Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32018R1725

Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (Besedilo velja za EGP.)

PE/31/2018/REV/1

UL L 295, 21.11.2018, p. 39–98 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg/2018/1725/oj

21.11.2018   

SL

Uradni list Evropske unije

L 295/39


UREDBA (EU) 2018/1725 EVROPSKEGA PARLAMENTA IN SVETA

z dne 23. oktobra 2018

o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES

(Besedilo velja za EGP)

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije, in zlasti člena 16(2) Pogodbe,

ob upoštevanju predloga Evropske komisije,

po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,

ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora (1),

v skladu z rednim zakonodajnim postopkom (2),

ob upoštevanju naslednjega:

(1)

Varstvo posameznikov pri obdelavi osebnih podatkov je temeljna pravica. V členu 8(1) Listine Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina) in členu 16(1) Pogodbe o delovanju Evropske unije (PDEU) je določeno, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj. Ta pravica je zajamčena tudi v členu 8 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin.

(2)

Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta (3) posameznikom zagotavlja pravno izvršljive pravice, določa obveznosti upravljavcev pri obdelavi osebnih podatkov v institucijah in organih Skupnosti ter ustanavlja neodvisni nadzorni organ (Evropski nadzornik za varstvo podatkov), odgovoren za spremljanje obdelave osebnih podatkov v institucijah in organih Unije. Vendar se ne uporablja za obdelavo osebnih podatkov v okviru dejavnosti institucij in organov Unije zunaj področja uporabe prava Unije.

(3)

Uredba (EU) 2016/679 Evropskega parlamenta in Sveta (4) in Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta (5) sta bili sprejeti 27. aprila 2016. Uredba določa splošna pravila za varstvo posameznikov pri obdelavi osebnih podatkov in zagotavljanje prostega pretoka osebnih podatkov v Uniji, Direktiva pa določa posebna pravila za varstvo posameznikov pri obdelavi osebnih podatkov in zagotavljanje prostega pretoka osebnih podatkov v Uniji na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja.

(4)

Uredba (EU) 2016/679 določa prilagoditve Uredbe (ES) št. 45/2001, da se zagotovi trden in usklajen okvir varstva podatkov v Uniji in omogoči sočasna uporaba z Uredbo (EU) 2016/679.

(5)

V interesu usklajenega pristopa k varstvu osebnih podatkov po vsej Uniji in prostega pretoka osebnih podatkov v Uniji je, da se pravila o varstvu podatkov za institucije, organe, urade in agencije Unije čim bolj uskladijo s pravili o varstvu podatkov, sprejetimi za javni sektor v državah članicah. Kadar določbe te uredbe sledijo istim konceptom kot določbe Uredbe (EU) 2016/679, bi bilo treba v skladu s sodno prakso Sodišča Evropske unije (v nadaljnjem besedilu: Sodišče) navedena dva niza določb razlagati enotno, zlasti ker bi bilo treba strukturo te uredbe razumeti kot enakovredno strukturi Uredbe (EU) 2016/679.

(6)

Osebe, katerih osebni podatki se v kakršnem koli okviru obdelujejo v institucijah in organih Unije, ker so na primer zaposlene v teh institucijah in organih, bi morale biti zaščitene. Ta uredba se ne bi smela uporabljati za obdelavo osebnih podatkov umrlih oseb. Ta uredba ne zajema obdelave osebnih podatkov glede pravnih oseb in zlasti družb, ustanovljenih kot pravne osebe, vključno z imenom in obliko ter kontaktnimi podatki pravne osebe.

(7)

Z namenom preprečiti ustvarjanje resnega tveganja izogibanja predpisom bi moralo biti varstvo posameznikov tehnološko nevtralno in neodvisno od uporabljenih tehnik.

(8)

Ta uredba bi se morala uporabljati za obdelavo osebnih podatkov s strani vseh institucij, organov, uradov in agencij Unije. Uporabljati bi se morala za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke. Zapisi ali nizi zapisov – in njihove naslovnice –, ki niso strukturirani v skladu s posebnimi merili, ne bi smeli spadati na področje uporabe te uredbe.

(9)

V izjavi št. 21 o varstvu osebnih podatkov na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja, ki je priložena Sklepni listini medvladne konference, ki je sprejela Lizbonsko pogodbo, je konferenca potrdila, da bi lahko bili zaradi posebne narave pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja na teh področjih potrebni posebni predpisi o varstvu osebnih podatkov in o prostem pretoku osebnih podatkov na podlagi člena 16 PDEU. Zato bi se moralo za obdelavo operativnih osebnih podatkov, na primer osebnih podatkov, ki jih za namene kazenske preiskave obdelajo organi, uradi ali agencije Unije, ki opravljajo dejavnosti na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja, uporabljati posebno poglavje te uredbe, ki vsebuje splošna pravila.

(10)

Direktiva (EU) 2016/680 določa harmonizirana pravila o varstvu in prostem pretoku osebnih podatkov, ki se obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem. Da bi se zagotovila enaka raven varstva posameznikov prek pravno izvršljivih pravic po vsej Uniji in preprečilo, da bi razlike ovirale izmenjavo osebnih podatkov med organi, uradi ali agencijami Unije pri opravljanju dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, in pristojnimi organi, bi morala biti pravila o varstvu in prostem pretoku operativnih osebnih podatkov, ki jih obdelujejo taki organi, uradi ali agencije Unije, skladna z Direktivo (EU) 2016/680.

(11)

Splošna pravila iz poglavja te uredbe o obdelavi operativnih osebnih podatkov bi se morala uporabljati brez poseganja v posebna pravila, ki se uporabljajo za obdelavo operativnih osebnih podatkov s strani organov, uradov in agencij Unije pri opravljanju dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU. Ta posebna pravila bi bilo treba obravnavati kot lex specialis v razmerju do določb iz poglavja te uredbe o obdelavi operativnih osebnih podatkov (lex specialis derogat legi generali). Da bi se zmanjšala pravne razdrobljenosti, bi morala biti posebna pravila o varstvu podatkov, ki se uporabljajo za obdelavo operativnih osebnih podatkov s strani organov, uradov ali agencij Unije pri opravljanju dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, skladna z načeli, na katerih temelji poglavje te uredbe o obdelavi operativnih osebnih podatkov, kot tudi z določbami te uredbe v zvezi z neodvisnim nadzorom, pravnimi sredstvi, odgovornostjo in kaznimi.

(12)

Poglavje te uredbe o obdelavi operativnih osebnih podatkov bi se moralo uporabljati za organe, urade in agencije Unije pri opravljanju dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, ne glede na to, ali gre pri teh dejavnostih za njihove glavne ali postranske naloge, za namene preprečevanja, odkrivanja, preiskovanja ali pregona kaznivih dejanj. Ne bi pa se smelo uporabljati za Europol ali za Evropsko javno tožilstvo, dokler se s spremembo pravnih aktov o ustanovitvi Europola in Evropskega javnega tožilstva ne določi, da se zanju uporablja poglavje iz te uredbe o obdelavi operativnih osebnih podatkov, kot je prilagojeno.

(13)

Komisija bi morala opraviti pregled te uredbe, zlasti poglavja te uredbe o obdelavi operativnih osebnih podatkov. Komisija bi morala opraviti tudi pregled drugih pravnih aktov, sprejetih na podlagi Pogodb, ki urejajo obdelavo operativnih osebnih podatkov s strani organov, uradov in agencij Unije pri opravljanju dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU. Da bi se zagotovilo enotno in skladno varstvo posameznikov pri obdelavi osebnih podatkov, bi morala Komisija imeti možnost, da po vsakem takem pregledu pripravi ustrezne zakonodajne predloge, vključno s potrebnimi prilagoditvami poglavja te uredbe o obdelavi operativnih osebnih podatkov, z namenom, da se uporablja za Europol in Evropsko javno tožilstvo. Pri prilagoditvah bi bilo treba upoštevati določbe v zvezi z neodvisnim nadzorom, pravnimi sredstvi, odgovornostjo in kaznimi.

(14)

Obdelava upravnih osebnih podatkov, kot so podatki o osebju, ki jih obdelujejo organi, uradi ali agencije Unije pri opravljanju dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, bi morala biti zajeta v tej uredbi.

(15)

Ta uredba bi se morala uporabljati za obdelavo osebnih podatkov s strani institucij, organov, uradov ali agencij Unije pri opravljanju dejavnosti, ki spadajo na področje uporabe poglavja 2 naslova V Pogodbe o Evropski uniji (PEU). Ta uredba se ne bi smela uporabljati za obdelavo osebnih podatkov v okviru misij iz členov 42(1), 43 in 44 PEU, prek katerih se izvaja skupna varnostna in obrambna politika. Kadar je primerno, bi bilo treba predložiti ustrezne predloge, da se nadalje uredi obdelava osebnih podatkov na področju skupne varnostne in obrambne politike.

(16)

Načela varstva podatkov bi se morala uporabljati za vse informacije v zvezi z določenim ali določljivim posameznikom. Osebne podatke, ki so bili psevdonimizirani in ki jih je mogoče z uporabo dodatnih informacij pripisati posamezniku, bi bilo treba obravnavati kot informacije o določljivem posamezniku. Pri ugotavljanju, ali je posameznik določljiv, bi bilo treba upoštevati vsa sredstva – kot je na primer izločitev –, za katera se razumno pričakuje, da jih bo upravljavec ali druga oseba uporabila za neposredno ali posredno identifikacijo posameznika. Da bi ugotovili, ali se za ta sredstva lahko razumno pričakuje, da bodo uporabljena za identifikacijo posameznika, bi bilo treba upoštevati vse objektivne dejavnike, kot so stroški identifikacije in čas, potreben zanjo, ter pri tem upoštevati razpoložljivo tehnologijo in tehnološki razvoj v času obdelave. Načel varstva podatkov zato ne bi smeli uporabljati za anonimizirane informacije, in sicer informacije, ki niso povezane z določenim ali določljivim posameznikom, ali osebne podatke, ki so bili anonimizirani na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni ali ni več določljiv. Ta uredba torej ne zadeva obdelave takšnih anonimiziranih informacij, vključno z informacijami v statistične ali raziskovalne namene.

(17)

Z uporabo psevdonimizacije osebnih podatkov se lahko zmanjša tveganje za zadevne posameznike, na katere se nanašajo osebni podatki, ter pomaga upravljavcem in obdelovalcem pri izpolnjevanju obveznosti glede varstva podatkov. Namen izrecne uvedbe „psevdonimizacije“ v tej uredbi ni preprečiti kakršnih koli drugih ukrepov za varstvo podatkov.

(18)

Posamezniki so lahko povezani s spletnimi identifikatorji, ki jih zagotovijo njihove naprave, aplikacije, orodja in protokoli, kot so naslovi internetnega protokola in identifikatorji piškotkov, ali drugimi identifikatorji, kot so oznake za radiofrekvenčno identifikacijo. To lahko pusti sledi, ki se lahko, zlasti kadar se kombinirajo z edinstvenimi identifikatorji in drugimi informacijami, ki jih prejmejo strežniki, uporabijo za oblikovanje profilov posameznikov in njihovo identifikacijo.

(19)

Privolitev bi morala biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, konkretno, ozaveščeno in nedvoumno izrazil strinjanje z obdelavo osebnih podatkov v zvezi z njim, kot je s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo. To lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov. Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve. Privolitev bi morala zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene. Kadar je obdelava večnamenska, bi bilo treba privolitev dati za vse namene obdelave. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi zahteve z elektronskimi sredstvi, mora biti zahteva jasna in natančna, prav tako pa ne sme po nepotrebnem ovirati uporabe storitve, za katero se zagotavlja. Hkrati bi moral imeti posameznik, na katerega se nanašajo osebni podatki, pravico, da privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave na podlagi privolitve pred njenim preklicem. Za zagotovitev, da je privolitev dana prostovoljno, privolitev ne bi smela biti veljavna pravna podlaga za obdelavo osebnih podatkov v posebnem primeru, ko obstaja očitno neravnotežje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, in je zato malo verjetno, da je bila privolitev dana prostovoljno v vseh okoliščinah te specifične situacije. V fazi zbiranja podatkov pogosto ni mogoče v celoti opredeliti namena obdelave osebnih podatkov v znanstvenoraziskovalne namene. Posamezniki, na katere se nanašajo osebni podatki, bi zato morali imeti možnost, da dajo privolitev za nekatera znanstvenoraziskovalna področja, ob upoštevanju priznanih etičnih standardov znanstvenega raziskovanja. Posamezniki, na katere se nanašajo osebni podatki, bi morali imeti možnost, da dajo privolitev le za nekatera raziskovalna področja ali dele raziskovalnih projektov v obsegu, ki ga dovoljuje predvideni namen.

(20)

Vsaka obdelava osebnih podatkov bi morala biti zakonita in poštena. Načini zbiranja, uporabe, pregledovanja ali drug način obdelave ter obseg obdelave ali prihodnje obdelave osebnih podatkov, ki se nanašajo na posameznike, bi morali biti za posameznike pregledni. Načelo preglednosti zahteva, da so vse informacije in sporočila, ki se nanašajo na obdelavo teh osebnih podatkov, lahko dostopni in razumljivi ter izraženi v jasnem in preprostem jeziku. To načelo zadeva zlasti informacije za posameznike, na katere se nanašajo osebni podatki, o identiteti upravljavca in namenih obdelave ter dodatne informacije za zagotovitev poštene in pregledne obdelave glede zadevnih posameznikov in njihove pravice do pridobitve potrditve in sporočila o obdelavi osebnih podatkov v zvezi z njimi. Posameznike bi bilo treba opozoriti na tveganja, pravila, zaščitne ukrepe in pravice v zvezi z obdelavo njihovih osebnih podatkov ter na to, kako lahko uresničujejo svoje pravice v zvezi s tako obdelavo. Zlasti posebni nameni, za katere se osebni podatki obdelujejo, bi morali biti izrecni in zakoniti ter določeni v času zbiranja osebnih podatkov. Osebni podatki bi morali biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Zato bi bilo treba zlasti zagotoviti, da je obdobje hrambe osebnih podatkov omejeno na najkrajše mogoče obdobje. Osebni podatki bi se lahko obdelali le, če namena obdelave ne bi bilo mogoče razumno doseči z drugimi sredstvi. Za zagotovitev, da se osebni podatki hranijo le toliko časa, kolikor je potrebno, bi moral upravljavec določiti roke za izbris ali občasno preverjanje. Sprejeti bi bilo treba vse smiselne ukrepe za popravek ali izbris netočnih osebnih podatkov. Osebne podatke bi bilo treba obdelovati na način, ki zagotavlja ustrezno varnost in zaupnost osebnih podatkov, tudi za preprečitev nedovoljenega dostopa do osebnih podatkov ali uporabe osebnih podatkov in opreme za obdelavo ter za preprečitev njihovega razkritja med prenosom.

(21)

Institucije in organi Unije bi morali, kadar posredujejo osebne podatke znotraj iste institucije ali organa Unije in uporabnik ni del upravljavca ali drugim institucijam in organom Unije, v skladu z načelom odgovornosti preveriti, ali so taki osebni podatki potrebni za zakonito opravljanje nalog, ki spadajo v pristojnost uporabnika. Upravljavec bi moral po prejemu zahteve uporabnika glede prenosa osebnih podatkov zlasti preveriti, ali obstaja ustrezna podlaga za zakonito obdelavo osebnih podatkov in pristojnost uporabnika. Upravljavec bi moral tudi začasno oceniti potrebo po prenosu podatkov. Če se pojavijo dvomi o tej potrebi, bi moral upravljavec od uporabnika zahtevati nadaljnje informacije. Prejemnik bi moral zagotoviti, da se lahko naknadno preveri potreba po prenosu podatkov.

(22)

Da bi bila obdelava zakonita, bi bilo treba osebne podatke obdelati, ker je to potrebno za opravljanje nalog, ki jih v javnem interesu izvajajo institucije in organi Unije, ali pri izvajanju njihove uradne pristojnosti, ker je to potrebno za izpolnitev pravne obveznosti, ki velja za upravljavca, ali na kateri drugi zakoniti podlagi iz te uredbe, vključno s privolitvijo posameznika, na katerega se nanašajo osebni podatki, v obdelavo ali ker je obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. Obdelava osebnih podatkov za opravljanje nalog, ki jih v javnem interesu izvajajo institucije in organi Unije, vključuje obdelavo osebnih podatkov, potrebnih za upravljanje in delovanje teh institucij in organov. Obdelava osebnih podatkov bi se morala prav tako šteti za zakonito, kadar je potrebna za zaščito interesa, ki je bistven za življenje posameznika, na katerega se nanašajo osebni podatki, ali za življenje drugega posameznika. Obdelava osebnih podatkov na podlagi življenjskih interesov drugega posameznika bi se načeloma lahko izvajala le, kadar obdelave ni mogoče očitno izvesti na drugi pravni podlagi. Nekatere vrste obdelave lahko služijo tako pomembnim razlogom v javnem interesu kot življenjskim interesom posameznika, na katerega se nanašajo osebni podatki, na primer kadar je obdelava potrebna v humanitarne namene, tudi za spremljanje epidemij in njihovega širjenja ali v izrednih humanitarnih razmerah, zlasti pri naravnih nesrečah in nesrečah, ki jih povzroči človek.

(23)

Pravo Unije, na katerega se sklicuje ta uredba, bi moralo biti jasno in natančno, njegova uporaba pa predvidljiva za osebe, na katere se nanaša, v skladu z zahtevami iz Listine in Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin.

(24)

Notranja pravila, na katera se sklicuje ta uredba, bi morala biti jasni in natančni akti splošne uporabe s pravnimi učinki za posameznike, na katere se nanašajo osebni podatki. Sprejeti pa bi morali biti na najvišji ravni vodstva institucij in organov Unije v okviru njihovih pristojnosti in v zvezi z zadevami, ki se nanašajo na njihovo delovanje. Objavljena bi morala biti v Uradnem listu Evropske unije. Uporaba teh pravil bi morala biti predvidljiva za osebe, na katere se nanašajo, ter skladna z zahtevami iz Listine in Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin. Notranja pravila imajo lahko obliko sklepov, zlasti če jih sprejmejo institucije Unije.

(25)

Obdelava osebnih podatkov za druge namene kot tiste, za katere so bili osebni podatki prvotno zbrani, bi morala biti dovoljena le, kadar je združljiva z nameni, za katere so bili osebni podatki prvotno zbrani. V takšnem primeru ni potrebna ločena pravna podlaga od tiste, na podlagi katere so bili osebni podatki zbrani. Če je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, se lahko naloge in nameni, za katere bi se nadaljnja obdelava morala šteti za združljivo in zakonito, določijo in opredelijo s pravom Unije. Nadaljnja obdelava v namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene bi morala veljati za združljivo zakonito dejanje obdelave. Pravna podlaga, ki se za obdelavo osebnih podatkov določi s pravom Unije, je lahko tudi pravna podlaga za nadaljnjo obdelavo. Za ugotovitev, ali je namen nadaljnje obdelave združljiv z namenom, za katerega so bili osebni podatki prvotno zbrani, bi moral upravljavec, potem ko je izpolnil vse zahteve glede zakonitosti prvotne obdelave, med drugim upoštevati morebitno povezavo med prvotnimi nameni in nameni načrtovane nadaljnje obdelave; okoliščine, v katerih so bili osebni podatki zbrani, zlasti razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, o nadaljnji uporabi teh podatkov ob upoštevanju njihovega razmerja z upravljavcem; naravo osebnih podatkov; posledice načrtovane nadaljnje obdelave za te posameznike in obstoj ustreznih zaščitnih ukrepov, tako pri prvotnih kot načrtovanih nadaljnjih dejanjih obdelave.

(26)

Kadar obdelava temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, bi moral biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v dejanje obdelave. Zlasti v okviru pisne izjave o drugi zadevi bi morali zaščitni ukrepi zagotoviti, da se posameznik, na katerega se nanašajo osebni podatki, zaveda dejstva, da daje privolitev in v kakšnem obsegu jo daje. V skladu z Direktivo Sveta 93/13/EGS (6) bi moral upravljavec vnaprej pripraviti izjavo o privolitvi, ki bi morala biti v razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku in ne bi smela vsebovati nedovoljenih pogojev. Da bi posameznik, na katerega se nanašajo osebni podatki, lahko dal ozaveščeno privolitev, bi moral poznati vsaj identiteto upravljavca in namene obdelave osebnih podatkov. Privolitev se ne bi smela šteti za prostovoljno, če posameznik, na katerega se nanašajo osebni podatki, nima možnosti dejanske ali prostovoljne izbire ali privolitve ne more zavrniti ali preklicati brez škode.

(27)

Otroci potrebujejo posebno varstvo v zvezi s svojimi osebnimi podatki, saj se morda manj zavedajo zadevnih tveganj, posledic in zaščitnih ukrepov in svojih pravic v zvezi z obdelavo osebnih podatkov. Tako posebno varstvo bi moralo zadevati zlasti ustvarjanje osebnostnih profilov in zbiranje osebnih podatkov v zvezi z otroki pri uporabi storitev, ki se na spletnih mestih institucij in organov Unije nudijo neposredno otroku, kot so storitve medosebne komunikacije ali spletna prodaja vstopnic, in obdelava osebnih podatkov temelji na privolitvi.

(28)

Kadar uporabniki, ustanovljeni v Uniji, ki niso institucije in organi Unije, želijo, da jim institucije in organi Unije prenesejo osebne podatke, bi morali ti uporabniki izkazati, da je prenos podatkov tem uporabnikom potreben bodisi za opravljanje njihove naloge, ki se izvaja v javnem interesu, bodisi pri izvajanju javne oblasti, ki jim je bila dodeljena. Kot druga možnost bi morali uporabniki izkazati, da je prenos potreben za poseben namen v javnem interesu, pri čemer bi moral upravljavec ugotoviti, ali obstaja razlog za domnevo, da bi pri tem lahko šlo za poseg v zakonite interese posameznika, na katerega se nanašajo osebni podatki. V takšnih primerih bi moral upravljavec na preverljiv način pretehtati različne navzkrižne interese, da bi ocenil sorazmernost zahtevanega prenosa osebnih podatkov. Poseben namen v javnem interesu je lahko povezan s preglednostjo institucij in organov Unije. Poleg tega bi morale institucije in organi Unije bi morali tako potrebo dokazati, kadar se prenos izvede na njihovo pobudo, v skladu z načelom preglednosti in dobrega upravljanja. Zahteve, ki jih ta uredba določa za prenos podatkov uporabnikom, ustanovljenim v Uniji, ki niso institucije in organi Unije, bi bilo treba razumeti tako, da dopolnjujejo pogoje za zakonito obdelavo.

(29)

Posebno varstvo si zaslužijo osebni podatki, ki so po svoji naravi posebej občutljivi z vidika temeljnih pravic in svoboščin, saj bi lahko okoliščine njihove obdelave resno ogrozile temeljne pravice in svoboščine. Taki osebni podatki se ne bi smeli obdelovati, razen če so izpolnjeni posebni pogoji, določeni v tej uredbi. Ti osebni podatki bi morali vključevati osebne podatke, ki razkrivajo rasno ali etnično poreklo, pri čemer uporaba pojma „rasno poreklo“ v tej uredbi ne pomeni, da Unija priznava teorije, ki poskušajo dokazati obstoj različnih človeških ras. Obdelava fotografij se ne bi smela sistematično šteti za obdelavo posebnih vrst osebnih podatkov, saj spadajo v opredelitev biometričnih podatkov le, kadar so obdelane s posebnimi tehničnimi sredstvi, ki omogočajo edinstveno identifikacijo ali avtentikacijo posameznika. Poleg posebnih zahtev za obdelavo občutljivih podatkov bi morala veljati splošna načela in druga pravila iz te uredbe, zlasti glede pogojev zakonite obdelave. Izrecno bi morala biti določena odstopanja od splošne prepovedi obdelave takšnih posebnih vrst osebnih podatkov, med drugim kadar posameznik, na katerega se nanašajo osebni podatki, da izrecno privolitev, ali glede posebnih potreb, zlasti kadar se obdelava izvaja v okviru zakonitih dejavnosti nekaterih združenj ali ustanov, katerih namen je omogočiti uresničevanje temeljnih svoboščin.

(30)

Posebne vrste osebnih podatkov, ki potrebujejo višjo zaščito, bi se lahko obdelovale v namene, povezane z zdravjem, le kadar je to potrebno za doseganje teh namenov v korist posameznikov in družbe kot celote, zlasti v okviru upravljanja storitev in sistemov zdravstvenega ali socialnega varstva. Zato bi bilo treba v tej uredbi ob upoštevanju posebnih potreb določiti usklajene pogoje za obdelavo posebnih vrst osebnih podatkov v zvezi z zdravjem, zlasti kadar take podatke v določene namene v zvezi z zdravjem obdelujejo osebe, za katere velja pravna obveznost varovanja poklicne skrivnosti. V pravu Unije bi bilo treba določiti posebne in ustrezne ukrepe za zaščito temeljnih pravic in osebnih podatkov posameznikov.

(31)

Obdelava posebnih vrst osebnih podatkov je lahko potrebna iz razlogov javnega interesa na področju javnega zdravja brez privolitve posameznika, na katerega se nanašajo osebni podatki. Za takšno obdelavo bi morali veljati ustrezni in posebni ukrepi za zaščito pravic in svoboščin posameznikov. V zvezi s tem bi bilo treba pojem „javno zdravje“ razlagati, kakor je opredeljen v Uredbi (ES) št. 1338/2008 Evropskega parlamenta in Sveta (7), kjer pomeni vse elemente, povezane z zdravjem, in sicer zdravstveno stanje, vključno z obolevnostjo in invalidnostjo, determinante, ki vplivajo na zdravstveno stanje, potrebe zdravstvenega varstva, vire, namenjene zdravstvenemu varstvu, zagotavljanje in splošni dostop do zdravstvenega varstva, pa tudi izdatke in financiranje zdravstvenega varstva ter vzroke smrtnosti. Zaradi take obdelave podatkov v zvezi z zdravjem iz razlogov javnega interesa se osebni podatki ne bi smeli obdelovati v druge namene.

