(1)

Varstvo fizičnih oseb pri obdelavi osebnih podatkov je temeljna pravica. Člen 8(1) Listine Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina) in člen 16(1) Pogodbe določata, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj.

(2)

Obdelava osebnih podatkov je namenjena temu, da služi človeku; načela in predpisi o varstvu posameznikov pri obdelavi njihovih osebnih podatkov morajo ne glede na državljanstvo ali prebivališče fizičnih oseb spoštovati njihove temeljne pravice in svoboščine, predvsem pravico do varstva osebnih podatkov. Prispevati mora k oblikovanju območja svobode, varnosti in pravice ter gospodarske unije, h gospodarskemu in družbenemu napredku, krepitvi in uskladitvi gospodarstev na notranjem trgu ter blaginji posameznikov.

(3)

Direktiva 95/46/ES Evropskega parlamenta in Sveta (4) je namenjena uskladitvi varstva temeljnih pravic in svoboščin fizičnih oseb pri dejavnostih obdelave in zagotavljanju prostega pretoka osebnih podatkov med državami članicami.

(4)

Gospodarsko in socialno povezovanje, ki izhaja iz delovanja notranjega trga, je prineslo občutno povečanje čezmejnih prenosov. Izmenjava podatkov med gospodarskimi in družbenimi, javnimi in zasebnimi akterji v Uniji se je povečala. Nacionalni organi držav članic so na podlagi prava Unije pozvani k sodelovanju in izmenjavi osebnih podatkov, da bi lahko opravljali svoje dolžnosti ali izvajali naloge v imenu organa v drugi državi članici.

(5)

Hiter tehnološki razvoj in globalizacija sta prinesla nove izzive za varstvo osebnih podatkov. Obseg izmenjave in zbiranja podatkov se je bistveno povečal. Tehnologija zasebnim podjetjem in javnim organom omogoča, da osebne podatke uporabljajo za izvajanje svojih dejavnosti v obsegu, kakršnega še ni bilo. Posamezniki vedno bolj dajejo osebne podatke na razpolago tako javno kot globalno. Tehnologija je spremenila gospodarstvo in družbeno življenje ter zahteva nadaljnje lajšanje prostega pretoka podatkov v Uniji ter prenosa v tretje države in mednarodne organizacije, pri čemer je treba zagotoviti visoko raven varstva osebnih podatkov.

(6)

Zato je treba oblikovati trden in skladnejši okvir za varstvo podatkov v Uniji, podprt z doslednim izvajanjem; bistvenega pomena je, da se oblikuje zaupanje, ki bo digitalnemu gospodarstvu omogočilo razvoj na notranjem trgu. Posamezniki morajo imeti nadzor nad lastnimi osebnimi podatki, pravna in praktična varnost posameznikov, gospodarskih subjektov in javnih organov pa morata biti okrepljeni.

(7)

Cilji in načela Direktive 95/46/ES še vedno veljajo, vendar to ni preprečilo razdrobljenosti na področju izvajanja varstva osebnih podatkov v Uniji, pravne negotovosti in razširjenega javnega mnenja, da so precejšnje nevarnosti za varstvo posameznikov povezane zlasti s spletno dejavnostjo. Različne ravni varstva pravic in svoboščin posameznikov, zlasti pravice do varstva osebnih podatkov pri obdelavi osebnih podatkov v državah članicah, lahko preprečijo prosti pretok osebnih podatkov v Uniji. Te razlike lahko predstavljajo oviro pri izvajanju gospodarskih dejavnosti na ravni Unije, izkrivljajo konkurenco in ovirajo organe pri izpolnjevanju njihovih obveznosti na podlagi prava Unije. Te različne ravni varstva izhajajo iz različnega izvajanja in uporabe Direktive 95/46/ES.

(8)

Za zagotovitev dosledne in visoke ravni varstva posameznikov in odstranitev ovir za prenos osebnih podatkov bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin fizičnih oseb pri obdelavi osebnih podatkov.

(9)

Za učinkovito varstvo osebnih podatkov v Uniji je treba okrepiti in podrobneje opredeliti pravice posameznikov, na katere se nanašajo osebni podatki, ter obveznosti tistih, ki obdelujejo osebne podatke in določajo postopke obdelave, pa tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili varstva osebnih podatkov ter enake sankcije za kršitelje v državah članicah.

(10)

Člen 16(2) Pogodbe Evropski parlament in Svet pooblašča, da določita pravila o varstvu posameznikov pri obdelavi osebnih podatkov in pravila o prostem pretoku osebnih podatkov.

(11)

Za zagotovitev skladne ravni varstva posameznikov v vsej Uniji in preprečitev, da bi razlike ovirale prosti pretok podatkov na notranjem trgu, je potrebna uredba, ki bo gospodarskim subjektom, vključno z mikro-, malimi in srednje velikimi podjetji, zagotovila pravno varnost in preglednost, posameznikom v vseh državah članicah zagotovila enako raven pravno izvršljivih pravic, določila enake obveznosti in odgovornosti upravljavcev in obdelovalcev ter zagotovila dosledno spremljanje obdelave osebnih podatkov, enakovredne sankcije v vseh državah članicah in učinkovito sodelovanje nadzornih organov različnih držav članic. Za upoštevanje posebnega položaja mikro-, malih in srednje velikih podjetij ta uredba vsebuje številna odstopanja. Poleg tega se institucije in organi Unije, države članice in njihovi nadzorni organi spodbujajo, da posebne potrebe mikro-, malih in srednje velikih podjetij upoštevajo pri uporabi te uredbe. Pojem mikro-, malih in srednje velikih podjetij bi moral temeljiti na Priporočilu Komisije 2003/361/ES (5).

(12)

Varstva, zagotovljenega s to uredbo, bi morale biti v zvezi z obdelavo osebnih podatkov deležne fizične osebe, ne glede na njihovo državljanstvo ali stalno prebivališče. Pravne osebe in zlasti podjetja, ustanovljena kot pravne osebe, katerih podatki, vključno z imenom in obliko ter kontaktnimi podatki pravne osebe, se obdelujejo, ne bi smele zahtevati varstva iz te uredbe. To bi moralo veljati tudi, kadar ime pravne osebe vsebuje ime ene ali več fizičnih oseb.

(13)

Varstvo posameznikov bi moralo biti tehnološko nevtralno in neodvisno od uporabljenih metod, sicer bi to ustvarilo resno tveganje izogibanja izpolnjevanju obveznosti. Varstvo posameznikov bi moralo veljati za obdelavo osebnih podatkov s samodejnimi sredstvi in za ročno obdelavo, če podatki sestavljajo del zbirke ali so namenjeni oblikovanju dela zbirke. Zapisi ali nizi zapisov in njihove naslovnice, ki niso strukturirani v skladu s posebnimi merili, ne bi smeli spadati na področje uporabe te uredbe.

(14)

Ta uredba ne obravnava vprašanj varstva temeljnih pravic in svoboščin ali prostega pretoka podatkov, povezanih z dejavnostmi, ki ne sodijo na področje uporabe prava Unije, prav tako pa ne zajema obdelave osebnih podatkov s strani institucij, organov, uradov in agencij Unije, za katere se uporablja Uredba . Uredbo (ES) št. 45/2001 Evropskega parlamenta in Sveta  (6) , ali obdelave osebnih podatkov s strani držav članic pri izvajanju dejavnosti v zvezi s skupno zunanjo in varnostno politiko Unije bi bilo treba uskladiti s to uredbo in jo v skladu z njo tudi izvrševati . [Sprememba 1]

(15)

Ta uredba se ne bi smela uporabljati za obdelavo osebnih podatkov s strani fizične osebe, ki so izključno osebni , povezani z družino ali domači, kot sta korespondenca in seznam naslovov ali zasebna prodaja , in brez pridobitnega interesa ter s tem brez kakršne koli povezave s poklicno ali komercialno dejavnostjo. Ta izjema se prav tako ne bi smela Vendar bi se morala ta uredba uporabljati za upravljavce ali obdelovalce, ki zagotavljajo sredstva za obdelavo osebnih podatkov za take osebne ali domače dejavnosti. [Sprememba 2]

(16)

Za varstvo posameznikov pri obdelavi osebnih podatkov s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij in prosti pretok takih podatkov se uporablja posebni pravni akt na ravni Unije. Zato se ta uredba ne bi smela uporabljati za dejavnosti obdelave v te namene. Vendar mora obdelavo osebnih podatkov s strani javnih organov na podlagi te uredbe, kadar se uporablja za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, urejati bolj poseben pravni akt na ravni Unije (Direktiva2014/…/EU Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov).

(17)

Ta uredba ne bi smela posegati v uporabo Direktive 2000/31/ES Evropskega parlamenta in Sveta (7), zlasti predpisov o odgovornosti posrednih ponudnikov storitev iz členov 12 do 15 navedene direktive.

(18)

Ta uredba omogoča upoštevanje načela dostopa javnosti do uradnih dokumentov pri uporabi določb iz te uredbe. Osebne podatke v dokumentih, ki jih ima javni organ ali javna ustanova, lahko ta organ ali ustanova razkrije v skladu z zakonodajo Unije ali države članice v zvezi z dostopom javnosti do uradnih dokumentov, ki usklajuje pravico do varstva osebnih podatkov s pravico dostopa javnosti do uradnih dokumentov in ustvarja pravično ravnotežje med različnimi interesi. [Sprememba 3]

(19)

Vsaka obdelava osebnih podatkov v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Uniji bi morala biti izvedena v skladu s to uredbo, ne glede na to, ali sama obdelava poteka v Uniji ali ne. Ustanovitev pomeni učinkovito in dejansko izvajanje dejavnosti prek ustaljenih režimov. Pravna oblika take ustanovitve, ki je bodisi izpostava ali podružnica, ki je pravna oseba, v tem pogledu ni odločujoči dejavnik.

(20)

Za zagotovitev, da posamezniki niso prikrajšani za varstvo, do katerega so upravičeni na podlagi te uredbe, bi morala biti obdelava osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki stalno prebivajo, v Uniji, s strani upravljavca, ki nima sedeža v Uniji, predmet te uredbe, kadar so postopki obdelave povezani z nudenjem blaga ali storitev , ne glede na to, ali je povezano s plačilom, takim posameznikom, na katere se nanašajo osebni podatki, ali spremljanjem vedenja takih posameznikov. Da bi ugotovili, ali tak upravljavec nudi blago ali storitve takim posameznikom, na katere se nanašajo osebni podatki, v Uniji, bi bilo treba preveriti, ali je jasno, da želi upravljavec nuditi storitve posameznikom, na katere se nanašajo osebni podatki, v eni ali več državah članicah Unije. [Sprememba 4]

(21)

Za ugotovitev, ali se za dejavnost obdelave lahko šteje, da „spremlja vedenje“posameznikov posameznike , na katere se nanašajo osebni podatki, bi bilo treba preveriti, ali se posameznikom sledi , ne glede na internetu s tehnikami vir podatkov, ali pa se zbirajo drugi podatki o njih, tudi iz javnih registrov in objav v Uniji, ki so dostopni zunaj Unije, vključno z namenom uporabe ali morebitne poznejše uporabe tehnik obdelave podatkov, ki obsegajo določanje „profila“posameznika, zlasti z namenom sprejemanja odločitev o zadevni osebi oziroma za analiziranje ali predvidevanje osebnega okusa in vedenja zadevne osebe. [Sprememba 5]

(22)

Kadar se zakonodaja države članice uporablja na podlagi mednarodnega javnega prava, bi morala ta uredba veljati tudi za upravljavca, ki nima sedeža v Uniji, na primer v diplomatskem ali konzularnem predstavništvu države članice.

(23)

Načela varstva podatkov bi se morala uporabljati veljati za katere koli vse informacije v zvezi z določeno ali določljivo fizično osebo. Za odločitev, ali je oseba določljiva, je bi bilo treba upoštevati vsa sredstva, za katera se pričakuje, da jih bo za neposredno ali posredno določitev ali razločevanje posameznika uporabil bodisi upravljavec bodisi katera koli druga oseba. Da bi ugotovili, ali se za ta sredstva pričakuje, da bodo uporabljena za določitev posameznika, bi bilo treba upoštevati vse objektivne dejavnike, kot so stroški določitve in čas, potreben zanjo, pri čemer se upoštevata razpoložljiva tehnologija v času obdelave in tehnološki razvoj. Načela varstva podatkov se torej ne bi smela uporabljati za anonimne podatke, ki so anonimizirani na tak način, da posameznik, na katerega se nanašajo osebni to so podatki, ni več določljiv ki niso povezani z določeno ali določljivo fizično osebo . Ta uredba torej ne zadeva obdelave takšnih anonimnih podatkov, vključno z informacijami v statistične in raziskovalne namene. [Sprememba 6]

(24)

Pri uporabi spletnih storitev so lahko posamezniki povezani s spletnimi identifikatorji Ta uredba bi se morala uporabljati za identifikatorje , ki jih zagotovijo njihove naprave, aplikacije, orodja in protokoli, kot so naslovi internetnega protokola ali, identifikatorji piškotkov in oznake za radiofrekvenčno identifikacijo, razen v primeru, ko ti identifikatorji niso povezani z določeno ali določljivo fizično osebo . To lahko pusti sledi, ki se lahko skupaj z edinstvenimi identifikatorji in drugimi informacijami, ki jih prejmejo strežniki, uporabijo za oblikovanje profilov posameznikov in njihovo identifikacijo. Iz tega sledi, da identifikacijskih številk, podatkov o lokaciji, spletnih identifikatorjev ali drugih posebnih dejavnikov ni treba vedno šteti za osebne podatke v vseh okoliščinah. [Sprememba 7]

(25)

Privolitev bi morala biti dana izrecno s katero koli ustrezno metodo, ki omogoča prostovoljno dano posebno in informirano izjavo volje posameznika, na katerega se nanašajo osebni podatki, tj. z izjavo ali jasnim pritrdilnim dejanjem , ki je rezultat odločitve takega posameznika, kar zagotavlja, da posamezniki vedo, da dajejo privolitev za obdelavo osebnih podatkov, vključno s tem, da . Jasno pritrdilno dejanje lahko vključuje označitev okenca ob obisku spletne strani na internetu označijo okence, ali katero koli drugo izjavo ali ravnanjem ravnanje , ki s tem v zvezi jasno kaže privolitev takega posameznika v predlagano obdelavo njegovih osebnih podatkov. Molk , sama raba storitve ali nedejavnost zato ne bi smela smeli pomeniti privolitve. Privolitev bi morala zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi elektronske zahteve, mora biti zahteva jasna in natančna, prav tako pa ne sme biti po nepotrebnem moteča za uporabo storitve, za katero se zagotavlja. [Sprememba 8]

(26)

Osebni podatki v zvezi z zdravjem bi morali obsegati zlasti vse podatke v zvezi z zdravstvenim stanjem posameznika, na katerega se nanašajo osebni podatki, informacije o registraciji posameznika za zagotavljanje zdravstvenih storitev, informacije o plačilih ali upravičenosti posameznika do zdravstvenega varstva, številko, znak ali posebno oznako, dodeljeno posamezniku za njegovo enolično identifikacijo v zdravstvene namene, vse informacije o posamezniku, zbrane med nudenjem zdravstvenih storitev posamezniku, informacije, pridobljene s testiranjem ali preiskavo dela telesa ali telesne snovi, vključno z biološkimi vzorci, istovetnost osebe, ki posamezniku nudi storitve zdravstvenega varstva, ali vse informacije, npr. o bolezni, invalidnosti, tveganju za nastanek bolezni, zdravstveni anamnezi, kliničnem zdravljenju ali o dejanskem fiziološkem ali biomedicinskem stanju posameznika, na katerega se nanašajo osebni podatki, ne glede na vir teh podatkov, kot je npr. zdravnik ali drug zdravstveni delavec, bolnišnica, medicinski pripomoček ali diagnostični preskus in vitro.

(27)

Glavni sedež upravljavca v Uniji bi moral biti določen v skladu z objektivnimi merili ter bi moral pomeniti učinkovito in dejansko izvajanje dejavnosti upravljanja, ki glavne odločitve glede namenov, pogojev in sredstev za obdelavo določajo prek ustaljenih režimov. To merilo ne bi smelo biti odvisno od tega, ali se obdelava osebnih podatkov v tem kraju dejansko izvaja; prisotnost in uporaba tehničnih sredstev in tehnologij za obdelavo osebnih podatkov ali dejavnosti obdelave sami po sebi ne pomenijo glavnega sedeža in zato niso odločujoče merilo za matično podjetje. Glavni sedež obdelovalca bi moral biti kraj njegove osrednje uprave v Uniji.

(28)

Povezana družba bi morala zajemati obvladujočo družbo in njene odvisne družbe, pri čemer mora biti obvladujoča družba družba, ki lahko izvršuje prevladujoč vpliv nad drugimi družbami z, na primer, lastništvom, finančnim deležem ali pravili, ki urejajo njeno delovanje, ali pooblastilom za izvajanje predpisov o varstvu osebnih podatkov.

(29)

Otroci potrebujejo posebno varstvo njihovih osebnih podatkov, saj se morda manj zavedajo nevarnosti in posledic ter slabše poznajo zaščitne ukrepe in pravice v zvezi z obdelavo osebnih podatkov. Za določitev, kdaj je posameznik otrok, bi morala ta uredba uporabiti opredelitev iz Konvencije ZN o otrokovih pravicah. Če obdelava podatkov temelji na privolitvi posameznikov, na katere se nanašajo osebni podatki, v zvezi z blagom ali storitvami, ki se neposredno zagotavljajo otroku, bi morali privolitev ali odobritev dati otrokovi starši ali njegov zakoniti skrbnik, če je otrok mlajši od 13 let. Če so ciljna javnost otroci, je treba uporabiti letom primeren jezik. Drugi temelji za zakonito obdelavo, kot je recimo javni interes, bi morali še vedno veljati, recimo za obdelavo v okviru storitev preventive ali svetovanja, ki se nudijo neposredno otroku. [Sprememba 9]

(30)

Vsaka obdelava osebnih podatkov bi morala biti zakonita, poštena in pregledna glede na zadevne posameznike. Zlasti posebni nameni, za katere se podatki obdelujejo, bi morali biti jasno določeni in zakoniti ter določeni v času zbiranja podatkov. Podatki bi morali biti primerni, ustrezni in omejeni na nujno potrebne za namene, za katere se obdelujejo; zato je treba zlasti zagotoviti, da zbrani podatki niso čezmerni in da je obdobje shranjevanja omejeno na najkrajše možno. Osebni podatki se lahko obdelujejo samo, če namena obdelave ni bilo mogoče doseči z drugimi sredstvi. Sprejeti bi se morali vsi smiselni ukrepi za popravek ali izbris netočnih osebnih podatkov. Za zagotovitev, da se podatki hranijo le toliko časa, kolikor je potrebno, bi moral upravljavec določiti roke za izbris ali občasno preverjanje.

