatke prenijeti trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosâ iz članaka 46. ili 47. ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje.

(a)

razdoblje u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;

(b)

postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika ili prava na ulaganje prigovora na obradu takvih te prava na prenosivost podataka;

(c)

ako se obrada temelji na članku 6. stavku 1. točki (a) ili članku 9. stavku 2. točki (a), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;

(d)

pravo na podnošenje prigovora nadzornom tijelu;

(e)

informaciju o tome je li pružanje osobnih podataka zakonska ili ugovorna obveza ili uvjet nužan za sklapanje ugovora te ima li ispitanik obvezu pružanja osobnih podataka i koje su moguće posljedice ako se takvi podaci ne pruže;

(f)

postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

(a)

identitet i kontaktne podatke voditelja obrade i predstavnika voditelja obrade, ako je primjenjivo;

(b)

kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;

(c)

svrhe obrade kojoj su namijenjeni osobni podaci kao i pravnu osnovu za obradu;

(d)

kategorije osobnih podataka o kojima je riječ;

(e)

primatelje ili kategorije primatelja osobnih podataka, prema potrebi;

(f)

ako je primjenjivo, namjeru voditelja obrade da osobne podatke prenese primatelju u trećoj zemlji ili međunarodnoj organizaciji te postojanje ili nepostojanje odluke Komisije o primjerenosti, ili u slučaju prijenosâ iz članka 46. ili 47., ili članka 49. stavka 1. drugog podstavka upućivanje na prikladne ili odgovarajuće zaštitne mjere i načine pribavljanja njihove kopije ili mjesta na kojem su stavljene na raspolaganje;

(a)

razdoblje u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterije kojima se utvrdilo to razdoblje;

(b)

ako se obrada temelji na članku 6. stavku 1. točki (f), legitimne interese voditelja obrade ili treće strane;

(c)

postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima i ispravak ili brisanje osobnih podataka ili ograničavanje obrade koji se odnose na ispitanika i prava na ulaganje prigovora na obradu te prava na prenosivost podataka;

(d)

ako se obrada temelji na članku 6. stavku 1. točki (a) ili članku 9. stavku 2. točki (a), postojanje prava da se u bilo kojem trenutku povuče privolu, a da to ne utječe na zakonitost obrade koja se temeljila na privoli prije nego što je ona povučena;

(e)

pravo na podnošenje prigovora nadzornom tijelu;

(f)

izvor osobnih podataka i, prema potrebi, dolaze li iz javno dostupnih izvora;

(g)

postojanje automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislene informacije o tome o kojoj je logici riječ, kao i važnost i predviđene posljedice takve obrade za ispitanika.

(a)

unutar razumnog roka nakon dobivanja osobnih podataka, a najkasnije u roku od jednog mjeseca, uzimajući u obzir posebne okolnosti obrade osobnih podataka;

(b)

ako se osobni podaci trebaju upotrebljavati za komunikaciju s ispitanikom, najkasnije u trenutku prve komunikacije ostvarene s tim ispitanikom; ili

(c)

ako je predviđeno otkrivanje podataka drugom primatelju, najkasnije u trenutku kada su osobni podaci prvi put otkriveni.

(a)

ispitanik već posjeduje informacije;

(b)

pružanje takvih informacija nemoguće je ili bi zahtijevalo nerazmjerne napore; posebno za obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, podložno uvjetima i zaštitnim mjerama iz članka 89. stavka 1. ili u mjeri u kojoj je vjerojatno da se obvezom iz stavka 1. ovog članka može onemogućiti ili ozbiljno ugroziti postizanje ciljeva te obrade. U takvim slučajevima voditelj obrade poduzima odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanikâ, među ostalim stavljanjem informacija na raspolaganje javnosti;

(c)

dobivanje ili otkrivanje podataka izrijekom je propisano pravom Unije ili pravom države članice kojem podliježe voditelj obrade, a koje predviđa odgovarajuće mjere zaštite legitimnih interesa ispitanika; ili

(d)

ako osobni podaci moraju ostati povjerljivi u skladu s obvezom čuvanja profesionalne tajne koju uređuje pravo Unije ili pravo države članice, uključujući obvezu čuvanja tajne koja se navodi u statutu.

(a)

svrsi obrade;

(b)

kategorijama osobnih podataka o kojima je riječ;

(c)

primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni ili će im biti otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama;

(d)

ako je to moguće, predviđenom razdoblju u kojem će osobni podaci biti pohranjeni ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;

(e)

postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika ili prava na prigovor na takvu obradu

(f)

pravu na podnošenje pritužbe nadzornom tijelu;

(g)

ako se osobni podaci ne prikupljaju od ispitanika, svakoj dostupnoj informaciji o njihovu izvoru;

(h)

postojanju automatiziranog donošenja odluka, što uključuje izradu profila iz članka 22. stavaka 1. i 4. te, barem u tim slučajevima, smislenim informacijama o tome o kojoj je logici riječ, kao i važnosti i predviđenim posljedicama takve obrade za ispitanika.

(a)

osobni podaci više nisu nužni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni;

(b)

ispitanik povuče privolu na kojoj se obrada temelji u skladu s člankom 6. stavkom 1. točkom (a) ili člankom 9. stavkom 2. točkom (a) i ako ne postoji druga pravna osnova za obradu;

(c)

ispitanik uloži prigovor na obradu u skladu s člankom 21. stavkom 1. te ne postoje jači legitimni razlozi za obradu, ili ispitanik uloži prigovor na obradu u skladu s člankom 21. stavkom 2.;

(d)

osobni podaci nezakonito su obrađeni;

(e)

osobni podaci moraju se brisati radi poštovanja pravne obveze iz prava Unije ili prava države članice kojem podliježe voditelj obrade;

(f)

osobni podaci prikupljeni su u vezi s ponudom usluga informacijskog društva iz članka 8. stavka 1.

(a)

radi ostvarivanja prava na slobodu izražavanja i informiranja;

(b)

radi poštovanja pravne obveze kojom se zahtijeva obrada u pravu Unije ili pravu države članice kojem podliježe voditelj obrade ili za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade;

(c)

zbog javnog interesa u području javnog zdravlja u skladu s člankom 9. stavkom 2. točkama (h) i (i) kao i člankom 9. stavkom 3.;

(d)

u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe u skladu s člankom 89. stavkom 1. u mjeri u kojoj je vjerojatno da se pravom iz stavka 1. može onemogućiti ili ozbiljno ugroziti postizanje ciljeva te obrade; ili

(e)

radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva.

(a)

ispitanik osporava točnost osobnih podataka, na razdoblje kojim se voditelju obrade omogućuje provjera točnosti osobnih podataka;

(b)

obrada je nezakonita i ispitanik se protivi brisanju osobnih podataka te umjesto toga traži ograničenje njihove uporabe;

(c)

voditelj obrade više ne treba osobne podatke za potrebe obrade, ali ih ispitanik traži radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva;

(d)

ispitanik je uložio prigovor na obradu na temelju članka 21. stavka 1. očekujući potvrdu nadilaze li legitimni razlozi voditelja obrade razloge ispitanika.

(a)

obrada se temelji na privoli u skladu s člankom 6. stavkom 1. točkom (a) ili člankom 9. stavkom 2. točkom (a) ili na ugovoru u skladu s člankom 6. stavkom 1. točkom (b); i

(b)

obrada se provodi automatiziranim putem.

(a)

potrebna za sklapanje ili izvršenje ugovora između ispitanika i voditelja obrade podataka;

(b)

dopuštena pravom Unije ili pravom države članice kojem podliježe voditelj obrade te koje također propisuje odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika; ili

(c)

temeljena na izričitoj privoli ispitanika.

(a)

nacionalne sigurnosti;

(b)

obrane;

(c)

javne sigurnosti;

(d)

sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje;

(e)

drugih važnih ciljeva od općeg javnog interesa Unije ili države članice, osobito važnog gospodarskog ili financijskog interesa Unije ili države članice, što uključuje monetarna, proračunska i porezna pitanja, javno zdravstvo i socijalnu sigurnost;

(f)

zaštite neovisnosti pravosuđa i sudskih postupaka;

(g)

sprečavanja, istrage, otkrivanja i progona kršenja etike za regulirane struke;

(h)

funkcije praćenja, inspekcije ili regulatorne funkcije koja je, barem povremeno, povezana s izvršavanjem službene ovlasti u slučajevima iz točaka od (a) do (e) i točke (g);

(i)

zaštite ispitanika ili prava i sloboda drugih;

(j)

ostvarivanja potraživanja u građanskim sporovima.

(a)

svrhama obrade ili kategorijama obrade,

(b)

kategorijama osobnih podataka,

(c)

opsegu uvedenih ograničenja,

(d)

zaštitnim mjerama za sprečavanje zlouporabe ili nezakonitog pristupa ili prijenosa;

(e)

specifikaciji voditelja obrade ili kategorija voditeljâ obrade,

(f)

razdoblju pohrane i zaštitnim mjerama koje se mogu primijeniti uzimajući u obzir prirodu, opseg i svrhe obrade ili kategorije obrade;

(g)

rizicima za prava i slobode ispitanika; i

(h)

pravu ispitanika da budu obaviješteni o ograničenju, osim ako može biti štetno za svrhu tog ograničenja.

(a)

obradu koja je povremena, ne uključuje u velikoj mjeri obradu posebnih kategorija podataka iz članka 9. stavka 1. ili obradu osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10. te za koju nije vjerojatno da će prouzročiti rizik za prava i slobode pojedinaca uzimajući u obzir prirodu, kontekst, opseg i svrhe obrade; ili

(b)

tijelo javne vlasti ili javno tijelo.

(a)

obrađuje osobne podatke samo prema zabilježenim uputama voditelja obrade, među ostalim s obzirom na prijenose osobnih podataka trećoj zemlji ili međunarodnoj organizaciji, osim ako to nalaže pravo Unije ili pravo države članice kojem podliježe izvršitelj obrade; u tom slučaju izvršitelj obrade izvješćuje voditelja obrade o tom pravnom zahtjevu prije obrade, osim ako se tim pravom zabranjuje takvo izvješćivanje zbog važnih razloga od javnog interesa;

(b)

osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim obvezama o povjerljivosti;

(c)

poduzima sve potrebne mjere u skladu s člankom 32.;

(d)

poštuje uvjete iz stavaka 2. i 4. za angažiranje drugog izvršitelja obrade;

(e)

uzimajući u obzir prirodu obrade, pomaže voditelju obrade putem odgovarajućih tehničkih i organizacijskih mjera, koliko je to moguće, da ispuni obvezu voditelja obrade u pogledu odgovaranja na zahtjeve za ostvarivanje prava ispitanika koja su utvrđena u poglavlju III.;

(f)

pomaže voditelju obrade u osiguravanju usklađenosti s obvezama u skladu s člancima od 32. do 36., uzimajući u obzir prirodu obrade i informacije koje su dostupne izvršitelju obrade;

(g)

po izboru voditelja, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluga vezanih za obradu te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka;

(h)

voditelju obrade stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obveza utvrđenih u ovom članku i koje omogućuju revizije, uključujući inspekcije, koje provodi voditelj obrade ili drugi revizor kojeg je ovlastio voditelj obrade, te im doprinose.

(a)

ime i kontaktne podatke voditelja obrade i, ako je primjenjivo, zajedničkog voditelja obrade, predstavnika voditelja obrade i službenika za zaštitu podataka;

(b)

svrhe obrade;

(c)

opis kategorija ispitanika i kategorija osobnih podataka;

(d)

kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;

(e)

ako je primjenjivo, prijenose osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. drugog podstavka, dokumentaciju o odgovarajućim zaštitnim mjerama;

(f)

ako je to moguće, predviđene rokove za brisanje različitih kategorija podataka;

(g)

ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1.

(a)

ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te, ako je primjenjivo, predstavnika voditelja obrade ili izvršitelja obrade te službenika za zaštitu podataka;

(b)

kategorije obrade koje se obavljaju u ime svakog voditelja obrade;

(c)

ako je primjenjivo, prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 49. stavka 1. točke (h), dokumentaciju o odgovarajućim zaštitnim mjerama;

(d)

ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 32. stavka 1.

(a)

pseudonimizaciju i enkripciju osobnih podataka;

(b)

sposobnost osiguravanja trajne povjerljivosti, cjelovitosti, dostupnosti i otpornosti sustava i usluga obrade;

(c)

sposobnost pravodobne ponovne uspostave dostupnosti osobnih podataka i pristupa njima u slučaju fizičkog ili tehničkog incidenta;

(d)

proces za redovno testiranje, ocjenjivanje i procjenjivanje učinkovitosti tehničkih i organizacijskih mjera za osiguravanje sigurnosti obrade.

(a)

opisati priroda povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj dotičnih ispitanika te kategorije i približan broj dotičnih evidencija osobnih podataka;

(b)

navesti ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još informacija;

(c)

opisati vjerojatne posljedice povrede osobnih podataka;

(d)

opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica.

(a)

voditelj obrade poduzeo je odgovarajuće tehničke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom osobnih podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija;

(b)

voditelj obrade poduzeo je naknadne mjere kojima se osigurava da više nije vjerojatno da će doći do visokog rizika za prava i slobode ispitanika iz stavka 1.;

(c)

time bi se zahtijevao nerazmjeran napor. U takvom slučaju mora postojati javno obavješćivanje ili slična mjera kojom se ispitanici obavješćuju na jednako djelotvoran način.

(a)

sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na temelju koje se donose odluke koje proizvode pravne učinke koji se odnose na pojedinca ili na sličan način značajno utječu na pojedinca;

(b)

opsežne obrade posebnih kategorija osobnih podataka iz članka 9. stavka 1. ili podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.; ili

(c)

sustavnog praćenja javno dostupnog područja u velikoj mjeri.

(a)

sustavan opis predviđenih postupaka obrade i svrha obrade, uključujući, ako je primjenjivo, legitimni interes voditelja obrade;

(b)

procjenu nužnosti i proporcionalnosti postupaka obrade povezanih s njihovim svrhama;

(c)

procjenu rizika za prava i slobode ispitanikâ iz stavka 1.; i

(d)

mjere predviđene za rješavanje problema rizika, što uključuje zaštitne mjere, sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s ovom Uredbom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.

(a)

ako je primjenjivo, odgovarajuće odgovornosti voditelja obrade, zajedničkih voditelja obrade i izvršitelja obrade uključenih u obradu, osobito za obrade unutar grupe poduzetnika;

(b)

svrhu i sredstva namjeravane obrade;

(c)

zaštitne mjere i druge mjere za zaštitu prava i sloboda ispitanika u na temelju ove Uredbe;

(d)

ako je primjenjivo, kontaktne podatke službenika za zaštitu podataka;

(e)

procjenu učinka na zaštitu podataka kako je predviđena u članku 35.; i

(f)

sve druge informacije koje nadzorno tijelo zatraži.

(a)

obradu provodi tijelo javne vlasti ili javno tijelo, osim za sudove koji djeluju u okviru svoje sudske nadležnosti,

(b)

osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od postupaka obrade koji zbog svoje prirode, opsega i/ili svrha iziskuju redovito i sustavno praćenje ispitanika u velikoj mjeri, ili

(c)

osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje se od opsežne obrade posebnih kategorija podataka na temelju članka 9. i osobnih podataka u vezi s kaznenim osudama i kažnjivim djelima iz članka 10.

(a)

informiranje i savjetovanje voditelja obrade ili izvršitelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama iz ove Uredbe te drugim odredbama Unije ili države članice o zaštiti podataka;

(b)

praćenje poštovanja ove Uredbe te drugih odredaba Unije ili države članice o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade te povezane revizije;

(c)

pružanje savjeta, kada je to zatraženo, u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja u skladu s člankom 35.;

(d)

suradnja s nadzornim tijelom;

(e)

djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima u pogledu obrade, što uključuje i prethodno savjetovanje iz članka 36. te savjetovanje, prema potrebi, o svim drugim pitanjima.