(32)

Če osebni podatki, ki jih obdeluje upravljavec, slednjemu ne omogočajo identifikacije posameznika, upravljavec podatkov ne bi smel biti zavezan pridobiti dodatnih informacij, da bi ugotovil identiteto posameznika, na katerega se nanašajo osebni podatki, samo zaradi skladnosti s katero koli določbo te uredbe. Vendar pa upravljavec ne bi smel zavrniti dodatnih informacij, ki jih posameznik, na katerega se nanašajo osebni podatki, predloži z namenom uresničevanja svojih pravic. Identifikacija bi morala vključevati digitalno identifikacijo posameznika, na katerega se nanašajo osebni podatki, denimo, z mehanizmom avtentikacije, na primer da posameznik, na katerega se nanašajo osebni podatki, uporablja isto poverilnico za prijavo na spletne storitve, ki jo ponuja upravljavec podatkov.

(33)

Pri obdelavi osebnih podatkov za namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene bi bilo treba zagotoviti ustrezne zaščitne ukrepe za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, v skladu s to uredbo. S temi zaščitnimi ukrepi bi bilo treba zagotoviti, da se sprejmejo tehnični in organizacijski ukrepi, s katerimi se zagotovi zlasti spoštovanje načela najmanjšega obsega podatkov. Nadaljnja obdelava osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene se opravi, kadar je upravljavec ocenil izvedljivost uresničitve teh namenov z obdelavo osebnih podatkov, ki ne omogočajo ali ne omogočajo več identifikacije posameznika, na katerega se nanašajo osebni podatki, pod pogojem, da obstajajo ustrezni zaščitni ukrepi (kot je, na primer, psevdonimizacija osebnih podatkov). Institucije in organi Unije bi morali v pravu Unije, ki lahko vključuje notranje predpise, ki jih sprejmejo institucije in organi Unije v zvezi z zadevami, ki se nanašajo na njihovo delovanje, zagotoviti ustrezne zaščitne ukrepe za obdelavo osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene.

(34)

Zagotoviti bi bilo treba načine za lažje uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz te uredbe, vključno z mehanizmi, s katerimi se zahtevajo in po potrebi brezplačno pridobijo zlasti dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ter uresničuje pravica do ugovora. Upravljavec bi zato moral omogočiti tudi elektronsko vlaganje zahtev, zlasti kadar se osebni podatki obdelujejo z elektronskimi sredstvi. Upravljavec bi moral biti zavezan, da na zahtevo posameznika, na katerega se nanašajo osebni podatki, odgovori brez nepotrebnega odlašanja in najpozneje v enem mesecu in da v primeru, ko ne namerava izpolniti take zahteve, to utemelji.

(35)

Načeli poštene in pregledne obdelave zahtevata, da je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti o obstoju dejanja obdelave in njegovih namenih. Upravljavec bi moral posamezniku, na katerega se nanašajo osebni podatki, zagotoviti vse dodatne informacije, potrebne za zagotavljanje poštene in pregledne obdelave ob upoštevanju specifičnih okoliščin in okvira obdelave osebnih podatkov. Poleg tega bi moral biti ta posameznik obveščen o obstoju oblikovanja profilov in njegovih posledicah. Kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki, bi ga bilo treba obvestiti tudi o tem, ali je dolžan predložiti osebne podatke, in o posledicah, kadar takih podatkov ne predloži. Te informacije se lahko navedejo skupaj z uporabo standardiziranih ikon, da se na jasno razviden, razumljiv in berljiv način zagotovi smiseln pregled načrtovane obdelave. Kadar so ikone navedene v elektronski obliki, bi morale biti strojno berljive.

(36)

Posameznike, na katere se nanašajo osebni podatki, bi bilo treba o obdelavi osebnih podatkov v zvezi z njimi obvestiti v trenutku zbiranja podatkov od posameznika, na katerega se nanašajo osebni podatki, ali, kadar se osebni podatki pridobijo iz drugega vira, v ustreznem roku odvisno od okoliščin primera. Kadar se lahko osebni podatki zakonito razkrijejo drugemu uporabniku, bi moral biti posameznik, na katerega se nanašajo osebni podatki, obveščen, ko se osebni podatki prvič razkrijejo uporabniku. Kadar namerava upravljavec obdelovati osebne podatke za namen, ki ni namen, za katerega so bili zbrani, bi moral upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov zagotoviti informacije o tem drugem namenu in druge potrebne informacije. Kadar temu posamezniku ni mogoče sporočiti izvora osebnih podatkov zaradi uporabe različnih virov, bi mu bilo treba zagotoviti splošne informacije.

(37)

Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico dostopa do osebnih podatkov, ki so bili zbrani v zvezi z njim, in do enostavnega uresničevanja te pravice v razumnih časovnih presledkih, da bi se seznanil z obdelavo in preveril njeno zakonitost. To vključuje pravico posameznikov, na katere se nanašajo osebni podatki, da imajo dostop do podatkov v zvezi s svojim zdravjem, na primer podatkov v njihovi zdravstveni kartoteki, ki vključuje informacije, kot so diagnoze, izvidi preiskav, ocene lečečih zdravnikov in druga zdravljenja ali posegi. Zato bi moral vsak posameznik, na katerega se nanašajo osebni podatki, imeti pravico do seznanitve s sporočilom in njegove pridobitve, zlasti o namenih obdelave osebnih podatkov, po možnosti o obdobju, za katerega so osebni podatki obdelani, uporabnikih osebnih podatkov, o razlogih za morebitno avtomatsko obdelavo osebnih podatkov in, vsaj v primerih, kadar obdelava temelji na oblikovanju profilov, o posledicah take obdelave. Ta pravica ne bi smela negativno vplivati na pravice ali svoboščine drugih, vključno s poslovnimi skrivnostmi ali intelektualno lastnino, ter predvsem na avtorske pravice, ki ščitijo programsko opremo. To pa ne bi smelo povzročiti, da se posamezniku, na katerega se nanašajo osebni podatki, zavrne dostop do vseh informacij. Kadar upravljavec obdeluje veliko količino informacij v zvezi s posameznikom, na katerega se nanašajo osebni podatki, bi moral upravljavec imeti možnost, da pred zagotovitvijo informacij od tega posameznika zahteva, naj podrobno opredeli, na katere informacije ali dejavnosti obdelave se zahteva nanaša.

(38)

Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico do popravka osebnih podatkov v zvezi z njim in „pravico do pozabe“, kadar hramba takih podatkov krši to uredbo ali pravo Unije, ki velja za upravljavca. Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico do tega, da se njegovi osebni podatki izbrišejo in se ne obdelujejo več, kadar osebni podatki niso več potrebni za namene, za katere so bili zbrani ali kako drugače obdelani, kadar posameznik, na katerega se nanašajo osebni podatki, prekliče svojo privolitev ali ugovarja obdelavi osebnih podatkov, ki se nanašajo nanj, ali kadar obdelava njegovih osebnih podatkov kako drugače ni v skladu s to uredbo. Ta pravica je zlasti pomembna, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo privolitev kot otrok in se ni v celoti zavedal tveganj, povezanih z obdelavo, ter želi pozneje take osebne podatke odstraniti, zlasti z interneta. Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti možnost, da to pravico uresničuje ne glede na dejstvo, da ni več otrok. Vendar bi morala biti nadaljnja hramba osebnih podatkov zakonita, če je to potrebno za uresničevanje pravice do svobode izražanja in obveščanja, izpolnjevanje pravnih obveznosti, izvajanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, iz razlogov javnega interesa na področju javnega zdravja, za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

(39)

Za okrepitev pravice do pozabe v spletnem okolju bi bilo treba pravico do izbrisa razširiti tako, da bi zahtevali, da mora upravljavec, ki je osebne podatke dal v javnost, obvestiti upravljavce, ki take osebne podatke obdelujejo, da izbrišejo vse povezave do teh osebnih podatkov ali kopije ali prenovitve teh osebnih podatkov. Pri tem bi moral upravljavec ob upoštevanju razpoložljive tehnologije in sredstev, ki jih ima na voljo, vključno s tehničnimi ukrepi, sprejeti razumne ukrepe, da bi upravljavce, ki obdelujejo osebne podatke, obvestil o zahtevi posameznika, na katerega se nanašajo osebni podatki.

(40)

Metode za omejitev obdelave osebnih podatkov bi lahko med drugim zajemale začasni prenos izbranih podatkov v drug sistem za obdelavo, preprečitev dostopnosti izbranih osebnih podatkov uporabnikom ali začasno odstranitev objavljenih podatkov s spletnega mesta. Pri avtomatiziranih zbirkah bi bilo treba omejitev obdelave načeloma zagotoviti s tehničnimi sredstvi na način, da se osebni podatki nadalje več ne obdelujejo in jih ni mogoče spremeniti. Dejstvo, da je obdelava osebnih podatkov omejena, bi moralo biti jasno navedeno v zbirki.

(41)

Da bi še dodatno okrepili nadzor nad lastnimi podatki, kadar se obdelava osebnih podatkov izvaja z avtomatskimi sredstvi, bi moral posameznik, na katerega se nanašajo osebni podatki, imeti tudi možnost, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani, strojno berljivi in interoperabilni obliki in jih posreduje drugemu upravljavcu. Upravljavce podatkov bi bilo treba spodbuditi k razvoju interoperabilnih oblik, ki omogočajo prenosljivost podatkov. Ta pravica bi morala veljati, kadar je posameznik, na katerega se nanašajo osebni podatki, te podatke zagotovil na podlagi svoje privolitve ali kadar je obdelava potrebna za izvajanje pogodbe. Zato ne bi smela veljati, kadar je obdelava osebnih podatkov nujna za izpolnjevanje pravne obveznosti, ki velja za upravljavca, ali izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu. Pravica posameznika, na katerega se nanašajo osebni podatki, do posredovanja ali prejemanja osebnih podatkov v zvezi z njim ne bi smela ustvariti obveznosti za upravljavca, da mora sprejeti ali vzdrževati sisteme za obdelavo, ki so tehnično združljivi. Kadar določeni niz osebnih podatkov zadeva več kot enega posameznika, na katerega se ti podatki nanašajo, pravica do prejemanja osebnih podatkov ne bi smela posegati v pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, v skladu s to uredbo. Poleg tega ta pravica ne bi smela posegati v pravico posameznika, na katerega se nanašajo osebni podatki, da zahteva izbris osebnih podatkov, in v omejitve te pravice, kakor je določeno v tej uredbi, zlasti pa ne bi smela pomeniti izbrisa osebnih podatkov, ki jih je posameznik, na katerega se ti nanašajo, zagotovil za izvajanje pogodbe, in sicer kolikor in dokler so osebni podatki potrebni za izvajanje te pogodbe. Kadar je to tehnično izvedljivo, bi posameznik, na katerega se nanašajo osebni podatki, moral imeti pravico doseči, da se osebni podatki prenesejo neposredno od enega upravljavca k drugemu.

(42)

Kadar se lahko osebni podatki zakonito obdelujejo, ker je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu, bi moral imeti vsak posameznik, na katerega se nanašajo osebni podatki, kljub temu pravico ugovarjati obdelavi katerih koli osebnih podatkov, povezanih z njegovim posebnim položajem. Upravljavec bi moral dokazati, da njegovi nujni zakoniti interesi prevladajo nad interesi ali temeljnimi pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki.

(43)

Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da zanj ne bi veljala odločitev, ki lahko vključuje ukrep, o ocenjevanju osebnih vidikov v zvezi z njim, ki temelji zgolj na avtomatizirani obdelavi in ima pravne učinke v zvezi z njim ali podobno znatno vpliva nanj, kot so prakse zaposlovanja prek spleta brez človekovega posredovanja. Taka obdelava vključuje „oblikovanje profilov“ v kakršni koli obliki avtomatizirane obdelave osebnih podatkov, na podlagi katerih se ocenjujejo osebni vidiki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa ali interesov, zanesljivosti ali vedenja, lokacije ali gibanja, kadar ustvarja pravne učinke v zvezi z njim ali nanj podobno znatno vpliva.

Sprejemanje odločitev na podlagi take obdelave, vključno z oblikovanjem profilov, pa bi moralo biti dovoljeno, kadar ga izrecno dovoljuje pravo Unije. V vsakem primeru bi morali za tako obdelavo veljati ustrezni zaščitni ukrepi, ki bi morali vključevati konkretno seznanitev posameznika, na katerega se nanašajo osebni podatki, in pravico do osebnega posredovanja, pravico izraziti svoje stališče, pravico dobiti pojasnilo o odločitvi, ki je bila sprejeta po takem ocenjevanju, in pravico do izpodbijanja odločitve. Taki ukrepi ne bi smeli zadevati otroka. Da bi upravljavec ob upoštevanju posebnih okoliščin in okvira, v katerih se osebni podatki obdelujejo, zagotovil pošteno in pregledno obdelavo osebnih podatkov za posameznika, na katerega se osebni podatki nanašajo, bi moral uporabiti ustrezne matematične ali statistične postopke za oblikovanje profilov, izvajati tehnične in organizacijske ukrepe, s katerimi bi na ustrezen način zagotovil zlasti, da se dejavniki, ki povzročijo netočnost osebnih podatkov, popravijo in tveganje napak čim bolj zmanjša, zavarovati osebne podatke tako, da se upoštevajo morebitne nevarnosti, povezane z interesi in pravicami posameznika, na katerega se nanašajo osebni podatki, ter preprečiti, med drugim, diskriminatorne posledice za posameznike na podlagi rasnega ali etničnega porekla, političnega mnenja, vere ali prepričanja, članstva v sindikatu, genetskega ali zdravstvenega stanja, spolne usmerjenosti, ali obdelavo, ki privede do ukrepov, ki imajo takšne posledice. Avtomatizirano sprejemanje odločitev in oblikovanje profilov na podlagi posebnih vrst osebnih podatkov bi bilo treba dovoliti le pod posebnimi pogoji.

(44)

S pravnimi akti, sprejetimi na podlagi Pogodb ali notranjih predpisov, ki jih sprejmejo institucije in organi Unije v zvezi z zadevami, ki se nanašajo na njihovo delovanje, se lahko uvedejo omejitve glede posebnih načel in pravic do obveščenosti, dostopa in popravka ali izbrisa osebnih podatkov, pravice do prenosljivosti podatkov, zaupnosti elektronskih komunikacijskih podatkov in sporočanja o kršitvi varstva osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki, in določenih s tem povezanih obveznosti upravljavcev, če je to v demokratični družbi potrebno in sorazmerno zaradi zaščite javne varnosti ter preprečevanja, preiskovanja in pregona kaznivih dejanj ali izvrševanja kazenskih sankcij. To vključuje varovanje pred grožnjami javni varnosti in njihovo preprečevanje, zaščito človeškega življenja, zlasti pri odzivu na naravne nesreče ali nesreče, ki jih povzroči človek, notranjo varnost institucij in organov Unije, druge pomembne cilje v splošnem javnem interesu Unije ali države članice, zlasti cilje skupne zunanje in varnostne politike Unije ali pomembnega gospodarskega ali finančnega interesa Unije ali države članice, in vodenje javnih registrov iz razlogov splošnega javnega interesa ali varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih, vključno s socialnim varstvom, javnim zdravjem in humanitarnimi nameni.

(45)

Uvesti bi bilo treba pristojnost in odgovornost upravljavca glede vsake obdelave osebnih podatkov, ki jo izvede upravljavec ali je izvedena v njegovem imenu. Upravljavec bi moral zlasti izvajati ustrezne in učinkovite ukrepe ter biti zmožen dokazati skladnost dejavnosti obdelave s to direktivo, vključno z učinkovitostjo ukrepov. Ti ukrepi bi morali upoštevati naravo, obseg, okoliščine in namene obdelave ter tveganje za pravice in svoboščine posameznikov.

(46)

Tveganje za pravice in svoboščine posameznika, ki se razlikuje po verjetnosti in resnosti, je lahko posledica obdelave osebnih podatkov, ki bi lahko povzročila fizično, premoženjsko ali nepremoženjsko škodo, zlasti: kadar obdelava lahko privede do diskriminacije, kraje ali zlorabe identitete, finančne izgube, okrnitve ugleda, izgube zaupnosti osebnih podatkov, zaščitenih s poklicno molčečnostjo, neodobrene reverzije psevdonimizacije ali katere koli druge znatne gospodarske ali socialne škode; kadar bi bile posameznikom, na katere se nanašajo osebni podatki, lahko odvzete pravice in svoboščine ali bi jim bilo preprečeno izvajanje nadzora nad njihovimi osebnimi podatki; kadar se obdelujejo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politična mnenja, veroizpoved ali filozofsko prepričanje ali članstvo v sindikatu, ter obdelovanje genskih podatkov ali podatkov v zvezi z zdravjem ali podatkov v zvezi s spolnim življenjem ali kazenskimi obsodbami in prekrški ali s tem povezanimi varnostnimi ukrepi; kadar se vrednotijo osebni vidiki, zlasti analiziranje ali predvidevanje vidikov, ki zadevajo uspešnost pri delu, ekonomski položaj, zdravje, osebni okus ali interese, zanesljivost ali vedenje, lokacijo ali gibanje, da bi se ustvarili ali uporabljali osebni profili; kadar se obdelujejo osebni podatki ranljivih posameznikov, zlasti otrok, ali kadar obdelava vključuje veliko število osebnih podatkov in zadeva veliko število posameznikov, na katere se nanašajo osebni podatki.

(47)

Verjetnost in resnost tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, bi bilo treba ugotavljati glede na vrsto, obseg, okoliščine in namene obdelave. Tveganje bi bilo treba oceniti na podlagi objektivne ocene, s katero se določi, ali dejanja obdelave podatkov pomenijo tveganje ali veliko tveganje.

(48)

Zaradi varstva pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov je treba sprejeti ustrezne tehnične in organizacijske ukrepe, da bi zagotovili izpolnitev zahtev iz te uredbe. Da bi upravljavec lahko dokazal skladnost s to uredbo, bi moral sprejeti notranjo ureditev in izvesti ukrepe, ki spoštujejo zlasti načeli vgrajenega in privzetega varstva podatkov. Ti ukrepi bi med drugim lahko vključevali minimizacijo obdelave osebnih podatkov, čimprejšnjo psevdonimizacijo osebnih podatkov, preglednost pri nalogah in obdelavi osebnih podatkov, omogočanje posameznikom, na katere se nanašajo osebni podatki, da spremljajo obdelavo podatkov, in omogočanje upravljavcu, da vzpostavi in izboljša varnostne ukrepe. Načeli vgrajenega in privzetega varstva podatkov bi morali biti upoštevani tudi pri javnih razpisih.

(49)

V Uredbi (EU) 2016/679 je določeno, da morajo upravljavci izkazati skladnost na podlagi izvajanja odobrenim mehanizmom certificiranja. Podobno bi morali biti institucije in organi Unije sposobni izkazati skladnost s to uredbo s pridobitvijo certifikata v skladu s členom 42 Uredbe (EU) 2016/679.

(50)

Varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, ter pristojnost in odgovornost upravljavcev in obdelovalcev zahtevajo jasno dodelitev odgovornosti na podlagi te uredbe, tudi kadar upravljavec namene in sredstva obdelave določi skupaj z drugimi upravljavci ali kadar je dejanje obdelave izvedeno v imenu upravljavca.

(51)

Za zagotovitev skladnosti z zahtevami iz te uredbe v zvezi z obdelavo, ki jo opravi obdelovalec v imenu upravljavca, bi moral upravljavec dejavnosti obdelave zaupati samo tistim obdelovalcem, ki zagotavljajo zadostna jamstva, zlasti v smislu strokovnega znanja, zanesljivosti in virov za izvajanje tehničnih in organizacijskih ukrepov, ki izpolnjujejo zahteve iz te uredbe, vključno za varnost obdelave. Zavezanost obdelovalcev, ki niso institucije in organi Unije, k odobrenemu kodeksu ravnanja ali odobrenemu mehanizmu potrjevanja se lahko uporabi kot element za izpolnjevanje obveznosti upravljavca. Obdelavo s strani obdelovalca, ki ni institucija ali organ Unije, bi morala urejati pogodba ali v primeru, da imajo institucije in organi Unije vlogo obdelovalca, pogodba ali drug pravni akt v skladu s pravom Unije, ki bi določal obveznosti obdelovalca do upravljavca ter določal vsebino in trajanje obdelave, naravo in namene obdelave, vrsto osebnih podatkov in kategorije posameznikov, na katere se nanašajo osebni podatki, ob upoštevanju posebnih nalog in odgovornosti obdelovalca v okviru obdelave, ki jo izvaja, in tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. Upravljavec in obdelovalec se lahko odločita za uporabo individualne pogodbe ali standardnih pogodbenih določil, ki jih sprejme bodisi neposredno Komisija bodisi Evropski nadzornik za varstvo podatkov, nato pa jih sprejme Komisija. Po zaključku obdelave v imenu upravljavca bi moral obdelovalec v skladu z odločitvijo upravljavca vrniti ali izbrisati osebne podatke, razen v primeru zahteve za shranitev osebnih podatkov v skladu s pravom Unije ali pravom države članice, ki velja za obdelovalca.

(52)

Za izkaz skladnosti s to uredbo bi morali upravljavci hraniti evidence o dejavnostih obdelave, za katere so odgovorni, obdelovalci pa bi morali hraniti evidence o vrstah dejavnosti obdelave, za katere so odgovorni. Institucije in organi Unije bi morali biti zavezani k sodelovanju z Evropskim nadzornikom za varstvo podatkov in mu na zahtevo omogočiti dostop do svojih evidenc, da bi bile tako lahko namenjene spremljanju dejanj obdelave. Institucije in organi Unije bi morali imeti možnost, da vzpostavijo centralni register evidenc svojih dejavnosti obdelave, razen če glede na velikost institucije ali organa Unije to ni primerno. Zaradi preglednosti bi morali imeti tudi možnost, da tak register objavijo.

(53)

Za ohranitev varnosti in preprečitev obdelave, ki bi pomenila kršitev te uredbe, bi moral upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja, na primer šifriranje. Ti ukrepi bi morali zagotavljati ustrezno raven varnosti, vključno z zaupnostjo, ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja glede na tveganja in naravo osebnih podatkov, ki jih je treba varovati. Pri oceni tveganja v zvezi z varstvom podatkov bi bilo treba pozornost posvetiti tveganjem, ki jih pomeni obdelava osebnih podatkov, kot so nenamerno ali nezakonito uničenje, izguba, sprememba, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani, kar lahko zlasti povzroči fizično, premoženjsko ali nepremoženjsko škodo.

(54)

Institucije in organi Unije bi morali zagotoviti zaupnost elektronskih sporočil v skladu s členom 7 Listine. Zlasti bi morali zagotoviti varnost svojih elektronskih komunikacijskih omrežij. Zavarovati bi morali informacije v zvezi s terminalsko opremo uporabnikov omrežja ali opreme, s katero se dostopa do njihovih javno dostopnih spletnih mest in mobilnih aplikacij v skladu z Direktivo 2002/58/ES Evropskega parlamenta in Sveta (8). Morali bi zavarovati tudi osebne podatke, shranjene v imenikih uporabnikov omrežja ali opreme.

(55)

Kršitev varnosti osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo. Zato bi moral upravljavec, takoj, ko se seznani s kršitvijo varnosti osebnih podatkov, o njej uradno obvestiti Evropskega nadzornika za varstvo podatkov brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, razen če lahko upravljavec v skladu z načelom odgovornosti dokaže, da ni verjetno, da bi kršitev varnosti osebnih podatkov povzročila tveganje za pravice in svoboščine posameznikov. Kadar ni mogoče uradno obvestiti v 72 urah, bi bilo treba uradnemu obvestilu priložiti razloge za zamudo, informacije pa se lahko zagotovijo postopoma in brez nadaljnjega nepotrebnega odlašanja. Kadar je taka zamuda upravičena, bi bilo treba čim prej objaviti manj občutljive ali manj podrobne informacije o kršitvi, namesto da se zadevni incident v celoti razreši pred uradnim obvestilom.

(56)

Upravljavec bi moral posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja obvestiti o kršitvi varstva osebnih podatkov, kadar je verjetno, da bi ta kršitev varstva osebnih podatkov lahko povzročila veliko tveganje za pravice in svoboščine posameznika, da bi se ta lahko ustrezno zavaroval. Sporočilo bi moralo vsebovati opis narave kršitve varstva osebnih podatkov in priporočila za zadevnega posameznika za ublažitev morebitnih škodljivih učinkov. Posamezniki, na katere se nanašajo osebni podatki, bi morali prejeti tako sporočilo, kakor hitro je to razumno mogoče in v tesnem sodelovanju z Evropskim nadzornikom za varstvo podatkov ter ob upoštevanju smernic, ki jih je podal Evropski nadzornik za varstvo podatkov ali drugi ustrezni organi, kot so organi za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj.