(31)

Da bi bila obdelava zakonita, morajo biti osebni podatki obdelani na podlagi privolitve zadevne osebe ali na kakršni koli drugi pravni podlagi, določeni z zakonom, bodisi v tej uredbi ali drugi zakonodaji Unije ali zakonodaji držav članic, kot je navedeno v tej uredbi. V primeru otroka ali osebe, ki nima pravne sposobnosti, bi moralo ustrezno pravo Unije ali države članice določiti pogoje, v katerih se šteje, da je ta oseba dala privolitev ali odobritev. [Sprememba 10]

(32)

Kadar obdelava temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, bi moral upravljavec dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v postopek obdelave. Zlasti v okviru pisne izjave o drugi zadevi bi morali zaščitni ukrepi zagotoviti, da se posameznik, na katerega se nanašajo osebni podatki, zaveda, da daje privolitev in v kakšnem obsegu. Zaradi skladnosti z načelom zmanjšanja količine podatkov ne bi smeli razumeti, da dokazno breme terja potrditev identitete posameznikov, na katere se nanašajo osebni podatki, razen če je to nujno. Politike zasebnosti bi morale biti podobno kot določbe civilnega prava (npr. Direktiva 93/13/EGS  (8) ) čim bolj jasne in pregledne. Ne bi smele vsebovati skritih ali neugodnih določb. Ni mogoče dati privolitve za obdelavo podatkov tretjih oseb. [Sprememba 11]

(33)

Za zagotovitev prostovoljne privolitve bi bilo treba pojasniti, da privolitev ne pomeni veljavne pravne podlage, če posameznik nima dejanske in prostovoljne izbire in zato privolitve ne more zavrniti ali preklicati brez škode. To velja zlasti v primeru, ko je upravljavec javni organ, ki lahko uvede obveznost s svojimi javnimi pooblastili in se ne more šteti, da je privolitev dana prostovoljno. Uporaba privzetih možnosti, na primer vnaprej označenih polj, ki jih mora posameznik, na katerega se nanašajo osebni podatki, spremeniti, da bi ugovarjal obdelavi, ne pomeni prostovoljne privolitve. Za uporabo storitve ne bi smela biti nujna privolitev za obdelavo dodatnih osebnih podatkov, ki za storitev niso nujni. Če se privolitev umakne, to lahko pomeni prenehanje ali neizvedbo storitve, ki je odvisna od teh podatkov. Ko izpolnitev prvotnega namena ni jasna, bi upravljavec moral posameznika, na katerega se podatki nanašajo, redno obveščati o obdelavi in zahtevati ponovno potrditev privolitve. [Sprememba 12]

(34)

Privolitev ne bi smela pomeniti veljavne pravne podlage za obdelavo osebnih podatkov, če obstaja očitno neravnovesje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem. To velja zlasti, kadar je posameznik, na katerega se nanašajo osebni podatki, odvisen od upravljavca, med drugim, kadar osebne podatke zaposlenega v okviru zaposlitve obdeluje delodajalec. Kadar je upravljavec javni organ, bi neravnovesje obstajalo samo v primeru posebnih postopkov obdelave podatkov, ko lahko javni organ s svojimi zadevnimi javnimi pooblastili uvede obveznost in se ob upoštevanju interesa posameznika, na katerega se nanašajo osebni podatki, za privolitev ne more šteti, da je dana prostovoljno. [Sprememba 13]

(35)

Obdelava bi morala biti zakonita, kadar je to potrebno na podlagi pogodbe ali predvidene sklenitve pogodbe.

(36)

Kadar se obdelava izvaja v skladu z zakonsko obveznostjo, ki velja za upravljavca, ali če je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, mora biti pravna podlaga za obdelavo zakonodaja Unije ali zakonodaja držav članic, ki izpolnjuje zahteve Listine Evropske unije o temeljnih pravicah glede omejevanja pravic in svoboščin. To bi moralo zajemati tudi kolektivne pogodbe, ki bi lahko v skladu z nacionalnim pravom imele splošno veljavnost. Prav tako je naloga zakonodaje Unije ali zakonodaje držav članic, da določi, ali naj bo upravljavec, ki nalogo izvaja v javnem interesu ali pri izvajanju javne oblasti, državna uprava ali druga fizična ali pravna oseba, ki jo ureja javno pravo, ali pa fizična ali pravna oseba, ki jo ureja zasebno pravo, kot na primer poklicno združenje. [Sprememba 14]

(37)

Obdelava osebnih podatkov bi se morala prav tako šteti za zakonito, kadar je potrebna za zaščito interesa, ki je bistven za življenje posameznika, na katerega se nanašajo osebni podatki.

(38)

Pravni interesi interes upravljavca ali, v primeru razkritja, tretje stranke, kateri se podatki razkrijejo, lahko pomenijo pomeni pravno podlago za obdelavo, če ustrezajo razumnim pričakovanjem posameznika, na katerega se podatki nanašajo, ob upoštevanju njegovega razmerja do upravljavca, in če ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. Glede tega bi bila skrbna ocena potrebna zlasti, če je tak posameznik otrok, saj otroci potrebujejo posebno varstvo. Če interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ne prevladajo, se šteje, da na psevdonimne podatke omejena obdelava ustreza razumnim pričakovanjem posameznika, na katerega se nanašajo osebni podatki, ob upoštevanju njegovega razmerja do upravljavca. Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da brezplačno ugovarja obdelavi na podlagi razlogov, povezanih z njegovim posebnim položajem. Za zagotovitev preglednosti bi moral biti upravljavec zavezan, da posameznika, na katerega se nanašajo osebni podatki, izrecno obvesti o pravnih interesih, za katere si prizadeva, in o pravici do ugovora, prav tako pa bi moral te pravne interese dokumentirati. Interesi in temeljne pravice posameznika, na katerega se nanašajo osebni podatki, bi zlasti lahko prevladali nad interesi upravljavca podatkov, če se osebni podatki obdelujejo v primeru, ko posamezniki, na katere se nanašajo osebni podatki, razumno ne pričakujejo nadaljnje obdelave. Glede na to, da mora zakonodajalec z zakonom določiti pravno podlago za obdelavo podatkov s strani javnih organov, ta pravna podlaga ne bi smela veljati za obdelavo s strani javnih organov pri izvajanju njihovih nalog. [Sprememba 15]

(39)

Obdelava podatkov v obsegu, sorazmernem in nujno potrebnem za zagotovitev varnosti omrežja in informacij, tj. zmožnosti omrežja ali informacijskega sistema, da na dani ravni zaupanja prepreči slučajne dogodke ali nezakonita ali zlonamerna dejanja, ki ogrožajo dostopnost, avtentičnost, celovitost in zaupnost shranjenih ali prenesenih podatkov ter varnost s tem povezanih storitev, ki jih ponujajo ali so dostopne preko teh omrežij in sistemov, s strani javnih organov, skupin za odzivanje na računalniške grožnje (CERT), skupin za odzivanje na računalniške varnostne incidente (CSIRT), ponudnikov elektronskih komunikacijskih omrežij in storitev ter ponudnikov varnostnih tehnologij in storitev, pomeni pravni interes zadevnega upravljavca podatkov. To bi lahko vključevalo na primer preprečevanje nepooblaščenega dostopa do elektronskih komunikacijskih omrežij, širjenja zlonamernih kod, napadov, ki povzročajo zavrnitev storitve, ter škode na računalniških in elektronskih komunikacijskih sistemih. To načelo velja tudi za obdelavo osebnih podatkov za omejevanje zlonamernega dostopa do javno dostopnega omrežja ali informacijskih sistemov ter njihove uporabe, na primer uvrščanje na črni seznam elektronskih identifikatorjev. [Sprememba 16]

(39a)

Če interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ne prevladajo, se domneva, da upravljavec podatkov na svoji strani preprečuje ali omejuje škodo v svojem interesu ali, v primeru razkritja, v interesu tretje stranke, kateri se podatki razkrijejo, in da to ustreza razumnim pričakovanjem posameznika, na katerega se nanašajo osebni podatki, ob upoštevanju njegovega razmerja do upravljavca. Enako načelo velja tudi za uveljavljanje pravnih zahtevkov zoper posameznika, na katerega se nanašajo osebni podatki, kot so izterjava dolga ali civilnopravni odškodninski zahtevki ali civilnopravna sredstva. [Sprememba 17]

(39b)

Če interesi ali temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ne prevladajo, se šteje, da se obdelava osebnih podatkov zaradi neposrednega trženja lastnih in podobnih proizvodov in storitev ali zaradi poštnega neposrednega trženja opravlja zaradi legitimnega interesa upravljavca ali, v primeru razkritja, tretje strani, kateri se podatki razkrijejo, ter da ustrezajo razumnim pričakovanjem posameznika, na katerega se nanašajo osebni podatki, ob upoštevanju njegovega razmerja do upravljavca, če so dane informacije o pravici do ugovora in o viru osebnih podatkov. Za obdelavo poslovnih kontaktnih podatkov bi bilo treba v splošnem šteti, da se opravlja v legitimnem interesu upravljavca ali, v primeru razkritja, tretje strani, kateri se podatki razkrijejo, in da ustreza razumnim pričakovanjem osebe, na katero se podatki nanašajo, ob upoštevanju njenega razmerja do upravljavca. Enako bi moralo veljati za obdelavo osebnih podatkov, ki jih očitno objavi posameznik, na katerega se nanašajo osebni podatki. [Sprememba 18]

(40)

Obdelava osebnih podatkov v druge namene bi morala biti dovoljena le, če je skladna s tistimi nameni, za katere so bili podatki prvotno zbrani, zlasti kadar je obdelava potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene. Če ta drugi namen ni skladen s prvotnim namenom, za katerega so podatki zbrani, bi moral upravljavec za ta drugi namen pridobiti privolitev posameznika, na katerega se nanašajo osebni podatki, ali pa bi moral obdelavo utemeljiti na drugi zakoniti podlagi za zakonito obdelavo, zlasti kadar to določa zakonodaja Unije ali zakonodaja držav članic, ki velja za upravljavca. V vsakem primeru bi morala biti zagotovljena uporaba načel iz te uredbe in zlasti obveščanje posameznika, na katerega se nanašajo osebni podatki, o teh drugih namenih. [Sprememba 19]

(41)

Osebne podatke, ki so po svoji naravi še zlasti občutljivi in ranljivi glede temeljnih pravic ali zasebnosti, je treba še posebej varovati. Taki podatki se brez izrecne privolitve posameznika, na katerega se nanašajo osebni podatki, ne smejo obdelovati. Vendar morajo biti odstopanja od te prepovedi izrecno predvidena glede posebnih potreb, zlasti kadar se obdelava izvaja v okviru zakonitih dejavnosti nekaterih združenj ali ustanov, katerih namen je omogočati uveljavljanje temeljnih svoboščin. [Sprememba 20]

(42)

Odstopanje od prepovedi obdelave občutljivih vrst podatkov bi moralo biti dovoljeno tudi, če to določa zakon, in ob upoštevanju ustreznih zaščitnih ukrepov, da se zaščitijo osebni podatki in druge temeljne pravice, kadar to upravičuje javni interes in zlasti v zdravstvene namene, vključno z javnim zdravjem in socialnim varstvom ter upravljanjem storitev zdravstvenega varstva, predvsem za zagotavljanje kakovosti in stroškovne učinkovitosti postopkov, ki se uporabljajo za reševanje zahtevkov za dajatve in storitve v sistemu zdravstvenega zavarovanja, ali v zgodovinske, statistične in znanstvenoraziskovalne namene ali za službe za arhiviranje . [Sprememba 21]

(43)

Poleg tega se obdelava osebnih podatkov uradno priznanih verskih skupnosti s strani državnih organov za doseganje ciljev, ki so določeni v ustavnem pravu ali mednarodnem javnem pravu, izvaja zaradi javnega interesa.

(44)

Kadar med volilnimi dejavnostmi delovanje demokratičnega sistema v državi članici zahteva, da politične stranke zberejo podatke o političnem prepričanju ljudi, se lahko obdelava takih podatkov dovoli zaradi javnega interesa, če so vzpostavljeni ustrezni zaščitni ukrepi.

(45)

Če podatki, ki jih upravljavec obdeluje, upravljavcu ne omogočajo identifikacije fizične osebe, upravljavec podatkov ne bi smel biti zavezan k pridobivanju dodatnih informacij, da bi ugotovil istovetnost posameznika, na katerega se nanašajo osebni podatki, samo zaradi skladnosti s katero koli določbo te uredbe. V primeru zahteve po dostopu bi moral upravljavec imeti pravico, da od posameznika, na katerega se nanašajo osebni podatki, zahteva dodatne informacije, ki bodo upravljavcu podatkov omogočile, da najde osebne podatke, ki jih ta oseba išče. Če posameznik, na katerega se nanašajo osebni podatki, lahko zagotovi take podatke, se upravljavci ne bi smeli sklicevati na pomanjkanje podatkov kot razlog za zavrnitev zahteve za dostop. [Sprememba 22]

(46)

Načelo preglednosti zahteva, da so vse informacije, ki se nanašajo na javnost ali posameznika, na katerega se nanašajo osebni podatki, lahko dostopne in razumljive ter izražene v jasnem in preprostem jeziku. To je še zlasti pomembno, kadar v primerih, kot je spletno oglaševanje, posameznik, na katerega se nanašajo osebni podatki, zaradi velikega števila akterjev in tehnološke zapletenosti težko ve in razume, ali se zbirajo osebni podatki, kdo jih zbira in v kakšen namen. Glede na to, da otroci potrebujejo posebno varstvo, bi morale biti vse informacije in vsa komunikacija, pri katerih se obdelava nanaša posebej na otroka, v tako jasnem in preprostem jeziku, da ga lahko otrok zlahka razume.

(47)

Zagotoviti bi bilo treba načine za olajšanje uveljavljanja pravic posameznika, na katerega se nanašajo osebni podatki, ki jih zagotavlja ta uredba, vključno z mehanizmi, s katerimi se brezplačno zahtevajo pridobijo zlasti dostop do podatkov, popravek, izbris in uveljavljanje pravice do ugovora. Upravljavec bi moral biti zavezan, da na zahtevo posameznika, na katerega se nanašajo osebni podatki, odgovori v določenem razumnem roku in da v primeru neizpolnitve zahteve posameznika navede razloge za to. [Sprememba 23]

(48)

Načeli poštene in pregledne obdelave zahtevata, da je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti zlasti o obstoju postopka obdelave in njegovih namenih, o  domnevnem času trajanja shranjevanja podatkov, če bodo podatki posredovani tretjim stranem ali tretjim državam, o obstoju meril za ugovarjanje in pravice do dostopa, popravka ali izbrisa in o pravici do vložitve pritožbe. Kadar se podatki zberejo od posameznika, na katerega se nanašajo osebni podatki, ga je treba obvestiti tudi o tem, ali je dolžan predložiti podatke, in o posledicah, če takih podatkov ne predloži. Te informacije je treba posvetovati posamezniku, na katerega se nanašajo osebni podatki, kar lahko pomeni tudi, da so mu dane na voljo, in sicer zatem, ko so mu posredovane poenostavljene informacij v obliki standardiziranih ikon. To bi moralo pomeniti tudi, da so osebni podatki obdelani na način, ki posamezniku, na katerega se nanašajo osebni podatki, dejansko omogočijo izvrševanje njegovih pravic. [Sprememba 24]

(49)

Posameznikom, na katere se nanašajo osebni podatki, bi bilo treba informacije v zvezi z obdelavo osebnih podatkov, ki se nanje nanašajo, posredovati ob zbiranju podatkov ali, kadar se podatki ne pridobijo od posameznika, v primernem roku in odvisno od okoliščin primera. Kadar se lahko podatki zakonito posredujejo drugemu prejemniku, bi moral biti posameznik, na katerega se nanašajo osebni podatki, obveščen, ko se podatki prvič posredujejo prejemniku.

(50)

Vendar pa izvajanje te obveznosti ni nujno, če ima je posameznik, na katerega se nanašajo osebni podatki, te informacije že na voljo s temi informacijami že seznanjen ali če je beleženje ali posredovanje izrecno določeno z zakonom ali če bi se zagotavljanje informacij posamezniku, na katerega se nanašajo osebni podatki, izkazalo za nemogoče ali bi vključevalo nesorazmeren napor. Do slednjega bi lahko prišlo zlasti, kadar se obdelava izvaja v zgodovinske, statistične ali znanstvenoraziskovalne namene; v zvezi s tem se lahko upošteva število posameznikov, na katere se nanašajo osebni podatki, starost podatkov in vsi sprejeti nadomestni ukrepi. [Sprememba 25]

(51)

Vsaka oseba bi morala imeti pravico dostopa do podatkov, ki so bili zbrani v zvezi z njo, in do enostavnega uveljavljanja te pravice, da bi se seznanila z obdelavo in preverila njeno zakonitost. Zato bi moral vsak posameznik, na katerega se nanašajo osebni podatki, imeti pravico do seznanitve s sporočilom in njegove pridobitve, zlasti o namenih obdelave podatkov, predvidenem obdobju obdelave, prejemnikih podatkov, splošni logiki podatkov, ki se obdelujejo, in možnih posledicah obdelave, vsaj v primerih, kadar podatki temeljijo na oblikovanju profilov. Ta pravica ne bi smela škodljivo vplivati na pravice in svoboščine drugih, vključno s poslovnimi skrivnostmi ali intelektualno lastnino, in predvsem na avtorske pravice na primer v zvezi z avtorskimi pravicami , ki ščitijo programsko opremo. Vendar pa to ne sme povzročiti, da se posamezniku, na katerega se nanašajo osebni podatki, zavrnejo vse informacije. [Sprememba 26]

(52)

Upravljavec bi moral uporabiti vse primerne ukrepe za preverjanje istovetnosti posameznika, na katerega se nanašajo osebni podatki in ki zahteva dostop, zlasti v okviru spletnih storitev in spletnih identifikatorjev. Upravljavec ne bi smel hraniti osebnih podatkov samo zato, da se lahko odzove na morebitno zahtevo.

