Accept Refuse

EUR-Lex Access to European Union law

This document is an excerpt from the EUR-Lex website

Document 32016R0679R(02)

Popravek Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016)

OJ L 127, 23.5.2018, p. 2–13 (HR, NL)
OJ L 127, 23.5.2018, p. 3–7 (ES, ET, GA)
OJ L 127, 23.5.2018, p. 2–19 (SL)
OJ L 127, 23.5.2018, p. 2–8 (DE)
OJ L 127, 23.5.2018, p. 2–5 (BG, DA, EN, LV, LT, MT, PT, SK, FI)
OJ L 127, 23.5.2018, p. 2–7 (CS, RO)
OJ L 127, 23.5.2018, p. 2–9 (PL)
OJ L 127, 23.5.2018, p. 2–15 (SV)
OJ L 127, 23.5.2018, p. 3–18 (IT)
OJ L 127, 23.5.2018, p. 2–6 (EL, FR, HU)

ELI: http://data.europa.eu/eli/reg/2016/679/corrigendum/2018-05-23/oj

23.5.2018   

SL

Uradni list Evropske unije

L 127/2


Popravek Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)

( Uradni list Evropske unije L 119 z dne 4. maja 2016 )

Izraz „sedež“ se nadomesti z „ustanovitev“ v celotnem besedilu Uredbe in stavki se temu primerno jezikovno prilagodijo.

Izraz „kršitev varstva osebnih podatkov“ se nadomesti s „kršitev varnosti osebnih podatkov“ v celotnem besedilu Uredbe in stavki se temu primerno jezikovno prilagodijo.

Izraz „potrjevanje“ se nadomesti s „certificiranje“ v celotnem besedilu Uredbe in stavki se temu primerno jezikovno prilagodijo.

Stran 3, uvodna izjava 18, prvi stavek:

besedilo:

„Ta uredba se ne uporablja za obdelavo osebnih podatkov s strani fizične osebe v okviru izključno osebne ali domače dejavnosti ter s tem brez povezave s poklicno ali komercialno dejavnostjo.“

se glasi:

„Ta uredba se ne uporablja za obdelavo osebnih podatkov s strani fizične osebe v okviru popolnoma osebne ali domače dejavnosti ter s tem brez povezave s poklicno ali komercialno dejavnostjo.“

Stran 6, uvodna izjava 32, prvi stavek:

besedilo:

„(32)

Privolitev bi morala biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje k obdelavi osebnih podatkov v zvezi z njim, kot je s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo. […]“

se glasi:

„(32)

Privolitev bi morala biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, konkretno, ozaveščeno in nedvoumno izrazil strinjanje z obdelavo osebnih podatkov v zvezi z njim, kot je s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo. […]“.

Stran 6, uvodna izjava 34:

besedilo:

„(34)

Genetski podatki bi morali biti opredeljeni kot osebni podatki, povezani s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki izhajajo iz analize biološkega vzorca zadevnega posameznika, zlasti analize kromosomov, deoksiribonukleinske kisline (DNK) ali ribonukleinske kisline (RNK) ali analize drugega elementa, ki zagotavlja enakovredne informacije.“

se glasi:

„(34)

Genski podatki bi morali biti opredeljeni kot osebni podatki, povezani s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki izhajajo iz analize biološkega vzorca zadevnega posameznika, zlasti analize kromosomov, deoksiribonukleinske kisline (DNK) ali ribonukleinske kisline (RNK) ali analize drugega elementa, ki zagotavlja enakovredne informacije.“

Stran 6, uvodna izjava 35, drugi stavek:

besedilo:

„(35)

[…] v zdravstvene namene; informacije, pridobljene s testiranjem ali preiskavo dela telesa ali telesne snovi, vključno z informacijami, pridobljenimi iz genetskih podatkov in bioloških vzorcev, in vse informacije o, na primer, bolezni, invalidnosti, tveganju za nastanek bolezni, […]“

se glasi:

„(35)

[…] v zdravstvene namene; informacije, pridobljene s testiranjem ali preiskavo dela telesa ali telesne snovi, vključno z informacijami, pridobljenimi iz genskih podatkov in bioloških vzorcev, in vse informacije o, na primer, bolezni, invalidnosti, tveganju za nastanek bolezni, […]“.

Stran 7, uvodna izjava 39, četrti stavek:

besedilo:

„(39)

[…] To načelo zadeva zlasti informacije za posameznike, na katere se nanašajo osebni podatki, o istovetnosti upravljavca in namenih obdelave ter dodatne informacije za zagotovitev poštene in pregledne obdelave glede zadevnih posameznikov in njihove pravice do pridobitve potrditve in sporočila o obdelavi osebnih podatkov v zvezi z njimi. […]“

se glasi:

„(39)

[…] To načelo zadeva zlasti informacije za posameznike, na katere se nanašajo osebni podatki, o identiteti upravljavca in namenih obdelave ter dodatne informacije za zagotovitev poštene in pregledne obdelave glede zadevnih posameznikov in njihove pravice do pridobitve potrditve in sporočila o obdelavi osebnih podatkov v zvezi z njimi. […]“.

Stran 11, uvodna izjava 53, predzadnji stavek:

besedilo:

„(53)

[…] Države članice bi morale imeti možnost, da ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genetskih podatkov, biometričnih podatkov ali podatkov o zdravstvenem stanju. […]“

se glasi:

„(53)

[…] Države članice bi morale imeti možnost, da ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genskih podatkov, biometričnih podatkov ali podatkov o zdravstvenem stanju. […]“.

Stran 119, uvodna izjava 66, prvi stavek:

besedilo:

„(66)

Za učinkovitejše uresničevanje pravice do pozabe v spletnem okolju bi bilo treba pravico do izbrisa razširiti tako, da bi zahtevali, da upravljavec, ki je osebne podatke objavil, sprejme razumne, tudi tehnične, ukrepe, da obvesti upravljavce, ki take osebne podatke obdelujejo, da je posameznik, na katerega se nanašajo osebni podatki, zahteval izbris vseh povezav do teh osebnih podatkov ali kopij teh osebnih podatkov. […]“

se glasi:

„(66)

Za okrepitev pravice do pozabe v spletnem okolju bi bilo treba pravico do izbrisa razširiti tako, da bi zahtevali, da mora upravljavec, ki je osebne podatke dal v javnost, obvestiti upravljavce, ki take osebne podatke obdelujejo, da izbrišejo vse povezave do teh osebnih podatkov ali kopije ali ponovitve teh osebnih podatkov. […]“.

Stran 14, uvodna izjava 71, peti in šesti stavek:

besedilo:

„(71)

[…] Taki ukrepi ne bi smeli zadevati otroka.