(57)

Uredba (ES) št. 45/2001 določa splošno obveznost upravljavca, da o obdelavi osebnih podatkov obvesti pooblaščeno osebo za varstvo podatkov. Pooblaščena oseba za varstvo podatkov vodi evidenco dejanj obdelave, o katerih je bila obveščena, razen če glede na velikost institucije ali organa Unije to ni primerno. Poleg te splošne obveznosti bi bilo treba določiti učinkovite postopke in mehanizme za spremljanje dejanj obdelave, ki zaradi svoje narave, obsega, okoliščin in namenov verjetno povzročajo veliko tveganje za pravice in svoboščine posameznikov. Taki postopki bi zlasti morali biti določeni, kadar gre za vrste dejanj obdelave, ki vključujejo uporabo novih tehnologij ali ki so nove, v zvezi s katerimi upravljavec še ni izvedel ocene učinka v zvezi z varstvom podatkov ali postanejo potrebne zaradi časa, ki je pretekel od prvotne obdelave. V takih primerih bi moral upravljavec pred obdelavo izvesti oceno učinka v zvezi z varstvom podatkov, da bi se ocenili posebna verjetnost in resnost velikega tveganja, pri čemer bi upoštevali naravo, obseg, okoliščine in namene obdelave ter izvor tveganja. Ta ocena učinka pa bi morala obsegati zlasti ukrepe, zaščitne ukrepe in mehanizme, ki so predvideni za ublažitev tega tveganja, zagotavljanje varstva osebnih podatkov in dokazovanje skladnosti s to uredbo.

(58)

Kadar ocena učinka v zvezi z varstvom podatkov pokaže, da bi zaradi neobstoječih zaščitnih ukrepov, varnostnih ukrepov in mehanizmov za ublažitev tveganja obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov, in upravljavec meni, da tveganja ni mogoče ublažiti z razumnimi sredstvi v smislu razpoložljivih tehnologij in stroškov izvajanja, bi moralo biti pred začetkom dejavnosti obdelave opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov. Za tako veliko tveganje je verjetno, da izhaja iz določenih vrst obdelave ter določenega obsega in pogostosti obdelave, kar bi lahko povzročilo tudi škodo za pravice in svoboščine posameznika ali poseg vanje. Evropski nadzornik za varstvo podatkov bi se moral na zahtevo po posvetovanju odzvati v določenem obdobju. Vendar odsotnost odziva Evropskega nadzornika za varstvo podatkov v tem obdobju ne bi smela posegati v kakršno koli posredovanje Evropskega nadzornika za varstvo podatkov v skladu z njegovimi nalogami in pooblastili iz te uredbe, vključno s pooblastilom za prepoved dejanj obdelave. V okviru tega postopka posvetovanja bi moralo biti mogoče Evropskemu nadzorniku za varstvo podatkov predložiti rezultat ocene učinka v zvezi z varstvom podatkov, ki se izvede v zvezi z zadevno obdelavo, zlasti ukrepi, ki so predvideni za ublažitev tveganja za pravice in svoboščine posameznikov.

(59)

Da bi zagotovili skladnost načrtovane obdelave s to uredbo, zlasti kar zadeva ublažitev tveganja za posameznika, na katerega se nanašajo osebni podatki, bi moral biti Evropski nadzornik za varstvo podatkov obveščen o upravnih ukrepih in zaprošen za mnenje o notranjih predpisih, ki jih institucije in organi Unije sprejmejo v zvezi z zadevami, ki se nanašajo na njihovo delovanje, ko urejajo obdelavo osebnih podatkov, določajo pogoje za omejitev pravic posameznika, na katerega se nanašajo osebni podatki, ali predvidevajo ustrezne zaščitne ukrepe za pravice posameznika, na katerega se nanašajo osebni podatki.

(60)

Z Uredbo (EU) 2016/679 je bil ustanovljen Evropski odbor za varstvo podatkov kot neodvisni organ Unije in kot pravna oseba. Odbor bi moral prispevati k dosledni uporabi Uredbe (EU) 2016/679 in Direktive (EU) 2016/680 po vsej Uniji, tudi s svetovanjem Komisiji. Hkrati bi moral Evropski nadzornik za varstvo podatkov še naprej izvajati svojo nadzorno in svetovalno vlogo v zvezi z vsemi institucijami in organi Unije, na lastno pobudo ali na zahtevo. Za zagotovitev skladnosti pravil o varstvu podatkov po vsej Uniji, bi si morala Komisija med pripravo predlogov ali priporočil prizadevati za posvetovanje z Evropskim nadzornikom za varstvo podatkov. Posvetovanje Komisije bi moralo biti obvezno po sprejetju zakonodajnih aktov ali med pripravo delegiranih in izvedbenih aktov, kakor so opredeljeni v členih 289, 290 in 291 PDEU, ter po sprejetju priporočil in predlogov, ki se nanašajo na sporazume s tretjimi državami in mednarodnimi organizacijami, kakor je določeno v členu 218 PDEU, ki vplivajo na pravico do varstva osebnih podatkov. V takih primerih bi se morala Komisija posvetovati z Evropskim nadzornikom za varstvo podatkov, razen kadar se mora v skladu z Uredbo (EU) 2016/679 posvetovati z Evropskim odborom za varstvo podatkov, na primer o sklepih o ustreznosti ali delegiranih aktih o standardiziranih ikonah in zahtevah v zvezi z mehanizmi potrjevanja. Kadar je zadevni akt zlasti pomemben za varstvo pravic in svoboščin posameznikov pri obdelavi osebnih podatkov, bi morala Komisija imeti možnost, da se posvetuje tudi z Evropskim odborom za varstvo podatkov. V teh primerih bi moral Evropski nadzornik za varstvo podatkov kot član Evropskega odbora za varstvo podatkov svoje delo uskladiti s tem odborom, da izdata skupno mnenje. Evropski nadzornik za varstvo podatkov in, kadar je ustrezno, Evropski odbor za varstvo podatkov bi morala svoje mnenje v pisni obliki predložiti v osmih tednih. Ta časovni okvir bi moral biti krajši v nujnih primerih ali kadar je drugače primerno, na primer kadar Komisija pripravlja delegirane in izvedbene akte.

(61)

V skladu s členom 75 Uredbe (EU) 2016/679 bi moral Evropski nadzornik za varstvo podatkov zagotoviti sekretariat Evropskemu odboru za varstvo podatkov.

(62)

V vseh institucijah in organih Unije bi morala pooblaščena oseba za varstvo podatkov zagotoviti, da se določbe te uredbe uporabljajo, ter upravljavcem in obdelovalcem svetovati glede izpolnjevanja njihovih obveznosti. Ta pooblaščena oseba bi morala biti oseba s strokovnim znanjem s področja prava o varstvu podatkov in poznavanjem zadevnih praks, kar bi bilo treba določiti zlasti glede na dejanja obdelave podatkov, ki jih izvede upravljavec ali obdelovalec, in varstvo, potrebno pri osebnih podatkih, vključenih v obdelavo. Taki pooblaščeni osebi za varstvo podatkov bi moralo biti omogočeno, da svoje dolžnosti in naloge opravlja neodvisno.

(63)

Kadar se osebni podatki prenašajo iz institucij in organov Unije upravljavcem, obdelovalcem ali drugim uporabnikom v tretjih državah ali mednarodnim organizacijam, bi morala biti zagotovljena raven varstva posameznikov, ki jo v Uniji zagotavlja ta uredba. Enaka jamstva bi se morala uporabljati v primeru nadaljnjih prenosov osebnih podatkov iz tretje države ali mednarodne organizacije upravljavcem, obdelovalcem v isti ali drugi tretji državi ali mednarodni organizaciji. V vsakem primeru se lahko prenosi v tretje države in mednarodne organizacije izvajajo samo v popolni skladnosti s to uredbo in ob spoštovanju temeljnih pravic in svoboščin, zapisanih v Listini. Prenos bi se lahko izvedel le, če upravljavec ali obdelovalec v skladu z drugimi določbami te uredbe izpolnjuje pogoje iz določb te uredbe v zvezi s prenosom osebnih podatkov v tretje države ali mednarodne organizacije.

(64)

Komisija lahko na podlagi člena 45 Uredbe (EU) 2016/679 ali člena 36 Direktive (EU) 2016/680 sklene, da tretja država, ozemlje ali določen sektor v tretji državi ali mednarodna organizacija nudi ustrezno raven varstva podatkov. V takih primerih se lahko prenosi osebnih podatkov v to tretjo državo ali mednarodno organizacijo iz institucije ali organa Unije opravijo brez potrebe po pridobitvi dodatnega dovoljenja.

(65)

Če sklep o ustreznosti ni sprejet, bi moral upravljavec ali obdelovalec sprejeti ukrepe, na podlagi katerih pomanjkanje varstva podatkov v tretji državi nadomesti z ustreznimi zaščitnimi ukrepi za posameznika, na katerega se nanašajo osebni podatki. Taki ustrezni zaščitni ukrepi so lahko sestavljeni iz uporabe standardnih določil o varstvu podatkov, ki jih sprejme Komisija ali Evropski nadzornik za varstvo podatkov, ali pogodbenih določil, ki jih odobri Evropski nadzornik za varstvo podatkov. Kadar obdelovalec ni institucija ali organ Unije, so lahko navedeni ustrezni zaščitni ukrepi sestavljeni tudi iz zavezujočih poslovnih pravil, kodeksov ravnanja in mehanizmov potrjevanja, ki se uporabljajo za mednarodne prenose na podlagi Uredbe (EU) 2016/679. S temi zaščitnimi ukrepi bi bilo treba zagotoviti skladnost z zahtevami glede varstva podatkov in pravicami posameznikov, na katere se nanašajo osebni podatki, ki ustrezajo obdelavi znotraj Unije, vključno z razpoložljivostjo izvršljivih pravic posameznikov, na katere se nanašajo osebni podatki, in učinkovitih pravnih sredstev, tudi pravico do učinkovitega upravnega ali sodnega varstva ali odškodnine, v Uniji ali tretji državi. Nanašati bi se morali zlasti na skladnost s splošnimi načeli v zvezi z obdelavo osebnih podatkov ter načeli vgrajenega in privzetega varstva podatkov. Prenose z javnimi organi ali telesi v tretjih državah oziroma z mednarodnimi organizacijami z ustreznimi nalogami ali funkcijami lahko opravijo tudi institucije in organi Unije, tudi na podlagi določb, ki se vključijo v upravne dogovore, kot je memorandum o soglasju, s katerimi se zagotavljajo izvršljive in učinkovite pravice posameznikov, na katere se nanašajo osebni podatki. Kadar so zaščitni ukrepi določeni v upravnih dogovorih, ki niso pravno zavezujoči, bi bilo treba pridobiti dovoljenje Evropskega nadzornika za varstvo podatkov.

(66)

Možnost, ki jo ima upravljavec ali obdelovalec glede uporabe standardnih določil o varstvu podatkov, ki jih sprejme Komisija ali Evropski nadzornik za varstvo podatkov, upravljavcem ali obdelovalcem ne bi smela preprečiti niti, da standardna določila o varstvu podatkov vključijo v obsežnejšo pogodbo, kot je pogodba med obdelovalcem in drugim obdelovalcem, niti, da dodajo druga določila ali dodatne zaščitne ukrepe, če ti neposredno ali posredno ne nasprotujejo standardnim pogodbenim določilom Komisije ali Evropskega nadzornika za varstvo podatkov ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki. Upravljavce in obdelovalce bi bilo treba spodbujati, da vzpostavijo dodatne zaščitne ukrepe s pomočjo pogodbenih obveznosti, ki bi dopolnjevale standardna določila o varstvu podatkov.

(67)

Nekatere tretje države sprejemajo zakone, predpise in druge pravne akte, ki neposredno urejajo dejavnosti obdelave institucij in organov Unije. To lahko vključuje sodbe sodišč ali odločbe upravnih organov tretjih držav, ki od upravljavca ali obdelovalca zahtevajo prenos ali razkritje osebnih podatkov in ki ne temeljijo na mednarodnem sporazumu, sklenjenem med tretjo državo prosilko in Unijo. Zunajozemeljska uporaba teh zakonov, predpisov in drugih pravnih aktov lahko krši mednarodno pravo in ovira doseganje varstva posameznikov, ki ga v Uniji zagotavlja ta uredba. Prenosi bi smeli biti dovoljeni samo, kadar so izpolnjeni pogoji iz te uredbe za prenos v tretje države. To je lahko med drugim v primeru, kadar je razkritje potrebno zaradi pomembnega javnega interesa, priznanega s pravom Unije.

(68)

V posebnih primerih bi morala biti predvidena možnost prenosov v določenih okoliščinah, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo izrecno privolitev, kadar je prenos občasen in potreben zaradi pogodbe ali pravnega zahtevka, ne glede na to, ali gre za sodni postopek ali upravni ali kateri koli izvensodni postopek, vključno s postopki pred regulativnimi organi. Možnost prenosov bi morala biti predvidena tudi, kadar to zahtevajo pomembni razlogi v javnem interesu, določeni s pravom Unije, ali kadar je prenos izveden iz registra, vzpostavljenega z zakonom in namenjenega vpogledu javnosti ali oseb z zakonitim interesom. V slednjem primeru tak prenos ne bi smel vključevati celotnih osebnih podatkov ali celotnih vrst podatkov, ki jih vsebuje register, razen če to dovoljuje pravo Unije, in kadar je register namenjen vpogledu oseb, ki imajo zakoniti interes, bi bilo treba prenos opraviti samo na zahtevo teh oseb ali če bodo te osebe uporabniki, pri čemer je treba v celoti upoštevati interese in temeljne pravice posameznikov, na katere se nanašajo osebni podatki.

(69)

Ta odstopanja bi se morala uporabljati zlasti za prenose podatkov, ki so zahtevani in potrebni zaradi pomembnih razlogov javnega interesa, kot v primeru mednarodne izmenjave podatkov med institucijami in organi Unije ter organi za varstvo konkurence, davčnimi ali carinskimi upravami, finančnimi nadzornimi organi in službami, pristojnimi za zadeve na področju socialne varnosti ali javnega zdravja, denimo v primeru sledenja stikov za nalezljive bolezni ali zaradi zmanjšanja in/ali odprave uporabe nedovoljenih poživil v športu. Prenos osebnih podatkov bi moral prav tako veljati za zakonitega, kadar je treba zaščititi ključni interes posameznika, na katerega se nanašajo osebni podatki, ali interese življenjskega pomena za druge osebe, vključno s telesno nedotakljivostjo ali življenjem, če posameznik, na katerega se nanašajo osebni podatki, ni sposoben dati privolitve. Če sklepa o ustreznosti ni, se lahko v pravu Unije zaradi pomembnih razlogov javnega interesa izrecno določijo omejitve prenosa posebnih kategorij podatkov v tretjo državo ali mednarodno organizacijo. Vsak prenos osebnih podatkov posameznika, na katerega se nanašajo osebni podatki in ki fizično ali pravno ni sposoben dati privolitve, mednarodni humanitarni organizaciji, ki se opravi z namenom izvajanja naloge v skladu z Ženevskimi konvencijami ali za skladnost z mednarodnim humanitarnim pravom, ki se uporablja za oborožene spore, bi se lahko štel za potrebnega, če je v pomembnem javnem interesu ali življenjskega interesa za posameznika, na katerega se nanašajo osebni podatki.

(70)

V vsakem primeru bi moral upravljavec ali obdelovalec, če Komisija ni sprejela sklepa o ustrezni ravni varstva podatkov v tretji državi, uporabiti rešitve, ki posameznikom, na katere se nanašajo osebni podatki, zagotavljajo izvršljive in učinkovite pravice glede obdelave njihovih podatkov v Uniji po prenosu teh podatkov, tako da lahko še vedno uresničujejo temeljne pravice in zaščitne ukrepe.

(71)

Pri čezmejnem prenosu osebnih podatkov zunaj Unije se lahko poveča tveganje v zvezi z zmožnostjo posameznikov za uresničevanje pravic do varstva podatkov, zlasti da se zaščitijo pred nezakonito uporabo ali razkritjem navedenih podatkov. Hkrati lahko nacionalni nadzorni organi in Evropski nadzornik za varstvo podatkov ugotovijo, da ne morejo obravnavati pritožb ali izvesti preiskav v zvezi z dejavnostmi zunaj svoje pristojnosti. Njihova prizadevanja za čezmejno sodelovanje lahko ovirajo tudi nezadostna pooblastila za preprečevanje kršitev ali njihovo odpravo, neskladne pravne ureditve in praktične ovire, na primer omejitev virov. Zato bi bilo treba spodbujati tesnejše sodelovanje med Evropskim nadzornikom za varstvo podatkov in nacionalnimi nadzornimi organi, da bi jim pomagali izmenjavati informacije s tujimi nadzornimi organi za varstvo podatkov.

(72)

Ustanovitev Evropskega nadzornika za varstvo podatkov z Uredbo (ES) št. 45/2001, ki je pooblaščen, da svoje naloge in pooblastila izvaja popolnoma neodvisno, je bistveni del varstva posameznikov pri obdelavi njihovih osebnih podatkov. Ta uredba bi morala dodatno okrepiti in pojasniti njegovo vlogo in neodvisnost. Evropski nadzornik za varstvo podatkov bi moral biti oseba, katere neodvisnost je nedvomna in ki ima priznane izkušnje in strokovnost, potrebne za opravljanje dolžnosti Evropskega nadzornika za varstvo podatkov, na primer zato, ker deluje ali je delovala v okviru enega od nadzornih organov iz člena 51 Uredbe (EU) 2016/679.

(73)

Da se zagotovi dosledno spremljanje in izvajanje pravil o varstvu podatkov v vsej Uniji, bi moral imeti Evropski nadzornik za varstvo podatkov enake naloge in učinkovita pooblastila kot nacionalni nadzorni organi, vključno s pooblastili za preiskovanje, popravljalnimi pooblastili in sankcijami ter pooblastili v zvezi z dovoljenji in svetovalnimi pristojnostmi, zlasti v primerih pritožb posameznikov, pooblastila za opozarjanje Sodišča na kršitve te uredbe ter pooblastila za sodelovanje v sodnih postopkih v skladu s primarno zakonodajo. Taka pooblastila bi morala vključevati tudi pooblastilo za uvedbo začasne ali dokončne omejitve ali prepoved obdelave. Da bi se preprečili nepotrebni stroški in pretirane nevšečnosti za vpletene osebe, za katere bi lahko imeli ukrepi Evropskega nadzornika za varstvo podatkov negativne posledice, bi moral biti vsak tak ukrep ustrezen, potreben in sorazmeren, da se zagotovi skladnost s to uredbo, pri tem pa bi se morale upoštevati okoliščine posameznega primera in spoštovati pravica vsake osebe, da izrazi svoje mnenje, preden se sprejme kakršen koli zadevni posamezni ukrep. Vsak pravno zavezujoč ukrep Evropskega nadzornika za varstvo podatkov bi moral biti v pisni obliki, jasen in nedvoumen, v njem bi moral biti naveden datum izdaje ukrepa, podpisati bi ga moral Evropski nadzornik za varstvo podatkov, vsebovati pa bi moral razloge za ukrep in sklic na pravico do učinkovitega pravnega sredstva.

(74)

Nadzorna pristojnost Evropskega nadzornika za varstvo podatkov ne bi smela vključevati obdelave osebnih podatkov s strani Sodišča, kadar deluje kot sodni organ, da se zaščiti neodvisnost Sodišča pri opravljanju sodnih nalog, vključno z odločanjem. Za takšna dejanja obdelave bi moralo Sodišče vzpostaviti neodvisen nadzor v skladu s členom 8(3) Listine, na primer prek notranjega mehanizma.

(75)

Odločitve Evropskega nadzornika za varstvo podatkov glede izjem, garancij, odobritev in pogojev v zvezi z dejanji obdelave podatkov, kakor je opredeljeno v tej uredbi, bi bilo treba objaviti v poročilu o dejavnostih. Ne glede na objavo letnega poročila o dejavnostih lahko Evropski nadzornik za varstvo podatkov objavi poročila o posameznih temah.

(76)

Evropski nadzornik za varstvo podatkov bi moral spoštovati Uredbo (ES) št. 1049/2001 Evropskega parlamenta in Sveta (9).

(77)

Nacionalni nadzorni organi spremljajo uporabo Uredbe (EU) 2016/679 in prispevajo k njeni dosledni uporabi po vsej Uniji, da bi varovali posameznike pri obdelavi njihovih osebnih podatkov in olajšali prosti pretok osebnih podatkov na notranjem trgu. Za večjo skladnost uporabe pravil o varstvu podatkov, ki se uporabljajo v državah članicah, in pravil o varstvu podatkov, ki se uporabljajo za institucije in organe Unije, bi moral Evropski nadzornik za varstvo podatkov učinkovito sodelovati z nacionalnimi nadzornimi organi.

(78)

Pravo Unije v nekaterih okoliščinah določa model usklajenega nadzora, ki ga uporabljajo Evropski nadzornik za varstvo podatkov in nacionalni nadzorni organi. Evropski nadzornik za varstvo podatkov je tudi nadzorni organ Europola in v te namene je bil v okviru odbora za sodelovanje s svetovalno vlogo vzpostavljen poseben model za sodelovanje z nacionalnimi nadzornimi organi. Da se izboljšata učinkovit nadzor in izvajanje materialnih pravil o varstvu podatkov, bi bilo treba v Uniji uvesti enoten, skladen model usklajenega nadzora. Komisija bi morala zato, kadar je primerno, predložiti zakonodajne predloge za spremembo pravnih aktov Unije, ki določajo model usklajenega nadzora, da se uskladijo z modelom usklajenega nadzora iz te uredbe. Evropski odbor za varstvo podatkov bi moral biti enotni forum za zagotavljanje učinkovitega usklajenega splošnega nadzora.

(79)

Vsak posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da vloži pritožbo pri Evropskem nadzorniku za varstvo podatkov, in pravico do učinkovitega pravnega sredstva pred Sodiščem v skladu s Pogodbama, kadar meni, da so njegove pravice iz te uredbe kršene, ali če Evropski nadzornik za varstvo podatkov ne obravnava pritožbe, jo v celoti ali deloma zavrže ali zavrne ali ne ukrepa, kadar je tak ukrep potreben za varstvo pravic posameznika, na katerega se nanašajo osebni podatki. Preiskavo na podlagi pritožbe bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen, saj je lahko odločitev nadzornega organa predmet sodne presoje. Evropski nadzornik za varstvo podatkov bi moral posameznika, na katerega se nanašajo osebni podatki, v razumnem roku obvestiti o stanju zadeve in o odločitvi o pritožbi. Če se mora Evropski nadzornik za varstvo podatkov dodatno uskladiti z nacionalnim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo osebni podatki, posredovati informacije o stanju zadeve med postopkom. Za poenostavitev postopka vložitve pritožbe bi moral Evropski nadzornik za varstvo podatkov sprejeti ukrepe, na primer za zagotovitev obrazca za vložitev pritožbe, ki se lahko izpolni tudi elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

(80)

Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, bi moral imeti pravico, da pod pogoji iz Pogodb od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.

(81)

Da bi se okrepila nadzorna vloga Evropskega nadzornika za varstvo podatkov in učinkovito izvrševanje te uredbe, bi moral imeti Evropski nadzornik za varstvo podatkov kot zadnjo možnost pooblastilo za naložitev upravnih glob. Globe bi morale biti namenjene temu, da se zaradi neskladnosti s to uredbo ter za odvračanje od prihodnjih kršitev te uredbe in spodbujanje kulture varstva osebnih podatkov v institucijah in organih Unije namesto posameznikov kaznuje institucija ali organ. Ta uredba bi morala navajati kršitve, za katere se uporabljajo upravne globe, zgornjo mejo in merila za določanje s tem povezanih glob. Znesek globe bi moral v vsakem posameznem primeru določiti Evropski nadzornik za varstvo podatkov ob upoštevanju vseh zadevnih okoliščin v določeni situaciji ter narave, teže in trajanja kršitve, njenih posledic in sprejetih ukrepov za zagotavljanje skladnosti z obveznostmi iz te uredbe ter za preprečitev ali ublažitev posledic kršitve. Evropski nadzornik za varstvo podatkov bi moral pri naložitvi upravne globe instituciji ali organu Unije upoštevati sorazmernost zneska globe. Upravni postopek za naložitev glob institucijam in organom Unije bi moral upoštevati splošna načela prava Unije, kakor jih razlaga Sodišče.

(82)

Kadar posameznik, na katerega se nanašajo osebni podatki, meni, da so bile kršene njegove pravice iz te uredbe, bi moral imeti pravico, da pooblasti organ, organizacijo ali združenje, ki je nepridobitne narave, ustanovljeno v skladu s pravom Unije ali pravom države članice, katerega statutarno določeni cilji so v javnem interesu ter je dejavno na področju varstva osebnih podatkov, da v njegovem imenu vloži pritožbo pri Evropskem nadzorniku za varstvo podatkov. Tak organ, organizacija ali združenje bi moralo imeti tudi možnost, da uveljavlja pravico do pravnega sredstva v imenu posameznikov, na katere se nanašajo osebni podatki, ali da uveljavlja pravico do odškodnine v imenu posameznikov, na katere se nanašajo osebni podatki.

(83)

Uradnik ali drug uslužbenec Evropske unije, ki ne izpolnjuje obveznosti iz te uredbe, bi moral biti disciplinsko ali kako drugače odgovoren v skladu s pravili in postopki, določenimi v Kadrovskih predpisih za uradnike Evropske unije in Pogojih za zaposlitev drugih uslužbencev Unije, določenih v Uredbi Sveta (EGS, Euratom, ESPJ) št. 259/68 (10) (v nadaljnjem besedilu: Kadrovski predpisi).