(53)

Vsaka oseba bi morala imeti pravico do popravka osebnih podatkov v zvezi z njo in „pravico biti pozabljen do izbrisa “, kadar hramba takih podatkov ni v skladu s to uredbo. Posamezniki, na katere se nanašajo osebni podatki, bi morali imeti zlasti pravico do tega, da se njihovi osebni podatki izbrišejo in se več ne obdelujejo, kadar podatki niso več potrebni zaradi namenov, za katere so zbrani ali kako drugače obdelani, kadar so posamezniki preklicali svojo privolitev v obdelavo ali kadar nasprotujejo obdelavi osebnih podatkov, ki se nanje nanašajo, ali kadar obdelava njihovih osebnih podatkov kako drugače ni v skladu s to uredbo. Ta pravica je zlasti pomembna, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo privolitev kot otrok, ko se ni v celoti zavedal nevarnosti, povezanih z obdelavo, in želi pozneje take osebne podatke odstraniti, zlasti z interneta. Vendar pa bi morala biti nadaljnja hramba podatkov dovoljena, če je to potrebno v zgodovinske, statistične in znanstvenoraziskovalne namene, zaradi javnega interesa na področju javnega zdravja, za uveljavljanje pravice do svobode izražanja, kadar to zahteva zakon ali če obstaja razlog za omejitev obdelave podatkov namesto njihovega izbrisa. Poleg tega se pravica do izbrisa ne bi smela uporabljati, če je hramba osebnih podatkov potrebna za izvajanje pogodbe s posameznikom, na katerega se nanašajo osebni podatki, ali če obstaja pravna obveznost hrambe teh podatkov. [Sprememba 27]

(54)

Za okrepitev „pravice biti pozabljen do izbrisa “ v spletnem okolju bi morala biti pravica do izbrisa razširjena tako, da mora upravljavec, ki je osebne podatke objavil, tretje osebe, ki take podatke obdelujejo, obvestiti, da posameznik brez pravne utemeljitve, storiti vse potrebno za izbris podatkov, tudi, če to morajo storiti tretje strani, pri čemer to ne posega v pravico posameznika , na katerega se nanašajo osebni podatki, zahteva izbris morebitnih povezav do teh osebnih podatkov ali kopij osebnih podatkov do odškodnine . Da bi upravljavec zagotovil te informacije, mora glede podatkov, za objavo katerih je odgovoren, sprejeti vse primerne ukrepe, vključno s tehničnimi. Glede objave osebnih podatkov s strani tretje osebe se upravljavec šteje za odgovornega, če je odobril objavo s strani tretje osebe. [Sprememba 28]

(54a)

Podatki, katerim posameznik, na katerega se osebni podatki nanašajo, oporeka, njihove točnosti ali netočnosti pa ni mogoče ugotoviti, bi se morali do rešitve tega vprašanja blokirati. [Sprememba 29]

(55)

Za okrepitev nadzora nad lastnimi podatki in pravice do dostopa bi morali imeti posamezniki, na katere se nanašajo osebni podatki, pravico, da v primerih, kadar so osebni podatki obdelani z elektronskimi sredstvi in v strukturirani obliki v splošni rabi, pridobijo kopijo podatkov, ki se nanje nanašajo, tudi v elektronski obliki v splošni rabi. Posamezniku, na katerega se nanašajo osebni podatki, bi moralo biti dovoljeno tudi prenašanje podatkov, ki jih je predložil, iz ene avtomatizirane aplikacije, na primer družabnega omrežja, v drugo. Upravljavce podatkov bi bilo treba spodbuditi k razvoju interoperabilnih oblik, ki omogočajo prenosljivost podatkov. To bi moralo veljati, kadar je posameznik, na katerega se nanašajo osebni podatki, na podlagi svoje privolitve ali pri izvajanju pogodbe zagotovil podatke avtomatiziranemu sistemu za obdelavo. Ponudniki storitev informacijske družbe za zagotavljanje svojih storitev ne bi smeli zahtevati prenosa teh podatkov. [Sprememba 30]

(56)

V primerih, v katerih se lahko osebni podatki zakonito obdelujejo zaradi zaščite življenjskih interesov posameznika ali zaradi javnega interesa, izvajanja javne oblasti ali zaradi pravnih interesov upravljavca, bi moral imeti vsak posameznik, na katerega se nanašajo osebni podatki, pravico do ugovora glede obdelave vseh podatkov, ki so z njim povezani , in sicer brezplačno ter na enostaven in učinkovit način . Upravljavec bi moral dokazati, da njegovi pravni interesi prevladujejo nad interesi ali temeljnimi pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki. [Sprememba 31]

(57)

Kadar se osebni podatki obdelujejo zaradi neposrednega trženja, bi moral imeti ima posameznik, na katerega se nanašajo osebni podatki, pravico, da taki obdelavi ugovarja brezplačno in na način, ki ga je mogoče enostavno in učinkovito uveljavljati , bi moral upravljavec podatkov posamezniku to pravico izrecno ponuditi na razumljiv način in v razumljivi obliki, ob uporabi enostavnega in jasnega jezika, in bi moral to informacijo jasno ločiti od ostalih . [Sprememba 32]

(58)

Vsaka Ne glede na zakonitost obdelave podatkov bi morala vsaka fizična oseba bi morala imeti pravico, da ni predmet ukrepa, ki temelji na oblikovanju profilov s samodejno obdelavo ugovarja oblikovanju profilov . Vendar bi moral biti tak ukrep dovoljen Oblikovanje profilov, ki vodi do ukrepov, ki imajo pravne učinke za osebo, na katero se nanašajo osebni podatki, ali podobno vplivajo na interese, pravice ali svoboščine zadevne osebe, bi moralo biti dovoljeno le , kadar ga to izrecno dovoljuje zakon, kadar je sprejet med sklepanjem ali izvrševanjem pogodbe ali kadar je posameznik, na katerega se nanašajo osebni podatki, dal privolitev. V vsakem primeru bi morali za take postopke veljati ustrezni zaščitni ukrepi, vključno s posebnim obveščanjem posameznika, na katerega se nanašajo osebni podatki, in pravico do človeškega posredovanja človeške ocene , veljati pa bi moralo tudi, da se tak ukrep ne sme nanašati na otroka. Taki ukrepi ne bi smeli voditi do diskriminacije do oseb na podlagi rase ali etničnega porekla, političnega prepričanja, vere ali prepričanja, članstva v sindikatu, spolne usmerjenosti ali spolne identitete. [Sprememba 33]

(58a)

Za oblikovanje profilov, ki temelji le na obdelavi psevdonimnih podatkov, bi se moralo šteti, da ne vpliva znatno na interese, pravice ali svoboščine oseb, na katere se nanašajo osebni podatki. V primeru, ko oblikovanje profilov, ki bodisi temelji na enem viru psevdonimnih podatkov ali na združevanju psevdonimnih podatkov iz različnih virov, upravljavcu omogoči, da psevdonimne podatke dodeli posamezniku, na katerega se nanašajo osebni podatki, se ta postopek ne more več šteti za anonimnega. [Sprememba 34]

(59)

Omejitve posebnih načel in pravic do obveščenosti, dostopa, popravka in izbrisa ali pravice do prenosljivosti pridobivanja podatkov ali dostopa do njih , pravice do ugovora, ukrepov, ki temeljijo na oblikovanju oblikovanja profilov, sporočanja o kršitvi varnosti osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki, in določenih s tem povezanih obveznosti upravljavcev se lahko uvedejo z zakonodajo Unije ali zakonodajo držav članic, če je to v demokratični družbi potrebno in sorazmerno zaradi zaščite javne varnosti, vključno z zaščito človeškega življenja, zlasti pri odzivu na naravne nesreče ali nesreče, ki jih povzroči človek, preprečevanja, preiskovanja in pregona kaznivih dejanj ali kršitev etike za zakonsko urejene poklice, specifičnih in jasno opredeljenih drugih javnih interesov Unije ali države članice, vključno s pomembnim gospodarskim ali finančnim interesom, ali varstva posameznika, na katerega se nanašajo osebni podatki, oziroma pravic in svoboščin drugih. Te omejitve morajo biti skladne z zahtevami iz Listine Evropske unije o temeljnih pravicah in Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin. [Sprememba 35]

(60)

Uvesti bi bilo treba celovito pristojnost in odgovornost upravljavca glede vsake obdelave osebnih podatkov, ki jo izvede upravljavec ali je izvedena v njegovem imenu , zlasti v zvezi z dokumentacijo, varnostjo podatkov, oceno učinka, uradno osebo za varstvo podatkov in nadzorom organov za varstvo podatkov . Upravljavec bi moral zlasti zagotoviti in biti k temu zavezan, da dokaže zmožen dokazati skladnost vsakega postopka obdelave s to uredbo. To zmožnost preverijo neodvisni notranji ali zunanji revizorji. [Sprememba 36]

(61)

Varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, pri obdelavi osebnih podatkov zahteva, da se sprejmejo ustrezni tehnični in organizacijski ukrepi, tako med načrtovanjem obdelave kot med samo obdelavo, in tako zagotovi, da so zahteve iz te uredbe izpolnjene. Za zagotovitev in dokaz skladnosti s to uredbo bi moral upravljavec sprejeti notranje politike in izvesti ustrezne ukrepe, ki izpolnjujejo zlasti načeli vgrajenega in privzetega varstva podatkov. V skladu z načelom vgrajenega varstva podatkov mora biti varstvo podatkov vgrajeno v celotnem življenjskem ciklu tehnologije, od začetne faze načrtovanja do uvedbe, uporabe in končno zavrženja. To bi moralo vključevati tudi odgovornost za proizvode in storitve, ki jih uporabljata upravljavec ali obdelovalec. V skladu z načelom privzetega varstva podatkov morajo biti privzete nastavitve storitev in proizvodov skladne s splošnimi načeli varstva podatkov, kot sta načeli zmanjšanja količine podatkov na najmanjšo možno mero in omejitve namena.[Sprememba 37]

(62)

Varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, pa tudi pristojnost in odgovornost upravljavca in obdelovalca, tudi v povezavi s spremljanjem in ukrepi nadzornih organov, zahtevajo jasno razdelitev odgovornosti na podlagi te uredbe, tudi kadar upravljavec namene, pogoje in sredstva obdelave določi skupaj z drugimi upravljavci ali kadar je postopek obdelave izveden v imenu upravljavca. Ta razmerja med skupnimi upravljavci bi morala odražati njihove dejanske vloge in odnose. Obdelava osebnih podatkov po tej uredbi bi morala vključevati dovoljenje, da upravljavec podatke posreduje skupnemu upravljavcu ali obdelovalcu za obdelavo podatkov v njegovem imenu. [Sprememba 38]

(63)

Kadar upravljavec, ki nima sedeža v Uniji, obdeluje osebne podatke posameznikov, na katere se nanašajo osebni podatki in ki stalno prebivajo, v Uniji, ter se dejavnosti obdelave upravljavca nanašajo na nudenje blaga ali storitev takim posameznikom ali na spremljanje njihovega vedenja, bi moral upravljavec imenovati predstavnika, razen, če je sedež upravljavca v tretji državi, ki zagotavlja ustrezno raven varstva, oziroma se obdelava nanaša na manj kakor 5 000 posameznikov, na katere se nanašajo osebni podatki, v katerem koli neprekinjenem 12-mesečnem obdobju in se ne opravlja za posebne vrste osebnih podatkov ali je upravljavec malo ali srednje veliko podjetje ali javni organ, ali pa upravljavec takim posameznikom blago ali storitve nudi samo občasno. Predstavnik bi moral delovati v imenu upravljavca in nanj se lahko obrne kateri koli nadzorni organ. [Sprememba 39]

(64)

Za ugotovitev, ali upravljavec posameznikom, na katere se nanašajo osebni podatki, blago in storitve nudi samo občasno, bi bilo treba preveriti, ali je iz splošnih dejavnosti upravljavca razvidno, da je nudenje blaga in storitev takim posameznikom samo njegova postranska dejavnost. [Sprememba 40 ne zadeva SL]

(65)

Da dokaz bi lahko dokazal skladnosti s to uredbo, bi moral upravljavec ali obdelovalec dokumentirati vsak postopek obdelave hraniti dokumentacijo, potrebno za izpolnitev zahtev iz te uredbe . Vsak upravljavec in obdelovalec bi moral biti zavezan k sodelovanju z nadzornimi organi in na zahtevo omogočiti dostop do te dokumentacije, da bi tako lahko služila spremljanju postopkov obdelave oceni skladnosti s to uredbo . Toda bi bilo treba enak poudarek in pomen dati dobri praksi in izpolnjevanju zahtev in ne le vodenju dokumentacije. [Sprememba 41]

(66)

Za ohranitev varnosti in preprečitev obdelave s kršitvijo te uredbe bi moral upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja. Ti ukrepi bi morali zagotoviti ustrezno raven varnosti ob upoštevanju najsodobnejše tehnologije in stroškov njihovega izvajanja glede na tveganja in na naravo osebnih podatkov, ki jih je treba varovati. Pri določanju tehničnih standardov in organizacijskih ukrepov za zagotavljanje varnosti obdelave bi morala Komisija bilo treba spodbujati tehnološko nevtralnost, interoperabilnost in inovativnost ter po potrebi sodelovati spodbujati sodelovanje s tretjimi državami. [Sprememba 42]

(67)

Kršitev varnosti osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnemu posamezniku povzroči veliko gospodarsko izgubo in družbeno škodo, vključno z zlorabo identitete. Zato bi moral upravljavec, ko ugotovi brez nepotrebnega odlašanja, pri čemer se šteje , da je prišlo do take kršitve to ni pozneje kot v 72 urah , o tej kršitvi nemudoma, po možnosti v 24 urah, obvestiti nadzorni organ. Če tega ni mogoče storiti v 24 urah, Po potrebi je treba obvestilu priložiti pojasnilo razlogov za zamudo. Posameznike, pri katerih bi take kršitve lahko škodljivo vplivale na njihove osebne podatke, bi bilo treba o tem nemudoma obvestiti brez nepotrebnega odlašanja , da bi lahko sprejeli potrebne varnostne ukrepe. Za kršitev je treba domnevati, da škodljivo vpliva na osebne podatke ali zasebnost posameznika, na katerega se nanašajo osebni podatki, kadar lahko vodi na primer do kraje ali zlorabe identitete, fizične škode, hudega poniževanja ali okrnitve ugleda. Obvestilo bi moralo vsebovati opis narave kršitve varnosti osebnih podatkov in priporočila za zadevnega posameznika za ublažitev morebitnih škodljivih učinkov. Posamezniki, na katere se nanašajo osebni podatki, bi morali biti obveščeni, kakor hitro je to razumno mogoče, v tesnem sodelovanju z nadzornim organom in ob upoštevanju smernic, ki jih je podal nadzorni organ ali drugi ustrezni organi (npr. organi kazenskega pregona). Da bi lahko posamezniki, na katere se nanašajo osebni podatki, ublažili neposredno nevarnost nastanka škode, je treba take posameznike obvestiti nemudoma, potreba po izvajanju ustreznih ukrepov za preprečevanje nadaljnjih ali podobnih kršitev varnosti osebnih podatkov pa bi lahko upravičila daljšo zamudo. [Sprememba 43]

(68)

Za ugotovitev, ali sta nadzorni organ in posameznik, na katerega se nanašajo osebni podatki, obveščena nemudoma, bi bilo treba preveriti, ali je upravljavec izvedel in uporabil ustrezne ukrepe tehnološke zaščite in organizacijske ukrepe, s katerimi bi takoj ugotovil, ali je prišlo do kršitve varnosti osebnih podatkov, ter o tem nemudoma obvestil nadzorni organ in posameznika, na katerega se nanašajo osebni podatki, preden bi to škodovalo osebnim in gospodarskim interesom, ob upoštevanju zlasti narave in teže kršitve varnosti osebnih podatkov ter njenih posledic in škodljivih učinkov za posameznika, na katerega se nanašajo osebni podatki.

(69)

Pri določanju podrobnih pravil o obliki zapisa in postopkih, ki se uporabljajo za obvestilo o kršitvi varnosti osebnih podatkov, bi bilo treba ustrezno upoštevati okoliščine kršitve, vključno s tem, ali so bili osebni podatki zaščiteni z ustreznimi tehničnimi zaščitnimi ukrepi, ki učinkovito zmanjšujejo verjetnost zlorabe identitete ali drugih oblik zlorabe. Poleg tega bi bilo treba pri takih pravilih in postopkih upoštevati pravni interes organov kazenskega pregona, če bi zgodnje razkritje lahko po nepotrebnem oviralo preiskavo okoliščin kršitve.

(70)

Direktiva 95/46/ES je določala splošno obveznost glede obveščanja nadzornih organov o obdelavi osebnih podatkov. Ta obveznost je prinesla upravna in finančna bremena, ni pa v vseh primerih pripomogla k izboljšanju varstva osebnih podatkov. Zato bi bilo treba tako nerazlikovalno splošno obveznost obveščanja odpraviti ter nadomestiti z učinkovitimi postopki in mehanizmi, ki se namesto tega osredotočajo na tiste postopke obdelave, ki bodo zaradi svoje narave, obsega ali namenov verjetno predstavljali posebno nevarnost za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki. V takih primerih bi moral upravljavec ali obdelovalec pred obdelavo izvesti oceno učinka o varstvu podatkov, ki bi morala obsegati zlasti načrtovane ukrepe, zaščitne ukrepe in mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo.

(71)

To bi moralo veljati zlasti za novoustanovljene obsežne zbirke, ki so namenjene obdelavi precejšnje količine osebnih podatkov na regionalni, nacionalni ali nadnacionalni ravni in ki bi lahko vplivale na številne posameznike, na katere se nanašajo osebni podatki.

(71a)

Ocene učinka so temeljno jedro vsakega okvira za trajnostno varstvo podatkov, saj zagotavljajo, da se podjetja že v začetku zavedajo vseh morebitnih posledic svojih postopkov obdelave podatkov. Če so ocene učinka temeljite, se lahko bistveno zmanjša verjetnost kakršnih koli kršitev varnosti osebnih podatkov ali postopkov, ki posegajo v zasebnost. Zato bi morale ocene učinka na varstvo podatkov upoštevati celotni življenjski cikel upravljanja osebnih podatkov, od zbiranja do obdelave in izbrisa, ter bi morale natančno opisovati predvidene postopke obdelave, tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ukrepe, predvidene za obvladovanje tveganj, zaščitne ukrepe, varnostne ukrepe ter mehanizme za zagotavljanje skladnosti s to uredbo. [Sprememba 44]

(71b)

Upravljavci bi se morali osredotočati na varstvo osebnih podatkov skozi njihov celotni življenjski cikel, od zbiranja do obdelave in izbrisa, tako da bi že od začetka vlagali v okvir za trajnostno upravljanje podatkov, na podlagi katerega bi razvili celovit mehanizem skladnosti. [Sprememba 45]

(72)

V nekaterih okoliščinah je razumno in gospodarno, da je predmet ocene učinka o varstvu podatkov obširnejši in ne obsega samo enega projekta, na primer kadar nameravajo javni organi vzpostaviti skupno platformo za uporabo ali obdelavo ali kadar namerava več upravljavcev uvesti skupno aplikacijo ali okolje za obdelavo v celotnem industrijskem sektorju ali njegovem delu ali za horizontalno dejavnost v široki rabi.