(a)

poštene i transparentne obrade;

(b)

legitimnih interesa voditelj obrade u posebnim kontekstima;

(c)

prikupljanja osobnih podataka;

(d)

pseudonimizacije osobnih podataka;

(e)

informiranja javnosti i ispitanika;

(f)

ostvarivanja prava ispitanika;

(g)

informiranja i zaštite djece te načina pribavljanja privole nositelja roditeljske odgovornosti nad djetetom;

(h)

mjera i postupaka iz članaka 24. i 25. te mjera za osiguravanje sigurnosti obrade iz članka 32.;

(i)

izvješćivanja nadzornih tijela o povredama osobnih podataka i obavješćivanja ispitanika o takvim povredama;

(j)

prijenosa osobnih podataka trećim zemljama ili međunarodnim organizacijama; ili

(k)

izvansudskih postupaka i drugih postupaka za rješavanje sporova između voditelja obrade i ispitanika s obzirom na obradu, ne dovodeći u pitanje prava ispitanika na temelju članaka 77. i 79.

(a)

nadležnom nadzornom tijelu zadovoljavajuće dokazalo svoju neovisnost i stručnost u predmetu kodeksa;

(b)

uspostavilo postupke koji mu omogućuju procjenu kvalificiranosti voditelja obrade i izvršitelja obrade za primjenu kodeksa, praćenje njihova poštovanja odredbi kodeksa i periodičnog preispitivanja njegova funkcioniranja;

(c)

uspostavilo postupke i strukture za rješavanje pritužbi na kršenja kodeksa ili na način na koji voditelj obrade ili izvršitelj obrade provode ili su proveli kodeks i učinilo te postupke i strukture transparentnima ispitanicima i javnosti; i

(d)

nadležnom nadzornom tijelu na njemu zadovoljavajući način dokazalo da njegove zadaće i dužnosti ne dovode do sukoba interesa.

(a)

nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56.;

(b)

nacionalno akreditacijsko tijelo imenovano u skladu s Uredbom (EZ) br. 765/2008 Europskog parlamenta i Vijeća (20) u skladu s EN-ISO/IEC 17065/2012 i s dodatnim zahtjevima koje određuje nadzorno tijelo koje je nadležno u skladu s člankom 55. ili člankom 56.

(a)

nadležnom nadzornom tijelu zadovoljavajuće dokazala svoju neovisnost i stručnost u predmetu certificiranja;

(b)

obvezala se poštovati kriterije iz članka 42. stavka 5. koje je odobrilo nadzorno tijelo nadležno na temelju članka 55. ili članka 56. ili Odbor na temelju članka 63.;

(c)

uspostavila postupke za izdavanje, periodično preispitivanje i povlačenje certificiranja, pečata i oznaka za zaštitu podataka;

(d)

uspostavila postupke i strukture za rješavanje pritužbi na kršenja certifikacije ili način na koji voditelj obrade ili izvršitelj obrade provode ili su proveli certificiranje, i učinila te postupke i strukture transparentnima ispitanicima i javnosti; i

(e)

nadležnom nadzornom tijelu na zadovoljavajući način dokazala da njegove zadaće i dužnosti ne dovode do sukoba interesa.

(a)

vladavinu prava, poštovanje ljudskih prava i temeljnih sloboda, relevantno zakonodavstvo, i opće i sektorsko, što uključuje zakonodavstvo o javnoj sigurnosti, obrani, nacionalnoj sigurnosti, kaznenom pravu i pristupu tijela javne vlasti osobnim podacima, kao i provedbu tog zakonodavstva, pravila o zaštiti podataka, pravila struke i mjere sigurnosti, što uključuje pravila za daljnji prijenos osobnih podataka još jednoj trećoj zemlji ili međunarodnoj organizaciji, koja se poštuju u toj trećoj zemlji ili međunarodnoj organizaciji, sudsku praksu te postojanje djelotvornih i provedivih prava ispitanika te učinkovite upravne i sudske zaštite ispitanika čiji se osobni podaci prenose;

(b)

postojanje i djelotvorno funkcioniranje jednog neovisnog nadzornog tijela ili više njih u trećoj zemlji, ili tijela kojem podliježe međunarodna organizacija, s odgovornošću osiguravanja i provođenja poštovanja pravila o zaštiti podataka, što uključuje primjerene provedbene ovlasti za pomoć ispitanicima i savjetovanje ispitanika u ostvarivanju njihovih prava te za suradnju s nadzornim tijelima država članica; i

(c)

međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela, ili druge obveze koje proizlaze iz pravno obvezujućih konvencija ili instrumenata, kao i iz njezina sudjelovanja u multilateralnim ili regionalnim sustavima, osobito u vezi sa zaštitom osobnih podataka.

(a)

pravno obvezujući i provedivi instrument između tijela javne vlasti ili javnih tijela;

(b)

obvezujuća korporativna pravila u skladu s člankom 47.;

(c)

standardne klauzule o zaštiti podataka koje donosi Komisija u skladu s postupkom ispitivanja iz članka 93. stavka 2.;

(d)

standardne klauzule o zaštiti podataka koje donosi nadzorno tijelo i koje Komisija odobrava u skladu s postupkom ispitivanja iz članka 93. stavka 2.;

(e)

odobreni kodeks ponašanja u skladu s člankom 40. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, među ostalim u pogledu prava ispitanika; ili

(f)

odobreni mehanizam certificiranja u skladu s člankom 42. zajedno s obvezujućim i provedivim obvezama voditelja obrade ili izvršitelja obrade u trećoj zemlji za primjenu odgovarajućih zaštitnih mjera, između ostalog u pogledu prava ispitanika.

(a)

ugovorne klauzule između voditelja obrade ili izvršitelja obrade i voditelja obrade, izvršitelja obrade ili primatelja osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji; ili

(b)

odredbe koje treba unijeti u administrativne dogovore između tijela javne vlasti ili javnih tijela i koja sadrže provediva i djelotvorna prava ispitanika.

(a)

su pravno obvezujuća i da se primjenjuju na svakog zainteresiranog člana određene grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, što uključuje njihove zaposlenike, te da ih oni provode;

(b)

izrijekom daju provediva prava ispitanicima u pogledu obrade njihovih osobnih podataka; i

(c)

ispunjavaju uvjete utvrđene u stavku 2.

(a)

strukturu i kontaktne podatke grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću i svakog od njezinih članova;

(b)

prijenose podataka ili skupove prijenosa, uključujući i kategorije osobnih podataka, vrste obrade i njezine svrhe, vrstu ispitanika koji su time pogođeni i identifikaciju treće zemlje ili zemalja o kojima je riječ;

(c)

njihovo pravno obvezujuće obilježje, kako iznutra tako i prema van;

(d)

primjenu općih načela zaštite podataka, posebice ograničavanja svrhe, smanjenja količine podataka, ograničenog razdoblja pohrane, kvalitete podataka, tehničke i integrirane zaštite podataka, pravne osnove obrade, obrade posebnih kategorija osobnih podataka, mjera za osiguravanje sigurnosti podataka i uvjete u pogledu daljnjih prijenosa tijelima koja nisu obvezana obvezujućim korporativnim pravilima;

(e)

prava ispitanikâ s obzirom na obradu i načine za ostvarenje tih prava, uključujući i pravo da ne podliježu odlukama koje se isključivo temelje na automatiziranoj obradi, što uključuje izradu profila u skladu s člankom 22., pravo na pritužbu nadležnom nadzornom tijelu i nadležnim sudovima država članica u skladu s člankom 79. i dobivanje sudske pomoći te, prema potrebi, naknade za kršenje obvezujućih korporativnih pravila;

(f)

da voditelj obrade ili izvršitelj obrade s poslovnim nastanom na državnom području države članice prihvati odgovornost za sva kršenja obvezujućih korporativnih pravila bilo kojeg zainteresiranog člana bez poslovnog nastana u Uniji; voditelj obrade ili izvršitelj obrade izuzet je od ove odgovornosti, u cijelosti ili djelomično, samo ako dokaže da taj član nije odgovoran za događaj koji je prouzročio štetu;

(g)

kako se ispitanicima pružaju informacija o obvezujućim korporativnim pravilima, osobito o odredbama iz točaka (d), (e) i (f) ovog stavka, pored informacija iz članaka 13. i 14.;

(h)

zadaće svakog službenika za zaštitu podataka imenovanog u skladu s člankom 37. ili bilo koje druge osobe ili subjekta odgovornih za praćenje usklađenosti s obvezujućim korporativnim pravilima unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću,te praćenje osposobljavanja i rješavanja pritužbi;

(i)

postupke povodom pritužbi;

(j)

mehanizme unutar grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, kojima se osigurava provjera poštovanja obvezujućih korporativnih pravila. Takvi mehanizmi uključuju revizije zaštite podataka i metode za korektivne mjere za zaštitu prava ispitanika. Rezultati takve provjere trebali bi se priopćiti osobi ili subjektu iz točke (h) i upravnom odboru poduzetnika u vladajućem položaju u grupi poduzetnika ili grupi poduzeća koja se bave zajedničkom gospodarskom djelatnošću, te se na zahtjev ustupiti nadležnom nadzornom tijelu;

(k)

mehanizme za izvješćivanje i vođenje evidencije o promjenama pravila i izvješćivanje nadzornog tijela o tim promjenama;

(l)

mehanizam suradnje s nadzornim tijelom radi osiguravanja usklađenosti svakog člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću, osobito tako da se nadzornom tijelu stave na raspolaganje rezultati provjera mjera iz točke (j);

(m)

mehanizme za izvješćivanje nadležnog nadzornog tijela o bilo kakvim pravnim obvezama koje se na člana grupe poduzetnika ili grupe poduzeća koja se bave zajedničkom gospodarskom djelatnošću primjenjuju u trećoj zemlji, a koje bi mogle imati značajan štetan utjecaj na jamstva pružena obvezujućim korporativnim pravilima; i

(n)

odgovarajuće osposobljavanje za zaštitu podataka za osoblje koje ima stalan ili redovan pristup osobnim podacima.

(a)

ispitanik je izričito pristao na predloženi prijenos nakon što je bio obaviješten o mogućim rizicima takvih prijenosa za ispitanika zbog nepostojanja odluke o primjerenosti i odgovarajućih zaštitnih mjera;

(b)

prijenos je nužan za izvršavanje ugovora između ispitanika i voditelja obrade ili provedbu predugovornih mjera na zahtjev ispitanika;

(c)

prijenos je nužan radi sklapanja ili izvršavanja ugovora sklopljenog u interesu ispitanika između voditelja obrade i druge fizičke ili pravne osobe;

(d)

prijenos je nužan iz važnih razloga javnog interesa;

(e)

prijenos je nužan za postavljanje, ostvarivanje ili obranu pravnih zahtjeva;

(f)

prijenos je nužan za zaštitu životno važnih interesa ispitanika ili drugih osoba ako ispitanik fizički ili pravno ne može dati privolu;

(g)

prijenos se obavlja iz registra koji prema pravu Unije ili pravu države članice služi pružanju informacija javnosti i koji je otvoren na uvid javnosti ili bilo kojoj osobi koja može dokazati neki opravdani interes, ali samo u mjeri u kojoj su ispunjeni uvjeti propisani u pravu Unije ili pravu države članice za uvid u tom posebnom slučaju.

(a)

razvoja mehanizama međunarodne suradnje za olakšavanje djelotvornog izvršavanja zakonodavstva o zaštiti osobnih podataka;

(b)

osiguranja međunarodne uzajamne pomoći u izvršavanju zakonodavstva o zaštiti osobnih podataka, uključujući obavješćivanjem, upućivanjem pritužbi, pomoći u istragama i razmjenom informacija, u skladu s odgovarajućim zaštitnim mjerama za zaštitu osobnih podataka i drugim temeljnim pravima i slobodama;

(c)

uključivanja relevantnih dionika u raspravu i aktivnosti čiji je cilj produbiti međunarodnu suradnju u izvršavanju zakonodavstva o zaštiti osobnih podataka;

(d)

promicanja razmjene i dokumentiranja zakonodavstva i prakse u vezi sa zaštitom osobnih podataka, među ostalim u vezi sa sukobima nadležnosti s trećim zemljama.

—

njihov parlament;

—

njihova vlada;

—

njihov šef države; ili

—

neovisno tijelo kojem je pravom države članice povjereno to imenovanje.

(a)

osnivanje svakog nadzornog tijela;

(b)

kvalifikacije i uvjete prihvatljivosti potrebne za imenovanje članom svakog nadzornog tijela;

(c)

pravila i postupke za imenovanje člana ili članova svakog nadzornog tijela;

(d)

trajanje mandata člana ili članova svakog nadzornog tijela ne kraćeg od četiri godine, osim za prvo imenovanje nakon 24. svibnja 2016., a čiji dio može trajati kraće ako je to potrebno kako bi se zaštitila neovisnost nadzornog tijela putem postupka postupnog imenovanja;

(e)

jesu li član ili članovi svakog nadzornog tijela prihvatljivi da budu ponovno izabrani i, ako jesu, na koliko mandata;

(f)

uvjete kojima se uređuju obveze člana ili članova osoblja svakog nadzornog tijela, zabrane djelovanja, poslova i pogodnosti koji nisu u skladu s tim tijekom i nakon mandata te pravila kojima se uređuje prestanak radnog odnosa.

(a)

prati i provodi primjenu ove Uredbe;

(b)

promiče javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom te njihovo razumijevanje. Aktivnosti koje su posebno namijenjene djeci moraju dobiti posebnu pozornost;

(c)

savjetuje, u skladu s pravom države članice, nacionalni parlament, vladu i druge institucije i tijela o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca u pogledu obrade;

(d)

promiče osviještenost voditeljâ obrade i izvršiteljâ obrade o njihovim obvezama iz ove Uredbe;

(e)

na zahtjev pruža informacije bilo kojem ispitaniku u vezi s ostvarivanjem njihovih prava iz ove Uredbe, a prema potrebi, u tu svrhu surađuje s nadzornim tijelima u drugim državama članicama;

(f)

rješava pritužbe koje podnose ispitanik ili tijelo, organizacija ili udruženje u skladu s člankom 80. i istražuje u odgovarajućoj mjeri predmet pritužbe te podnositelja pritužbe u razumnom roku izvješćuje o napretku i ishodu istrage, posebno ako je potrebna daljnja istraga ili koordinacija s drugim nadzornim tijelom;

(g)

surađuje s drugim nadzornim tijelima, među ostalim dijeljenjem informacija, te pruža uzajamnu pomoć drugim nadzornim tijelima s ciljem osiguranja konzistentnosti primjene i provedbe ove Uredbe;

(h)

provodi istrage o primjeni ove Uredbe, među ostalim na temelju informacija primljenih od drugog nadzornog ili drugog tijela javne vlasti;

(i)

prati bitne razvoje u onoj mjeri u kojoj utječu na zaštitu osobnih podataka, osobito razvoj informacijskih i komunikacijskih tehnologija i komercijalnih praksi;

(j)

donosi standardne ugovorne klauzule iz članka 28. stavka 8. i članka 46. stavka 2. točke (d);

(k)

utvrđuje i vodi popis u vezi s uvjetima za procjenu učinka na zaštitu podataka u skladu s člankom 35. stavkom 4.;

(l)

daje savjete o postupcima obrade iz članka 36. stavka 2.;

(m)

potiče izradu kodeksa ponašanja u skladu s člankom 40. stavkom 1. i daje mišljenje i odobrava takve kodekse ponašanja koji pružaju dostatne mjere zaštite, u skladu s člankom 40. stavkom 5.;

(n)

potiče uspostavu mehanizama certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u skladu s člankom 42. stavkom 1. i odobrava kriterije certificiranja u skladu s člankom 42. stavkom 5.;

(o)

prema potrebi, provodi periodično preispitivanje izdanih certifikata u skladu s člankom 42. stavkom 7.;

(p)

sastavlja i objavljuje kriterije za akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i akreditaciju certifikacijskog tijela u skladu s člankom 43.;

(q)

provodi akreditaciju tijela za praćenje kodeksa ponašanja u skladu s člankom 41. i akreditaciju certifikacijskog tijela u skladu s člankom 43.;

(r)

odobrava ugovorne klauzule i odredbe iz članka 46. stavka 3.;

(s)

odobrava obvezujuća korporativna pravila u skladu s člankom 43.;

(t)

doprinosi aktivnostima Odbora;

(u)

vodi internu evidenciju o kršenjima ove Uredbe i mjerama koje su poduzete u skladu s člankom 58. stavkom 2.; i

(v)

ispunjava sve ostale zadaće u vezi sa zaštitom osobnih podataka.

