zaračuna razumno pristojbino, pri čemer upošteva administrativne stroške posredovanja informacij ali sporočila ali izvajanja zahtevanega ukrepa, ali

zavrne ukrepanje v zvezi z zahtevo.

identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo;

kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;

kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

pravico do vložitve pritožbe pri nadzornem organu;

ali je zagotovitev osebnih podatkov zakonska ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in

obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

vrste zadevnih osebnih podatkov;

uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;

kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, in obstoj pravice do ugovora obdelavi ter pravice do prenosljivosti podatkov;

kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

pravico do vložitve pritožbe pri nadzornem organu;

od kje izvirajo osebni podatki in po potrebi, ali izvirajo iz javno dostopnih virov, in

obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

v razumnem roku po prejemu osebnih podatkov, vendar najpozneje v enem mesecu, pri čemer se upoštevajo posebne okoliščine, v katerih se obdelujejo osebni podatki;

če se bodo osebni podatki uporabili za komuniciranje s posameznikom, na katerega se nanašajo osebni podatki, najpozneje ob prvem komuniciranju s tem posameznikom, ali

če je predvideno razkritje drugemu uporabniku, najpozneje ob prvem razkritju osebnih podatkov.

posameznik, na katerega se nanašajo osebni podatki, že ima informacije;

se izkaže, da je zagotavljanje takih informacij nemogoče ali bi vključevalo nesorazmeren napor, zlasti pri obdelavi v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, pod pogoji in ob upoštevanju zaščitnih ukrepov iz člena 89(1) ali kolikor bi obveznost iz odstavka 1 tega člena lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave. V takih primerih upravljavec sprejme ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, tudi tako, da informacije objavi;

je pridobitev ali razkritje izrecno določeno s pravom Unije ali pravom države članice, ki velja za upravljavca in s katerim so določeni ustrezni ukrepi za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ali

morajo osebni podatki ostati zaupni ob upoštevanju obveznosti varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice, vključno s predpisanimi obveznostmi varovanja skrivnosti.

namene obdelave;

vrste zadevnih osebnih podatkov;

uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;

pravico do vložitve pritožbe pri nadzornem organu;

kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;

obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;

posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2);

osebni podatki so bili obdelani nezakonito;

osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države članice, ki velja za upravljavca;

osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1).

za uresničevanje pravice do svobode izražanja in obveščanja;

za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;

iz razlogov javnega interesa na področju javnega zdravja v skladu s točkama (h) in (i) člena 9(2) ter členom 9(3);

za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), kolikor bi pravica iz odstavka 1 lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali

za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

posameznik, na katerega se nanašajo osebni podatki, oporeka točnosti podatkov, in sicer za obdobje, ki upravljavcu omogoča preveriti točnost osebnih podatkov;

je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;

upravljavec osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;

je posameznik, na katerega se nanašajo osebni podatki, vložil ugovor v zvezi z obdelavo v skladu s členom 21(1), dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.

obdelava temelji na privolitvi v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2) ali na pogodbi v skladu s točko (b) člena 6(1), in

se obdelava izvaja z avtomatiziranimi sredstvi.

nujna za sklenitev ali izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem podatkov;

dovoljena v pravu Unije ali pravu države članice, ki velja za upravljavca in določa tudi ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ali

utemeljena z izrecno privolitvijo posameznika, na katerega se nanašajo osebni podatki.

državne varnosti;

obrambe;

javne varnosti;

preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem;

drugih pomembnih ciljev v splošnem javnem interesu Unije ali države članice, zlasti pomembnega gospodarskega ali finančnega interesa Unije ali države članice, vključno z denarnimi, proračunskimi in davčnimi zadevami, javnim zdravjem in socialno varnostjo;

varstva neodvisnosti sodstva in sodnega postopka;

preprečevanja, preiskovanja, odkrivanja in pregona kršitev etike v zakonsko urejenih poklicih;

spremljanja, pregledovanja ali urejanja, povezanega, lahko tudi zgolj občasno, z izvajanjem javne oblasti v primerih iz točk (a) do (e) in (g);

varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih;

uveljavljanja civilnopravnih zahtevkov.