Da bi upravljavec ob upoštevanju posebnih okoliščin in okvira, v katerih se osebni podatki obdelujejo, zagotovil pošteno in pregledno obdelavo osebnih podatkov za posameznika, na katerega se osebni podatki nanašajo, bi moral uporabiti ustrezne matematične ali statistične postopke za oblikovanje profilov, izvajati tehnične in organizacijske ukrepe, s katerimi bi na ustrezen način zagotovil zlasti, da se dejavniki, ki povzročijo netočnost osebnih podatkov, popravijo in tveganje napak čim bolj zmanjša, zavarovati osebne podatke tako, da se upoštevajo morebitne nevarnosti, povezane z interesi in pravicami posameznika, na katerega se nanašajo osebni podatki, ter da se preprečijo tudi diskriminatorne posledice za posameznike na podlagi rasnega ali etničnega porekla, političnega mnenja, vere ali prepričanja, članstva v sindikatu, genetskega ali zdravstvenega stanja, spolne usmerjenosti ali učinki, ki privedejo do ukrepov, ki imajo takšne posledice.“

se glasi:

„(71)

[…] Taki ukrepi ne bi smeli zadevati otroka. Da bi upravljavec ob upoštevanju posebnih okoliščin in okvira, v katerih se osebni podatki obdelujejo, zagotovil pošteno in pregledno obdelavo osebnih podatkov za posameznika, na katerega se osebni podatki nanašajo, bi moral uporabiti ustrezne matematične ali statistične postopke za oblikovanje profilov, izvajati tehnične in organizacijske ukrepe, s katerimi bi na ustrezen način zagotovil zlasti, da se dejavniki, ki povzročijo netočnost osebnih podatkov, popravijo in tveganje napak čim bolj zmanjša, zavarovati osebne podatke tako, da se upoštevajo morebitne nevarnosti, povezane z interesi in pravicami posameznika, na katerega se nanašajo osebni podatki, ter preprečiti, med drugim, diskriminatorne posledice za posameznike na podlagi rasnega ali etničnega porekla, političnega mnenja, vere ali prepričanja, članstva v sindikatu, genetskega ali zdravstvenega stanja, spolne usmerjenosti, ali obdelavo, ki privede do ukrepov, ki imajo takšne posledice.“

Stran 14, uvodna izjava 74, drugi stavek:

besedilo:

„(74)

[…] Upravljavec bi moral zlasti izvajati ustrezne in učinkovite ukrepe ter biti zmožen dokazati skladnost dejavnosti obdelave s to direktivo, vključno z učinkovitostjo ukrepov. […]“

se glasi:

„(74)

[…] Upravljavec bi moral zlasti izvajati ustrezne in učinkovite ukrepe ter biti zmožen izkazati skladnost dejavnosti obdelave s to uredbo, vključno z učinkovitostjo ukrepov. […]“.

Stran 15, uvodna izjava 75:

besedilo:

„(75)

[…] ki razkrivajo rasno ali etnično poreklo, politična mnenja, veroizpoved ali filozofsko prepričanje ali članstvo v sindikatu, ter obdelovanje genetskih podatkov ali podatkov v zvezi z zdravjem ali podatkov v zvezi s spolnim življenjem ali […]“

se glasi:

„(75)

[…] ki razkrivajo rasno ali etnično poreklo, politična mnenja, veroizpoved ali filozofsko prepričanje ali članstvo v sindikatu, ter obdelovanje genskih podatkov ali podatkov v zvezi z zdravjem ali podatkov v zvezi s spolnim življenjem ali […]“.

Stran 15, uvodna izjava 78, drugi stavek:

besedilo:

„(78)

[…] Da bi upravljavec lahko dokazal skladnost s to direktivo, bi moral sprejeti notranjo ureditev in izvesti ukrepe, ki spoštujejo zlasti načeli vgrajenega in privzetega varstva podatkov. […]“

se glasi:

„(78)

[…] Da bi upravljavec lahko izkazal skladnost s to uredbo, bi moral sprejeti notranjo ureditev in izvesti ukrepe, ki spoštujejo zlasti načeli vgrajenega in privzetega varstva podatkov. […]“.

Stran 16, uvodna izjava 81, drugi stavek:

besedilo:

„(81)

[…] Zavezanost obdelovalca k odobrenemu kodeksu ravnanja ali odobrenemu mehanizmu potrjevanja se lahko uporabi kot dokaz za izpolnjevanje obveznosti upravljavca. […]“

se glasi:

„(81)

[…] Zavezanost obdelovalca k odobrenemu kodeksu ravnanja ali odobrenemu mehanizmu potrjevanja se lahko uporabi kot element za izkazovanje izpolnjevanja obveznosti upravljavca. […]“.

Stran 16, uvodna izjava 85:

besedilo:

„(85)

Kršitev varstva osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnim posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo, kot je izguba nadzora nad njihovimi osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja ali zloraba identitete, finančna izguba, neodobrena reverzija psevdonimizacije, okrnitev ugleda, izguba zaupnosti osebnih podatkov, zaščitenih s poklicno skrivnostjo, ali katera koli druga znatna gospodarska ali socialna škoda. V primeru kršitve varstva osebnih podatkov bi moral upravljavec zato o njej uradno obvestiti nadzorni organ brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, razen če lahko upravljavec v skladu z načelom odgovornosti dokaže, da ni verjetno, da bi kršitev varstva osebnih podatkov ogrožala pravice in svoboščine posameznikov. Kadar ni mogoče uradno obvestiti v 72 urah, bi bilo treba uradnemu obvestilu priložiti razloge za zamudo, informacije pa se lahko zagotovijo postopoma in brez nadaljnjega nepotrebnega odlašanja.“

se glasi:

„(85)

Kršitev varnosti osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnim posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo, kot je izguba nadzora nad njihovimi osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja ali zloraba identitete, finančna izguba, neodobrena reverzija psevdonimizacije, okrnitev ugleda, izguba zaupnosti osebnih podatkov, zaščitenih s poklicno skrivnostjo, ali katera koli druga znatna gospodarska ali socialna škoda. V primeru kršitve varnosti osebnih podatkov bi moral upravljavec zato o njej obvestiti nadzorni organ brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, razen če lahko upravljavec v skladu z načelom odgovornosti dokaže, da ni verjetno, da bi kršitev varstva osebnih podatkov ogrožala pravice in svoboščine posameznikov. Kadar ni mogoče obvestiti v 72 urah, bi bilo treba obvestilu priložiti razloge za zamudo, informacije pa se lahko zagotovijo postopoma in brez nadaljnjega nepotrebnega odlašanja.“

Stran 17, uvodna izjava 89, drugi stavek:

besedilo:

„(89)

[…] Ta obveznost prinaša upravna in finančna bremena, ni pa v vseh primerih pripomogla k izboljšanju varstva osebnih podatkov. […]“

se glasi:

„(89)

[…] Ta obveznost prinaša administrativna in finančna bremena, ni pa v vseh primerih pripomogla k izboljšanju varstva osebnih podatkov. […]“.

Stran 26, uvodna izjava 142, prvi stavek:

besedilo:

„(142)

Kadar posameznik, na katerega se nanašajo osebni podatki, meni, da so bile kršene njegove pravice iz te uredbe, bi moral imeti pravico, da pooblasti telo, organizacijo ali združenje, ki je nepridobitne narave, ustanovljeno v skladu s pravom države članice, katerega statutarno določeni cilji so v javnem interesu ter je dejavno na področju varstva osebnih podatkov, da v njegovem imenu vloži pritožbo pri nadzornem organu, uveljavlja pravico do pravnega sredstva v imenu posameznikov, na katere se nanašajo osebni podatki, ali, če je tako določeno v pravu države članice, uveljavlja pravico do odškodnine v imenu posameznikov, na katere se nanašajo osebni podatki. […]“

se glasi:

„(142)

Kadar posameznik, na katerega se nanašajo osebni podatki, meni, da so bile kršene njegove pravice iz te uredbe, bi moral imeti pravico, da pooblasti telo, organizacijo ali združenje, ki je nepridobitne narave, ustanovljeno v skladu s pravom države članice, katerega s pravnimi akti določeni cilji so v javnem interesu ter je dejavno na področju varstva osebnih podatkov, da v njegovem imenu vloži pritožbo pri nadzornem organu, uveljavlja pravico do pravnega sredstva v imenu posameznikov, na katere se nanašajo osebni podatki, ali, če je tako določeno v pravu države članice, uveljavlja pravico do odškodnine v imenu posameznikov, na katere se nanašajo osebni podatki. […]“.