(a)

narediti voditelju obrade i izvršitelju obrade, a prema potrebi i predstavniku voditelja obrade ili izvršitelja obrade, da mu pruže sve informacije potrebne za obavljanje svojih zadaća;

(b)

provoditi istrage u obliku revizije zaštite podataka;

(c)

provoditi preispitivanje certifikata izdanih u skladu s člankom 42. stavkom 7.;

(d)

obavijestiti voditelja obrade ili izvršitelja obrade o navodnom kršenju ove Uredbe;

(e)

ishoditi, od voditelja obrade i izvršitelja obrade, pristup svim osobnim podacima i svim informacijama potrebnim za obavljanje svojih zadaća;

(f)

ishoditi pristup svim prostorijama voditelja obrade i izvršitelja obrade, uključujući svu opremu i sredstva za obradu podataka, u skladu s pravom Unije ili postupovnim pravom države članice.

(a)

izdavati upozorenja voditelju obrade ili izvršitelju obrade da bi namjeravani postupci obrade lako mogli prouzročiti kršenje odredaba ove Uredbe;

(b)

izdavati službene opomene voditelju obrade ili izvršitelju obrade ako se postupcima obrade krše odredbe ove Uredbe;

(c)

narediti voditelju obrade ili izvršitelju obrade da poštuje zahtjeve ispitanika za ostvarivanje njegovih prava u skladu s ovom Uredbom;

(d)

narediti voditelju obrade ili izvršitelju obrade da postupke obrade uskladi s odredbama ove Uredbe, prema potrebi na točno određen način i u točno zadanom roku;

(e)

narediti voditelju obrade da ispitanika obavijesti o povredi osobnih podataka;

(f)

privremeno ili konačno ograničiti, među ostalim zabraniti, obradu;

(g)

narediti ispravljanje ili brisanje osobnih podataka ili ograničavanje obrade u skladu s člancima 16., 17. i 18. i izvješćivanje o takvim radnjama primatelja kojima su osobni podaci otkriveni u skladu s člankom 17. stavkom 2. i člankom 19.;

(h)

povući certifikat ili certifikacijskom tijelu narediti da povuče certifikat izdan u skladu s člankom 42. i 43., ili certifikacijskom tijelu narediti da ne iza certifikat ako nisu ispunjeni zahtjevi za certificiranje ili ako oni više nisu ispunjeni;

(i)

izreći upravnu novčanu kaznu u skladu s člankom 79. uz mjere, ili umjesto mjera koje se navode u ovom stavku, ovisno o okolnostima svakog pojedinog slučaja;

(j)

narediti suspenziju protoka podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji.

(a)

savjetovati voditelja obrade u skladu s prethodnim postupkom savjetovanja iz članka 36.,

(b)

na vlastitu inicijativu ili na zahtjev, izdati nacionalnom parlamentu, vladi države članice ili, u skladu s pravom države članice, drugim institucijama i tijelima, te javnosti, mišljenje o svakom pitanju u vezi sa zaštitom osobnih podataka;

(c)

odobriti obradu iz članka 36. stavka 5., ako se pravom države članice takvo prethodno odobrenje zahtijeva;

(d)

izdati mišljenje i odobriti nacrte kodeksâ ponašanja u skladu s člankom 40. stavkom 5.;

(e)

akreditirati certifikacijska tijela u skladu s člankom 43.;

(f)

izdati certifikate i odobriti kriterije certificiranja u skladu s člankom 42. stavkom 5.;

(g)

donijeti standardne klauzule o zaštiti podataka iz članka 28. stavka 8. i članka 46. stavka 2. točke (d);

(h)

odobriti ugovorne klauzule iz članka 46. stavka 3. točke (a);

(i)

odobriti administrativne dogovore iz članka 46. stavka 3. točke (b);

(j)

odobriti obvezujuća korporativna pravila u skladu s člankom 47.

(a)

nije nadležno za predmet zahtjeva ili za mjere koje se od njega traže da ih provede; ili

(b)

poštovanje zahtjeva kršilo bi ovu Uredbu, pravo Unije ili pravo države članice kojem podliježe nadzorno tijelo kojem je zahtjev upućen.

(a)

ima za cilj donijeti popis postupaka obrade na koje se primjenjuje zahtjev procjene učinka na zaštitu podataka u skladu s člankom 35. stavkom 4.;

(b)

odnosi se na pitanje u skladu s člankom 40. stavkom 7. o tome jesu li nacrt kodeksa ponašanja ili izmjena ili dopuna kodeksa ponašanja usklađeni s ovom Uredbom;

(c)

ima za cilj odobriti kriterije za akreditaciju tijela na temelju članka 41. stavka 3. ili certifikacijskog tijela na temelju članka 43. stavka 3.;

(d)

ima za cilj odrediti standardne klauzule zaštite podataka iz članka 46. stavka 2. točke (d) i iz članka 28. stavka 8.;

(e)

ima za cilj odobriti ugovorne klauzule iz članka 46. stavka 3. točke (a); ili

(f)

ima za cilj odobriti obvezujuća korporativna pravila u smislu članka 47.

(a)

članove Odbora i Komisiju o svim bitnim informacijama koje su mu priopćene upotrebljavajući standardizirani format. Tajništvo Odbora prema potrebi omogućuje prijevode bitnih informacija; i

(b)

nadzorno tijelo iz stavaka 1. i 2., ovisno o slučaju, i Komisiju o mišljenju i objavljuje ga.

(a)

ako je, u slučaju iz članka 60. stavka 4., predmetno nadzorno tijelo podnijelo relevantan i obrazložen prigovor na nacrt odluke vodećeg tijela ili je vodeće tijelo odbilo takav prigovor kao nerelevantan ili neobrazložen. Obvezujuća odluka odnosi se na sva pitanja koja su predmet relevantnog i obrazloženog prigovora, a posebno na pitanje kršenja ove Uredbe;

(b)

ako postoje oprečna stajališta oko toga koje je od predmetnih nadzornih tijela nadležno za glavni poslovni nastan;

(c)

ako nadležno nadzorno tijelo ne zatraži mišljenje Odbora u slučaju navedenom u članku 64. stavku 1. ili ne uzme u obzir mišljenje Odbora dano u skladu s člankom 64. U tom slučaju svako predmetno nadzorno tijelo ili Komisija mogu o predmetu obavijestiti Odbor.

(a)

prati i osigurava pravilnu primjenu ove Uredbe u slučajevima predviđenima člancima 64. i 65. ne dovodeći u pitanje zadaće nacionalnih nadzornih tijela;

(b)

savjetuje Komisiju o svim pitanjima u pogledu zaštite osobnih podataka u Uniji, među ostalim i o svim predloženim izmjenama ove Uredbe;

(c)

savjetuje Komisiju o formatu i postupcima za razmjenu informacija među voditeljima obrade, izvršiteljima obrade i nadzornim tijelima za obvezujuća korporativna pravila;

(d)

izdaje smjernice, preporuke i primjere najbolje prakse o postupcima za brisanje poveznica na osobne podatke, kopija ili replika tih osobnih podataka iz javno dostupnih sredstava komunikacije iz članka 17. stavka 2;

(e)

ispituje na vlastitu inicijativu, na zahtjev jednog od svojih članova ili na zahtjev Komisije sva pitanja koja obuhvaćaju primjenu Uredbe i izdaje smjernice, preporuke i primjere najbolje prakse kako bi poticao dosljednu primjenu ove Uredbe;

(f)

izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i uvjeta za odluke koje se temelje na izradi profila u skladu s člankom 22. stavkom 2.;

(g)

izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog članka za utvrđivanje povreda osobnih podataka te određivanje nepotrebnog odgađanja iz članka 33. stavaka 1. i 2. te za posebne okolnosti u kojima se od voditelja obrade ili izvršitelja obrade zahtijeva obavješćivanje o povredi osobnih podataka;

(h)

izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog članka u pogledu okolnosti u kojima će povreda osobnih podataka vjerojatno dovesti do visokog rizika u pogledu pravâ i sloboda pojedinaca iz članka 34. stavka 1.

(i)

izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i zahtjeva za prijenose osobnih podataka na temelju obvezujućih korporativnih pravila kojih se pridržavaju voditelji obrade i obvezujućih korporativnih pravila kojih se pridržavaju izvršitelji obrade te daljnjih zahtjeva potrebnih za osiguravanje zaštite osobnih podataka ispitanika iz članka 47.;

(j)

izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (e) ovog članka u svrhu dodatnog određivanja kriterija i uvjeta za prijenose osobnih podataka na temelju članka 49. stavka 1.;

(k)

izrađuje smjernice za nadzorna tijela s obzirom na primjenu mjera iz članka 58. stavaka 1., 2. i 3. i određuje upravne novčane kazne u skladu s člankom 83.;

(l)

preispituje praktičnu primjenu smjernica, preporuka i primjera najbolje prakse iz točaka (e) i (f);

(m)

izdaje smjernice, preporuke i primjere najbolje prakse u skladu sa stavkom 1. točkom (e) za uspostavu zajedničkih postupaka za izvješćivanje pojedinaca o kršenjima ove Uredbe u skladu s člankom 54. stavkom 2.;

(n)

potiče izradu kodeksa ponašanja i uspostavu mehanizme certificiranja zaštite podataka te pečata i oznaka za zaštitu podataka u skladu s člancima 40. i 42.;

(o)

provodi akreditacije certifikacijskih tijela i periodično preispitivanje akreditacija u skladu s člankom 43. te vodi javnu evidenciju akreditiranih tijela u skladu s člankom 43. stavkom 6. i akreditiranih voditelja obrade ili izvršitelja obrade s poslovnim nastanom u trećim zemljama u skladu s člankom 42. stavkom 7.;

(p)

određuje zahtjeve iz članka 43.stavka 3. s obzirom na akreditaciju certifikacijskih tijela u skladu s člankom 42.;

(q)

Komisiji daje mišljenje o zahtjevima za certificiranje iz članka 43. stavka 8.;

(r)

Komisiji daje mišljenje o ikonama iz članka 12. stavka 7.;

(s)

daje mišljenje Komisiji o procjeni primjerenosti razine zaštite koja postoji u trećoj zemlji ili međunarodnoj organizaciji, kao i o procjeni o tome je li treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija prestao osiguravati primjerenu razinu zaštite. U tu svrhu Komisija dostavlja Odboru svu potrebnu dokumentaciju, uključujući korespondenciju s vladom treće zemlje, vezano za tu treću zemlju, područja ili određenog sektora, ili s međunarodnom organizacijom.

(t)

daje mišljenja o nacrtima odluka nadzornih tijela u skladu s mehanizmom konzistentnosti iz članka 64. stavka 1. te o predmetima podnesenim na temelju članka 64. stavka 2. i pitanju obvezujućih odluka na temelju članka 65., uključujuću slučajeve iz članka 66.;

(u)

promiče suradnju i djelotvornu bilateralnu i multilateralnu razmjenu informacija i najboljih praksi između nadzornih tijela;

(v)

promiče zajedničke programe osposobljavanja i potpomaže razmjenu osoblja između nadzornih tijela te nadzornih tijela trećih zemalja ili međunarodnih organizacija;

(w)

promiče razmjenu znanja i dokumentacije o zakonodavstvu i praksi u području zaštite podataka s nadzornim tijelima za zaštitu podataka širom svijeta.

(x)

daje mišljenje o kodeksima ponašanja sastavljenima na razini Unije u skladu s člankom 40. stavkom 9.; i

(y)

vodi javnosti dostupnu elektroničku evidenciju odluka koje su donijela nadzorna tijela i sudovi o pitanjima rješavanim u okviru mehanizma konzistentnosti.

(a)

saziva sastanke Odbora i priprema njegov dnevni red;

(b)

obavješćuje vodeće nadzorno tijelo i predmetna nadzorna tijela o odlukama koje je donio Odbor u skladu s člankom 65.;

(c)

osigurava pravodobno izvršavanje zadaća Odbora, osobito u vezi s mehanizmom konzistentnosti iz članka 63.

(a)

tekuće poslove Odbora;

(b)

komunikaciju između članova Odbora, njegova predsjednika i Komisije;

(c)

komunikaciju s drugim institucijama i javnošću;

(d)

uporabu elektroničkih sredstava za internu i eksternu komunikaciju;

(e)

prijevode bitnih informacija;

(f)

pripremu sastanaka Odbora i daljnje postupanje;

(g)

pripremu, izradu i objavu mišljenja, odluka o rješavanju sporova među nadzornim tijelima i drugih tekstova koje Odbor donosi.

(a)

prirodi, težini i trajanju kršenja, uzimajući u obzir narav, opseg i svrhu obrade o kojoj je riječ kao i broj ispitanika i razinu štete koju su pretrpjeli;

(b)

ima li kršenje obilježje namjere ili nepažnje;

(c)

svakoj radnji koju je voditelj obrade ili izvršitelj obrade poduzeo kako bi ublažio štetu koju su pretrpjeli ispitanici;

(d)

stupnju odgovornosti voditelja obrade ili izvršitelja obrade uzimajući u obzir tehničke i organizacijske mjere koje su primijenili u skladu s člancima 25. i 32.;

(e)

svim relevantnim prijašnjim kršenjima voditelja obrade ili izvršitelja obrade;

(f)

stupnju suradnje s nadzornim tijelom kako bi se otklonilo kršenje i ublažili mogući štetni učinci tog kršenja;

(g)

kategorijama osobnih podataka na koje kršenje utječe;

(h)

načinu na koji je nadzorno tijelo doznalo za kršenje, osobito je li i u kojoj mjeri voditelj obrade ili izvršitelj obrade izvijestio o kršenju;

(i)

ako su protiv dotičnog voditelja obrade ili izvršitelja obrade u vezi s istim predmetom prethodno izrečene mjere iz članka 58. stavka 2., poštovanju tih mjera;

(j)

poštovanju odobrenih kodeksa ponašanja u skladu s člankom 40. ili odobrenih mehanizama certificiranja u skladu s člankom 42.; i

(k)

svim ostalim otegotnim ili olakotnim čimbenicima koji su primjenjivi na okolnosti slučaja, kao što su financijska dobit ostvarena kršenjem ili gubici izbjegnuti, izravno ili neizravno, tim kršenjem.

(a)

obveza voditelja obrade i izvršitelja obrade u skladu s člancima 8., 11., od 25. do 39., te 42. i 43.;

(b)

obveza certifikacijskog tijela u skladu s člancima 42. i 43.;

(c)

obveza tijela za praćenje u skladu s člankom 41.stavkom 4.;

(a)

osnovnih načela za obradu, što uključuje uvjete privole u skladu s člancima 5., 6., 7. i 9.;

(b)

prava ispitanika u skladu s člancima od 12. do 22.;

(c)

prijenosa osobnih podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji u skladu s člancima od 44. do 49.;

(d)

svih obveza u skladu s pravom države članice donesenim na temelju poglavlja IX.;

(e)

nepoštovanja naredbe ili privremenog ili trajnog ograničenje obrade ili suspenzije protoka podataka nadzornog tijela u skladu s člankom 58. stavkom 2. ili uskraćivanje pristupa kršenjem članka 58. stavka 1.

(a)

poglavlja V. o prijenosu osobnih podataka trećim zemljama ili međunarodnim organizacijama, a osobito u pogledu odluka donesenih na temelju članka 45. stavka 3. ove Uredbe i odluka donesenih na temelju članka 25. stavka 6. Direktive 95/46/EZ;

(b)

poglavlja VII. o suradnji i konzistentnosti.

4.5.2016   

HR

Službeni list Europske unije

L 119/89

(1)

Zaštita pojedinaca s obzirom na obradu osobnih podataka temeljno je pravo. Člankom 8. stavkom 1. Povelje Europske unije o temeljnim pravima („Povelja”) te člankom 16. stavkom 1. Ugovora o funkcioniranju Europske unije (UFEU) utvrđuje se da svatko ima pravo na zaštitu svojih osobnih podataka.

(2)

Načela i pravila o zaštiti pojedinaca u vezi s obradom njihovih osobnih podataka trebala bi poštovati njihova temeljna prava i slobode, a posebno njihovo pravo na zaštitu osobnih podataka, bez obzira na nacionalnost ili boravište pojedinaca. Ovom Direktivom želi se doprinijeti uspostavi područja slobode, sigurnosti i pravde.