(84)

Za zagotovitev enotnih pogojev izvajanja te uredbe bi bilo treba na Komisijo prenesti izvedbena pooblastila. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (11). Postopek pregleda bi se moral uporabiti za sprejetje standardnih pogodbenih določil med upravljavci in obdelovalci ter med obdelovalci, za sprejetje seznama dejanj obdelave, kadar se morajo upravljavci, ki osebne podatke obdelujejo za opravljanje naloge v javnem interesu, predhodno posvetovati z Evropskim nadzornikom za varstvo podatkov, in za sprejetje standardnih pogodbenih določil, ki zagotavljajo ustrezne zaščitne ukrepe za mednarodne prenose.

(85)

Zaupne informacije, ki jih statistični organi Unije in nacionalni statistični organi zberejo zaradi priprave uradne evropske in nacionalne statistike, bi bilo treba zaščititi. Evropsko statistiko bi bilo treba razvijati, pripravljati in razširjati v skladu s statističnimi načeli iz člena 338(2) PDEU. V Uredbi (ES) št. 223/2009 Evropskega parlamenta in Sveta (12) so določene nadaljnje natančnejše ureditve glede statistične zaupnosti evropske statistike.

(86)

Uredbo (ES) št. 45/2001 in Sklep št. 1247/2002/ES Evropskega parlamenta, Sveta in Komisije (13) bi bilo treba razveljaviti. Sklicevanje na razveljavljeno uredbo in razveljavljeni sklep bi bilo treba šteti kot sklicevanje na to uredbo.

(87)

Da se zaščiti popolna neodvisnost članov neodvisnega nadzornega organa, ta uredba ne bi smela vplivati na mandata sedanjega evropskega nadzornika za varstvo podatkov in sedanjega pomočnika nadzornika. Sedanji pomočnik nadzornika bi moral še naprej opravljati svojo funkcijo do konca svojega mandata, razen če je izpolnjen eden od pogojev iz te uredbe za predčasno prenehanje mandata evropskega nadzornika za varstvo podatkov. Zadevne določbe te uredbe bi se morale za pomočnika nadzornika uporabljati do konca njegovega mandata.

(88)

Da bi se dosegla osnovni cilj zagotovitve enakovredne ravni varstva posameznikov pri obdelavi osebnih podatkov in prosti pretok osebnih podatkov po vsej Uniji, je v skladu z načelom sorazmernosti potrebno in primerno določiti pravila o obdelavi osebnih podatkov v institucijah in organih Unije. V skladu s členom 5(4) PEU ta uredba ne presega tistega, kar je potrebno za doseganje zastavljenih ciljev.

(89)

Opravljeno je bilo posvetovanje z Evropskim nadzornikom za varstvo podatkov v skladu s členom 28(2) Uredbe (ES) št. 45/2001, ki je mnenje podal 15. marca 2017 (14) –

SPREJELA NASLEDNJO UREDBO:

POGLAVJE I

SPLOŠNE DOLOČBE

Člen 1

Predmet urejanja in cilji

1.   Ta uredba določa pravila o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Unije in pravila o prostem pretoku osebnih podatkov med njimi ali drugimi uporabniki, ustanovljenimi v Uniji.

2.   Ta uredba varuje temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov.

3.   Evropski nadzornik za varstvo podatkov spremlja uporabo določb te uredbe pri vseh dejanjih obdelave, ki jih izvede institucija ali organ Unije.

Člen 2

Področje uporabe

1.   Ta uredba se uporablja za obdelavo osebnih podatkov v vseh institucijah in organih Unije.

2.   Za obdelavo operativnih osebnih podatkov v organih, uradih in agencijah Unije pri opravljanju dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, se uporabljata samo člen 3 in poglavje IX te uredbe.

3.   Ta uredba se ne uporablja za obdelavo operativnih osebnih podatkov v Europolu in Evropskem javnem tožilstvu, dokler se Uredba (EU) 2016/794 Evropskega parlamenta in Sveta (15) in Uredba Sveta (EU) 2017/1939 (16) ne prilagodita v skladu s členom 98 te uredbe.

4.   Ta uredba se ne uporablja za obdelavo osebnih podatkov v okviru misij iz členov 42(1), 43 in 44 PEU.

5.   Ta uredba se uporablja za obdelavo osebnih podatkov, ki se v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se izvaja z avtomatiziranimi sredstvi.

Člen 3

Opredelitev pojmov

V tej uredbi se uporabljajo naslednje opredelitve pojmov:

(1)

„osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom („posameznik, na katerega se nanašajo osebni podatki“); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(2)

„operativni osebni podatki“ pomeni osebne podatke, ki jih obdelujejo organi, uradi ali agencije Unije pri opravljanju dejavnosti, ki spadajo na področje poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, da bi uresničili cilje, določene v aktih o ustanovitvi teh organov, uradov ali agencij;

(3)

„obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

(4)

„omejitev obdelave“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

(5)

„oblikovanje profilov“ pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

(6)

„psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

(7)

„zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(8)

„upravljavec“ pomeni institucijo ali organ Unije, generalni direktorat ali kateri koli drug organizacijski subjekt, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva takšne obdelave določa posebni akt Unije, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije;

(9)

„upravljavci, ki niso institucije in organi Unije“ pomeni upravljavce v smislu točke 7 člena 4 Uredbe (EU) 2016/679 in upravljavce v smislu točke 8 člena 3 Direktive (EU) 2016/680;

(10)

„institucije in organi Unije“ pomeni institucije, organe, urade in agencije Unije, ki so bili ustanovljeni s PEU, PDEU ali Pogodbo Euratom ali na njihovi podlagi;

(11)

„pristojni organ“ pomeni kateri koli javni organ v državi članici, ki je pristojen za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem;

(12)

„obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drug organ, ki obdeluje osebne podatke v imenu upravljavca;

(13)

„uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drug organ, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne veljajo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

(14)

„tretja oseba“ pomeni fizično ali pravno osebo, javni organ, agencijo ali organ, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;

(15)

„privolitev“ posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj;

(16)

„kršitev varnosti osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(17)

„genski podatki“ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;

(18)

„biometrični podatki“ pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

(19)

„podatki o zdravstvenem stanju“ pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;

(20)

„storitev informacijske družbe“ pomeni storitev, kakor je opredeljena v točki (b) člena 1(1) Direktive (EU) 2015/1535 Evropskega parlamenta in Sveta (17);

(21)

„mednarodna organizacija“ pomeni organizacijo in njene podrejene organe, ki jih ureja mednarodno javno pravo ali kateri koli drug organ, ustanovljen s sporazumom med dvema ali več državami ali na podlagi takega sporazuma;

(22)

„nacionalni nadzorni organ“ pomeni neodvisni javni organ, ki ga ustanovi država članica na podlagi člena 51 Uredbe (EU) 2016/679 ali člena 41 Direktive (EU) 2016/680;

(23)

„uporabnik omrežja ali opreme“ pomeni katero koli fizično osebo, ki uporablja omrežje ali terminalsko opremo, ki deluje pod nadzorom institucije ali organa Unije;

(24)

„imenik“ pomeni javno dostopen imenik uporabnikov omrežja ali opreme ali interni imenik uporabnikov omrežja ali opreme v natisnjeni ali elektronski obliki, ki je na voljo v instituciji ali organu Unije ali si ga izmenjujejo institucije in organi Unije;

(25)

„elektronsko komunikacijsko omrežje“ pomeni prenosni sistem, ne glede na to, ali temelji na stalni infrastrukturi ali centralizirani upravni zmogljivosti, in, kadar je primerno, komutacijsko ali usmerjevalno opremo ter druge vire, vključno z omrežnimi elementi, ki niso aktivni, ki omogočajo prenos signalov po žicah, z radijskimi valovi, z optičnimi ali drugimi elektromagnetnimi sredstvi, vključno s satelitskimi omrežji, fiksnimi (vodovno in paketno komutiranimi, vključno z internetom) in mobilnimi prizemnimi omrežji, električnimi kabelskimi sistemi, če se uporabljajo za prenos signalov, omrežji, ki se uporabljajo za radijsko in televizijsko oddajanje, ter z omrežji kabelske televizije, ne glede na vrsto prenesenih informacij;

(26)

„terminalska oprema“ pomeni terminalsko opremo, kot je opredeljena v točki 1 člena 1 Direktive Komisije 2008/63/ES (18).

POGLAVJE II

SPLOŠNA NAČELA

Člen 4

Načela v zvezi z obdelavo osebnih podatkov

1.   Osebni podatki morajo biti:

(a)

obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki („zakonitost, poštenost in preglednost“);

(b)

zbrani za določene, izrecne in zakonite namene in se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 13 ne velja za nezdružljivo s prvotnimi nameni („omejitev namena“);

(c)

ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“);

(d)

točni in, kadar je to potrebo, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo („točnost“);

(e)

hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko hranijo daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 13, pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki („omejitev hrambe“);

(f)

obdelani na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“).

2.   Upravljavec je odgovoren za skladnost z odstavkom 1 in mora biti to skladnost zmožen dokazati („odgovornost“).

Člen 5

Zakonitost obdelave

1.   Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)

obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene instituciji ali organu Unije;

(b)

obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(c)

obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(d)

posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(e)

obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe.

2.   Podlaga za obdelavo iz točk (a) in (b) odstavka 1 je določena v pravu Unije.

Člen 6

Obdelava podatkov za drug združljivi namen

Kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na pravu Unije, ki predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz člena 25(1), upravljavec, da bi ocenil, ali je obdelava za drug namen združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, med drugim upošteva:

(a)

kakršno koli povezavo med nameni, za katere so bili osebni podatki zbrani, in nameni načrtovane nadaljnje obdelave;

(b)

okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in upravljavcem;

(c)

naravo osebnih podatkov, zlasti ali se obdelujejo posebne vrste osebnih podatkov v skladu s členom 10 ali pa se obdelujejo osebni podatki v zvezi s kazenskimi obsodbami in prekrški v skladu s členom 11;

(d)

morebitne posledice predvidene nadaljnje obdelave za posameznike, na katere se nanašajo osebni podatki;

(e)

obstoj ustreznih zaščitnih ukrepov, ki lahko vključujejo šifriranje ali psevdonimizacijo.

Člen 7

Pogoji za privolitev

1.   Kadar obdelava temelji na privolitvi, mora biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov.

2.   Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana v pisni izjavi, ki se nanaša tudi na druge zadeve, se zahteva za privolitev predloži na način, ki se jasno razlikuje od drugih zadev, v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. Deli take izjave, ki predstavljajo kršitev te uredbe, niso zavezujoči.

3.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. O tem se pred privolitvijo obvesti posameznik, na katerega se nanašajo osebni podatki. Privolitev je enako enostavno preklicati kot dati.

4.   Pri ugotavljanju, ali je bila privolitev dana prostovoljno, se med drugim zlasti upošteva, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe.

Člen 8

Pogoji, ki se uporabljajo za privolitev otroka v zvezi s storitvami informacijske družbe

1.   Kadar se uporablja točka (d) člena 5(1), je v zvezi s storitvami informacijske družbe, ki se ponujajo neposredno otroku, obdelava osebnih podatkov otroka zakonita, kadar ima otrok vsaj 13 let. Kadar je otrok mlajši od 13 let, je takšna obdelava zakonita le, če in kolikor takšno privolitev da ali odobri nosilec starševske odgovornosti za otroka.

2.   Upravljavec ob upoštevanju razpoložljive tehnologije v takih primerih vloži razumen napor v preveritev, ali je nosilec starševske odgovornosti za otroka dal ali odobril privolitev.

3.   Odstavek 1 ne vpliva na splošno pogodbeno pravo držav članic, kot so pravila o veljavnosti, oblikovanju ali učinku pogodbe v zvezi z otrokom.

Člen 9

Prenos osebnih podatkov uporabnikom, ustanovljenim v Uniji, ki niso institucije in organi Unije

1.   Brez poseganja v člene 4 do 6 in 10 se osebni podatki prenesejo uporabnikom, ustanovljenim v Uniji, ki niso institucije in organi Unije, le če:

(a)

uporabnik izkaže, da so podatki potrebni za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene uporabniku, ali

(b)

uporabnik izkaže, da je prenos podatkov potreben za konkreten namen v javnem interesu, uporabnik pa v primeru, ko obstaja razlog za domnevo, da bi to lahko posegalo v zakonite interese posameznika, na katerega se nanašajo osebni podatki, ugotovi, potem ko je na preverljiv način pretehtal različne navzkrižne interese, da je prenos osebnih podatkov za ta konkretni namen sorazmeren.

2.   Kadar se prenos podatkov na podlagi tega člena izvede na pobudo upravljavca, upravljavec z uporabo meril iz točke (a) ali (b) odstavka 1 dokaže, da je prenos osebnih podatkov potreben in sorazmeren z nameni prenosa.

3.   Institucije in organi Unije v skladu s pravom Unije uskladijo pravico do varstva osebnih podatkov s pravico do dostopa do dokumentov.

Člen 10

Obdelava posebnih vrst osebnih podatkov

1.   Prepovedani sta obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

2.   Odstavek 1 se ne uporablja, če velja eno od naslednjega:

(a)

posameznik, na katerega se nanašajo osebni podatki, je dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1;

(b)

obdelava je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika, na katerega se nanašajo osebni podatki, na področju delovnega prava ter prava socialne varnosti in socialnega varstva, če to dovoljuje pravo Unije, ki zagotavlja ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki;

(c)

obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali poslovno ni sposoben dati privolitve;

(d)

obdelavo v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi izvaja neprofitni organ, ki je subjekt, vključen v institucijo ali organ Unije, s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane tega telesa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se podatki ne razkrijejo zunaj tega telesa brez privolitve posameznikov, na katere se nanašajo osebni podatki;

(e)

obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi;

(f)

obdelava je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali kadar koli Sodišče izvaja svojo pravosodno funkcijo;

(g)

obdelava je potrebna iz razlogov bistvenega javnega interesa na podlagi prava Unije, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki;

(h)

obdelava je potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz odstavka 3;

(i)

obdelava je potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov, na podlagi prava Unije, ki zagotavlja ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti; ali

(j)

obdelava je potrebna za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene na podlagi prava Unije, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki.

3.   Osebni podatki iz odstavka 1 se lahko obdelujejo za namene iz točke (h) odstavka 2, kadar jih obdeluje ali je za njihovo obdelavo odgovoren strokovnjak, za katerega velja obveznost varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi, ali druga oseba, za katero tudi velja obveznost varovanja skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi.

Člen 11

Obdelava osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški

Obdelava osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški ali s tem povezanimi varnostnimi ukrepi na podlagi člena 5(1) se izvaja le pod nadzorom uradnega organa ali če obdelavo dovoljuje pravo Unije, ki zagotavlja ustrezne zaščitne ukrepe za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

Člen 12

Obdelava, ki ne zahteva identifikacije

1.   Če upravljavec za namene, za katere obdeluje osebne podatke, ne potrebuje ali ne potrebuje več identifikacije posameznika, na katerega se nanašajo osebni podatki, upravljavec ni zavezan ohraniti, pridobiti ali obdelati dodatnih informacij, da bi identificiral posameznika, na katerega se nanašajo osebni podatki, samo zaradi zagotavljanja skladnosti s to uredbo.

2.   Kadar lahko upravljavec v primerih iz odstavka 1 tega člena dokaže, da ne more identificirati posameznika, na katerega se nanašajo osebni podatki, upravljavec o tem po možnosti ustrezno obvesti posameznika, na katerega se nanašajo osebni podatki. V takih primerih se členi 17 do 22 ne uporabljajo, razen kadar posameznik, na katerega se nanašajo osebni podatki, za uresničevanje svojih pravic na podlagi teh členov zagotovi dodatne informacije, s katerimi ga je mogoče identificirati.

Člen 13

Zaščitni ukrepi v zvezi z obdelavo za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene

Za obdelavo v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene se v skladu s to uredbo uporabljajo ustrezni zaščitni ukrepi za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. S temi zaščitnimi ukrepi se zagotovi, da se sprejmejo tehnični in organizacijski ukrepi, s katerimi se zagotovi zlasti spoštovanje načela najmanjšega obsega podatkov. Ti ukrepi lahko vključujejo psevdonimizacijo, kadar se ti nameni lahko uresničijo na ta način. Kadar se ti nameni lahko uresničijo z nadaljnjo obdelavo, ki ne omogoča ali več ne omogoča identifikacije posameznikov, na katere se nanašajo osebni podatki, se ti nameni uresničijo na ta način.

POGLAVJE III

PRAVICE POSAMEZNIKA, NA KATEREGA SE NANAŠAJO OSEBNI PODATKI

ODDELEK 1

Preglednost in načini

Člen 14

Pregledne informacije, sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki

1.   Upravljavec sprejme ustrezne ukrepe, s katerimi zagotovi posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz členov 15 in 16 ter sporočila iz členov 17 do 24 in 35, povezana z obdelavo, v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku, kar velja zlasti za vse informacije, namenjene posebej otroku. Informacije se posredujejo v pisni obliki ali z drugimi sredstvi, vključno, kadar je ustrezno, z elektronskimi sredstvi. Na zahtevo posameznika, na katerega se nanašajo osebni podatki, se lahko informacije predložijo ustno, pod pogojem, da se identiteta posameznika, na katerega se nanašajo osebni podatki, dokaže z drugimi sredstvi.

2.   Upravljavec posamezniku, na katerega se nanašajo osebni podatki, olajša uresničevanje njegovih pravic iz členov 17 do 24. V primerih iz člena 12(2) upravljavec ne zavrne ukrepanja na zahtevo posameznika, na katerega se nanašajo osebni podatki, za uresničevanje njegovih pravic iz členov 17 do 24, razen če upravljavec dokaže, da ne more identificirati posameznika, na katerega se nanašajo osebni podatki.

3.   Upravljavec informacije o ukrepih, sprejetih na zahtevo v skladu s členi 17 do 24, posamezniku, na katerega se nanašajo osebni podatki, zagotovi brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, se informacije, kadar je mogoče, zagotovijo z elektronskimi sredstvi, razen če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače.

4.   Če upravljavec ne ukrepa na zahtevo posameznika, na katerega se nanašajo osebni podatki, upravljavec takega posameznika brez odlašanja, najpozneje pa v enem mesecu po prejemu zahteve, obvesti o razlogih za neukrepanje ter o možnosti vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov in možnosti uveljavljanja pravnih sredstev.

5.   Informacije, zagotovljene na podlagi členov 15 in 16, ter vsa sporočila in ukrepi, sprejeti na podlagi členov 17 do 24 in 35, se zagotovijo brezplačno. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko upravljavec zavrne ukrepanje v zvezi z zahtevo. Upravljavec nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

6.   Brez poseganja v člen 12 lahko upravljavec, kadar ima upravičen dvom v zvezi z identiteto posameznika, ki predloži zahtevo iz členov 17 do 23, zahteva zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki.

7.   Informacije, ki se zagotovijo posameznikom, na katere se nanašajo osebni podatki, v skladu s členoma 15 in 16, se lahko navedejo skupaj z uporabo standardiziranih ikon, da se v jasno razvidni, razumljivi in berljivi obliki zagotovi smiseln pregled načrtovane obdelave. Kadar so ikone navedene v elektronski obliki, so strojno berljive.

8.   Kadar Komisija sprejme delegirane akte v skladu s členom 12(8) Uredbe (EU) 2016/679, s katerimi določi informacije, ki se navedejo v ikonah, in postopke za določitev standardiziranih ikon, institucije in organi Unije, kadar je primerno, skupaj s takimi standardiziranimi ikonami zagotovijo informacije v skladu s členoma 15 in 16 te uredbe.

ODDELEK 2

Informacije in dostop do osebnih podatkov

Člen 15

Informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki

1.   Kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije:

(a)

identiteto in kontaktne podatke upravljavca;

(b)

kontaktne podatke pooblaščene osebe za varstvo podatkov;

(c)

namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

(d)

uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo;

(e)

kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 48 sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

2.   Poleg informacij iz odstavka 1 upravljavec takrat, ko pridobi osebne podatke, posamezniku, na katerega se ti nanašajo, zagotovi naslednje dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave:

(a)

obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(b)

obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali, kadar je ustrezno, obstoj pravice do ugovora obdelavi ali pravice do prenosljivosti podatkov;

(c)

kadar obdelava temelji na točki (d) člena 5(1) ali točki (a) člena 10(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

(d)

pravico do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov;

(e)

ali je zagotovitev osebnih podatkov zakonska ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo;

(f)

obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 24(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

3.   Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki zbrani, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.

4.   Odstavki 1, 2 in 3 se ne uporabljajo, kadar in kolikor posameznik, na katerega se nanašajo osebni podatki, že ima informacije.

Člen 16

Informacije, ki jih je treba zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se nanašajo

1.   Kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se nanašajo, upravljavec, posamezniku, na katerega se nanašajo osebni podatki zagotovi naslednje informacije:

(a)

identiteto in kontaktne podatke upravljavca;

(b)

kontaktne podatke pooblaščene osebe za varstvo podatkov;

(c)

namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

(d)

vrste zadevnih osebnih podatkov;

(e)

uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;

(f)

kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 48 sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

2.   Upravljavec poleg informacij iz odstavka 1 posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje dodatne informacije, ki so potrebne za zagotavljanje poštene in pregledne obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki:

(a)

obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(b)

obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali, kadar je potrebno, obstoj pravice do ugovora obdelavi ali pravice do prenosljivosti podatkov;

(c)

kadar obdelava temelji na točki (d) člena 5(1) ali točki (a) člena 10(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

(d)

pravico do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov;

(e)

od kje izvirajo osebni podatki in po potrebi, ali izvirajo iz javno dostopnih virov;

(f)

obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 24(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

3.   Upravljavec zagotovi informacije iz odstavkov 1 in 2:

(a)

v razumnem roku po prejemu osebnih podatkov, vendar najpozneje v enem mesecu, pri čemer se upoštevajo posebne okoliščine, v katerih se obdelujejo osebni podatki;

(b)

če se bodo osebni podatki uporabili za komuniciranje s posameznikom, na katerega se nanašajo osebni podatki, najpozneje ob prvem komuniciranju s tem posameznikom, ali

(c)

če je predvideno razkritje drugemu uporabniku, najpozneje ob prvem razkritju osebnih podatkov.

4.   Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki pridobljeni, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.

5.   Odstavki 1 do 4 se ne uporabljajo, kadar in kolikor:

(a)

posameznik, na katerega se nanašajo osebni podatki, že ima informacije;

(b)

se izkaže, da je zagotavljanje takih informacij nemogoče ali bi vključevalo nesorazmeren napor, zlasti pri obdelavi v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, ali kolikor bi obveznost iz odstavka 1 tega člena lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave;

(c)

je pridobitev ali razkritje izrecno določeno s pravom Unije, ki določa ustrezne ukrepe za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ali

(d)

morajo osebni podatki ostati zaupni ob upoštevanju obveznosti varovanja poklicne skrivnosti v skladu s pravom Unije, vključno s predpisanimi obveznostmi varovanja skrivnosti.

6.   V primerih iz točke (b) odstavka 5 upravljavec sprejme ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, tudi tako, da informacije dajo na voljo javnosti.

Člen 17

Pravica dostopa posameznika, na katerega se nanašajo osebni podatki

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

(a)

namene obdelave;

(b)

vrste zadevnih osebnih podatkov;

(c)

uporabnike ali kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

(d)

kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(e)

obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;

(f)

pravico do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov;

(g)

kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;

(h)

obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 24(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

2.   Kadar se osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, ima posameznik, na katerega se nanašajo osebni podatki, pravico biti obveščen o ustreznih zaščitnih ukrepih v skladu s členom 48 v zvezi s prenosom.

3.   Upravljavec zagotovi kopijo osebnih podatkov, ki se obdelujejo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi in če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače, se informacije zagotovijo v elektronski obliki, ki je splošno uporabljana.

4.   Pravica do pridobitve kopije iz odstavka 3 ne vpliva negativno na pravice in svoboščine drugih.

ODDELEK 3

Popravek in izbris

Člen 18

Pravica do popravka

Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.

Člen 19

Pravica do izbrisa („pravica do pozabe“)

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

(a)

osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;

(b)

posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (d) člena 5(1) ali točko (a) člena 10(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

(c)

posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 23(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi;

(d)

osebni podatki so bili obdelani nezakonito;

(e)

osebne podatke je treba izbrisati za izpolnitev pravne obveznosti, ki velja za upravljavca;

(f)

osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1).

2.   Kadar upravljavec objavi osebne podatke in je v skladu z odstavkom 1 osebne podatke obvezan izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce ali upravljavce, ki niso institucije in organi Unije, ki obdelujejo osebne podatke, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.

3.   Odstavka 1 in 2 se ne uporabljata, če je obdelava potrebna:

(a)

za uresničevanje pravice do svobode izražanja in obveščanja;

(b)

za izpolnjevanje pravne obveznosti, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;

(c)

iz razlogov javnega interesa na področju javnega zdravja v skladu s točkama (h) in (i) člena 10(2) ter členom 10(3);

(d)

za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, kolikor bi pravica iz odstavka 1 lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali

(e)

za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

Člen 20

Pravica do omejitve obdelave

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec omeji obdelavo, kadar velja en od naslednjih primerov:

(a)

posameznik, na katerega se nanašajo osebni podatki, oporeka točnosti osebnih podatkov, in sicer za obdobje, ki upravljavcu omogoča preveritev točnosti osebnih podatkov, vključno z njihovo popolnostjo;

(b)

je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;

(c)

upravljavec osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;

(d)

je posameznik, na katerega se nanašajo osebni podatki, vložil ugovor v zvezi z obdelavo v skladu s členom 23(1), dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.

2.   Kadar je bila obdelava osebnih podatkov omejena v skladu z odstavkom 1, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le s privolitvijo posameznika, na katerega se ti nanašajo, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov, ali zaradi varstva pravic druge fizične ali pravne osebe, ali zaradi pomembnega javnega interesa Unije ali države članice.

3.   Upravljavec pred preklicem omejitve obdelave o tem obvesti posameznika, na katerega se nanašajo osebni podatki in ki je dosegel omejitev obdelave v skladu z odstavkom 1.

4.   Pri avtomatiziranih zbirkah se omejitev obdelave načeloma zagotovi s tehničnimi sredstvi. Dejstvo, da so osebni podatki omejeni, se označi v sistemu na način, ki jasno pokaže, da se osebni podatki ne smejo uporabiti.

Člen 21

Obveznost obveščanja v zvezi s popravkom ali izbrisom osebnih podatkov ali omejitvijo obdelave

Upravljavec vsakemu uporabniku, ki so mu bili osebni podatki razkriti, sporoči vse popravke ali izbrise osebnih podatkov ali omejitve obdelave v skladu s členom 18, členom 19(1) in členom 20, razen če se to izkaže za nemogoče ali vključuje nesorazmeren napor. Upravljavec o teh uporabnikih obvesti posameznika, na katerega se nanašajo osebni podatki, če ta posameznik tako zahteva.

Člen 22

Pravica do prenosljivosti podatkov

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, kadar:

(a)

obdelava temelji na privolitvi v skladu s točko (d) člena 5(1) ali točko (a) člena 10(2) ali na pogodbi v skladu s točko (c) člena 5(1) in

(b)

se obdelava izvaja z avtomatiziranimi sredstvi.

2.   Pri uresničevanju pravice do prenosljivosti podatkov v skladu z odstavkom 1 ima posameznik, na katerega se nanašajo osebni podatki, pravico, da se osebni podatki neposredno prenesejo od enega upravljavca k drugemu ali upravljavcem, ki niso institucije in organi Unije, kadar je to tehnično izvedljivo.

3.   Uresničevanje pravice iz odstavka 1 tega člena ne posega v člen 19. Ta pravica se ne uporablja za obdelavo, potrebno za opravljanje naloge, ki se izvaja v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.

4.   Pravica iz odstavka 1 ne vpliva negativno na pravice in svoboščine drugih.

ODDELEK 4

Pravica do ugovora in avtomatizirano sprejemanje posameznih odločitev

Člen 23

Pravica do ugovora

1.   Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, ki temelji na točki (a) člena 5(1), vključno z oblikovanjem profilov na podlagi navedene določbe. Upravljavec preneha obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

2.   Posameznika, na katerega se nanašajo osebni podatki, se na pravico iz odstavka 1 izrecno opozori najpozneje ob prvem komuniciranju z njim in se mu to pravico predstavi jasno in ločeno od vseh drugih informacij.

3.   V okviru uporabe storitev informacijske družbe in neglede na člena 36 in 37 lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja pravico do ugovora z avtomatiziranimi sredstvi z uporabo tehničnih specifikacij.

4.   Kadar se osebni podatki obdelujejo v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, ima posameznik, na katerega se ti podatki nanašajo, pravico, da iz razlogov, povezanih z njegovim posebnim položajem, ugovarja obdelavi osebnih podatkov v zvezi z njim, razen če je obdelava potrebna za opravljanje naloge, ki se izvaja zaradi razlogov javnega interesa.

Člen 24

Avtomatizirano sprejemanje posameznih odločitev, vključno z oblikovanjem profilov

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva.

2.   Odstavek 1 se ne uporablja, če je odločitev:

(a)

nujna za sklenitev ali izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem;

(b)

dovoljena v pravu Unije, ki določa tudi ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ali

(c)

utemeljena z izrecno privolitvijo posameznika, na katerega se nanašajo osebni podatki.

3.   V primerih, navedenih v točkah (a) in (c) odstavka 2, upravljavec podatkov izvede ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja upravljavca, do izražanja lastnega stališča in izpodbijanja odločitve.

4.   Odločitve iz odstavka 2 tega člena ne temeljijo na posebnih vrstah osebnih podatkov iz člena 10(1), razen če se uporablja točka (a) ali (g) člena 10(2) in se izvajajo ustrezni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

ODDELEK 5

Omejitve

Člen 25

Omejitve

1.   Pravni akti, sprejeti na podlagi Pogodb ali, kadar se zadeve nanašajo na delovanje institucij in organov Unije, notranji predpisi, ki jih določijo te institucije in organi, lahko omejijo uporabo členov 14 do 22, 35 in 36, ko tudi člena 4, kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 22, če taka omejitev spoštuje bistvo temeljnih pravic in svoboščin ter je potreben in sorazmeren ukrep v demokratični družbi za zagotavljanje:

(a)

državne varnosti, javne varnosti ali obrambe držav članic;

(b)

preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem;

(c)

drugih pomembnih ciljev v splošnem javnem interesu Unije ali države članice, zlasti ciljev skupne zunanje in varnostne politike Unije ali pomembnega gospodarskega ali finančnega interesa Unije ali države članice, vključno z denarnimi, proračunskimi in davčnimi zadevami, javnim zdravjem in socialno varnostjo;

(d)

notranje varnosti institucij in organov Unije, vključno z varnostjo njihovih elektronskih komunikacijskih omrežij;

(e)

varstva neodvisnosti sodstva in sodnega postopka;

(f)

preprečevanja, preiskovanja, odkrivanja in pregona kršitev etike v zakonsko urejenih poklicih;

(g)

spremljanja, pregledovanja ali urejanja, povezanega, lahko tudi zgolj občasno, z izvajanjem javne oblasti v primerih iz točk (a) do (c);

(h)

varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih;

(i)

uveljavljanja civilnopravnih zahtevkov.

2.   Vsak zakonodajni ukrep ali notranji predpis iz odstavka 1 po potrebi vsebuje zlasti posebne določbe glede:

(a)

namenov obdelave ali vrst obdelave;

(b)

vrst osebnih podatkov;

(c)

obsega uvedenih omejitev;

(d)

zaščitnih ukrepov za preprečitev zlorab ali nezakonitega dostopa ali prenosa;

(e)

natančnejše ureditve upravljavca ali vrst upravljavcev;

(f)

obdobij hrambe in veljavnih zaščitnih ukrepov, pri čemer se upoštevajo narava, obseg in nameni obdelave ali vrste obdelave; ter

(g)

tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

3.   Kadar se osebni podatki obdelujejo v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, se lahko v pravu Unije, ki lahko vključuje notranje predpise, ki jih institucije in organi Unije sprejmejo v zvezi z zadevami, ki se nanašajo na njihovo delovanje, določijo odstopanja od pravic iz členov 17, 18, 20 in 23, za katere veljajo pogoji in zaščitni ukrepi iz člena 13, kolikor je verjetno, da bi takšne pravice onemogočile ali resno ovirale doseganje posebnih namenov, in kolikor so takšna odstopanja nujna za uresničitev teh namenov.

4.   Kadar se osebni podatki obdelujejo za namene arhiviranja v javnem interesu, se lahko v pravu Unije, ki lahko vključuje notranje predpise, ki jih institucije in organi Unije sprejmejo v zvezi z zadevami, ki se nanašajo na njihovo delovanje, določijo odstopanja od pravic iz členov 17, 18, 20, 21, 22 in 23, za katere veljajo pogoji in zaščitni ukrepi iz člena 13, kolikor je verjetno, da bi takšne pravice onemogočile ali resno ovirale doseganje posebnih namenov, in kolikor so takšna odstopanja nujna za uresničitev teh namenov.

5.   Notranji predpisi iz odstavkov 1, 3 in 4 morajo biti jasni in natančni splošno veljavni akti s pravnimi učinki za posameznike, na katere se nanašajo osebni podatki, ki se sprejmejo na najvišji ravni vodstva institucij in organov Unije in se objavijo v Uradnem listu Evropske unije.

6.   Če se naloži omejitev v skladu z odstavkom 1, se v skladu s pravom Unije posameznika, na katerega se nanašajo osebni podatki, obvesti o glavnih razlogih, na katerih temelji uporaba omejitve, in o njegovi pravici, da vloži pritožbo pri Evropskem nadzorniku za varstvo podatkov.

7.   Če se dostop posamezniku, na katerega se nanašajo osebni podatki, zavrne s sklicevanjem na omejitev, naloženo v skladu z odstavkom 1, Evropski nadzornik za varstvo podatkov pri preiskovanju pritožbe posameznika samo obvesti, ali so bili podatki pravilno obdelani, in če niso bili, ali so bili opravljeni morebitni potrebni popravki.

8.   Zagotavljanje informacij iz odstavkov 6 in 7 tega člena ter člena 45(2) se lahko preloži, opusti ali zavrne, če bi se s tem izničil učinek omejitve, naložene v skladu z odstavkom 1 tega člena.

POGLAVJE IV

UPRAVLJAVEC IN OBDELOVALEC

ODDELEK 1

Splošne obveznosti

Člen 26

Odgovornost upravljavca

1.   Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kadar je to potrebno.

2.   Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.

3.   Izvajanje odobrenega mehanizma certificiranja iz člena 42 Uredbe (EU) 2016/679 se lahko uporabi kot element za izkazovanje izpolnjevanja obveznosti upravljavca.

Člen 27

Vgrajeno in privzeto varstvo podatkov

1.   Ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki so povezana z obdelavo in se razlikujejo po verjetnosti in resnosti, upravljavec tako v času določanja sredstev obdelave kot tudi v času same obdelave izvaja ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve te uredbe in zavarujejo pravice posameznikov, na katere se nanašajo osebni podatki.

2.   Upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da osebni podatki niso samodejno dostopni nedoločenemu številu posameznikov brez posredovanja zadevnega posameznika.

3.   Odobreni mehanizem certificiranja v skladu s členom 42 Uredbe (EU) 2016/679 se lahko uporabi kot element za izkazovanje izpolnjevanja obveznosti iz odstavkov 1 in 2 tega člena.

Člen 28

Skupni upravljavci

1.   Kadar dva ali več upravljavcev, ali eden ali več upravljavcev hkrati z upravljavci, ki niso institucije ali organi Unije, skupaj določijo namene in načine obdelave, so skupni upravljavci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja njihovih obveznosti varstva podatkov, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz členov 15 in 16, razen če in kolikor so dolžnosti vsakega od skupnih upravljavcev določene s pravom Unije ali pravom države članice, ki velja za skupne upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki.

2.   Dogovor iz odstavka 1 ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznikov, na katere se nanašajo osebni podatki. Bistveno vsebino dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki.

3.   Posameznik, na katerega se nanašajo osebni podatki, lahko ne glede na pogoje dogovora iz odstavka 1 uresničuje svoje pravice v skladu s to uredbo glede vsakega od upravljavcev in proti vsakemu od njih.

Člen 29

Obdelovalec

1.   Kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

2.   Obdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

3.   Obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca in v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

(a)

osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;

(b)

zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c)

sprejme vse ukrepe, potrebne v skladu s členom 33;

(d)

spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;

(e)

ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f)

upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 33 do 41 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;

(g)

v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;

(h)

da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

V zvezi s točko (h) prvega pododstavka obdelovalec nemudoma obvesti upravljavca, če po njegovem mnenju navodilo krši to uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov.

4.   Kadar obdelovalec zadolži drugega obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu upravljavca, za tega drugega obdelovalca na podlagi pogodbe ali drugega pravnega akta v skladu s pravom Unije ali pravom države članice veljajo enake obveznosti varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem iz odstavka 3, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz te uredbe. Kadar ta drugi obdelovalec ne izpolni obveznosti varstva podatkov, prvi obdelovalec še naprej v celoti odgovarja upravljavcu za izpolnjevanje obveznosti drugega obdelovalca.

5.   Kadar obdelovalec ni institucija ali organ Unije, se lahko njegova zavezanost k odobrenemu kodeksu ravnanja iz člena 40(5) Uredbe (EU) 2016/679 ali izvajanje odobrenega mehanizma certificiranja iz člena 42 Uredbe (EU) 2016/679 uporabi kot element, s katerim se izkaže zagotavljanje zadostnih jamstev iz odstavkov 1 in 4 tega člena.

6.   Brez poseganja v katero koli individualno pogodbo med upravljavcem in obdelovalcem lahko pogodba ali drug pravni akt iz odstavkov 3 in 4 tega člena v celoti ali delno temelji na standardnih pogodbenih določilih iz odstavkov 7 in 8 tega člena, tudi ko so del certifikata, izdanega obdelovalcu, ki ni institucija ali organ Unije, v skladu s členom 42 Uredbe (EU) 2016/679.

7.   Komisija lahko določi standardna pogodbena določila za zadeve iz odstavkov 3 in 4 tega člena ter v skladu s postopkom pregleda iz člena 96(2).

8.   Evropski nadzornik za varstvo podatkov lahko sprejme standardna pogodbena določila za zadeve iz odstavkov 3 in 4.

9.   Pogodba ali drug pravni akt iz odstavkov 3 in 4 je v pisni obliki, vključno z elektronsko obliko.

10.   Brez poseganja v člena 65 in 66, če obdelovalec krši to uredbo s tem, ko določi namene in sredstva obdelave, se obdelovalec šteje za upravljavca v zvezi s to obdelavo.

Člen 30

Obdelava pod vodstvom upravljavca ali obdelovalca

Obdelovalec in katera koli oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca in ima dostop do osebnih podatkov, teh podatkov ne sme obdelati brez navodil upravljavca, razen če to od njega zahteva pravo Unije ali pravo države članice.

Člen 31

Evidenca dejavnosti obdelave

1.   Vsak upravljavec vodi evidenco dejavnosti obdelave v okviru svoje odgovornosti. Ta evidenca vsebuje vse naslednje informacije:

(a)

ime in kontaktne podatke upravljavca, pooblaščene osebe za varstvo podatkov in, kadar je ustrezno, obdelovalca in skupnega upravljavca;

(b)

namene obdelave;

(c)

opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;

(d)

kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v državah članicah, tretjih državah ali mednarodnih organizacijah;

(e)

kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije, in dokumentacijo o ustreznih zaščitnih ukrepih;

(f)

kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;

(g)

kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 33.

2.   Vsak obdelovalec vodi evidenco vseh vrst dejavnosti obdelave, ki jih izvaja v imenu upravljavca, ki vsebuje:

(a)

naziv in ime in kontaktne podatke obdelovalca ali obdelovalcev, posameznih upravljavcev, v imenu katerih deluje obdelovalec, in pooblaščene osebe za varstvo podatkov;

(b)

vrste obdelave, ki se izvajajo v imenu posameznega upravljavca;

(c)

kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije, in dokumentacijo o ustreznih zaščitnih ukrepih;

(d)

kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 33.

3.   Evidence iz odstavkov 1 in 2 so v pisni obliki, vključno v elektronski obliki.

4.   Institucije in organi Unije Evropskemu nadzorniku za varstvo podatkov na zahtevo omogočijo dostop do evidenc.

5.   Institucije in organi Unije svoje evidence dejavnosti obdelave hranijo v centralnem registru, razen če glede na velikost institucije ali organa Unije to ni primerno. Poskrbijo, da je zadevni register javno dostopen.

Člen 32

Sodelovanje z Evropskim nadzornikom za varstvo podatkov

Institucije in organi Unije na zahtevo sodelujejo z Evropskim nadzornikom za varstvo podatkov pri izvajanju njegovih nalog.

ODDELEK 2

Varnost osebnih podatkov

Člen 33

Varnost obdelave

1.   Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

(a)

psevdonimizacijo in šifriranjem osebnih podatkov;

(b)

zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;

(c)

zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

(d)

postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.

2.   Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

3.   Upravljavec in obdelovalec zagotovita, da katera koli posameznik, ki ukrepa pod vodstvom upravljavca ali obdelovalca, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil upravljavca, razen če to od nje zahteva pravo Unije.

4.   Izvajanje odobrenega mehanizma certificiranja iz člena 42 Uredbe (EU) 2016/679 se lahko uporabi kot element, s katerim se izkaže izpolnjevanje zahtev iz odstavka 1 tega člena.

Člen 34

Obvestilo Evropskemu nadzorniku za varstvo podatkov o kršitvi varnosti osebnih podatkov

1.   V primeru kršitve varnosti osebnih podatkov upravljavec brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej obvesti Evropskega nadzornika za varstvo podatkov, razen če ni verjetno, da bi bile s kršitvijo varnosti osebnih podatkov ogrožene pravice in svoboščine posameznikov. Kadar obvestilo Evropskemu nadzorniku za varstvo podatkov ni podano v 72 urah, se mu priloži navedba razlogov za zamudo.

2.   Obdelovalec po seznanitvi s kršitvijo varnosti osebnih podatkov brez nepotrebnega odlašanja obvesti upravljavca.

3.   Obvestilo iz odstavka 1 vsebuje vsaj:

(a)

opis vrste kršitve varnosti osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;

(b)

sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varnost podatkov;

(c)

opis verjetnih posledic kršitve varnosti osebnih podatkov;

(d)

opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varnosti osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.

4.   Kadar in kolikor informacij ni mogoče zagotoviti sočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.

5.   Upravljavec pooblaščeno osebo za varstvo podatkov obvesti o kršitvi varstva osebnih podatkov.

6.   Upravljavec dokumentira vsako kršitev varnosti osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varnosti osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija Evropskemu nadzorniku za varstvo podatkov omogoči, da preveri skladnost s tem členom.

Člen 35

Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov

1.   Kadar je verjetno, da kršitev varnosti osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varnosti osebnih podatkov.

2.   V sporočilu posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena je v jasnem in preprostem jeziku opisana vrsta kršitve varnosti osebnih podatkov ter so vsebovane vsaj informacije in ukrepi iz točk (b), (c) in (d) člena 34(3).

3.   Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 ni potrebno, če je izpolnjen kateri koli od naslednjih pogojev:

(a)

upravljavec je izvedel ustrezne tehnične in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena kršitev varnosti, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje;

(b)

upravljavec je sprejel naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1 verjetno ne bo več udejanjilo;

(c)

to bi zahtevalo nesorazmeren napor. V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

4.   Če upravljavec posameznika, na katerega se nanašajo osebni podatki, še ni obvestil o kršitvi varnosti osebnih podatkov, lahko Evropski nadzornik za varstvo podatkov to od njega zahteva po proučitvi verjetnosti, da bi kršitev varnosti osebnih podatkov povzročila veliko tveganje, ali pa lahko odloči, da je izpolnjen kateri koli od pogojev iz odstavka 3.

ODDELEK 3

Zaupnost elektronskih sporočil

Člen 36

Zaupnost elektronskih sporočil

Institucije in organi Unije zagotovijo zaupnost elektronskih sporočil, zlasti z zaščito svojih elektronskih komunikacijskih omrežij.

Člen 37

Varstvo informacij, ki so posredovane terminalski opremi uporabnikov omrežja ali opreme, so na njej shranjene, z njo povezane in obdelane oziroma so z nje zbrane

Institucije in organi Unije varujejo informacije, ki so posredovane terminalski opremi uporabnikov omrežja ali opreme, so na njej shranjene, z njo povezane in obdelane oziroma zbrane s terminalske opreme uporabnikov omrežja ali opreme, ki dostopa do njihovih javno dostopnih spletnih mest in mobilnih aplikacij v skladu s členom 5(3) Direktive 2002/58/ES.

Člen 38

Imeniki uporabnikov omrežja ali opreme

1.   Osebni podatki, ki jih vsebujejo imeniki uporabnikov omrežja ali opreme, in dostop do takih imenikov se omejijo na tisto, kar je nujno potrebno za posebne namene imenika.

2.   Institucije in organi Unije sprejmejo vse potrebne ukrepe, da preprečijo uporabo osebnih podatkov, ki jih taki imeniki vsebujejo, za namene neposrednega trženja, ne glede na to, ali so javnosti dostopni ali ne.

ODDELEK 4

Ocena učinka v zvezi z varstvom podatkov in predhodno posvetovanje

Člen 39

Ocena učinka v zvezi z varstvom podatkov

1.   Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.

2.   Upravljavec pri izvedbi ocene učinka v zvezi z varstvom podatkov za mnenje zaprosi pooblaščeno osebo za varstvo podatkov.

3.   Ocena učinka v zvezi z varstvom podatkov iz odstavka 1 se zahteva zlasti v primeru:

(a)

sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;

(b)

obsežne obdelave posebnih vrst podatkov iz člena 10 ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 11, ali

(c)

obsežnega sistematičnega spremljanja javno dostopnega območja.

4.   Evropski nadzornik za varstvo podatkov določi in objavi seznam vrst dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov v skladu z odstavkom 1.

5.   Evropski nadzornik za varstvo podatkov lahko tudi določi in objavi seznam vrst dejanj obdelave, za katere ne velja zahteva po oceni učinka v zvezi z varstvom podatkov.

6.   Evropski nadzornik za varstvo podatkov pred sprejetjem seznamov iz odstavkov 4 in 5 tega člena zaprosi Evropski odbor za varstvo podatkov, ustanovljen s členom 68 Uredbe (EU) 2016/679, naj v skladu s točko (e) člena 70(1) navedene uredbe te sezname preuči, kadar se nanašajo na dejanja obdelave, ki jih upravljavec izvaja skupaj z enim ali več upravljavci, ki niso institucije in organi Unije.

7.   Ocena zajema vsaj:

(a)

sistematičen opis predvidenih dejanj obdelave in namenov obdelave;

(b)

oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

(c)

oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1 ter

(d)

ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

8.   Pri ocenjevanju učinka dejanj obdelave, ki jih izvajajo zadevni obdelovalci, ki niso institucije in organi Unije, opravljenem zlasti za namene ocene učinka v zvezi z varstvom podatkov, se upošteva, ali taki obdelovalci spoštujejo odobrene kodekse ravnanja iz člena 40 Uredbe (EU) 2016/679.

9.   Po potrebi upravljavec glede predvidene obdelave zaprosi za mnenje posameznikov, na katere se nanašajo osebni podatki, ali njihovih predstavnikov, brez poseganja v zaščito javnih interesov ali varnost dejanj obdelave.

10.   Kadar je pravna podlaga za obdelavo v skladu s točko (a) ali (b) člena 5(1) pravni akt, sprejet na podlagi Pogodb, ki ureja zadevno posebno dejanje obdelave ali niz zadevnih dejanj obdelave, in je bila ocena učinka v zvezi z varstvom podatkov že izvedena v okviru splošne ocene učinka med sprejemanjem te pravne podlage, se odstavki 1 do 6 tega člena ne uporabljajo, razen če navedeni pravni akt določa drugače.

11.   Upravljavec po potrebi opravi pregled, da bi ocenil, ali obdelava poteka v skladu z oceno učinka v zvezi z varstvom podatkov, vsaj takrat, ko se spremeni tveganje, ki ga predstavljajo dejanja obdelave.

Člen 40

Predhodno posvetovanje

1.   Upravljavec se pred obdelavo posvetuje z Evropskim nadzornikom za varstvo podatkov, kadar je iz ocene učinka v zvezi z varstvom podatkov iz člena 39 razvidno, da bi obdelava zaradi neobstoječih zaščitnih ukrepov, varnostnih ukrepov in mehanizmov za ublažitev tveganja povzročila veliko tveganje za pravice in svoboščine posameznikov, in upravljavec meni, da tveganja ni mogoče ublažiti z razumnimi sredstvi ob upoštevanju razpoložljivih tehnologij in stroškov izvajanja. Upravljavec glede potrebe po predhodnem posvetovanju za mnenje zaprosi pooblaščeno osebo za varstvo podatkov.

2.   Kadar Evropski nadzornik za varstvo podatkov meni, da bi predvidena obdelava iz odstavka 1 kršila to uredbo, zlasti kadar upravljavec ni ustrezno opredelil ali ublažil tveganja, Evropski nadzornik za varstvo podatkov v roku do osmih tednov po prejemu zahteve za posvetovanje pisno svetuje upravljavcu, kadar je ustrezno, pa tudi obdelovalcu, in lahko uporabi katero koli pooblastilo iz člena 58. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša za nadaljnjih šest tednov. Evropski nadzornik za varstvo podatkov o vsakem takem podaljšanju obvesti upravljavca in, kadar je potrebno, obdelovalca v enem mesecu po prejemu zahteve za posvetovanje, skupaj z razlogi za zamudo. Ta rok se lahko začasno odloži, dokler Evropski nadzornik za varstvo podatkov ne pridobi informacij, ki jih je zahteval za namene posvetovanja.

3.   Pri posvetovanju z Evropskim nadzornikom za varstvo podatkov v skladu z odstavkom 1, upravljavec Evropskemu nadzorniku za varstvo podatkov predloži:

(a)

kadar je ustrezno, dolžnosti upravljavca, skupnih upravljavcev in obdelovalcev, vključenih v obdelavo;

(b)

namene in sredstva predvidene obdelave;

(c)

ukrepe in zaščitne ukrepe za zaščito pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, v skladu s to uredbo;

(d)

kontaktne podatke pooblaščene osebe za varstvo podatkov;

(e)

oceno učinka v zvezi z varstvom podatkov iz člena 39 in

(f)

vsakršne druge informacije, ki jih zahteva Evropski nadzornik za varstvo podatkov.

4.   Komisija lahko z izvedbenim aktom določi seznam primerov, v katerih se upravljavci posvetujejo z Evropskim nadzornikom za varstvo podatkov in od njega pridobijo predhodno dovoljenje v zvezi z obdelavo osebnih podatkov z namenom opravljanja naloge, ki jo upravljavec izvaja v javnem interesu, vključno z obdelavo takih podatkov v zvezi s socialnim varstvom in javnim zdravjem.

ODDELEK 5

Obveščanje in zakonodajno posvetovanje

Člen 41

Obveščanje in posvetovanje

1.   Institucije in organi Unije obvestijo Evropskega nadzornika za varstvo podatkov, kadar institucije in organi Unije pripravljajo upravne ukrepe in notranje predpise v zvezi z obdelavo osebnih podatkov bodisi sami ali skupaj z drugimi.

2.   Institucije in organi Unije se pri pripravi notranjih predpisov iz člena 25 posvetujejo z Evropskim nadzornikom za varstvo podatkov.

Člen 42

Zakonodajno posvetovanje

1.   Komisija se po sprejetju predloga zakonodajnega akta in priporočil ali predlogov Svetu v na podlagi člena 218 PDEU ali pri pripravi delegiranih aktov ali izvedbenih aktov, ki vplivajo na varstvo pravic in svoboščin posameznikov pri obdelavi osebnih podatkov, posvetuje z Evropskim nadzornikom za varstvo podatkov.

2.   Kadar je akt iz odstavka 1 zlasti pomemben za varstvo pravic in svoboščin posameznikov pri obdelavi osebnih podatkov, se Komisija lahko posvetuje tudi z Evropskim odborom za varstvo podatkov. V takih primerih Evropski nadzornik za varstvo podatkov in Evropski odbor za varstvo podatkov uskladita svoje delo, da izdata skupno mnenje.

3.   Mnenje iz odstavkov 1 in 2 se poda v pisni obliki v roku do osmih tednov po prejemu zahteve za posvetovanje iz odstavkov 1 in 2. Komisija lahko v nujnih primerih, ali če je drugače primerno, rok skrajša.

4.   Ta člen se ne uporablja, kadar se mora Komisija v skladu z Uredbo (EU) 2016/679 posvetovati z Evropskim odborom za varstvo podatkov.

ODDELEK 6

Pooblaščena oseba za varstvo podatkov

Člen 43

Imenovanje pooblaščene osebe za varstvo podatkov

1.   Vsaka institucija ali organ Unije imenuje pooblaščeno osebo za varstvo podatkov.

2.   Institucije in organi Unije lahko ob upoštevanju svoje organizacijske strukture in velikosti imenujejo eno pooblaščeno osebo za varstvo podatkov za več institucij ali organov.

3.   Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 45.

4.   Pooblaščena oseba za varstvo podatkov je član osebja institucije ali organa Unije. Ob upoštevanje svoje velikosti in če možnost iz odstavka 2 ni uporabljena, lahko institucije in organi Unije imenujejo pooblaščeno osebo za varstvo podatkov, ki svoje naloge opravlja na podlagi pogodbe o storitvah.

5.   Institucije in organi Unije objavijo kontaktne podatke pooblaščene osebe za varstvo podatkov in jih sporočijo Evropskemu nadzorniku za varstvo podatkov.

Člen 44

Položaj pooblaščene osebe za varstvo podatkov

1.   Institucije in organi Unije zagotovijo, da je pooblaščena oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.

2.   Institucije in organi Unije pooblaščeni osebi za varstvo podatkov pomagajo pri opravljanju nalog iz člena 45, tako da zagotovijo sredstva, potrebna za opravljanje teh nalog, in dostop do osebnih podatkov in dejanj obdelave, ter ohranjanje njenega strokovnega znanja.

3.   Institucije in organi Unije zagotovijo, da pooblaščena oseba za varstvo podatkov pri opravljanju svojih nalog ne prejema nobenih navodil. Upravljavec ali obdelovalec ne sme razrešiti ali kaznovati pooblaščene osebe za varstvo podatkov zaradi opravljanja njenih nalog. Pooblaščena oseba za varstvo podatkov neposredno poroča najvišji upravni ravni upravljavca ali obdelovalca.

4.   Posamezniki, na katere se nanašajo osebni podatki, lahko s pooblaščeno osebo za varstvo podatkov stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov in uresničevanjem njihovih pravic na podlagi te uredbe.

5.   Pooblaščena oseba za varstvo podatkov in njeno osebje sta pri opravljanju svojih nalog zavezana varovati skrivnost ali zaupnost v skladu s pravom Unije.

6.   Pooblaščena oseba za varstvo podatkov lahko opravlja druge naloge in dolžnosti. Upravljavec ali obdelovalec zagotovi, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov.

7.   S pooblaščeno osebo za varstvo podatkov se lahko upravljavec in obdelovalec, zadevni kadrovski odbor in kateri koli posameznik posvetujejo o vsaki zadevi v zvezi z razlago ali uporabo te uredbe, brez ukrepanja po uradni poti. Zaradi zadeve, predložene pooblaščeni osebi za varstvo podatkov z navedbo, da so bile kršene določbe te uredbe, nihče ne sme trpeti škode.

8.   Pooblaščena oseba za varstvo podatkov se imenuje za mandat treh do petih let in se lahko ponovno imenuje. Pooblaščeno osebo za varstvo podatkov lahko institucija ali organ Unije, ki jo je imenoval, razreši s položaja pooblaščene osebe za varstvo podatkov, če ne izpolnjuje več pogojev, potrebnih za opravljanje njenih dolžnosti in le s soglasjem Evropskega nadzornika za varstvo podatkov.

9.   Po njenem imenovanju institucija ali organ Unije, ki jo je imenoval, pooblaščeno osebo za varstvo podatkov vpiše pri Evropskem nadzorniku za varstvo podatkov.

Člen 45

Naloge pooblaščene osebe za varstvo podatkov

1.   Pooblaščena oseba za varstvo podatkov ima naslednje naloge:

(a)

obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to uredbo in drugimi določbami prava Unije o varstvu podatkov;

(b)

zagotavljanje interne uporabe te uredbe na neodvisen način; spremljanje skladnosti s to uredbo, drugim veljavnim pravom Unije, ki vsebuje določbe o varstvu podatkov, in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem zadolžitev, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;

(c)

zagotavljanje, da so posamezniki, na katere se nanašajo osebni podatki, obveščeni o svojih pravicah in obveznostih v skladu s to uredbo;

(d)

svetovanje, kadar je to zahtevano, glede potrebe po obvestilu ali sporočilu o kršitvi varnosti osebnih podatkov v skladu s členoma 34 in 35;

(e)

svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 39 ter posvetovanje z Evropskim nadzornikom za varstvo podatkov v primeru dvoma glede potrebe po oceni učinka v zvezi z varstvom podatkov;

(f)

svetovanje, kadar je to zahtevano, glede potrebe po predhodnem posvetovanju z Evropskim nadzornikom za varstvo podatkov v skladu s členom 40 ter posvetovanje z Evropskim nadzornikom za varstvo podatkov v primeru dvoma glede potrebe po predhodnem posvetovanju;

(g)

odgovarjanje na zahteve Evropskega nadzornika za varstvo podatkov; na področju svoje pristojnosti sodelovanje in posvetovanje z Evropskim nadzornikom za varstvo podatkov na zahtevo le-tega ali na lastno pobudo;

(h)

zagotavljanje, da dejanja obdelave nimajo negativnega vpliva na pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

2.   Pooblaščena oseba za varstvo podatkov lahko upravljavcu in obdelovalcu poda priporočila glede praktičnega izboljšanja varstva podatkov in jima svetuje glede zadev v zvezi z uporabo določb o varstvu podatkov. Poleg tega lahko na lastno pobudo ali na zahtevo upravljavca ali obdelovalca, zadevnega kadrovskega odbora ali katerega koli posameznika preiskuje zadeve in dogodke, ki se neposredno nanašajo na njene naloge in za katere izve, ter poroča osebi, ki je naročila preiskavo, oziroma upravljavcu ali obdelovalcu.

3.   Nadaljnja izvedbena pravila v zvezi s pooblaščeno osebo za varstvo podatkov sprejme vsaka institucija ali organ Unije. Izvedbena pravila se nanašajo predvsem na naloge, dolžnosti in pooblastila pooblaščene osebe za varstvo podatkov.

POGLAVJE V

PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE ALI MEDNARODNE ORGANIZACIJE

Člen 46

Splošno načelo za prenose

Vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, se ob upoštevanju drugih določb te uredbe izvede le, če upravljavec in obdelovalec ravnata v skladu s pogoji iz tega poglavja, kar velja tudi za nadaljnje prenose osebnih podatkov iz tretje države ali mednarodne organizacije v drugo tretjo državo ali drugo mednarodno organizacijo. Vse določbe tega poglavja se uporabljajo za zagotovitev, da ni ogrožena raven varstva posameznikov, ki jo zagotavlja ta uredba.

Člen 47

Prenosi na podlagi sklepa o ustreznosti

1.   Prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo se lahko izvede, če Komisija v skladu s členom 45(3) Uredbe (EU) 2016/679 ali členom 36(3) Direktive (EU) 2016/680 odloči, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov, in kadar se osebni podatki prenesejo le, da se lahko izvedejo naloge v pristojnosti upravljavca.

2.   Institucije in organi Unije Komisijo in Evropskega nadzornika za varstvo podatkov obvestijo o primerih, za katere menijo, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija, kateri nameravajo prenesti osebne podatke, ne zagotavlja ustrezne ravni varstva v smislu odstavka 1.

3.   Institucije in organi Unije sprejmejo potrebne ukrepe za uskladitev z odločitvami, ki jih sprejme Komisija, ko v skladu s členom 45(3) ali (5) Uredbe (EU) 2016/679 ali členom 36(3) ali (5) Direktive (EU) 2016/680 ugotovi, da tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva oziroma je več ne zagotavlja.

Člen 48

Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi

1.   Kadar sklep v skladu s členom 45(3) Uredbe (EU) 2016/679 ali členom 36(3) Direktive (EU) 2016/680 ni sprejet, lahko upravljavec ali obdelovalec osebne podatke prenese v tretjo državo ali mednarodno organizacijo le, če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe, in pod pogojem, da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva.

2.   Ustrezni zaščitni ukrepi iz odstavka 1 se lahko, ne da bi bilo potrebno posebno dovoljenje Evropskega nadzornika za varstvo podatkov, zagotovijo s:

(a)

pravno zavezujočim in izvršljivim instrumentom, ki ga sprejmejo javni organi ali telesa;

(b)

standardnimi določili o varstvu podatkov, ki jih sprejme Komisija v skladu s postopkom pregleda iz člena 96(2);

(c)

standardnimi določili o varstvu podatkov, ki jih sprejme Evropski nadzornik za varstvo podatkov in odobri Komisija v skladu s postopkom pregleda iz člena 96(2);

(d)

kadar obdelovalec ni institucija ali organ Unije, zavezujočimi poslovnimi pravili, kodeksi ravnanja ali mehanizmi certificiranja v skladu s točkami (b), (e) in (f) člena 46(2) Uredbe (EU) 2016/679.

3.   Ustrezni zaščitni ukrepi iz odstavka 1 se lahko z dovoljenjem Evropskega nadzornika za varstvo podatkov zagotovijo tudi zlasti s:

(a)

pogodbenimi določili med upravljavcem ali obdelovalcem in upravljavcem, obdelovalcem ali uporabnikom osebnih podatkov v tretji državi ali mednarodni organizaciji, ali

(b)

določbami, ki se vstavijo v upravne dogovore med javnimi organi ali telesi in v katere so vključene izvršljive in učinkovite pravice za posameznike, na katere se nanašajo osebni podatki.

4.   Dovoljenja Evropskega nadzornika za varstvo podatkov na podlagi člena 9(7) Uredbe (ES) št. 45/2001 ostanejo veljavna, dokler jih Evropski nadzornik za varstvo podatkov ne spremeni, nadomesti ali razveljavi, če je to potrebno.

5.   Institucije in organi Unije Evropskega nadzornika za varstvo podatkov obvestijo o kategorijah primerov, v katerih je bil uporabljen ta člen.

Člen 49

Prenosi ali razkritja, ki jih pravo Unije ne dovoljuje

Sodba sodišča in odločba upravnega organa tretje države, ki od upravljavca ali obdelovalca zahteva prenos ali razkritje osebnih podatkov, se lahko prizna ali izvrši na kateri koli način le, če temelji na mednarodnem sporazumu, kot je pogodba o medsebojni pravni pomoči, sklenjenem med tretjo državo prosilko in Unijo, brez poseganja v druge podlage za prenos v skladu s tem poglavjem.

Člen 50

Odstopanja v posebnih primerih

1.   Če sklep o ustreznosti v skladu s členom 45(3) Uredbe (EU) 2016/679 ali členom 36(3) Direktive (EU) 2016/680 ni sprejet ali pa niso sprejeti ustrezni zaščitni ukrepi v skladu s členom 48 te uredbe, se lahko prenos ali niz prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo izvede le pod enim izmed naslednjih pogojev:

(a)

posameznik, na katerega se nanašajo osebni podatki, je izrecno privolil v predlagani prenos, potem ko je bil obveščen o morebitnih tveganjih, ki jih zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov takšni prenosi pomenijo zanj;

(b)

prenos je potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki;

(c)

prenos je potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki;

(d)

prenos je potreben zaradi pomembnih razlogov javnega interesa;

(e)

prenos je potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;

(f)

prenos je potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugih oseb, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali poslovno ni sposoben dati privolitve, ali

(g)

prenos se opravi iz registra, ki je po pravu Unije namenjen zagotavljanju informacij javnosti in je na voljo za vpogled bodisi javnosti na splošno bodisi kateri koli osebi, ki lahko izkaže zakoniti interes, vendar le, če so v posameznem primeru izpolnjeni pogoji za tak vpogled, določeni s pravom Unije.

2.   Točke (a), (b) in (c) odstavka 1 se ne uporabljajo za dejavnosti, ki jih institucije in organi Unije opravljajo pri izvajanju svojih javnih pooblastil.

3.   Javni interes iz točke (d) odstavka 1 je priznan v pravu Unije.

4.   Prenos v skladu s točko (g) odstavka 1 ne vključuje vseh osebnih podatkov ali celih vrst osebnih podatkov, ki jih vsebuje register, razen če to dovoljuje pravo Unije. Kadar je register namenjen vpogledu oseb, ki imajo zakoniti interes, se prenos opravi samo, če to zahtevajo te osebe ali če bodo te osebe uporabniki.

5.   Če sklepa o ustreznosti ni, se lahko v pravu Unije zaradi pomembnih razlogov javnega interesa izrecno določijo omejitve prenosa posebnih vrst osebnih podatkov v tretjo državo ali mednarodno organizacijo.

6.   Institucije in organi Unije Evropskega nadzornika za varstvo podatkov obvestijo o kategorijah primerov, v katerih je bil uporabljen ta člen.

Člen 51

Mednarodno sodelovanje za varstvo osebnih podatkov

Evropski nadzornik za varstvo podatkov v sodelovanju s Komisijo in Evropskim odborom za varstvo podatkov v zvezi s tretjimi državami in mednarodnimi organizacijami sprejme ustrezne ukrepe za:

(a)

oblikovanje mehanizmov mednarodnega sodelovanja za spodbujanje učinkovitega izvrševanja zakonodaje o varstvu osebnih podatkov;

(b)

zagotavljanje mednarodne medsebojne pomoči pri izvrševanju zakonodaje o varstvu osebnih podatkov, vključno z uradnim obveščanjem, posredovanjem pritožb, pomočjo pri preiskavah in izmenjavo informacij, pri čemer se uporabljajo ustrezni zaščitni ukrepi za varstvo osebnih podatkov ter drugih temeljnih pravic in svoboščin;

(c)

vključevanje ustreznih deležnikov v razpravo in dejavnosti, katerih namen je spodbujanje mednarodnega sodelovanja pri izvrševanju zakonodaje o varstvu osebnih podatkov;

(d)

spodbujanje izmenjave in dokumentiranja zakonodaje in prakse za varstvo osebnih podatkov, vključno s spori glede sodne pristojnosti s tretjimi državami.

POGLAVJE VI

EVROPSKI NADZORNIK ZA VARSTVO PODATKOV

Člen 52

Evropski nadzornik za varstvo podatkov

1.   Ustanovi se Evropski nadzornik za varstvo podatkov.

2.   Evropski nadzornik za varstvo podatkov je v zvezi z obdelavo osebnih podatkov odgovoren za zagotovitev, da institucije in organi Unije spoštujejo temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva podatkov.

3.   Evropski nadzornik za varstvo podatkov je odgovoren za spremljanje in zagotavljanje uporabe določb te uredbe in vseh drugih aktov Unije v zvezi z varstvom temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov v instituciji ali organu Unije ter za svetovanje institucijam in organom Unije ter posameznikom, na katere se nanašajo osebni podatki, o vseh zadevah v zvezi z obdelavo osebnih podatkov. Evropski nadzornik za varstvo podatkov v ta namen izpolnjuje naloge iz člena 57 in izvaja pooblastila, dodeljena v členu 58.

4.   Uredba (ES) št. 1049/2001 se uporablja za dokumente, ki jih hrani Evropski nadzornik za varstvo podatkov. Evropski nadzornik za varstvo podatkov sprejme podrobna pravila za uporabo Uredbe (ES) št. 1049/2001 v zvezi s temi dokumenti.

Člen 53

Imenovanje evropskega nadzornika za varstvo podatkov

1.   Evropski parlament in Svet s skupnim soglasjem imenujeta evropskega nadzornika za varstvo podatkov za petletni mandat na podlagi seznama, ki ga pripravi Komisija po javnem razpisu za kandidate. Ta razpis omogoči vsem zainteresiranim stranem po vsej Uniji, da predložijo svoje prijave. Seznam kandidatov, ki ga pripravi Komisija, je javen in vključuje vsaj tri kandidate. Pristojni odbor Evropskega parlamenta se lahko na podlagi seznama, ki ga pripravi Komisija, odloči za zaslišanje kandidatov in si zagotovi možnost, da izrazi svoje mnenje o tem, kateremu kandidatu daje prednost.

2.   Na seznamu kandidatov iz odstavka 1 so osebe, katerih neodvisnost je nedvomna in ki imajo priznano strokovno znanje na področju varstva podatkov, pa tudi izkušnje in strokovnost, potrebne za opravljanje dolžnosti evropskega nadzornika za varstvo podatkov.

3.   Mandat evropskega nadzornika za varstvo podatkov se lahko enkrat obnovi.

4.   Dolžnosti evropskega nadzornika za varstvo podatkov prenehajo v naslednjih okoliščinah:

(a)

če se evropski nadzornik za varstvo podatkov zamenja;

(b)

če evropski nadzornik za varstvo podatkov odstopi;

(c)

če se evropski nadzornik za varstvo podatkov razreši ali prisilno upokoji.

5.   Sodišče lahko na zahtevo Evropskega parlamenta, Sveta ali Komisije razreši evropskega nadzornika za varstvo podatkov ali mu odvzame pravico do pokojnine ali do drugih ugodnosti na njegovem položaju, če ne izpolnjuje več pogojev, ki se zahtevajo za opravljanje njegovih dolžnosti, ali če je storil hujšo kršitev.

6.   V primeru normalne zamenjave ali prostovoljnega odstopa ostane evropski nadzornik za varstvo podatkov na svojem položaju vse do zamenjave.

7.   Za evropskega nadzornika za varstvo podatkov se uporabljajo členi 11 do 14 in 17 Protokola o privilegijih in imunitetah Evropske unije.

Člen 54

Predpisi in splošni pogoji, ki urejajo izvajanje dolžnosti evropskega nadzornika za varstvo podatkov, osebje in finančne vire

1.   Evropski nadzornik za varstvo podatkov se glede določitve plače, dodatkov, starostne pokojnine in vseh drugih nadomestil na podlagi plače šteje za enakovrednega sodniku Sodišča.

2.   Proračunski organ zagotovi, da je Evropski nadzornik za varstvo podatkov preskrbljen s človeškimi in finančnimi viri, potrebnimi za izvajanje njegovih nalog.

3.   Proračun Evropskega nadzornika za varstvo podatkov se prikaže v posebnem proračunskem naslovu v oddelku o upravnih odhodkih splošnega proračuna Unije.

4.   Evropskemu nadzorniku za varstvo podatkov pomaga sekretariat. Uradnike in druge člane osebja sekretariata imenuje evropski nadzornik za varstvo podatkov, ki je njihov nadrejeni. Podrejeni so le njegovemu vodstvu. Njihovo število se kot del proračunskega postopka določi vsako leto. Člen 75(2) Uredbe (EU) 2016/679 se uporablja za osebje Evropskega nadzornika za varstvo podatkov, ki sodeluje pri opravljanju nalog, ki so v skladu s pravom Unije dodeljene Evropskemu odboru za varstvo podatkov.

5.   Za uradnike in druge člane osebja sekretariata Evropskega nadzornika za varstvo podatkov veljajo pravila in predpisi, ki se uporabljajo za uradnike in druge uslužbence Unije.

6.   Sedež Evropskega nadzornika za varstvo podatkov je v Bruslju.

Člen 55

Neodvisnost

1.   Evropski nadzornik za varstvo podatkov pri opravljanju svojih nalog in izvajanju svojih pooblastil v skladu s to uredbo ravna popolnoma neodvisno.

2.   Evropski nadzornik za varstvo podatkov pri opravljanju svojih nalog in izvajanju pooblastil v skladu s to uredbo ni izpostavljen niti neposrednemu niti posrednemu zunanjemu vplivu in nikogar ne prosi za navodila niti jih od nikogar ne sprejema.

3.   Evropski nadzornik za varstvo podatkov se vzdrži vsakega delovanja, ki je nezdružljivo z njegovimi dolžnostmi, in se v času svojega mandata ne ukvarja z nobenim drugim delom, bodisi profitnim bodisi neprofitnim.

4.   Po izteku mandata Evropski nadzornik za varstvo podatkov pri sprejemanju imenovanj in ugodnosti ravna pošteno in diskretno.

Člen 56

Poklicna skrivnost

Evropski nadzornik za varstvo podatkov in njegovo osebje so tako med svojim mandatom kot po njegovem izteku dolžni varovati poklicno skrivnost v zvezi z vsemi zaupnimi informacijami, s katerimi so se seznanili med izvajanjem svojih uradnih dolžnosti.

Člen 57

Naloge

1.   Brez poseganja v druge naloge, določene v tej uredbi, Evropski nadzornik za varstvo podatkov:

(a)

spremlja in zagotavlja uporabo te uredbe v institucijah ali organih Unije, razen pri obdelavi osebnih podatkov s strani Sodišča, kadar opravlja svojo pravosodno funkcijo;

(b)

spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo. Posebna pozornost se posveti dejavnostim, ki so namenjene izrecno otrokom;

(c)

spodbuja ozaveščenost upravljavcev in obdelovalcev glede njihovih obveznosti na podlagi te uredbe;

(d)

vsakemu posamezniku, na katerega se nanašajo osebni podatki, na zahtevo zagotovi informacije o uresničevanju njegovih pravic na podlagi te uredbe in v ta namen, če je ustrezno, sodeluje z nacionalnimi nadzornimi organi;

(e)

obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oziroma v skladu s členom 67 organ, organizacija ali združenje, v ustreznem obsegu prouči vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti če je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom;

(f)

izvaja preiskave o uporabi te uredbe, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa;

(g)

vsem institucijam in organom Unije na lastno pobudo ali na zahtevo svetuje o zakonodajnih in upravnih ukrepih, ki so povezani z varstvom pravic in svoboščin posameznikov glede obdelave osebnih podatkov;

(h)

spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij;

(i)

sprejema standardna pogodbena določila iz člena 29(8) in točke (c) člena 48(2);

(j)

vzpostavi in vzdržuje seznam v zvezi z zahtevo po oceni učinka v zvezi z varstvom podatkov v skladu s členom 39(4);

(k)

sodeluje pri dejavnostih Evropskega odbora za varstvo podatkov;

(l)

zagotovi sekretariat Evropskega odbora za varstvo podatkov v skladu s členom 75 Uredbe (EU) 2016/679;

(m)

svetuje glede dejanj obdelave iz člena 40(2);

(n)

odobri pogodbena določila in določbe iz člena 48(3);

(o)

hrani notranjo evidenco kršitev te uredbe in sprejetih ukrepov v skladu s členom 58(2);

(p)

opravlja vse druge naloge, povezane z varstvom osebnih podatkov, in

(q)

sestavi svoj poslovnik.

2.   Evropski nadzornik za varstvo podatkov olajša postopek vložitve pritožb iz točke (e) odstavka 1 z obrazcem za vložitev pritožbe, ki ga je mogoče izpolniti elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

3.   Opravljanje nalog Evropskega nadzornika za varstvo podatkov je za posameznika, na katerega se nanašajo osebni podatki, brezplačno.

4.   Kadar so zahteve očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko Evropski nadzornik za varstvo podatkov zavrne ukrepanje v zvezi z zahtevo. Evropski nadzornik za varstvo podatkov nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

Člen 58

Pooblastila

1.   Evropski nadzornik za varstvo podatkov ima naslednja preiskovalna pooblastila:

(a)

da upravljavcu in obdelovalcu odredi, naj zagotovi vse informacije, ki jih potrebuje za opravljanje svojih nalog;

(b)

da izvaja preiskave v obliki revizij na področju varstva podatkov;

(c)

da upravljavca ali obdelovalca uradno obvesti o domnevni kršitvi te uredbe;

(d)

da od upravljavca ali obdelovalca pridobi dostop do vseh osebnih podatkov in informacij, ki jih potrebuje za opravljanje svojih nalog;

(e)

da pridobi dostop do vseh prostorov upravljavca ali obdelovalca, vključno z vso opremo in sredstvi za obdelavo podatkov, v skladu s pravom Unije;

2.   Evropski nadzornik za varstvo podatkov ima naslednja popravljalna pooblastila:

(a)

da izda upravljavcu ali obdelovalcu opozorilo, da bi predvidena dejanja obdelave verjetno kršila določbe te uredbe;

(b)

da upravljavcu ali obdelovalcu izreče opomin, kadar so bile z dejanji obdelave kršene določbe te uredbe;

(c)

da o zadevi obvesti zadevnega upravljavca ali obdelovalca in po potrebi Evropski parlament, Svet in Komisijo;

(d)

da upravljavcu ali obdelovalcu odredi, naj ugodi zahtevam posameznika, na katerega se nanašajo osebni podatki, glede uresničevanja njegovih pravic na podlagi te uredbe;

(e)

da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi z določbami te uredbe;

(f)

da upravljavcu odredi, naj posameznika, na katerega se nanašajo osebni podatki, obvesti o kršitvi varstva osebnih podatkov;

(g)

da uvede začasno ali dokončno omejitev obdelave, vključno s prepovedjo obdelave;

(h)

da v skladu s členi 18, 19 in 20 odredi popravek ali izbris osebnih podatkov oziroma omejitev obdelave in o takšnih ukrepih v skladu s členom 19(2) in členom 21 uradno obvesti uporabnike, ki so jim bili osebni podatki razkriti;

(i)

da instituciji ali organu Unije v primeru neupoštevanja enega od ukrepov iz točk (d) do (h) in (j) tega odstavka in glede na okoliščine posameznega primera naloži upravno globo v skladu s členom 66;

(j)

da odredi prekinitev prenosov podatkov uporabniku v državi članici, tretji državi ali mednarodni organizaciji.

3.   Evropski nadzornik za varstvo podatkov ima naslednja pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi:

(a)

da posameznikom, na katere se nanašajo osebni podatki, svetuje pri uresničevanju njihovih pravic;

(b)

da svetuje upravljavcu v skladu s postopkom predhodnega posvetovanja iz člena 40 v skladu s členom 41(2);

(c)

da na lastno pobudo ali na zahtevo izdaja mnenja za institucije in organe Unije ter za javnost o vseh vprašanjih v zvezi z varstvom osebnih podatkov;

(d)

da sprejme standardna določila o varstvu podatkov iz člena 29(8) in iz točke (c) člena 48(2);

(e)

da odobri pogodbena določila iz točke (a) člena 48(3);

(f)

da odobri upravne dogovore iz točke (b) člena 48(3).

(g)

da odobri dejanja obdelave na podlagi izvedbenih aktov, sprejetih v skladu s členom 40(4).

4.   Evropski nadzornik za varstvo podatkov ima pooblastila, da o zadevi obvesti Sodišče pod pogoji iz Pogodb in posreduje v tožbah, vloženih pri Sodišču.

5.   Evropski nadzornik za varstvo podatkov izvaja pooblastila, ki so mu dodeljena v skladu s tem členom, na podlagi ustreznih zaščitnih ukrepov, vključno z učinkovitimi pravnimi sredstvi in ustreznim pravnim postopkom, kot je določeno v pravu Unije.

Člen 59

Obveznost upravljavcev in obdelovalcev, da odgovorijo na navedbe

Kadar Evropski nadzornik za varstvo podatkov izvaja pooblastila iz točk (a), (b) in (c) člena 58(2), zadevni upravljavec ali obdelovalec Evropskega nadzornika za varstvo podatkov obvesti o svojem mnenju v razumnem roku, ki ga ob upoštevanju okoliščin posameznega primera določi Evropski nadzornik za varstvo podatkov. V odgovor na pripombe Evropskega nadzornika za varstvo podatkov odgovor vsebuje tudi opis morebitnih sprejetih ukrepov.

Člen 60

Poročilo o dejavnostih

1.   Evropski nadzornik za varstvo podatkov letno poročilo o svojih dejavnostih predloži Evropskemu parlamentu, Svetu in Komisiji in ga sočasno objavi.

2.   Evropski nadzornik za varstvo podatkov poročilo iz odstavka 1 posreduje drugim institucijam in organom Unije, ki lahko predložijo pripombe v zvezi z morebitno obravnavo poročila v Evropskem parlamentu.

POGLAVJE VII

SODELOVANJE IN SKLADNOST

Člen 61

Sodelovanje med Evropskim nadzornikom za varstvo podatkov in nacionalnimi nadzornimi organi

Evropski nadzornik za varstvo podatkov sodeluje z nacionalnimi nadzornimi organi in skupnim nadzornim organom, ustanovljenim na podlagi člena 25 Sklepa Sveta 2009/917/PNZ (19), v obsegu, ki je potreben za izvajanje njihovih zadevnih nalog, zlasti z zagotavljanjem relevantnih informacij, s tem, da zaprosijo drug drugega, da izvedejo svoja pooblastila, in da se odzovejo na medsebojne zahteve.

Člen 62

Usklajen nadzor, ki ga izvajajo Evropski nadzornik za varstvo podatkov in nacionalni nadzorni organi

1.   Kadar se akt Unije sklicuje na ta člen, Evropski nadzornik za varstvo podatkov in nacionalni nadzorni organi, vsak v mejah svoje pristojnosti, aktivno sodelujejo v okviru svojih odgovornosti, da zagotovijo učinkovit nadzor nad obsežnimi sistemi informacijske tehnologije in organi, uradi in agencijami Unije.

2.   Vsak v mejah svoje pristojnosti in v okviru svojih odgovornosti po potrebi izmenjujejo relevantne informacije, si pomagajo pri izvajanju revizij in pregledov, proučujejo težave pri razlagi ali uporabi te uredbe in drugih veljavnih aktov Unije, proučujejo težave, ki nastanejo pri izvajanju neodvisnega nadzora ali uresničevanju pravic posameznikov, na katere se nanašajo osebni podatki, pripravljajo harmonizirane predloge za rešitve morebitnih težav in spodbujajo ozaveščenost o pravicah glede varstva podatkov.

3.   Nacionalni nadzorni organi in Evropski nadzornik za varstvo podatkov se za namene iz odstavka 2 sestanejo vsaj dvakrat letno v okviru Evropskega odbora za varstvo podatkov. V te namene lahko Evropski odbor za varstvo podatkov po potrebi oblikuje nadaljnje delovne metode.

4.   Evropski odbor za varstvo podatkov vsaki dve leti Evropskemu parlamentu, Svetu in Komisiji predložijo skupno poročilo o dejavnostih usklajenega nadzora.

POGLAVJE VIII

PRAVNA SREDSTVA, ODGOVORNOST IN KAZNI

Člen 63

Pravica do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov

1.   Brez poseganja v katero koli pravno, upravno ali izvensodno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo pri Evropskem nadzorniku za varstvo podatkov, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo.

2.   Evropski nadzornik za varstvo podatkov obvesti pritožnika o stanju zadeve in odločitvi o pritožbi, vključno z možnostjo pravnega sredstva na podlagi člena 64.

3.   Če Evropski nadzornik za varstvo podatkov v treh mesecih pritožbe ne obravnava ali posameznika, na katerega se nanašajo osebni podatki, ne obvesti o stanju zadeve ali odločitvi o pritožbi, se šteje, da je Evropski nadzornik za varstvo podatkov sprejel negativno odločitev.

Člen 64

Pravica do učinkovitega pravnega sredstva

1.   Za obravnavanje vseh sporov v zvezi z določbami te uredbe, vključno z odškodninskimi zahtevki, je pristojno Sodišče.

2.   Tožbe zoper odločitve Evropskega nadzornika za varstvo podatkov, vključno z odločitvami iz člena 63(3), se vložijo pri Sodišču.

3.   Sodišče ima neomejeno pristojnost za sodni pregled upravnih glob iz člena 66. V okviru omejitev člena 66 te globe lahko prekliče, zmanjša ali poveča.

Člen 65

Pravica do odškodnine

Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da pod pogoji iz Pogodb od institucije ali organa Unije dobi odškodnino za nastalo škodo.

Člen 66

Upravne globe

1.   Evropski nadzornik za varstvo podatkov lahko institucijam in organom Unije glede na okoliščine posameznega primera naloži upravne globe, kadar institucija ali organ Unije ne upoštevata odredbe Evropskega nadzornika za varstvo podatkov v skladu s točkami (d) do (h) in točko (j) člena 58(2). Pri odločanju o tem, ali se naloži upravna globa, in o višini upravne globe za vsak posamezen primer se ustrezno upošteva naslednje:

(a)

narava, teža in trajanje kršitve, pri čemer se upoštevajo narava, obseg ali namen zadevne obdelave ter število posameznikov, na katere se nanašajo osebni podatki in ki jih je kršitev prizadela, in raven škode, ki so jo utrpeli;

(b)

vsi ukrepi, ki sta jih sprejela institucija ali organ Unije, da bi omilila škodo, ki so jo utrpeli posamezniki, na katere se nanašajo osebni podatki;

(c)

stopnja odgovornosti institucije ali organa Unije, pri čemer se upoštevajo tehnični in organizacijski ukrepi, ki sta jih sprejela v skladu s členoma 27 in 33;

(d)

vse podobne prejšnje kršitve institucije ali organa Unije;

(e)

stopnja sodelovanja z Evropskim nadzornikom za varstvo podatkov pri odpravljanju kršitve in blažitvi morebitnih škodljivih učinkov kršitve;

(f)

vrste osebnih podatkov, ki jih zadeva kršitev;

(g)

kako je Evropski nadzornik za varstvo podatkov izvedel za kršitev, zlasti če in v kakšnem obsegu sta ga institucija ali organ Unije uradno obvestila o kršitvi;

(h)

skladnost s katerimi koli ukrepi iz člena 58, ki so bili že prej odrejeni zoper zadevno institucijo ali organ Unije v zvezi z enako vsebino. Postopki, s katerimi se naložijo navedene globe, se izvedejo v razumnem časovnem okviru glede na okoliščine posameznega primera ter ob upoštevanju zadevnih ukrepov in postopkov iz člena 69.

2.   Kadar institucija ali organ Unije kršita svoje obveznosti iz členov 8, 12, 27 do 35, 39, 40, 43, 44 in 45, se jima v skladu z odstavkom 1 tega člena naložijo upravne globe v višini do 25 000 EUR za posamezno kršitev in do največ 250 000 EUR letno.

3.   Kadar institucija ali organ Unije kršita naslednje določbe, se jima v skladu z odstavkom 1 naložijo upravne globe v višini do 50 000 EUR za posamezno kršitev in do največ 500 000 EUR letno:

(a)

osnovna načela obdelave, vključno s pogoji za privolitev, v skladu s členi 4, 5, 7 in 10;

(b)

pravice posameznika, na katerega se nanašajo osebni podatki, v skladu s členi 14 do 24;

(c)

prenosi osebnih podatkov uporabniku v tretji državi ali mednarodni organizaciji v skladu s členi 46 do 50.

4.   Če institucija ali organ Unije pri istem ali povezanem ali nadaljnjem dejanju obdelave kršita več določb te uredbe ali večkrat isto določbo te uredbe, skupni znesek upravne globe ne presega zneska, določenega za najhujšo kršitev.

5.   Evropski nadzornik za varstvo podatkov pred sprejetjem odločitev v skladu s tem členom instituciji ali organu Unije, zaradi katerih je začel postopek, omogoči, da podata izjavo o zadevah, ki jim Evropski nadzornik za varstvo podatkov ugovarja. Evropski nadzornik za varstvo podatkov svoje odločitve sprejme le na podlagi ugovorov, na katere so lahko zadevne strani podale pripombe. Pritožniki so tesno povezani s postopki.

6.   V postopkih se v celoti spoštuje pravica strank do obrambe. Strankam je zagotovljena pravica do vpogleda v spis Evropskega nadzornika za varstvo podatkov, ob upoštevanju zakonitega interesa posameznikov ali podjetij za varstvo njihovih osebnih podatkov ali poslovnih skrivnosti.

7.   Sredstva, zbrana z naložitvijo glob iz tega člena, so prihodek splošnega proračuna Unije.

Člen 67

Zastopanje posameznikov, na katere se nanašajo osebni podatki

Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da pooblasti neprofitni organ, organizacijo ali združenje, ki je ustrezno ustanovljen v skladu s pravom Unije ali pravom države članice in katerega s pravnimi akti določeni cilji so v javnem interesu ter je dejaven na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov, da pri Evropskem nadzorniku za varstvo podatkov vloži pritožbo v njegovem imenu in da v njegovem imenu uveljavlja pravice iz členov 63 in 64 ter da v njegovem imenu uveljavlja pravico do odškodnine iz člena 65.

Člen 68

Pritožbe osebja Unije

Vsaka oseba, ki je zaposlena pri instituciji ali organu Unije, lahko pri Evropskem nadzorniku za varstvo podatkov vloži pritožbo, vključno brez ukrepanja po uradni poti, v zvezi z domnevno kršitvijo določb te uredbe. Zaradi pritožbe, vložene pri Evropskem nadzorniku za varstvo podatkov, ki očita tako kršitev, nihče ne sme utrpeti škode.

Člen 69

Sankcije

Kadar uradnik ali drug uslužbenec Unije ne izpolnjuje obveznosti iz te uredbe, bodisi namerno bodisi iz malomarnosti, je zadevni uradnik ali drug uslužbenec disciplinsko ali kako drugače odgovoren v skladu s pravili in postopki, določenimi v Kadrovskih predpisih.

POGLAVJE IX

OBDELAVA OPERATIVNIH OSEBNIH PODATKOV, KI JIH OBDELUJEJO ORGANI, URADI IN AGENCIJE UNIJE PRI OPRAVLJANJU DEJAVNOSTI, KI SPADAJO NA PODROČJE POGLAVJA 4 ALI POGLAVJA 5 NASLOVA V TRETJEGA DELA PDEU

Člen 70

Področje uporabe tega poglavja

To poglavje se uporablja le za obdelavo operativnih osebnih podatkov, ki jih obdelujejo organi, uradi in agencije Unije pri opravljanju dejavnosti, ki spadajo na področje poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, brez poseganja v specifična pravila o varstvu osebnih podatkov, ki veljajo za takšne organe, urade ali agencije Unije.

Člen 71

Načela v zvezi z obdelavo operativnih osebnih podatkov

1.   Operativni osebni podatki:

(a)

se obdelajo zakonito in pošteno („zakonitost in poštenost“);

(b)

se zbirajo za določene, izrecne in zakonite namene ter se ne obdelujejo na način, ki je nezdružljiv s temi nameni („omejitev namena“);

(c)

so ustrezni, relevantni in ne pretirani glede na namene, za katere se obdelujejo („najmanjši obseg podatkov“);

(d)

so točni in po potrebi posodabljani; sprejmejo se vsi razumni ukrepi za zagotovitev, da se netočni operativni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo („točnost“);

(e)

se hranijo v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se operativni osebni podatki obdelujejo („omejitev shranjevanja“),

(f)

se obdelajo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“).

2.   Obdelava s strani istega ali drugega upravljavca za katerega koli od namenov iz pravnega akta o ustanovitvi organa, urada ali agencije Unije, ki ni namen, za katerega so bili operativni osebni podatki zbrani, je dovoljena, če:

(a)

je upravljavec pooblaščen za obdelavo takšnih operativnih osebnih podatkov za takšen namen v skladu s pravom Unije in

(b)

je obdelava potrebna in sorazmerna s takšnim drugim namenom v skladu s pravom Unije.

3.   Obdelava podatkov s strani istega ali drugega upravljavca lahko vključuje arhiviranje v javnem interesu, znanstveno, statistično ali zgodovinsko uporabo za namene iz pravnega akta o ustanovitvi organa, urada ali agencije Unije, če je zagotovljena ustrezna zaščita pravic in svoboščin posameznikov, na katere se osebni podatki nanašajo.

4.   Upravljavec je odgovoren za skladnost z odstavki 1, 2 in 3 in je to skladnost tudi zmožen izkazati.

Člen 72

Zakonitost obdelave operativnih osebnih podatkov

1.   Obdelava operativnih osebnih podatkov je zakonita le in kolikor je potrebna za opravljanje nalog organov, uradov ali agencij Unije pri izvajanju dejavnosti, ki spadajo na področje poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, ter če temelji na pravu Unije.

2.   Posebni pravni akti Unije, ki urejajo obdelavo v okviru področja uporabe tega poglavja, določijo vsaj cilje obdelave, katere operativne osebne podatke je treba obdelati, namene obdelave in roke za hrambo operativnih osebnih podatkov ali za redni pregled potrebe po nadaljnjem shranjevanju operativnih osebnih podatkov.

Člen 73

Razlikovanje med različnimi kategorijami posameznikov, na katere se nanašajo osebni podatki

Upravljavec, kadar je to ustrezno in kolikor je to mogoče, jasno razlikuje med operativnimi osebnimi podatki različnih kategorij posameznikov, na katere se nanašajo osebni podatki, kot so kategorije iz pravnih aktov o ustanovitvi organov, uradov in agencij Unije.

Člen 74

Razlikovanje med operativnimi osebnimi podatki in preverjanje kakovosti operativnih osebnih podatkov

1.   Upravljavec razlikuje, v največji možni meri, med operativnimi osebnimi podatki, ki temeljijo na dejstvih, in operativnimi osebnimi podatki, ki temeljijo na osebnih ocenah.

2.   Upravljavec sprejme vse razumne ukrepe za zagotovitev, da se operativni osebni podatki, ki so netočnih, nepopolni ali neposodobljeni, ne posredujejo ali dajo na voljo. V ta namen nadzornik preveri kakovost operativnih osebnih podatkov, še preden se ti posredujejo ali dajo na voljo, če je to izvedljivo in kadar je ustrezno. Če je mogoče, upravljavec pri vsakem posredovanju operativnih osebnih podatkov doda potrebne informacije, ki uporabniku omogočijo, da oceni stopnjo točnosti, popolnosti, zanesljivosti in posodobljenosti operativnih osebnih podatkov.

3.   Če se izkaže, da so bili posredovani nepravilni operativni osebni podatki ali da so bili operativni osebni podatki posredovani nezakonito, je o tem treba takoj uradno obvestiti prejemnika. V takšnem primeru je treba popraviti ali izbrisati zadevne operativne osebne podatke ali omejiti njihovo obdelavo v skladu s členom 82.

Člen 75

Posebni pogoji za obdelavo

1.   Kadar so v pravu Unije, ki se uporablja za upravljavca, ki posreduje podatke, določeni posebni pogoji za obdelavo, upravljavec obvesti uporabnika operativnih osebnih podatkov o takšnih pogojih in o obveznosti skladnosti s temi pogoji.

2.   Upravljavec mora spoštovati posebne pogoje za obdelavo, ki jih določi pristojni organ, ki posreduje podatke, v skladu s členom 9(3) in (4) Direktive (EU) 2016/680.

Člen 76

Obdelava posebnih vrst operativnih osebnih podatkov

1.   Obdelava operativnih osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, vero ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, operativnih osebnih podatkov v zvezi z zdravstvenim ali spolnim življenjem in spolno usmerjenostjo je dovoljena le, če je nujno potrebna za operativne namene, v mejah pristojnosti zadevnega organa, urada ali agencije Unije in če je zagotovljena ustrezna zaščita pravic in svoboščin posameznika, na katerega se operativni osebni podatki nanašajo. Diskriminacija oseb na podlagi takšnih osebnih podatkov je prepovedana.

2.   O uporabi tega člena se nemudoma obvesti pooblaščena oseba za varstvo podatkov.

Člen 77

Avtomatizirano sprejemanje posameznih odločitev, vključno z oblikovanjem profilov

1.   Sprejemanje odločitev izključno na podlagi avtomatizirane obdelave, vključno z oblikovanjem profilov, ki ima lahko negativen pravni učinek za posameznika, na katerega se nanašajo osebni podatki, ali ga zelo prizadene, je prepovedano, razen če to dovoljuje pravo Unije ali države članice, ki se uporablja za upravljavca in ki zagotavlja ustrezno zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja s strani upravljavca.

2.   Odločitve iz odstavka 1 tega člena ne temeljijo na posebnih vrstah operativnih osebnih podatkov iz člena 76, razen če so vzpostavljeni ustrezni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

3.   Oblikovanje profilov, ki ima za posledico diskriminacijo posameznikov na podlagi posebnih vrst operativnih osebnih podatkov iz člena 76, je v skladu s pravom Unije prepovedano.

Člen 78

Sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki

1.   Upravljavec sprejme razumne ukrepe, s katerimi zagotovi, da se posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz člena 79 ter vsa sporočila iz členov 80 do 84 ter 92, povezana z obdelavo, posredujejo v jedrnati, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku. Informacije se posredujejo na vse ustrezne načine, tudi v elektronski obliki. Upravljavec praviloma zagotovi informacije v taki obliki, kot jo je imela zahteva.

2.   Upravljavec olajša uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz členov 79 do 84.

3.   Upravljavec posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja pisno obvesti o nadaljnjih ukrepih v zvezi z njegovo zahtevo, v vsakem primeru pa najpozneje v treh mesecih po prejetju zahteve posameznika, na katerega se nanašajo osebni podatki.

4.   Upravljavec informacije iz člena 79 ter morebitna sporočila in ukrepe, sprejete na podlagi členov 80 do 84 ter 92, posreduje brezplačno. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko upravljavec zavrne ukrepanje v zvezi z zahtevo. Upravljavec nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

5.   Kadar upravljavec upravičeno dvomi o identiteti posameznika, ki predloži zahtevo iz členov 80 ali 82, lahko zahteva zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki.

Člen 79

Informacije, ki se dajo na voljo ali zagotovijo posamezniku, na katerega se nanašajo osebni podatki

1.   Upravljavec posamezniku, na katerega se nanašajo osebni podatki, da na voljo vsaj naslednje informacije:

(a)

identiteto in kontaktne podatke organa, urada ali agencije Unije;

(b)

kontaktne podatke pooblaščene osebe za varstvo podatkov;

(c)

namene obdelave operativnih osebnih podatkov;

(d)

o pravici do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov in njegove kontaktne podatke;

(e)

o pravici, da se od upravljavca zahtevajo dostop do operativnih osebnih podatkov in popravek ali izbris operativnih osebnih podatkov ter omejitev obdelave operativnih osebnih podatkov v zvezi s posameznikom, na katerega se ti podatki nanašajo.

2.   Upravljavec posamezniku, na katerega se nanašajo osebni podatki, v posebnih primerih, določenih s pravom Unije, poleg informacij iz odstavka 1 da tudi naslednje informacije, s čimer omogoči uresničevanje njegovih pravic:

(a)

pravno podlago za obdelavo;

(b)

obdobje hrambe operativnih osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(c)

kadar je to ustrezno, kategorije uporabnikov operativnih osebnih podatkov, tudi v tretjih državah ali mednarodnih organizacijah;

(d)

po potrebi dodatne informacije, zlasti kadar se operativni osebni podatki zbirajo brez vednosti posameznika, na katerega se nanašajo.

3.   Upravljavec lahko zadrži, omeji ali opusti zagotavljanje informacij posamezniku, na katerega se nanašajo osebni podatki, na podlagi odstavka 2, če in dokler je takšen ukrep, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

(a)

preprečitev oviranja uradnih in zakonitih preiskav, poizvedb ali postopkov;

(b)

preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(c)

zaščito javne varnosti držav članic;

(d)

zaščito nacionalne varnosti držav članic;

(e)

zaščito pravic in svoboščin drugih, kot so žrtve in priče.

Člen 80

Pravica do dostopa posameznika, na katerega se nanašajo osebni podatki

Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo operativni osebni podatki, in kadar je temu tako, do dostopa do operativnih osebnih podatkov ter naslednje informacije:

(a)

namene in pravne podlage za obdelavo;

(b)

vrste zadevnih operativnih osebnih podatkov;

(c)

uporabnike ali kategorije uporabnikov, ki so jim bili razkriti operativni osebni podatki, zlasti uporabnikov v tretjih državah ali mednarodnih organizacijah;

(d)

kadar je mogoče, predvideno obdobje hrambe operativnih osebnih podatkov ali, če ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(e)

o pravici, da od upravljavca zahteva popravek ali izbris operativnih osebnih podatkov ali omejitev obdelave operativnih osebnih podatkov v zvezi s posameznikom, na katerega se ti podatki nanašajo;

(f)

o pravici do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov in njegove kontaktne podatke;

(g)

sporočil o operativnih osebnih podatkih, ki se obdelujejo, in o vseh dostopnih informacijah v zvezi z njihovim virom.

Člen 81

Omejitve pravice do dostopa

1.   Upravljavec lahko posamezniku, na katerega se nanašajo osebni podatki, popolnoma ali delno omeji pravico do dostopa, in sicer če in dokler je taka delna ali popolna omejitev, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

(a)

preprečitev oviranja uradnih in zakonitih preiskav, poizvedb ali postopkov;

(b)

preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(c)

zaščito javne varnosti držav članic;

(d)

zaščito nacionalne varnosti držav članic;

(e)

zaščito pravic in svoboščin drugih, kot so žrtve in priče.

2.   Upravljavec v primerih iz odstavka 1 posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja pisno obvesti o vsaki zavrnitvi ali omejitvi dostopa in razlogih zanju. Te informacije se lahko izpustijo, če bi njihova zagotovitev ogrozila namen iz odstavka 1. Upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o možnosti za vložitev pritožbe pri Evropskem nadzorniku za varstvo podatkov ali o obstoju pravnega sredstva pred Sodiščem. Upravljavec dokumentira dejansko stanje ali pravne razloge, na katerih temelji odločitev. Te informacije se dajo na voljo Evropskemu nadzorniku za varstvo podatkov na njegovo zahtevo.

Člen 82

Pravica do popravka ali izbrisa operativnih osebnih podatkov in omejitve obdelave

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da pri upravljavcu brez nepotrebnega odlašanja doseže popravek netočnih operativnih osebnih podatkov v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave pravico do dopolnitve nepopolnih operativnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.

2.   Upravljavec brez nepotrebnega odlašanja izbriše operativne osebne podatke, posameznik, na katerega se nanašajo osebni podatki, pa ima pravico, da pri upravljavcu brez nepotrebnega odlašanja doseže izbris operativnih osebnih podatkov v zvezi z njim, če obdelava krši člen 71, 72(1) ali 76, ali če je treba operativne osebne podatke izbrisati za izpolnitev pravne obveznosti, ki velja za upravljavca.

3.   Upravljavec namesto izbrisa omeji obdelavo, kadar:

(a)

posameznik, na katerega se nanašajo osebni podatki, izpodbija njihovo točnost in ni mogoče preveriti, ali so podatki točni ali ne, ali

(b)

je treba osebne podatke ohraniti za namene dokazovanja.

Kadar je obdelava omejena v skladu s točko (a) prvega pododstavka, upravljavec pred preklicem omejitve obdelave obvesti posameznika, na katerega se nanašajo osebni podatki.

Podatki, za katere velja omejitev, se obdelajo le za namen, zaradi katerega niso bili izbrisani.

4.   Upravljavec posameznika, na katerega se nanašajo osebni podatki, pisno obvesti o vsaki zavrnitvi popravka ali izbrisa operativnih osebnih podatkov ali omejitvi obdelave ter o razlogih za zavrnitev. Upravljavec lahko popolnoma ali delno omeji zagotavljanje teh informacij, kolikor je taka omejitev, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

(a)

preprečitev oviranja uradnih in zakonitih preiskav, poizvedb ali postopkov;

(b)

preprečitev vplivanja na preprečevanje, odkrivanje, preiskovanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(c)

zaščito javne varnosti držav članic;

(d)

zaščito nacionalne varnosti držav članic;

(e)

zaščito pravic in svoboščin drugih, kot so žrtve in priče.

Upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o možnosti za vložitev pritožbe pri Evropskem nadzorniku za varstvo podatkov ali obstoju pravnega sredstva pred Sodišču.

5.   Upravljavec o popravku netočnih operativnih osebnih podatkov obvesti pristojni organ, ki je posredoval netočne operativne osebne podatke.

6.   Če so bili operativni osebni podatki na podlagi odstavka 1, 2 ali 3 popravljeni ali izbrisani ali je bila njihova obdelava omejena, upravljavec o tem uradno obvesti uporabnike ter da uporabniki popravijo ali izbrišejo operativne osebne podatke ali omejiti obdelavo operativnih osebnih podatkov za katere so odgovorni.

Člen 83

Pravica do dostopa v kazenskih preiskavah in postopkih

Kadar operativni osebni podatki izvirajo iz pristojnega organa, organi, uradi in agencije Unije, pred odločitvijo o pravici posameznika, na katerega se nanašajo osebni podatki, do dostopa pri zadevnem pristojnem organu preverijo, ali se takšni osebni podatki navedeni v sodbi ali kazenski evidenci ali sodnem spisu, ki se obdela med kazensko preiskavo in kazenskim postopkom v državi članici tega pristojnega organa. V tem primeru se odločitev o pravici do dostopa sprejme v posvetovanju in tesnem sodelovanju z zadevnim pristojnim organom.

Člen 84

Uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, in preverjanje, ki ga izvede Evropski nadzornik za varstvo podatkov

1.   V primerih iz členov 79(3), 81 in 82(4) lahko posameznik, na katerega se nanašajo osebni podatki, svoje pravice uveljavlja tudi prek Evropskega nadzornika za varstvo podatkov.

2.   Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, da lahko svoje pravice uresničuje prek Evropskega nadzornika za varstvo podatkov v skladu z odstavkom 1.

3.   Kadar posameznik, na katerega se nanašajo osebni podatki, uresničuje pravico iz odstavka 1, ga Evropski nadzornik za varstvo podatkov obvesti vsaj o tem, da je izvedel vsa potrebna preverjanja oziroma pregled. Evropski nadzornik za varstvo podatkov tudi obvesti posameznika, na katerega se nanašajo osebni podatki, o njegovi pravici do uporabe pravnega sredstva pred Sodiščem.

Člen 85

Vgrajeno in privzeto varstvo podatkov

1.   Upravljavec ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, tako v času določanja sredstev obdelave kot v času same obdelave, izvede ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve iz te uredbe in pravnega akta o njegovi ustanovitvi ter zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.

2.   Upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se samodejno obdelajo samo operativni osebni podatki, ki so ustrezni, relevantni in ne pretirani glede na namene, za katere se obdelujejo. Ta obveznost velja za količino zbranih operativnih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da operativni osebni podatki niso samodejno dostopni nedoločenemu številu fizičnih oseb brez posredovanja zadevnega posameznika.

Člen 86

Skupni upravljavci

1.   Kadar dva ali več upravljavcev ali eden ali več upravljavcev ali upravljavci, ki niso institucije in organi Unije, skupaj določijo namene in načine obdelave, so skupni upravljavci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja njihovih obveznosti varstva podatkov, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz člena 79, razen če in kolikor so dolžnosti vsakega od skupnih upravljavcev določene s pravom Unije ali pravom države članice, ki velja za skupne upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki.

2.   Dogovor iz odstavka 1 ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznika, na katerega se nanašajo osebni podatki. Bistveno vsebino dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki.

3.   Posameznik, na katerega se nanašajo osebni podatki, lahko ne glede na pogoje dogovora iz odstavka 1 uresničuje svoje pravice v skladu s to uredbo glede vsakega od upravljavcev in proti vsakemu od njih.

Člen 87

Obdelovalec

1.   Kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te uredbe in pravnega akta o ustanovitvi upravljavca ter zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

2.   Obdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

3.   Obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca in v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta operativnih osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

(a)

deluje samo po navodilih upravljavca;

(b)

zagotovi, da so osebe, ki so pooblaščene za obdelavo operativnih osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c)

pomaga upravljavcu na kakršen koli primeren način, da se zagotovi skladnost z določbami o pravicah posameznika, na katerega se nanašajo osebni podatki;

(d)

v skladu z odločitvijo upravljavca izbriše ali vrne vse operativne osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje operativnih osebnih podatkov;

(e)

da upravljavcu na voljo vse informacije, potrebne za izkazovanje skladnosti z obveznostmi iz tega člena;

(f)

izpolnjuje pogoje iz odstavka 2 in tega odstavka za zaposlitev drugega obdelovalca.

4.   Pogodba ali drug pravni akt iz odstavka 3 je v pisni obliki, vključno z elektronsko obliko.

5.   Če obdelovalec z določitvijo namenov in načinov obdelave krši to uredbo ali pravni akt o ustanovitvi upravljavca, obdelovalec šteje za upravljavca v zvezi s to obdelavo.

Člen 88

Vodenje dnevnikov

1.   Upravljavec vodi dnevnike o vseh naslednjih postopkih dejanjih obdelave v sistemih za avtomatizirano obdelavo: zbiranje, predelava, dostop, vpogled, razkritje, vključno s prenosi, kombiniranje in izbris operativnih osebnih podatkov. Dnevniki vpogleda in razkritja omogočajo, da se take dejavnosti utemeljijo, da se opredeli datum in čas takih dejavnosti ter identificirajo osebe, ki so vpogledale v operativne osebne podatke ali jih razkrile, ter da se, kolikor je to mogoče, identificirajo uporabniki takih operativnih osebnih podatkov.

2.   Dnevniki se uporabljajo zgolj za preverjanje zakonitosti obdelave, notranje spremljanje, zagotavljanje celovitosti in varnosti operativnih osebnih podatkov ter v kazenskih postopkih. Taki dnevniki se izbrišejo po treh letih, razen če so potrebni za tekoči nadzor.

3.   Upravljavec svoji pooblaščeni osebi za varstvo podatkov in Evropskemu nadzorniku za varstvo podatkov na zahtevo omogoči dostop do dnevnikov.

Člen 89

Ocena učinka v zvezi z varstvom podatkov

1.   Kadar bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo operativnih osebnih podatkov.

2.   Ocena iz odstavka 1 obsega vsaj splošni opis predvidenih dejanj obdelave, oceno tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ukrepe, namenjene obvladovanju teh tveganj, zaščitne ukrepe, varnostne ukrepe ter mehanizme za zagotavljanje varstva operativnih osebnih podatkov in za dokazovanje skladnosti s predpisi za varstvo osebnih podatkov, pri čemer se upoštevajo pravice in zakoniti interesi posameznikov, na katere se nanašajo osebni podatki, ter drugih zadevnih oseb.

Člen 90

Predhodno posvetovanje z Evropskim nadzornikom za varstvo podatkov

1.   Upravljavec se pred obdelavo osebnih podatkov, ki bodo del nove zbirke, posvetuje z Evropskim nadzornikom za varstvo podatkov, kadar:

(a)

ocena učinka na varstvo podatkov iz člena 89 kaže, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja, ali

(b)

vrsta obdelave, zlasti v primeru uporabe novih tehnologij, mehanizmov ali postopkov, pomeni veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

2.   Evropski nadzornik za varstvo podatkov lahko pripravi seznam dejavnosti obdelave, za katere je treba v skladu z odstavkom 1 opraviti predhodno posvetovanje.

3.   Upravljavec Evropskemu nadzorniku za varstvo podatkov predloži oceno učinka na varstvo podatkov iz člena 89, na zahtevo pa tudi vse druge informacije, ki bodo Evropskemu nadzorniku za varstvo podatkov omogočile, da oceni skladnost obdelave in zlasti tveganja za varstvo operativnih osebnih podatkov posameznika, na katerega se nanašajo osebni podatki, ter s tem povezane zaščitne ukrepe.

4.   Kadar Evropski nadzornik za varstvo podatkov meni, da bi predvidena obdelava iz odstavka 1 kršila to uredbo ali pravni akt o ustanovitvi organa, urada ali agencije Unije, zlasti kadar upravljavec ni zadostno opredelil ali ublažil tveganja, Evropski nadzornik za varstvo podatkov v roku do šestih tednov po prejemu zahteve za posvetovanje pisno svetuje upravljavcu. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša za en mesec. Evropski nadzornik za varstvo podatkov o vsakem takem podaljšanju obvesti upravljavca v enem mesecu po prejemu zahteve za posvetovanje, skupaj z razlogi za zamudo.

Člen 91

Varnost obdelave operativnih osebnih podatkov

1.   Upravljavec in obdelovalec ob upoštevanju tehnološkega razvoja, stroškov izvajanja in narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z ustreznimi tehničnimi in organizacijskimi ukrepi zagotovi ustrezno raven varnosti glede na tveganje, zlasti kar zadeva obdelavo posebnih vrst operativnih osebnih podatkov.

2.   Upravljavec in obdelovalec v zvezi z avtomatizirano obdelavo po oceni tveganj izvedeta ukrepe, katerih namen je:

(a)

onemogočiti dostop nepooblaščenih oseb do opreme za obdelavo podatkov, ki se uporablja za obdelavo (nadzor dostopa do opreme);

(b)

preprečiti nepooblaščeno branje, kopiranje, spreminjanje ali odstranjevanje nosilcev podatkov (nadzor nosilcev podatkov);

(c)

preprečiti nepooblaščen vnos operativnih osebnih podatkov in nepooblaščeno preverjanje, spreminjanje ali brisanje shranjenih operativnih osebnih podatkov (nadzor shranjevanja);

(d)

nepooblaščenim osebam, ki uporabljajo opremo za prenos podatkov, preprečiti uporabo sistemov za avtomatizirano obdelavo (nadzor uporabnikov omrežja ali opreme);

(e)

zagotoviti, da imajo osebe, pooblaščene za uporabo sistema za avtomatizirano obdelavo, dostop samo do operativnih osebnih podatkov, ki jih zajema njihovo pooblastilo za dostop (nadzor dostopa do podatkov);

(f)

zagotoviti, da je mogoče preveriti in ugotoviti, katerim organom so operativni osebni podatki bili ali bi lahko bili poslani oziroma jim je bil ali bi jim lahko bil omogočen dostop do njih prek prenosa podatkov (nadzor prenosa);

(g)

zagotoviti, da je mogoče naknadno preveriti in ugotoviti, kateri operativni osebni podatki so bili vneseni v sisteme za avtomatizirano obdelavo operativnih osebnih podatkov ter kdaj in kdo jih je vnesel (nadzor vnosa);

(h)

prepreči nepooblaščeno branje, kopiranje, spreminjanje ali brisanje operativnih osebnih podatkov med prenosom operativnih osebnih podatkov ali med pošiljanjem nosilcev podatkov (nadzor pošiljanja):

(i)

zagotoviti, da je mogoče nameščene sisteme v primeru prekinitve ponovno vzpostaviti (obnova);

(j)

zagotoviti, da funkcije sistema delujejo, da se pojavljanje napak v funkcijah sporoči (zanesljivost) in da shranjeni operativni osebni podatki ne morejo postati neuporabni zaradi okvare sistema (neoporečnost).

Člen 92

Obvestilo Evropskemu nadzorniku za varstvo podatkov o kršitvi varnosti operativnih osebnih podatkov

1.   V primeru kršitve varnosti operativnih osebnih podatkov upravljavec brez nepotrebnega odlašanja in po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo o njej obvesti Evropskega nadzornika o varstvu podatkov, razen če ni verjetno, da bi bilo s kršitvijo varnosti operativnih osebnih podatkov povzročeno tveganje za pravice in svoboščine posameznikov. Kadar obvestilo Evropskemu nadzorniku za varstvo podatkov ni podano v 72 urah, se mu priložijo razlogi za zamudo.

2.   Obvestilo iz odstavka 1 vsebuje vsaj:

(a)

opis vrste kršitve varnosti osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc operativnih osebnih podatkov;

(b)

sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov;

(c)

opis verjetnih posledic kršitve varnosti operativnih osebnih podatkov;

(d)

opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varnosti osebnih podatkov, vključno z, če je to primerno, ukrepi za ublažitev morebitnih škodljivih učinkov kršitve.

3.   Kadar in kolikor informacij iz odstavka 2 ni mogoče zagotoviti istočasno, se lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.

4.   Upravljavec dokumentira vsako kršitev varstva osebnih podatkov iz odstavka 1, vključno z dejstvi v zvezi s kršitvijo varnosti osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija Evropskemu nadzorniku za varstvo podatkov omogoči, da preveri skladnost s tem členom.

5.   V primeru, da kršitev varstva osebnih podatkov vključuje operativne osebne podatke, ki jih je pristojni organ druge države članice poslal ali so mu bili poslani, upravljavec brez nepotrebnega odlašanja sporoči informacije iz odstavka 2 zadevnemu pristojnemu organu.

Člen 93

Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov

1.   Kadar je verjetno, da bi kršitev varnosti osebnih podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varnosti osebnih podatkov.

2.   V sporočilu posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena je v jasnem in preprostem jeziku opisana vrsta kršitve varnosti osebnih podatkov ter so vsebovane vsaj informacije in priporočila iz točk (b), (c) in (d) člena 92(2).

3.   Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev:

(a)

upravljavec je izvedel ustrezne tehnične in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za operativne osebne podatke, v zvezi s katerimi je bila storjena kršitev varnosti, zlasti ukrepe, na podlagi katerih postanejo operativni osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje;

(b)

upravljavec je sprejel naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1 verjetno ne bo več udejanjilo;

(c)

bi to zahtevalo nesorazmeren napor. V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

4.   Če upravljavec posameznika, na katerega se nanašajo osebni podatki, še ni obvestil o kršitvi varnosti osebnih podatkov, lahko Evropski nadzornik za varstvo podatkov to od njega zahteva po proučitvi verjetnosti, da bi kršitev varnosti osebnih podatkov povzročila veliko tveganje, ali pa lahko odloči, da je izpolnjen kateri koli od pogojev iz odstavka 3.

5.   Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena se lahko pod pogoji in iz razlogov iz člena 79(3) zadrži, omeji ali opusti.

Člen 94

Prenos operativnih osebnih podatkov v tretje države in mednarodne organizacije

1.   Upravljavec lahko, ob upoštevanju omejitev in pogojev, določenih v pravnih aktih o ustanovitvi organa, urada ali agencije Unije, prenese operativne osebne podatke organu v tretje države ali mednarodne organizacije, kolikor je tak prenos potreben za izvajanje nalog upravljavca in le kadar so izpolnjeni pogoji iz tega člena, in sicer:

(a)

Komisija je sprejela sklep o ustreznosti v skladu s členom 36(3) Direktive (EU) 2016/680, s katerim je ugotovila, da tretja država ali ozemlje ali sektor obdelave znotraj te tretje države ali zadevna mednarodna organizacija zagotavlja ustrezno raven varstva;

(b)

v primeru, da Komisija sklepa o ustreznosti iz točke (a) ni sprejela, je sklenjen mednarodni sporazum med Unijo in to tretjo državo ali mednarodno organizacijo v skladu s členom 218 PDEU, ki navaja ustrezne zaščitne ukrepe glede varstva zasebnosti ter temeljnih pravic in svoboščin posameznikov;

(c)

v primeru, če sklepa Komisije o ustreznosti iz točke (a) ali mednarodnega sporazuma iz točke (b) ni, je sklenjen sporazum o sodelovanju, ki dovoljuje izmenjavo operativnih osebnih podatkov pred začetkom uporabe pravnega akta o ustanovitvi zadevnega organa, urada ali agencije Unije, med tem organom, uradom ali agencijo Unije in zadevno tretjo državo.

2.   Pravni akti o ustanovitvi organov, uradov in agencij Unije lahko ohranijo ali sprejmejo bolj specifične določbe o pogojih za mednarodni prenos operativnih osebnih podatkov, zlasti v zvezi s prenosi z ustreznimi zaščitnimi ukrepi in odstopanji za posebne okoliščine.

3.   Upravljavec na svojem spletnem mestu objavi in posodablja seznam sklepov o ustreznosti iz točke (a), sporazumov, upravnih dogovorov in drugih instrumentov, povezanih s prenosom operativnih osebnih podatkov v skladu z odstavkom 1.

4.   Upravljavec hrani natančne evidence vseh prenosov, izvedenih na podlagi tega člena.

Člen 95

Tajnost sodnih preiskav in kazenskih postopkov

Pravni akti o ustanovitvi organov, uradov ali agencij Unije pri izvajanju dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, lahko Evropskemu nadzorniku za varstvo podatkov naložijo obveznosti, da pri izvrševanju svojih nadzornih pooblastil v največji meri upošteva tajnost sodnih preiskav in kazenskih postopkov, v skladu s pravom Unije ali države članice.

POGLAVJE X

IZVEDBENI AKTI

Člen 96

Postopek v odboru

1.   Komisiji pomaga odbor, ustanovljen s členom 93 Uredbe (EU) 2016/679. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.

2.   Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.

POGLAVJE XI

PREGLED

Člen 97

Klavzula o ponovnem pregledu

Komisija najpozneje 30. aprila 2022 in nato vsakih pet let Evropskemu parlamentu in Svetu predloži poročilo o uporabi te uredbe, ki mu po potrebi priloži ustrezne zakonodajne predloge.

Člen 98

Pregled pravnih aktov Unije

1.   Komisija do 30. aprila 2022 pregleda pravne akte, sprejete na podlagi Pogodb, ki urejajo obdelavo operativnih osebnih podatkov s strani organov, uradov ali agencij Unije, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, da bi:

(a)

ocenili njihovo skladnost z Direktivo (EU) 2016/680 in poglavjem IX te uredbe;

(b)

opredelili morebitna razhajanja, ki bi lahko ovirala izmenjavo operativnih osebnih podatkov med organi, uradi ali agencijami Unije pri opravljanju dejavnosti na teh področjih in pristojnimi organi; ter

(c)

opredelili morebitna razhajanja, ki bi lahko ustvarila pravno razdrobljenost zakonodaje o varstvu podatkov v Uniji.

2.   Da bi se zagotovilo enotno in skladno varstvo posameznikov pri obdelavi, lahko Komisija na podlagi takega pregleda predloži ustrezne zakonodajne predloge zlasti za zagotovitev, da se poglavje IX te uredbe uporablja za Europol in Evropsko javno tožilstvo, vključno s prilagoditvami poglavja IX te uredbe, če je potrebno.

POGLAVJE XII

KONČNE DOLOČBE

Člen 99

Razveljavitev Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES

Uredba (ES) št. 45/2001 in Sklep št. 1247/2002/ES se razveljavita z učinkom od 11. decembra 2018. Sklicevanja na razveljavljeno uredbo in razveljavljeni sklep se razumejo kot sklicevanja na to uredbo.

Člen 100

Prehodni ukrepi

1.   Ta uredba ne vpliva na Sklep 2014/886/EU Evropskega parlamenta in Sveta (20) ter sedanji mandat evropskega nadzornika za varstvo podatkov in pomočnika nadzornika.

2.   Pomočnik nadzornika se glede določitve plače, dodatkov, starostne pokojnine in vseh drugih nadomestil na podlagi plače šteje za enakovrednega sodnemu tajniku Sodišča.

3.   Člen 53(4), (5) in (7) ter člena 55 in 56 te uredbe se za sedanjega pomočnika nadzornika uporabljajo do konca njegovega mandata.

4.   Pomočnik nadzornika evropskemu nadzorniku za varstvo podatkov do konca svojega mandata pomaga pri vseh njegovih dolžnostih in ga nadomešča, kadar je evropski nadzornik za varstvo podatkov odsoten ali če ne more poskrbeti zanje.

Člen 101

Začetek veljavnosti in uporaba

1.   Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

2.   Ta uredba se uporablja za obdelavo osebnih podatkov, ki jo opravlja Eurojust, od 12. decembra 2019.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Strasbourgu, 23. oktobra 2018

Za Evropski parlament

Predsednik

A. TAJANI

Za Svet

Predsednica

K. EDTSTADLER


(1)  UL C 288, 31.8.2017, str. 107.

(2)  Stališče Evropskega parlamenta z dne 13. septembra 2018 (še ni objavljeno v Uradnem listu) in odločitev Sveta z dne 11. oktobra 2018.

(3)  Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12.1.2001, str. 1).

(4)  Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).

(5)  Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4.5.2016, str. 89).

(6)  Direktiva Sveta 93/13/EGS z dne 5. aprila 1993 o nedovoljenih pogojih v potrošniških pogodbah (UL L 95, 21.4.1993, str. 29).

(7)  Uredba (ES) št. 1338/2008 Evropskega parlamenta in Sveta z dne 16. decembra 2008 o statističnih podatkih Skupnosti v zvezi z javnim zdravjem ter zdravjem in varnostjo pri delu (UL L 354, 31.12.2008, str. 70).

(8)  Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).

(9)  Uredba Evropskega parlamenta in Sveta (ES) št. 1049/2001 z dne 30. maja 2001 o dostopu javnosti do dokumentov Evropskega parlamenta, Sveta in Komisije (UL L 145, 31.5.2001, str. 43).

(10)  UL L 56, 4.3.1968, str. 1.

(11)  Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).

(12)  Uredba (ES) št. 223/2009 Evropskega parlamenta in Sveta z dne 11. marca 2009 o evropski statistiki ter razveljavitvi Uredbe (ES, Euratom) št. 1101/2008 Evropskega parlamenta in Sveta o prenosu zaupnih podatkov na Statistični urad Evropskih skupnosti, Uredbe Sveta (ES) št. 322/97 o statističnih podatkih Skupnosti in Sklepa Sveta 89/382/EGS, Euratom, o ustanovitvi Odbora za statistične programe Evropskih skupnosti (UL L 87, 31.3.2009, str. 164).

(13)  Sklep št. 1247/2002/ES Evropskega parlamenta, Sveta in Komisije z dne 1. julija 2002 o predpisih in splošnih pogojih za izvajanje funkcije evropskega nadzornika za varstvo podatkov (UL L 183, 12.7.2002, str. 1).

(14)  UL C 164, 24.5.2017, str. 2.

(15)  Uredba (EU) 2016/794 Evropskega parlamenta in Sveta z dne 11. maja 2016 o Agenciji Evropske unije za sodelovanje na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj (Europol) ter nadomestitvi in razveljavitvi sklepov Sveta 2009/371/PNZ, 2009/934/PNZ, 2009/935/PNZ, 2009/936/PNZ in 2009/968/PNZ (UL L 135, 24.5.2016, str. 53).

(16)  Uredba Sveta (EU) 2017/1939 z dne 12. oktobra 2017 o izvajanju okrepljenega sodelovanja v zvezi z ustanovitvijo Evropskega javnega tožilstva (EJT) (UL L 283, 31.10.2017, str. 1).

(17)  Direktiva (EU) 2015/1535 Evropskega parlamenta in Sveta z dne 9. septembra 2015 o določitvi postopka za zbiranje informacij na področju tehničnih predpisov in pravil za storitve informacijske družbe (UL L 241, 17.9.2015, str. 1).

(18)  Direktiva Komisije 2008/63/ES z dne 20. junija 2008 o konkurenci na trgih za telekomunikacijsko terminalsko opremo (UL L 162, 21.6.2008, str. 20).

(19)  Sklep Sveta 2009/917/PNZ z dne 30. novembra 2009 o uporabi informacijske tehnologije za carinske namene (UL L 323, 10.12.2009, str. 20).

(20)  Sklep 2014/886/EU Evropskega parlamenta in Sveta z dne 4. decembra 2014 o imenovanju evropskega nadzornika za varstvo podatkov in pomočnika nadzornika (UL L 351, 9.12.2014, str. 9).


Top