Stran 24, uvodna izjava 129, četrti stavek:

besedilo:

„(129)

[…] Pooblastila nadzornih organov bi bilo treba izvajati nepristransko, pravično in v razumnem roku v skladu z ustreznimi postopkovnimi zaščitnimi ukrepi, določenimi v pravu Unije in pravu držav članic. […]“

se glasi:

„(129)

[…] Pooblastila nadzornih organov bi bilo treba izvajati nepristransko, pošteno in v razumnem roku v skladu z ustreznimi postopkovnimi zaščitnimi ukrepi, določenimi v pravu Unije in pravu držav članic. […]“.

Stran 32, člen 2(1):

besedilo:

„1.   Ta uredba se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke.“

se glasi:

„1.   Ta uredba se uporablja za obdelavo osebnih podatkov, ki se v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se ne izvaja z avtomatiziranimi sredstvi.“

Stran 33, člen 3(2), točka (b):

besedilo:

„(b)

s spremljanjem njihovega vedenja, kolikor to poteka v Uniji.“

se glasi:

„(b)

s spremljanjem njihovega vedenja, kolikor to vedenje poteka v Uniji.“

Stran 33, člen 4, točka 11:

besedilo:

„(11)

‚privolitev posameznika, na katerega se nanašajo osebni podatki‘ pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;“

se glasi:

„(11)

‚privolitev‘ posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj;“.

Stran 34, člen 4, točka 13:

besedilo:

„(13)

‚genetski podatki‘ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;“

se glasi:

„(13)

‚genski podatki‘ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;“.

Stran 35, člen 5(1):

besedilo:

„1.   Osebni podatki so:

(a)

obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (‚zakonitost, pravičnost in preglednost‘);

(b)

zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) ne velja za nezdružljivo s prvotnimi nameni (‚omejitev namena‘);

(c)

ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (‚najmanjši obseg podatkov‘);

(d)

točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo (‚točnost‘);

(e)

hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki (‚omejitev shranjevanja‘);

(f)

obdelujejo se na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (‚celovitost in zaupnost‘).“

se glasi:

„1.   Osebni podatki morajo biti:

(a)

obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (‚zakonitost, poštenost in preglednost‘);

(b)

zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) ne velja za nezdružljivo s prvotnimi nameni (‚omejitev namena‘);

(c)

ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo (‚najmanjši obseg podatkov‘);

(d)

točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo (‚točnost‘);

(e)

hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko hranijo daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki (‚omejitev hrambe‘);

(f)

obdelani na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (‚celovitost in zaupnost‘).“

Stran 36, člen 6(3), drugi pododstavek, prvi stavek:

besedilo:

„Namen obdelave se določi v navedeni pravni podlagi ali pa je ta v primeru obdelave iz točke (e) odstavka 1 potrebna za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu. […]“

se glasi:

„Namen obdelave se določi v navedeni pravni podlagi ali pa je v primeru obdelave iz točke (e) odstavka 1 potreben za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu. […]“.

Stran 37, člen 6(4), uvodno besedilo:

besedilo:

„4.   Kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na pravu Unije ali pravu države članice, kar predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz člena 23(1), upravljavec, da bi ocenil, ali je obdelava za drug namen združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, med drugim upošteva: […]“

se glasi:

„4.   Kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na pravu Unije ali pravu države članice, ki predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz člena 23(1), upravljavec, da bi ocenil, ali je obdelava za drug namen združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, med drugim upošteva: […]“.

Stran 38, člen 8(2):

besedilo:

„2.   Upravljavec si ob upoštevanju razpoložljive tehnologije v takih primerih razumno prizadeva za preveritev, ali je nosilec starševske odgovornosti za otroka dal ali odobril privolitev.“

se glasi:

„2.   Upravljavec ob upoštevanju razpoložljive tehnologije v takih primerih vloži razumen napor v preveritev, ali je nosilec starševske odgovornosti za otroka dal ali odobril privolitev.“

Stran 38, člen 9(1):

besedilo:

„1.   Prepovedani sta obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.“

se glasi:

„1.   Prepovedani sta obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.“

Stran 39, člen 9(4):

besedilo:

„4.   Države članice lahko ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genetskih, biometričnih ali podatkov v zvezi z zdravjem.“

se glasi:

„4.   Države članice lahko ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genskih, biometričnih ali podatkov v zvezi z zdravjem.“

Stran 40, člen 12(5), točka (a):

besedilo:

„(a)

zaračuna razumno pristojbino, pri čemer upošteva upravne stroške posredovanja informacij ali sporočila ali izvajanja zahtevanega ukrepa, ali“

se glasi:

„(a)

zaračuna razumno pristojbino, pri čemer upošteva administrativne stroške posredovanja informacij ali sporočila ali izvajanja zahtevanega ukrepa, ali“.

Stran 41, člen 13(2):

besedilo:

„2.   Poleg informacij iz odstavka 1 upravljavec takrat, ko pridobi osebne podatke posamezniku, na katerega se ti nanašajo, zagotovi naslednje dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave:“

se glasi:

„2.   Poleg informacij iz odstavka 1 upravljavec takrat, ko pridobi osebne podatke, posamezniku, na katerega se ti nanašajo, zagotovi naslednje dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave:“.

Stran 41, člen 13(2), točka (e):

besedilo:

„(e)

ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in“

se glasi:

„(e)

ali je zagotovitev osebnih podatkov zakonska ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in“.

Stran 41, člen 14(1), točka (a):

besedilo:

„(a)

istovetnost in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;“

se glasi:

„(a)

identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;“.

Stran 42, člen 14(5), točka (d):

besedilo:

„(d)

morajo osebni podatki ostati zaupni ob upoštevanju obveznosti varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice, vključno s statutarno obveznostjo varovanja skrivnosti.“

se glasi:

„(d)

morajo osebni podatki ostati zaupni ob upoštevanju obveznosti varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice, vključno s predpisanimi obveznostmi varovanja skrivnosti.“

Stran 43, člen 15(3):

besedilo:

„3.   […] Za dodatne kopije, ki jih zahteva posameznik, na katerega se nanašajo osebni podatki, lahko upravljavec zaračuna razumno pristojbino ob upoštevanju upravnih stroškov. […]“

se glasi:

„3.   […] Za dodatne kopije, ki jih zahteva posameznik, na katerega se nanašajo osebni podatki, lahko upravljavec zaračuna razumno pristojbino ob upoštevanju administrativnih stroškov. […]“.

Stran 45, člen 18(3):

besedilo:

„3.   Upravljavec, ki je dosegel omejitev obdelave v skladu z odstavkom 1, pred preklicem omejitve obdelave o tem obvesti posameznika, na katerega se nanašajo osebni podatki.“

se glasi:

„3.   Upravljavec pred preklicem omejitve obdelave o tem obvesti posameznika, na katerega se nanašajo osebni podatki in ki je dosegel omejitev obdelave v skladu z odstavkom 1.“

Stran 45, člen 20(1):

besedilo:

„1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posedoval upravljavcu, v strukturirani […]“

se glasi:

„1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani […]“.