(73)

Ocene učinka o varstvu podatkov mora izvajati javni organ, če taka ocena še ni bila izvedena v okviru sprejetja nacionalne zakonodaje, na kateri temelji opravljanje nalog javnega organa in ki ureja zadevne posebne postopke obdelave ali nize postopkov. [Sprememba 46]

(74)

Kadar ocena učinka o varstvu podatkov pokaže, da je s postopki obdelave povezana visoka raven posebnih tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, na primer izključevanje posameznikov iz pravice, ali na podlagi uporabe posebnih novih tehnologij, bi moralo biti pred začetkom postopka opravljeno posvetovanje z nadzornim organom ali uradno osebo za varstvo podatkov o tvegani obdelavi, ki morda ni v skladu s to uredbo, s strani nadzornega organa ali uradne osebe za varstvo podatkov pa podani predlogi za ureditev takega položaja. Tako posvetovanje Posvetovanje z nadzornim organom bi moralo prav tako potekati med pripravo bodisi ukrepa nacionalnega parlamenta bodisi ukrepa, temelječega na takem zakonodajnem ukrepu, ki opredeljuje naravo obdelave in predpisuje ustrezne zaščitne ukrepe. [Sprememba 47]

(74a)

Ocene učinka so lahko koristne le, če upravljavci zagotovijo, da so usklajene z obljubami, ki so bile v teh ocenah prvotno zastavljene. Zato bi morali upravljavci podatkov izvajati redne preglede skladnosti z varstvom podatkov za dokazovanje skladnosti vzpostavljenih mehanizmov za obdelavo podatkov z zagotovili iz ocene učinka na varstvo podatkov. Ocena učinka bi morala tudi dokazati sposobnost upravljavca podatkov, da upošteva samostojne odločitve posameznikov, na katere se nanašajo osebni podatki. Če se pri pregledu ugotovijo neskladnosti, jih mora ocena učinka poudariti in predložiti priporočila o tem, kako doseči popolno usklajenost. [Sprememba 48]

(75)

Kadar se obdelava izvaja v javnem sektorju ali kadar v zasebnem sektorju obdelavo izvaja velika družba obdelava zadeva več kot 5000 posameznikov, na katere se nanašajo osebni podatki, v 12-mesečnem obdobju ali kadar njene temeljne dejavnosti, ne glede na velikost družbe, obsegajo postopke obdelave občutljivih podatkov ali postopke obdelave , ki jih je treba redno in sistematično spremljati, bi moral upravljavcu ali obdelovalcu nekdo pomagati pri spremljanju notranje skladnosti s to uredbo. Pri ugotavljanju, ali se obdelujejo podatki o velikem številu posameznikov, na katere se nanašajo osebni podatki, se ne bi smeli upoštevati arhivirani podatki, ki so omejeni tako, da upravljavec do njih ne more normalno dostopati in jih obdelovati, ter tako, da jih ni več mogoče spremeniti. Taka uradna oseba za varstvo podatkov bi morala svoje dolžnosti in naloge izvajati neodvisno in bi morala uživati posebno zaščito pred odpovedjo , ne glede na to, ali je pri upravljavcu zaposlena ali ne in ali to nalogo izvaja za poln delovni čas . Končno odgovornost bi morala ohraniti uprava organizacije. Z uradno osebo za varstvo podatkov bi se bilo treba posvetovati zlasti pred zasnovo, nabavo, razvojem in vzpostavitvijo sistemov za samodejno obdelavo osebnih podatkov, da bi se zagotovili načeli vgrajene in privzete zasebnosti. [Sprememba 49]

(75a)

Uradna oseba za varstvo podatkov bi morala imeti vsaj naslednje kvalifikacije: dobro poznavanje vsebine in uporabe zakonodaje o varstvu podatkov, vključno s tehničnimi in organizacijskimi ukrepi in postopki; obvladovanje tehničnih zahtev za vgrajeno in privzeto zasebnost ter varnost podatkov; znanje, specifično za sektor, glede na velikost upravljavca ali obdelovalca ter občutljivost podatkov, ki jih je treba obdelati; sposobnost izvajanja inšpekcijskih pregledov, posvetovanj, dokumentiranja in analiziranja dnevniških datotek; in sposobnost sodelovanja s predstavništvom zaposlenih. Upravljavec bi moral uradni osebi za varstvo podatkov omogočiti udeležbo na dodatnem izpopolnjevanju, da bi ohranila posebno znanje, ki ga potrebuje za opravljanje svojih dolžnosti. Imenovanje za uradno osebo za varstvo podatkov ne pomeni nujno zaposlitve s polnim delavnim časom. [Sprememba 50]

(76)

Združenja ali druge organe, ki predstavljajo vrste upravljavcev, bi bilo treba po posvetovanju s predstavniki delavcev spodbujati, da v okviru omejitev iz te uredbe in ob upoštevanju posebnih značilnosti obdelave, ki se izvaja na nekaterih področjih, pripravijo pravila ravnanja za pospeševanje učinkovite uporabe te uredbe. S takšnimi pravili ravnanja bi moralo biti za panogo lažje dosegati skladnost s to uredbo. [Sprememba 51]

(77)

Za povečanje preglednosti in skladnosti s to uredbo bi bilo treba spodbujati uvedbo mehanizmov potrjevanja ter pečatov in standardiziranih označb za varstvo podatkov, ki bi posameznikom, na katere se nanašajo osebni podatki, omogočili, da hitro , zanesljivo in preverljivo ocenijo raven varstva podatkov zadevnih proizvodov in storitev. Evropski pečat za varstvo podatkov bi se moral vzpostaviti na evropski ravni za vzpostavitev zaupanja med posamezniki, na katere se nanašajo osebni podatki, zagotoviti pravno varnost za upravljavce, hkrati pa razširiti evropske standarde na področju varstva podatkov prek meja z omogočanjem lažjega vstopa na evropske trge neevropskim podjetjem, ki pridobijo potrdilo. [Sprememba 52]

(78)

Čezmejni prenosi osebnih podatkov so potrebni za razvoj mednarodne trgovine in mednarodnega sodelovanja. Povečanje teh prenosov je prineslo nove izzive in zaskrbljenost glede varstva osebnih podatkov. Vendar pa v primeru, ko se osebni podatki prenašajo iz Unije v tretje države ali mednarodne organizacije, raven varstva posameznikov, ki jo v Uniji zagotavlja ta uredba, ne bi smela biti ogrožena. V vsakem primeru se lahko prenosi v tretje države izvajajo samo v popolni skladnosti s to uredbo.

(79)

Ta uredba ne posega v mednarodne sporazume, ki so sklenjeni med Unijo in tretjimi državami ter urejajo prenos osebnih podatkov, vključno z ustreznimi zaščitnimi ukrepi za posameznike, na katere se nanašajo osebni podatki , in zagotavljajo ustrezno raven zaščite temeljnih pravic državljanov . [Sprememba 53]

(80)

Komisija lahko sprejme sklep, da določena tretja država ali ozemeljska enota ali sektor za obdelavo v tretji državi ali mednarodna organizacija nudi ustrezno raven varstva podatkov, s čimer zagotavlja pravno varnost in enotnost v Uniji v zvezi s tretjimi državami ali mednarodnimi organizacijami, za katere se šteje, da zagotavljajo tako raven varstva, pri čemer tak sklep Komisije velja za celotno Unijo. V teh primerih za prenose osebnih podatkov v te države dodatno pooblastilo ni potrebno. Komisija lahko, potem ko tretjo državo obvesti in ji zadevo v celoti obrazloži, takšno odločitev tudi razveljavi. [Sprememba 54]

(81)

Komisija bi morala v skladu s temeljnimi vrednotami, na katerih temelji Unija, zlasti z varstvom človekovih pravic, v svoji oceni tretje države upoštevati, v kolikšni meri tretja država spoštuje načelo pravne države, dostop do pravnega varstva ter mednarodna pravila in standarde človekovih pravic.

(82)

Komisija lahko tudi ugotovi, da tretja država ali ozemeljska enota ali sektor za obdelavo v tretji državi ali mednarodna organizacija ne nudi ustrezne ravni varstva podatkov. Če zakonodajni akt omogoča zunajozemeljski dostop do osebnih podatkov, obdelanih v Uniji, brez odobritve po pravu Unije ali države članice, se šteje, da obstajajo pokazatelji, da zakonodaja ni ustrezna. Posledično bi moral biti prenos osebnih podatkov v navedeno tretjo državo prepovedan. V takem primeru bi moralo biti predvideno posvetovanje med Komisijo in takimi tretjimi državami ali mednarodnimi organizacijami. [Sprememba 55]

(83)

Če sklep o ustreznosti ni sprejet, bi moral upravljavec ali obdelovalec sprejeti ukrepe, ki bodo pomanjkanje varstva podatkov v tretji državi nadomestili z ustreznimi zaščitnimi ukrepi za posameznika, na katerega se nanašajo osebni podatki. Taki ustrezni zaščitni ukrepi so lahko sestavljeni iz uporabe zavezujočih poslovnih pravil, standardnih določil Komisije o varstvu podatkov, standardnih določil nadzornega organa o varstvu podatkov ali pogodbenih določil, ki jih je odobril nadzorni organ, ali drugih ustreznih in sorazmernih ukrepov, ki so ob upoštevanju vseh okoliščin postopka za prenos podatkov ali niza postopkov za prenos podatkov upravičeni in jih odobri nadzorni organ. Taki ustrezni zaščitni ukrepi bi morali podpirati spoštovanje pravic posameznikov, na katere se nanašajo osebni podatki, ki ustreza obdelavi znotraj EU, zlasti v zvezi z omejitvijo namena ter pravico do dostopa, popravka, izbrisa ter pravico zahtevati odškodnino. Ti zaščitni ukrepi bi morali zlasti zagotoviti spoštovanje načel obdelave osebnih podatkov, zaščititi pravice posameznikov, na katere se nanašajo osebni podatki, nuditi učinkovite pravne instrumente, zagotoviti spoštovanje načel vgrajenega in privzetega varstva podatkov ter zagotoviti obstoj uradne osebe za varstvo podatkov. [Sprememba 56]

(84)

Možnost, ki jo ima upravljavec ali obdelovalec glede uporabe standardnih določil Komisije ali nadzornega organa o varstvu podatkov, upravljavcu ali obdelovalcu ne bi smela preprečiti, da standardne določbe o varstvu podatkov vključi v obsežnejšo pogodbo ali doda druge določbe ali dodatne zaščitne ukrepe , če le-te neposredno ali posredno ne nasprotujejo standardnim določilom Komisije ali nadzornega organa o varstvu podatkov ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki. Standardna določila o varstvu podatkov, ki jih sprejme Komisija, bi lahko zajela različne situacije, in sicer prenose od upravljavcev iz Unije na upravljavce, ki imajo sedež zunaj Unije, in od upravljavcev, ki imajo sedež v Uniji, do obdelovalcev, vključno s podobdelovalci, ki imajo sedež zunaj Unije. Upravljavci in obdelovalci bi se morali spodbujati, da vzpostavijo še strožje zaščitne ukrepe s pomočjo pogodbenih obveznosti, ki bi dopolnjevale standardne zaščitna določila. [Sprememba 57]

(85)

Skupina podjetij bi morala imeti možnost, da za svoje mednarodne prenose iz Unije v organizacije znotraj iste skupine podjetij uporabi odobrena zavezujoča poslovna pravila, če ta poslovna pravila obsegajo vsa bistvena načela in izvršljive pravice za zagotavljanje ustreznih zaščitnih ukrepov za prenos ali niz prenosov osebnih podatkov. [Sprememba 58]

(86)

Predvidena bi morala biti možnost prenosov v določenih okoliščinah, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo privolitev, kadar je prenos potreben zaradi pogodbe ali pravnega zahtevka, kadar to zahtevajo pomembni javni interesi, določeni z zakonodajo Unije ali zakonodajo držav članic, ali kadar je prenos izveden iz registra, vzpostavljenega z zakonodajo, ki je namenjen za uporabo s strani javnosti ali oseb s pravnim interesom. V slednjem primeru tak prenos ne bi smel vključevati celotnih podatkov ali celotnih vrst podatkov, ki jih vsebuje register, in kadar je register namenjen vpogledu oseb, ki imajo pravni interes, bi bilo treba prenos opraviti samo na zahtevo teh oseb ali če bodo te osebe prejemniki , pri čemer je treba v celoti upoštevati interese in temeljne pravice posameznikov, na katere se nanašajo osebni podatki . [Sprememba 59]

(87)

Ta odstopanja bi morala veljati zlasti za prenose podatkov, ki so zahtevani in potrebni za varstvo pomembnega javnega interesa, kot v primerih mednarodnih prenosov podatkov med organi za varstvo konkurence, davčnimi ali carinskimi upravami, finančnimi nadzornimi organi, med službami, pristojnimi za zadeve na področju socialne varnosti ali javnega zdravstva , ali državnimi organi, pristojnimi za preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj , vključno za preprečevanje pranja denarja in boj proti financiranju terorizma . Prenos osebnih podatkov bi bilo prav tako treba šteti za zakonitega, kadar je treba zaščititi interes, ki je bistven za življenje posameznika, na katerega se nanašajo osebni podatki, ali druge osebe, če zadevni posameznik ni sposoben dati privolitve. Prenosi osebnih podatkov zaradi takšnega pomembnega javnega interesa bi se morali odvijati zgolj občasno. V vsakem posameznem primeru bi bilo treba temeljito oceniti vse okoliščine prenosa. [Sprememba 60]

(88)

Prenosi, ki jih ni mogoče šteti za pogoste ali množične, bi lahko bili po oceni vseh okoliščin, povezanih s prenosom podatkov, mogoči tudi zaradi pravnih interesov upravljavca ali obdelovalca. Pri obdelavi v zgodovinske, statistične in znanstvenoraziskovalne namene bi bilo treba upoštevati legitimna pričakovanja družbe po večjem znanju. [Sprememba 61]

(89)

V vsakem primeru bi moral upravljavec ali obdelovalec, če Komisija ni sprejela sklepa o ustrezni ravni varstva podatkov v tretji državi, uporabiti rešitve, ki posameznikom, na katere se nanašajo osebni podatki, zagotavljajo dajejo pravno zavezujoče zagotovilo , da zanje po prenosu teh podatkov še vedno veljajo temeljne pravice in zaščitni ukrepi glede obdelave njihovih podatkov v Uniji , kolikor obdelava ni množična, ponavljajoča se ali strukturna . To jamstvo bi moralo vključevati finančno nadomestilo v primeru izgube ali nepooblaščenega dostopa ali obdelave podatkov in ne glede na nacionalno zakonodajo tudi obveznost zagotavljanja vseh podrobnosti o vseh dostopih javnih organov v tretji državi do podatkov. [Sprememba 62]

(90)

Nekatere tretje države sprejemajo zakone, predpise in druge zakonodajne akte, ki neposredno urejajo dejavnosti obdelave podatkov fizičnih in pravnih oseb, ki so pod sodno pristojnostjo držav članic. Zunajozemeljska uporaba teh zakonov, predpisov in drugih zakonodajnih aktov lahko krši mednarodno pravo in ovira doseganje varstva posameznikov, ki ga v Uniji zagotavlja ta uredba. Prenosi bi smeli biti dovoljeni samo, kadar so pogoji te uredbe za prenos v tretje države izpolnjeni. To je lahko med drugim v primerih, kadar je razkritje potrebno zaradi pomembnega javnega interesa, priznanega v zakonodaji Unije ali zakonodaji držav članic, ki velja za upravljavca. Pogoje, pod katerimi obstaja pomemben javni interes, bi morala Komisija natančneje določiti z delegiranim aktom. Kadar bi se upravljavci ali obdelovalci srečali z navzkrižjem v zvezi z zahtevami glede skladnosti med pristojnostjo Unije na eni ter pristojnostjo tretje države na drugi strani, bi morala Komisija zagotoviti, da ima zakonodaja Unije vedno prednost. Komisija bi morala upravljavcu in obdelovalcu zagotoviti smernice in pomoč ter si prizadevati za rešitev spora v zvezi s pristojnostjo z zadevno tretjo državo. [Sprememba 63]

(91)

Pri čezmejnem prenosu osebnih podatkov se lahko poveča tveganje v zvezi z zmožnostjo posameznikov pri uveljavljanju pravic do varstva podatkov, da se zaščitijo pred nezakonito uporabo ali razkritjem navedenih podatkov. Hkrati lahko nadzorni organi ugotovijo, da ne morejo obravnavati pritožb ali izvesti preiskav v zvezi z dejavnostmi zunaj svojih meja. Njihova prizadevanja za čezmejno sodelovanje lahko ovirajo tudi nezadostna pooblastila za preprečevanje kršitev ali njihovo odpravo, neskladne pravne ureditve in praktične ovire, na primer omejitev sredstev. Zato obstaja potreba po spodbujanju tesnejšega sodelovanja med nadzornimi organi za varstvo podatkov za pomoč pri izmenjavi informacij in izvajanju preiskav s tujimi nadzornimi organi za varstvo podatkov.

(92)

Ustanovitev nadzornih organov v državah članicah, ki popolnoma neodvisno opravljajo svoje naloge, je bistveni del varstva posameznikov pri obdelavi njihovih osebnih podatkov. Državam članicam bi morala biti omogočena ustanovitev več kot enega nadzornega organa zaradi umestitve v njihovo ustavno, organizacijsko in upravno strukturo. Organ mora imeti ustrezne finančne in človeške vire za popolno izvajanje svoje vloge, ob upoštevanju številčnosti populacije in obsega obdelave osebnih podatkov. [Sprememba 64]

(93)

Če država članica ustanovi več nadzornih organov, bi morala z zakonom vzpostaviti mehanizme za zagotavljanje učinkovitega sodelovanja teh nadzornih organov v mehanizmu za skladnost. Za zagotovitev hitrega in neoviranega sodelovanja z ostalimi nadzornimi organi, Evropskim odborom za varstvo podatkov in Komisijo bi morala ta država članica imenovati zlasti nadzorni organ, ki deluje kot enotna kontaktna točka za učinkovito sodelovanje teh organov v mehanizmu.

(94)

Vsakemu nadzornemu organu bi bilo treba zagotoviti zadostne finančne in človeške vire, s posebnim poudarkom na zagotavljanju ustreznega tehničnega in pravnega znanja osebja, prostore in infrastrukturo, ki so potrebni za učinkovito opravljanje njihovih nalog, vključno z nalogami v zvezi z medsebojno pomočjo in sodelovanjem z drugimi nadzornimi organi v vsej Uniji. [Sprememba 65]

(95)

Vsaka država članica bi morala predpisati splošne pogoje za člane nadzornega organa, ki bi morali zlasti določati, da te člane imenuje parlament ali vlada države članice, pri čemer si je treba prizadevati za zmanjšanje možnosti političnega vmešavanja na najnižjo možno raven, ter vsebovati pravila o osebnih kvalifikacijah članov, preprečevanju nasprotij interesov in položaju teh članov. [Sprememba 66]

(96)

Nadzorni organi bi morali spremljati uporabo določb v skladu s to uredbo in prispevati k njeni dosledni uporabi v vsej Uniji, da bi varovali fizične osebe pri obdelavi njihovih osebnih podatkov in olajšali prosti pretok osebnih podatkov na notranjem trgu. Zato bi morali nadzorni organi sodelovati med seboj in s Komisijo.

(97)

Kadar obdelava osebnih podatkov v okviru dejavnosti ustanovitve enote upravljavca ali obdelovalca v Uniji poteka v več kot eni državi članici, bi moral biti en sam nadzorni organ pristojen za spremljanje dejavnosti delovati kot enotna kontaktna točka in vodilni organ, pristojen za upravljavca ali obdelovalca v vsej Uniji in sprejemati s tem povezane odločitve, da bi povečal doslednost uporabe, zagotovil pravno varnost in za take upravljavce in obdelovalce zmanjšal upravno breme. [Sprememba 67]

(98)

Pristojni Vodilni organ, ki zagotavlja „vse na enem mestu“, bi moral biti nadzorni organ države članice, v kateri ima upravljavec ali obdelovalec glavni sedež ali svojega predstavnika . Evropski odbor za varstvo podatkov lahko na zahtevo pristojnega organa v nekaterih primerih preko mehanizma za skladnost določi vodilni organ. [Sprememba 68]

(98a)

Posamezniki, katerih osebne podatke obdeluje upravljavec ali obdelovalec podatkov v drugi državi članici, bi morali imeti možnost pritožbe na nadzorni organ po lastni izbiri. Vodilni organ za varstvo podatkov bi moral usklajevati svoje delo z delom drugih sodelujočih organov. [Sprememba 69]

(99)

Čeprav se ta uredba uporablja tudi za dejavnosti nacionalnih sodišč, pa pristojnost nadzornih organov ne bi smela obsegati obdelave osebnih podatkov, kadar sodišča delujejo kot sodni organ, da se zaščiti neodvisnost sodnikov pri opravljanju njihovih sodnih nalog. Vendar bi morala biti ta izjema omejena na dejanska sodna opravila v sodnih postopkih in se ne bi smela uporabljati za druge dejavnosti, v katere bi lahko bili vključeni sodniki v skladu z nacionalno zakonodajo.

(100)

Za zagotovitev doslednega spremljanja in izvajanja te uredbe v vsej Uniji bi morali biti naloge in učinkovita pooblastila nadzornih organov v vseh državah članicah enaki, vključno s pooblastili za preiskovanje, pravno zavezujoče posredovanje, izdajo odločb in naložitev sankcij, zlasti v primerih pritožb posameznikov, ter za sodelovanje v sodnem postopku. Preiskovalna pooblastila nadzornih organov glede dostopa v prostore bi bilo treba izvajati v skladu z zakonodajo Unije in nacionalno zakonodajo. To se nanaša zlasti na zahtevo glede predhodnega sodnega dovoljenja.

(101)

Vsak nadzorni organ bi moral obravnavati pritožbe, ki jih vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, ali združenje, ki deluje v javnem interesu, in preiskati zadevo. Preiskavo na podlagi pritožbe bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen, saj je lahko odločba nadzornega organa predmet sodne presoje. Nadzorni organ bi moral posameznika, na katerega se nanašajo osebni podatki, ali združenje v primernem roku obvestiti o stanju zadeve in odločitvi o pritožbi. Če mora nadzorni organ zadevo podrobneje proučiti ali se uskladiti z drugim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo osebni podatki, posredovati informacije o stanju zadeve med postopkom. [Sprememba 70]

(102)

Dejavnosti nadzornih organov, ki so namenjene ozaveščanju javnosti, bi morale obsegati posebne ukrepe, usmerjene na upravljavce in obdelovalce, vključno z mikro-, malimi in srednje velikimi podjetji, pa tudi posameznike, na katere se nanašajo osebni podatki.