(3)

Zbog brzog tehnološkog razvoja i globalizacije pojavili su se novi izazovi u zaštiti osobnih podataka. Opseg prikupljanja i razmjene osobnih podataka značajno se povećava. Tehnologijom se omogućuje obrada osobnih podataka u dosada nedosegnutom opsegu u provođenju aktivnosti poput sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija.

(4)

Slobodni protok osobnih podataka među nadležnim tijelima u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje unutar Unije, te prijenosa takvih osobnih podataka u treće zemlje i međunarodne organizacije trebalo bi se olakšati uz istodobno osiguravanje visoke razine zaštite osobnih podataka. Te promjene zahtijevaju izgradnju čvrstog i usklađenijeg okvira za zaštitu osobnih podataka u Uniji koji bi podupirala dosljedna provedba.

(5)

Direktiva 95/46/EZ Europskog parlamenta i Vijeća (3) primjenjuje se na svaku obradu osobnih podataka u državama članicama u javnom i privatnom sektoru. No ona se ne primjenjuje na obradu osobnih podataka tijekom djelatnosti koja je izvan područja primjene prava Zajednice, kao što su djelatnosti u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje.

(6)

Okvirna odluka Vijeća 2008/977/PUP (4) primjenjuje se na područja pravosudne suradnje u kaznenim stvarima i policijske suradnje. Područje primjene te okvirne odluke ograničeno je na obradu osobnih podataka koje države članice jedna drugoj prenose ili stavljaju na raspolaganje.

(7)

Osiguravanje dosljedne i visoke razine zaštite osobnih podataka pojedinaca te olakšavanje razmjene osobnih podataka među nadležnim tijelima država članica ključno je kako bi se osigurala učinkovita pravosudna suradnja u kaznenim tvarima i policijska suradnja. U tu svrhu, razina zaštite prava i sloboda pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, trebala bi biti jednaka u svim državama članicama. Učinkovita zaštita osobnih podataka u cijeloj Uniji zahtijeva jačanje pravâ ispitanika i obveza onih koji osobne podatke obrađuju, kao i jednakovrijedne ovlasti praćenja i osiguravanja usklađenosti s pravilima za zaštitu osobnih podataka u državama članicama.

(8)

Člankom 16. stavkom 2. UFEU-a Europskom parlamentu i Vijeću nalaže se utvrđivanje pravila o zaštiti pojedinaca s obzirom na obradu osobnih podataka i pravila o slobodnom kretanju takvih podataka.

(9)

Na temelju toga, Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća (5) utvrđuju se opća pravila za zaštitu pojedinaca u vezi s obradom osobnih podataka i za osiguravanje slobodnog kretanja osobnih podataka unutar Unije.

(10)

U Izjavi br. 21 o zaštiti osobnih podataka u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje, priloženoj završnom aktu međuvladine konferencije na kojoj je donesen Ugovor iz Lisabona, na konferenciji je potvrđeno da bi se određena pravila o zaštiti osobnih podataka i slobodnom kretanju osobnih podataka u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje na temelju članka 16. UFEU-a mogla pokazati neophodnima zbog specifične prirode tih područja.

(11)

Stoga je primjereno da se ta područja urede posebnom direktivom kojom bi se utvrdila posebna pravila o zaštiti pojedinaca s obzirom na osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, poštujući posebnu prirodu tih aktivnosti. Takva nadležna tijela mogu obuhvaćati ne samo tijela javne vlasti poput pravosudnih tijela, policije ili drugih tijela za izvršavanje zakonodavstva, nego i svako drugo tijelo ili subjekt kojem je pravom države članice povjereno obavljanje javnih nadležnosti i javnih ovlasti za potrebe ove Direktive. Ako takvo tijelo ili subjekt obrađuje osobne podatke u svrhe koje nisu svrhe ove Direktive, primjenjuje se Uredba (EU) 2016/679. Uredba (EU) 2016/679 primjenjuje se stoga u slučajevima kad tijelo ili subjekt prikuplja osobne podatke za druge potrebe i dalje ih obrađuje radi poštovanja pravne obveze kojoj podliježe. Na primjer, za potrebe istrage, otkrivanja ili kaznenog progona kaznenih djela financijske institucije zadržavaju određene osobne podatke koje obrađuju te pružaju te osobne podatke samo nadležnim nacionalnim tijelima u posebnim slučajevima i u skladu s pravom države članice. Tijelo ili subjekt koji obrađuje osobne podatke u ime takvih tijela u području primjene ove Direktive trebao bi biti obvezan ugovorom ili drugim pravnim aktom i odredbama primjenjivima na izvršitelje obrade u skladu s ovom Direktivom, dok na primjenu Uredbe (EU) 2016/679 nema učinaka u kontekstu aktivnosti obrade osobnih podataka koju obavlja izvršitelj obrade izvan područja primjene ove Direktive.

(12)

Aktivnosti koje provodi policija ili druga tijela za izvršavanje zakonodavstva uglavnom su usmjerene na sprečavanje, istragu, otkrivanje ili progon kaznenih djela, među ostalim na policijske aktivnosti bez prethodnog znanja o tome je li incident kazneno djelo. Takve aktivnosti mogu obuhvaćati i izvršavanje ovlasti uporabom mjera prisile poput policijskih aktivnosti na prosvjedima, velikim sportskim događanjima ili neredima. One također uključuju održavanje zakona i reda, kao zadaće dodijeljene policiji ili drugim tijelima za izvršavanje zakonodavstva ako je potrebna zaštita od prijetnji javnoj sigurnosti i njihovo sprečavanje te prijetnji temeljnim interesima društva zaštićenima zakonom, što može dovesti do kaznenog djela. Države članice mogu nadležnim tijelima povjeriti druge zadaće koje se ne provode nužno za potrebe sprečavanja, istrage, otkrivanja ili progona kaznenih djela, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, tako da je obrada osobnih podataka za te druge potrebe, u mjeri u kojoj potpada pod područje primjene prava Unije, obuhvaćena područjem primjene Uredbe (EU) 2016/679.

(13)

Pojam kaznenog djela u smislu ove Direktive trebao bi biti autonoman pojam prava Unije kako ga tumači Sud Europske unije („Sud”).

(14)

Budući da se ova Direktiva ne bi trebala primjenjivati na obradu osobnih podataka u okviru djelatnosti koja nije obuhvaćena područjem primjene prava Unije, djelatnosti u vezi s nacionalnom sigurnosti, djelatnosti agencija ili službi zaduženih za pitanja nacionalne sigurnosti i obrada osobnih podataka u državama članicama pri obavljanju djelatnosti obuhvaćenih glavom V. poglavljem 2. Ugovora o Europskoj uniji (UEU) ne bi se smjele smatrati djelatnostima koje se obuhvaćene područjem primjene ove Direktive.

(15)

Kako bi se pojedincima osigurala jednaka razina zaštite putem prava koja su zakonito ostvariva u cijeloj Uniji te se spriječila odstupanja koja ometaju razmjenu osobnih podataka među nadležnim tijelima, ovom bi se Direktivom trebalo predvidjeti usklađena pravila za zaštitu i slobodno kretanje osobnih podataka obrađenih u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje. Približavanje zakonodavstava država članica ne bi smjelo dovesti ni do kakvog smanjivanja zaštite osobnih podataka koju pružaju, već bi, upravo suprotno, trebalo težiti osiguravanju visoke razine zaštite unutar Unije. Države članice ne bi trebalo spriječiti u tome da osiguraju bolje zaštitne mjere za zaštitu prava i sloboda ispitanika u vezi s obradom osobnih podataka od strane nadležnih tijela od onih koje su utvrđene ovom Direktivom.

(16)

Ovom Direktivom ne dovodi se u pitanje načelo javnog pristupa službenim dokumentima. Na temelju Uredbe (EU) 2016/679 osobne podatke iz službenih dokumenata koje tijelo javne vlasti, javno ili privatno tijelo posjeduje u svrhu obavljanja zadaće u javnom interesu, to tijelo javne vlasti ili to javno ili privatno tijelo može otkriti u skladu s pravom Unije ili pravom države članice kojem to tijelo javne vlasti ili to javno ili privatno tijelo podliježe, kako bi se uskladio javni pristup službenim dokumentima s pravom na zaštitu osobnih podataka.

(17)

Zaštita koja se pruža ovom Direktivom u vezi s obradom osobnih podataka trebala bi se odnositi na pojedince bez obzira na njihovu nacionalnost ili boravište.

(18)

Radi sprečavanja stvaranja ozbiljnog rizika zaobilaženja propisa, zaštita pojedinaca trebala bi biti tehnološki neutralna i ne bi smjela ovisiti o upotrebljavanim tehnologijama. Zaštita pojedinaca trebala bi se primjenjivati na obradu osobnih podataka automatiziranim sredstvima, kao i na ručnu obradu, ako su osobni podaci pohranjeni ili ih se namjerava pohraniti u sustav pohrane. Dokumenti ili skupovi dokumenata, kao i njihove naslovne stranice, koji nisu strukturirani prema posebnim mjerilima ne bi trebali biti obuhvaćeni područjem primjene ove Direktive.

(19)

Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća (6) primjenjuje se na obradu osobnih podataka koju obavljaju institucije, tijela, uredi i agencije Unije. Uredba (EZ) br. 45/2001 i drugi pravni akti Unije primjenjivi na takvu obradu osobnih podataka trebali bi se prilagoditi načelima i pravilima utvrđenima u Uredbi (EU) 2016/679.

(20)

Ovom se Direktivom ne sprečava države članice da postupke i procedure obrade navedu u nacionalnim propisima o kaznenim postupcima u vezi s obradom osobnih podataka koju obavljaju sudovi i druga pravosudna tijela, posebno kad je riječ o osobnim podacima sadržanima u sudskoj odluci ili evidencijama povezanim s kaznenim postupcima.

(21)

Načela zaštite podataka trebala bi se primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Kako bi se odredilo može li se identitet pojedinca utvrditi, trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koja voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca. Kako bi se utvrdilo je li po svemu sudeći izgledno da se upotrebljavaju sredstva za utvrđivanje identiteta pojedinca, trebalo bi uzeti u obzir sve objektivne čimbenike, kao što su troškovi i vrijeme potrebno za utvrđivanje identiteta, uzimajući u obzir i tehnologiju dostupnu u vrijeme obrade i tehnološki razvoj. Načela zaštite podataka stoga se ne bi trebala primjenjivati na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su učinjeni anonimnima na način da se identitet ispitanika više ne može utvrditi.

(22)

Tijela javne vlasti kojima se otkrivaju osobni podaci u skladu s pravnom obvezom izvršavanja njihovih službenih zadaća, poput poreznih i carinskih tijela, jedinica za financijsku istragu, neovisnih upravnih tijela ili tijela za financijska tržišta odgovorna za reguliranje i nadzor tržišta vrijednosnih papira, ne bi se smjela smatrati primateljima ako prime osobne podatke koji su potrebni za provedbu određene istrage u općem interesu, u skladu s pravom Unije ili pravom države članice. Zahtjevi za otkrivanje koje šalju tijela javne vlasti trebali bi uvijek biti u pisanom obliku, obrazloženi i povremeni i ne bi se trebali odnositi na čitav sustav pohrane ili dovesti do međupovezanosti sustavâ pohrane. Tijela javne vlasti trebala bi obrađivati takve osobne podatke u skladu s primjenjivim pravilima za zaštitu podataka ovisno o svrhama obrade.

(23)

Genetski podaci trebali bi se definirati kao osobni podaci u vezi s naslijeđenim ili stečenim genetskim obilježjima pojedinca koji proizlaze iz analize biološkog uzorka pojedinca o kojemu je riječ, osobito analize kromosoma, deoksiribonukleinske kiseline (DNK) ili ribonukleinske kiseline (RNK) ili analize drugog elementa koji omogućuje dobivanje jednakovrijedne informacije. S obzirom na složenost i osjetljivost genetskih informacija postoji veliki rizik da voditelj obrade u razne svrhe zlouporabi i ponovno uporabi te informacije. U načelu bi se trebalo zabraniti svaki oblik diskriminacije na temelju genetskih obilježja.

(24)

Osobni podaci koji se odnose na zdravlje trebali bi obuhvaćati sve podatke koji se odnose na zdravstveno stanje ispitanika, a koji otkrivaju informacije u vezi s prijašnjim, trenutačnim ili budućim fizičkim ili mentalnim zdravstvenim stanjem ispitanika. To uključuje informacije o pojedincu prikupljene tijekom registracije ili tijekom pružanja tom pojedincu zdravstvenih usluga pojedincu kako je navedeno u Direktivi 2011/24/EU Europskog parlamenta i Vijeća (7); broj, simbol ili oznaku koja je pojedincu dodijeljena u svrhu jedinstvene identifikacije za zdravstvene svrhe; informacije izvedene iz testiranja ili ispitivanja dijela tijela ili tjelesne tvari, među ostalim iz genetskih podataka i bioloških uzoraka; i bilo kakvu informaciju na primjer o bolesti, invalidnosti, riziku od bolesti, medicinskoj povijesti, kliničkom tretmanu ili fiziološkom ili biomedicinskom stanju ispitanika neovisno o njegovu izvoru, kao na primjer od liječnika ili drugog zdravstvenog djelatnika, bolnice, medicinskog uređaja ili dijagnostičkog testa in vitro.

(25)

Sve države članice učlanjene su u Međunarodnu organizaciju kriminalističke policije (Interpol). Kako bi ispunio svoju misiju, Interpol prima, pohranjuje i prosljeđuje osobne podatke radi pružanja pomoći nadležnim tijelima u sprečavanju i suzbijanju međunarodnog kriminala. Stoga je primjereno ojačati suradnju između Unije i Interpola poticanjem učinkovite razmjene osobnih podataka, osiguravajući pritom poštovanje temeljnih prava i sloboda u vezi s automatskom obradom osobnih podataka. Ako se osobni podaci prenose iz Unije Interpolu i zemljama koje imaju svoje predstavnike u Interpolu, trebala bi se primjenjivati ova Direktiva, a osobito odredbe o međunarodnim prijenosima. Ovom se Direktivom ne bi smjela dovoditi u pitanje posebna pravila utvrđena u Zajedničkom stajalištu Vijeća 2005/69/PUP (8) i Odluci Vijeća 2007/533/PUP (9).

(26)

Svaka obrada osobnih podataka mora biti zakonita, poštena i transparentna u odnosu na pojedince na koje se odnosi te provedena samo u posebne svrhe utvrđene zakonom. To samo po sebi ne sprečava tijela za izvršavanje zakonodavstva u obavljanju aktivnosti kao što su tajne istrage ili video nadzor. Takve aktivnosti mogu se provesti u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje pod uvjetom da su utvrđene zakonom i predstavljaju nužnu i razmjernu mjeru u demokratskom društvu uz dužno poštovanje legitimnih interesa dotičnog pojedinca. Načelo zaštite podataka u pogledu poštene obrade odvojeno je od pojma prava na pošteno suđenje, kako je utvrđeno u članku 47. Povelje i u članku 6. Europske konvencije za zaštitu ljudskih prava i temeljnih sloboda. Pojedince bi trebalo upoznati s rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom njihovih osobnih podataka i načinom ostvarivanja njihovih prava u vezi s obradom. Posebne svrhe obrade osobnih podataka osobito bi trebale biti izričite i legitimne te utvrđene u trenutku prikupljanja osobnih podataka. Osobni podaci trebali bi biti primjereni i bitni za potrebe za koje se obrađuju. Osobito bi trebalo osigurati da se ne prikupljaju suvišni osobni podaci i da se ne pohranjuju dulje nego što je nužno za potrebe za koje se obrađuju. Osobni podaci smjeli bi se obrađivati samo ako se svrha obrade opravdano ne može postići drugim sredstvima. Radi osiguravanja da se podaci ne drže dulje no što je potrebno, voditelj obrade trebao bi odrediti vremenske rokove za brisanje ili periodično preispitivanje. Države članice trebale bi utvrditi odgovarajuće zaštitne mjere za osobne podatke koji se pohranjuju na dulja razdoblja u svrhe arhiviranja u javnom interesu, u znanstvene, statističke ili povijesne svrhe.