Stran 47, člen 24(3):

besedilo:

„3.   Zavezanost k odobrenim kodeksom ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 se lahko uporabi za dokazovanje izpolnjevanja obveznosti upravljavca.“

se glasi:

„3.   Zavezanost k odobrenim kodeksom ravnanja iz člena 40 ali izvajanje odobrenega mehanizma certificiranja iz člena 42 se lahko uporabi kot element za izkazovanje izpolnjevanja obveznosti upravljavca.“

Stran 48, člen 25(3):

besedilo:

„3.   Odobreni mehanizem potrjevanja v skladu s členom 42 se lahko uporabi za dokazovanje izpolnjevanja obveznosti iz odstavkov 1 in 2 tega člena.“

se glasi:

„3.   Odobreni mehanizem certificiranja v skladu s členom 42 se lahko uporabi kot element za izkazovanje izpolnjevanja obveznosti iz odstavkov 1 in 2 tega člena.“

Stran 48, člen 26(2):

besedilo:

„2.   Dogovor iz odstavka 1 ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznikov, na katere se nanašajo osebni podatki. Vsebina dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki.“

se glasi:

„2.   Dogovor iz odstavka 1 ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznikov, na katere se nanašajo osebni podatki. Bistveno vsebino dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki.“

Stran 50, člen 28(5) in (6):

besedilo:

„5.   Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 s strani obdelovalca se lahko uporabi za dokazovanje zagotavljanja zadostnih jamstev iz odstavkov 1 in 4 tega člena.

6.   Brez poseganja v individualno pogodbo med upravljavcem in obdelovalcem lahko pogodba ali drug pravni akt iz odstavkov 3 in 4 tega člena v celoti ali delno temelji na standardnih pogodbenih določilih iz odstavkov 7 in 8 tega člena, tudi ko so del potrdila, izdanega upravljavcu ali obdelovalcu v skladu s členoma 42 in 43.“

se glasi:

„5.   Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma certificiranja iz člena 42 s strani obdelovalca se lahko uporabi kot element, s katerim se izkaže zagotavljanje zadostnih jamstev iz odstavkov 1 in 4 tega člena.

6.   Brez poseganja v individualno pogodbo med upravljavcem in obdelovalcem lahko pogodba ali drug pravni akt iz odstavkov 3 in 4 tega člena v celoti ali delno temelji na standardnih pogodbenih določilih iz odstavkov 7 in 8 tega člena, tudi ko so del certifikata, izdanega upravljavcu ali obdelovalcu v skladu s členoma 42 in 43.“

Stran 51, člen 30(1), točka (e):

besedilo:

„(e)

kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;“

se glasi:

„(e)

kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;“.

Stran 51, člen 30(2), točka (c):

besedilo:

„(c)

kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;“

se glasi:

„(c)

kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;“.

Stran 51, člen 30(5):

besedilo:

„5.   Obveznosti iz odstavkov 1 in 2 se ne uporabljajo za podjetje ali organizacijo, ki zaposluje manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in ni občasna, ali obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10.“

se glasi:

„5.   Obveznosti iz odstavkov 1 in 2 se ne uporabljajo za podjetje ali organizacijo, ki zaposluje manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, če obdelava ni občasna ali če obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10.“

Stran 52, člen 32(3):

besedilo:

„3.   Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 se lahko uporabi za dokazovanje izpolnjevanja zahtev iz odstavka 1 tega člena.“

se glasi:

„3.   Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma certificiranja iz člena 42 se lahko uporabi kot element, s katerim se izkaže izpolnjevanje zahtev iz odstavka 1 tega člena.“

Stran 52, člen 33:

besedilo:

„Člen 33

Uradno obvestilo nadzornemu organu o kršitvi varstva osebnih podatkov

1.   V primeru kršitve varstva osebnih podatkov upravljavec brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej uradno obvesti pristojni nadzorni organ v skladu s členom 55, razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov. Kadar uradno obvestilo nadzornemu organu ni podano v 72 urah, se mu priloži navedbo razlogov za zamudo.

2.   Obdelovalec po seznanitvi s kršitvijo varstva osebnih podatkov brez nepotrebnega odlašanja uradno obvesti upravljavca.

3.   Uradno obvestilo iz odstavka 1 vsebuje vsaj:

(a)

opis vrste kršitve varstva osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;

(b)

sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;

(c)

opis verjetnih posledic kršitve varstva osebnih podatkov;

(d)

opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.

4.   Kadar in kolikor informacij ni mogoče zagotoviti istočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.

5.   Upravljavec dokumentira vsako kršitev varstva osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varstva osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da preveri skladnost s tem členom.“

se glasi:

„Člen 33

Obvestilo nadzornemu organu o kršitvi varnosti osebnih podatkov

1.   V primeru kršitve varnosti osebnih podatkov upravljavec brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej obvesti pristojni nadzorni organ v skladu s členom 55, razen če ni verjetno, da bi bile s kršitvijo varnosti osebnih podatkov ogrožene pravice in svoboščine posameznikov. Kadar obvestilo nadzornemu organu ni podano v 72 urah, se mu priloži navedbo razlogov za zamudo.

2.   Obdelovalec po seznanitvi s kršitvijo varnosti osebnih podatkov brez nepotrebnega odlašanja obvesti upravljavca.

3.   Obvestilo iz odstavka 1 vsebuje vsaj:

(a)

opis vrste kršitve varnosti osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;

(b)

sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;

(c)

opis verjetnih posledic kršitve varnosti osebnih podatkov;

(d)

opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varnosti osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.

4.   Kadar in kolikor informacij ni mogoče zagotoviti istočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.

5.   Upravljavec dokumentira vsako kršitev varnosti osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varnosti osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da preveri skladnost s tem členom.“

Stran 55, člen 37(1), točka (c):

besedilo:

„(c)

temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10.“

se glasi:

„(c)

temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10.“

Stran 57, člen 40(2), točka (i):

besedilo:

„(i)

uradno obveščanje nadzornih organov o kršitvah varstva osebnih podatkov in obveščanje posameznikov, na katere se nanašajo osebni podatki, o takšnih kršitvah varstva osebnih podatkov;“

se glasi:

„(i)

obveščanje nadzornih organov o kršitvah varnosti osebnih podatkov in obveščanje posameznikov, na katere se nanašajo osebni podatki, o takšnih kršitvah varstva osebnih podatkov;“.

Stran 58, člen 41(1), (2), (3), (4) in (5):

besedilo:

„1.   Brez poseganja v naloge in pooblastila pristojnega nadzornega organa iz členov 57 in 58 lahko spremljanje skladnosti s kodeksom ravnanja v skladu s členom 40 izvaja organ, ki ima ustrezno raven strokovnega znanja v zvezi z vsebino kodeksa in ga je v ta namen pooblastil pristojni nadzorni organ.