(103)

Nadzorni organi bi si morali medsebojno pomagati pri opravljanju svojih dolžnosti in zagotoviti medsebojno pomoč, da se zagotovita dosledna uporaba in izvajanje te uredbe na notranjem trgu.

(104)

Vsak nadzorni organ bi moral imeti pravico do sodelovanja pri skupnem ukrepanju nadzornih organov. Zaprošeni nadzorni organ bi moral na zahtevo odgovoriti v določenem roku.

(105)

Za zagotovitev dosledne uporabe te uredbe v vsej Uniji bi bilo treba vzpostaviti mehanizem za skladnost za sodelovanje med nadzornimi organi in s Komisijo. Ta mehanizem bi se moral uporabljati zlasti v primerih, ko namerava nadzorni organ ukrepati glede postopkov obdelave, ki so povezani z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, v več državah članicah ali s spremljanjem takih posameznikov, ali pa v primerih, ki bi lahko znatno vplivali na prosti pretok osebnih podatkov. Uporabljati bi se moral tudi, kadar nadzorni organ ali Komisija zahteva, da se zadeva obravnava v mehanizmu za skladnost. Poleg tega bi morali imeti posamezniki, na katere se nanašajo osebni podatki, pravico do zagotovitve doslednosti, če menijo, da ukrep organa za varstvo podatkov države članice ni izpolnil tega merila. Ta mehanizem ne bi smel posegati v noben ukrep, ki ga lahko Komisija sprejme pri izvajanju svojih pooblastil na podlagi Pogodb. [Sprememba 71]

(106)

Pri uporabi mehanizma za skladnost bi moral Evropski odbor za varstvo podatkov v določenem roku podati mnenje, če tako odloči navadna večina članov ali če to zahteva kateri koli nadzorni organ ali Komisija.

(106a)

Da se zagotovi dosledna uporaba te uredbe, Evropski odbor za varstvo podatkov lahko v posameznih primerih sprejeme odločitev, ki je zavezujoča za pristojne nadzorne organe. [Sprememba 72]

(107)

Za zagotovitev skladnosti s to uredbo lahko Komisija o tem sprejme mnenje ali sklep, ki od nadzornega organa zahteva, da svoj osnutek ukrepa začasno prekliče. [Sprememba 73]

(108)

Lahko se pojavi nujna potreba po ukrepanju za zaščito interesov posameznikov, na katere se nanašajo osebni podatki, zlasti kadar obstaja nevarnost, da bi lahko bilo uveljavljanje pravice posameznika, na katerega se nanašajo osebni podatki, močno ovirano. Zato bi moral nadzorni organ imeti možnost, da pri uporabi mehanizma za skladnost sprejme začasne ukrepe z določenim obdobjem veljavnosti.

(109)

Uporaba tega mehanizma bi morala biti pogoj za pravno veljavnost in izvajanje zadevne odločitve nadzornega organa. V drugih primerih čezmejnega pomena se lahko medsebojna pomoč in skupno ukrepanje med zadevnimi nadzornimi organi izvajata na dvostranski ali večstranski podlagi, ne da bi pri tem sprožili mehanizem za skladnost.

(110)

Na ravni Unije bi bilo treba ustanoviti Evropski odbor za varstvo podatkov. Moral bi nadomestiti delovno skupino o varstvu posameznikov pri obdelavi osebnih podatkov, ustanovljeno z Direktivo 95/46/ES. Sestavljati bi ga morali vodje nadzornega organa vsake države članice in Evropski nadzornik za varstvo podatkov. Komisija bi morala sodelovati pri dejavnostih odbora. Evropski odbor za varstvo podatkov bi moral prispevati k dosledni uporabi te uredbe v vsej Uniji, vključno s svetovanjem Komisiji institucijam Evropske unije in spodbujanjem sodelovanja nadzornih organov v vsej Uniji , vključno z usklajevanjem skupnih dejavnosti . Evropski odbor za varstvo podatkov mora pri opravljanju svojih nalog delovati neodvisno. Evropski odbor za varstvo podatkov bi moral okrepiti dialog z ustreznimi deležniki, kot so združenja posameznikov, na katere se nanašajo osebni podatki, organizacije potrošnikov, upravljavci podatkov in drugi ustrezni deležniki in strokovnjaki. [Sprememba 74]

(111)

Vsak posameznik Posameznik , na katerega se nanašajo osebni podatki, bi moral imeti pravico do vložitve pritožbe pri nadzornem organu v kateri koli državi članici in pravico do učinkovitega pravnega sredstva v sodnem postopku skladu s členom 47 Listine , če meni, da so njegove pravice iz te uredbe kršene, ali če nadzorni organ ne obravnava pritožbe ali ne ukrepa, kadar je tak ukrep potreben za zaščito pravic posameznika, na katerega se nanašajo osebni podatki. [Sprememba 75]

(112)

Vsak organ, organizacija ali združenje, katerega namen je varstvo pravic in interesov posameznikov, na katere se nanašajo osebni podatki, v zvezi z varstvom njihovih podatkov ki deluje v javnem interesu, in ki je ustanovljen v skladu z nacionalno zakonodajo države članice, bi moral imeti pravico do vložitve pritožbe , da v imenu posameznika, na katerega se nanašajo osebni podatki, vloži pritožbo pri nadzornem organu ali uveljavitve pravice uveljavlja pravico do pravnega sredstva v sodnem postopku v imenu posameznikov, na katere se nanašajo osebni podatki, če ima pooblastilo tega posameznika, ali do vložitve lastne pritožbe, neodvisno od pritožbe posameznika, na katerega se nanašajo osebni podatki, če meni, da je prišlo do kršitve varnosti osebnih podatkov te uredbe . [Sprememba 76]

(113)

Vsaka fizična ali pravna oseba bi morala imeti pravico do pravnega sredstva v sodnem postopku zoper odločbo nadzornega organa v zvezi z njo. Za postopke zoper nadzorni organ bi morala biti pristojna sodišča države članice, v kateri ima nadzorni organ sedež.

(114)

Za okrepitev sodnega varstva posameznika, na katerega se nanašajo osebni podatki, kadar je pristojni nadzorni organ ustanovljen v drugi državi članici kot tisti, v kateri prebiva posameznik, na katerega se nanašajo osebni podatki, lahko tak posameznik od katerega pooblasti kateri koli organa, organizacije ali združenja, katerega namen je varstvo pravic in interesov posameznikov pri obdelavi njihovih podatkov, zahteva organ, organizacijo ali združenje, ki deluje v javnem interesu , da v njegovem imenu pred pristojnim sodiščem v drugi državi članici začne postopek zoper navedeni nadzorni organ. [Sprememba 77]

(115)

V primerih, kadar se pristojni nadzorni organ s sedežem v drugi državi članici ne odzove ali ne sprejme zadostnih ukrepov v zvezi s pritožbo, lahko posameznik, na katerega se nanašajo osebni podatki, od nadzornega organa države članice njegovega običajnega prebivališča zahteva, da pred pristojnim sodiščem v drugi državi članici začne postopek zoper navedeni nadzorni organ. To ne velja za nerezidente v EU. Zaprošeni nadzorni organ se lahko odloči, ali je primerno ugoditi zahtevi; odločitev je lahko predmet sodne presoje. [Sprememba 78]

(116)

V postopkih zoper upravljavca ali obdelovalca bi moral imeti tožnik možnost, da postopek začne pred sodiščem države članice, v kateri ima upravljavec ali obdelovalec sedež enoto ali v primeru dovoljenja za prebivanje v EU , ali pred sodiščem države članice, v kateri prebiva posameznik, na katerega se nanašajo osebni podatki, razen če je upravljavec javni organ Unije ali države članice , ki izvaja svoja javna pooblastila. [Sprememba 79]

(117)

Kadar obstajajo dokazi, da pred sodišči v različnih državah članicah potekajo vzporedni postopki, bi morala biti sodišča zavezana, da med seboj navežejo stik. Sodišča bi morala imeti možnost, da v primeru, ko je v drugi državi članici v obravnavi vzporedna zadeva, postopek ustavijo. Države članice bi morale zagotoviti učinkovite sodne postopke z možnostjo hitrega sprejetja ukrepov za odpravo ali preprečevanje kršitev te uredbe.

(118)

Vso škodo, ne glede na to, ali je denarna ali ne, ki jo oseba lahko utrpi zaradi nezakonite obdelave, bi moral povrniti upravljavec ali obdelovalec, vendar mu tega ni treba storiti le , če dokaže, da ni odgovoren za škodo, predvsem kadar ugotovi napako , da je krivda na strani posameznika, na katerega se nanašajo osebni podatki, ali v primeru višje sile. [Sprememba 80]

(119)

Kaznovati bi bilo treba vsako osebo, za katero velja zasebno ali javno pravo in ki ne ravna v skladu s to uredbo. Države članice bi morale zagotoviti, da so kazenske sankcije učinkovite, sorazmerne in odvračilne, ter sprejeti vse ukrepe za izvršitev kazenskih sankcij. Za pravila o kaznih bi se morali uporabljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine o temeljnih pravicah, tudi tistimi o pravici do učinkovitega pravnega sredstva, dolžnem postopanju in uporabi načela ne bis in idem. [Sprememba 81]

(119a)

Države članice bi morale pri uporabi kazni v celoti spoštovati ustrezne postopkovne zaščitne ukrepe, tudi pravico do učinkovitega pravnega sredstva, dolžno postopanje in uporabo načela ne bis in idem. [Sprememba 82]

(120)

Za okrepitev in uskladitev upravnih sankcij za kršitve te uredbe bi moral imeti vsak nadzorni organ pooblastila za kaznovanje upravnih kršitev. Ta uredba bi morala navajati te kršitve in zgornjo mejo s tem povezanih upravnih kazni, ki bi morale biti v vsakem posameznem primeru določene sorazmerno s posebnimi okoliščinami in ob upoštevanju zlasti narave, teže in trajanja kršitve. Mehanizem za skladnost se lahko uporabi tudi za kritje razlik pri uporabi upravnih sankcij.

(121)

Za Kadar je to potrebno, bi morale biti za obdelavo osebnih podatkov, ki se izvaja zgolj v novinarske namene ali zaradi umetniškega ali literarnega izražanja, bi morala veljati izjema možne izjeme ali odstopanja od zahtev nekaterih določb te uredbe, da se uskladi pravica do varstva osebnih podatkov s pravico do svobode izražanja in predvsem pravico do sprejemanja in širjenja informacij, kot je zagotovljeno zlasti v členu 11 Listine Evropske unije o temeljnih pravicah. To bi moralo veljati zlasti za obdelavo osebnih podatkov na avdiovizualnem področju ter v arhivih novic in medijskih arhivih. Zato bi morale države članice sprejeti zakonodajne ukrepe, ki bi morali določati izjeme in odstopanja, potrebne za uravnoteženje teh temeljnih pravic. Take izjeme in odstopanja bi države članice morale sprejeti glede splošnih načel, pravic posameznika, na katerega se nanašajo osebni podatki, upravljavca in obdelovalca, prenosa podatkov v tretje države ali mednarodne organizacije, neodvisnih nadzornih organov ter, sodelovanja in skladnosti ter posebnih primerov obdelave podatkov . Vendar pa države članice ne bi smele določati izjem od drugih določb te uredbe. Za upoštevanje pomena pravice do svobode izražanja v vsaki demokratični družbi je treba pojme, povezane s to svobodo, kot je na primer novinarstvo, razlagati v širokem smislu. Zato bi morale države članice opredeliti , da bodo zajemali vse dejavnosti kot „novinarske“ za namene izjem in odstopanj na podlagi te uredbe, če je predmet teh dejavnosti , katerih cilj je razkritje informacij, mnenj ali idej javnosti, ne glede na medij, s katerim se prenašajo , pri tem pa se upošteva tudi tehnološki razvoj . Ne bi smele biti omejene na medijske družbe, opravljajo pa se lahko v profitne ali neprofitne namene. [Sprememba 83]

(122)

Obdelava osebnih podatkov v zvezi z zdravjem kot posebne vrste podatkov, ki jih je treba bolje varovati, je pogosto lahko upravičena zaradi številnih zakonitih razlogov v korist posameznikov in družbe kot celote, zlasti v okviru zagotavljanja neprekinjenosti čezmejnega zdravstvenega varstva. Zato bi morala ta uredba določiti usklajene pogoje za obdelavo osebnih podatkov v zvezi z zdravjem, za katere veljajo posebni in ustrezni zaščitni ukrepi, ki varujejo temeljne pravice in osebne podatke posameznikov. To vključuje pravico posameznikov, da imajo dostop do lastnih osebnih podatkov v zvezi z zdravjem, na primer podatkov v njihovi zdravstveni kartoteki, ki vključuje informacije, kot so diagnoza, rezultati preiskav, ocene lečečih zdravnikov in druga zdravljenja ali posege.

(122a)

Strokovnjak, ki obdeluje osebne zdravstvene podatke, bi moral po možnosti prejeti anonimizirane ali psevdonimizirane podatke, pri čemer identiteto pozna le splošni zdravnik ali specialist, ki je zahteval obdelavo teh podatkov. [Sprememba 84]

(123)

Obdelava osebnih podatkov v zvezi z zdravjem je lahko potrebna zaradi javnega interesa na področju javnega zdravja, brez privolitve posameznika, na katerega se nanašajo osebni podatki. V zvezi s tem je bi bilo treba pojem „javno zdravje“ razlagati, kakor je opredeljeno v Uredbi (ES) št. 1338/2008 Evropskega parlamenta in Sveta z dne 16. decembra 2008 o statističnih podatkih Skupnosti v zvezi z javnim zdravjem ter zdravjem in varnostjo pri delu  (9), kjer pomeni vse elemente, povezane z zdravjem, in sicer zdravstveno stanje, vključno z obolevnostjo in invalidnostjo, determinante, ki vplivajo na zdravstveno stanje, potrebe zdravstvenega varstva, vire, namenjene zdravstvenemu varstvu, zagotavljanje in splošni dostop do zdravstvenega varstva, pa tudi izdatke in financiranje zdravstvenega varstva ter vzroke smrtnosti. Zaradi take obdelave osebnih podatkov v zvezi z zdravjem zaradi javnega interesa tretje osebe, kot so delodajalci ter zavarovalne in bančne družbe, ne bi smele obdelovati osebnih podatkov v druge namene. [Sprememba 85]

(123a)

Obdelava osebnih podatkov v zvezi z zdravjem kot posebne kategorije podatkov je lahko potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene. Uredba zato določa izvzetje iz zahteve po privolitvi v primerih raziskav, ki so v velikem javnem interesu. [Sprememba 86]

(124)

Splošna načela o varstvu posameznikov pri obdelavi osebnih podatkov bi morala veljati tudi glede zaposlitve in socialnega varstva . Za ureditev obdelave osebnih podatkov zaposlenega v okviru zaposlitve bi morale države Države članice bi morale imeti možnost, da v mejah te uredbe sprejmejo posebno zakonodajo o obdelavi ureditve obdelave osebnih podatkov v sektorju zaposlovanja okviru zaposlitve in obdelavo osebnih podatkov v okviru socialnega varstva v skladu s pravili in minimalnimi standardi iz te uredbe . Če v zadevni državi članici obstaja pravna podlaga, ki omogoča ureditev zadev iz delovnega razmerja s sporazumom med predstavniki zaposlenih in vodstvom podjetja ali družbe, ki obvladuje skupino povezanih družb (kolektivni sporazum) ali v skladu z Direktivo 2009/38/ES Evropskega parlamenta in Sveta  (10) , potem se lahko s takim sporazumom uredi tudi obdelava osebnih podatkov v okviru zaposlitve. [Sprememba 87]

(125)

Da bi bila obdelava osebnih podatkov v zgodovinske, statistične in znanstvenoraziskovalne namene zakonita, bi morala spoštovati tudi drugo ustrezno zakonodajo, na primer zakonodajo o kliničnem preskušanju.

(125a)

Osebne podatke lahko naknadno obdelajo službe za arhiviranje, katerih glavna naloga ali obveznost je zbiranje, hramba, posredovanje informacij, uporaba in razširjanje arhivskega gradiva v javnem interesu. Države članice z zakonodajo uskladijo pravico do varstva osebnih podatkov s pravili o arhivih in o dostopu javnosti do upravnih informacij. Države članice spodbujajo pripravo pravil, zlasti s strani Evropske skupine za arhiviranje, za zagotavljanje zaupnosti podatkov v razmerju do tretjih strank in verodostojnosti, celovitosti in ustrezne hrambe podatkov. [Sprememba 88]

(126)

Znanstvene raziskave za namene te uredbe bi morale obsegati temeljne raziskave, uporabne raziskave in zasebno financirane raziskave, obenem pa bi morale upoštevati cilj Unije iz člena 179(1) Pogodbe o delovanju Evropske unije glede oblikovanja evropskega raziskovalnega območja. Obdelava osebnih podatkov iz zgodovinskih, statističnih in znanstvenoraziskovalnih namenov ne bi smela privesti do obdelave osebnih podatkov v druge namene, razen s privolitvijo posameznika, na katerega se nanašajo osebni podatki, ali na podlagi prava Unije ali države članice. [Sprememba 89]

(127)

Glede pooblastil nadzornih organov, da od upravljavca ali obdelovalca dobijo dostop do osebnih podatkov in njegovih prostorov, lahko države članice v mejah te uredbe sprejmejo posebno zakonodajo glede varovanja poklicne ali druge enakovredne obveznosti molčečnosti, v kolikor je to potrebno zaradi uskladitve pravice do varstva osebnih podatkov z obveznostjo poklicne molčečnosti.