(27)

Radi sprečavanja, istrage i progona kaznenih djela nužno je da nadležna tijela obrađuju osobne podatke prikupljene u kontekstu sprečavanja, istrage, otkrivanja ili progona posebnih kaznenih djela izvan tog konteksta kako bi stekla uvid u kriminalne aktivnosti te kako bi mogla povezati različita otkrivena kaznena djela.

(28)

Radi očuvanja sigurnosti u vezi s obradom i sprečavanja obrade kojom bi se kršila ova Direktiva, osobni podaci trebali bi se obrađivati na način da se osigura odgovarajuća razina sigurnosti i povjerljivosti, među ostalim sprečavanjem neovlaštenog pristupa osobnim podacima ili uporabe osobnih podataka i opreme koji se upotrebljavaju za obradu, te da se uzimaju u obzir najnovija raspoloživa dostignuća i tehnologija te troškovi provedbe u odnosu na rizike i vrstu osobnih podataka koji se trebaju zaštititi.

(29)

Osobni podaci trebali bi se prikupljati u posebne, izričite i zakonite svrhe u području primjene ove Direktive te ih se ne bi smjelo obrađivati u svrhe koje nisu u skladu sa svrhama sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje. Ako osobne podatke obrađuje isti ili drugi voditelj obrade u neku svrhu iz područja primjene ove Direktive koja je različita od one za koju su podaci prikupljeni, takva bi obrada trebala biti dopuštena pod uvjetima da je takva obrada odobrena u skladu s primjenjivim pravnim odredbama te da je nužna za tu drugu svrhu i razmjerna toj drugoj svrsi.

(30)

Trebalo bi primijeniti načelo točnosti podataka uzimajući u obzir prirodu i svrhu dotične obrade. Izjave koje sadržavaju osobne podatke temelje se, osobito u sudskim postupcima, na subjektivnoj percepciji pojedinaca i ne mogu uvijek provjeriti. Stoga se zahtjev za točnošću ne bi trebao odnositi na točnost izjave, već samo na činjenicu da je određena izjava dana.

(31)

Za obradu osobnih podataka na područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje svojstveno je da se obrađuju osobni podaci koji se odnose na različite kategorije ispitanika. Stoga bi što je više moguće i ako je primjenjivo trebalo praviti jasnu razliku između osobnih podataka različitih kategorija ispitanika, primjerice: osumnjičenika; osoba osuđenih za kazneno djelo; žrtava i drugih strana, kao što su svjedoci; osobe koje posjeduju važne informacije ili kontakte; te pomagači osumnjičenika i osuđenih počinitelja kaznenih djela. Time se ne bi smjela spriječiti primjena prava pretpostavke nedužnosti kako je zajamčena Poveljom i Europskom konvencijom o ljudskim pravima, a kako se tumači u sudskoj praksi Suda i Europskog suda za ljudska prava.

(32)

Nadležna tijela trebala bi osigurati da se osobni podaci koji su netočni, nepotpuni ili više nisu ažurni ne prenose i ne stavljaju na raspolaganje. Kako bi osigurala zaštitu pojedinaca, točnost, potpunost ili mjeru u kojoj su osobni podaci ažurni te pouzdanost osobnih podataka koji se prenose ili stavljaju na raspolaganje, nadležna tijela trebala bi, koliko god je to moguće, dodati potrebne informacije u sve prijenose osobnih podataka.

(33)

Ako se ovom Direktivom upućuje na pravo države članice, pravnu osnovu ili zakonodavnu mjeru, to ne znači nužno da parlament mora donijeti zakonodavni akt, ne dovodeći u pitanje zahtjeve u skladu s ustavnim poretkom dotične države članice. Međutim, takvo pravo države članice, pravna osnova ili zakonodavna mjera trebala bi biti jasna i precizna, a njezina primjena trebala bi biti predvidljiva osobama na koje se primjenjuje sukladno sudskoj praksi Suda i Europskog suda za ljudska prava. U pravu države članice kojim se uređuje obrada osobnih podataka unutar područja primjene ove Direktive trebali bi se navesti barem ciljevi, osobni podaci koji se obrađuju, svrhe obrade i postupci za očuvanje cjelovitosti i povjerljivosti osobnih podataka te postupci za njihovo uništenje, čime bi se zajamčila dostatna zaštita od rizika od zlouporabe i proizvoljnosti.

(34)

Obrada osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, trebala bi obuhvaćati svaki postupak ili skup postupaka koji se provode na osobnim podacima ili skupovima osobnih podataka u te svrhe, bilo automatiziranim putem ili na drugi način, kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, usklađivanje ili kombiniranje, ograničavanje obrade, brisanje ili uništavanje. Posebno, pravila ove Direktive trebala bi se primjenjivati na prijenos osobnih podataka za potrebe iz ove Direktive primatelju koji ne podliježe ovoj Direktivi. Takav primatelj trebao bi obuhvaćati fizičku ili pravnu osobu, tijelo javne vlasti, agenciju ili bilo koje drugo tijelo kojem nadležno tijelo zakonito otkriva osobne podatke. Ako je osobne podatke izvorno prikupilo nadležno tijelo za neku od svrha iz ove Direktive, na obradu tih podataka u svrhe koje su različite od onih iz ove Direktive, ako je takva obrada odobrena pravom Unije ili pravom države članice, trebala bi se primjenjivati Uredba (EU) 2016/679. Posebno, pravila iz Uredbe (EU) 2016/679 trebala bi se primjenjivati na prijenos osobnih podataka za svrhe koje su izvan područja primjene ove Direktive. Na obradu osobnih podataka od strane primatelja koji nije nadležno tijelo niti djeluje kao takvo u smislu ove Direktive i kojem nadležno tijelo zakonito otkriva osobne podatke trebala bi se primjenjivati Uredba (EU) 2016/679. Pri provedbi ove Direktive države članice trebale bi također imati mogućnost dodatno precizirati primjenu pravila iz Uredbe (EU) 2016/679, podložno uvjetima koji su u njoj utvrđeni.

(35)

Kako bi bila zakonita, obrada osobnih podataka na temelju ove Direktive trebala bi biti nužna za obavljanje nekog zadatka nadležnog tijela u interesu javnosti na temelju prava Unije ili prava države članice u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje. Tim bi se aktivnostima trebala obuhvatiti zaštita ključnih interesa ispitanika. Ako je obavljanje zadaća sprečavanja, istraživanja, otkrivanja ili kaznenog progona kaznenih djela institucionalno zakonom dodijeljeno nadležnim tijelima, ona od pojedinaca smiju zatražiti da ispune podnesene zahtjeve ili to im narediti. U takvom slučaju privola ispitanika, kako je definirana u Uredbi (EU) 2016/679 ne bi smjela biti pravna osnova za obradu osobnih podataka od strane nadležnih tijela. Ako ispitanik mora ispuniti pravnu obvezu, on nema pravi i slobodan izbor, stoga se reakcija ispitanika ne bi mogla smatrati dovoljno slobodnim izrazom njegovih želja. To ne bi smjelo spriječiti države članice da zakonski predvide da ispitanik može pristati na obradu svojih osobnih podataka za potrebe iz ove Direktive, poput DNK testiranja u kaznenim istragama ili praćenja svoje lokacije pomoću elektroničkih oznaka za izvršavanje kaznenih sankcija.

(36)

Ako se pravom Unije ili pravom države članice koje se primjenjuje na nadležno tijelo koje prenosi podatke propisuju posebni uvjeti primjenjivi na obradu osobnih podataka u posebnim okolnostima, primjerice u pogledu uporabe oznaka za postupanje s dokumentima, države članice trebale bi osigurati da nadležno tijelo koje prenosi podatke primatelja takvih osobnih podataka obavijesti o tim uvjetima i o zahtjevu za poštovanje tih uvjeta. Takvi bi uvjeti, primjerice mogli obuhvaćati zabranu u pogledu daljnjeg prijenosa osobnih podataka drugima ili njihove upotrebe u druge svrhe, osim onih za koje su preneseni primatelju ili u pogledu obavijesti ispitaniku u slučaju ograničenja prava na informaciju bez prethodnog odobrenja nadležnog tijela koje prenosi podatke. Te bi se obveze trebale primjenjivati i na prijenose primateljima u trećim zemljama ili međunarodnim organizacijama koje obavlja nadležno tijelo koje prenosi podatke. Države članice trebale bi osigurati da nadležno tijelo koje prenosi podatke takve uvjete ne primjenjuje na primatelje u drugim državama članicama ni na druge agencije, urede i tijela osnovana na temelju glave V. poglavlja 4. i 5. UFEU-a, osim onih koji su primjenjivi na slične prijenose podataka u državi članici u kojoj se nalazi to nadležno tijelo.

(37)

Osobni podaci koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode. Ti bi osobni podaci trebali obuhvatiti osobne podatke koji otkrivaju rasno ili etničko podrijetlo, pri čemu upotreba termina „rasno podrijetlo” u ovoj Direktivi ne podrazumijeva da Unija prihvaća teorije koje pokušavaju odrediti postojanje odvojenih ljudskih rasa. Takvi se osobni podaci ne bi smjeli obrađivati, osim ako se na obradu primjenjuju odgovarajuće zaštitne mjere u pogledu prava i sloboda ispitanika utvrđene zakonom te ako je dopuštena u slučajevima dopuštenima zakonom; a ako već nije dopuštena takvim zakonom da je obrada nužna radi zaštite životno važnih interesa ispitanika ili druge osobe; ili se obrada odnosi na podatke za koje je očito da ih je objavio ispitanik. Odgovarajuće zaštitne mjere u pogledu prava i sloboda ispitanika mogle bi, primjerice, obuhvaćati i mogućnost da se ti podaci prikupljaju samo u vezi s ostalim podacima dotičnog pojedinca, mogućnost da se prikupljeni podaci primjereno osiguravaju te stroža pravila za pristup osoblja nadležnog tijela podacima i zabranu prijenosa tih podataka. Obradu takvih podataka trebalo bi zakonom također dopustiti ako je ispitanik izričito pristao na obradu koja je za njega osobito intruzivna. Sama privola ispitanika, međutim, ne bi smjela biti pravna osnova za obradu takvih osjetljivih osobnih podatka od strane nadležnih tijela.

(38)

Ispitanik bi trebao imati pravo da se na njega ne odnosi odluka kojom se procjenjuju osobni aspekti u vezi s njim koja se isključivo temelji na automatiziranoj obradi i koja proizvodi štetne pravne učinke koji se na njega odnose ili na njega znatno utječu. U svakom slučaju na takvu bi se obradu trebale primjenjivati odgovarajuće zaštitne mjere, uključujući pružanje posebnih informacija ispitaniku i pravo na izravnu ljudsku intervenciju, posebno pravo da izrazi svoje stajalište, da dobije objašnjenje odluke donesene nakon takve procjene ida ospori tu odluku. Izrada profila koja dovodi do diskriminacije pojedinaca na temelju osobnih podataka koji su prema svojoj prirodi posebno osjetljivi u odnosu na temeljna prava i slobode trebala bi biti zabranjena na temelju uvjeta utvrđenih u člancima 21. i 52. Povelje.

(39)

S ciljem omogućivanja ispitaniku da ostvari svoja prava, svaka bi informacija ispitaniku trebala biti lako dostupna, među ostalim na internetskoj stranici voditelja obrade, te lako razumljiva, uporabom jasnog i jednostavnog jezika. Takve informacije trebale bi biti prilagođene potrebama ranjivih osoba kao što su djeca.

(40)

Trebalo bi predvidjeti modalitete kojima se olakšava ostvarivanje prava ispitanika u okviru odredaba donesenih na temelju ove Direktive, uključujući mehanizme za podnošenje zahtjeva te, ako je primjenjivo, besplatno ostvarivanje, osobito zahtjeva za pristup osobnim podacima, njihovo ispravljanje ili brisanje i ograničavanje obrade. Voditelj obrade trebao bi biti dužan odgovoriti na zahtjev ispitanika bez nepotrebne odgode, osim ako voditelj obrade primjeni ograničenja na prava ispitanika u skladu s ovom Direktivom. Osim toga, ako su zahtjevi očigledno neutemeljeni ili pretjerani, primjerice ako ispitanik neopravdano i opetovano traži informacije ili ako ispitanik zlouporabi svoje pravo na informacije, primjerice davanjem lažnih ili obmanjujućih informacija prilikom podnošenja zahtjeva, voditelj obrade trebao bi imati mogućnost naplatiti razumnu naknadu ili odbiti postupiti po zahtjevu.

(41)

Ako voditelj obrade zatraži dodatne informacije koje su potrebne radi potvrde identiteta ispitanika, te bi se informacije trebale obrađivati samo u tu određenu svrhu i ne bi se smjele pohranjivati dulje nego što je potrebno za tu svrhu.

(42)

Ispitaniku bi trebalo staviti na raspolaganje najmanje sljedeće informacije: identitet voditelja obrade, postojanje postupka obrade, svrhe obrade, pravo na podnošenje pritužbe i postojanje prava da se od voditelja obrade zatraži pristup obradi te ispravak ili brisanje osobnih podataka ili ograničavanje obrade. To bi se moglo obaviti na internetskoj stranici nadležnog tijela. Usto, u određenim slučajevima i kako bi mu se omogućilo ostvarivanje njegovih prava, ispitanika bi se trebalo obavijestiti o pravnoj osnovi za obradu te o tome koliko dugo će se ti podaci pohranjivati, u mjeri u kojoj su takve dodatne informacije potrebne, uzimajući u obzir određene okolnosti pod kojima se podaci obrađuju kako bi se zajamčila poštena obrada u odnosu na ispitanika.

(43)

Pojedinac bi trebao imati pravo pristupa prikupljenim podacima koji se na njega odnose te ostvarivati to pravo lako i u razumnim intervalima kako bi bio svjestan obrade i provjerio njezinu zakonitost. Svaki bi ispitanik stoga trebao imati pravo znati za i primiti obavijest o tome u koje se svrhe i na koje razdoblje podaci obrađuju te o primateljima podataka, uključujući one u trećim zemljama. Ako takve obavijesti uključuju informacije o izvoru osobnih podataka, tim se informacijama ne bi smio otkrivati identitet fizičkih osoba, a posebno povjerljivih izvora. Kako bi se to pravo poštovalo, dovoljno je da ispitanik ima pun sažetak tih podataka u razumljivom obliku, to jest obliku koji omogućuje da ispitanik sazna te podatke i provjeri da su točni i obrađeni u skladu s ovom Direktivom, kako bi imao mogućnost ostvariti prava koje su mu dodijeljena ovom Direktivom. Takav sažetak trebao bi se dati u obliku preslike osobnih podataka koji su u postupku obrade.

(44)

Države članice trebale bi imati mogućnost donošenja zakonodavnih mjera za odgađanje, ograničavanje ili ispuštanje informacija ispitanicima ili ograničavanje, u potpunosti ili djelomično, pristupa njihovim osobnim podacima u mjeri i dokle god takva mjera predstavlja nužnu i proporcionalnu mjeru u demokratskom društvu uz dužno poštovanje temeljnih prava i legitimnih interesa dotičnog pojedinca kako bi se izbjegla ometanja službenih ili pravnih ispitivanja, istraga ili postupaka te dovođenje u pitanje sprečavanja, istrage,otkrivanja ili progona kaznenih djela ili kako bi se izvršavale kaznene sankcije, zaštitila javna ili nacionalna sigurnost ili zaštitila prava i slobode drugih. Voditelj obrade trebao bi konkretnim i pojedinačnim ispitivanjem svakog slučaja procijeniti je li potrebno primijeniti djelomično ili potpuno ograničavanje prava pristupa.

(45)

Svako odbijanje ili ograničavanje pristupa trebalo bi se u načelu pisanim putem priopćiti ispitaniku i trebalo bi uključivati činjenične ili pravne razloge na kojima se ta odluka temelji.

(46)

Svako ograničavanje prava ispitanika mora biti u skladu s Poveljom i Europskom konvencijom o zaštiti ljudskih prava, kako se tumače u sudskoj praksi Suda odnosno Europskog suda za ljudska prava, te se njime posebno mora poštovati bit tih prava i sloboda.