2.   Organ iz odstavka 1 se lahko pooblasti za spremljanje skladnosti s kodeksom ravnanja, kadar je ta organ:

(a)

pristojnemu nadzornemu organu zadovoljivo dokazal neodvisnost in strokovno znanje v zvezi z vsebino kodeksa;

(b)

vzpostavil postopke, ki mu omogočajo, da oceni upravičenost zadevnih upravljavcev in obdelovalcev do uporabe kodeksa, da spremlja njihovo skladnost z določbami kodeksa ter da redno pregleduje njegovo delovanje;

(c)

vzpostavil postopke in strukture za obravnavanje pritožb zaradi kršitev kodeksa ali načina, kako je kodeks izvajal ali ga izvaja upravljavec ali obdelovalec, ter za omogočanje preglednosti teh postopkov in struktur za posameznike, na katere se nanašajo osebni podatki, in javnost, in

(d)

pristojnemu nadzornemu organu zadovoljivo dokazal, da zaradi njegovih nalog in dolžnosti ne pride do nasprotja interesov.

3.   Pristojni nadzorni organ osnutek meril za pooblastitev organa iz odstavka 1 tega člena v skladu z mehanizmom za skladnost iz člena 63 predloži odboru.

4.   Brez poseganja v naloge in pooblastila pristojnega nadzornega organa ter določbe poglavja VIII organ iz odstavka 1 tega člena ob ustreznih zaščitnih ukrepih v primerih kršitve kodeksa s strani upravljavca ali obdelovalca sprejme ustrezne ukrepe, vključno z začasno ali dokončno prepovedjo zadevnemu upravljavcu ali obdelovalcu, da uporablja kodeks. O takšnih ukrepih in razlogih zanje obvesti pristojni nadzorni organ.

5.   Pristojni nadzorni organ organu iz odstavka 1 pooblastilo prekliče, če pogoji za pooblastitev niso ali niso več izpolnjeni ali kadar ukrepi, ki jih sprejme organ, kršijo to uredbo.“

se glasi:

„1.   Brez poseganja v naloge in pooblastila pristojnega nadzornega organa iz členov 57 in 58 lahko spremljanje skladnosti s kodeksom ravnanja v skladu s členom 40 izvaja telo, ki ima ustrezno raven strokovnega znanja v zvezi z vsebino kodeksa in ga je v ta namen akreditiral pristojni nadzorni organ.

2.   Telo iz odstavka 1 se lahko akreditira za spremljanje skladnosti s kodeksom ravnanja, kadar je to telo:

(a)

pristojnemu nadzornemu organu zadovoljivo dokazalo neodvisnost in strokovno znanje v zvezi z vsebino kodeksa;

(b)

vzpostavilo postopke, ki mu omogočajo, da oceni upravičenost zadevnih upravljavcev in obdelovalcev do uporabe kodeksa, da spremlja njihovo skladnost z določbami kodeksa ter da redno pregleduje njegovo delovanje;

(c)

vzpostavilo postopke in strukture za obravnavanje pritožb zaradi kršitev kodeksa ali načina, kako je kodeks izvajal ali ga izvaja upravljavec ali obdelovalec, ter za omogočanje preglednosti teh postopkov in struktur za posameznike, na katere se nanašajo osebni podatki, in javnost, in

(d)

pristojnemu nadzornemu organu zadovoljivo dokazalo, da zaradi njegovih nalog in dolžnosti ne pride do nasprotja interesov.

3.   Pristojni nadzorni organ osnutek zahtev za akreditacijo telesa iz odstavka 1 tega člena v skladu z mehanizmom za skladnost iz člena 63 predloži odboru.

4.   Brez poseganja v naloge in pooblastila pristojnega nadzornega organa ter določbe poglavja VIII telo iz odstavka 1 tega člena ob ustreznih zaščitnih ukrepih v primerih kršitve kodeksa s strani upravljavca ali obdelovalca sprejme ustrezne ukrepe, vključno z začasno ali dokončno prepovedjo zadevnemu upravljavcu ali obdelovalcu, da uporablja kodeks. O takšnih ukrepih in razlogih zanje obvesti pristojni nadzorni organ.

5.   Pristojni nadzorni organ organu iz odstavka 1 akreditacijo prekliče, če zahteve za akreditacijo niso ali niso več izpolnjene ali kadar ukrepi, ki jih sprejme telo, kršijo to uredbo.“

Stran 58, člen 42(1), prvi stavek:

besedilo:

„1.   Države članice, nadzorni organi, odbor in Komisija zlasti na ravni Unije spodbujajo vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov za dokazovanje, da so dejanja obdelave s strani upravljavcev in obdelovalcev v skladu s to uredbo. […]“

se glasi:

„1.   Države članice, nadzorni organi, odbor in Komisija zlasti na ravni Unije spodbujajo vzpostavitev mehanizmov certificiranja za varstvo podatkov ter pečatov in označb za varstvo podatkov za izkazovanje, da so dejanja obdelave s strani upravljavcev in obdelovalcev v skladu s to uredbo. […]“.

Stran 59, člen 42(2), prvi stavek:

besedilo:

„2.   Poleg tega, da se mehanizmi potrjevanja, pečate ali označbe za varstvo podatkov, odobrene v skladu z odstavkom 5 tega člena, uporabljajo za upravljavce ali obdelovalce, za katere se uporablja ta uredba, se lahko vzpostavijo tudi za dokazovanje obstoja ustreznih zaščitnih ukrepov, ki jih upravljavci ali obdelovalci, za katere se ta uredba v skladu s členom 3 ne uporablja, zagotavljajo v okviru prenosa osebnih podatkov v tretje države ali mednarodne organizacije v skladu s pogoji iz točke (f) člena 46(2).“

se glasi:

„2.   Poleg tega, da se mehanizmi certificiranja, pečati ali označbe za varstvo podatkov, odobrene v skladu z odstavkom 5 tega člena, uporabljajo za upravljavce ali obdelovalce, za katere se uporablja ta uredba, se lahko vzpostavijo tudi za izkazovanje obstoja ustreznih zaščitnih ukrepov, ki jih upravljavci ali obdelovalci, za katere se ta uredba v skladu s členom 3 ne uporablja, zagotavljajo v okviru prenosa osebnih podatkov v tretje države ali mednarodne organizacije v skladu s pogoji iz točke (f) člena 46(2).“

Stran 59, člen 42(4), (5),(6) in (7):

besedilo:

„4.   Potrdilo v skladu s tem členom ne zmanjšuje odgovornosti upravljavca ali obdelovalca za skladnost s to uredbo ter ne posega v naloge in pooblastila nadzornih organov, ki so pristojni v skladu s členom 55 ali 56.

5.   Potrdilo v skladu s tem členom izdajo organi za potrjevanje iz člena 43 ali pristojni nadzorni organ, in sicer na podlagi meril, ki jih odobri ta pristojni nadzorni organ na podlagi člena 58(3) ali odbor na podlagi člena 63. Kadar merila odobri odbor, je lahko rezultat meril skupno potrjevanje, evropski pečat za varstvo podatkov.

6.   Upravljavec ali obdelovalec, ki svojo obdelavo predloži v mehanizem potrjevanja, organu za potrjevanje iz člena 43 ali, kadar je ustrezno, pristojnemu nadzornemu organu zagotovi vse informacije in dostop do svojih dejavnosti obdelave, ki so potrebni za izvedbo postopka potrjevanja.

7.   Potrdilo se izda upravljavcu ali obdelovalcu za obdobje največ treh let in se pod enakimi pogoji lahko podaljša, če so zadevne zahteve še naprej izpolnjene. Organi za potrjevanje iz člena 43 ali pristojni nadzorni organ, kakor je ustrezno, potrdilo prekličejo, kadar zahteve v zvezi s potrdilom niso ali niso več izpolnjene.“

se glasi:

„4.   Certifikat v skladu s tem členom ne zmanjšuje odgovornosti upravljavca ali obdelovalca za skladnost s to uredbo ter ne posega v naloge in pooblastila nadzornih organov, ki so pristojni v skladu s členom 55 ali 56.

5.   Certifikat v skladu s tem členom izdajo telesa za certificiranje iz člena 43 ali pristojni nadzorni organ, in sicer na podlagi meril, ki jih odobri ta pristojni nadzorni organ na podlagi člena 58(3) ali odbor na podlagi člena 63. Kadar merila odobri odbor, je lahko rezultat meril skupno certificiranje, evropski pečat za varstvo podatkov.

6.   Upravljavec ali obdelovalec, ki svojo obdelavo predloži v mehanizem certificiranja, telesu za certificiranje iz člena 43 ali, kadar je ustrezno, pristojnemu nadzornemu organu zagotovi vse informacije in dostop do svojih dejavnosti obdelave, ki so potrebni za izvedbo postopka certificiranja.

7.   Certifikat se izda upravljavcu ali obdelovalcu za obdobje največ treh let in se pod enakimi pogoji lahko podaljša, če so zadevna merila še naprej izpolnjena. Telesa za certificiranje iz člena 43 ali pristojni nadzorni organ, kakor je ustrezno, certifikat prekličejo, kadar merila v zvezi s certifikatom niso ali niso več izpolnjena.“

Stran 59, člen 43:

besedilo:

„Člen 43

Organi za potrjevanje

1.   Brez poseganja v naloge in pooblastila pristojnega nadzornega organa iz členov 57 in 58 potrdilo izda in podaljša organ za potrjevanje, ki ima ustrezno raven strokovnega znanja v zvezi z varstvom podatkov, in sicer potem, ko obvesti nadzorni organ, da se mu po potrebi dovoli izvajanje pooblastil v skladu s točko (h) člena 58(2). Države članice zagotovijo, da so ti organi za potrjevanje pooblaščeni s strani enega ali obeh od naslednjih:

(a)

nadzornega organa, ki je pristojen na podlagi člena 55 ali 56;

(b)

nacionalnega akreditacijskega organa, imenovanega v skladu z Uredbo (ES) št. 765/2008 Evropskega parlamenta in Sveta (1) v skladu z EN-ISO/IEC 17065/2012 in dodatnimi zahtevami, ki jih določi nadzorni organ, ki je pristojen na podlagi člena 55 ali 56.

2.   Organi za potrjevanje iz odstavka 1 se lahko v skladu z navedenim odstavkom pooblastijo le, kadar so:

(a)

pristojnemu nadzornemu organu zadovoljivo dokazali svojo neodvisnost in strokovno znanje v zvezi z vsebino potrjevanja;

(b)

se zavezali, da bodo izpolnjevali merila iz člena 42(5), ki jih potrdi nadzorni organ, pristojen na podlagi člena 55 ali 56, ali odbor na podlagi člena 63;

(c)

vzpostavili postopke za izdajo, redne preglede in preklic potrjevanja, pečatov in označb za varstvo podatkov;

(d)

vzpostavili postopke in strukture za obravnavanje pritožb zaradi kršitev potrjevanja ali načina, kako je potrjevanje izvajal ali ga izvaja upravljavec ali obdelovalec, ter za omogočanje preglednosti teh postopkov in struktur za posameznike, na katere se nanašajo osebni podatki, in javnost, ter

(e)

pristojnemu nadzornemu organu zadovoljivo dokazali, da zaradi svojih nalog in dolžnosti ne pride do nasprotja interesov.

3.   Organi za potrjevanje iz odstavkov 1 in 2 tega člena se pooblastijo na podlagi meril, ki jih potrdi nadzorni organ, ki je pristojen na podlagi člena 55 ali 56, ali odbor na podlagi člena 63. V primeru pooblastitve iz točke (c) odstavka 1 tega člena te zahteve dopolnjujejo tiste, ki so določene v Uredbi (ES) št. 765/2008, in tehnična pravila v zvezi z metodami in postopki organov za potrjevanje.

4.   Organi za potrjevanje iz odstavka 1 so odgovorni za ustrezno ocenjevanje, ki privede do potrdila ali preklica takšnega potrdila, brez poseganja v odgovornost upravljavca ali obdelovalca za skladnost s to uredbo. Pooblastilo se izda za obdobje največ petih let in se pod enakimi pogoji lahko podaljša, če organ za potrjevanje izpolnjuje zahteve, določene v tem členu.

5.   Organi za potrjevanje iz odstavka 1 pristojnim nadzornim organom utemeljijo dodelitev ali preklic zahtevanega potrdila.

6.   Nadzorni organ zahteve iz odstavka 3 tega člena in merila iz člena 42(5) objavi v lahko dostopni obliki. Nadzorni organi te zahteve in merila pošljejo tudi odboru. Odbor zbira v registru vse mehanizme potrjevanja in pečate za varstvo podatkov ter jih objavi na kakršne koli ustrezne načine.

7.   Pristojni nadzorni organ ali nacionalni akreditacijski organ brez poseganja v določbe poglavja VIII prekliče pooblastilo organu za potrjevanje na podlagi odstavka 1 tega člena, kadar pogoji za pooblastilo niso ali niso več izpolnjeni ali kadar ukrepi, ki jih sprejme organ za potrjevanje, kršijo to uredbo.

8.   Na Komisijo se v skladu s členom 92 prenese pooblastilo za sprejemanje delegiranih aktov, s katerimi določi zahteve, ki se upoštevajo za mehanizme potrjevanja za varstvo podatkov iz člena 42(1).

9.   Komisija lahko sprejme izvedbene akte, s katerimi določi tehnične standarde za mehanizme potrjevanja ter pečate in označbe za varstvo podatkov ter mehanizme za spodbujanje uporabe in priznavanje teh mehanizmov potrjevanja, pečatov in označb. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

se glasi:

„Člen 43

Telesa za certificiranje

1.   Brez poseganja v naloge in pooblastila pristojnega nadzornega organa iz členov 57 in 58 certifikat izdajo in podaljšajo telesa za certificiranje, ki imajo ustrezno raven strokovnega znanja v zvezi z varstvom podatkov, in sicer po tem, ko obvestijo nadzorni organ, da se mu po potrebi dovoli izvajanje pooblastil v skladu s točko (h) člena 58(2). Države članice zagotovijo, da so ta telesa za certificiranje akreditirana s strani enega ali obeh od naslednjih:

(a)

nadzornega organa, ki je pristojen na podlagi člena 55 ali 56;

(b)

nacionalnega akreditacijskega organa, imenovanega v skladu z Uredbo (ES) št. 765/2008 Evropskega parlamenta in Sveta (2) v skladu z EN-ISO/IEC 17065/2012 in dodatnimi zahtevami, ki jih določi nadzorni organ, ki je pristojen na podlagi člena 55 ali 56.

2.   Telesa za certificiranje iz odstavka 1 se lahko v skladu z navedenim odstavkom akreditirajo le, kadar so:

(a)

pristojnemu nadzornemu organu zadovoljivo izkazala svojo neodvisnost in strokovno znanje v zvezi z vsebino certificiranja;

(b)

se zavezala, da bodo izpolnjevala merila iz člena 42(5), ki jih potrdi nadzorni organ, pristojen na podlagi člena 55 ali 56, ali odbor na podlagi člena 63;

(c)

vzpostavila postopke za izdajo, redne preglede in preklic certificiranja, pečatov in označb za varstvo podatkov;

(d)

vzpostavila postopke in strukture za obravnavanje pritožb zaradi kršitev certificiranja ali načina, kako je certificiranje izvajal ali ga izvaja upravljavec ali obdelovalec, ter za omogočanje preglednosti teh postopkov in struktur za posameznike, na katere se nanašajo osebni podatki, in javnost, ter

(e)

pristojnemu nadzornemu organu zadovoljivo izkazala, da zaradi njihovih nalog in dolžnosti ne pride do nasprotja interesov.

3.   Akreditacija telesa za certificiranje iz odstavkov 1 in 2 tega člena se opravi na podlagi zahtev, ki jih potrdi nadzorni organ, ki je pristojen na podlagi člena 55 ali 56, ali odbor na podlagi člena 63. V primeru akreditacije iz točke (b) odstavka 1 tega člena te zahteve dopolnjujejo tiste, ki so določene v Uredbi (ES) št. 765/2008, in tehnična pravila v zvezi z metodami in postopki teles za certificiranje.

4.   Telesa za certificiranje iz odstavka 1 so odgovorna za ustrezno ocenjevanje, ki privede do certifikata ali preklica takšnega certifikata, brez poseganja v odgovornost upravljavca ali obdelovalca za skladnost s to uredbo. Akreditacija se izda za obdobje največ petih let in se pod enakimi pogoji lahko podaljša, če telo za certificiranje izpolnjuje zahteve, določene v tem členu.

5.   Telesa za certificiranje iz odstavka 1 pristojnim nadzornim organom utemeljijo dodelitev ali preklic zahtevanega certifikata.

6.   Nadzorni organ zahteve iz odstavka 3 tega člena in merila iz člena 42(5) objavi v lahko dostopni obliki. Nadzorni organi te zahteve in merila pošljejo tudi odboru.

7.   Pristojni nadzorni organ ali nacionalni akreditacijski organ brez poseganja v določbe poglavja VIII prekliče akreditacijo telesu za certificiranje na podlagi odstavka 1 tega člena, kadar pogoji za akreditacijo niso ali niso več izpolnjeni ali kadar ukrepi, ki jih sprejme telo za certificiranje, kršijo to uredbo.

8.   Na Komisijo se v skladu s členom 92 prenese pooblastilo za sprejemanje delegiranih aktov, s katerimi določi zahteve, ki se upoštevajo za mehanizme certificiranja za varstvo podatkov iz člena 42(1).

9.   Komisija lahko sprejme izvedbene akte, s katerimi določi tehnične standarde za mehanizme certificiranja ter pečate in označbe za varstvo podatkov ter mehanizme za spodbujanje uporabe in priznavanje teh mehanizmov certificiranja, pečatov in označb. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

Stran 63, člen 47(2), točka (b):

besedilo:

„(b)

prenose podatkov ali nize prenosov, vključno z vrstami osebnih podatkov, vrsto obdelave in njenimi nameni, kategorijami posameznikov, na katere se nanašajo osebni podatki in na katere ta pravila vplivajo, ter identifikacijo zadevne tretje države ali držav;“

se glasi:

„(b)

prenose podatkov ali nize prenosov, vključno z vrstami osebnih podatkov, vrsto obdelave in njenimi nameni, kategorijami posameznikov, na katere se nanašajo osebni podatki in na katere ta pravila vplivajo, ter navedbo zadevne tretje države ali držav;“.

Stran 64, člen 48:

besedilo:

„[…] kot je pogodba o medsebojni pravni pomoči, sklenjenem med tretjo državo prosilko in Unijo ali državo članico, brez poseganja v druge razloge za prenos na podlagi tega poglavja.“

se glasi:

„[…] kot je pogodba o medsebojni pravni pomoči, sklenjenem med tretjo državo prosilko in Unijo ali državo članico, brez poseganja v druge podlage za prenos v skladu s tem poglavjem.“

Stran 64, člen 49(1), drugi pododstavek:

besedilo:

„Kadar podlaga za prenos ne morejo biti določbe iz člena 45 ali 46, vključno z določbami zavezujočih poslovnih pravil, in ne velja nobeno od odstopanj v posebnih primerih iz prvega pododstavka tega odstavka, se lahko prenos v tretjo državo ali mednarodno organizacijo izvede samo, če prenos ni ponovljiv, zadeva le omejeno število posameznikov, na katere se nanašajo osebni podatki, […]“

se glasi:

„Kadar podlaga za prenos ne morejo biti določbe iz člena 45 ali 46, vključno z določbami zavezujočih poslovnih pravil, in ne velja nobeno od odstopanj v posebnih primerih iz prvega pododstavka tega odstavka, se lahko prenos v tretjo državo ali mednarodno organizacijo izvede samo, če prenos ni ponavljajoč, zadeva le omejeno število posameznikov, na katere se nanašajo osebni podatki, […]“.

Strani 68 in 69, člen 57(1), točke (o), (p) in (q):

besedilo:

„(o)

kadar je ustrezno, izvaja redne preglede potrdil, izdanih v skladu s členom 42(7);

(p)

oblikuje in objavi merila za pooblastitev telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in organa za potrjevanje v skladu s členom 43;

(q)

opravi pooblastitev telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in organa za potrjevanje v skladu s členom 43;“

se glasi:

„(o)

kadar je ustrezno, izvaja redne preglede certifikatov, izdanih v skladu s členom 42(7);

(p)

oblikuje in objavi zahteve za akreditacijo telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in telesa za certificiranje v skladu s členom 43;

(q)

opravi akreditacijo telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in telesa za certificiranje v skladu s členom 43;“.

Stran 69, člen 57(4):

besedilo:

„4.   Kadar so zahteve očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko nadzorni organ zaračuna razumno pristojbino glede na upravne stroške ali zavrne ukrepanje v zvezi z zahtevo. […]“

se glasi:

„4.   Kadar so zahteve očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko nadzorni organ zaračuna razumno pristojbino glede na administrativne stroške ali zavrne ukrepanje v zvezi z zahtevo. […]“.

Stran 69, člen 58(1), točka (c):

besedilo:

„(c)

da izvaja preglede potrdil, izdanih v skladu s členom 42(7);“

se glasi:

„(c)

da izvaja preglede certifikatov, izdanih v skladu s členom 42(7);“.

Stran 70, člen 58(2), točka (h):

besedilo:

„(h)

da prekliče potrdilo ali organu za potrjevanje odredi preklic potrdila, izdanega v skladu s členoma 42 in 43, ali da organu za potrjevanje odredi, naj ne izda potrdila, kadar zahteve v zvezi s potrdilom niso ali niso več izpolnjene;“

se glasi:

„(h)

da prekliče certifikat ali telesu za certificiranje odredi preklic certifikata, izdanega v skladu s členoma 42 in 43, ali da telesu za certificiranje odredi, naj ne izda certifikata, kadar zahteve v zvezi s certifikatom niso ali niso več izpolnjene;“.

Stran 70, člen 58(3), točki (e) in (f):

besedilo:

„(e)

da pooblasti organe za potrjevanje v skladu s členom 43;

(f)

da izdaja potrdila in odobri merila za potrjevanje v skladu s členom 42(5);“

se glasi:

„(e)

da akreditira telesa za certificiranje v skladu s členom 43;

(f)

da izdaja certifikate in odobri merila za certificiranje v skladu s členom 42(5);“.

Stran 73, člen 62(4):

besedilo:

„4.   Kadar v skladu z odstavkom 1 osebje nadzornega organa druge države članice deluje v kateri drugi državi članici, država članica nadzornega organa gostitelja prevzame odgovornost za njegova dejanja, tudi kazensko odgovornost, za vso škodo, ki jo povzroči med delovanjem, v skladu s pravom države članice, na ozemlju katere deluje.“

se glasi:

„4.   Kadar v skladu z odstavkom 1 osebje nadzornega organa druge države članice deluje v kateri drugi državi članici, država članica nadzornega organa gostitelja prevzame odgovornost za njegova dejanja, vključno z odgovornostjo za vso škodo, ki jo povzroči med delovanjem, v skladu s pravom države članice, na ozemlju katere deluje.“

Stran 74, člen 64(1), točka (c):

besedilo:

„(c)

je namenjen odobritvi meril za pooblastitev organa v skladu s členom 41(3) ali organa za potrjevanje v skladu s členom 43(3);“

se glasi:

„(c)

je namenjen odobritvi zahtev za akreditacijo organa v skladu s členom 41(3), telesa za certificiranje v skladu s členom 43(3) ali meril za certificiranje iz člena 42(5);“.

Stran 74, člen 64(6), (7) in (8):

besedilo:

„6.   Pristojni nadzorni organ v roku iz odstavka 3 ne sprejme osnutka odločitve iz odstavka 1.

7.   Nadzorni organ iz odstavka 1 čim bolj upošteva mnenje odbora in v dveh tednih po prejemu mnenja predsednika odbora z elektronskimi sredstvi v standardizirani obliki obvesti, ali bo ohranil ali spremenil svoj osnutek odločitve in spremenjeni osnutek odločitve, če obstaja.

8.   Kadar zadevni nadzorni organ v obdobju iz odstavka 7 tega člena obvesti predsednika odbora, da v celoti ali deloma ne namerava upoštevati mnenja odbora, in to ustrezno utemelji, se uporabi člen 65(1).“

se glasi:

„6.   Pristojni nadzorni organ iz odstavka 1 v roku iz odstavka 3 ne sprejme osnutka odločitve iz odstavka 1.

7.   Pristojni nadzorni organ iz odstavka 1 čim bolj upošteva mnenje odbora in v dveh tednih po prejemu mnenja predsednika odbora z elektronskimi sredstvi v standardizirani obliki obvesti, ali bo ohranil ali spremenil svoj osnutek odločitve in spremenjeni osnutek odločitve, če obstaja.

8.   Kadar pristojni nadzorni organ iz odstavka 1 v obdobju iz odstavka 7 tega člena obvesti predsednika odbora, da v celoti ali deloma ne namerava upoštevati mnenja odbora, in to ustrezno utemelji, se uporabi člen 65(1).“

Stran 74, člen 65(1), točka (a):

besedilo:

„(a)

kadar je, v primeru iz člena 60(4), zadevni nadzorni organ dal ustrezen in utemeljen ugovor osnutku odločitve vodilnega organa ali če je vodilni organ zavrnil tak ugovor kot neustrezen ali neutemeljen. […];“

se glasi:

„(a)

kadar je, v primeru iz člena 60(4), zadevni nadzorni organ dal ustrezen in utemeljen ugovor osnutku odločitve vodilnega nadzornega organa ter se vodilni nadzorni organ z ugovorom ni strinjal ali je tak ugovor zavrnil kot neustrezen ali neutemeljen. […];“.

Stran 76, člen 69(2):

besedilo:

„2.   Brez poseganja v zahteve Komisije iz točke (b) člena 70(1) in člena 70(2) odbor pri opravljanju svojih nalog ali izvajanju svojih pooblastil nikogar ne prosi za navodila niti jih od nikogar ne sprejema.“

se glasi:

„2.   Brez poseganja v zahteve Komisije iz člena 70(1) in (2) odbor pri opravljanju svojih nalog ali izvajanju svojih pooblastil nikogar ne prosi za navodila niti jih od nikogar ne sprejema.“

Stran 77, člen 70(1), točka (g):

besedilo:

„(g)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka za ugotavljanje kršitev varstva osebnih podatkov in opredelitev izraza ‚nepotrebno odlašanje‘ iz člena 33(1) in (2) ter za posebne okoliščine, v katerih se od upravljavca ali obdelovalca zahteva, da predloži uradno obvestilo o kršitvi varstva osebnih podatkov;“

se glasi:

„(g)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka za ugotavljanje kršitev varnosti osebnih podatkov in opredelitev izraza ‚nepotrebno odlašanje‘ iz člena 33(1) in (2) ter za posebne okoliščine, v katerih se od upravljavca ali obdelovalca zahteva, da predloži obvestilo o kršitvi varnosti osebnih podatkov;“.

Stran 77, člen 70(1), točka (l):

besedilo:

„(l)

pregleda praktično uporabo smernic, priporočil in najboljših praks iz točk (e) in (f);“

se glasi:

„(l)

pregleda praktično uporabo smernic, priporočil in najboljših praks;“.

Stran 77, člen 70(1), točki (o) in (p):

besedilo:

„(o)

pooblašča organe za potrjevanje in redni pregled potrjevanja v skladu s členom 43 ter vodi javni register pooblaščenih organov v skladu s členom 43(6) in pooblaščenih upravljavcev ali obdelovalcev s sedežem v tretjih državah v skladu s členom 42(7);

(p)

določi zahteve iz člena 43(3) za namene pooblastitve organov za potrjevanje v skladu s členom 42;“

se glasi:

„(o)

odobri merila za certificiranje v skladu s členom 42(5) ter vodi javni register mehanizmov certificiranja ter pečatov in označb v skladu s členom 42(8) ter potrjenih upravljavcev ali obdelovalcev, ustanovljenih v tretjih državah v skladu s členom 42(7);

(p)

odobri zahteve iz člena 43(3) za namene akreditacije teles za certificiranje iz člena 43;“.

Stran 81, člen 80(1):

besedilo:

„1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da pooblasti neprofitno telo, organizacijo ali združenje, ki je ustrezno ustanovljeno v skladu s pravom države članice, in katerega statutarno določeni cilji so v javnem interesu ter je dejavno na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov, da vloži pritožbo v njegovem imenu in da v njegovem imenu uveljavlja pravice iz členov 77, 78 in 79 ter da v njegovem imenu uveljavlja pravico do odškodnine iz člena 82, kadar tako določa pravo države članice.“

se glasi:

„1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da pooblasti neprofitno telo, organizacijo ali združenje, ki je ustrezno ustanovljeno v skladu s pravom države članice, in katerega s pravnimi akti določeni cilji so v javnem interesu ter je dejavno na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov, da vloži pritožbo v njegovem imenu in da v njegovem imenu uveljavlja pravice iz členov 77, 78 in 79 ter da v njegovem imenu uveljavlja pravico do odškodnine iz člena 82, kadar tako določa pravo države članice.“

Stran 82, člen 83(4), točka (b):

besedilo:

„(b)

obveznosti organa za potrjevanje v skladu s členoma 42 in 43;“

se glasi:

„(b)

obveznosti telesa za certificiranje v skladu s členoma 42 in 43;“.



Top