(128)

Ta uredba spoštuje in ne vpliva na status cerkva in verskih združenj ali skupnosti, ki ga imajo na podlagi nacionalne zakonodaje v državah članicah, kot je priznan v členu 17 Pogodbe o delovanju Evropske unije. Zato bi se morala, če cerkev v državi članici v času začetka veljavnosti te uredbe uporablja celovita ustrezna pravila v zvezi z varstvom posameznikov pri obdelavi osebnih podatkov, ta veljavna pravila uporabljati še naprej, če se uskladijo s to uredbo in se prizna, da so z njo skladna . Od cerkva in verskih združenj bi bilo treba zahtevati, da zagotovijo ustanovitev popolnoma neodvisnega nadzornega organa. [Sprememba 90]

(129)

Da se dosežejo cilji te uredbe, in sicer da se zaščitijo temeljne pravice in svoboščine fizičnih oseb in zlasti njihova pravica do varstva osebnih podatkov, ter da se zagotovi prosti pretok osebnih podatkov v Uniji, bi bilo treba na Komisijo prenesti pooblastilo za sprejemanje aktov v skladu s členom 290 Pogodbe o delovanju Evropske unije. Delegirane akte bi bilo treba sprejeti zlasti glede zakonitosti obdelave; določanja meril in pogojev v zvezi s privolitvijo otroka; obdelave posebnih vrst podatkov; določanja meril in pogojev za očitno čezmerne zahteve in pristojbin za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki; meril in zahtev po obveščanju posameznika, na katerega se nanašajo osebni podatki, in v zvezi s pravico do dostopa; določanja pogojev za zagotavljanje informacij, ki temelji na ikonah; pravice biti pozabljen in do izbrisa; ukrepov, ki temeljijo na oblikovanju profilov; meril in zahtev glede odgovornosti upravljavca ter glede vgrajenega varstva podatkov; obdelovalca; meril in zahtev za beleženje in varnost obdelave; meril in zahtev za ugotavljanje kršitve varnosti osebnih podatkov in za obveščanje nadzornega organa o kršitvi ter o okoliščinah, v katerih bo kršitev verjetno škodljivo vplivala na posameznika, na katerega se nanašajo osebni podatki; meril in pogojev za postopke obdelave, pri katerih je potrebna ocena učinka o varstvu podatkov; meril in zahtev za določanje visoke ravni posebnih tveganj, zaradi katerih je potrebno predhodno posvetovanje; imenovanja in nalog uradne osebe za varstvo podatkov; pravil ravnanja; meril in zahtev za mehanizme za potrjevanje; izjave, da so pravila ravnanja skladna s to uredbo; meril in zahtev za prenose na podlagi zavezujočih poslovnih pravil; odstopanj za prenose; upravnih sankcij; obdelave v zdravstvene namene; in obdelave v okviru zaposlitve ter obdelave v zgodovinske, statistične in znanstvenoraziskovalne namene. Zlasti je pomembno, da Komisija pri svojem pripravljalnem delu opravi ustrezna posvetovanja, vključno na ravni strokovnjakov , zlasti z Evropskim odborom za varstvo podatkov . Komisija bi morala pri pripravi in oblikovanju med pripravo in sestavljanjem delegiranih aktov zagotoviti, da so se ustrezni dokumenti sočasno, pravočasno in ustrezno predložijo Evropskemu parlamentu in Svetu predloženi istočasno, pravočasno in na ustrezen način. [Sprememba 91]

(130)

Za zagotovitev enotnih pogojev za izvajanje te uredbe bi bilo treba na Komisijo prenesti izvedbena pooblastila za: določitev standardnih obrazcev za posebne metode za pridobitev privolitve, ki jo je mogoče preveriti, v zvezi z obdelavo osebnih podatkov otroka; standardne postopke in obrazce standardnih obrazcev za uveljavljanje sporočila posameznikom, kateri podatke se obdeluje, o uveljavljanju njihovih pravic posameznikov, na katere se nanašajo osebni podatki; standardne obrazce standardnih obrazcev za obveščanje posameznikov, na katere se nanašajo osebni podatki; standardne obrazce in postopke standardnih obrazcev v zvezi s pravico do dostopa; pravico do prenosljivosti , vključno za sporočanje osebnih podatkov posameznikom, na katere se nanašajo osebni podatki ; standardne obrazce standardnih obrazcev v zvezi z odgovornostjo upravljavca podatkov glede vgrajenega varstva podatkov in dokumentacije dokumentacijo, ki jo morata hraniti upravljavec in obdelovalec ; posebne zahteve glede varnosti obdelave; standardne oblike zapisa in postopke standardnih obrazcev za obveščanje nadzornega organa o kršitvi varnosti osebnih podatkov ter sporočanje posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti za dokumentiranje kršitve osebnih podatkov; standarde in postopke za oceno učinka o varstvu podatkov; obrazce in postopke obrazcev za predhodno odobritev in predhodno posvetovanje z nadzornim organom in njegovo obveščanje ; tehnične standarde in mehanizme za potrjevanje; ustrezno raven varstva, ki jo zagotavlja tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija; razkritja, ki jih pravo Unije ne dovoljuje; medsebojno pomoč; skupno ukrepanje; odločitve v okviru mehanizma za skladnost. Ta pooblastila Pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije  (11). V zvezi s tem bi morala Komisija sprejeti posebne ukrepe za mikro-, mala in srednje velika podjetja. [Sprememba 92]

(131)

Za Postopek pregleda bi bilo treba uporabljati za sprejetje standardnih obrazcev : za posebne metode za pridobitev privolitve, ki jo je mogoče preveriti, v zvezi s privolitvijo z obdelavo osebnih podatkov otroka; standardnih postopkov in obrazcev za uveljavljanje pravic obveščanje posameznikov, na katere se nanašajo osebni podatki katerih podatke se obdeluje, o uveljavljanju njihovih pravic ; standardnih obrazcev za obveščanje posameznikov, na katere se nanašajo osebni podatki; standardnih obrazcev in postopkov v zvezi s pravico do dostopa vključno za sporočanje osebnih podatkov posameznikom, na katere se nanašajo osebni podatki ; pravice do prenosljivosti podatkov; standardnih obrazcev v zvezi z odgovornostjo upravljavca podatkov glede vgrajenega varstva podatkov in dokumentacije dokumentacijo, ki jo morata hraniti upravljavec in obdelovalec ; posebnih zahtev glede varnosti obdelave; standardnih oblik zapisa in postopkov za obveščanje nadzornega organa o kršitvi varnosti osebnih podatkov ter sporočanje posamezniku, na katerega se nanašajo osebni podatki, o kršitvi za dokumentiranje kršitve varnosti osebnih podatkov; standardov in postopkov za oceno učinka o varstvu podatkov; obrazcev in postopkov za predhodno odobritev in predhodno posvetovanje; tehničnih standardov in mehanizmov za potrjevanje; ustrezne ravni varstva, ki jo zagotavlja tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija; razkritij, ki jih pravo Unije ne dovoljuje; medsebojne pomoči; skupnega ukrepanja; odločitev v okviru mehanizma za skladnost bi bilo treba uporabiti postopek pregleda, saj se z nadzornim organom in njegovo obveščanje, glede na to, da ti akti splošno uporabljajo. [Sprememba 93]

(132)

Komisija bi morala sprejeti izvedbene akte, ki se začnejo takoj uporabljati, na podlagi ustrezno utemeljenih nujnih primerov v zvezi s tretjo državo, ozemeljsko enoto, sektorjem za obdelavo v navedeni tretji državi ali mednarodno organizacijo, ki ne zagotavlja ustrezne ravni varstva, in v zvezi z zadevami, o katerih Komisijo v okviru mehanizma za skladnost obvestijo nadzorni organi. [Sprememba 94]

(133)

Ker države članice ne morejo zadovoljivo doseči ciljev te uredbe, tj. zagotoviti enako raven varstva posameznikov in prosti pretok podatkov v vsej Uniji, temveč se zaradi obsega ali učinkov ukrepov lažje dosežejo na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenih ciljev.

(134)

S to uredbo bi bilo treba razveljaviti Direktivo 95/46/ES. Sklepi, ki jih je na podlagi Direktive 95/46/ES sprejela Komisija, in odobritve s strani nadzornih organov bi morali ostati v veljavi. Sklepi Komisije in odobritve nadzornih organov, ki so povezani s prenosi osebnih podatkov v tretje države v skladu s členom 41(8), bi morali ostati v veljavi za prehodno obdobje petih let od začetka veljavnosti te uredbe, razen če jih Komisija spremeni, nadomesti ali razveljavi pred koncem tega obdobja. [Sprememba 95]

(135)

Ta uredba bi se morala uporabljati za vse zadeve, povezane z varstvom temeljnih pravic in svoboščin pri obdelavi osebnih podatkov, za katere ne veljajo posebne obveznosti z istim ciljem iz Direktive 2002/58/ES Evropskega parlamenta in Sveta (12), vključno z obveznostmi za upravljavce in pravicami posameznikov. Za pojasnitev povezave med to uredbo in Direktivo 2002/58/ES bi bilo treba slednjo ustrezno spremeniti.

(136)

Kar zadeva Islandijo in Norveško, ta uredba pomeni razvoj določb schengenskega pravnega reda, kolikor se uporablja za obdelavo osebnih podatkov s strani organov, ki sodelujejo pri izvajanju tega pravnega reda v smislu Sporazuma, sklenjenega med Svetom Evropske unije in Republiko Islandijo ter Kraljevino Norveško, v zvezi s pridružitvijo teh dveh držav k izvajanju, uporabi in razvoju schengenskega pravnega reda (13).

(137)

Kar zadeva Švico, ta uredba pomeni razvoj določb schengenskega pravnega reda, kolikor se uporablja za obdelavo osebnih podatkov s strani organov, ki sodelujejo pri izvajanju tega pravnega reda v smislu Sporazuma med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda (14).

(138)

Kar zadeva Lihtenštajn, ta uredba pomeni razvoj določb schengenskega pravnega reda, kolikor se uporablja za obdelavo osebnih podatkov s strani organov, ki sodelujejo pri izvajanju tega pravnega reda v smislu Protokola med Evropsko unijo, Evropsko skupnostjo, Švicarsko konfederacijo in Kneževino Lihtenštajn o pristopu Kneževine Lihtenštajn k Sporazumu med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda (15).

(139)

Ob upoštevanju dejstva, kot ga je poudarilo Sodišče Evropske unije, da pravica do varstva osebnih podatkov ni absolutna pravica, temveč jo je treba obravnavati glede na vlogo, ki jo ima v družbi, in v skladu z načelom sorazmernosti uskladiti z drugimi temeljnimi pravicami, ta uredba spoštuje vse temeljne pravice in upošteva načela, priznana z Listino Evropske unije o temeljnih pravicah, kot so zajeta v Pogodbah, zlasti pravico do spoštovanja zasebnega in družinskega življenja, stanovanja ter komunikacij, pravico do varstva osebnih podatkov, svobodo misli, vesti in vere, svobodo izražanja in obveščanja, svobodo gospodarske pobude, pravico do učinkovitega pravnega sredstva in nepristranskega sodišča ter kulturno, versko in jezikovno raznolikost –

(a)

v okviru dejavnosti zunaj področja uporabe zakonodaje prava Unije, zlasti v zvezi z nacionalno varnostjo;

(b)

s strani institucij, organov, uradov in agencij Unije;

(c)

s strani držav članic, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 2 naslova V Pogodbe o Evropski uniji;

(d)

s strani fizične osebe brez kakršnega koli pridobitnega interesa v teku lastne izrecno med potekom izključno osebne ali domače dejavnosti . Ta izjema se uporablja tudi za objavo osebnih podatkov, kadar se lahko upravičeno pričakuje, da jih bo dostopalo le omejeno število oseb ;

(e)

s strani pristojnih javnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij.

(a)

nudenjem blaga ali storitev takim posameznikom v Uniji , ne glede na to, ali je potrebno plačilo takšnega posameznika, ali

(b)

spremljanjem njihovega vedenja takšnih posameznikov .

(1)

„posameznik, na katerega se nanašajo osebni podatki“ pomeni določeno fizično osebo ali fizično osebo, ki je neposredno ali posredno določljiva s sredstvi, za katera se razumno pričakuje, da jih bo uporabil upravljavec ali vsaka druga fizična ali pravna oseba, zlasti z navedbo identifikacijske številke, podatkov o lokaciji, spletnih identifikatorjev ali enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto navedene osebe;

(2)

„osebni podatki“ pomenijo vsako informacijo v zvezi s posameznikom katere koli informacije, ki se nanašajo na določeno ali določljivo fizično osebo („posameznik , na katerega se nanašajo osebni podatki “); določljiva oseba je tista, ki se lahko neposredno ali posredno določi, zlasti s pomočjo identifikatorjev, kot so ime, identifikacijska številka, podatki o lokaciji, edinstveni identifikator ali eden ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno, družbeno ali spolno identiteto te osebe ;

(2a)

„psevdonimizirani podatki“ pomenijo osebne podatke, ki jih brez dodatnih informacij ni mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje nepripisovanja;

(2b)

„šifrirani podatki“ pomenijo osebne podatke, ki so zaradi tehnoloških zaščitnih ukrepov nerazumljivi vsaki osebi, ki ni pooblaščena za dostop do njih;

(3)

„obdelava“ pomeni vsak postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki ali nizi osebnih podatkov s samodejnimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali predelava, iskanje, vpogled, uporaba, razkritje s posredovanjem, širjenje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, izbris ali uničenje;

(3a)

„oblikovanje profilov“ pomeni vsako obliko samodejne obdelave osebnih podatkov za namene ocene nekaterih osebnih vidikov v zvezi s fizično osebo ali analiziranja ali predvidevanja zlasti uspešnosti pri delu, ekonomskega položaja, lokacije, zdravja, osebnega okusa, zanesljivosti ali vedenja fizične osebe;

(4)

„zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki je dostopen v skladu s posebnimi merili, in sicer centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(5)

„upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali vsak kateri koli drug organ, ki sam ali skupaj z drugimi določa namene, pogoje in sredstva obdelave osebnih podatkov; kadar namene, pogoje in sredstva obdelave določa zakonodaja Unije ali zakonodaja držav članic, lahko upravljavca ali posebna merila za njegovo imenovanje določi zakonodaja Unije ali zakonodaja držav članic;

(6)

„obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali vsak kateri koli drug organ, ki obdeluje osebne podatke v imenu upravljavca;

(7)

„prejemnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali vsak kateri koli drug organ, ki so mu bili osebni podatki razkriti;

(7a)

„tretja stranka“ pomeni katero koli fizično ali pravno osebo, javni organ, agencijo ali kateri koli drug organ, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in oseba, ki je neposredno podrejena upravljavcu ali obdelovalcu, ki je pooblaščen za obdelavo podatkov;

(8)

„privolitev posameznika, na katerega se nanašajo osebni podatki“, pomeni vsako prostovoljno dano posebno, informirano in izrecno izjavo volje posameznika, s katero posameznik, na katerega se nanašajo osebni podatki, z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo podatkov, ki se nanašajo nanj;

(9)

„kršitev varnosti osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(10)

„genetski podatki“ pomenijo vse osebne podatke ne glede na njihovo vrsto v zvezi , povezane z  genetskimi značilnostmi posameznika, ki so bile podedovane ali pridobljene v zgodnjem prenatalnem obdobju , kot izhajajo iz analize biološkega vzorca zadevnega posameznika, zlasti analize kromosomov, deoksiribonukleinske kisline (DNK) ali ribonukleinske kisline (RNK) ali analize kakršnega koli drugega elementa, ki zagotavlja enakovredne informacije ;

(11)

„biometrični podatki“ pomenijo vse podatke v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo njegovo edinstveno identifikacijo, kot so podobe obraza ali daktiloskopski podatki;

(12)

„podatki o zdravstvenem stanju“ pomenijo vsako informacijo vse osebne podatke , ki se nanaša nanašajo na telesno ali duševno zdravje posameznika ali na izvajanje zdravstvenih storitev za posameznika;

(13)

„glavni sedež“v zvezi z upravljavcem pomeni kraj ustanovitve podjetja ali povezanih družb v Uniji, bodisi upravljavca bodisi obdelovalca, kjer se sprejemajo glavne odločitve glede namenov, pogojev in sredstev obdelave osebnih podatkov; če se odločitve glede namenov, pogojev in sredstev obdelave osebnih podatkov ne sprejemajo v Uniji, je glavni sedež kraj, v katerem se izvajajo glavni postopki obdelave v okviru dejavnosti ustanovitve upravljavca v Uniji. V zvezi z obdelovalcem „glavni sedež“ pomeni kraj njegove osrednje uprave v Uniji; Med drugim se lahko upoštevajo naslednja objektivna merila: lokacija sedeža upravljavca ali obdelovalca; lokacija subjekta znotraj povezane družbe, ki je glede vodstvenih funkcij in upravnih odgovornosti najbolj primeren za obravnavo in izvrševanje pravil iz te uredbe; lokacije, kjer se izvajajo dejanske in resnične vodstvene dejavnosti, ki s stabilnimi ureditvami določajo obdelavo podatkov;

(14)

„predstavnik“ pomeni vsako fizično ali pravno osebo, ustanovljeno s sedežem v Uniji, ki jo je izrecno imenoval upravljavec in ki v Uniji deluje namesto zastopa upravljavca, nadzorni organi in drugi organi v Uniji pa se lahko namesto na upravljavca nanjo obrnejo v zvezi z  njegovimi obveznostmi upravljavca iz te uredbe;

(15)

„podjetje“ pomeni vsak subjekt, ki opravlja gospodarsko dejavnost, ne glede na njegovo pravno obliko, in obsega zlasti fizične in pravne osebe, partnerstva ali združenja, ki redno opravljajo gospodarsko dejavnost;

(16)

„povezane družbe“ pomenijo obvladujočo družbo in njene odvisne družbe;

(17)

„zavezujoča poslovna pravila“ pomenijo politike na področju varstva osebnih podatkov, ki jih upravljavec ali obdelovalec, ustanovljen na ozemlju države članice Unije, upošteva pri prenosih ali nizih prenosov osebnih podatkov upravljavcu ali obdelovalcu povezane družbe v eni ali več tretjih državah;

(18)

„otrok“ pomeni osebo, mlajšo od 18 let;

(19)

„nadzorni organ“ pomeni javni organ, ki ga v skladu s členom 46 ustanovi država članica. [Sprememba 98]

(a)

obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki (zakonitost, pravičnost in preglednost) ;

(b)

zbrani za določene, jasne in zakonite namene ter se ne smejo naprej obdelovati na način, ki je nezdružljiv s temi nameni (omejitev namena) ;

(c)

primerni, ustrezni in omejeni na nujno potrebne za namene, za katere se obdelujejo; obdelujejo se lahko samo in kolikor namenov ni bilo mogoče doseči z obdelavo informacij, ki niso osebni podatki (zmanjšanje količine podatkov na najmanjšo možno mero) ;

(d)

točni in po potrebi posodobljeni; sprejeti je treba vse primerne ukrepe za zagotovitev, da se netočni osebni podatki nemudoma izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo (natančnost) ;

(e)

shranjeni v obliki, ki dopušča neposredno ali posredno identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki so lahko shranjeni dalj časa, če bodo podatki obdelani v zgodovinske, statistične ali znanstvenoraziskovalne ali pa arhivske namene v skladu s pravili in pogoji iz člena 83 in 83a in če se redno preverja potreba po nadaljnjem shranjevanju podatkov , poleg tega pa morajo biti vzpostavljeni ustrezni tehnični in organizacijski ukrepi za omejevanje dostopa do podatkov le za te namene (zmanjšanje hrambe na najmanjšo možno mero) ;

(ea)

obdelani na način, ki posamezniku, na katerega se nanašajo, omogoča učinkovito uveljavljanje njegovih pravic (učinkovitost);

(eb)

obdelani na način, ki ščiti pred nedovoljeno ali nezakonito obdelavo ter pred naključno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi (celovitost);

(f)

obdelani v okviru pristojnosti in odgovornosti upravljavca, ki za vsak postopek obdelave zagotovi in dokaže je zmožen dokazati skladnost z določbami te uredbe (odgovornost) . [Sprememba 99]

(a)

posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)

obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali pa za izvajanje ukrepov na zahtevo posameznika, na katerega se nanašajo osebni podatki, pred sklenitvijo pogodbe;

(c)

obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)

obdelava je potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki;

(e)

obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)

obdelava je potrebna zaradi pravnih interesov, za katere si prizadeva upravljavec ali, v primeru razkritja, tretja stranka, kateri se podatki razkrijejo, če ustrezajo razumnim pričakovanjem posameznika, na katerega se podatki nanašajo, ob upoštevanju njegovega razmerja do upravljavca , razen kadar nad takimi interesi prevladajo temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. To ne velja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

(a)

pravu Unije ali

(b)

pravu države članice, ki se uporablja za upravljavca.