(47)

Pojedinac bi trebao imati pravo na ispravak netočnih osobnih podataka koji se na njega odnose, posebno ako se odnose na činjenice, kao i pravo na njihovo brisanje ako obrada takvih podataka krši ovu Direktivu. Međutim, pravo na ispravak podataka ne bi smio utjecati na primjerice sadržaj svjedočenja svjedoka. Pojedinac bi trebao imati i pravo na ograničavanje obrade ako osporava točnost osobnih podataka i ako točnost ili netočnost podataka nije moguće utvrditi ili ako se osobni podaci moraju zadržati kao dokaz. Obradu osobnih podataka posebno bi, umjesto da ih se briše, trebalo ograničiti ako u određenom slučaju postoje opravdani razlozi za pretpostavku da bi brisanje moglo utjecati na legitimne interese ispitanika. U takvom slučaju ograničeni podaci trebali bi se obrađivati samo u svrhu zbog koje nisu bili izbrisani. Metode ograničavanja obrade osobnih podataka mogle bi, među ostalim, uključivati premještanje odabranih podataka u drugi sustav obrade, primjerice u svrhe pohrane, ili onemogućavanje dostupnosti odabranih podataka. U automatiziranim sustavima pohrane ograničavanje obrade osobnih podataka u načelu bi se trebalo osigurati tehničkim sredstvima. Činjenicu da je obrada osobnih podataka ograničena trebalo bi navesti u sustavu tako da bude jasno da je obrada osobnih podataka ograničena. O takvom ispravku ili brisanju osobnih podatka ili ograničavanju obrade trebalo bi obavijestiti primatelje kojima su ti podaci otkriveni te nadležna tijela od kojih potječu netočni podaci. Voditelji obrade te podatke također ne bi smjeli širiti dalje.

(48)

Ako voditelj obrade ispitaniku uskraćuje pravo na informiranje, pristup, ispravak ili brisanje osobnih podataka ili ograničavanje obrade, ispitanik bi trebao imati pravo zatražiti od nacionalnog nadzornog tijela provjeru zakonitosti obrade. Ispitanik bi trebao biti obaviješten o tom pravu. Ako nadzorno tijelo djeluje u ime ispitanika, nadzorno tijelo trebalo bi obavijestiti ispitanika barem o tome da je nadzorno tijelo obavilo sve potrebne provjere ili preispitivanja. Nadzorno bi tijelo također trebalo obavijestiti ispitanika o njegovu pravu na pravni lijek.

(49)

Ako se osobni podaci obrađuju u okviru kaznene istrage i sudskih postupaka u kaznenim predmetima, države članice trebale bi imati mogućnost predvidjeti da se ostvarivanje prava na informiranje, pristup i ispravak ili brisanje osobnih podataka i ograničavanje obrade obavlja u skladu s nacionalnim pravilima o sudskom postupku.

(50)

Trebalo bi uspostaviti dužnost i odgovornost voditelja obrade za svaku obradu osobnih podataka koju provede sâm voditelj obrade ili netko drugi u ime voditelja obrade. Voditelj obrade posebno bi trebao imati obvezu provođenja odgovarajućih i djelotvornih mjera te biti u mogućnosti dokazati da su aktivnosti obrade usklađene s ovom Direktivom. Takvim bi se mjerama trebalo u obzir uzeti prirodu, opseg, kontekst i svrhe obrade te rizik za prava i slobode pojedinaca. Mjerama koje voditelj obrade poduzima trebalo bi obuhvatiti sastavljanje i provedbu posebnih zaštitnih mjera u vezi s obradom osobnih podataka ranjivih pojedinaca kao što su djeca.

(51)

Rizik za prava i slobode pojedinaca različitih vjerojatnosti i ozbiljnosti može proizaći iz obrade podataka koja bi mogla prouzročiti fizičku, materijalnu ili nematerijalnu štetu, osobito ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, štete za ugled, gubitka povjerljivosti podataka zaštićenih profesionalnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije ili bilo koje druge značajne gospodarske ili društvene štete; ako ispitanici mogu biti uskraćeni za svoja prava i slobode ili za provođenje nadzora nad njihovim osobnim podacima; ako se obrađuju osobni podaci koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstva u sindikatu; ako je riječ o obradi genetskih podataka ili biometrijskih podataka u svrhu jedinstvene identifikacije osobe ili ako je riječ o obradi podataka u vezi sa zdravljem ili podataka u vezi sa spolnim životom i spolnim opredjeljenjem, ili kaznenim osudama i kaznenim djelima, ili povezanim sigurnosnim mjerama; ako se procjenjuju osobni aspekti, osobito analiza i predviđanje aspekata u vezi s učinkom na poslu, gospodarskom situacijom, zdravljem, osobnim preferencijama ili interesima, pouzdanošću ili ponašanjem, lokacijom ili kretanjem kako bi se izradili ili upotrebljavali osobni profili; ako se obrađuju osobni podaci ranjivih pojedinaca, osobito djece; ili ako obrada uključuje veliku količinu osobnih podataka i utječe na velik broj ispitanika.

(52)

Vjerojatnost i ozbiljnost rizika trebali bi se određivati s obzirom na prirodu, opseg, kontekst i svrhe obrade. Rizik bi se trebao procjenjivati na temelju objektivne procjene kojom se utvrđuje uključuju li postupci obrade podataka visok rizik. Visok rizik znači osobit rizik ugrožavanja prava i sloboda ispitanikâ.

(53)

Zaštita prava i sloboda pojedinaca u vezi s obradom osobnih podataka zahtijeva poduzimanje odgovarajućih tehničkih i organizacijskih mjera kako bi se osiguralo ispunjavanje zahtjeva ove Direktive. Provedba tih mjera ne bi smjela ovisiti isključivo o gospodarskim razlozima. Radi dokazivanja sukladnosti s ovom Direktivom voditelj obrade trebao bi donijeti interne politike i provesti mjere kojima se osobito poštuju načela tehničke zaštite podataka i integrirane zaštite podataka. Ako je voditelj obrade proveo procjenu učinka na zaštitu podataka u skladu s ovom Direktivom, rezultati bi se trebali uzeti u obzir pri razvoju tih mjera i postupaka. Te mjere bi se mogle, među ostalim, sastojati od primjene pseudonimizacije što je prije moguće. Primjena pseudonimizacije za potrebe ove Direktive može služiti kao sredstvo kojim bi se mogao olakšati slobodan protok osobnih podataka unutar područja slobode, sigurnosti i pravde.

(54)

Zaštita prava i sloboda ispitanikâ, kao i odgovornost i obveze voditeljâ obrade i izvršiteljâ obrade, također u vezi s praćenjem i mjerama nadzornih tijela, zahtijevaju jasno utvrđivanje odgovornosti ovom Direktivom, među ostalim i u slučajevima u kojima voditelj obrade određuje svrhe i sredstva obrade zajedno s drugim voditeljima obrade ili kada se postupak obrade provodi u ime voditelja obrade.

(55)

Obrada koju provodi izvršitelj obrade trebala bi biti uređena pravnim aktom uključujući ugovor kojim se izvršitelj obrade obvezuje prema voditelju obrade te kojim se posebno utvrđuje da bi izvršitelj obrade trebao djelovati samo prema uputama voditelja obrade. Izvršitelj obrade trebao bi uzimati u obzir načelo tehničke i integrirane zaštite podataka.

(56)

Voditelj obrade ili izvršitelj obrade trebao bi voditi evidenciju o svim kategorijama aktivnosti obrade pod svojom odgovornošću radi dokazivanja sukladnosti s ovom Direktivom. Svaki voditelj obrade i izvršitelj obrade trebali bi biti obvezni surađivati s nadzornim tijelom i tu mu evidenciju na zahtjev staviti na raspolaganje kako bi ona poslužila za praćenje tih postupaka obrade. Voditelj obrade ili izvršitelj obrade koji obrađuje osobne podatke u neautomatiziranim sustavima obrade trebao bi imati učinkovite metode za dokazivanje zakonitosti obrade, omogućivanje samopraćenja i osiguravanje cjelovitosti i sigurnosti podataka, poput zapisa ili drugih oblika evidencije.

(57)

Zapise bi trebalo voditi barem za postupke u automatiziranim sustavima obrade kao što su prikupljanje, izmjene, obavljanje uvida, otkrivanje, uključujući prijenose, kombiniranje ili brisanje. Identitet osobe koja je obavila uvid u osobne podatke ili ih otkrila trebao bi se evidentirati i na temelju te identifikacije trebalo bi biti moguće naći opravdanje za postupke obrade. Zapise bi se trebalo upotrebljavati samo u svrhe provjere zakonitosti obrade podataka, samopraćenja i osiguravanja cjelovitosti i sigurnosti podataka te u kaznenim postupcima. Samopraćenje obuhvaća i unutarnje stegovne postupke nadležnih tijela.

(58)

Voditelj obrade trebao bi izvršiti procjenu učinka na zaštitu podataka ako je vjerojatno da postupci obrade zbog svoje prirode, opsega ili svrhe mogu dovesti do posebna rizika za prava i slobode ispitanika, a ta bi procjena posebno trebala uključivati mjere, zaštitne mjere i mehanizme predviđene za osiguravanje zaštite osobnih podataka i za dokazivanje usklađenosti s ovom Direktivom. Procjenama učinka trebali bi se obuhvatiti relevantni sustavi i procesi postupaka obrade, ali ne i pojedinačni slučajevi.

(59)

Kako bi se osigurala učinkovita zaštita prava i sloboda ispitanika, u određenim bi se slučajevima prije obrade voditelj obrade ili izvršitelj obrade trebao savjetovati s nadzornim tijelom.

(60)

Kako bi se očuvala sigurnost i spriječila obrada kojom se krši ova Direktiva, voditelj obrade ili izvršitelj obrade trebao bi procijeniti rizike povezane s obradom te bi trebao provesti mjere za njihovo ublažavanje, kao što je enkripcija. Takvim bi se mjerama trebala osigurati odgovarajuća razina zaštite, uključujući povjerljivost, te uzeti u obzir najnovija dostignuća i troškovi provedbe u odnosu na rizik i vrstu osobnih podataka koji se trebaju zaštititi. Prilikom procjene rizika za sigurnost podataka u obzir bi trebalo uzeti rizike koje predstavlja obrada podataka poput slučajnog ili nezakonitog uništenja, gubitka, izmjene ili neovlaštenog otkrivanja osobnih podataka ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani, a što osobito može dovesti do fizičke, materijalne ili nematerijalne štete. Voditelj obrade i izvršitelj obrade trebali bi osigurati da obradu osobnih podataka ne provode neovlaštene osobe.

(61)

Ako se povreda osobnih podataka ne rješava na odgovarajući način i pravodobno, ona može prouzročiti fizičku, materijalnu ili nematerijalnu štetu pojedincima, kao što su gubitak nadzora nad njihovim osobnim podacima ili ograničavanje njihovih prava, diskriminacija, krađa identiteta ili prijevara, financijski gubitak, neovlašteni obrnuti postupak pseudonimizacije, šteta za ugled, gubitak povjerljivosti osobnih podataka zaštićenih poslovnom tajnom ili bilo koju drugu značajnu gospodarsku ili društvenu štetu za dotičnog pojedinca. Stoga, čim voditelj obrade primijeti da je došlo do povrede osobnih podataka, trebao bi o tome izvijestiti nadležno nadzorno tijelo bez nepotrebnog odgađanja i to, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi osobnih podataka, osim ako voditelj obrade podataka može dokazati, u skladu s načelom odgovornosti, da povreda osobnih podataka vjerojatno neće prouzročiti rizik za prava i slobode pojedinaca. Ako se takvo obavješćivanje ne može postići u roku od 72 sata, obavijest bi trebala biti popraćena razlozima kašnjenja, a informacije se mogu pružiti u fazama bez nepotrebnog daljnjeg odgađanja.

(62)

Pojedince bi bez nepotrebnog odgađanja trebalo obavijestiti ako je vjerojatno da će povreda osobnih podataka dovesti do visokog rizika za prava i slobode pojedinaca, kako bi mogli poduzeti potrebne mjere opreza. U obavijesti bi trebalo opisati prirodu povrede osobnih podataka kao i preporuke kako bi dotični pojedinac mogao ublažiti potencijalne negativne učinke. Obavijesti bi se ispitanicima trebala pružiti što je prije, u razumnim granicama, izvedivo i u bliskoj suradnji s nadzornim tijelom te poštujući njegove upute ili upute drugih relevantnih tijela vlasti. Na primjer, o potrebi za umanjivanjem neposrednog rizika od štete bilo bi potrebno odmah obavijestiti ispitanike, dok potreba za provedbom odgovarajućih mjera protiv daljnje ili slične povrede osobnih podataka može opravdati duži rok za obavijest. Ako se izbjegavanje ometanja službenih ili pravnih ispitivanja, istragâ ili postupaka, izbjegavanje dovođenja u pitanje sprečavanja, otkrivanja, istrage ili progona kaznenih djela ili izvršavanja kaznenih sankcija, zaštita javne sigurnosti, zaštita nacionalne sigurnosti ili zaštita prava i sloboda drugih ne može postići odgodom ili ograničavanjem obavješćivanja dotičnog pojedinca o povredi osobnih podataka, takva bi se obavijest, u izuzetnim okolnostima, mogla uskratiti.

(63)

Voditelj obrade trebao bi imenovati osobu koja će mu pomagati u praćenju unutarnje usklađenosti s odredbama donesenima u skladu s ovom Direktivom, osim ako država članica odluči o izuzeću sudova i drugih neovisnih pravosudnih tijela kada djeluju u okviru svoje sudske nadležnosti. Ta bi osoba mogla biti jedan od zaposlenika voditelja obrade koji su prošli posebno osposobljavanje u vezi s pravom i praksama u području zaštite podataka kako bi stekli stručno znanje u tom području. Nužna razina stručnog znanja trebala bi se utvrditi posebno u odnosu na postupke obrade podataka koji se provode te na zaštitu koju za obrađene osobne podatke zahtijeva voditelj obrade. Njegova zadaća može se provoditi na pola radnog vremena ili na puno radno vrijeme. Službenika za zaštitu podataka može zajednički imenovati nekoliko voditelja obrade uzimajući u obzir svoju organizacijsku strukturu i veličinu, primjerice u slučaju zajedničkih resursa u središnjim odjelima. Ta se osoba može imenovati i na različita radna mjesta unutar strukture dotičnih voditelja obrade. Ta bi osoba trebala pomagati voditelju obrade i zaposlenicima u vezi s obradom osobnih podataka pružajući im informacije i savjete o usklađenosti s njihovim odgovarajućim obvezama u vezi sa zaštitom podataka. Takvi službenici za zaštitu podataka trebali bi biti u mogućnosti neovisno obavljati svoje dužnosti i zadaće u skladu s pravom države članice.

(64)

Države članice trebale bi osigurati da se prijenos podataka u treću zemlju ili međunarodnu organizaciju provodi samo ako je nužan za sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje te da je voditelj obrade u trećoj zemlji ili međunarodnoj organizaciji tijelo koje je nadležno u smislu ove Direktive. Prijenos podataka trebali bi obavljati samo nadležna tijela u svojstvu voditeljâ obrade, osim u slučaju da se od izvršiteljâ obrade izričito zatražilo da izvrše prijenos u ime voditeljâ obrade. Takav prijenos podataka može se provoditi u slučajevima kada je Komisija utvrdila da dotična treća zemlja ili međunarodna organizacija jamči odgovarajuću razinu zaštite, nakon što su pružene odgovarajuće zaštitne mjere ili kada se primjenjuju odstupanja za posebne situacije. Ako se osobni podaci prenose iz Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne bi smjela biti narušena razina zaštite pojedinaca predviđena ovom Direktivom u Uniji, među ostalim u slučajevima daljnjeg prijenosa osobnih podataka iz treće zemlje ili međunarodne organizacije voditeljima obrade, izvršiteljima obrade u istoj ili u nekoj drugoj trećoj zemlji ili međunarodnoj organizaciji.