namenov obdelave ali vrst obdelave;

vrst osebnih podatkov;

obsega uvedenih omejitev;

zaščitnih ukrepov za preprečitev zlorab ali nezakonitega dostopa ali prenosa;

natančnejše ureditve upravljavca ali vrst upravljavcev;

obdobij hrambe in veljavnih zaščitnih ukrepov, pri čemer se upoštevajo narava, obseg in nameni obdelave ali vrste obdelave;

tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter

pravice posameznikov, na katere se nanašajo osebni podatki, da so obveščeni o omejitvi, razen če bi to posegalo v namen omejitve.

obdelavo, ki je občasna in v velikem obsegu ne vključuje obdelave posebnih vrst podatkov iz člena 9(1) ali obdelave osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10 ter glede na njeno naravo, okoliščine, obseg in namene verjetno ne bo povzročila tveganja za pravice in svoboščine posameznikov, ali

javni organ ali telo.

osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;

zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

sprejme vse ukrepe, potrebne v skladu s členom 32;

spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;

ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;

v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;

da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;

namene obdelave;

opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;

kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;

kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;

kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;

kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).

naziv ali ime in kontaktne podatke obdelovalca ali obdelovalcev in vsakega upravljavca, v imenu katerega deluje obdelovalec, ter, kadar obstajajo, predstavnika upravljavca ali obdelovalca, in pooblaščene osebe za varstvo podatkov;

vrste obdelave, ki se izvaja v imenu posameznega upravljavca;

kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;

kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).

psevdonimizacijo in šifriranjem osebnih podatkov;

zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;

zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

opis vrste kršitve varnosti osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;

sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;

opis verjetnih posledic kršitve varnosti osebnih podatkov;

opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varnosti osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.

upravljavec je izvedel ustrezne tehnične in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena ►C1  kršitev varnosti ◄ , zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje;

upravljavec je sprejel naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1 verjetno ne bo več udejanjilo;

to bi zahtevalo nesorazmeren napor. V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;

obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali

obsežnega sistematičnega spremljanja javno dostopnega območja.

sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;

oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1, ter

ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

kadar je ustrezno, dolžnosti upravljavca, skupnih upravljavcev in obdelovalcev, vključenih v obdelavo, zlasti pri obdelavi v povezani družbi;

namene in sredstva predvidene obdelave;

ukrepe in zaščitne ukrepe za zaščito pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, v skladu s to uredbo;

kadar je ustrezno, kontaktne podatke pooblaščene osebe za varstvo podatkov;

oceno učinka v zvezi z varstvom podatkov iz člena 35 in

vsakršne druge informacije, ki jih zahteva nadzorni organ.

obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ;

temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali

temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to uredbo in drugimi določbami prava Unije ali prava države članice o varstvu podatkov;

spremljanje skladnosti s to uredbo, drugimi določbami prava Unije ali prava države članice o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;

svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 35;

sodelovanje z nadzornim organom;

delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 36, in, kjer je ustrezno, posvetovanje glede katere koli druge zadeve.

poštene in pregledne obdelave;

zakonitih interesov, za katere si prizadevajo upravljavci v posebnih okoliščinah;

zbiranje osebnih podatkov;

psevdonimizacije osebnih podatkov;

obveščanja javnosti in posameznikov, na katere se nanašajo osebni podatki;

uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki;

obveščanja in zaščite otrok ter načina, kako pridobiti privolitev nosilca starševske odgovornosti za otroka;

ukrepi in postopki iz členov 24 in 25 ter ukrepi za zagotovitev varnosti obdelave iz člena 32;

obveščanje nadzornih organov o kršitvah varnosti osebnih podatkov in obveščanje posameznikov, na katere se nanašajo osebni podatki, o takšnih kršitvah varstva osebnih podatkov;

prenos osebnih podatkov v tretje države ali mednarodne organizacije, ali

izvensodni postopki in drugi postopki reševanja sporov za reševanje sporov med upravljavci in posamezniki, na katere se nanašajo osebni podatki, v zvezi z obdelavo, brez poseganja v pravice posameznikov, na katere se nanašajo osebni podatki, v skladu s členoma 77 in 79.

pristojnemu nadzornemu organu zadovoljivo dokazalo neodvisnost in strokovno znanje v zvezi z vsebino kodeksa;

vzpostavilo postopke, ki mu omogočajo, da oceni upravičenost zadevnih upravljavcev in obdelovalcev do uporabe kodeksa, da spremlja njihovo skladnost z določbami kodeksa ter da redno pregleduje njegovo delovanje;

vzpostavilo postopke in strukture za obravnavanje pritožb zaradi kršitev kodeksa ali načina, kako je kodeks izvajal ali ga izvaja upravljavec ali obdelovalec, ter za omogočanje preglednosti teh postopkov in struktur za posameznike, na katere se nanašajo osebni podatki, in javnost, in

pristojnemu nadzornemu organu zadovoljivo dokazalo, da zaradi njegovih nalog in dolžnosti ne pride do nasprotja interesov.

nadzornega organa, ki je pristojen na podlagi člena 55 ali 56;

nacionalnega akreditacijskega organa, imenovanega v skladu z Uredbo (ES) št. 765/2008 Evropskega parlamenta in Sveta ( 2 ) v skladu z EN-ISO/IEC 17065/2012 in dodatnimi zahtevami, ki jih določi nadzorni organ, ki je pristojen na podlagi člena 55 ali 56.

pristojnemu nadzornemu organu zadovoljivo izkazala svojo neodvisnost in strokovno znanje v zvezi z vsebino certificiranja;

se zavezala, da bodo izpolnjevala merila iz člena 42(5), ki jih potrdi nadzorni organ, pristojen na podlagi člena 55 ali 56, ali odbor na podlagi člena 63;

vzpostavila postopke za izdajo, redne preglede in preklic certificiranja, pečatov in označb za varstvo podatkov;

vzpostavila postopke in strukture za obravnavanje pritožb zaradi kršitev certificiranja ali načina, kako je certificiranje izvajal ali ga izvaja upravljavec ali obdelovalec, ter za omogočanje preglednosti teh postopkov in struktur za posameznike, na katere se nanašajo osebni podatki, in javnost, ter

pristojnemu nadzornemu organu zadovoljivo izkazala, da zaradi njihovih nalog in dolžnosti ne pride do nasprotja interesov.

ustanovitev posameznega nadzornega organa;

kvalifikacije in pogoje za upravičenost, ki se zahtevajo za imenovanje na mesto člana posameznega nadzornega organa;

pravila in postopke za imenovanje člana ali članov posameznega nadzornega organa;

trajanje mandata člana oziroma članov posameznega nadzornega organa, ki ni krajši od štirih let, razen pri prvem imenovanju po 24. maju 2016, del katerega je lahko krajši, če je to potrebno zaradi zaščite neodvisnosti nadzornega organa s postopnim postopkom imenovanja;

ali se lahko član oziroma člani posameznega nadzornega organa ponovno imenujejo, in če je tako, za koliko mandatov;

pogoje, ki urejajo obveznosti člana oziroma članov in osebja posameznega nadzornega organa, prepovedi ukrepanja, delovanja in ugodnosti, ki so nezdružljivi s temi pogoji, med mandatom in po njem, ter pravila o prenehanju zaposlitve.

spremlja in zagotavlja uporabo te uredbe;

spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo. Posebna pozornost se posveti dejavnostim, ki so namenjene izrecno otrokom;

v skladu s pravom države članice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svoboščin posameznikov pri obdelavi;

spodbuja ozaveščenost upravljavcev in obdelovalcev glede njihovih obveznosti na podlagi te uredbe;

vsakemu posamezniku, na katerega se nanašajo osebni podatki, na zahtevo zagotovi informacije o uresničevanju njegovih pravic na podlagi te uredbe in v ta namen, če je ustrezno, sodeluje z nadzornimi organi v drugih državah članicah;

obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oziroma v skladu s členom 80 telo, organizacija ali združenje, v ustreznem obsegu preuči vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti če je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom;

sodeluje z drugimi nadzornimi organi, med drugim z izmenjavo informacij, in jim zagotavlja medsebojno pomoč, da se zagotovi doslednost pri uporabi in izvajanju te uredbe;

izvaja preiskave o uporabi te uredbe, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa;

spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij ter trgovinskih praks;

sprejema standardna pogodbena določila iz člena 28(8) in točke (d) člena 46(2);

vzpostavi in vzdržuje seznam v zvezi z zahtevo po oceni učinka v zvezi z varstvom podatkov v skladu s členom 35(4);

svetuje glede dejanj obdelave iz člena 36(2);

spodbuja pripravo kodeksov ravnanja v skladu s členom 40(1) ter poda mnenje in odobri take kodekse ravnanja, ki zagotavljajo zadostne zaščitne ukrepe, v skladu s členom 40(5);

spodbuja vzpostavitev mehanizmov ►C1  certificiranja ◄ za varstvo podatkov ter pečatov in označb za varstvo podatkov v skladu s členom 42(1) in odobri merila ►C1  certificiranja ◄ v skladu s členom 42(5);

kadar je ustrezno, izvaja redne preglede certifikatov, izdanih v skladu s členom 42(7);

oblikuje in objavi zahteve za akreditacijo telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in telesa za certificiranje v skladu s členom 43;

opravi akreditacijo telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in telesa za certificiranje v skladu s členom 43;

odobri pogodbena določila in določbe iz člena 46(3);

odobri zavezujoča poslovna pravila v skladu s členom 47;

prispeva k dejavnostim odbora;

hrani notranjo evidenco kršitev te uredbe in sprejetih ukrepov v skladu s členom 58(2), ter

opravlja vse druge naloge, povezane z varstvom osebnih podatkov.

da upravljavcu in obdelovalcu ter, če je ustrezno, predstavniku upravljavca ali obdelovalca odredi, naj zagotovi vse informacije, ki jih potrebuje za opravljanje svojih nalog;

da izvaja preiskave v obliki pregledov na področju varstva podatkov;

da izvaja preglede certifikatov, izdanih v skladu s členom 42(7);

da upravljavca ali obdelovalca uradno obvesti o domnevni kršitvi te uredbe;

da od upravljavca ali obdelovalca pridobi dostop do vseh osebnih podatkov in informacij, ki jih potrebuje za opravljanje svojih nalog;

da pridobi dostop do vseh prostorov upravljavca ali obdelovalca, vključno z vso opremo in sredstvi za obdelavo podatkov, v skladu s pravom Unije ali postopkovnim pravom države članice.

da izda upravljavcu ali obdelovalcu opozorilo, da bi predvidena dejanja obdelave verjetno kršila določbe te uredbe;

da upravljavcu ali obdelovalcu izreče opomin, kadar so bile z dejanji obdelave kršene določbe te uredbe;

da upravljavcu ali obdelovalcu odredi, naj ugodi zahtevam posameznika, na katerega se nanašajo osebni podatki, glede uresničevanja njegovih pravic na podlagi te uredbe;

da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi z določbami te uredbe;

da upravljavcu odredi, naj posameznika, na katerega se nanašajo osebni podatki, obvesti o ►C1  kršitvi varnosti osebnih podatkov ◄ ;

da uvede začasno ali dokončno omejitev obdelave, vključno s prepovedjo obdelave;

da v skladu s členi 16, 17 in 18 odredi popravek ali izbris osebnih podatkov oziroma omejitev obdelave in o takšnih ukrepih v skladu s členom 17(2) in členom 19 uradno obvesti uporabnike, ki so jim bili osebni podatki razkriti;

da prekliče certifikat ali telesu za certificiranje odredi preklic certifikata, izdanega v skladu s členoma 42 in 43, ali da telesu za certificiranje odredi, naj ne izda certifikata, kadar zahteve v zvezi s certifikatom niso ali niso več izpolnjene;

da glede na okoliščine posameznega primera poleg ali namesto ukrepov iz tega odstavka naloži upravno globo v skladu s členom 83;

da odredi prekinitev prenosov podatkov uporabniku v tretji državi ali mednarodni organizaciji.

da svetuje upravljavcu v skladu s postopkom predhodnega posvetovanja iz člena 36;

da na lastno pobudo ali na zahtevo izdaja mnenja za nacionalni parlament, vlado države članice ali, v skladu s pravom države članice, druge institucije in telesa, pa tudi za javnost, o vseh vprašanjih v zvezi z varstvom osebnih podatkov;

da odobri obdelavo iz člena 36(5), če pravo države članice zahteva tako predhodno dovoljenje;

da izdaja mnenja in odobri osnutke kodeksov ravnanja v skladu s členom 40(5);

da akreditira telesa za certificiranje v skladu s členom 43;

da izdaja certifikate in odobri merila za certificiranje v skladu s členom 42(5);

da sprejme standardna določila o varstvu podatkov iz člena 28(8) in iz točke (d) člena 46(2);

da odobri pogodbena določila iz točke (a) člena 46(3);

da odobri upravne dogovore iz točke (b) člena 46(3);

da odobri zavezujoča poslovna pravila v skladu s členom 47.

ni pristojen za vsebino zahteve ali za izvršitev zahtevanih ukrepov, ali

bi izpolnitev zahteve kršila to uredbo ali pravo Unije ali pravo države članice, ki velja za nadzorni organ, ki je prejel zahtevo.

je namenjen sprejetju seznama dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov v skladu s členom 35(4);

zadeva vprašanje v skladu s členom 40(7), in sicer, ali je osnutek kodeksa ravnanja oziroma sprememba ali razširitev v skladu s to uredbo;

je namenjen odobritvi zahtev za akreditacijo organa v skladu s členom 41(3), telesa za certificiranje v skladu s členom 43(3) ali meril za certificiranje iz člena 42(5);

je namenjen določitvi standardnih določil o varstvu podatkov iz točke (d) člena 46(2) in iz člena 28(8);

je namenjen odobritvi pogodbenih določil iz točke (a) člena 46(3), ali

je namenjen odobritvi zavezujočih poslovnih pravil v smislu člena 47.

člane odbora in Komisijo o vseh zadevnih informacijah, ki jih je prejel v standardizirani obliki. Sekretariat odbora po potrebi zagotovi prevode pomembnih informacij, in

nadzorni organ iz odstavka 1 oziroma 2 in Komisijo o mnenju, ki ga tudi objavi.

►C1  kadar je, v primeru iz člena 60(4), zadevni nadzorni organ dal ustrezen in utemeljen ugovor osnutku odločitve vodilnega nadzornega organa ter se vodilni nadzorni organ z ugovorom ni strinjal ali je tak ugovor zavrnil kot neustrezen ali neutemeljen. ◄ Zavezujoča odločitev velja za vse zadeve, na katere se nanaša ustrezen in utemeljen ugovor, zlasti kadar gre za kršitev te uredbe;

kadar obstajajo nasprotujoča si stališča o tem, kateri zadevni nadzorni organ je pristojen za glavno ►C1  ustanovitev ◄ ;

kadar pristojni nadzorni organ ne zaprosi za mnenje odbora v primerih iz člena 64(1) ali ne upošteva mnenja odbora, izdanega na podlagi člena 64. V tem primeru lahko kateri koli zadevni nadzorni organ ali Komisija zadevo posreduje odboru.

spremlja in zagotavlja pravilno uporabo te uredbe v primerih iz členov 64 in 65 brez poseganja v naloge nacionalnih nadzornih organov;

svetuje Komisiji o vseh vprašanjih v zvezi z varstvom osebnih podatkov v Uniji, tudi o vseh predlogih sprememb te uredbe;

svetuje Komisiji glede oblike in postopkov izmenjave informacij med upravljavci, obdelovalci in nadzornimi organi za zavezujoča poslovna pravila;

izdaja smernice, priporočila in najboljše prakse za postopke izbrisa povezav do osebnih podatkov ali kopij osebnih podatkov iz javnosti dostopnih komunikacijskih storitev iz člena 17(2);

na lastno pobudo oziroma na zahtevo katerega od svojih članov ali Komisije preuči vsako vprašanje v zvezi z uporabo te uredbe ter izda smernice, priporočila in najboljše prakse, da spodbudi njeno dosledno uporabo;

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi podrobneje določi merila in pogoje za odločitve na podlagi oblikovanja profilov v skladu s členom 22(2);

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka za ugotavljanje kršitev varnosti osebnih podatkov in opredelitev izraza „nepotrebno odlašanje“ iz člena 33(1) in (2) ter za posebne okoliščine, v katerih se od upravljavca ali obdelovalca zahteva, da predloži obvestilo o kršitvi varnosti osebnih podatkov;

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka glede okoliščin, v katerih je verjetno, da ►C1  kršitev varnosti osebnih podatkov ◄ povzroča veliko tveganje za pravice in svoboščine posameznikov iz člena 34(1);

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi podrobneje določi merila in zahteve za prenose podatkov, ki temeljijo na zavezujočih poslovnih pravilih, ki veljajo za upravljavce, in zavezujočih poslovnih pravilih, ki veljajo za obdelovalce, ter na nadaljnjih zahtevah, potrebnih za zagotavljanje varstva osebnih podatkov zadevnih posameznikov, na katere se nanašajo osebni podatki, iz člena 47;

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, da bi podrobneje določil merila in zahteve za prenose osebnih podatkov na podlagi člena 49(1);

pripravi smernice za nadzorne organe v zvezi z uporabo ukrepov iz člena 58(1), (2) in (3) ter določitvijo upravnih glob v skladu s členom 83;

pregleda praktično uporabo smernic, priporočil in najboljših praks;

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi določi skupne postopke za poročanje posameznikov o kršitvah te uredbe v skladu s členom 54(2);

spodbuja oblikovanje kodeksov ravnanja, pa tudi vzpostavitev mehanizmov ►C1  certificiranja ◄ za varstvo podatkov ter pečatov in označb za varstvo podatkov v skladu s členoma 40 in 42;

odobri merila za certificiranje v skladu s členom 42(5) ter vodi javni register mehanizmov certificiranja ter pečatov in označb v skladu s členom 42(8) ter potrjenih upravljavcev ali obdelovalcev, ustanovljenih v tretjih državah v skladu s členom 42(7);

odobri zahteve iz člena 43(3) za namene akreditacije teles za certificiranje iz člena 43;

Komisiji predloži mnenje o zahtevah glede ►C1  certificiranja ◄ iz člena 43(8);

Komisiji predloži mnenje o zahtevah glede ikon iz člena 12(7);

Komisiji predloži mnenje v zvezi z oceno ustreznosti ravni varstva v tretji državi ali mednarodni organizaciji, vključno v zvezi z oceno o tem, ali tretja država, ozemlje ali en ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva. V ta namen Komisija predloži odboru vso potrebno dokumentacijo, vključno s korespondenco z vlado tretje države glede te tretje države, ozemlja ali določenega sektorja, ali z mednarodno organizacijo;

izdaja mnenja o osnutkih odločitev nadzornih organov v skladu z mehanizmom za skladnost iz člena 64(1) o zadevah, predloženih v skladu s členom 64(2), in izdaja zavezujoče odločitve v skladu s členom 65, vključno v primerih iz člena 66;

spodbuja sodelovanje ter učinkovito dvostransko in večstransko izmenjavo informacij in najboljših praks med nadzornimi organi;

spodbuja skupne programe usposabljanja ter pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi organi tretjih držav ali mednarodnimi organizacijami;

spodbuja izmenjavo znanja in dokumentacije o zakonodaji in praksi s področja varstva osebnih podatkov z nadzornimi organi za varstvo podatkov po svetu.

izdaja mnenja o kodeksih ravnanja, oblikovanih na ravni Unije v skladu s členom 40(9), in

vodi javno dostopen elektronski register odločitev, ki jih sprejmejo nadzorni organi in sodišča glede vprašanj, obravnavanih v okviru mehanizma za skladnost.

sklicevanje sestankov odbora in priprava dnevnega reda;

uradno sporočanje odločitev, ki jih v skladu s členom 65 sprejme odbor, vodilnemu nadzornemu organu in zadevnim nadzornim organom;

zagotavljanje pravočasne izpolnitve nalog odbora, zlasti v zvezi z mehanizmom za skladnost iz člena 63.

vsakodnevno poslovanje odbora;

komunikacijo med člani odbora, njegovim predsednikom in Komisijo;

komunikacijo z drugimi institucijami in javnostjo;

uporabo elektronskih sredstev za notranjo in zunanjo komunikacijo;

prevod pomembnih informacij;

pripravo sestankov odbora in nadaljnje ukrepanje po njih;

pripravo, oblikovanje osnutkov ter objavo mnenj, odločitev o reševanju sporov med nadzornimi organi in drugih besedil, ki jih sprejme odbor.