(a)

je posameznik, na katerega se nanašajo osebni podatki, pod pogoji iz členov 7 in 8 dal svojo privolitev k obdelavi navedenih osebnih podatkov za en ali več določenih namenov , razen kadar zakonodaja Unije ali zakonodaja držav članic določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1, ali

(aa)

je obdelava potrebna za izvajanje in izvrševanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali da se na zahtevo posameznika, na katerega se nanašajo osebni podatki, izvedejo ukrepi pred sklenitvijo pogodbe, ali

(b)

je obdelava potrebna zaradi izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca na področju prava zaposlovanja, če to dovoljuje pravo Unije ali pravo držav članic ali kolektivni sporazumi , ki zagotavlja zagotavljajo ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki, ob upoštevanju pogojev in zaščitnih ukrepov iz člena 82 , ali

(c)

je obdelava potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe, kadar je posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno nesposoben dati svojo privolitev, ali

(d)

obdelavo izvaja v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi ustanova, združenje ali kateri koli drug neprofitni organ s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane organa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se podatki ne posredujejo zunaj tega organa brez privolitve posameznikov, na katere se nanašajo osebni podatki, ali

(e)

je obdelava povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, objavi, ali

(f)

je obdelava potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov, ali

(g)

je obdelava potrebna za opravljanje naloge, ki se izvaja v  visokem javnem interesu, na podlagi zakonodaje prava Unije ali zakonodaje prava držav članic, ki je sorazmerna s ciljem, za katerega si prizadeva, spoštuje bistveno vsebino pravice do varstva podatkov in zagotavlja ustrezne primerne ukrepe za zaščito pravnih temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki, ali

(h)

je obdelava podatkov v zvezi z zdravjem potrebna v zdravstvene namene ter zanjo veljajo pogoji in zaščitni ukrepi iz člena 81, ali

(i)

je obdelava potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene ter zanjo veljajo pogoji in zaščitni ukrepi iz člena 83, ali

(ia)

je obdelava potrebna za storitve arhiviranja, za katere veljajo pogoji in zaščitni ukrepi iz člena 83a, ali

(j)

se obdelava podatkov v zvezi s kazenskimi z upravnimi kaznimi, sodbami, kaznivimi dejanji, obsodbami ali s tem povezanimi varnostnimi ukrepi izvaja pod nadzorom uradnega organa ali kadar je obdelava potrebna zaradi skladnosti z zakonsko ali regulativno obveznostjo, ki velja za upravljavca, ali zaradi opravljanja naloge, izvedene zaradi pomembnega javnega interesa, in če zakonodaja Unije ali zakonodaja držav članic zagotavlja ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki . Popoln Vsak register kazenskih obsodb se vodi samo pod nadzorom uradnega organa.

(a)

ali se osebni podatki zbirajo v večjem obsegu, kot je nujno potrebno za posamezni namen obdelave;

(b)

ali se osebni podatki hranijo dlje, kot je nujno potrebno za posamezni namen obdelave;

(c)

ali se osebni podatki obdelujejo za namene, ki se razlikujejo od teh, za katere so bili zbrani;

(d)

ali se osebni podatki posredujejo komercialnim tretjim strankam;

(e)

ali so osebni podatki predani ali se oddajajo;

(f)

ali se osebni podatki hranijo v šifrirani obliki.

(a)

v prvem stolpcu so podani grafični znaki, ki povzemajo navedbe;

(b)

v drugem stolpcu so podane osnovne informacije o navedbah;

(c)

v tretjem stolpcu so podani grafični znaki, ki povedo, ali je določena navedba resnična.

(a)

informacije o identiteti upravljavca, njegovega predstavnika, če obstaja, in uradne osebe za varstvo podatkov ter njihove kontaktne podatke;

(b)

informacije o namenih obdelave osebnih podatkov, pa tudi o varnosti obdelave osebnih podatkov, vključno s splošnimi pogodbenimi pogoji, če obdelava temelji na točki (b) člena 6(1), in pravnih interesih, za katere si prizadeva upravljavec, če obdelava temelji na točki  po potrebi o načinu izvajanja in izpolnjevanja zahtev iz točke (f) člena 6(1);

(c)

informacije o roku shranjevanja hrambe osebnih podatkov ali, če to ni mogoče, o merilih, uporabljenih za določitev tega obdobja ;

(d)

informacije o obstoju pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali pravice do ugovora obdelavi osebnih podatkov ali pridobitvi podatkov ;

(e)

informacije o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;

(f)

informacije o prejemnikih ali vrstah prejemnikov osebnih podatkov;

(g)

kjer je primerno, informacije o tem, da namerava upravljavec prenesti podatke v tretjo državo ali mednarodno organizacijo, in o ravni varstva, ki jo nudi ta tretja država ali mednarodna organizacija o obstoju oziroma neobstoju sklepa Komisije o ustreznosti ali, v primeru prenosov iz člena 42 ali 43, s sklicem na sklep Komisije o ustreznosti ustrezne zaščitne ukrepe in sredstva za pridobitev dvojnika ;

(ga)

po potrebi informacije o obstoju oblikovanja profilov, ukrepov, ki temeljijo na oblikovanju profilov in predvidenih učinkih oblikovanja profilov na posameznika, na katerega se nanašajo osebni podatki;

(gb)

smiselno razlago logike, ki velja za vsako samodejno obdelavo;

(h)

vse nadaljnje informacije, ki so potrebne za zagotovitev poštene obdelave glede na posameznika, na katerega se nanašajo osebni podatki, pri čemer se upoštevajo posebne okoliščine, v katerih se zbirajo ali obdelujejo osebni podatki. , zlasti o obstoju določenih obdelovalnih dejavnosti in operacij, za katere so ocene učinkov osebnih podatkov pokazale visoko raven tveganosti;

(ha)

po potrebi informacije o tem, ali so bili podatki posredovani javnim organom v zadnjem nepretrganem dvanajstmesečnem obdobju.

(a)

ob pridobitvi osebnih podatkov od posameznika, na katerega se nanašajo osebni podatki;, ali brez nepotrebnega odlašanja, kadar zgoraj navedeni ni izvedljivo, ali

(aa)

na zahtevo organa, organizacije ali združenja iz člena 73;

(b)

kadar se osebni podatki ne zberejo od posameznika, na katerega se nanašajo osebni podatki, med beleženjem ali v primernem roku po zbiranju ali, če je predvideno razkritje posredovanje drugemu prejemniku, najpozneje takrat, ko so se podatki prvič razkriti posredujejo , ob upoštevanju posebnih okoliščin, v katerih se podatki zbirajo ali kako drugače obdelajo. , ali če se bodo podatki uporabili za komuniciranje z zadevno osebo, najkasneje ob prvem komuniciranju s to osebo, ali

(ba)

samo na zahtevo, kadar podatke obdeluje malo ali mikropodjetje, za katero je obdelava podatkov zgolj dodatna dejavnost.

(a)

posameznik, na katerega se nanašajo osebni podatki, že ima informacije iz odstavkov 1, 2 in 3, ali

(b)

se podatki , ki so obdelani za zgodovinske, statistične ali znanstvenoraziskovalne namene, za katere veljajo pogoji in zaščitni ukrepi iz členov 81 in 83, se ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, in se zagotavljanje takih informacij izkaže za nemogoče ali bi vključevalo nesorazmeren napor in je upravljavec javno objavil podatke , ali

(c)

se podatki ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, in je beleženje ali razkritje izrecno določeno z zakonom, ki velja za upravljavca in ki določa ustrezne ukrepe za zaščito zakonitih interesov posameznika, glede na tveganja, ki jih pomenita obdelava in narava osebnih podatkov, ali

(d)

se podatki ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, ter zagotavljanje takih informacij škoduje pravicam in svoboščinam drugih fizičnih oseb , kot je določeno v zakonodaji Unije ali zakonodaji držav članic v skladu s členom 21.;

(da)

podatke prejme v obdelavo v okviru svoje poslovne dejavnosti, oziroma so zaupani ali posredovani v vednost osebi, za katero velja obveznost poklicne molčečnosti, ki jo ureja pravo Unije ali države članice, ali statutarna obveznost poklicne molčečnosti, razen če so podatki zbrani neposredno od posameznika, na katerega se obdelava osebnih podatkov nanaša.

(a)

informacije o namenih obdelave za vsako vrsto osebnih podatkov ;

(b)

informacije o vrstah zadevnih osebnih podatkov;

(c)

informacije o prejemnikih ali vrstah prejemnikov, ki jim bodo ali so jim bili posredovani osebni podatki, zlasti vključno o prejemnikih v tretjih državah;

(d)

informacije o roku shranjevanja hranjenja osebnih podatkov ali, če to ni mogoče, o merilih, uporabljenih za določitev tega obdobja ;

(e)

informacije o obstoju pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali pravice do ugovora obdelavi osebnih podatkov;

(f)

informacije o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;

(g)

sporočilo o osebnih podatkih, ki se obdelujejo, in o vseh dostopnih informacijah v zvezi z njihovim virom;

(h)

informacije o pomenu in predvidenih posledicah take obdelave, vsaj v primeru ukrepov iz člena 20.;

(ha)

smiselno razlago logike, ki velja za vsako samodejno obdelavo;

(hb)

brez poseganja v člen 21, v primeru razkritja osebnih podatkov javnemu organu na zahtevo javnega organa, potrditev, da je bila podana taka zahteva.

(a)

podatki niso več potrebni zaradi namenov, za katere so bili zbrani ali kako drugače obdelani;

(b)

posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1), ali pa se je rok shranjevanja, v katerega je posameznik privolil, iztekel, in kadar ni nobenega pravnega razloga za obdelavo podatkov;

(c)

posameznik, na katerega se nanašajo osebni podatki, obdelavi osebnih podatkov ugovarja v skladu s členom 19;

(ca)

sodišče ali regulativni organ s sedežem v Uniji je pravnomočno in dokončno odločil, da je treba te podatke izbrisati;

(d)

obdelava podatkov ni v skladu s to uredbo iz drugih razlogov podatki so bili obdelani nezakonito .

(a)

zaradi uveljavljanja pravice do svobode izražanja v skladu s členom 80;

(b)

zaradi javnega interesa na področju javnega zdravja v skladu s členom 81;

(c)

v zgodovinske, statistične in znanstvenoraziskovalne namene v skladu s členom 83;

(d)

zaradi skladnosti s pravno obveznostjo glede hrambe osebnih podatkov na podlagi zakonodaje Unije ali zakonodaje držav članic, ki velja za upravljavca; zakonodaje držav članic izpolnjujejo cilj javnega interesa, spoštujejo bistveno vsebino pravice do varstva osebnih podatkov in so sorazmerne z zakonitim ciljem, za katerega si prizadevajo;

(e)

v primerih iz odstavka 4.

(a)

posameznik, na katerega se nanašajo osebni podatki, oporeka njihovi točnosti, in sicer za čas, ki upravljavcu omogoča preveriti točnost podatkov;

(b)

upravljavec osebnih podatkov ne potrebuje več za izpolnitev svoje naloge, vendar jih je treba ohraniti za namene dokazovanja;

(c)

je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje njihovemu izbrisu in namesto tega zahteva omejitev njihove uporabe;

(ca)

je sodišče ali regulativni organ s sedežem v Uniji pravnomočno in dokončno odločil, da mora biti zadevna obdelava omejena;

(d)

posameznik, na katerega se nanašajo osebni podatki, zahteva prenos osebnih podatkov v drug sistem za samodejno obdelavo v skladu s členom 18(2). z odstavkom 2a člena 15;

(da)

posebna tehnologija za hrambo podatkov ne omogoča izbrisa in je bila nameščena pred začetkom veljavnosti te uredbe.

(a)

merila in zahteve za uporabo odstavka 1 za določene sektorje in v posebnih primerih obdelave podatkov;

(b)

pogoje za izbris povezav do osebnih podatkov ali kopij osebnih podatkov iz javnosti dostopnih komunikacijskih storitev iz odstavka 2;

(c)

merila in pogoje za omejitev obdelave osebnih podatkov iz odstavka 4. [Sprememba 112]

(a)

izvedena med sklepanjem ali izvajanjem potrebna za sklepanje ali izvajanje pogodbe, kadar je zahteva po sklenitvi ali izvajanju pogodbe, ki jo vloži posameznik, na katerega se nanašajo osebni podatki, izpolnjena ali kadar , če obstajajo ustrezni ukrepi za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki, kot je pravica do človeškega posredovanja; ali

(b)

izrecno dovoljena z zakonodajo Unije ali zakonodajo držav članic, ki določa tudi ustrezne ukrepe za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki; ali

(c)

utemeljena s privolitvijo posameznika, na katerega se nanašajo osebni podatki, v skladu s pogoji iz člena 7 in ustreznimi zaščitnimi ukrepi.

(a)

za zaščito javne varnosti;

(b)

za preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj;

(c)

za zaščito drugih javnih interesov Unije ali države članice, zlasti pomembnega gospodarskega ali finančnega interesa Unije ali države članice, vključno z denarnimi, proračunskimi in davčnimi zadevami ter zaščito stabilnosti in celovitosti trga davčne zadeve ;

(d)

za preprečevanje, preiskovanje, odkrivanje in pregon kršitev etike za zakonsko urejene poklice;

(e)

za spremljanje, pregledovanje ali urejanje, povezano, četudi občasno, z izvajanjem v okviru izvajanja pristojne javne oblasti v primerih iz točk (a), (b) (c) in (d);

(f)

za zaščito posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.

(a)

ciljev, za katere si je treba prizadevati pri obdelavi;

(b)

določitve upravljavca;

(c)

posebnih namenov obdelave in sredstev za obdelavo;

(d)

zaščitnih ukrepov za preprečitev zlorab ali nezakonitega dostopa ali prenosa;

(e)

pravice posameznikov, na katere se nanašajo osebni podatki, da so obveščeni o omejitvi.

(a)

hranjenje dokumentacije v skladu s členom 28;

(b)

izvajanje zahtev za varnost podatkov iz člena 30;

(c)

izvajanje ocene učinka o varstvu podatkov iz člena 33;

(d)

skladnost z zahtevami za predhodno odobritev ali predhodno posvetovanje z nadzornim organom v skladu s členom 34(1) in (2);

(e)

imenovanje uradne osebe za varstvo podatkov v skladu s členom 35(1).

(a)

upravljavca s sedežem v tretji državi, če Komisija sprejme sklep, da tretja država zagotavlja ustrezno raven varstva v skladu s členom 41; ali

(b)

podjetje upravljavca , ki zaposluje obdeluje osebne podatke, ki se nanašajo na manj kot 250 oseb 5 000 posameznikov v katerem koli obdobju 12 zaporednih mesecev, in ki ne obdeluje posebnih vrst podatkov iz člena 9(1), podatkov o lokaciji ali podatkov o otrocih ali zaposlenih v obsežnih zbirkah ; ali

(c)

javni organ; ali

(d)

upravljavca, ki samo občasno nudi blago ali storitve posameznikom, na katere se nanašajo osebni podatki in ki stalno prebivajo, v Uniji , razen kadar gre za obdelavo posebnih vrst podatkov iz člena 9(1), podatkov o lokaciji ali podatkov o otrocih ali zaposlenih v obsežnih zbirkah .

(a)

deluje obdeluje osebne podatke samo po navodilih upravljavca, zlasti kadar je prenos uporabljenih osebnih podatkov prepovedan razen če zakonodaja Unije ali zakonodaja države članice zahteva drugače ;

(b)

zaposluje samo osebje, ki se je zavezalo k zaupnosti ali ga k zaupnosti zavezuje zakon;

(c)

izvede vse potrebne ukrepe iz člena 30;

(d)

zaposli določi pogoje za zaposlitev drugega obdelovalca samo s predhodnim dovoljenjem upravljavca , razen če je določeno drugače ;

(e)

kolikor je to mogoče zaradi narave obdelave, v dogovoru z upravljavcem oblikuje potrebne primerne in ustrezne tehnične in organizacijske zahteve za izpolnitev obveznosti upravljavca glede odgovarjanja na zahteve za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f)

upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 30 do 34 ob upoštevanju narave obdelave in obdelovalcu dostopnih informacij ;

(g)

po končani obdelavi upravljavcu preda vrne vse rezultate in, ne obdeluje osebnih podatkov na druge načine ter uniči obstoječe kopije, razen če zakonodaja Unije ali države članice predpisuje njihovo hrambo ;

(h)

da upravljavcu in nadzornemu organu na voljo vse potrebne informacije, potrebne za nadzor nad izpolnjevanjem da se dokaže izpolnjevanje obveznosti iz tega člena , in omogoča inšpekcije na kraju samem .

(a)

imenu upravljavca ali katerega koli skupnega upravljavca ali obdelovalca in predstavnika, če ta obstaja, in njihove kontaktne podatke;

(b)

imenu uradnika za varstvo podatkov, če ta obstaja, in njegove kontaktne podatke;

(c)

namenih obdelave, vključno s pravnimi interesi, za katere si prizadeva upravljavec, če obdelava temelji na točki (f) člena 6(1);

(d)

opisu vrst posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov v zvezi z njimi;

(e)

prejemnikih ali vrstah prejemnikov osebnih podatkov, vključno z upravljavci imenu morebitnih upravljavcev , ki se jim osebni podatki razkrijejo zaradi pravnih interesov, za katere si prizadevajo , in njihovih kontaktnih podatkih ;

(f)

po potrebi o prenosih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz točke (h) člena 44(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;

(g)

splošni navedbi rokov za izbris različnih vrst podatkov;

(h)

opisu mehanizmov iz člena 22(3).

(a)

fizično osebo, ki osebne podatke obdeluje brez komercialnega interesa, ali

(b)

podjetje ali organizacijo, ki zaposluje manj kot 250 oseb in v katerem/kateri je obdelava osebnih podatkov samo postranska dejavnost.

(a)

zmožnost zagotoviti potrditev celovitosti osebnih podatkov;

(b)

zmožnost zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo osebnih podatkov;

(c)

zmožnost pravočasno povrniti razpoložljivost in dostopnost podatkov v primeru fizičnega ali tehničnega incidenta, ki vpliva na razpoložljivost, celovitost in zaupnost informacijskih sistemov in storitev;

(d)

pri obdelavi občutljivih osebnih podatkov v skladu s členoma 8 in 9 dodatne varnostne ukrepe za zagotovitev spremljanja nevarnosti in zmožnosti za preventivno, korektivno in blažilno ukrepanje v skoraj realnem času v primeru, ko se odkrijejo šibke točke ali incidenti, ki bi lahko predstavljali nevarnost za podatke;

(e)

postopek rednega testiranja, ocenjevanja in evalvacije učinkovitosti varnostnih politik, postopkov in načrtov, uveljavljenih za zagotovitev stalnega delovanja.

(a)

zagotovi, da lahko do osebnih podatkov dostopa samo pooblaščeno osebje za zakonsko odobrene namene;

(b)

zaščitijo shranjeni ali posredovani osebni podatki pred nenamernim ali nezakonitim uničenjem, nenamerno izgubo ali spremembo ter nepooblaščeno ali nezakonito hrambo, obdelavo, dostopom ali razkritjem; ter

(c)

zagotovi izvajanje varnostne politike za obdelavo osebnih podatkov.

(a)

prepreči morebiten nepooblaščen dostop do osebnih podatkov;

(b)

prepreči morebitno nepooblaščeno razkritje, branje, kopiranje, spreminjanje, izbris ali odstranitev osebnih podatkov;

(c)

zagotovi preverjanje zakonitosti postopkov obdelave.

(a)

opis kršitve varnosti osebnih podatkov, vključno z vrstami in številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrstami in številom zadevnih evidenc podatkov;

(b)

sporočilo o istovetnosti in kontaktnih podatkih uradne osebe za varstvo podatkov ali druge kontaktne točke, pri katerih je mogoče pridobiti več informacij;

(c)

priporočene ukrepe za ublažitev morebitnih škodljivih učinkov kršitve varnosti osebnih podatkov;

(d)

opis posledic kršitve varnosti osebnih podatkov;

(e)

opis ukrepov, ki jih upravljavec predlaga ali sprejme za obravnavanje kršitve varnosti osebnih podatkov in ublažitev posledic take kršitve .