(65)

Ako se osobni podaci prenose iz države članice u treće zemlje ili međunarodne organizacije takav bi se prijenos u načelu trebao odvijati tek nakon što ga odobri država članica od koje su ti podaci dobiveni. U slučajevima kada je prijetnja javnoj sigurnosti države članice ili treće zemlje ili neophodnim interesima država članica toliko neposredna da nije moguće pravodobno dobiti prethodno odobrenje, interesi učinkovite suradnje u izvršavanju zakonodavstva nalažu da bi nadležno tijelo trebalo imati mogućnost prijenosa relevantnih osobnih podataka dotičnoj trećoj zemlji ili međunarodnoj organizaciji bez takvog prethodnog odobrenja. Države članice trebale bi osigurati da se treće zemlje ili međunarodne organizacije obavijesti o svim posebnim uvjetima u vezi s prijenosom. Daljnji prijenosi osobnih podataka trebali bi ovisiti o prethodnom odobrenju nadležnog tijela koje je provelo prvotni prijenos podataka. Pri odlučivanju o zahtjevu za odobrenje daljnjeg prijenosa, nadležno tijelo koje je provelo prvotni prijenos trebalo bi uzeti u obzir sve relevantne čimbenike, uključujući ozbiljnost kaznenog djela, određene uvjete pod kojima i svrhu u koju su podaci prvotno preneseni, prirodu i uvjete izvršenja kaznene sankcije te razinu zaštite osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji kojoj su osobni podaci dalje preneseni. Nadležno tijelo koje je provelo prvotni prijenos podataka trebalo bi imati mogućnost zahtijevati i da se daljnji prijenos obavlja pod posebnim uvjetima. Takvi posebni uvjeti mogu se opisati primjerice u kodeksima postupanja.

(66)

Komisija bi trebala imati mogućnost odlučiti s učinkom na cijelu Uniju da određene treće zemlje, područje ili jedan ili više posebnih sektora u kojima se obavlja obrada u trećoj zemlji, ili međunarodna organizacija pružaju odgovarajuću razinu zaštite podataka te na taj način pružaju pravnu sigurnost i ujednačenost u cijeloj Uniji kad je riječ o trećim zemljama ili međunarodnim organizacijama za koje se smatra da pružaju takvu razinu zaštite. U takvim slučajevima, prijenose osobnih podataka tim zemljama trebalo bi biti moguće provesti bez odobrenja, osim ako druga država članica iz koje su podaci dobiveni mora dati svoje odobrenje za prijenos.

(67)

U skladu s temeljnim vrijednostima na kojima je Unija osnovana, osobito zaštitom ljudskih prava, pri svojoj procjeni treće zemlje ili područja ili posebnog sektora u trećoj zemlji Komisija bi trebala uzeti u obzir kako dotična treća zemlja poštuje vladavinu prava, pristup pravosuđu, kao i međunarodne norme i standarde ljudskih prava i njihove opće i sektorsko zakone, uključujući zakonodavstvo o javnoj sigurnosti, obrani i nacionalnoj sigurnosti kao i javni poredak i kazneno pravo. Pri donošenju odluke o primjerenosti u vezi s područjem ili posebnim sektorom u trećoj zemlji trebalo bi uzeti u obzir jasne i objektivne kriterije, kao što su specifične aktivnosti obrade i područje primjene mjerodavnih zakonskih standarda i zakonodavstva koji su na snaziu trećoj zemlji. Treća bi zemlja trebala ponuditi jamstva kojima se osigurava primjerena razina zaštite, u osnovi istovjetna onoj koja je osigurana u Uniji, osobito ako se podaci obrađuju u jednom ili više posebnih sektora. Konkretno, treća zemlja trebala bi osigurati učinkovit neovisan nadzor zaštite podataka te mehanizme suradnje s tijelima država članica za zaštitu podataka, dok bi ispitanici trebali imati učinkovita i ostvariva prava te učinkovitu upravnu i sudsku zaštitu.

(68)

Osim međunarodnih obveza koje su treća zemlja ili međunarodna organizacija preuzele, Komisija bi također trebala uzeti u obzir obveze koje proizlaze iz sudjelovanja treće zemlje ili međunarodne organizacije u multilateralnim ili regionalnim sustavima, posebno u odnosu na zaštitu osobnih podataka, kao i provedbu tih obveza. Posebno bi trebalo uzeti u obzir pristupanje treće zemlje Konvenciji Vijeća Europe od 28. siječnja 1981. o zaštiti pojedinaca vezanoj uz automatsku obradu osobnih podataka te njezin Dodatni protokol. Komisija bi se trebala posavjetovati s Europskim odborom za zaštitu podataka osnovanim u okviru Uredbe (EU) 2016/679 („Odbor”) kada ocjenjuje razinu zaštite u trećim zemljama ili međunarodnim organizacijama. Komisija bi također trebala uzeti u obzir svaku relevantnu odluku o primjerenosti Komisije donesenu u skladu s člankom 45. Uredbe (EU) 2016/679.

(69)

Komisija bi trebala pratiti djelovanje odluka o razini zaštite u trećoj zemlji, na području ili u posebnom sektoru u trećoj zemlji, ili u međunarodnoj organizaciji. U svojim odlukama o primjerenosti Komisija bi trebala predvidjeti mehanizam periodičnog preispitivanja njihovog funkcioniranja. To periodično preispitivanje trebalo bi provesti uz savjetovanje s dotičnom trećom zemljom ili međunarodnom organizacijom i uzeti u obzir sve relevantne događaje u trećoj zemlji ili međunarodnoj organizaciji.

(70)

Komisija bi također trebala imati mogućnost utvrditi da treća zemlja, područje, posebni sektor unutar treće zemlje ili međunarodna organizacija više ne osiguravaju primjereni stupanj zaštite podataka. Stoga bi se prijenos osobnih podataka u tu treću zemlju ili međunarodnu organizaciju trebao zabraniti, osim ako su ispunjeni uvjeti iz ove Direktive koji se odnose na prijenose koji podliježu odgovarajućim zaštitnim mjerama i odstupanjima za posebne situacije. Trebalo bi predvidjeti savjetovanje između Komisije i takvih trećih zemalja ili međunarodnih organizacija. Komisija bi trebala pravodobno obavijestiti treću zemlju ili međunarodnu organizaciju o razlozima i započeti savjetovanja s njom kako bi se riješila situacija.

(71)

Prijenose podataka koji se ne temelje na takvoj odluci o primjerenosti smjelo bi dopustiti samo ako su pravno obvezujućim instrumentom osigurane odgovarajuće zaštitne mjere kojima se jamči zaštita osobnih podataka ili ako je voditelj obrade procijenio sve okolnosti u vezi s postupkom prijenosa podataka i na temelju te procjene smatra da postoje odgovarajuće zaštitne mjere u vezi sa zaštitom osobnih podataka. Takvi pravno obvezujući instrumenti mogli bi na primjer biti pravno obvezujući bilateralni sporazumi koje su sklopile države članice i provele ih u svoj pravni poredak te bi ih mogli primjenjivati njihovi ispitanici, osiguravajući poštovanje zahtjevâ zaštite podataka i prava ispitanika, uključujući pravo dobivanja učinkovite upravne ili sudske zaštite. Voditelj obrade trebao bi imati mogućnost uzeti u obzir sporazume o suradnji sklopljene između Europola ili Eurojusta i trećih zemalja kojima se omogućuje razmjena osobnih podataka pri procjeni svih okolnosti u vezi s prijenosom podataka. Voditelj obrade trebao bi imati mogućnost uzeti u obzir i da će prijenos osobnih podataka podlijegati obvezama povjerljivosti i načelu specifičnosti, osiguravajući da se podaci neće obrađivati u druge svrhe osim za potrebe prijenosa. Uz to bi voditelj obrade trebao uzeti u obzir da se osobni podaci neće upotrebljavati za traženje, donošenje ili izvršenje smrtne kazne ili bilo kojeg oblika okrutnog i nečovječnog postupanja. Iako bi se ti uvjeti mogli smatrati odgovarajućim zaštitnim mjerama koje omogućuju prijenos podataka, voditelj obrade trebao bi imati mogućnost zahtijevati dodatne zaštitne mjere.

(72)

Ako ne postoji odluka o primjerenosti ili odgovarajuće zaštitne mjere, prijenos ili kategorija prijenosa mogla bi se dogoditi samo u posebnim situacijama, ako je potrebno kako bi se zaštitili ključni interesi ispitanika ili druge osobe ili kako bi se zaštitili legitimni interesi ispitanika ako je tako predviđeno pravom države članice koja obavlja prijenos osobnih podataka;radi sprečavanja neposredne i ozbiljne prijetnje javnoj sigurnosti države članice ili treće zemlje; u pojedinačnom slučaju u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, ili u pojedinačnom slučaju radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva. Ta bi se odstupanja trebala tumačiti ograničeno i ne bi smjela omogućiti česte, opsežne i strukturne prijenose osobnih podataka ni masovne prijenose podataka, već bi se trebala ograničiti na podatke koji su nužni. Takvi prijenosi trebali bi se dokumentirati i dostaviti nadzornom tijelu na zahtjev kako bi se pratila zakonitost prijenosa.

(73)

Nadležna tijela država članica primjenjuju bilateralne ili multilateralne međunarodne sporazume na snazi, sklopljene s trećim zemljama u području pravosudne suradnje u kaznenim stvarima i policijske suradnje za razmjenu bitnih informacija kako bi mogla obavljati zadaće koje su im pravno dodijeljene. To se u načelu odvija putem suradnje tijela koja su nadležna u dotičnim trećim zemljama za potrebe ove Direktive, ili barem uz tu suradnju, a ponekad čak i ako bilateralni ili multilateralni međunarodni sporazum ne postoji. Međutim, u posebnim pojedinačnim slučajevima redovni postupci kojima se zahtjeva kontaktiranje takvog tijela u trećoj zemlji mogu biti neučinkoviti ili neprimjereni, osobito zato što se prijenos ne može provesti pravodobno ili zato što to tijelo u trećoj zemlji ne poštuje vladavinu prava ili međunarodne norme i standarde ljudskih prava, tako da nadležna tijela država članica mogu odlučiti prenijeti osobne podatke izravno primateljima s poslovnim nastanom u tim trećim zemljama. To se može dogoditi u slučaju da postoji hitna potreba za prijenosom osobnih podataka kako bi se spasio život osobe kojoj prijeti opasnost da postane žrtva kaznenog djela ili u interesu sprečavanja neposrednog počinjenja kaznenog djela, uključujući terorizam. Čak i ako se taj prijenos između nadležnih tijela i primatelja s poslovnim nastanom u trećim zemljama provodi samo u posebnim pojedinačnim slučajevima, ovom bi se Direktivom trebali predvidjeti uvjeti za reguliranje takvih slučajeva. Te se odredbe ne bi smjelo smatrati odstupanjima od bilo kojeg postojećeg bilateralnog ili multilateralnog međunarodnog sporazuma u području pravosudne suradnje u kaznenim stvarima i policijske suradnje. Ta bi se pravila trebala primjenjivati uz ostala pravila ove Direktive, posebno ona o zakonitosti obrade podataka i poglavlje V.

(74)

Kada se osobni podaci kreću preko granica, može se povećati rizik koji prijeti sposobnosti pojedinaca da ostvare svoja prava zaštite podataka, osobito da se zaštite od nezakonite uporabe ili otkrivanja tih podataka. Nadzorna tijela mogu istodobno otkriti da nisu u stanju rješavati pritužbe ili voditi istrage u vezi s aktivnostima izvan svojih granica. Njihove napore da rade zajedno u prekograničnom kontekstu također mogu omesti nedovoljne ovlasti za sprečavanje ili ispravljanje i nedosljedni pravni režimi. Stoga postoji potreba za promicanjem bliskije suradnje među nadzornim tijelima za zaštitu podataka, što bi im pomoglo u razmjeni informacija s nadzornim tijelima za zaštitu podataka u inozemstvu.

(75)

Uspostava nadzornih tijela u državama članicama koja mogu potpuno samostalno izvršavati svoje dužnosti ključna je sastavnica zaštite pojedinaca u vezi s obradom njihovih osobnih podataka. Nadzorna tijela trebala bi pratiti primjenu odredaba donesenih na temelju ove Direktive i doprinositi njihovoj dosljednoj primjeni u cijeloj Uniji kako bi zaštitila pojedince u vezi s obradom njihovih osobnih podataka. U tu bi svrhu nadzorna tijela trebala surađivati jedna s drugima te s Komisijom.

(76)

Nadzornom tijelu koje je već uspostavljeno u okviru Uredbe (EU) 2016/679 države članice mogu povjeriti odgovornost za zadaće koje trebaju provoditi nacionalna nadzorna tijela koja se trebaju uspostaviti u skladu s ovom Direktivom.

(77)

Državama članicama trebalo bi dopustiti uspostavljanje više od jednog nadzornog tijela kako bi se odrazila njihova ustavna, organizacijska i administrativna struktura. Svako nadzorno tijelo trebalo bi imati na raspolaganju financijske i ljudske resurse, prostorije i infrastrukturu, koji su potrebni za djelotvorno izvršavanje njihovih zadaća, uključujući zadaće povezane s uzajamnom pomoći i suradnjom s drugim nadzornim tijelima u cijeloj Uniji. Svako nadzorno tijelo trebalo bi imati odvojeni, javni godišnji proračun koji može biti dio ukupnog državnog ili nacionalnog proračuna.

(78)

Nadzorna tijela trebalo bi podvrgnuti neovisnim mehanizmima kontrole ili praćenja u vezi s njihovim financijskim izdacima, pod uvjetom da ta financijska kontrola ne utječe na njihovu neovisnost.

(79)

Opći uvjeti za člana ili članove nadzornog tijela trebali bi biti propisani pravom države članice i posebno bi trebali osiguravati da te članove imenuju parlament, vlada ili šef države dotične države članice na temelju prijedloga vlade, člana vlade, parlamenta ili doma parlamenta, ili neovisno tijelo kojem je pravom države članice povjereno imenovanje putem transparentnog postupka. Radi osiguravanja neovisnosti nadzornog tijela član ili članovi trebali bi se ponašati pošteno, suzdržavati od svake radnje koja nije u skladu s njihovim dužnostima i ne bi se smjeli tijekom obavljanja mandata baviti bilo kakvom djelatnošću koja nije sukladna s tom funkcijom, bez obzira na to je li ona plaćena ili ne. Kako bi se osigurala neovisnost nadzornog tijela, nadzorno tijelo trebalo bi odabrati osoblje, što može uključivati intervenciju neovisnog tijela kojemu je taj zadatak povjeren pravom države članice.

(80)

Iako se ova Direktiva također primjenjuje na aktivnosti nacionalnih sudova i drugih pravosudnih tijela, nadležnost nadzornih tijela ne bi smjela obuhvaćati obradu osobnih podataka kada sudovi djeluju u okviru svoje sudske nadležnosti kako bi se zaštitila neovisnost sudaca u provođenju njihovih sudskih zadaća. To bi izuzeće trebalo ograničiti na pravosudne aktivnosti u sudskim postupcima i ne primjenjivati ga na ostale aktivnosti u koje bi se suci u skladu s pravom države članice mogli uključiti. Države članice također bi trebale imati mogućnost osigurati da nadležnost nadzornog tijela ne obuhvaća obradu osobnih podataka drugih neovisnih pravosudnih tijela kada djeluju u okviru svoje sudske nadležnosti, primjerice ureda javnog tužitelja. U svakom slučaju, usklađenost sudova i drugih neovisnih pravosudnih tijela s pravilima ove Direktive uvijek podliježe neovisnom nadzoru u skladu s člankom 8. stavkom 3. Povelje.

(81)

Svako nadzorno tijelo trebalo bi rješavati pritužbe koje podnese bilo koji ispitanik te bi trebalo istražiti slučaj ili ga proslijediti nadležnom nadzornom tijelu. Nakon pritužbe trebalo bi provesti istragu, koja podliježe sudskom preispitivanju, u onoj mjeri koja je u određenom slučaju prikladna. Nadzorno tijelo trebalo bi u razumnom roku izvijestiti ispitanika o napretku i ishodu pritužbe. Ako slučaj zahtijeva dodatnu istragu ili koordinaciju s drugim nadzornim tijelom, ispitaniku bi trebalo pružiti privremene informacije.