(a)

obdelava osebnih podatkov, ki se nanašajo na več kot 5 000 posameznikov v katerem koli zaporednem 12-mesečnem obdobju;

(b)

obdelava posebnih vrst osebnih podatkov iz člena 9(1), podatkov o lokaciji ali podatkov o otrocih ali zaposlenih v obsežnih zbirkah;

(c)

oblikovanje profilov, na katerem temeljijo ukrepi, ki imajo pravne učinke v zvezi s posameznikom ali podobno nanj znatno vplivajo;

(d)

obdelava osebnih podatkov za namene zdravstvene oskrbe, epidemiološke raziskave ali študije o duševnih ali nalezljivih boleznih, kadar se podatki obdelujejo zaradi sprejemanja ukrepov ali odločitev glede določenih posameznikov v velikem obsegu;

(e)

avtomatsko spremljanje javno dostopnih območij v velikem obsegu;

(f)

drugi postopki obdelave, za katere se zahteva posvetovanje z uradno osebo za varstvo podatkov ali nadzornim organom v skladu s točko (b) člena 34(2);

(g)

kadar je verjetno, da bi kršitev varnosti osebnih podatkov škodljivo vplivala na varstvo osebnih podatkov, zasebnost, pravice ali pravne interese posameznika, na katerega se nanašajo osebni podatki;

(h)

temeljne dejavnosti upravljavca ali obdelovalca obsegajo postopke obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično spremljati;

(i)

kadar se dostop do osebnih podatkov omogoči večjemu številu oseb, ki ga ni mogoče smiselno omejiti.

(a)

če obstaja kateri koli postopek obdelave iz točk (a) in (b) odstavka 2, upravljavci, ki nimajo sedeža v Uniji, določijo predstavnika v Uniji v skladu z zahtevami in izjemami iz člena 25;

(b)

če obstaja kateri koli postopek obdelave iz točke (a), (b) ali (h) odstavka 2, upravljavec imenuje uradno osebo za varstvo podatkov v skladu z zahtevami in izjemami iz člena 35;

(c)

če obstaja kateri koli postopek obdelave iz točke (a), (b), (c), (d), (e), (f), (g) ali (h) odstavka 2, upravljavec ali obdelovalec, ki deluje v imenu upravljavca, opravi oceno učinka o varstvu podatkov v skladu s členom 33;

(d)

če obstajajo postopki obdelave iz točke (f) odstavka 2, se upravljavec posvetuje z uradno osebo za varstvo podatkov, ali če taka oseba ni bila imenovana, nadzorni organ v skladu s členom 34.

(a)

sistematično in obsežno vrednotenje osebnih vidikov v zvezi s fizično osebo ali za analiziranje oziroma predvidevanje zlasti ekonomskega položaja, lokacije, zdravja, osebnega okusa, zanesljivosti ali vedenja fizične osebe, ki temelji na samodejni obdelavi in na katerem temeljijo ukrepi, ki imajo pravne učinke v zvezi s posameznikom ali nanj znatno vplivajo;

(b)

informacije o spolnem življenju, zdravju, rasnem in etničnem izvoru ali zaradi nudenja zdravstvene oskrbe, epidemiološke raziskave ali študije o duševnih ali nalezljivih boleznih, kadar se podatki obdelujejo zaradi sprejemanja ukrepov ali odločitev glede določenih posameznikov v velikem obsegu;

(c)

spremljanje javno dostopnih območij, zlasti z uporabo optično-elektronskih naprav (video nadzor) v velikem obsegu;

(d)

osebni podatki v obsežnih zbirkah, ki se nanašajo na otroke, genetske podatke ali biometrične podatke;

(e)

drugi postopki obdelave, za katere se zahteva posvetovanje z nadzornim organom v skladu s točko (b) člena 34(2).

(a)

sistematičen opis predvidenih postopkov obdelave, namenov obdelave in po potrebi pravnih interesov, za katere si prizadeva upravljavec;

(b)

oceno nujnosti in sorazmernosti postopkov obdelave glede na njihov namen;

(c)

oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, vključno s tveganjem diskriminacije, ki ga postopek vsebuje ali krepi;

(d)

opis ukrepov, predvidenih za obravnavo tveganj in zmanjšanje obsega osebnih podatkov, ki se obdelujejo, na najmanjšo možno mero;

(e)

seznam zaščitnih ukrepov, varnostnih ukrepov ter mehanizmov za zagotavljanje varstva osebnih podatkov, kot je psevdonimizacija, in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in pravnih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva;

(f)

splošno navedbo rokov za izbris različnih vrst podatkov;

(g)

podatke o tem, kateri postopki vgrajenega in privzetega varstva podatkov po členu 23 se izvršujejo;

(h)

seznam prejemnikov ali vrst prejemnikov osebnih podatkov;

(i)

po potrebi seznam predvidenih prenosov podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije;

(j)

oceno okoliščin obdelave podatkov.

(a)

ocena učinka o varstvu podatkov iz člena 33 kaže, da zaradi svoje narave, obsega ali namenov postopki obdelave verjetno predstavljajo visoko raven posebnih nevarnosti; ali

(b)

je po mnenju uradne osebe za varstvo podatkov ali nadzornega organa potrebno predhodno posvetovanje o postopkih obdelave, ki bodo zaradi svoje narave, obsega in/ali namenov verjetno predstavljali posebne nevarnosti za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in postopkih obdelave, določenih v skladu z odstavkom 4.

(a)

obdelavo izvaja javni organ; ali

(b)

obdelavo izvaja podjetje, ki zaposluje 250 oseb ali v katerem koli 12-mesečnem obdobju obsega več kot 5 000 posameznikov, na katere se nanašajo osebni podatki, izvaja pravna oseba ; ali

(c)

temeljne dejavnosti upravljavca ali obdelovalca obsegajo postopke obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično spremljati. ; ali

(d)

temeljne dejavnosti upravljavca ali obdelovalca obsegajo obdelavo posebnih vrst podatkov iz člena 9(1), podatkov o lokaciji ali podatkov o otrocih ali zaposlenih v obsežnih zbirkah.

(a)

ozaveščanje, obveščanje upravljavca ali obdelovalca in svetovanje upravljavcu ali obdelovalcu v zvezi z njegovimi obveznostmi v skladu s to uredbo , zlasti glede tehničnih in organizacijskih ukrepov in postopkov, ter dokumentiranje te dejavnosti in prejetih odgovorov;

(b)

spremljanje izvajanja in uporabe politik upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, usposabljanjem uslužbencev, vključenih v postopke obdelave, in s tem povezanimi revizijami;

(c)

spremljanje izvajanja in uporabe te uredbe, zlasti v zvezi z zahtevami, povezanimi z vgrajenim varstvom podatkov in varnostjo podatkov, ter v zvezi z informacijami posameznikov, na katere se nanašajo osebni podatki, in njihovimi zahtevami pri uveljavljanju pravic na podlagi te uredbe;

(d)

zagotavljanje ohranjanja dokumentacije iz člena 28;

(e)

spremljanje dokumentiranja, obveščanja in posredovanja sporočil o kršitvah varnosti osebnih podatkov iz členov 31 in 32;

(f)

spremljanje izvajanja ocene učinka o varstvu podatkov s strani upravljavca ali obdelovalca in uporabe predhodne odobritve ali predhodnega posvetovanja, če se to zahteva v skladu s členoma  členi 32a, 33 in 34;

(g)

spremljanje odgovora na zahteve nadzornega organa in sodelovanje, v okviru pristojnosti uradne osebe za varstvo podatkov, z nadzornim organom na zahtevo slednjega ali na pobudo uradne osebe za varstvo podatkov;

(h)

delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo in posvetovanje z nadzornim organom na pobudo uradne osebe za varstvo podatkov, če je to primerno.;

(i)

preverjanje skladnosti s to uredbo v okviru mehanizma predhodnega posvetovanja iz člena 34;

(j)

obveščanje predstavnikov zaposlenih o obdelavi podatkov zaposlenih.

(a)

pošteno in pregledno obdelavo podatkov;

(aa)

spoštovanjem pravic potrošnikov;

(b)

zbiranjem podatkov;

(c)

obveščanjem javnosti in posameznikov, na katere se nanašajo osebni podatki;

(d)

zahtevami posameznikov, na katere se nanašajo osebni podatki, pri uveljavljanju njihovih pravic;

(e)

obveščanjem in zaščito otrok;

(f)

prenosi podatkov v tretje države ali mednarodne organizacije;

(g)

mehanizmi za spremljanje in zagotavljanje skladnosti s pravili s strani upravljavcev, za katere ta pravila veljajo;

(h)

izvensodnimi postopki in drugimi postopki reševanja sporov za reševanje sporov med upravljavci in posamezniki, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov, brez poseganja v pravice posameznikov, na katere se nanašajo osebni podatki, v skladu s členoma 73 in 75.

(a)

načelo pravne države, ustrezno veljavno zakonodajo, tako splošno kot sektorsko, tudi glede javne varnosti, obrambe, nacionalne varnosti in kazenskega prava ter izvajanje te zakonodaje , poklicnih pravil in varnostnih ukrepov, ki se upoštevajo v navedeni državi ali mednarodni organizaciji, sodno prakso, prav tako učinkovite in izvršljive pravice, vključno z učinkovitim upravnim in sodnim varstvom za posameznike, na katere se nanašajo osebni podatki, zlasti za tiste posameznike, na katere se nanašajo osebni podatki, ki imajo stalno prebivališče v Uniji in katerih osebni podatki se prenašajo;

(b)

obstoj in učinkovito delovanje enega ali več neodvisnih nadzornih organov v zadevni tretji državi ali zadevni mednarodni organizaciji, ki so pristojni za zagotavljanje skladnosti s predpisi o varstvu podatkov, vključno z zadostnimi pooblastili za sankcije, za pomoč in svetovanje posamezniku, na katerega se nanašajo osebni podatki, pri uveljavljanju njegovih pravic ter za sodelovanje z nadzornimi organi Unije in držav članic; ter

(c)

mednarodne obveznosti, ki jih je prevzela zadevna tretja država ali zadevna mednarodna organizacija , zlasti vse pravno zavezujoče konvencije ali instrumente v zvezi z varstvom osebnih podatkov .

(a)

zavezujočimi poslovnimi pravili v skladu s členom 43; ali

(aa)

veljavnim „evropskim pečatom za varstvo podatkov“ za upravljavca in prejemnika v skladu s odstavkom 1e člena 39; ali

(b)

standardnimi določili Komisije o varstvu podatkov. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2); ali

(c)

standardnimi določili o varstvu podatkov, ki jih je sprejel nadzorni organ v skladu z mehanizmom za skladnost iz člena 57, ko jih Komisija v skladu s točko (b) člena 62(1) razglasi za splošno veljavna; ali

(d)

pogodbenimi določbami med upravljavcem ali obdelovalcem in prejemnikom podatkov, ki jih je odobril nadzorni organ v skladu z odstavkom 4.

(a)

so pravno zavezujoča, veljajo za vsakega člana povezane družbe upravljavca ali obdelovalca in tiste zunanje podizvajalce, za katere veljajo zavezujoča poslovna pravila , jih izvajajo vsi člani te družbe in zunanji izvajalci in obsegajo tudi zaposlene v tej družbi in zunanjih podizvajalcih ;

(b)

izrecno podeljujejo izvršljive pravice posameznikom, na katere se nanašajo osebni podatki;

(c)

izpolnjujejo zahteve iz odstavka 2.

(a)

strukturo in kontaktne podatke povezane družbe in njenih članov ter tistih zunanjih podizvajalcev, za katere veljajo zavezujoča poslovna pravila ;

(b)

prenose podatkov ali nize prenosov, vključno z vrstami osebnih podatkov, vrsto obdelave in njenimi nameni, vrsto posameznikov, na katere se nanašajo osebni podatki in na katere ta pravila vplivajo, ter opredelitvijo zadevne tretje države ali držav;

(c)

njihovo pravno zavezujočo naravo, tako notranjo kot zunanjo;

(d)

splošna načela o varstvu podatkov, zlasti omejitev namena, zmanjšanje količine podatkov na najmanjšo možno mero, omejena obdobja hrambe, kakovost podatkov, vgrajeno in privzeto varstvo podatkov, pravno podlago za obdelavo, obdelavo občutljivih osebnih podatkov, ukrepe za zagotavljanje varnosti podatkov in zahteve za nadaljnje prenose v organizacije, ki jih politike ne zavezujejo;

(e)

pravice posameznikov, na katere se nanašajo osebni podatki, in sredstva za uveljavljanje teh pravic, vključno s pravico, da posameznik ni predmet ukrepa na podlagi oblikovanja profilov v skladu s členom 20, pravico do vložitve pritožbe pri pristojnem nadzornem organu in pristojnih sodiščih držav članic v skladu s členom 75 ter do pridobitve varstva in po potrebi odškodnine za kršitev zavezujočih poslovnih pravil;

(f)

sprejemanje odgovornosti s strani upravljavca ali obdelovalca s sedežem na ozemlju države članice za morebitne kršitve zavezujočih poslovnih pravil s strani katerega koli člana povezane družbe, ki nima sedeža v Uniji; upravljavec ali obdelovalec je iz te odgovornosti lahko delno ali v celoti izvzet samo, če dokaže, da zadevni član ni odgovoren za dogodek, na podlagi katerega je škoda nastala;

(g)

načine, na katere se informacije o zavezujočih poslovnih pravilih, zlasti o določbah iz točk (d), (e) in (f) tega odstavka, zagotovijo posameznikom, na katere se nanašajo osebni podatki, v skladu s členom 11;

(h)

naloge uradne osebe za varstvo podatkov, imenovane v skladu s členom 35, vključno s spremljanjem skladnosti z zavezujočimi poslovnimi pravili znotraj povezane družbe, pa tudi spremljanjem usposabljanja in obravnavanja pritožb;

(i)

mehanizme v povezani družbi, ki so namenjeni zagotavljanju preverjanja skladnosti z zavezujočimi poslovnimi pravili;

(j)

mehanizme za poročanje in evidentiranje sprememb politik ter poročanje o teh spremembah nadzornemu organu;

(k)

mehanizem sodelovanja z nadzornim organom, da se zagotovi upoštevanje pravil s strani vsakega člana povezane družbe, zlasti z dajanjem rezultatov preverjanj ukrepov iz točke (i) tega odstavka na voljo nadzornemu organu.

(a)

je posameznik, na katerega se nanašajo osebni podatki, po tem, ko je bil obveščen o nevarnostih takih prenosov zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov, privolil v predlagani prenos; ali

(b)

je prenos potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki; ali

(c)

je prenos potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki; ali

(d)

je prenos potreben zaradi pomembnih javnih interesov; ali

(e)

je prenos potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov; ali

(f)

je prenos potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve; ali

(g)

se prenos opravi iz registra, ki je po zakonodaji Unije ali zakonodaji držav članic namenjen zagotavljanju informacij javnosti in je na voljo za vpogled bodisi javnosti na splošno bodisi kateri koli osebi, ki lahko izkaže pravni interes, v kolikor so v posameznem primeru izpolnjeni pogoji za tak vpogled, določeni v zakonodaji Unije ali zakonodaji držav članic; ali.

(h)

je prenos potreben zaradi pravnih interesov, za katere si prizadeva upravljavec ali obdelovalec in ki jih ni mogoče šteti za pogoste ali množične, ter kadar je upravljavec ali obdelovalec ocenil vse okoliščine prenosa podatkov ali niza prenosov podatkov in na podlagi te ocene po potrebi predvidel ustrezne zaščitne ukrepe za varstvo osebnih podatkov.

(a)

oblikovanje učinkovitih mehanizmov mednarodnega sodelovanja za spodbujanje zagotovitev uveljavljanja zakonodaje o varstvu osebnih podatkov; [Sprememba 142]

(b)

zagotavljanje mednarodne medsebojne pomoči pri uveljavljanju zakonodaje o varstvu osebnih podatkov, vključno z obveščanjem, posredovanjem pritožb, pomočjo pri preiskavah in izmenjavo informacij, v zvezi s čimer se uporabljajo ustrezni zaščitni ukrepi za varstvo osebnih podatkov ter drugih temeljnih pravic in svoboščin;

(c)

vključevanje ustreznih zainteresiranih strani v razpravo in dejavnosti, katerih cilj je pospeševanje mednarodnega sodelovanja pri uveljavljanju zakonodaje o varstvu osebnih podatkov;

(d)

spodbujanje izmenjave in dokumentiranja zakonodaje in prakse za varstvo osebnih podatkov.;

(da)

razjasnijo spore v zvezi s sodno pristojnostjo s tretjimi državami in se o njih posvetujejo. [Sprememba 143]

(a)

ustanovitev in status nadzornega organa;

(b)

kvalifikacije, izkušnje in strokovnost, ki se zahtevajo za opravljanje nalog članov nadzornega organa;

(c)

pravila in postopke za imenovanje članov nadzornega organa ter pravila o ukrepih ali delu, ki so nezdružljivi s funkcijo;

(d)

trajanje mandata članov nadzornega organa, ki ni krajši od štirih let, razen pri prvem imenovanju po začetku veljavnosti te uredbe, del katerega lahko traja krajše obdobje, če je to potrebno zaradi zaščite neodvisnosti nadzornega organa s postopnim postopkom imenovanja;

(e)

ali se lahko člani nadzornega organa ponovno imenujejo;

(f)

pravila in splošne pogoje, ki urejajo naloge članov in osebja nadzornega organa;

(g)

pravila in postopke o prenehanju dolžnosti članov nadzornega organa, tudi če ne izpolnjujejo več pogojev, ki se zahtevajo za opravljanje njihovih nalog, ali če so zagrešili hujšo kršitev.

(a)

spremlja in zagotavlja uporabo te uredbe;

(b)

obravnava pritožbe, ki jih v skladu s členom 73 vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, ali združenje, ki zastopa posameznika, na katerega se nanašajo osebni podatki, v ustreznem obsegu prouči zadevo ter posameznika, na katerega se nanašajo osebni podatki, ali združenje v primernem roku obvesti o stanju zadeve in odločitvi o pritožbi, zlasti če je potrebna podrobnejša proučitev ali uskladitev z drugim nadzornim organom; [Sprememba 150]

(c)

posreduje informacije in zagotavlja medsebojno pomoč drugim nadzornim organom ter doslednost pri uporabi in izvajanju te uredbe;

(d)

na lastno pobudo ali na podlagi pritožbe ali določenih in dokumentiranih prejetih informacij o domnevni nezakoniti obdelavi ali na zahtevo drugega nadzornega organa izvaja preiskave in o izidu v primernem roku obvesti posameznika, na katerega se nanašajo osebni podatki, če je vložil pritožbo; [Sprememba 151]

(e)

spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij ter trgovinskih praks;

(f)

institucijam in organom držav članic svetuje o zakonodajnih in upravnih ukrepih, ki so povezani z varstvom pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov;

(g)

svetuje o postopkih odobri postopke obdelave iz člena 34 in o njih svetuje;

(h)

poda mnenje o osnutkih pravil ravnanja v skladu s členom 38(2);

(i)

odobri zavezujoča poslovna pravila v skladu s členom 43;

(j)

sodeluje pri dejavnostih Evropskega odbora za varstvo podatkov.;

(ja)

potrdi upravljavca ali obdelovalca v skladu s členom 39. [Sprememba 152]