(82)

Kako bi se osigurao učinkovit, pouzdan i dosljedan nadzor sukladnosti s ovom Direktivom i njezine provedbe u cijeloj Uniji na temelju UFEU-a, kako ga tumači Sud, nadzorna tijela trebala bi u svakoj državi članici imati iste zadaće i stvarne ovlasti, među ostalim istražne, korektivne i savjetodavne ovlasti koje su im potrebne za obavljanje njihovih zadaća. Međutim, njihovim ovlastima ne bi se smjela ometati posebna pravila za kazneni postupak, uključujući istragu i progon kaznenih dijela, ili neovisnost pravosuđa. Ne dovodeći u pitanje ovlasti tijelâ kaznenog progona na temelju prava države članice, nadzorna tijela također bi trebala imati ovlast za obavješćivanje pravosudnih tijela o kršenjima ove Direktive ili za vođenje pravnih postupaka. Ovlasti nadzornih tijela trebale bi se izvršavati u skladu s primjerenim postupovnim zaštitnim mjerama utvrđenima u pravu Unije i pravu države članice nepristrano, pošteno i u razumnom roku. Posebno bi svaka mjera trebala biti primjerena, potrebna i proporcionalna cilju osiguravanja sukladnosti s ovom Direktivom, uzimajući u obzir okolnosti svakog pojedinačnog slučaja, poštovanje prava svake osobe da se sasluša prije poduzimanja bilo koje pojedinačne mjere koja bi štetno utjecala na nju te izbjegavanje suvišnih troškova i prekomjernih neugodnosti za dotičnu osobu. Istražne ovlasti u pogledu pristupa objektima trebale bi se izvršavati u skladu s posebnim zahtjevima prava države članice, poput zahtjeva za dobivanje prethodnog sudskog ovlaštenja. Donošenje pravno obvezujuće odluke trebalo bi podlijegati sudskom preispitivanju u državi članici nadzornog tijela koje je donijelo odluku.

(83)

Nadzorna tijela trebala bi jedna drugima pomagati u obavljanju zadaća i pružati si uzajamnu pomoć kako bi zajamčila dosljednu primjenu i provedbu odredaba donesenih na temelju ove Direktive.

(84)

Odbor bi trebao doprinositi dosljednoj primjeni ove Direktive u cijeloj Uniji, što uključuje savjetovanje Komisije i promicanje suradnje među nadzornim tijelima u cijeloj Uniji.

(85)

Svaki bi ispitanik trebao imati pravo podnijeti pritužbu jednom nadzornom tijelu i imati pravo na učinkovit pravni lijek u skladu s člankom 47. Povelje o temeljnim pravima ako ispitanik smatra da su prekršena njegova prava prema odredbama donesenima na temelju ove Direktive ili ako nadzorno tijelo ne postupi po pritužbi, odbaci ili odbije,u cijelosti ili djelomično, ili ne postupi kada je takvo postupanje potrebno u svrhu zaštite prava ispitanika. Slijedom pritužbe, trebalo bi provesti istragu, koja podliježe sudskom preispitivanju, u onoj mjeri koja je u određenom slučaju prikladna. Nadležno nadzorno tijelo trebalo bi u razumnom roku izvijestiti ispitanika o napretku i ishodu pritužbe. Ako slučaj zahtijeva dodatnu istragu ili koordinaciju s drugim nadzornim tijelom, ispitaniku bi trebalo pružiti privremene informacije. Kako bi se olakšalo podnošenje pritužbi, svako nadzorno tijelo trebalo bi poduzeti mjere poput osiguranja obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući ostala sredstva komunikacije.

(86)

Svaka fizička ili pravna osoba trebala bi imati pravo na učinkovit pravni lijek pred nadležnim nacionalnim sudom protiv odluke nadzornog tijela kojom se proizvode pravni učinci u vezi s tom osobom. Takva se odluka posebno odnosi na provedbu istražnih, korektivnih i autorizacijskih ovlasti nadzornog tijela ili odbacivanje ili odbijanje pritužaba. To pravo međutim ne obuhvaća druge mjere nadzornih tijela koje nisu pravno obvezujuće poput mišljenja ili savjeta koja je dalo nadzorno tijelo. Postupci protiv nadzornog tijela trebali bi se pokrenuti pred sudovima države članice u kojoj nadzorno tijelo ima poslovni nastan te bi se trebali voditi u skladu s pravom te države članice. Ti sudovi trebali bi imati punu nadležnost koja bi trebala obuhvaćati nadležnost za ispitivanje svih činjeničnih i pravnih pitanja bitnih za spor.

(87)

Ako ispitanik smatra da su prekršena njegova prava iz ove Direktive, trebao bi imati pravo ovlastiti tijelo, čiji je cilj zaštititi prava i interese ispitanikâ u vezi sa zaštitom njihovih osobnih podataka i koje je osnovano u skladu s pravom države članice, da podnese pritužbu u njegovo ime nadzornom tijelu i da ostvari pravo na pravni lijek. Pravo na zastupanje ispitanika ne bi trebalo dovesti u pitanje postupovno pravo države članice kojim se može zahtijevati da ispitanike pred nacionalnim sudovima obavezno zastupa odvjetnik, kako je definirano u Direktivi Vijeća77/249/EEZ (10).

(88)

Svaku štetu koju osoba može pretrpjeti uslijed obrade kojom se krše odredbe donesene na temelju ove Direktive trebao bi nadoknaditi voditelj obrade ili bilo koje drugo tijelo nadležno u skladu s pravom države članice. Pojam štete trebalo bi široko tumačiti s obzirom na sudsku praksu Suda tako da se u potpunosti odražavaju ciljevi ove Direktive. Time se ne dovode u pitanje zahtjevi za naknadu štete koji proizlaze iz kršenja drugih pravila Unije ili prava države članice. Pri upućivanju na obradu koja je nezakonita ili krši odredbe donesene na temelju ove Direktive, to upućivanje također obuhvaća obradu kojom se krše provedbeni akti doneseni na temelju ove Direktive. Ispitanici bi trebali dobiti punu i djelotvornu naknadu za štetu koju su pretrpjeli.

(89)

Svakoj fizičkoj ili pravnoj osobi koja krši ovu Direktivu, neovisno o tome podliježe li privatnom ili javnom pravu, trebalo bi izreći sankcije. Države članice trebale bi osigurati da su sankcije učinkovite, proporcionalne i odvraćajuće te bi trebale poduzeti sve mjere za njihovu provedbu.

(90)

Radi osiguranja jedinstvenih uvjeta za provedbu ove Direktive, Komisiji bi se trebale dodijeliti provedbene ovlasti za: primjerenu razinu zaštite koju pruža treća zemlja, područje ili posebni sektor unutar treće zemlje ili međunarodna organizacija i format i postupke za uzajamnu pomoć i aranžmane za razmjenu informacija elektroničkim putem između nadzornih tijela te između nadzornih tijela i Odbora. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (11).

(91)

Za donošenje provedbenih akata o odgovarajućoj razini zaštite koju pruža treća zemlja ili područje ili posebni sektor unutar te treće zemlje ili međunarodna organizacija; format i postupke za uzajamnu pomoć i sustave razmjene informacija elektroničkim putem između nadzornih tijela te između nadzornih tijela i Odbora trebalo bi primjenjivati postupak ispitivanja, s obzirom na to da ti akti imaju opće područje primjene.

(92)

Komisija bi trebala donijeti provedbene akte koji se odmah primjenjuju kada,u opravdanim slučajevima povezanima s trećom zemljom, područjem ili posebnim sektorom unutar treće zemlje ili međunarodnom organizacijom koji više ne osiguravaju odgovarajuću razinu zaštite, to zahtijevaju krajnje hitni razlozi.

(93)

S obzirom na to da ciljeve ove Direktive, a to su zaštita temeljnih prava i sloboda pojedinaca, posebno njihova prava na zaštitu osobnih podataka i osiguravanje slobodne razmjene osobnih podataka među nadležnim tijelima unutar Unije, ne mogu dostatno ostvariti države članice, nego se zbog opsega ili učinka djelovanja oni na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. UEU-a. U skladu s načelom proporcionalnosti utvrđenim tom članku, ova Direktiva ne prelazi ono što je potrebno za ostvarivanje tih ciljeva.

(94)

Posebne odredbe akata Unije donesenih u području pravosudne suradnje u kaznenim stvarima i policijske suradnje koje su donesene prije datuma donošenja ove Direktive, kojima se uređuje obrada osobnih podataka između država članica ili pristup imenovanih tijela država članica informacijskim sustavima uspostavljenima u skladu s Ugovorima, trebale bi ostati nepromijenjene, kao što su, na primjer, posebne odredbe o zaštiti osobnih podataka koje se primjenjuju u skladu s Odlukom Vijeća 2008/615/PUP (12) ili članak 23. Konvencije o uzajamnoj pravnoj pomoći u kaznenim stvarima među državama članicama Europske unije. (13) Budući da se člankom 8. Povelje i člankom 16. UFEU-a zahtijeva da se temeljno pravo na zaštitu osobnih podataka treba osigurati na dosljedan način širom Unije, Komisija bi trebala ocijeniti situaciju u pogledu odnosa između ove Direktive i akata donesenih prije datuma donošenja ove Direktive kojima se uređuje obrada osobnih podataka između država članica ili pristup imenovanih tijela država članica informacijskim sustavima uspostavljenima u skladu s Ugovorima kako bi procijenila potrebu za usklađivanjem tih posebnih odredaba s ovom Direktivom. Komisija bi prema potrebi trebala izraditi prijedloge s ciljem osiguravanja dosljednih pravnih pravila koja se odnose na obradu osobnih podataka.

(95)

Kako bi se osigurala sveobuhvatna i dosljedna zaštita osobnih podataka u Uniji, međunarodni sporazumi koje su države članice sklopile prije datuma stupanja na snagu ove Direktive, a koji su u skladu s odgovarajućim pravom Unije primjenjivim prije tog datuma, trebali bi ostati na snazi dok ih se ne izmijeni, zamijeni ili stavi izvan snage.

(96)

Za prenošenje ove Direktive državama članicama trebalo bi se dati razdoblje od najviše dvije godine od datuma njezina stupanja na snagu. Obrade koje su već u tijeku na taj datum trebalo bi uskladiti s ovom Direktivom u roku od dvije godine nakon što ova Direktiva stupi na snagu. Međutim, ako je takva obrada u skladu s pravom Unije koje se primjenjuje prije datuma stupanja na snagu ove Direktive, zahtjevi ove Direktive u pogledu prethodnog savjetovanja s nadzornim tijelom ne bi se trebali primjenjivati na postupke obrade koji su već u tijeku na taj datum, s obzirom da te zahtjeve, zbog same njihove prirode, treba ispuniti prije obrade. Ako se države članice koriste duljim razdobljem provedbe koje istječe sedam godina od stupanja na snagu ove Direktive kako bi ispunile obveze zapisivanja za automatizirane sustave obrade uspostavljene prije datuma tog datuma, voditelj obrade ili izvršitelj obrade trebali bi imati učinkovite metode za dokazivanje zakonitosti obrade podataka, za omogućivanje samopraćenja i za osiguravanje integriteta podataka i sigurnosti podataka, poput zapisa ili drugih oblika evidencije.

(97)

Ovom Direktivom ne dovode se u pitanje pravila o suzbijanju seksualnog zlostavljanja i seksualnog iskorištavanja djece i dječje pornografije kako je utvrđeno Direktivom 2011/93/EU Europskog parlamenta i Vijeća (14).

(98)

Okvirnu odluku 2008/977/PUP stoga bi trebalo staviti izvan snage.

(99)

U skladu s člankom 6.a Protokola br. 21 o stajalištu Ujedinjene Kraljevine i Irske s obzirom na područja slobode, sigurnosti i pravde, priloženog UEU-u i UFEU-u, Ujedinjenu Kraljevinu i Irsku ne obvezuju pravila utvrđena ovom Direktivom koja se odnose na obradu osobnih podataka od strane država članica pri obavljanju djelatnosti koje su obuhvaćene dijelom trećim glavom V. poglavljem 4. ili poglavljem 5. UFEU-a ako Ujedinjenu Kraljevinu i Irsku ne obvezuju pravila koja uređuju oblike pravosudne suradnje u kaznenim stvarima ili policijske suradnje za koja se traži usklađenost s odredbama utvrđenima na temelju članka 16. UFEU-a.

(100)

U skladu s člancima 2. i 2.a Protokola br. 22 o stajalištu Danske, priloženog UEU-u i UFEU-u, Dansku ne obvezuju pravila utvrđena ovom Direktivom niti ona podliježe primjeni tih pravila koja se odnose na obradu osobnih podataka od strane država članica pri obavljanju djelatnosti koje su obuhvaćene dijelom trećim glavom V. poglavljem 4. ili poglavljem 5. UFEU-a. S obzirom na to da se ova Direktiva temelji na schengenskoj pravnoj stečevini u skladu s dijelom trećim glavom V. UFEU-a, Danska u skladu s člankom 4. tog protokola u roku od šest mjeseci nakon donošenja ove Direktive odlučuje hoće li je provesti u svojem nacionalnom pravu.

(101)

U pogledu Islanda i Norveške ova Direktiva predstavlja razvoj odredaba schengenske pravne stečevine, u smislu Sporazuma između Vijeća Europske Unije i Republike Islanda i Kraljevine Norveške o pridruživanju tih dviju država provedbi, primjeni i razvoju schengenske pravne stečevine (15).

(102)

U pogledu Švicarske ova Direktiva predstavlja razvoj odredaba schengenske pravne stečevine, u smislu Sporazuma između Europske Unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju schengenske pravne stečevine (16).

(103)

U pogledu Lihtenštajna ova Direktiva predstavlja razvoj odredaba schengenske pravne stečevine, u smislu Protokola između Europske unije, Europske zajednice, Švicarske Konfederacije i Kneževine Lihtenštajna o pristupanju Kneževine Lihtenštajna Sporazumu između Europske unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju schengenske pravne stečevine (17).

(104)

Ovom Direktivom poštuju se temeljna prava i uvažavaju načela priznata Poveljom, kako je utvrđeno u UFEU-u, a posebno pravo na poštovanje privatnog i obiteljskog života, pravo na zaštitu osobnih podataka, pravo na učinkoviti pravni lijek i na pošteno suđenje. Ograničenja tih prava u skladu su s člankom 52. stavkom 1. Povelje jer su potrebna za ostvarivanje ciljeva od općeg interesa koje priznaje Unija ili potrebe za zaštitom prava i sloboda drugih.

(105)

U skladu sa Zajedničkom političkom izjavom država članica i Komisije od 28. rujna 2011. o dokumentima s objašnjenjima, države članice obvezale su se da će u opravdanim slučajevima uz obavijest o svojim mjerama za prenošenje priložiti jedan ili više dokumenata u kojima se objašnjava veza između sastavnih dijelova direktive i odgovarajućih dijelova nacionalnih mjera za prenošenje. U pogledu ove Direktive zakonodavac smatra da je prijenos takvih dokumenata opravdan.

(106)

Izvršeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 28. stavkom 2. Uredbe (EZ) br. 45/2001 te je dao mišljenje 7. ožujka 2012. (18).

(107)

Ovom se Direktivom ne bi smjelo sprečavati države članice da u nacionalna pravila o kaznenom postupku uvedu ostvarivanje prava ispitanikâ na informacije, pristup i ispravak ili brisanje osobnih podataka te ograničavanje obrade tijekom kaznenog postupka, kao i moguća ograničenja tih prava,

(a)

štite temeljna prava i slobode pojedinaca, a posebno njihovo pravo na zaštitu osobnih podataka; i

(b)

osiguravaju da se razmjena osobnih podataka među nadležnim tijelima unutar Unije, kada se takva razmjena zahtijeva pravom Unije ili pravom države članice, ne ograniči niti zabrani iz razloga povezanih sa zaštitom pojedinaca u pogledu obrade osobnih podataka.

(a)

tijekom djelatnosti koja nije obuhvaćena opsegom prava Unije;

(b)

koju obavljaju institucije, tijela, uredi i agencije Unije.

1.

„osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi „ispitanik”; pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

2.

„obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

3.

„ograničavanje obrade” znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti;

4.

„izrada profila” znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;

5.

„pseudonimizacija” znači obrada osobnih podataka na način da se podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;

6.

„sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

7.

„nadležno tijelo” znači:

8.

„voditelj obrade” znači nadležno tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se odrediti pravom Unije ili pravom države članice;

9.

„izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;

10.

„primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u sladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade;

11.

„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;

12.

„genetski podaci” znači svi osobni podaci koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca;

13.

„biometrijski podaci” znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci;