ISSN 1977-0804

Uradni list

Evropske unije

L 119

European flag  

Slovenska izdaja

Zakonodaja

Zvezek 59
4. maj 2016


Vsebina

 

I   Zakonodajni akti

Stran

 

 

UREDBE

 

*

Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) ( 1 )

1

 

 

DIREKTIVE

 

*

Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ

89

 

*

Direktiva (EU) 2016/681 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o uporabi podatkov iz evidence podatkov o potnikih (PNR) za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj

132

 


 

(1)   Besedilo velja za EGP

SL

Akti z rahlo natisnjenimi naslovi so tisti, ki se nanašajo na dnevno upravljanje kmetijskih zadev in so splošno veljavni za omejeno obdobje.

Naslovi vseh drugih aktov so v mastnem tisku in pred njimi stoji zvezdica.


I Zakonodajni akti

UREDBE

4.5.2016   

SL

Uradni list Evropske unije

L 119/1


UREDBA (EU) 2016/679 EVROPSKEGA PARLAMENTA IN SVETA

z dne 27. aprila 2016

o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov)

(Besedilo velja za EGP)

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti člena 16 Pogodbe,

ob upoštevanju predloga Evropske komisije,

po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,

ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora (1),

ob upoštevanju mnenja Odbora regij (2),

v skladu z rednim zakonodajnim postopkom (3),

ob upoštevanju naslednjega:

(1)

Varstvo posameznikov pri obdelavi osebnih podatkov je temeljna pravica. V členu 8(1) Listine Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina) in členu 16(1) Pogodbe o delovanju Evropske unije (PDEU) je določeno, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj.

(2)

Načela in pravila o varstvu posameznikov pri obdelavi njihovih osebnih podatkov bi morala ne glede na njihovo državljanstvo ali prebivališče zagotavljati spoštovanje temeljnih pravic in svoboščin posameznikov, zlasti njihovo pravico do varstva osebnih podatkov. Namen te uredbe je prispevati k dokončnemu oblikovanju območja svobode, varnosti in pravice ter ekonomske unije, gospodarskemu in socialnemu napredku, krepitvi in uskladitvi gospodarstev na notranjem trgu ter blaginji posameznikov.

(3)

Direktiva Evropskega parlamenta in Sveta 95/46/ES (4) je namenjena harmonizaciji varstva temeljnih pravic in svoboščin posameznikov pri dejavnostih obdelave in zagotavljanju prostega pretoka osebnih podatkov med državami članicami.

(4)

Obdelava osebnih podatkov bi morala biti oblikovana tako, da služi ljudem. Pravica do varstva osebnih podatkov ni absolutna pravica; v skladu z načelom sorazmernosti jo je treba obravnavati glede na vlogo, ki jo ima v družbi, in jo uravnotežiti z drugimi temeljnimi pravicami. Ta uredba spoštuje vse temeljne pravice in upošteva svoboščine in načela, priznana z Listino, kakor so zajeta v Pogodbah, zlasti spoštovanje zasebnega in družinskega življenja, stanovanja in komunikacij, varstvo osebnih podatkov, svobodo misli, vesti in vere, svobodo izražanja in obveščanja, svobodo gospodarske pobude, pravico do učinkovitega pravnega sredstva in nepristranskega sodišča ter kulturno, versko in jezikovno raznolikost.

(5)

Gospodarsko in socialno povezovanje, ki izhaja iz delovanja notranjega trga, je prineslo občutno povečanje čezmejnih prenosov osebnih podatkov. Izmenjava osebnih podatkov med javnimi in zasebnimi akterji v Uniji, vključno s posamezniki, združenji in družbami, se je povečala. S pravom Unije se poziva nacionalne organe držav članic k sodelovanju in izmenjavi osebnih podatkov, da bi lahko opravljali svoje dolžnosti ali izvajali naloge v imenu organa v drugi državi članici.

(6)

Hiter tehnološki razvoj in globalizacija sta prinesla nove izzive za varstvo osebnih podatkov. Obseg zbiranja in izmenjave osebnih podatkov se je bistveno povečal. Tehnologija zasebnim podjetjem in javnim organom omogoča, da osebne podatke uporabljajo za dosego svojih ciljev v obsegu, kakršnega še ni bilo. Posamezniki vedno bolj dajejo osebne podatke na razpolago tako javno kot globalno. Tehnologija je spremenila tako gospodarstvo kot družbeno življenje ter bi morala še naprej omogočati lažje izvajanje prostega pretoka osebnih podatkov v Uniji ter prenosa v tretje države in mednarodne organizacije, pri čemer je treba zagotoviti visoko raven varstva osebnih podatkov.

(7)

Zaradi tega razvoja je v Uniji potreben trden in skladnejši okvir varstva podatkov, podprt z doslednim izvrševanjem, saj je nujno vzpostaviti zaupanje, ki bo digitalnemu gospodarstvu omogočilo razvoj na celotnem notranjem trgu. Posamezniki bi morali imeti nadzor nad lastnimi osebnimi podatki. Pravna in praktična varnost posameznikov, gospodarskih subjektov in javnih organov bi morali biti okrepljeni.

(8)

Kadar ta uredba določa natančnejše določitve ali omejitve svojih pravil s pravom držav članic, lahko države članice vključijo elemente te uredbe v svoje nacionalno pravo, kolikor je to potrebno zaradi skladnosti in razumljivosti nacionalnih določb za osebe, za katere se uporabljajo.

(9)

Cilji in načela Direktive 95/46/ES še vedno veljajo, vendar to ni preprečilo razdrobljenosti izvajanja varstva osebnih podatkov v Uniji, pravne negotovosti ali razširjenega javnega mnenja, da so precejšnja tveganja za varstvo posameznikov, zlasti glede spletne dejavnosti. Različne ravni varstva pravic in svoboščin posameznikov, zlasti pravice do varstva osebnih podatkov, pri obdelavi osebnih podatkov v državah članicah lahko preprečijo prosti pretok osebnih podatkov po celotni Uniji. Te razlike lahko pomenijo oviro pri izvajanju gospodarskih dejavnosti na ravni Unije, izkrivljajo konkurenco in ovirajo organe pri izpolnjevanju njihovih obveznosti po pravu Unije. Take različne ravni varstva izhajajo iz različnega izvajanja in uporabe Direktive 95/46/ES.

(10)

Za zagotovitev dosledne in visoke ravni varstva posameznikov ter odstranitev ovir za prenos osebnih podatkov v Uniji bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov. Kar zadeva obdelavo osebnih podatkov z namenom izpolnjevanja pravne obveznosti, za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu, bi moralo biti državam članicam dovoljeno ohraniti ali uvesti nacionalne določbe za podrobnejšo opredelitev uporabe pravil iz te uredbe. Države članice so v povezavi s splošnim in horizontalnim pravom o varstvu podatkov, s katerim se izvaja Direktiva 95/46/ES, sprejele več področnih zakonov na področjih, kjer so potrebne podrobnejše določbe. Tudi ta uredba državam članicam daje manevrski prostor za podrobnejšo opredelitev njenih pravil, tudi glede obdelave posebnih vrst osebnih podatkov („občutljivi podatki“). V tem obsegu ta uredba ne izključuje prava držav članic, s katerim so opredeljene okoliščine posebnih primerov obdelave, vključno s podrobnejšo določitvijo pogojev, pod katerimi je obdelava osebnih podatkov zakonita.

(11)

Za učinkovito varstvo osebnih podatkov po vsej Uniji je treba okrepiti in podrobneje opredeliti pravice posameznikov, na katere se nanašajo osebni podatki, ter obveznosti tistih, ki obdelujejo osebne podatke in določajo obdelavo osebnih podatkov, pa tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili varstva osebnih podatkov ter enakovredne sankcije za kršitve v državah članicah.

(12)

V členu 16(2) PDEU je navedeno, da Evropski parlament in Svetdoločata pravila o varstvu fizičnih oseb pri obdelavi osebnih podatkov in pravila o prostem pretoku osebnih podatkov.

(13)

Da se zagotovi skladna raven varstva posameznikov v vsej Uniji in prepreči, da bi razlike ovirale prosti pretok osebnih podatkov na notranjem trgu, je potrebna uredba, ki bo gospodarskim subjektom, tudi mikro, malim in srednjim podjetjem, zagotovila pravno varnost in preglednost, posameznikom v vseh državah članicah zagotovila enako raven pravno izvršljivih pravic ter obveznosti in odgovornosti upravljavcev in obdelovalcev, zagotovila dosledno spremljanje obdelave osebnih podatkov, enakovredne sankcije v vseh državah članicah in učinkovito sodelovanje nadzornih organov različnih držav članic. Za pravilno delovanje notranjega trga prosti pretok osebnih podatkov v Uniji ne sme biti niti omejen niti prepovedan iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov. Za upoštevanje posebnega položaja mikro, malih in srednjih podjetij ta uredba vsebuje odstopanja glede vodenja evidenc za organizacije, ki zaposlujejo manj kot 250 oseb. Poleg tega se institucije in organe Unije ter države članice in njihove nadzorne organe spodbuja, da posebne potrebe mikro, malih in srednjih podjetij upoštevajo pri uporabi te uredbe. Pojem mikro, malih in srednjih podjetij bi moral temeljiti na členu 2 Priloge k Priporočilu Komisije 2003/361/ES (5).

(14)

Varstvo, zagotovljeno s to uredbo, bi se moralo uporabljati za obdelavo osebnih podatkov posameznikov, ne glede na njihovo državljanstvo ali prebivališče. Ta uredba ne zajema obdelave osebnih podatkov glede pravnih oseb in zlasti družb, ustanovljenih kot pravne osebe, vključno z imenom in obliko ter kontaktnimi podatki pravne osebe.

(15)

Z namenom preprečiti ustvarjanje resnega tveganja izogibanja predpisom bi moralo biti varstvo posameznikov tehnološko nevtralno in neodvisno od uporabljenih tehnik. Varstvo posameznikov bi se moralo uporabljati za obdelavo osebnih podatkov z avtomatiziranimi sredstvi in za ročno obdelavo, če so osebni podatki del zbirke ali so namenjeni, da postanejo del zbirke. Zapisi ali nizi zapisov – kot tudi njihove naslovnice -, ki niso strukturirani v skladu s posebnimi merili, ne bi smeli spadati na področje uporabe te uredbe.

(16)

Ta uredba se ne uporablja za vprašanja varstva temeljnih pravic in svoboščin ali prostega pretoka osebnih podatkov, povezana z dejavnostmi, ki ne spadajo na področje uporabe prava Unije, kot so dejavnosti v zvezi z nacionalno varnostjo. Ta uredba se ne uporablja za obdelavo osebnih podatkov s strani držav članic pri izvajanju dejavnosti v zvezi s skupno zunanjo in varnostno politiko Unije.

(17)

Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta (6) se uporablja za obdelavo osebnih podatkov s strani institucij, organov, uradov in agencij Unije. Uredbo (ES) št. 45/2001 in druge pravne akte Unije, ki se uporabljajo za tako obdelavo osebnih podatkov, bi bilo treba prilagoditi načelom in pravilom, določenim v tej uredbi, in jih uporabljati ob upoštevanju te uredbe. Za zagotovitev trdnega in usklajenega okvira varstva podatkov v Uniji bi bilo treba po sprejetju te uredbe prilagoditi tudi Uredbo (ES) št. 45/2001, da bi se lahko začela uporabljati sočasno s to uredbo.

(18)

Ta uredba se ne uporablja za obdelavo osebnih podatkov s strani fizične osebe v okviru izključno osebne ali domače dejavnosti ter s tem brez povezave s poklicno ali komercialno dejavnostjo. Osebne ali domače dejavnosti bi lahko vključevale korespondenco in seznam naslovov ali dejavnosti na socialnih omrežjih in na spletu v okviru tovrstnih dejavnosti. Ta uredba pa se uporablja za upravljavce ali obdelovalce, ki zagotavljajo sredstva za obdelavo osebnih podatkov za take osebne ali domače dejavnosti.

(19)

Varstvo posameznikov pri obdelavi osebnih podatkov s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ter prosti pretok takih podatkov je urejeno v posebnem pravnem aktu Unije. Ta uredba se zato ne bi smela uporabljati za dejavnosti obdelave v navedene namene. Vendar pa bi moral obdelavo osebnih podatkov s strani javnih organov na podlagi te uredbe, kadar se uporablja za navedene namene, urejati bolj poseben pravni akt Unije, in sicer Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta (7). Države članice lahko pristojnim organom v smislu Direktive (EU) 2016/680 zaupajo naloge, ki se ne izvajajo nujno za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, tako da obdelava osebnih podatkov za te druge namene, kolikor spada na področje uporabe prava Unije, spada na področje uporabe te uredbe.

Pri obdelavi osebnih podatkov s strani teh pristojnih organov za namene, ki spadajo na področje uporabe te uredbe, bi države članice morale imeti možnost, da ohranijo ali uvedejo podrobnejše določbe, s katerimi prilagodijo uporabo pravil te uredbe. S takimi določbami se lahko natančneje opredelijo posebne zahteve za obdelavo osebnih podatkov s strani teh pristojnih organov za te druge namene, pri čemer je treba upoštevati ustavno, organizacijsko in upravno strukturo posamezne države članice. Kadar obdelava osebnih podatkov s strani zasebnih teles spada na področje uporabe te uredbe, bi morali s slednjo državam članicam omogočiti, da pod posebnimi pogoji z zakonom omejijo nekatere obveznosti in pravice, če je taka omejitev potreben in sorazmeren ukrep v demokratični družbi za zaščito posebnih pomembnih interesov, tudi za javno varnost ter preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in preprečevanjem takih groženj. To na primer zadeva dejavnosti v okviru preprečevanja pranja denarja ali dejavnosti forenzičnih laboratorijev.

(20)

Ker se ta uredba med drugim uporablja za dejavnosti sodišč in drugih pravosodnih organov, bi lahko v pravu Unije ali pravu držav članic podrobneje določili dejanja obdelave in postopke obdelave v zvezi z obdelavo osebnih podatkov s strani sodišč in drugih pravosodnih organov. Pristojnost nadzornih organov ne bi smela obsegati obdelave osebnih podatkov, kadar sodišča delujejo kot sodni organ, da se zaščiti neodvisnost sodstva pri opravljanju sodnih nalog, vključno z odločanjem. Omogočeno bi moralo biti, da se nadzor takih dejanj obdelave podatkov zaupa posebnim organom v okviru sodnega sistema države članice, ki naj bi zlasti zagotovili upoštevanje pravil te uredbe, izboljšali ozaveščenost delavcev v sodstvu glede njihovih obveznosti na podlagi te uredbe in obravnavali pritožbe v zvezi s takimi dejanji obdelave podatkov.

(21)

Ta uredba ne posega v uporabo Direktive 2000/31/ES Evropskega parlamenta in Sveta (8), zlasti pravil o odgovornosti posrednih ponudnikov storitev iz členov 12 do 15 navedene direktive. Namen navedene direktive je prispevati k pravilnemu delovanju notranjega trga z zagotavljanjem prostega pretoka storitev informacijske družbe med državami članicami.

(22)

Vsaka obdelava osebnih podatkov v okviru dejavnosti sedeža upravljavca ali obdelovalca v Uniji bi morala biti izvedena v skladu s to uredbo, ne glede na to, ali sama obdelava poteka v Uniji. Sedež pomeni, da se dejavnosti izvajajo dejansko in učinkovito prek ustaljenih ureditev. Pravna oblika takih ureditev, bodisi prek izpostave bodisi prek podružnice, ki je pravna oseba, v tem pogledu ni odločujoči dejavnik.

(23)

Za zagotovitev, da posamezniki niso prikrajšani za varstvo, do katerega so upravičeni na podlagi te uredbe, bi se morala za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki so v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, uporabljati ta uredba, kadar so dejavnosti obdelave povezane z nudenjem blaga ali storitev takim posameznikom, na katere se nanašajo osebni podatki, ne glede na to, ali so povezane s plačilom. Za ugotovitev, ali tak upravljavec ali obdelovalec nudi blago ali storitve posameznikom, na katere se nanašajo osebni podatki in ki so v Uniji, bi bilo treba ugotoviti, ali je jasno, da namerava upravljavec ali obdelovalec nuditi storitve posameznikom, na katere se nanašajo osebni podatki, v eni ali več državah članicah Unije. Medtem ko sama dostopnost spletne strani upravljavca, obdelovalca ali posrednika v Uniji, elektronskega naslova ali drugih kontaktnih podatkov ali uporaba jezika, ki se na splošno uporablja v tretji državi, v kateri ima upravljavec sedež, ne zadošča za ugotovitev takšnega namena, se lahko z dejavniki, kot so uporaba jezika ali valute, ki se na splošno uporablja v eni ali več državah članicah, z možnostjo naročanja blaga in storitev v tem drugem jeziku, ali navedba strank ali uporabnikov, ki so v Uniji, jasno pokaže, da želi upravljavec nuditi blago ali storitve posameznikom, na katere se nanašajo osebni podatki, v Uniji.

(24)

Za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki so v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, bi se prav tako morala uporabljati ta uredba, kadar je obdelava povezana s spremljanjem vedenja takih posameznikov, na katere se nanašajo osebni podatki, kolikor njihovo vedenje poteka v Uniji. Za ugotovitev, ali se za dejavnost obdelave lahko šteje, da spremlja vedenje posameznikov, na katere se nanašajo osebni podatki, bi bilo treba ugotoviti, ali se posameznikom sledi na internetu, kar vključuje morebitno naknadno uporabo tehnik obdelave osebnih podatkov, ki obsegajo oblikovanje profila posameznika, zlasti z namenom sprejemanja odločitev o njem oziroma za analiziranje ali predvidevanje njegovega osebnega okusa in vedenja.

(25)

Kadar se pravo države članice uporablja na podlagi mednarodnega javnega prava, bi se morala ta uredba uporabljati tudi za upravljavca, ki nima sedeža v Uniji, na primer v diplomatskem ali konzularnem predstavništvu države članice.

(26)

Načela varstva podatkov bi se morala uporabljati za vse informacije v zvezi z določenim ali določljivim posameznikom. Osebne podatke, ki so bili psevdonimizirani in ki jih je mogoče z uporabo dodatnih informacij pripisati posamezniku, bi bilo treba obravnavati kot informacije o določljivem posamezniku. Pri ugotavljanju, ali je posameznik določljiv, bi bilo treba upoštevati vsa sredstva – kot je na primer izločitev –, za katera se razumno pričakuje, da jih bo upravljavec ali druga oseba uporabila za neposredno ali posredno identifikacijo posameznika. Da bi ugotovili, ali se za ta sredstva lahko razumno pričakuje, da bodo uporabljena za identifikacijo posameznika, bi bilo treba upoštevati vse objektivne dejavnike, kot so stroški identifikacije in čas, potreben zanjo, ter pri tem upoštevati razpoložljivo tehnologijo in tehnološki razvoj v času obdelave. Načel varstva podatkov zato ne bi smeli uporabljati za anonimizirane informacije,in sicer informacije, ki niso povezane z določenim ali določljivim posameznikom, ali osebne podatke, ki so bili anonimizirani na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni ali ni več določljiv. Ta uredba torej ne zadeva obdelave takšnih anonimiziranih informacij, vključno z informacijami v statistične ali raziskovalne namene.

(27)

Ta uredba se ne uporablja za osebne podatke umrlih oseb. Države članice lahko določijo pravila za obdelavo osebnih podatkov umrlih oseb.

(28)

Z uporabo psevdonimizacije osebnih podatkov se lahko zmanjša tveganje za zadevne posameznike, na katere se nanašajo osebni podatki, ter pomaga upravljavcem in obdelovalcem pri izpolnjevanju obveznosti glede varstva podatkov. Namen izrecne uvedbe „psevdonimizacije“ v tej uredbi ni preprečiti kakršne koli druge ukrepe za varstvo podatkov.

(29)

Za spodbuditev uporabe psevdonimizacije pri obdelavi osebnih podatkov bi bilo treba zagotoviti, da se v okviru istega upravljavca lahko hkrati sprejmejo ukrepi za psevdonimizacijo in opravi splošna analiza, če je ta upravljavec sprejel potrebne tehnične in organizacijske ukrepe za zagotovitev, da se v zvezi z zadevno obdelavo izvaja ta uredba in da se dodatne informacije, na podlagi katerih se osebni podatki lahko pripišejo določenemu posamezniku, na katerega se nanašajo osebni podatki, hranijo ločeno. Upravljavec, ki obdeluje osebne podatke, bi moral navesti pooblaščene osebe v okviru istega upravljavca.

(30)

Posamezniki so lahko povezani s spletnimi identifikatorji, ki jih zagotovijo njihove naprave, aplikacije, orodja in protokoli, kot so naslovi internetnega protokola in identifikatorji piškotkov, ali drugimi identifikatorji, kot so oznake za radiofrekvenčno identifikacijo. To lahko pusti sledi, ki se lahko, zlasti kadar se kombinirajo z edinstvenimi identifikatorji in drugimi informacijami, ki jih prejmejo strežniki, uporabijo za oblikovanje profilov posameznikov in njihovo identifikacijo.

(31)

Javnih organov, ki so jim bili osebni podatki razkriti v skladu s pravno obveznostjo za izvajanje njihovih uradnih nalog, kot so davčni in carinski organi, finančne preiskovalne enote, neodvisni upravni organi ali organi finančnih trgov, pristojni za regulacijo in nadzor trgov vrednostnih papirjev, ne bi smeli šteti za uporabnike, če prejmejo osebne podatke, ki so potrebni za izvedbo določene preiskave v splošnem interesu, in sicer v skladu s pravom Unije ali države članice. Zahteve za razkritje, ki jih predložijo javni organi, bi morale biti vedno v pisni obliki, utemeljene in občasne ter ne bi smele zadevati celotne zbirke ali voditi k medsebojnemu povezovanju zbirk. Obdelava osebnih podatkov s strani teh javnih organov bi morala biti skladna z veljavnimi predpisi o varstvu podatkov glede na namene obdelave.

(32)

Privolitev bi morala biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, specifično, ozaveščeno in nedvoumno izrazil soglasje k obdelavi osebnih podatkov v zvezi z njim, kot je s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo. To lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov. Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve. Privolitev bi morala zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene. Kadar je obdelava večnamenska, bi bilo treba privolitev dati za vse namene obdelave. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi zahteve z elektronskimi sredstvi, mora biti zahteva jasna in natančna, prav tako pa ne sme po nepotrebnem ovirati uporabe storitve, za katero se zagotavlja.

(33)

V fazi zbiranja podatkov pogosto ni mogoče v celoti opredeliti namena obdelave osebnih podatkov v znanstvenoraziskovalne namene. Posamezniki, na katere se nanašajo osebni podatki, bi zato morali imeti možnost, da dajo privolitev za nekatera znanstvenoraziskovalna področja, ob upoštevanju priznanih etičnih standardov znanstvenega raziskovanja. Posamezniki, na katere se nanašajo osebni podatki, bi morali imeti možnost, da dajo privolitev le za nekatera raziskovalna področja ali dele raziskovalnih projektov v obsegu, ki ga dovoljuje predvideni namen.

(34)

Genetski podatki bi morali biti opredeljeni kot osebni podatki, povezani s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki izhajajo iz analize biološkega vzorca zadevnega posameznika, zlasti analize kromosomov, deoksiribonukleinske kisline (DNK) ali ribonukleinske kisline (RNK) ali analize drugega elementa, ki zagotavlja enakovredne informacije.

(35)

Osebni podatki v zvezi z zdravjem bi morali obsegati vse podatke o zdravstvenem stanju posameznika, na katerega se nanašajo osebni podatki, ki razkrivajo informacije o njegovem preteklem, sedanjem ali prihodnjem telesnem ali duševnem zdravstvenem stanju. To vključuje informacije o posamezniku, zbrane med registracijo za storitve zdravstvenega varstva ali njihovim zagotavljanjem zadevnemu posamezniku, kakor je določeno v Direktivi 2011/24/EU Evropskega parlamenta in Sveta (9); številko, znak ali posebno oznako, dodeljeno posamezniku za njegovo edinstveno identifikacijo v zdravstvene namene; informacije, pridobljene s testiranjem ali preiskavo dela telesa ali telesne snovi, vključno z informacijami, pridobljenimi iz genetskih podatkov in bioloških vzorcev, in vse informacije o, na primer, bolezni, invalidnosti, tveganju za nastanek bolezni, zdravstveni anamnezi, kliničnem zdravljenju ali fiziološkem ali biomedicinskem stanju posameznika, na katerega se nanašajo osebni podatki, ne glede na vir teh podatkov, na primer zdravnik ali drug zdravstveni delavec, bolnišnica, medicinski pripomoček ali diagnostični preskus in vitro.

(36)

Glavni sedež upravljavca v Uniji bi moral biti kraj njegove osrednje uprave v Uniji, razen če se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugem sedežu upravljavca v Uniji in bi v tem primeru moral ta drugi sedež veljati za glavni sedež. Glavni sedež upravljavca v Uniji bi moral biti določen v skladu z objektivnimi merili ter bi moral pomeniti učinkovito in dejansko izvajanje dejavnosti upravljanja, ki glavne odločitve glede namenov in sredstev za obdelavo določajo prek ustaljenih ureditev. To merilo ne bi smelo biti odvisno od tega, ali se obdelava osebnih podatkov izvaja v tem kraju. Prisotnost in uporaba tehničnih sredstev in tehnologij za obdelavo osebnih podatkov ali dejavnosti obdelave sami po sebi ne pomenita glavnega sedeža in zato nista odločujoče merilo za glavni sedež. Glavni sedež obdelovalca bi moral biti kraj njegove osrednje uprave v Uniji ali, kadar nima osrednje uprave v Uniji, kraj, kjer potekajo glavne dejavnosti obdelave v Uniji. V primerih, ki vključujejo upravljavca in obdelovalca, bi moral biti pristojni vodilni nadzorni organ še naprej nadzorni organ države članice, v kateri ima upravljavec glavni sedež, nadzorni organ obdelovalca pa bi se moral šteti za zadevni nadzorni organ; ta nadzorni organ bi moral biti udeležen v postopku sodelovanja, določenem v tej uredbi. Vsekakor se nadzorni organi države članice ali držav članic, v katerih ima obdelovalec enega ali več sedežev, ne bi smeli šteti kot zadevni nadzorni organi, kadar osnutek odločitve zadeva samo upravljavca. Kadar obdelavo izvaja povezana družba, bi bilo treba glavni sedež obvladujoče družbe šteti za glavni sedež povezane družbe, razen kadar namene in sredstva obdelave določa druga družba.

(37)

Povezana družba bi morala zajemati obvladujočo družbo in njene odvisne družbe, pri čemer bi obvladujoča družba morala biti družba, ki ima lahko na druge družbe odločilen vpliv, na primer zaradi lastništva, finančne udeležbe v njih ali pravil, ki se nanje nanašajo, ali zaradi pooblastila za izvajanje predpisov o varstvu osebnih podatkov. Družbo, ki nadzira obdelovanje osebnih podatkov v družbah, povezanih z njo, bi bilo treba skupaj s temi družbami razumeti kot povezano družbo.

(38)

Otroci potrebujejo posebno varstvo v zvezi s svojimi osebnimi podatki, saj se morda manj zavedajo zadevnih tveganj, posledic in zaščitnih ukrepov in svojih pravic v zvezi z obdelavo osebnih podatkov. Tako posebno varstvo bi moralo zadevati zlasti uporabo osebnih podatkov otrok v namene trženja ali ustvarjanja osebnostnih ali uporabniških profilov in zbiranje osebnih podatkov v zvezi z otroci pri uporabi storitev, ki se nudijo neposredno otroku. Privolitev nosilca starševske odgovornosti ne bi smela biti potrebna v okviru storitev preventive ali svetovanja, ki se nudijo neposredno otroku.

(39)

Vsaka obdelava osebnih podatkov bi morala biti zakonita in poštena. Načini zbiranja, uporabe, pregledovanja ali drug način obdelave ter obseg obdelave ali prihodnje obdelave osebnih podatkov, ki se nanašajo na posameznike, bi morali za posameznike biti pregledni. Načelo preglednosti zahteva, da so vse informacije in sporočila, ki se nanašajo na obdelavo teh osebnih podatkov, lahko dostopni in razumljivi ter izraženi v jasnem in preprostem jeziku. To načelo zadeva zlasti informacije za posameznike, na katere se nanašajo osebni podatki, o istovetnosti upravljavca in namenih obdelave ter dodatne informacije za zagotovitev poštene in pregledne obdelave glede zadevnih posameznikov in njihove pravice do pridobitve potrditve in sporočila o obdelavi osebnih podatkov v zvezi z njimi. Posameznike bi bilo treba opozoriti na tveganja, pravila, zaščitne ukrepe in pravice v zvezi z obdelavo njihovih osebnih podatkov ter na to, kako lahko uresničujejo njihove pravice v zvezi s tako obdelavo. Zlasti posebni nameni, za katere se osebni podatki obdelujejo, bi morali biti izrecni in zakoniti ter določeni v času zbiranja osebnih podatkov. Osebni podatki bi morali biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Zato bi bilo treba zlasti zagotoviti, da je obdobje hrambe osebnih podatkov omejeno na najkrajše mogoče obdobje. Osebni podatki bi se lahko obdelali le, če namena obdelave ne bi bilo mogoče razumno doseči z drugimi sredstvi. Za zagotovitev, da se osebni podatki hranijo le toliko časa, kolikor je potrebno, bi moral upravljavec določiti roke za izbris ali občasno preverjanje. Sprejeti bi bilo treba vse smiselne ukrepe za popravek ali izbris netočnih osebnih podatkov. Osebne podatke bi bilo treba obdelovati na način, ki zagotavlja ustrezno varnost in zaupnost osebnih podatkov, tudi za preprečitev nedovoljenega dostopa do osebnih podatkov ali uporabe osebnih podatkov in opreme za obdelavo.

(40)

Da bi bila obdelava zakonita, bi morali biti osebni podatki obdelani na podlagi privolitve zadevnega posameznika, na katerega se nanašajo osebni podatki, ali na kateri drugi zakoniti podlagi, določeni z zakonom, bodisi v tej uredbi ali drugem predpisu Unije ali države članice, kakor je navedeno v tej uredbi, vključno s potrebo po skladnosti s pravno obveznostjo, ki velja za upravljavca, ali potrebo po izvajanju pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali izvajanju ukrepov na zahtevo posameznika, na katerega se nanašajo osebni podatki, pred sklenitvijo pogodbe.

(41)

Kadar je v tej uredbi sklicevanje na pravno podlago ali zakonodajni ukrep, v ta namen ni nujno potreben zakonodajni akt, ki bi ga sprejel parlament, brez poseganja v zahteve v skladu z ustavnim redom zadevne države članice. Vendar bi morala biti takšna pravna podlaga ali zakonodajni ukrep jasna in natančna, njena oziroma njegova uporaba pa predvidljiva za osebe, na katere se nanašata, v skladu s sodno prakso Sodišča Evropske unije (v nadaljnjem besedilu: Sodišče) in Evropskega sodišča za človekove pravice.

(42)

Kadar obdelava temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, bi moral biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v dejanje obdelave. Zlasti v okviru pisne izjave o drugi zadevi bi morali zaščitni ukrepi zagotoviti, da se posameznik, na katerega se nanašajo osebni podatki, zaveda dejstva, da daje privolitev in v kakšnem obsegu jo daje. V skladu z Direktivo Sveta 93/13/EGS (10) bi moral upravljavec vnaprej pripraviti izjavo o privolitvi, ki bi morala biti v razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku in ne bi smela vsebovati nedovoljenih pogojev. Da bi posameznik, na katerega se nanašajo osebni podatki, lahko dal ozaveščeno privolitev, bi moral poznati vsaj identiteto upravljavca in namene obdelave osebnih podatkov. Privolitev se ne bi smela šteti za prostovoljno, če posameznik, na katerega se nanašajo osebni podatki, nima možnosti dejanske ali prostovoljne izbire ali privolitve ne more zavrniti ali preklicati brez škode.

(43)

Za zagotovitev, da je privolitev dana prostovoljno, privolitev ne bi smela biti veljavna pravna podlaga za obdelavo osebnih podatkov v posebnem primeru, ko obstaja očitno neravnotežje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, zlasti kadar je upravljavec javni organ in je zato malo verjetno, da je bila privolitev dana prostovoljno v vseh okoliščinah te specifične situacije. Za privolitev se domneva, da ni dana prostovoljno, če ne dovoljuje ločene privolitve za različna dejanja obdelave osebnih podatkov, čeprav bi taka ločena privolitev bila v posameznem primeru ustrezna, ali če je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo, čeprav za zadevno izvajanje taka privolitev ne bi bila potrebna.

(44)

Obdelava bi morala biti zakonita, kadar je potrebna v okviru pogodbe ali namena sklenitve pogodbe.

(45)

Kadar se obdelava izvaja v skladu s pravno obveznostjo, ki velja za upravljavca, ali kadar je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, bi morala imeti obdelava podlago v pravu Unije ali pravu države članice. Ta uredba ne zahteva posebnega zakona za vsako posamezno obdelavo. Zadosten je lahko zakon, ki je podlaga za več dejanj obdelave, ki temeljijo na pravni obveznosti, ki velja za upravljavca, ali za primere, ko je obdelava potrebna za izvajanje naloge v javnem interesu ali izvrševanje javne oblasti. V pravu Unije ali pravu držav članic bi moral biti določen tudi namen obdelave. Poleg tega bi bili lahko v navedenem pravu opredeljeni splošni pogoji iz te uredbe, ki urejajo zakonitost obdelave osebnih podatkov, določena natančnejša pravila za določitev upravljavca, vrst osebnih podatkov, ki se obdelujejo, zadevnih posameznikov, na katere se nanašajo osebni podatki, subjektov, katerim se osebni podatki lahko razkrijejo, omejitve namena, roka hranjenja in drugih ukrepov za zagotovitev zakonite in poštene obdelave. Prav tako je naloga prava Unije ali prava držav članic, da določi, ali naj bo upravljavec, ki nalogo izvaja v javnem interesu ali pri izvajanju javne oblasti, javni organ ali druga fizična ali pravna oseba, za katero velja javno pravo, ali, kadar to upravičuje javni interes, tudi v zdravstvene namene kot so javno zdravje in socialna zaščita ter upravljanje storitev zdravstvenega varstva, fizična ali pravna oseba, za katero velja zasebno pravo, kot na primer poklicno združenje.

(46)

Obdelava osebnih podatkov bi se morala prav tako šteti za zakonito, kadar je potrebna za zaščito interesa, ki je bistven za življenje posameznika, na katerega se nanašajo osebni podatki, ali za življenje druge fizične osebe. Obdelava osebnih podatkov na podlagi življenjskih interesov druge fizične osebe bi se načeloma lahko izvajala le, kadar obdelave ni mogoče očitno izvesti na drugi pravni podlagi. Nekatere vrste obdelave lahko služijo tako pomembnim razlogom v javnem interesu kot življenjskim interesom posameznika, na katerega se nanašajo osebni podatki, na primer kadar je obdelava potrebna v humanitarne namene, tudi za spremljanje epidemij in njihovega širjenja ali v izrednih humanitarnih razmerah, zlasti pri naravnih nesrečah in nesrečah, ki jih povzroči človek.

(47)

Zakoniti interesi upravljavca, tudi upravljavca, ki se mu osebni podatki lahko razkrijejo, ali tretje osebe lahko predstavljajo pravno podlago za obdelavo, če ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, pri čemer se upoštevajo razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, glede na njihovo razmerje do upravljavca. Tak zakoniti interes lahko na primer obstaja, kadar obstaja zadevno in ustrezno razmerje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, na primer kadar je tak posameznik stranka upravljavca ali dela zanj. V vsakem primeru bi bila za ugotovitev obstoja zakonitega interesa potrebna skrbna ocena, tudi glede tega, ali posameznik, na katerega se nanašajo osebni podatki, lahko v času zbiranja osebnih podatkov in v njegovem okviru razumno pričakuje, da se bodo ti obdelali v zadevni namen. Interesi in temeljne pravice posameznika, na katerega se nanašajo osebni podatki, bi zlasti lahko prevladali nad interesi upravljavca podatkov, kadar se osebni podatki obdelujejo v okoliščinah, ko posamezniki, na katere se nanašajo osebni podatki, razumno ne pričakujejo nadaljnje obdelave. Glede na to, da mora zakonodajalec z zakonom določiti pravno podlago za obdelavo osebnih podatkov s strani javnih organov, ta pravna podlaga ne bi smela veljati za obdelavo s strani javnih organov pri izvajanju njihovih nalog. Tudi obdelava osebnih podatkov, nujno potrebna za preprečevanje zlorab, pomeni zakoniti interes zadevnega upravljavca podatkov. Obdelava osebnih podatkov za neposredno trženje se lahko šteje za opravljeno v zakonitem interesu.

(48)

Upravljavci, ki so del povezane družbe ali institucij, povezanih z osrednjim telesom, lahko imajo zakoniti interes za posredovanje osebnih podatkov znotraj povezane družbe v notranje upravne namene, vključno z obdelavo osebnih podatkov strank ali zaposlenih. To ne vpliva na splošna načela znotraj povezane družbe glede prenosa osebnih podatkov družbi v tretji državi.

(49)

Obdelava osebnih podatkov v obsegu, nujno potrebnem in sorazmernem za zagotovitev varnosti omrežja in informacij, tj. zmožnosti omrežja ali informacijskega sistema, da na določeni ravni zaupanja prepreči slučajne dogodke ali nezakonita ali zlonamerna dejanja, ki ogrožajo dostopnost, avtentičnost, celovitost in zaupnost shranjenih ali prenesenih osebnih podatkov ter varnost s tem povezanih storitev, ki jih ponujajo ali so dostopne prek teh omrežij in sistemov, s strani javnih organov, skupin za odzivanje na računalniške grožnje, skupin za odzivanje na računalniške varnostne incidente, ponudnikov elektronskih komunikacijskih omrežij in storitev ter ponudnikov varnostnih tehnologij in storitev pomeni zakoniti interes zadevnega upravljavca podatkov. To bi lahko vključevalo na primer preprečevanje nepooblaščenega dostopa do elektronskih komunikacijskih omrežij, širjenja zlonamernih kod, napadov, ki povzročajo zavrnitev storitve, ter škode na računalniških in elektronskih komunikacijskih sistemih.

(50)

Obdelava osebnih podatkov za druge namene kot tiste, za katere so bili osebni podatki prvotno zbrani, bi morala biti dovoljena le, kadar je združljiva z nameni, za katere so bili osebni podatki prvotno zbrani. V takšnem primeru ni potrebna ločena pravna podlaga od tiste, na podlagi katere so bili osebni podatki zbrani. Če je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, se lahko naloge in nameni, za katere bi se nadaljnja obdelava morala šteti za združljivo in zakonito, določijo in opredelijo s pravom Unije ali pravom držav članic. Nadaljnja obdelava v namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene bi morala veljati za združljivo zakonito dejanje obdelave. Pravna podlaga, ki se za obdelavo osebnih podatkov določi s pravom Unije ali pravom držav članic, je lahko tudi pravna podlaga za nadaljnjo obdelavo. Za ugotovitev, ali je namen nadaljnje obdelave združljiv z namenom, za katerega so bili osebni podatki prvotno zbrani, bi moral upravljavec, potem ko je izpolnil vse zahteve glede zakonitosti prvotne obdelave, med drugim upoštevati morebitno povezavo med prvotnimi nameni in nameni načrtovane nadaljnje obdelave; okoliščine, v katerih so bili osebni podatki zbrani, zlasti razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, o nadaljnji uporabi teh podatkov ob upoštevanju njihovega razmerja z upravljavcem; naravo osebnih podatkov; posledice načrtovane nadaljnje obdelave za te posameznike in obstoj ustreznih zaščitnih ukrepov, tako pri prvotnih kot načrtovanih nadaljnjih dejanjih obdelave.

Kadar je posameznik, na katerega se nanašajo osebni podatki, privolil ali če obdelava temelji na pravu Unije ali pravu države članice, kar je potreben in sorazmeren ukrep v demokratični družbi za varovanje zlasti pomembnih ciljev v splošnem javnem interesu, bi moralo biti upravljavcu dovoljeno, da nadalje obdeluje osebne podatke, ne glede na združljivost namenov. V vsakem primeru bi bilo treba zagotoviti uporabo načel iz te uredbe in zlasti obveščanje posameznika, na katerega se nanašajo osebni podatki, o teh drugih namenih in njegovih pravicah, tudi o pravici do ugovora. Za opozorila s strani upravljavca na morebitna kazniva dejanja ali grožnje javni varnosti in posredovanje zadevnih osebnih podatkov v posameznih primerih ali v več primerih, ki se nanašajo na isto kaznivo dejanje ali grožnje javni varnosti, pristojnemu organu bi moralo veljati, da so v zakonitem interesu, za katerega si prizadeva upravljavec. Takšno posredovanje v zakonitem interesu upravljavca ali nadaljnja obdelava osebnih podatkov pa bi morala biti prepovedana, če obdelava ni združljiva z obveznostjo varovanja pravne ali poklicne skrivnosti ali drugo zavezujočo obveznostjo varovanja skrivnosti.

(51)

Posebno varstvo si zaslužijo osebni podatki, ki so po svoji naravi posebej občutljivi z vidika temeljnih pravic in svoboščin, saj bi lahko okoliščine njihove obdelave resno ogrozile temeljne pravice in svoboščine. Ti osebni podatki bi morali vključevati osebne podatke, ki razkrivajo rasno ali etnično poreklo, pri čemer uporaba pojma „rasno poreklo“ v tej uredbi ne pomeni, da Unija priznava teorije, ki poskušajo dokazati obstoj različnih človeških ras. Obdelava fotografij se ne bi smela sistematično šteti za obdelavo posebnih vrst osebnih podatkov, saj spadajo v opredelitev biometričnih podatkov le, kadar so obdelane s posebnimi tehničnimi sredstvi, ki omogočajo edinstveno identifikacijo ali avtentikacijo posameznika. Takšni osebni podatki se ne bi smeli obdelovati, razen če je obdelava dovoljena v posebnih primerih iz te uredbe, pri čemer je treba upoštevati, da se lahko v pravu držav članic opredelijo posebne določbe o varstvu podatkov, s katerimi se prilagodi uporaba pravil iz te uredbe zaradi izpolnjevanja pravne obveznosti ali zaradi izvajanja naloge v javnem interesu ali izvajanja javne oblasti, dodeljene upravljavcu. Poleg posebnih zahtev za takšno obdelavo bi morala veljati splošna načela in druga pravila iz te uredbe, zlasti glede pogojev zakonite obdelave. Izrecno bi morala biti določena odstopanja od splošne prepovedi obdelave takšnih posebnih vrst osebnih podatkov, med drugim kadar posameznik, na katerega se nanašajo osebni podatki, da izrecno privolitev, ali glede posebnih potreb, zlasti kadar se obdelava izvaja v okviru zakonitih dejavnosti nekaterih združenj ali ustanov, katerih namen je omogočiti uresničevanje temeljnih svoboščin.

(52)

Odstopanje od prepovedi obdelave posebnih vrst osebnih podatkov bi moralo biti dovoljeno tudi, kadar je določeno v pravu Unije ali pravu držav članic in so vzpostavljeni ustrezni zaščitni ukrepi, da se zaščitijo osebni podatki in druge temeljne pravice, kadar je to v javnem interesu, zlasti pri obdelavi osebnih podatkov na področju delovnega prava, prava socialnega varstva, vključno s pokojninami, ter v namene zdravstvene varnosti, spremljanja in opozarjanja, pri preprečevanju ali nadziranju nalezljivih bolezni in drugih resnih nevarnosti za zdravje. Tako odstopanje se lahko izvede v zdravstvene namene, vključno z javnim zdravjem in upravljanjem storitev zdravstvenega varstva, predvsem za zagotavljanje kakovosti in stroškovne učinkovitosti postopkov, ki se uporabljajo za reševanje zahtevkov za dajatve in storitve v sistemu zdravstvenega varstva, ali v namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene. Odstopanje bi prav tako moralo veljati za obdelavo takih osebnih podatkov, kadar je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov v sodnem postopku ali v upravnem ali izvensodnem postopku.

(53)

Posebne vrste osebnih podatkov, ki potrebujejo višjo zaščito, bi se lahko obdelovale v namene, povezane z zdravjem, le kadar je to potrebno za doseganje teh namenov v korist posameznikov in družbe kot celote, zlasti v okviru upravljanja storitev in sistemov zdravstvenega ali socialnega varstva, vključno z obdelavo takšnih podatkov s strani uprave in osrednjih nacionalnih zdravstvenih organov zaradi nadzora kakovosti, upravljanja informacij ter splošnega nacionalnega in lokalnega nadzora sistema zdravstvenega ali socialnega varstva, ter zagotavljanja neprekinjenosti zdravstvenega ali socialnega varstva in čezmejnega zdravstvenega varstva ali zaradi zdravstvene varnosti, spremljanja in opozarjanja ali v namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene na podlagi prava Unije ali prava držav članic, ki mora izpolnjevati cilj javnega interesa, pa tudi v okviru študij v javnem interesu, ki se izvajajo na področju javnega zdravja. Zato bi bilo treba v tej uredbi ob upoštevanju posebnih potreb določiti usklajene pogoje za obdelavo posebnih vrst osebnih podatkov v zvezi z zdravjem, zlasti kadar take podatke v določene namene v zvezi z zdravjem obdelujejo osebe, za katere velja pravna obveznost varovanja poklicne skrivnosti. V pravu Unije ali pravu držav članic bi bilo treba določiti posebne in ustrezne ukrepe za zaščito temeljnih pravic in osebnih podatkov posameznikov. Države članice bi morale imeti možnost, da ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genetskih podatkov, biometričnih podatkov ali podatkov o zdravstvenem stanju. To pa ne bi smelo ovirati prostega pretoka osebnih podatkov v Uniji, kadar ti pogoji veljajo za čezmejno obdelavo takih podatkov.

(54)

Obdelava posebnih vrst osebnih podatkov je lahko potrebna iz razlogov javnega interesa na področju javnega zdravja brez privolitve posameznika, na katerega se nanašajo osebni podatki. Za takšno obdelavo bi morali veljati ustrezni in posebni ukrepi za zaščito pravic in svoboščin posameznikov. V zvezi s tem bi bilo treba pojem „javno zdravje“ razlagati, kakor je opredeljen v Uredbi (ES) št. 1338/2008 Evropskega parlamenta in Sveta (11), kjer pomeni vse elemente, povezane z zdravjem, in sicer zdravstveno stanje, vključno z obolevnostjo in invalidnostjo, determinante, ki vplivajo na zdravstveno stanje, potrebe zdravstvenega varstva, vire, namenjene zdravstvenemu varstvu, zagotavljanje in splošni dostop do zdravstvenega varstva, pa tudi izdatke in financiranje zdravstvenega varstva ter vzroke smrtnosti. Zaradi take obdelave podatkov v zvezi z zdravjem iz razlogov javnega interesa tretje osebe, kot so delodajalci ali zavarovalnice in bančne družbe, ne bi smele obdelovati osebnih podatkov v druge namene.

(55)

Poleg tega se obdelava osebnih podatkov s strani državnih organov za namen doseganja ciljev uradno priznanih verskih skupnosti, ki so določeni z ustavnim pravom ali mednarodnim javnim pravom, izvaja zaradi javnega interesa.

(56)

Kadar med volilnimi dejavnostmi delovanje demokratičnega sistema v državi članici zahteva, da politične stranke zberejo osebne podatke o političnih mnenjih ljudi, se lahko obdelava takih podatkov dovoli iz razlogov javnega interesa, če so vzpostavljeni ustrezni zaščitni ukrepi.

(57)

Če osebni podatki, ki jih obdeluje upravljavec, slednjemu ne omogočajo identifikacije posameznika, upravljavec podatkov ne bi smel biti zavezan pridobiti dodatnih informacij, da bi ugotovil identiteto posameznika, na katerega se nanašajo osebni podatki, samo zaradi skladnosti s katero koli določbo te uredbe. Vendar pa upravljavec ne bi smel zavrniti dodatnih informacij, ki jih posameznik, na katerega se nanašajo osebni podatki, predloži z namenom uresničevanja svojih pravic. Identifikacija bi morala vključevati digitalno identifikacijo posameznika, na katerega se nanašajo osebni podatki, denimo, z mehanizmom avtentikacije, na primer da posameznik, na katerega se nanašajo osebni podatki, uporablja isto poverilnico za prijavo na spletne storitve, ki jo ponuja upravljavec podatkov.

(58)

Načelo preglednosti zahteva, da so vse informacije, ki se nanašajo na javnost ali posameznika, na katerega se nanašajo osebni podatki, jedrnate, lahko dostopne in lahko razumljive ter izražene v jasnem in preprostem jeziku, kjer je ustrezno pa tudi vizualno prikazane. Take informacije bi se lahko predložile v elektronski obliki, na primer na spletni strani, kadar so namenjene javnosti. To je še zlasti pomembno v primerih, kadar posameznik, na katerega se nanašajo osebni podatki, zaradi velikega števila akterjev in tehnološke kompleksnosti težko ve in razume, ali se zbirajo osebni podatki, povezani z njim, kdo jih zbira in v kakšen namen, kot je to v primeru spletnega oglaševanja. Glede na to, da otroci potrebujejo posebno varstvo, bi morale biti vse informacije in vsa komunikacija, pri katerih se obdelava nanaša na otroka, v tako jasnem in preprostem jeziku, da ga lahko otrok zlahka razume.

(59)

Zagotoviti bi bilo treba načine za lažje uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz te uredbe, vključno z mehanizmi, s katerimi se zahtevajo in po potrebi brezplačno pridobijo zlasti dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ter uresničuje pravica do ugovora. Upravljavec bi zato moral omogočiti tudi elektronsko vlaganje zahtev, zlasti kadar se osebni podatki obdelujejo z elektronskimi sredstvi. Upravljavec bi moral biti zavezan, da na zahtevo posameznika, na katerega se nanašajo osebni podatki, odgovori brez nepotrebnega odlašanja in najpozneje v enem mesecu in da v primeru, ko ne namerava izpolniti take zahteve, to utemelji.

(60)

Načeli poštene in pregledne obdelave zahtevata, da je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti o obstoju dejanja obdelave in njegovih namenih. Upravljavec bi moral posamezniku, na katerega se nanašajo osebni podatki, zagotoviti vse dodatne informacije, potrebne za zagotavljanje poštene in pregledne obdelave ob upoštevanju specifičnih okoliščin in okvira obdelave osebnih podatkov. Poleg tega bi moral biti ta posameznik obveščen o obstoju oblikovanja profilov in njegovih posledicah. Kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki, bi ga bilo treba obvestiti tudi o tem, ali je dolžan predložiti osebne podatke, in o posledicah, kadar takih podatkov ne predloži. Te informacije se lahko navedejo skupaj z uporabo standardiziranih ikon, da se na jasno razviden, razumljiv in berljiv način zagotovi smiseln pregled načrtovane obdelave. Kadar so ikone navedene v elektronski obliki, bi morale biti strojno berljive.

(61)

Posameznike, na katere se nanašajo osebni podatki, bi bilo treba o obdelavi osebnih podatkov v zvezi z njimi obvestiti v trenutku zbiranja podatkov od posameznika, na katerega se nanašajo osebni podatki, ali, kadar se osebni podatki pridobijo iz drugega vira, v ustreznem roku odvisno od okoliščin primera. Kadar se lahko osebni podatki zakonito razkrijejo drugemu uporabniku, bi moral biti posameznik, na katerega se nanašajo osebni podatki, obveščen, ko se osebni podatki prvič razkrijejo uporabniku. Kadar namerava upravljavec obdelovati osebne podatke za namen, ki ni namen, za katerega so bili zbrani, bi moral upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov zagotoviti informacije o tem drugem namenu in druge potrebne informacije. Kadar temu posamezniku ni mogoče sporočiti izvora osebnih podatkov zaradi uporabe različnih virov, bi mu bilo treba zagotoviti splošne informacije.

(62)

Vendar pa uvedba obveznosti zagotavljanja informacij ni nujna, kadar ima posameznik, na katerega se nanašajo osebni podatki, informacije že na voljo ali kadar je shranjevanje ali razkritje osebnih podatkov izrecno določeno z zakonom ali kadar bi se zagotavljanje informacij posamezniku, na katerega se nanašajo osebni podatki, izkazalo za nemogoče ali bi vključevalo nesorazmeren napor. Primer, ko je zagotavljanje nemogoče ali bi vključevalo nesorazmeren napor, bi lahko zlasti bil, kadar se obdelava izvaja za namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene. V zvezi s tem bi se morali upoštevati število posameznikov, na katere se nanašajo osebni podatki, starost podatkov in vsi sprejeti ustrezni zaščitni ukrepi.

(63)

Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico dostopa do osebnih podatkov, ki so bili zbrani v zvezi z njim, in do enostavnega uresničevanja te pravice v razumnih časovnih presledkih, da bi se seznanil z obdelavo in preveril njeno zakonitost. To vključuje pravico posameznikov, na katere se nanašajo osebni podatki, da imajo dostop do podatkov v zvezi s svojim zdravjem, na primer podatkov v njihovi zdravstveni kartoteki, ki vključuje informacije, kot so diagnoze, izvidi preiskav, ocene lečečih zdravnikov in druga zdravljenja ali posegi. Zato bi moral vsak posameznik, na katerega se nanašajo osebni podatki, imeti pravico do seznanitve s sporočilom in njegove pridobitve, zlasti o namenih obdelave osebnih podatkov, po možnosti o obdobju, za katerega so osebni podatki obdelani, uporabnikih osebnih podatkov, o razlogih za morebitno avtomatsko obdelavo osebnih podatkov in, vsaj v primerih, kadar obdelava temelji na oblikovanju profilov, o posledicah take obdelave. Kadar je mogoče, bi upravljavec moral imeti možnost zagotoviti dostop na daljavo do varnega sistema, ki bi posamezniku, na katerega se nanašajo osebni podatki, omogočil neposreden dostop do njegovih osebnih podatkov. Ta pravica ne bi smela negativno vplivati na pravice ali svoboščine drugih, vključno s poslovnimi skrivnostmi ali intelektualno lastnino, ter predvsem na avtorske pravice, ki ščitijo programsko opremo. To pa ne bi smelo povzročiti, da se posamezniku, na katerega se nanašajo osebni podatki, zavrne dostop do vseh informacij. Kadar upravljavec obdeluje veliko količino informacij v zvezi s posameznikom, na katerega se nanašajo osebni podatki, bi moral upravljavec imeti možnost, da pred zagotovitvijo informacij od tega posameznika zahteva, naj podrobno opredeli, na katere informacije ali dejavnosti obdelave se zahteva nanaša.

(64)

Upravljavec bi moral uporabiti vse razumne ukrepe za preverjanje identitete posameznika, na katerega se nanašajo osebni podatki in ki zahteva dostop do podatkov, zlasti v okviru spletnih storitev in spletnih identifikatorjev. Upravljavec ne bi smel hraniti osebnih podatkov samo zato, da se lahko odzove na morebitne zahteve.

(65)

Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico do popravka osebnih podatkov v zvezi z njim in „pravico do pozabe“, kadar hramba takih podatkov krši to uredbo ali pravo Unije ali pravo države članice, ki velja za upravljavca. Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti zlasti pravico do tega, da se njegovi osebni podatki izbrišejo in se ne obdelujejo več, kadar osebni podatki niso več potrebni za namene, za katere so bili zbrani ali kako drugače obdelani, kadar posameznik, na katerega se nanašajo osebni podatki, prekliče svojo privolitev ali ugovarja obdelavi osebnih podatkov, ki se nanašajo nanj, ali kadar obdelava njegovih osebnih podatkov kako drugače ni v skladu s to uredbo. Ta pravica je zlasti pomembna, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo privolitev kot otrok in se ni v celoti zavedal tveganj, povezanih z obdelavo, ter želi pozneje take osebne podatke odstraniti, zlasti z interneta. Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti možnost, da to pravico uresničuje ne glede na dejstvo, da ni več otrok. Vendar bi morala biti nadaljnja hramba osebnih podatkov zakonita, če je to potrebno za uresničevanje pravice do svobode izražanja in obveščanja, izpolnjevanje pravnih obveznosti, izvajanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, iz razlogov javnega interesa na področju javnega zdravja, za namene arhiviranja v javnem interesu, znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

(66)

Za učinkovitejše uresničevanje pravice do pozabe v spletnem okolju bi bilo treba pravico do izbrisa razširiti tako, da bi zahtevali, da upravljavec, ki je osebne podatke objavil, sprejme razumne, tudi tehnične, ukrepe, da obvesti upravljavce, ki take osebne podatke obdelujejo, da je posameznik, na katerega se nanašajo osebni podatki, zahteval izbris vseh povezav do teh osebnih podatkov ali kopij teh osebnih podatkov. Pri tem bi moral upravljavec ob upoštevanju razpoložljive tehnologije in sredstev, ki jih ima na voljo, vključno s tehničnimi ukrepi, sprejeti razumne ukrepe, da bi upravljavce, ki obdelujejo osebne podatke, obvestil o zahtevi posameznika, na katerega se nanašajo osebni podatki.

(67)

Metode za omejitev obdelave osebnih podatkov bi lahko med drugim zajemale začasni prenos izbranih podatkov v drug sistem za obdelavo, preprečitev dostopnosti izbranih osebnih podatkov uporabnikom ali začasno odstranitev objavljenih podatkov s spletne strani. Pri avtomatiziranih zbirkah bi bilo treba omejitev obdelave načeloma zagotoviti s tehničnimi sredstvi na način, da se osebni podatki nadalje več ne obdelujejo in jih ni mogoče spremeniti. Dejstvo, da je obdelava osebnih podatkov omejena, bi moralo biti jasno navedeno v zbirki.

(68)

Da bi še dodatno okrepili nadzor nad lastnimi podatki, kadar se obdelava osebnih podatkov izvaja z avtomatskimi sredstvi, bi moral posameznik, na katerega se nanašajo osebni podatki, imeti tudi možnost, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani, strojno berljivi in interoperabilni obliki in jih posreduje drugemu upravljavcu. Upravljavce podatkov bi bilo treba spodbuditi k razvoju interoperabilnih oblik, ki omogočajo prenosljivost podatkov. Ta pravica bi morala veljati, kadar je posameznik, na katerega se nanašajo osebni podatki, te podatke zagotovil na podlagi svoje privolitve ali kadar je obdelava potrebna za izvajanje pogodbe. Ne bi pa smela veljati, kadar obdelava temelji na pravni osnovi, ki ni privolitev ali pogodba. Ta pravica se po svoji naravi ne bi smela uveljavljati zoper upravljavce, ki obdelujejo osebne podatke v okviru svojih nalog v javnem interesu. Zato ne bi smela veljati, kadar je obdelava osebnih podatkov nujna za izpolnjevanje pravne obveznosti, ki velja za upravljavca, ali izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu. Pravica posameznika, na katerega se nanašajo osebni podatki, do posredovanja ali prejemanja osebnih podatkov v zvezi z njim ne bi smela ustvariti obveznosti za upravljavca, da mora sprejeti ali vzdrževati sisteme za obdelavo, ki so tehnično združljivi. Kadar določeni niz osebnih podatkov zadeva več kot enega posameznika, na katerega se ti podatki nanašajo, pravica do prejemanja osebnih podatkov ne bi smela posegati v pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, v skladu s to uredbo. Poleg tega ta pravica ne bi smela posegati v pravico posameznika, na katerega se nanašajo osebni podatki, da zahteva izbris osebnih podatkov, in v omejitve te pravice, kakor je določeno v tej uredbi, zlasti pa ne bi smela pomeniti izbrisa osebnih podatkov, ki jih je posameznik, na katerega se ti nanašajo, zagotovil za izvajanje pogodbe, in sicer kolikor in dokler so osebni podatki potrebni za izvajanje te pogodbe. Kadar je to tehnično izvedljivo, bi posameznik, na katerega se nanašajo osebni podatki, moral imeti pravico doseči, da se osebni podatki prenesejo neposredno od enega upravljavca k drugemu.

(69)

Kadar se lahko osebni podatki zakonito obdelujejo, ker je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu, ali zaradi zakonitih interesov upravljavca ali tretje osebe, bi moral imeti vsak posameznik, na katerega se nanašajo osebni podatki, kljub temu pravico ugovarjati obdelavi katerih koli osebnih podatkov, povezanih z njegovim posebnim položajem. Upravljavec bi moral dokazati, da njegovi nujni zakoniti interesi prevladajo nad interesi ali temeljnimi pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki.

(70)

Kadar se osebni podatki obdelujejo za namene neposrednega trženja, bi moral imeti posameznik, na katerega se nanašajo osebni podatki, pravico, da taki obdelavi, bodisi prvotni ali nadaljnji, vključno z oblikovanjem profila, kolikor je povezano s takšnim neposrednim trženjem, kadar koli in brezplačno ugovarja. Posameznika, na katerega se nanašajo osebni podatki, bi bilo treba na to pravico izrecno opozoriti ter jo predstaviti jasno in ločeno od katerih koli drugih informacij.

(71)

Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da zanj ne bi veljala odločitev, ki lahko vključuje ukrep, o ocenjevanju osebnih vidikov v zvezi z njim, ki temelji zgolj na avtomatizirani obdelavi in ima pravne učinke v zvezi z njim ali podobno znatno vpliva nanj, kot so avtomatska zavrnitev spletne prošnje za posojilo ali prakse zaposlovanja prek spleta brez človekovega posredovanja. Taka obdelava vključuje „oblikovanje profilov“ v kakršni koli obliki avtomatizirane obdelave osebnih podatkov, na podlagi katerih se ocenjujejo osebni vidiki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa ali interesov, zanesljivosti ali vedenja, lokacije ali gibanja, kadar ustvarja pravne učinke v zvezi z njim ali nanj podobno znatno vpliva. Sprejemanje odločitev na podlagi take obdelave, vključno z oblikovanjem profilov, pa bi moralo biti dovoljeno, kadar ga izrecno dovoljuje pravo Unije ali pravo države članice, ki velja za upravljavca, tudi za namene spremljanja in preprečevanja zlorab in davčnih utaj v skladu s predpisi, standardi in priporočili institucij Unije ali nacionalnih nadzornih teles ter zagotavljanje varnosti in zanesljivosti storitve, ki jo zagotavlja upravljavec, ali kadar je to nujno za sklepanje ali izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, ali kadar je posameznik, na katerega se nanašajo osebni podatki, v to izrecno privolil. V vsakem primeru bi morali za tako obdelavo veljati ustrezni zaščitni ukrepi, ki bi morali vključevati konkretno seznanitev posameznika, na katerega se nanašajo osebni podatki, in pravico do osebnega posredovanja, pravico izraziti svoje stališče, pravico dobiti pojasnilo o odločitvi, ki je bila sprejeta po takem ocenjevanju, in pravico do izpodbijanja odločitve. Taki ukrepi ne bi smeli zadevati otroka.

Da bi upravljavec ob upoštevanju posebnih okoliščin in okvira, v katerih se osebni podatki obdelujejo, zagotovil pošteno in pregledno obdelavo osebnih podatkov za posameznika, na katerega se osebni podatki nanašajo, bi moral uporabiti ustrezne matematične ali statistične postopke za oblikovanje profilov, izvajati tehnične in organizacijske ukrepe, s katerimi bi na ustrezen način zagotovil zlasti, da se dejavniki, ki povzročijo netočnost osebnih podatkov, popravijo in tveganje napak čim bolj zmanjša, zavarovati osebne podatke tako, da se upoštevajo morebitne nevarnosti, povezane z interesi in pravicami posameznika, na katerega se nanašajo osebni podatki, ter da se preprečijo tudi diskriminatorne posledice za posameznike na podlagi rasnega ali etničnega porekla, političnega mnenja, vere ali prepričanja, članstva v sindikatu, genetskega ali zdravstvenega stanja, spolne usmerjenosti ali učinki, ki privedejo do ukrepov, ki imajo takšne posledice. Avtomatizirano sprejemanje odločitev in oblikovanje profilov na podlagi posebnih vrst osebnih podatkov bi bilo treba dovoliti le pod posebnimi pogoji.

(72)

Za samo oblikovanje profilov veljajo pravila iz te uredbe, ki urejajo obdelavo osebnih podatkov, na primer pravna podlaga za obdelavo ali načela varstva podatkov. Evropski odbor za varstvo podatkov, ustanovljen s to uredbo (v nadaljnjem besedilu: odbor), bi moral imeti možnost, da o tem izda smernice.

(73)

Omejitve glede posebnih načel in pravic do obveščenosti, dostopa in popravka ali izbrisa osebnih podatkov, pravice do prenosljivosti podatkov, pravice do ugovora, odločitev, ki temeljijo na oblikovanju profilov, sporočanja o kršitvi varstva osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki, in določenih s tem povezanih obveznosti upravljavcev se lahko uvedejo s pravom Unije ali pravom držav članic, če je to v demokratični družbi potrebno in sorazmerno zaradi zaščite javne varnosti, vključno z zaščito človeškega življenja, zlasti pri odzivu na naravne nesreče ali nesreče, ki jih povzroči človek, preprečevanja, preiskovanja in pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ali kršitev etike za zakonsko urejene poklice, drugih pomembnih ciljev v splošnem javnem interesu Unije ali države članice, zlasti pomembnega gospodarskega ali finančnega interesa, vodenja javnih registrov iz razlogov splošnega javnega interesa, nadaljnje obdelave arhiviranih osebnih podatkov, da se zagotovijo specifične informacije v zvezi s političnim obnašanjem v nekdanjih totalitarnih državnih režimih, ali varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih, vključno s socialnim varstvom, javnim zdravjem in humanitarnimi nameni. Te omejitve bi morale biti skladne z zahtevami iz Listine in Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin.

(74)

Uvesti bi bilo treba pristojnost in odgovornost upravljavca glede vsake obdelave osebnih podatkov, ki jo izvede upravljavec ali je izvedena v njegovem imenu. Upravljavec bi moral zlasti izvajati ustrezne in učinkovite ukrepe ter biti zmožen dokazati skladnost dejavnosti obdelave s to direktivo, vključno z učinkovitostjo ukrepov. Ti ukrepi bi morali upoštevati naravo, obseg, okoliščine in namene obdelave ter tveganje za pravice in svoboščine posameznikov.

(75)

Tveganje za pravice in svoboščine posameznika, ki se razlikuje po verjetnosti in resnosti, je lahko posledica obdelave osebnih podatkov, ki bi lahko povzročila fizično, premoženjsko in ali nepremoženjsko škodo, zlasti: kadar obdelava lahko privede do diskriminacije, kraje ali zlorabe identitete, finančne izgube, okrnitve ugleda, izgube zaupnosti osebnih podatkov, zaščitenih s poklicno molčečnostjo, neodobrene reverzije psevdonimizacije ali katere koli druge znatne gospodarske ali socialne škode; kadar bi bile posameznikom, na katere se nanašajo osebni podatki, lahko odvzete pravice in svoboščine ali bi jim bilo preprečeno izvajanje nadzora nad njihovimi osebnimi podatki; kadar se obdelujejo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politična mnenja, veroizpoved ali filozofsko prepričanje ali članstvo v sindikatu, ter obdelovanje genetskih podatkov ali podatkov v zvezi z zdravjem ali podatkov v zvezi s spolnim življenjem ali kazenskimi obsodbami in prekrški ali s tem povezanimi varnostnimi ukrepi, kadar se vrednotijo osebni vidiki, zlasti analiziranje ali predvidevanje vidikov, ki zadevajo uspešnost pri delu, ekonomski položaj, zdravje, osebni okus ali interese, zanesljivost ali vedenje, lokacijo ali gibanje, da bi se ustvarili ali uporabljali osebni profili, kadar se obdelujejo osebni podatki ranljivih posameznikov, zlasti otrok; ali kadar obdelava vključuje veliko število osebnih podatkov in zadeva veliko število posameznikov, na katere se nanašajo osebni podatki.

(76)

Verjetnost in resnost tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, bi bilo treba ugotavljati glede na vrsto, obseg, okoliščine in namene obdelave. Tveganje bi bilo treba oceniti na podlagi objektivne ocene, s katero se določi, ali dejanja obdelave podatkov pomenijo tveganje ali veliko tveganje.

(77)

Usmerjanje izvajanja ustreznih ukrepov in dokazovanja skladnosti s strani upravljavca ali obdelovalca, zlasti kar zadeva opredelitev tveganja, povezanega z obdelavo, njegovo oceno v smislu izvora, narave, verjetnosti in resnosti ter opredelitev najboljših praks za ublažitev tveganja, bi se lahko zagotovilo zlasti z odobrenimi kodeksi ravnanja, odobrenimi postopki potrjevanja, smernicami, ki bi jih zagotovil odbor, ali navodili pooblaščene osebe za varstvo podatkov. Odbor lahko izda tudi smernice za dejanja obdelave, za katere ni verjetno, da bi povzročila veliko tveganje za pravice in svoboščine posameznikov, in navede, kateri ukrepi bi v takih primerih morda zadostovali za obravnavanje takega tveganja.

(78)

Zaradi varstva pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov je treba sprejeti ustrezne tehnične in organizacijske ukrepe, da bi zagotovili izpolnitev zahtev iz te uredbe. Da bi upravljavec lahko dokazal skladnost s to direktivo, bi moral sprejeti notranjo ureditev in izvesti ukrepe, ki spoštujejo zlasti načeli vgrajenega in privzetega varstva podatkov. Ti ukrepi bi med drugim lahko vključevali minimizacijo obdelave osebnih podatkov, čimprejšnjo psevdonimizacijo osebnih podatkov, preglednost pri nalogah in obdelavi osebnih podatkov, omogočanje posameznikom, na katere se nanašajo osebni podatki, da spremljajo obdelavo podatkov, in omogočanje upravljavcu, da vzpostavi in izboljša varnostne ukrepe. Pri razvoju, oblikovanju, izboru in uporabi aplikacij, storitev in produktov, ki temeljijo na obdelavi osebnih podatkov ali ki pri opravljanju svoje funkcije obdelujejo osebne podatke, bi bilo treba proizvajalce produktov, storitev in aplikacij spodbujati, da pri razvoju in oblikovanju takih produktov, storitev in aplikacij upoštevajo pravico do varstva podatkov ter ob ustreznem upoštevanju najnovejšega tehnološkega razvoja, zagotovijo, da so upravljavci in obdelovalci zmožni izpolnjevati svoje obveznosti varstva podatkov. Načeli vgrajenega in privzetega varstva podatkov bi morali biti upoštevani tudi pri javnih razpisih.

(79)

Varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, pa tudi pristojnost in odgovornost upravljavcev in obdelovalcev, tudi v povezavi s spremljanjem in ukrepi nadzornih organov, zahtevajo jasno dodelitev odgovornosti na podlagi te uredbe, tudi kadar upravljavec namene in sredstva obdelave določi skupaj z drugimi upravljavci ali kadar je dejanje obdelave izvedeno v imenu upravljavca.

(80)

Kadar upravljavec ali obdelovalec, ki nima sedeža v Uniji, obdeluje osebne podatke posameznikov, na katere se nanašajo osebni podatki in ki so v Uniji, ter se dejavnosti obdelave upravljavca ali obdelovalca nanašajo na nudenje blaga ali storitev takim posameznikom v Uniji, ne glede na to, ali je potrebno plačilo posameznika, na katerega se nanašajo osebni podatki, ali na spremljanje njihovega vedenja, kolikor njihovo vedenje poteka v Uniji, bi moral upravljavec ali obdelovalec imenovati predstavnika, razen če je obdelava občasna, ne vključuje obsežne obdelave posebnih vrst osebnih podatkov ali obdelave osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški ter ob upoštevanju njene narave, okoliščin, obsega in namenov ni verjetno, da bi pomenila tveganje za pravice in svoboščine posameznikov, ali če je upravljavec ali obdelovalec javni organ ali telo. Predstavnik bi moral delovati v imenu upravljavca ali obdelovalca, nanj pa se lahko obrne kateri koli nadzorni organ. Predstavnik bi moral biti izrecno imenovan s pisnim pooblastilom upravljavca ali obdelovalca, da lahko deluje v njegovem imenu v zvezi z njegovimi obveznostmi v skladu s to uredbo. Imenovanje takega predstavnika ne vpliva na pristojnost ali odgovornost upravljavca ali obdelovalca v skladu s to uredbo. Tak predstavnik bi moral opravljati svoje naloge v skladu s pooblastilom, ki mu ga podeli upravljavec ali obdelovalec, vključno s sodelovanjem s pristojnimi nadzornimi organi v zvezi s katerim koli dejanjem, sprejetim za zagotavljanje skladnosti s to uredbo. Za imenovanega predstavnika bi morali v primeru neskladnosti upravljavca ali obdelovalca veljati izvršilni postopki.

(81)

Za zagotovitev skladnosti z zahtevami iz te uredbe v zvezi z obdelavo, ki jo opravi obdelovalec v imenu upravljavca, bi moral upravljavec dejavnosti obdelave zaupati samo tistim obdelovalcem, ki zagotavljajo zadostna jamstva, zlasti v smislu strokovnega znanja, zanesljivosti in virov za izvajanje tehničnih in organizacijskih ukrepov, ki bodo izpolnili zahteve iz te uredbe, vključno za varnost obdelave. Zavezanost obdelovalca k odobrenemu kodeksu ravnanja ali odobrenemu mehanizmu potrjevanja se lahko uporabi kot dokaz za izpolnjevanje obveznosti upravljavca. Obdelavo s strani obdelovalca bi morala urejati pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki bi določal obveznosti obdelovalca do upravljavca ter določal vsebino in trajanje obdelave, naravo in namene obdelave, vrsto osebnih podatkov in kategorije posameznikov, na katere se nanašajo osebni podatki, ob upoštevanju posebnih nalog in odgovornosti obdelovalca v okviru obdelave, ki jo izvaja, in tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. Upravljavec in obdelovalec se lahko odločita za uporabo individualne pogodbe ali standardnih pogodbenih določil, ki jih sprejme bodisi neposredno Komisija bodisi nadzorni organ v skladu z mehanizmom za skladnost, nato pa jih sprejme Komisija. Po zaključku obdelave v imenu upravljavca bi moral obdelovalec v skladu z odločitvijo upravljavca vrniti ali izbrisati osebne podatke, razen v primeru zahteve za shranitev osebnih podatkov v skladu s pravom Unije ali pravom države članice, ki velja za obdelovalca.

(82)

Za dokaz skladnosti s to uredbo bi moral upravljavec ali obdelovalec hraniti evidence o dejavnostih obdelave, za katere je odgovoren. Vsak upravljavec in obdelovalec bi moral biti zavezan k sodelovanju z nadzornimi organi in na zahtevo omogočiti dostop do teh evidenc, da bi bile tako lahko namenjene spremljanju dejanj obdelave.

(83)

Za ohranitev varnosti in preprečitev obdelave, ki bi pomenila kršitev te uredbe, bi moral upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja, na primer šifriranje. Ti ukrepi bi morali zagotavljati ustrezno raven varnosti, vključno z zaupnostjo, ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja glede na tveganja in naravo osebnih podatkov, ki jih je treba varovati. Pri oceni tveganja v zvezi z varstvom podatkov bi bilo treba pozornost posvetiti tveganjem, ki jih pomeni obdelava osebnih podatkov, kot so nenamerno ali nezakonito uničenje, izguba, sprememba, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani, kar lahko zlasti povzroči fizično, premoženjsko ali nepremoženjsko škodo.

(84)

Za povečanje skladnosti s to uredbo, kadar bodo dejanja obdelave verjetno povzročila veliko tveganje za pravice in svoboščine posameznikov, bi moral biti upravljavec odgovoren za izvedbo ocene učinka v zvezi z varstvom podatkov, da bi ocenili predvsem izvor, naravo, posebnost in resnost tega tveganja. Rezultat ocene bi bilo treba upoštevati pri določitvi ustreznih ukrepov, ki jih je treba sprejeti, da bi dokazali, da je obdelava osebnih podatkov v skladu s to uredbo. Kadar se na podlagi ocene učinka v zvezi z varstvom podatkov ugotovi, da dejanja obdelave predstavljajo veliko tveganje, ki ga upravljavec ne more ublažiti z ustreznimi ukrepi v smislu razpoložljive tehnologije in stroškov izvajanja, bi se bilo treba pred obdelavo posvetovati z nadzornim organom.

(85)

Kršitev varstva osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnim posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo, kot je izguba nadzora nad njihovimi osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja ali zloraba identitete, finančna izguba, neodobrena reverzija psevdonimizacije, okrnitev ugleda, izguba zaupnosti osebnih podatkov, zaščitenih s poklicno skrivnostjo, ali katera koli druga znatna gospodarska ali socialna škoda. V primeru kršitve varstva osebnih podatkov bi moral upravljavec zato o njej uradno obvestiti nadzorni organ brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, razen če lahko upravljavec v skladu z načelom odgovornosti dokaže, da ni verjetno, da bi kršitev varstva osebnih podatkov ogrožala pravice in svoboščine posameznikov. Kadar ni mogoče uradno obvestiti v 72 urah, bi bilo treba uradnemu obvestilu priložiti razloge za zamudo, informacije pa se lahko zagotovijo postopoma in brez nadaljnjega nepotrebnega odlašanja.

(86)

Upravljavec bi moral posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja obvestiti o kršitvi varstva osebnih podatkov, kadar je verjetno, da bi ta kršitev varstva osebnih podatkov lahko povzročila veliko tveganje za pravice in svoboščine posameznika, da bi se ta lahko ustrezno zavaroval. Sporočilo bi moralo vsebovati opis narave kršitve varstva osebnih podatkov in priporočila za zadevnega posameznika za ublažitev morebitnih škodljivih učinkov. Posamezniki, na katere se nanašajo osebni podatki, bi morali prejeti tako sporočilo, kakor hitro je to razumno mogoče in v tesnem sodelovanju z nadzornim organom ter ob upoštevanju smernic, ki jih je podal nadzorni organ ali drugi ustrezni organi, kot so organi za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj. Potreba po ublažitvi neposrednega tveganja nastanka škode bi na primer terjala takojšnjo sporočilo posameznikom, na katere se nanašajo osebni podatki, potreba po izvajanju ustreznih ukrepov zoper nadaljnje ali podobne kršitve varnosti osebnih podatkov pa bi lahko upravičila daljši rok za sporočilo.

(87)

Preveriti bi bilo treba, ali so bili izvedeni vsi ustrezni tehnološki zaščitni in organizacijski ukrepi, da bi takoj ugotovili, ali je prišlo do kršitve varstva osebnih podatkov, ter o tem nemudoma obvestili nadzorni organ in posameznika, na katerega se nanašajo osebni podatki. Dejstvo, ali je bilo obvestilo poslano nemudoma, bi bilo treba ugotoviti ob upoštevanju zlasti narave in teže kršitve varstva osebnih podatkov ter njenih posledic in škodljivih učinkov za posameznika, na katerega se nanašajo osebni podatki. Na podlagi takšnega obvestila lahko nadzorni organ ukrepa v skladu s svojimi nalogami in pristojnostmi, določenimi v tej uredbi.

(88)

Pri določanju podrobnih pravil o obliki zapisa in postopkih, ki se uporabljajo za obvestilo o kršitvi varstva osebnih podatkov, bi bilo treba ustrezno upoštevati okoliščine kršitve, vključno s tem, ali so bili osebni podatki zaščiteni z ustreznimi tehničnimi zaščitnimi ukrepi, ki učinkovito zmanjšujejo verjetnost zlorabe identitete ali drugih oblik zlorabe. Poleg tega bi bilo treba pri takih pravilih in postopkih upoštevati zakoniti interes organov kazenskega pregona, kadar bi zgodnje razkritje lahko po nepotrebnem oviralo preiskavo okoliščin kršitve varstva osebnih podatkov.

(89)

Direktiva 95/46/ES je določala splošno obveznost glede obveščanja nadzornih organov o obdelavi osebnih podatkov. Ta obveznost prinaša upravna in finančna bremena, ni pa v vseh primerih pripomogla k izboljšanju varstva osebnih podatkov. Zato bi bilo treba take nerazlikovalne splošne obveznosti obveščanja odpraviti ter nadomestiti z učinkovitimi postopki in mehanizmi, ki se namesto tega osredotočajo na tiste vrste dejanj obdelave, ki zaradi svoje narave, obsega, okoliščin in namenov verjetno povzročajo veliko tveganje za pravice in svoboščine posameznikov. Take vrste dejanj obdelave so lahko tiste, ki zlasti vključujejo uporabo novih tehnologij ali ki so nove in zanje upravljavec še ni izvedel ocene učinka v zvezi z varstvom podatkov ali postanejo potrebne zaradi časa, ki je pretekel od prvotne obdelave.

(90)

V takih primerih bi moral upravljavec pred obdelavo izvesti oceno učinka v zvezi z varstvom podatkov, da bi se ocenili posebna verjetnost in resnost velikega tveganja, pri čemer bi upoštevali naravo, obseg, okoliščine in namene obdelave ter izvor tveganja. Ta ocena učinka pa bi morala obsegati zlasti ukrepe, zaščitne ukrepe in mehanizme, ki so načrtovani za ublažitev tega tveganja, zagotavljanje varstva osebnih podatkov in dokazovanje skladnosti s to uredbo.

(91)

To bi moralo veljati zlasti za obsežna dejanja obdelave, ki so namenjena obdelavi precejšnje količine osebnih podatkov na regionalni, nacionalni ali nadnacionalni ravni in bi lahko vplivali na veliko število posameznikov, na katere se nanašajo osebni podatki, ter za katere je verjetno, da bodo povzročila veliko tveganje, na primer zaradi njihove občutljivosti, kadar se v skladu z doseženo stopnjo tehnološkega znanja uporablja nova tehnologija v velikem obsegu, ter tudi za druga dejanja obdelave, ki povzročajo veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zlasti kadar ta dejanja posameznikom, na katere se nanašajo osebni podatki, otežijo uresničevanje njihovih pravic. Oceno učinka v zvezi z varstvom podatkov bi bilo treba izvesti tudi, kadar se osebni podatki obdelujejo za sprejemanje odločitev v zvezi z določenimi posamezniki po kakršnem koli sistematičnem in obsežnem vrednotenju osebnih vidikov v zvezi s posamezniki na podlagi oblikovanja profilov teh podatkov ali po obdelavi posebnih vrst osebnih podatkov, biometričnih podatkov ali podatkov o kazenskih obsodbah in prekrških ali s tem povezanih varnostnih ukrepih. Ocena učinka v zvezi z varstvom podatkov se zahteva tudi za spremljanje javno dostopnih območij v velikem obsegu, zlasti z uporabo optično-elektronskih naprav, ali za katera koli druga dejanja, za katera pristojni nadzorni organ meni, da bo obdelava verjetno povzročila veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zlasti ker tem posameznikom preprečujejo uresničevanje pravice ali uporabo storitve ali pogodbe ali ker se sistematično izvajajo v velikem obsegu. Obdelava osebnih podatkov se ne bi smela šteti kot obdelava v velikem obsegu, če gre za obdelavo osebnih podatkov pacientov ali strank s strani posameznega zdravnika,drugega zdravstvenega delavca ali odvetnika. V takih primerih ocena učinka v zvezi z varstvom podatkov ne bi smela biti obvezna.

(92)

V nekaterih okoliščinah je razumno in gospodarno, da je predmet ocene učinka v zvezi z varstvom podatkov obširnejši in ne obsega samo enega projekta, na primer kadar nameravajo javni organi ali telesa vzpostaviti skupno platformo za uporabo ali obdelavo ali kadar namerava več upravljavcev uvesti skupno okolje za uporabo ali obdelavo v celotnem industrijskem sektorju ali njegovem delu ali za horizontalno dejavnost v široki rabi.

(93)

V okviru sprejetja prava držav članic, na katerem temelji opravljanje nalog javnega organa ali telesa in ki ureja zadevne posebna dejanja obdelave ali nize dejanj, lahko države članice menijo, da je treba tako oceno opraviti pred dejavnostmi obdelave.

(94)

Kadar ocena učinka v zvezi z varstvom podatkov pokaže, da bi zaradi neobstoječih zaščitnih ukrepov, varnostnih ukrepov in mehanizmov za ublažitev tveganja obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov, in upravljavec meni, da tveganja ni mogoče ublažiti z razumnimi sredstvi v smislu razpoložljivih tehnologij in stroškov izvajanja, bi moralo biti pred začetkom dejavnosti obdelave opravljeno posvetovanje z nadzornim organom. Za tako veliko tveganje je verjetno, da izhaja iz določenih vrst obdelave ter določenega obsega in pogostosti obdelave, kar lahko povzroči tudi škodo za pravice in svoboščine posameznika ali poseg vanje. Nadzorni organ bi se moral na zahtevo po posvetovanju odzvati v določenem obdobju. Vendar odsotnost odziva nadzornega organa v tem obdobju ne bi smela posegati v kakršno koli posredovanje tega organa v skladu z njegovimi nalogami in pooblastili iz te uredbe, vključno s pooblastilom za prepoved dejanj obdelave. Rezultat ocene učinka v zvezi z varstvom podatkov, ki se izvede v zvezi z zadevno obdelavo, se lahko kot del tega postopka posvetovanja predloži nadzornemu organu, zlasti ukrepi, ki so predvideni za ublažitev tveganja za pravice in svoboščine posameznikov.

(95)

Obdelovalec bi moral upravljavcu po potrebi in na zahtevo pomagati pri izpolnjevanju obveznosti, ki izhajajo iz izvedbe ocene učinka v zvezi z varstvom podatkov in predhodnega posvetovanja z nadzornim organom.

(96)

Prav tako bi bilo treba opraviti posvetovanje z nadzornim organom pri oblikovanju zakonodajnega ali regulativnega ukrepa o obdelavi osebnih podatkov, da bi zagotovili skladnost načrtovane obdelave s to uredbo in zlasti ublažili tveganje za posameznika, na katerega se nanašajo osebni podatki.

(97)

Kadar obdelavo izvaja javni organ, razen sodišč ali neodvisnih pravosodnih organov, kadar delujejo kot sodni organi, ali kadar v zasebnem sektorju obdelavo izvaja upravljavec, katerega temeljne dejavnosti obsegajo dejanja obdelave, ki zahtevajo obsežno redno in sistematično spremljanje posameznikov, na katere se nanašajo osebni podatki, ali kadar temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst osebnih podatkov in podatkov v zvezi s kazenskimi obsodbami in prekrški, bi morala upravljavcu ali obdelovalcu pri spremljanju notranje skladnosti s to uredbo pomagati oseba s strokovnim znanjem s področja prava o varstvu podatkov in poznavanjem zadevnih praks. V zasebnem sektorju se temeljne dejavnosti upravljavca nanašajo na njegove osnovne dejavnosti in ne na obdelavo osebnih podatkov kot postranske dejavnosti. Določiti bi bilo treba stopnjo potrebnega strokovnega znanja, zlasti glede na izvedena dejanja obdelave podatkov in varstvo, ki je potrebno pri osebnih podatkih, obdelanih s strani upravljavca ali obdelovalca. Taka pooblaščena oseba za varstvo podatkov bi morala svoje dolžnosti in naloge izvajati neodvisno, ne glede na to, ali je pri upravljavcu zaposlena ali ne.

(98)

Združenja ali druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, bi bilo treba spodbujati, da v okviru omejitev iz te uredbe in ob upoštevanju posebnih značilnosti obdelave, ki se izvaja na nekaterih področjih, ter posebnih potreb mikro, malih in srednjih podjetij, pripravijo kodekse ravnanja za pospeševanje učinkovite uporabe te uredbe. S takimi kodeksi ravnanja bi lahko določili obveznosti upravljavcev in obdelovalcev ob upoštevanju tveganja za pravice in svoboščine posameznikov, ki bo verjetno izhajalo iz obdelave.

(99)

Pri oblikovanju kodeksov ravnanja ali pri njihovem spreminjanju ali razširjanju bi se morala združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, posvetovati z zadevnimi deležniki, po možnosti tudi s posamezniki, na katere se nanašajo osebni podatki, ter upoštevati prejete prispevke in izražena stališča v odziv na taka posvetovanja.

(100)

Za povečanje preglednosti in skladnosti s to uredbo bi bilo treba spodbujati uvedbo mehanizmov potrjevanja ter pečatov in označb za varstvo podatkov, ki bi posameznikom, na katere se nanašajo osebni podatki, omogočili, da hitro ocenijo raven varstva podatkov zadevnih proizvodov in storitev.

(101)

Prenosi osebnih podatkov v države zunaj Unije in mednarodne organizacije ter iz njih so potrebni za razvoj mednarodne trgovine in mednarodnega sodelovanja. Povečanje takih prenosov je prineslo nove izzive in skrbi glede varstva osebnih podatkov. Vendar kadar se osebni podatki prenašajo iz Unije upravljavcem, obdelovalcem ali drugim uporabnikom v tretjih državah ali mednarodnim organizacijam, raven varstva posameznikov, ki jo v Uniji zagotavlja ta uredba, ne bi smela biti ogrožena, vključno v primeru nadaljnjih prenosov osebnih podatkov iz tretje države ali mednarodne organizacije upravljavcem, obdelovalcem v isti ali drugi tretji državi ali mednarodni organizaciji. V vsakem primeru se lahko prenosi v tretje države in mednarodne organizacije izvajajo samo v popolni skladnosti s to uredbo. Prenos bi se lahko izvedel le, če upravljavec ali obdelovalec v skladu z drugimi določbami te uredbe izpolnjuje pogoje iz določb te uredbe v zvezi s prenosom podatkov v tretje države ali mednarodne organizacije.

(102)

Ta uredba ne posega v mednarodne sporazume, ki so sklenjeni med Unijo in tretjimi državami ter urejajo prenos osebnih podatkov, vključno z ustreznimi zaščitnimi ukrepi za posameznike, na katere se nanašajo osebni podatki. Države članice lahko sklepajo mednarodne sporazume, ki vključujejo prenos osebnih podatkov v tretje države ali mednarodne organizacije, če taki sporazumi ne vplivajo na to uredbo ali katere koli druge določbe prava Unije in vključujejo ustrezno raven varstva temeljnih pravic posameznikov, na katere se nanašajo osebni podatki.

(103)

Komisija lahko sklene – z učinkom za celotno Unijo –, da tretja država. ozemlje ali določeni sektor v tretji državi ali mednarodna organizacija nudi ustrezno raven varstva podatkov, s čimer zagotavlja pravno varnost in enotnost po vsej Uniji v zvezi s tretjo državo ali mednarodno organizacijo, za katero velja, da zagotavlja takšno raven varstva. V takih primerih se lahko prenosi osebnih podatkov v to tretjo državo ali mednarodno organizacijo opravijo brez potrebe po pridobitvi dodatnega dovoljenja. Komisija lahko, potem ko tretjo državo ali mednarodno organizacijo obvesti in ji predloži celotno izjavo z navedbo razlogov, takšno odločitev tudi prekliče

(104)

Komisija bi morala v skladu s temeljnimi vrednotami, na katerih temelji Unija, zlasti z varstvom človekovih pravic, v svoji oceni tretje države ali ozemlja ali določenega sektorja v tretji državi upoštevati, v kolikšni meri posamezna tretja država spoštuje načelo pravne države, dostop do pravnega varstva, pa tudi mednarodna pravila in standarde na področju človekovih pravic ter svojo splošno in področno zakonodajo, med drugim zakonodajo na področju javne varnosti, obrambe, nacionalne varnosti ter javnega reda in kazenskega prava. Pri sprejetju sklepa o ustreznosti glede ozemlja ali določenega sektorja v tretji državi bi bilo treba upoštevati jasna in objektivna merila, kot so posebne dejavnosti obdelave ter področje uporabe veljavnih pravnih standardov in veljavne zakonodaje v tretji državi. Tretja država bi morala nuditi jamstva, ki zagotavljajo ustrezno raven varstva, ki je v osnovi enakovredna tisti, zagotovljeni v Uniji, zlasti kadar se osebni podatki obdelujejo v enem ali več določenih sektorjih. Zlasti bi morala zagotavljati učinkovit neodvisen nadzor varstva podatkov ter mehanizme sodelovanja z organi za varstvo podatkov držav članic, posamezniki, na katere se nanašajo osebni podatki, pa bi morali imeti učinkovite in izvršljive pravice ter dostop do učinkovitega upravnega in sodnega varstva.

(105)

Poleg mednarodnih zavez, ki jih sprejme tretja država ali mednarodna organizacija, bi morala Komisija upoštevati tudi obveznosti, ki izhajajo iz sodelovanja tretje države ali mednarodne organizacije v večstranskih ali regionalnih sistemih, zlasti v povezavi z varstvom osebnih podatkov, ter izvajanje takih obveznosti. Upoštevati bi bilo treba zlasti pristop tretje države h Konvenciji Sveta Evrope z dne 28. januarja 1981 o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov in Dodatnemu protokolu h Konvenciji. Pri oceni ravni varstva v tretjih državah ali mednarodnih organizacijah bi se Komisija morala posvetovati z odborom.

(106)

Komisija bi morala spremljati delovanje sklepov o ravni varstva v tretji državi, na ozemlju ali v določenem sektorju v tretji državi ali mednarodni organizaciji, in spremljati delovanje odločitev, sprejetih na podlagi člena 25(6) ali člena 26(4) Direktive 95/46/ES. V svojih sklepih o ustreznosti bi morala Komisija zagotoviti mehanizem za redno pregledovanje njihovega delovanja. Te redne preglede bi bilo treba izvajati v posvetovanju z zadevno tretjo državo ali mednarodno organizacijo ter hkrati upoštevati vsa ustrezna dogajanja v tretji državi ali mednarodni organizaciji. Komisija bi morala za namene spremljanja in izvajanja rednih pregledov upoštevati stališča in ugotovitve Evropskega parlamenta in Sveta ter drugih ustreznih organov in virov. Komisija bi morala v razumnem roku oceniti delovanje navedenih sklepov in o zadevnih ugotovitvah poročati odboru v smislu Uredbe (EU) št. 182/2001 Evropskega parlamenta in Sveta (12), kakor je ustanovljen s to uredbo, Evropskemu parlamentu in Svetu.

(107)

Komisija lahko ugotovi, da tretja država, ozemlje ali določen sektor v tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva podatkov. Posledično bi se moral prenos osebnih podatkov v to tretjo državo ali mednarodno organizacijo prepovedati, razen če so izpolnjene zahteve iz te uredbe v zvezi s prenosi ob upoštevanju ustreznih zaščitnih ukrepov, vključno z zavezujočimi poslovnimi pravili in odstopanji za posebne primere. V takem primeru bi moralo biti predvideno posvetovanje med Komisijo in takimi tretjimi državami ali mednarodnimi organizacijami. Komisija bi morala tretjo državo ali mednarodno organizacijo pravočasno obvestiti o zadevnih razlogih in z njo začeti posvetovanja za izboljšanje stanja.

(108)

Če sklep o ustreznosti ni sprejet, bi moral upravljavec ali obdelovalec sprejeti ukrepe, na podlagi katerih pomanjkanje varstva podatkov v tretji državi nadomestijo z ustreznimi zaščitnimi ukrepi za posameznika, na katerega se nanašajo osebni podatki. Taki ustrezni zaščitni ukrepi so lahko sestavljeni iz uporabe zavezujočih poslovnih pravil, standardnih določil Komisije o varstvu podatkov, standardnih določil nadzornega organa o varstvu podatkov ali pogodbenih določil, ki jih je odobril nadzorni organ. S temi zaščitnimi ukrepi bi bilo treba zagotoviti skladnost z zahtevami glede varstva podatkov in pravicami posameznikov, na katere se nanašajo osebni podatki, ki ustrezajo obdelavi znotraj Unije, vključno z razpoložljivostjo izvršljivih pravic posameznikov, na katere se nanašajo osebni podatki, in učinkovitih pravnih sredstev, tudi pravico do učinkovitega upravnega ali sodnega varstva ali odškodnine, v Uniji ali tretji državi. Nanašati bi se morali zlasti na skladnost s splošnimi načeli v zvezi z obdelavo osebnih podatkov ter načeli vgrajenega in prevzetega varstva podatkov. Prenose z javnimi organi ali telesi v tretjih državah oziroma z mednarodnimi organizacijami z ustreznimi nalogami ali funkcijami lahko opravijo tudi javni organi ali telesa, tudi na podlagi določb, ki se vključijo v upravne dogovore, kot je memorandum o soglasju, s katerimi se zagotavljajo izvršljive in učinkovite pravice posameznikov, na katere se nanašajo osebni podatki. Kadar so zaščitni ukrepi določeni v upravnih dogovorih, ki niso pravno zavezujoči, bi bilo treba pridobiti dovoljenje pristojnega nadzornega organa.

(109)

Možnost, ki jo ima upravljavec ali obdelovalec glede uporabe standardnih določil Komisije ali nadzornega organa o varstvu podatkov, upravljavcem ali obdelovalcem ne bi smela preprečiti niti, da standardna določila o varstvu podatkov vključijo v obsežnejšo pogodbo, kot je pogodba med obdelovalcem in drugim obdelovalcem, niti da dodajo druga določila ali dodatne zaščitne ukrepe, če ti neposredno ali posredno ne nasprotujejo standardnim pogodbenim določilom Komisije ali nadzornega organa ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki. Upravljavce in obdelovalce bi bilo treba spodbujati, da vzpostavijo dodatne zaščitne ukrepe s pomočjo pogodbenih obveznosti, ki bi dopolnjevale standardna zaščitna določila.

(110)

Povezana družba ali skupina podjetij, ki opravljajo skupno gospodarsko dejavnost, bi morala imeti možnost, da za svoje mednarodne prenose iz Unije v organizacije znotraj iste povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, uporabijo odobrena zavezujoča poslovna pravila, če ta poslovna pravila zajemajo vsa bistvena načela in izvršljive pravice za zagotavljanje ustreznih zaščitnih ukrepov za prenose ali niz prenosov osebnih podatkov.

(111)

Predvidena bi morala biti možnost prenosov v določenih okoliščinah, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo izrecno privolitev, kadar je prenos občasen in potreben zaradi pogodbe ali pravnega zahtevka, ne glede na to, ali gre za sodni postopek ali upravni ali kateri koli izvensodni postopek, vključno s postopki pred regulativnimi organi. Možnost prenosov bi morala biti predvidena tudi, kadar to zahtevajo pomembni razlogi v javnem interesu, določeni s pravom Unije ali pravom držav članic, ali kadar je prenos izveden iz registra, vzpostavljenega z zakonom in namenjenega vpogledu javnosti ali oseb z zakonitim interesom. V slednjem primeru tak prenos ne bi smel vključevati celotnih osebnih podatkov ali celotnih vrst podatkov, ki jih vsebuje register, in kadar je register namenjen vpogledu oseb, ki imajo zakoniti interes, bi bilo treba prenos opraviti samo na zahtevo teh oseb ali če bodo te osebe uporabniki, pri čemer je treba v celoti upoštevati interese in temeljne pravice posameznikov, na katere se nanašajo osebni podatki.

(112)

Ta odstopanja bi se morala uporabljati zlasti za prenose podatkov, ki so zahtevani in potrebni zaradi pomembnih razlogov javnega interesa, kot v primeru mednarodne izmenjave podatkov med organi za varstvo konkurence, davčnimi ali carinskimi upravami, med finančnimi nadzornimi organi, med službami, pristojnimi za zadeve na področju socialne varnosti ali javnega zdravstva, denimo v primeru sledenja stikov za nalezljive bolezni ali zaradi zmanjšanja in/ali odprave uporabe nedovoljenih poživil v športu. Prenos osebnih podatkov bi moral prav tako veljati za zakonitega, kadar je treba zaščititi ključni interes posameznika, na katerega se nanašajo osebni podatki, ali interese življenjskega pomena za druge osebe, vključno s telesno nedotakljivostjo ali življenjem, če posameznik, na katerega se nanašajo osebni podatki, ni sposoben dati privolitve. Če sklepa o ustreznosti ni, se lahko v pravu Unije ali pravu držav članic zaradi pomembnih razlogov javnega interesa izrecno določijo omejitve prenosa posebnih kategorij podatkov v tretjo državo ali mednarodno organizacijo. Države članice bi morale o takšnih določbah uradno obvestiti Komisijo. Vsak prenos osebnih podatkov posameznika, na katerega se nanašajo osebni podatki in ki fizično ali pravno ni sposoben dati privolitve, mednarodni humanitarni organizaciji, ki se opravi z namenom izvajanja naloge v skladu z Ženevskimi konvencijami ali za skladnost z mednarodnim humanitarnim pravom, ki se uporablja za oborožene spore, bi se lahko štel za potrebnega, če je v pomembnem javnem interesu ali življenjskega interesa za posameznika, na katerega se nanašajo osebni podatki.

(113)

Prenosi, ki jih je mogoče obravnavati kot neponavljajoče in se nanašajo le na omejeno število posameznikov, na katere se nanašajo osebni podatki, bi lahko bili mogoči tudi zaradi nujnih zakonitih interesov upravljavca, kadar nad takimi interesi ne prevladajo interesi ali pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, in če je upravljavec ocenil vse okoliščine, povezane s prenosom podatkov. Upravljavec bi moral posebno pozornost nameniti naravi osebnih podatkov, namenu in trajanju predlaganega dejanja ali dejanj obdelave ter razmeram v državi izvora, tretji državi in končni namembni državi in določiti ustrezno zaščito za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi njihovih osebnih podatkov. Taki prenosi naj bi bili mogoči le v preostalih primerih, kadar ni mogoče uporabiti nobenih drugih podlag za prenos. Pri obdelavi v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene bi bilo treba upoštevati legitimna pričakovanja družbe po obsežnejšem znanju. Upravljavec bi moral o prenosu obvestiti nadzorni organ in posameznika, na katerega se nanašajo osebni podatki.

(114)

V vsakem primeru bi moral upravljavec ali obdelovalec, če Komisija ni sprejela sklepa o ustrezni ravni varstva podatkov v tretji državi, uporabiti rešitve, ki posameznikom, na katere se nanašajo osebni podatki, zagotavljajo izvršljive in učinkovite pravice glede obdelave njihovih podatkov v Uniji po prenosu teh podatkov, tako da lahko še vedno uresničujejo temeljne pravice in zaščitne ukrepe.

(115)

Nekatere tretje države sprejemajo zakone, predpise in druge pravne akte, ki neposredno urejajo dejavnosti obdelave fizičnih in pravnih oseb v pristojnosti držav članic. To lahko vključuje sodbe sodišč ali odločbe upravnih organov tretjih držav, ki od upravljavca ali obdelovalca zahtevajo prenos ali razkritje osebnih podatkov, in ki ne temeljijo na mednarodnem sporazumu, kot je pogodba o medsebojni pravni pomoči, sklenjenem med tretjo državo prosilko in Unijo ali državo članico. Zunajozemeljska uporaba teh zakonov, predpisov in drugih pravnih aktov lahko krši mednarodno pravo in ovira doseganje varstva posameznikov, ki ga v Uniji zagotavlja ta uredba. Prenosi bi smeli biti dovoljeni samo, kadar so izpolnjeni pogoji iz te uredbe za prenos v tretje države. To je lahko med drugim v primeru, kadar je razkritje potrebno zaradi pomembnega javnega interesa, priznanega s pravom Unije ali pravom države članice, ki velja za upravljavca.

(116)

Pri čezmejnem prenosu osebnih podatkov zunaj Unije se lahko poveča tveganje v zvezi z zmožnostjo posameznikov za uresničevanje pravic do varstva podatkov, zlasti da se zaščitijo pred nezakonito uporabo ali razkritjem navedenih podatkov. Hkrati lahko nadzorni organi ugotovijo, da ne morejo obravnavati pritožb ali izvesti preiskav v zvezi z dejavnostmi zunaj svojih meja. Njihova prizadevanja za čezmejno sodelovanje lahko ovirajo tudi nezadostna pooblastila za preprečevanje kršitev ali njihovo odpravo, neskladne pravne ureditve in praktične ovire, na primer omejitev virov. Zato je treba spodbujati tesnejše sodelovanje med nadzornimi organi za varstvo podatkov, da bi jim pomagali izmenjavati informacije in izvajati preiskave s tujimi nadzornimi organi za varstvo podatkov. Komisija in nadzorni organi bi morali za namene oblikovanja mednarodnih mehanizmov za sodelovanje, s katerimi bi olajšali in zagotavljali mednarodno medsebojno pomoč za izvrševanje zakonodaje za zaščito osebnih podatkov, izmenjevati informacije in sodelovati pri dejavnostih, povezanih z izvajanjem svojih pooblastil, s pristojnimi organi v tretjih državah, in sicer na podlagi vzajemnosti in v skladu s to uredbo.

(117)

Ustanovitev nadzornih organov v državah članicah, ki so pooblaščeni, da svoje naloge in pooblastila izvajajo popolnoma neodvisno, je bistven del varstva posameznikov pri obdelavi njihovih osebnih podatkov. Zaradi umestitve v njihovo ustavno, organizacijsko in upravno strukturo bi države članice morale imeti možnost ustanoviti več kot en nadzorni organ..

(118)

Neodvisnost nadzornih organov ne bi smela pomeniti, da ti organi ne morejo biti predmet nadzornih ali spremljevalnih mehanizmov v zvezi z njihovimi finančnimi odhodki ali sodnimi presojami.

(119)

Kadar država članica ustanovi več nadzornih organov, bi morala z zakonom vzpostaviti mehanizme za zagotavljanje učinkovite udeležbe teh nadzornih organov v mehanizmu za skladnost. Za zagotovitev hitrega in neoviranega sodelovanja z drugimi nadzornimi organi, odborom in Komisijo bi morala ta država članica imenovati zlasti nadzorni organ, ki deluje kot enotna kontaktna točka za učinkovito udeležbo teh organov v mehanizmu.

(120)

Vsak nadzorni organ bi moral imeti finančne in človeške vire, prostore in infrastrukturo, ki jih potrebuje za učinkovito opravljanje svojih nalog, tudi tistih, ki se nanašajo na medsebojno pomoč in sodelovanje z drugimi nadzornimi organi v Uniji. Vsak nadzorni organ bi moral imeti ločen, javni letni proračun, ki je lahko del splošnega državnega ali nacionalnega proračuna.

(121)

Vsaka država članica bi morala z zakonom predpisati splošne pogoje za člana ali člane nadzornega organa, ki bi morali zlasti zagotoviti, da te člane v preglednem postopku imenuje bodisi parlament, vlada ali voditelj države članice na podlagi predloga vlade, člana vlade, parlamenta ali njegovega dela ali pa neodvisno telo, pooblaščeno v skladu s pravom države članice. Da bi zagotovili neodvisnost nadzornega organa, bi morali član ali člani delovati neoporečno, se vzdržati vsakega delovanja, ki ni združljivo z njihovimi nalogami, in se v času svojega mandata ne bi smeli ukvarjati z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim. Nadzorni organ bi moral imeti svoje osebje, ki ga izbere nadzorni organ ali neodvisno telo, ustanovljeno s pravom države članice, in ki bi ga morali usmerjati izključno član oziroma člani nadzornega organa.

(122)

Vsak nadzorni organ bi moral biti na ozemlju svoje države članice pristojen za izvajanje pooblastil in opravljanje nalog, ki so mu bile podeljene v skladu s to uredbo. To bi moralo zajemati predvsem obdelavo v okviru dejavnosti sedeža upravljavca ali obdelovalca na ozemlju njegove države članice, obdelavo osebnih podatkov, ki jo izvajajo javni organi ali zasebna telesa, ki delujejo v javnem interesu, obdelavo, ki zadeva posameznike, na katere se nanašajo osebni podatki, na njegovem ozemlju, ali obdelavo, ki jo izvaja upravljavec ali obdelovalec, ki nima sedeža v Uniji, če obdelava zadeva posameznike, na katere se nanašajo osebni podatki in ki prebivajo na njegovem ozemlju. To bi moralo vključevati obravnavo pritožb, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, izvajanje preiskav o uporabi te uredbe ter spodbujanje ozaveščenosti javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo osebnih podatkov.

(123)

Nadzorni organi bi morali spremljati uporabo določb v skladu s to uredbo in prispevati k njeni dosledni uporabi v vsej Uniji, da bi varovali posameznike pri obdelavi njihovih osebnih podatkov in olajšali prost pretok osebnih podatkov na notranjem trgu. V ta namen bi morali nadzorni organi sodelovati med seboj in s Komisijo, ne da bi morale države članice med seboj zato skleniti sporazum o zagotavljanju medsebojne pomoči ali o takem sodelovanju.

(124)

Kadar obdelava osebnih podatkov poteka v okviru dejavnosti sedeža upravljavca ali obdelovalca v Uniji in ima upravljavec ali obdelovalec sedež v več kot eni državi članici ali kadar obdelava, ki poteka v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca v Uniji, znatno vpliva oziroma bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici, bi moral nadzorni organ za glavni sedež upravljavca ali obdelovalca ali za edini sedež upravljavca ali obdelovalca delovati kot vodilni organ. Sodelovati bi moral z drugimi zadevnimi organi, ker ima upravljavec ali obdelovalec sedež na ozemlju njihove države članice, ker obdelava znatno vpliva na posameznike, na katere se nanašajo osebni podatki in ki prebivajo na njihovem ozemlju, ali ker je bila pri njih vložena pritožba. Četudi je pritožbo vložil posameznik, na katerega se nanašajo osebni podatki in ki ne prebiva v zadevni državi članici, bi moral biti nadzorni organ, pri katerem je bila vložena pritožba, tudi zadevni nadzorni organ. Odbor bi moral imeti možnost, da v okviru svojih nalog izdajanja smernic za vsako vprašanje v zvezi z uporabo te uredbe izda smernice zlasti glede meril, ki jih je treba upoštevati, da se ugotovi, ali zadevna obdelava znatno vpliva na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici, in glede tega, kaj so ustrezni in utemeljeni razlogi za ugovor.

(125)

Vodilni organ bi moral biti pristojen za sprejemanje zavezujočih odločitev v zvezi z ukrepi, na podlagi katerih se uporabljajo pooblastila, ki so mu bila dodeljena v skladu s to uredbo. Nadzorni organ bi moral v vlogi vodilnega organa v postopek odločanja tesno pritegniti zadevne nadzorne organe in usklajevati njihove dejavnosti. Kadar odločitev zadeva popolno ali delno zavrnitev pritožbe posameznika, na katerega se nanašajo osebni podatki, bi moral to odločitev sprejeti nadzorni organ, pri katerem je bila vložena pritožba.

(126)

O odločitvi bi se morali skupaj dogovoriti vodilni nadzorni organ in zadevni nadzorni organi, naslovljena pa bi morala biti na glavni ali edini sedež upravljavca ali obdelovalca in biti za upravljavca in obdelovalca zavezujoča. Upravljavec ali obdelovalec bi moral sprejeti ukrepe, potrebne za zagotovitev spoštovanja te uredbe in izvrševanje odločitve, ki jo vodilni nadzorni organ uradno sporoči glavnemu sedežu upravljavca ali obdelovalca, kar zadeva dejavnosti obdelave v Uniji.

(127)

Vsak nadzorni organ, ki ne deluje kot vodilni nadzorni organ, bi moral biti pristojen za obravnavanje lokalnih zadev, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, vsebina določene obdelave pa se nanaša le na obdelavo v eni državi članici in vključuje le posameznike, na katere se nanašajo osebni podatki, iz te države članice, na primer, kadar se vsebina nanaša na obdelavo osebnih podatkov o zaposlenih v okviru zaposlitve v posamezni državi članici. V takih primerih bi moral nadzorni organ o tem brez odlašanja obvestiti vodilni nadzorni organ. Vodilni nadzorni organ bi moral, potem ko je obveščen, odločiti, ali bo zadevo obravnaval v skladu z določbami o sodelovanju med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organi (v nadaljnjem besedilu: mehanizem vse na enem mestu), oziroma ali bi moral zadevo na lokalni ravni obravnavati nadzorni organ, ki ga je o tem obvestil. Vodilni nadzorni organ bi moral pri odločanju o tem, ali bo zadevo obravnaval, upoštevati, ali ima upravljavec ali obdelovalec sedež v državi članici nadzornega organa, ki ga je o tem obvestil, da bi zagotovili učinkovito izvrševanje odločitve do upravljavca ali obdelovalca. Kadar vodilni nadzorni organ odloči, da bo zadevo obravnaval, bi moral nadzorni organ, ki ga je o tem obvestil, imeti možnost predložiti osnutek odločitve, ki bi ga moral vodilni nadzorni organ v največji meri upoštevati pri pripravi svojega osnutka odločitve v okviru tega mehanizma vse na enem mestu.

(128)

Pravila o vodilnem nadzornem organu in mehanizmu vse na enem mestu se ne bi smela uporabljati, kadar obdelavo izvajajo javni organi ali zasebna telesa v javnem interesu. V takih primerih bi moral biti edini nadzorni organ, pristojen za izvajanje pooblastil, ki so mu bila podeljena v skladu s to uredbo, nadzorni organ države članice, v kateri je sedež zadevnega javnega organa ali zasebnega telesa.

(129)

Za zagotovitev doslednega spremljanja in izvajanja te uredbe v vsej Uniji bi morali biti naloge in učinkovita pooblastila nadzornih organov v vseh državah članicah enaki, vključno s pooblastili za preiskovanje, popravljalnimi pooblastili in sankcijami ter pooblastili v zvezi z dovoljenji in svetovalnimi pristojnostmi, zlasti v primerih pritožb posameznikov, hkrati pa ne bi smeli vplivati na pooblastila organov, pristojnih za pregon v skladu s pravom držav članic, da sodne organe opozorijo na kršitve te uredbe in sodelujejo v sodnih postopkih. Taka pooblastila bi morala vključevati tudi pooblastilo za uvedbo začasne ali dokončne omejitve ali prepoved obdelave. Države članice lahko določijo še druge naloge, povezane z varstvom osebnih podatkov v skladu s to uredbo. Pooblastila nadzornih organov bi bilo treba izvajati nepristransko, pravično in v razumnem roku v skladu z ustreznimi postopkovnimi zaščitnimi ukrepi, določenimi v pravu Unije in pravu držav članic. Zlasti bi moral biti vsak ukrep ustrezen, potreben in sorazmeren, da se zagotovi skladnost s to uredbo, pri tem pa se upoštevajo okoliščine posameznega primera, spoštuje pravica vsake osebe, da izrazi svoje mnenje, preden se sprejme kakršen koli posamezen ukrep, ki bi imel zanjo negativne posledice, ter preprečijo nepotrebni stroški in pretirane nevšečnosti za vpletene osebe. Preiskovalna pooblastila glede dostopa v prostore bi bilo treba izvajati v skladu s posebnimi zahtevami postopkovnega prava držav članic, kot je na primer zahteva pridobitve predhodnega sodnega dovoljenja. Vsak pravno zavezujoč ukrep nadzornega organa bi moral biti v pisni obliki, jasen in nedvoumen, v njem pa bi morala biti navedena nadzorni organ, ki je ukrep izdal, in datum izdaje ukrepa, podpisati bi ga moral vodja ali član nadzornega organa, ki ga ta pooblasti, vsebovati bi moral razloge za ukrep ter sklic na pravico do učinkovitega pravnega sredstva. To ne bi smelo izključevati dodatnih zahtev v skladu s postopkovnim pravom držav članic. Sprejetje pravno zavezujoče odločitve pomeni, da je lahko v državi članici nadzornega organa, ki jo je sprejel, predmet sodne presoje.

(130)

Kadar nadzorni organ, pri katerem je bila vložena pritožba, ni vodilni nadzorni organ, bi moral vodilni nadzorni organ z njim tesno sodelovati v skladu z določbami o sodelovanju in skladnosti iz te uredbe. V takih primerih bi moral vodilni nadzorni organ pri sprejemanju ukrepov, katerih namen je doseči pravne učinke, vključno z upravnimi globami, kar najbolj upoštevati mnenje nadzornega organa, pri katerem je bila vložena pritožba in ki bi moral ostati pristojen organ za izvedbo morebitnih preiskav na ozemlju njegove države članice v povezavi s pristojnim nadzornim organom.

(131)

Kadar bi moral drug nadzorni organ delovati kot vodilni nadzorni organ za dejavnosti obdelave s strani upravljavca ali obdelovalca, vendar konkretna vsebina pritožbe ali morebitne kršitve zadeva zgolj dejavnosti obdelave s strani upravljavca ali obdelovalca v državi članici, v kateri je bila vložena pritožba ali odkrita morebitna kršitev, vsebina pa ne vpliva znatno oziroma ni verjetno, da bi znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v drugih državah članicah, bi si moral nadzorni organ, ki prejme pritožbo ali odkrije primere, pri katerih bi lahko šlo za kršitev te uredbe, oziroma je o njih kako drugače obveščen, prizadevati za sporazumno rešitev z upravljavcem, če se to izkaže za neuspešno, pa izvajati vsa svoja pooblastila. To bi moralo vključevati: posebno obdelavo, ki se izvaja na ozemlju države članice nadzornega organa ali v zvezi s posamezniki, na katere se nanašajo osebni podatki, na ozemlju zadevne države članice; obdelavo, ki se izvaja v okviru ponudbe blaga ali storitev, posebej namenjene posameznikom, na katere se nanašajo osebni podatki, na ozemlju države članice nadzornega organa; ali obdelavo, ki jo je treba oceniti ob upoštevanju ustreznih pravnih obveznosti v skladu s pravom držav članic.

(132)

Dejavnosti nadzornih organov, ki so namenjene ozaveščanju javnosti, bi morale obsegati posebne ukrepe, usmerjene na upravljavce in obdelovalce, vključno z mikro, malimi in srednjimi podjetji, pa tudi posameznike, zlasti na področju izobraževanja.

(133)

Nadzorni organi bi si morali medsebojno pomagati pri opravljanju svojih nalog in zagotoviti medsebojno pomoč, da se zagotovita dosledna uporaba in izvajanje te uredbe na notranjem trgu. Nadzorni organ, ki zaprosi za medsebojno pomoč, lahko sprejme začasni ukrep, če mu zaprošeni nadzorni organ v enem mesecu po prejemu zahteve za medsebojno pomoč ne odgovori..

(134)

Vsak nadzorni organ bi moral, kjer je to ustrezno, sodelovati pri skupnem ukrepanju z drugimi nadzornimi organi. Zaprošeni nadzorni organ bi moral na zahtevo odgovoriti v določenem roku.

(135)

Za zagotovitev dosledne uporabe te uredbe v vsej Uniji bi bilo treba vzpostaviti mehanizem za skladnost za sodelovanje med nadzornimi organi. Ta mehanizem bi bilo treba uporabljati zlasti v primerih, ko namerava nadzorni organ sprejeti ukrep, katerega namen je doseči pravne učinke v zvezi z dejanji obdelave, ki bistveno vplivajo na veliko število posameznikov, na katere se nanašajo osebni podatki, v več državah članicah. Uporabljati bi se moral tudi, kadar kateri koli zadevni nadzorni organ ali Komisija zahteva, naj se taka zadeva obravnava v mehanizmu za skladnost. Ta mehanizem ne bi smel posegati v noben ukrep, ki ga lahko Komisija sprejme pri izvajanju svojih pooblastil na podlagi Pogodb.

(136)

Pri uporabi mehanizma za skladnost bi moral odbor v določenem roku podati mnenje, če tako odloči večina članov ali če to zahteva kateri koli zadevni nadzorni organ ali Komisija. Odbor bi moral biti tudi pooblaščen za sprejemanje pravno zavezujočih odločitev v primeru sporov med nadzornimi organi. V ta namen bi moral načeloma z dvotretjinsko večino svojih članov izdajati pravno zavezujoče odločitve v jasno določenih primerih, ko pride med nadzornimi organi, zlasti v mehanizmu sodelovanja med vodilnim nadzornim organom in zadevnimi nadzornimi organi, do nasprotujočih si stališč glede vsebine zadeve, predvsem glede tega, ali je bila uredba kršena.

(137)

Lahko se pojavi nujna potreba po ukrepanju za zaščito pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, zlasti kadar obstaja nevarnost, da bi lahko bilo uresničevanje pravice posameznika, na katerega se nanašajo osebni podatki, močno ovirano. Nadzorni organ bi zato moral imeti možnost,da na ozemlju, na katerem deluje, sprejme ustrezno utemeljene začasne ukrepe z določenim obdobjem veljavnosti, ki ne bi smelo biti daljše od treh mesecev.

(138)

Uporaba takega mehanizma bi morala biti pogoj za zakonitost ukrepa, katerega namen je doseči pravne učinke, ki ga sprejme nadzorni organ v primerih, v katerih je uporaba tega mehanizma obvezna. V drugih primerih čezmejnega pomena bi bilo treba uporabiti mehanizem sodelovanja med vodilnim nadzornim organom in zadevnimi nadzornimi organi, med zadevnimi nadzornimi organi pa bi se lahko izvajala medsebojna pomoč in skupno ukrepanje na dvostranski ali večstranski podlagi, ne da bi pri tem sprožili mehanizem za skladnost.

(139)

Za spodbujanje dosledne uporabe te uredbe bi bilo treba odbor ustanoviti kot neodvisen organ Unije. Odbor bi moral biti zaradi doseganja svojih ciljev pravna oseba. Zastopati bi ga moral njegov predsednik. Moral bi nadomestiti Delovno skupino za varstvo posameznikov pri obdelavi osebnih podatkov, ustanovljeno z Direktivo 95/46/ES. Sestavljati bi ga morali vodje nadzornega organa vsake države članice in Evropski nadzornik za varstvo podatkov ali njihovi predstavniki. Komisija bi morala pri dejavnostih odbora sodelovati brez glasovalnih pravic, Evropski nadzornik za varstvo podatkov pa bi moral imeti posebne glasovalne pravice. Odbor bi moral prispevati k dosledni uporabi te uredbe v vsej Uniji, vključno s svetovanjem Komisiji, zlasti o ravni varstva v tretjih državah ali mednarodnih organizacijah, in spodbujanjem sodelovanja nadzornih organov v vsej Uniji. Pri opravljanju svojih nalog bi moral delovati neodvisno.

(140)

Odboru bi moral pomagati sekretariat, ki ga zagotovi Evropski nadzornik za varstvo podatkov. Osebje Evropskega nadzornika za varstvo podatkov, ki opravlja naloge, ki so v skladu s to uredbo dodeljene odboru, bi moralo svoje naloge opravljati izključno po navodilih predsednika odbora in temu tudi poročati.

(141)

Vsak posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da vloži pritožbo pri enem nadzornem organu, zlasti v državi članici svojega običajnega prebivališča, in pravico do učinkovitega pravnega sredstva v skladu s členom 47 Listine, kadar meni, da so njegove pravice iz te uredbe kršene, ali če nadzorni organ ne obravnava pritožbe, jo v celoti ali deloma zavrže ali zavrne ali ne ukrepa, kadar je tak ukrep potreben za zaščito pravic posameznika, na katerega se nanašajo osebni podatki. Preiskavo na podlagi pritožbe bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen, saj je lahko odločitev nadzornega organa predmet sodne presoje. Nadzorni organ bi moral posameznika, na katerega se nanašajo osebni podatki, v ustreznem roku obvestiti o stanju zadeve in odločitvi o pritožbi. Če mora nadzorni organ zadevo podrobneje preučiti ali se uskladiti z drugim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo osebni podatki, posredovati informacije o stanju zadeve med postopkom. Za poenostavitev postopka vložitve pritožbe bi moral vsak nadzorni organ sprejeti ukrepe, na primer za zagotovitev obrazca za vložitev pritožbe, ki se lahko izpolni tudi elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

(142)

Kadar posameznik, na katerega se nanašajo osebni podatki, meni, da so bile kršene njegove pravice iz te uredbe, bi moral imeti pravico, da pooblasti telo, organizacijo ali združenje, ki je nepridobitne narave, ustanovljeno v skladu s pravom države članice, katerega statutarno določeni cilji so v javnem interesu ter je dejavno na področju varstva osebnih podatkov, da v njegovem imenu vloži pritožbo pri nadzornem organu, uveljavlja pravico do pravnega sredstva v imenu posameznikov, na katere se nanašajo osebni podatki, ali, če je tako določeno v pravu države članice, uveljavlja pravico do odškodnine v imenu posameznikov, na katere se nanašajo osebni podatki. Država članica lahko zahteva, da mora tako telo, organizacija ali združenje imeti pravico, da neodvisno od pooblastila posameznika, na katerega se nanašajo osebni podatki, v tej državi članici vloži pritožbo, in pravico do učinkovitega pravnega sredstva, kadar utemeljeno meni, da so bile pravice posameznika, na katerega se nanašajo osebni podatki, kršene zaradi obdelave osebnih podatkov, ki krši to uredbo. To telo, organizacija ali združenje ne sme zahtevati odškodnine v imenu posameznika, na katerega se nanašajo osebni podatki, neodvisno od pooblastila posameznika.

(143)

Katera koli fizična ali pravna oseba ima pravico, da pred Sodiščem pod pogoji iz člena 263 PDEU vloži ničnostno tožbo zoper odločitve odbora. Zadevni nadzorni organi, ki želijo take odločitve izpodbijati, morajo kot njihovi naslovniki v skladu s členom 263 PDEU tožbo vložiti v dveh mesecih po tem, ko so bili o njih uradno obveščeni. Kadar se odločitve odbora podatkov nanašajo neposredno in posamično na upravljavca, obdelovalca ali pritožnika, lahko ta vloži ničnostno tožbo zoper te odločitve, to pa mora v skladu s členom 263 PDEU storiti v dveh mesecih od objave teh odločitev na spletnem mestu odbora. Brez poseganja v to pravico na podlagi člena 263 PDEU, bi morala imeti vsaka fizična ali pravna oseba na voljo učinkovito pravno sredstvo pred pristojnim nacionalnim sodiščem zoper odločitev nadzornega organa, ki ima pravne učinke za to osebo. Taka odločitev se nanaša zlasti na izvajanje preiskovalnih pooblastil nadzornega organa, popravljalnih pooblastil in pooblastil v zvezi z dovoljenji ali na zavržene ali zavrnjene pritožbe. Vendar pa pravica do učinkovitega pravnega sredstva ne zajema ukrepov nadzornih organov, ki niso pravno zavezujoči, kot so mnenja, ki jih izdajo nadzorni organi, ali njihovi nasveti. Za postopke zoper nadzorni organ bi morala biti pristojna sodišča države članice, v kateri ima nadzorni organ sedež, izvajati pa bi se morali v skladu s postopkovnim pravom te države članice. Ta sodišča bi morala izvajati polno pristojnost, ki bi morala vključevati pristojnost za preučitev vseh vprašanj, ki se nanašajo na dejstva in zakonodajo v zvezi z zadevnim sporom.

Kadar nadzorni organ zavrne ali zavrže pritožbo, lahko pritožnik sproži postopke na sodiščih v isti državi članici. V okviru pravnih sredstev, ki se nanašajo na uporabo te uredbe, lahko nacionalna sodišča, ki obravnavajo odločitev o vprašanju, potrebno za to, da lahko izrečejo sodbo, od Sodišča zahtevajo predhodno odločanje v zvezi z razlago prava Unije, vključno s to uredbo, v primeru iz člena 267 PDEU pa ga morajo zahtevati. Poleg tega, kadar se odločitev nadzornega organa, s katero se uveljavlja odločitev odbora, izpodbija pred nacionalnim sodiščem in je sporna veljavnost odločitve odbora, to nacionalno sodišče ni pristojno za razglasitev neveljavnosti odločitve odbora, temveč mora vprašanje veljavnosti, če meni, da je odločitev neveljavna, predložiti Sodišču v skladu s členom 267 PDEU, kakor ga razlaga Sodišče. Po drugi strani pa nacionalno sodišče ne sme predložiti vprašanja veljavnosti odločitve odbora na zahtevo fizične ali pravne osebe, ki je imela možnost vložiti ničnostno tožbo zoper to odločitev, zlasti če se je ta neposredno in posamično nanašala nanjo, pa tega ni storila v roku iz člena 263 PDEU.

(144)

Kadar sodišče, pred katerim poteka postopek zoper odločitev nadzornega organa, utemeljeno meni, da v zvezi z enako obdelavo, kot je enaka vsebina, kar zadeva obdelavo s strani istega upravljavca ali obdelovalca, ali enaka podlaga za tožbo, predloži zadevo pristojnemu sodišču v drugi državi članici, bi moralo obvestiti zadevno sodišče, da se potrdi obstoj povezanih postopkov. Če povezani postopki potekajo pred sodiščem v drugi državi članici, lahko katero koli sodišče, razen sodišča, ki je prvo začelo postopek, zaustavi postopek ali na zahtevo ene od strank zavrne pristojnost v prid sodišča, ki je prvo začelo postopek, če je to sodišče pristojno za zadevne postopke in lahko v skladu s svojim pravom združi tako povezane postopke. Postopki veljajo za povezane, kadar so med seboj tako tesno povezani, da se zdita njihova skupna obravnava in skupno odločanje o njih smiselna, da bi se izognili nevarnosti nezdružljivih sodb, ki bi izhajale iz ločenih postopkov.

(145)

V postopkih zoper upravljavca ali obdelovalca bi morala imeti tožeča stranka možnost, da postopek začne pred sodišči države članice, v kateri ima upravljavec ali obdelovalec sedež, ali pred sodišči države članice, v kateri prebiva posameznik, na katerega se nanašajo osebni podatki, razen če je upravljavec javni organ države članice, ki izvaja svoja javna pooblastila.

(146)

Upravljavec ali obdelovalec bi moral povrniti vso škodo, ki jo oseba lahko utrpi zaradi obdelave, ki krši to uredbo. Upravljavec ali obdelovalec bi moral biti oproščen odgovornosti, če dokaže, da ni v nobenem primeru odgovoren za škodo. Pojem škode bi bilo treba razlagati široko ob upoštevanju sodne prakse Sodišča na način, ki, v celoti odraža cilje te uredbe. To je brez poseganja v kakršne koli odškodninske zahtevke, ki izhajajo iz kršitve drugih pravil prava Unije ali prava države članice. Obdelava, ki krši to uredbo, vključuje tudi obdelavo, ki krši delegirane in izvedbene akte, sprejete v skladu s to uredbo, in pravo države članice, ki natančneje določa pravila te uredbe. Posamezniki, na katere se nanašajo osebni podatki, bi morali prejeti celotno in učinkovito odškodnino za škodo, ki so jo utrpeli. Kadar so upravljavci ali obdelovalci vključeni v isto obdelavo, bi moral biti vsak upravljavec ali obdelovalec odgovoren za celotno škodo. Kadar pa so upravljavci ali obdelovalci združeni v isti sodni postopek v skladu s pravom države članice, se lahko odškodnina porazdeli v skladu z odgovornostjo vsakega upravljavca ali obdelovalca za škodo, ki je bila povzročena zaradi obdelave, če je zagotovljeno, da posameznik, na katerega se nanašajo osebni podatki in ki je škodo utrpel, prejme celotno in učinkovito odškodnino. Vsak upravljavec ali obdelovalec, ki je plačal celotno odškodnino, lahko naknadno začne postopek za povrnitev stroškov zoper druge upravljavce ali obdelovalce, vključene v isto obdelavo.

(147)

Kjer so v tej uredbi določena posebna pravila glede pristojnosti, zlasti kar zadeva postopke za uveljavljanje pravnega sredstva, tudi odškodnine zoper upravljavca ali obdelovalca, splošna pravila glede pristojnosti, na primer iz Uredbe (EU) št. 1215/2012 Evropskega parlamenta in Sveta (13), ne bi smela posegati v uporabo teh posebnih pravil.

(148)

Da bi okrepili izvrševanje pravil te uredbe, bi bilo treba poleg ustreznih ukrepov, ki jih v skladu s to uredbo naloži nadzorni organ, ali namesto njih za vsako kršitev uredbe uvesti kazni, vključno z upravnimi globami. V primeru manjših kršitev ali v primeru, ko bi globa, ki bi bila verjetno naložena, predstavljala nesorazmerno breme za fizično osebo, se lahko namesto globe izreče opomin. Vsekakor pa bi bilo treba ustrezno upoštevati naravo, težo in trajanje kršitve, namernost kršitve, sprejete ukrepe za ublažitev utrpljene škode, stopnjo odgovornosti ali morebitne pomembne predhodne kršitve, način, kako se je s kršitvijo seznanil nadzorni organ, skladnost z ukrepi, odrejenimi zoper upravljavca ali obdelovalca, zavezanost h kodeksu ravnanja in morebitne druge oteževalne ali olajševalne dejavnike. Za uvedbo kazni, vključno z upravnimi globami, bi morali veljati ustrezni postopkovni zaščitni ukrepi v skladu s splošnimi načeli prava Unije in Listine, vključno z učinkovitim sodnim varstvom in ustreznimi postopki.

(149)

Države članice bi morale imeti možnost, da določijo pravila o kazenskih sankcijah za kršitve te uredbe, tudi za kršitve nacionalnih pravil, sprejetih v skladu s to uredbo in v mejah te uredbe. Te kazenske sankcije lahko določajo tudi odvzem dobička, pridobljenega s kršenjem te uredbe. Naložitev kazenskih sankcij zaradi kršitev takšnih nacionalnih pravil in upravnih kazni pa ne bi smela voditi h kršitvi načela ne bis in idem, kakor ga razlaga Sodišče.

(150)

Za okrepitev in uskladitev upravnih kazni za kršitve te uredbe bi moral imeti vsak nadzorni organ pooblastila za naložitev upravnih glob. Ta uredba bi morala navajati kršitve, zgornjo mejo in merila za določanje s tem povezanih upravnih glob, ki bi jih moral v vsakem posameznem primeru določiti pristojni nadzorni organ ob upoštevanju vseh zadevnih okoliščin v določeni situaciji ter zlasti narave, teže in trajanja kršitve ter njenih posledic in sprejetih ukrepov za zagotavljanje skladnosti z obveznostmi iz te uredbe in za preprečitev ali ublažitev posledic kršitve. Kadar se upravne globe naložijo podjetjem, bi se podjetje v te namene moralo razumeti kot podjetje v skladu s členoma 101 in 102 PDEU. Kadar se upravne globe naložijo osebam, ki niso podjetje, bi moral nadzorni organ pri določanju ustreznega zneska globe upoštevati splošno raven dohodka v državi članici in ekonomski položaj osebe. Mehanizem za skladnost se lahko uporabi tudi za spodbujanje dosledne uporabe upravnih glob. Države članice bi morale določiti, ali bi se morale upravne globe uporabljati tudi za javne organe in v kakšnem obsegu. Naložitev upravne globe ali izdaja opozorila ne vpliva na uporabo drugih pooblastil nadzornih organov ali drugih kazni v skladu s to uredbo.

(151)

Pravna sistema na Danskem in v Estoniji ne dovoljujeta upravnih glob, kakor so določene v tej uredbi. Pravila o upravnih globah se lahko uporabljajo na tak način, da na Danskem globo naložijo pristojna nacionalna sodišča kot kazensko sankcijo, v Estoniji pa jo nadzorni organi naložijo v okviru prekrškovnega postopka, pod pogojem, da se s takšno uporabo pravil v teh državah članicah zagotovi enak učinek, kot ga imajo upravne globe, ki jih naložijo nadzorni organi. Pristojna nacionalna sodišča bi zato morala upoštevati priporočilo nadzornega organa, ki je sprožil postopek za naložitev globe. V vsakem primeru pa bi morale globe biti učinkovite, sorazmerne in odvračilne.

(152)

Kadar ta uredba ne zagotavlja harmonizacije upravnih kazni ali po potrebi v drugih primerih, denimo v primeru hudih kršitev te uredbe, bi morale države članice uporabiti sistem, ki zagotavlja učinkovite, sorazmerne in odvračilne kazni. Narava takšnih kazni, kazenskih ali upravnih, bi morala biti določena s pravom držav članic.

(153)

Pravo držav članic bi moralo pravila, ki urejajo svobodo izražanja in obveščanja, vključno z novinarskim, akademskim, umetniškim in/ali književnim izražanjem, usklajevati s pravico do varstva osebnih podatkov v skladu s to uredbo. Za obdelavo osebnih podatkov, ki se izvaja zgolj v novinarske namene ali zaradi akademskega, umetniškega ali literarnega izražanja, bi se morala uporabiti odstopanja ali izjeme od nekaterih določb te uredbe, če je to potrebno za uskladitev pravice do varstva osebnih podatkov s pravico do svobode izražanja in obveščanja, kakor je določena v členu 11 Listine. To bi moralo veljati zlasti za obdelavo osebnih podatkov na avdiovizualnem področju ter v arhivih novic in medijskih arhivih. Zato bi morale države članice sprejeti zakonodajne ukrepe, v katerih bi bile določene izjeme in odstopanja, potrebna za uravnoteženje teh temeljnih pravic. Države članice bi morale take izjeme in odstopanja sprejeti glede splošnih načel, pravic posameznika, na katerega se nanašajo osebni podatki, upravljavca in obdelovalca, prenosa osebnih podatkov v tretje države ali mednarodne organizacije, neodvisnih nadzornih organov, sodelovanja in skladnosti ter posebnih primerov obdelave podatkov. Kadar se take izjeme ali odstopanja po državah članicah razlikujejo, bi se moralo uporabiti pravo države članice, ki velja za upravljavca. Za upoštevanje pomena pravice do svobode izražanja v vsaki demokratični družbi je treba pojme, povezane s to svobodo, kot je na primer novinarstvo, razlagati v širokem smislu.

(154)

Ta uredba omogoča upoštevanje načela dostopa javnosti do uradnih dokumentov pri uporabi določb iz te uredbe. Dostop javnosti do uradnih dokumentov se lahko šteje, da je v javnem interesu. Osebne podatke v dokumentih, s katerimi razpolaga javni organ ali telo, bi moral ta organ ali telo imeti možnost javno razkriti, če je to v skladu s pravom Unije ali pravom države članice, ki velja za ta javni organ ali telo. S tovrstno zakonodajo bi bilo treba dostop javnosti do uradnih dokumentov in ponovno uporabo informacij javnega sektorja uskladiti s pravico do varstva osebnih podatkov, zato so v njej lahko določene potrebne uskladitve s pravico do varstva osebnih podatkov v skladu s to uredbo. Sklicevanje na javne organe in telesa v tem okviru bi moralo vključevati vse organe ali druga telesa, zajeta s pravom držav članic o dostopu javnosti do dokumentov. Direktiva 2003/98/ES Evropskega parlamenta in Sveta (14) ne obravnava in na noben način ne vpliva na stopnjo varstva posameznikov pri obdelavi osebnih podatkov, ki jo določata pravo Unije in pravo držav članic, ter zlasti ne spreminja obveznosti in pravic iz te uredbe. Navedena direktiva se zlasti ne bi smela uporabljati za dokumente, do katerih ni dostopa ali do katerih režimi dostopa omejujejo dostop zaradi varstva osebnih podatkov, ter dele dokumentov, do katerih ti režimi dovoljujejo dostop, vendar vsebujejo osebne podatke, katerih ponovna uporaba je z zakonom opredeljena kot nezdružljiva s pravom o varstvu posameznikov pri obdelavi osebnih podatkov.

(155)

V pravu držav članic ali kolektivnih pogodbah, vključno s „pogodbami na ravni podjetij“, so lahko določena posebna pravila o obdelavi osebnih podatkov zaposlenih v okviru zaposlitve, zlasti za pogoje, pod katerimi se lahko obdelujejo osebni podatki v okviru zaposlitve na podlagi privolitve zaposlenega, v namene zaposlovanja, izvajanja pogodbe o zaposlitvi, vključno z izpolnjevanjem obveznosti, določenih z zakonom ali kolektivnimi pogodbami, upravljanja, načrtovanja in organizacije dela, enakosti in raznolikosti na delovnem mestu, zdravja in varnosti pri delu, za namene individualnega ali kolektivnega izvajanja in uživanja pravic in ugodnosti, povezanih z zaposlitvijo, ter za namene prekinitve delovnega razmerja.

(156)

Pri obdelavi osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene bi bilo treba zagotoviti ustrezne zaščitne ukrepe za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, v skladu s to uredbo. S temi zaščitnimi ukrepi bi bilo treba zagotoviti, da se sprejmejo tehnični in organizacijski ukrepi, s katerimi se zagotovi zlasti spoštovanje načela najmanjšega obsega podatkov. Nadaljnja obdelava osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene se opravi, kadar je upravljavec ocenil izvedljivost uresničitve teh namenov z obdelavo osebnih podatkov, ki ne omogočajo ali ne omogočajo več identifikacije posameznika, na katerega se nanašajo osebni podatki, pod pogojem, da obstajajo ustrezni zaščitni ukrepi (kot je, na primer, psevdonimizacija osebnih podatkov). Države članice bi morale zagotoviti ustrezne zaščitne ukrepe za obdelavo osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene. Državam članicam bi bilo treba dovoliti, da pri obdelavi osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene pod določenimi pogoji in ob zagotovitvi ustreznih zaščitnih ukrepov za posameznike, na katere se nanašajo osebni podatki, določijo natančnejšo ureditev in odstopanja v zvezi z zahtevami po informacijah ter pravice do popravka, do izbrisa, do pozabe, do omejitve obdelave, do prenosljivosti podatkov in do ugovora. Zadevni pogoji in zaščitni ukrepi lahko zahtevajo posebne postopke za uresničevanje navedenih pravic posameznikov, na katere se nanašajo osebni podatki, če je to ustrezno glede na namene specifične obdelave, ter tehnične in organizacijske ukrepe, s katerimi bi čim bolj zmanjšali obdelavo osebnih podatkov zaradi spoštovanja načel sorazmernosti in potrebnosti. Pri obdelavi osebnih podatkov v znanstvene namene bi bilo treba upoštevati tudi drugo zadevno zakonodajo, denimo o kliničnem preskušanju.

(157)

S povezovanjem informacij iz registrov lahko raziskovalci pridobijo dragoceno novo znanje glede zelo razširjenih bolezni, kot so bolezni srca in ožilja, rak in depresija. Na podlagi registrov je mogoče pridobiti zanesljivejše rezultate raziskav, saj se z njimi zajame večje število ljudi. Na področju družboslovja lahko z raziskavami na podlagi registrov raziskovalci pridobijo bistveno znanje o dolgoročni medsebojni povezanosti različnih družbenih dejavnikov, kot sta brezposelnost in izobraženost, z drugimi življenjskimi dejavniki. Rezultati raziskav, pridobljeni prek registrov, zagotavljajo trdno, visokokakovostno znanje, ki je lahko podlaga za oblikovanje in izvajanje na znanju temelječe politike ter lahko izboljša kakovost življenja številnih ljudi in učinkovitost socialnih služb. Zaradi omogočanja znanstvenih raziskav se lahko osebni podatki obdelujejo v znanstveno-raziskovalne namene v skladu z ustreznimi pogoji in zaščitnimi ukrepi, določenimi v pravu Unije ali pravu držav članic.

(158)

Ta uredba bi se morala uporabljati tudi za obdelavo osebnih podatkov v namene arhiviranja, pri čemer bi bilo treba upoštevati, da se ta uredba ne bi smela uporabljati za umrle osebe. Javni organi oziroma javna ali zasebna telesa, ki vodijo evidence v javnem interesu, bi morali biti službe, ki imajo v skladu s pravom Unije ali pravom držav članic pravno obveznost, da pridobijo, ohranijo, ocenijo, uredijo, opišejo, sporočajo, spodbujajo in razširjajo evidence, ki so trajnega pomena za splošen javni interes, ter zagotavljajo dostop do njih. Državam članicam bi bilo treba tudi dovoliti, da določijo, da se lahko osebni podatki nadalje obdelujejo v namene arhiviranja, da se na primer zagotovijo specifične informacije v zvezi s političnim obnašanjem v nekdanjih totalitarnih državnih režimih, genocidom, hudodelstvom zoper človečnost, zlasti holokavstom, ali vojnimi zločini.

(159)

Ta uredba bi se morala uporabljati tudi za obdelavo osebnih podatkov v znanstveno-raziskovalne namene. Za namene te uredbe bi bilo treba obdelavo osebnih podatkov v znanstveno-raziskovalne namene razlagati široko, tako da vključuje tudi na primer tehnološki razvoj, predstavitvene dejavnosti, temeljne raziskave, uporabne raziskave in zasebno financirane raziskave. Poleg tega bi bilo treba upoštevati cilj Unije iz člena 179(1) PDEU glede oblikovanja evropskega raziskovalnega prostora. Znanstveno-raziskovalni nameni bi morali zajemati tudi študije, izvedene v javnem interesu na področju javnega zdravja. Da bi upoštevali posebnosti obdelave osebnih podatkov v znanstveno-raziskovalne namene, bi morali veljati posebni pogoji, zlasti v zvezi z objavo ali drugim razkritjem osebnih podatkov v okviru znanstveno-raziskovalnih namenov. Če so na podlagi rezultatov znanstvenih raziskav, zlasti na področju zdravja, potrebni nadaljnji ukrepi v interesu posameznika, na katerega se nanašajo osebni podatki, bi se v zvezi s takšnimi ukrepi morala uporabljati splošna pravila iz te uredbe.

(160)

Ta uredba bi se morala uporabljati tudi za obdelavo osebnih podatkov v zgodovinskoraziskovalne namene. To bi moralo zajemati tudi zgodovinske raziskave in raziskave v genealoške namene, pri čemer bi bilo treba upoštevati, da se ta uredba ne bi smela uporabljati za umrle osebe.

(161)

Za namen privolitve v udeležbo pri znanstveno-raziskovalnih dejavnostih v okviru kliničnega preskušanja bi se morale uporabljati ustrezne določbe Uredbe (EU) št. 536/2014 Evropskega parlamenta in Sveta (15).

(162)

Če se osebni podatki obdelujejo v statistične namene, bi se morala za to obdelavo uporabljati ta uredba. S pravom Unije ali pravom držav članic bi bilo treba v mejah te uredbe določiti statistično vsebino, nadzor dostopa, natančnejšo ureditev obdelave osebnih podatkov v statistične namene ter ustrezne ukrepe za varstvo pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, in zagotovitev statistične zaupnosti. „Statistični nameni“ pomeni vsako dejanje zbiranja in obdelave osebnih podatkov, potrebno za statistične raziskave ali pripravo statističnih rezultatov. Ti statistični rezultati se lahko nadalje uporabijo v različne namene, tudi v znanstveno-raziskovalne namene. „Statistični namen“ pomeni, da rezultati obdelave v statistične namene niso osebni podatki, temveč zbirni podatki, ter da se ti rezultati ali osebni podatki ne uporabijo v podporo ukrepov ali odločitev v zvezi z določenim posameznikom.

(163)

Zaupne informacije, ki jih statistični organi Unije in nacionalni statistični organi zberejo zaradi priprave uradne evropske in nacionalne statistike, bi bilo treba zaščititi. Evropsko statistiko bi bilo treba razvijati, pripravljati in razširjati v skladu s statističnimi načeli iz člena 338(2) PDEU, nacionalna statistika pa bi morala biti skladna tudi s pravom države članice. V Uredbi (ES) št. 223/2009 Evropskega parlamenta in Sveta (16) so določene nadaljnje natančnejše ureditve glede statistične zaupnosti evropske statistike.

(164)

Glede pooblastil nadzornih organov, da od upravljavca ali obdelovalca dobijo dostop do osebnih podatkov in njegovih prostorov, lahko države članice v mejah te uredbe z zakonom sprejmejo posebna pravila glede varovanja poklicne ali druge enakovredne obveznosti varovanja skrivnosti, kolikor je to potrebno zaradi uskladitve pravice do varstva osebnih podatkov z obveznostjo varovanja poklicne skrivnosti. To ne posega v obstoječe obveznosti držav članic, da sprejmejo pravila o varovanju poklicne skrivnosti, kadar to zahteva pravo Unije.

(165)

Ta uredba spoštuje in ne vpliva na status cerkva in verskih združenj ali skupnosti, ki ga imajo na podlagi veljavnega ustavnega prava v državah članicah, kakor je priznan v členu 17 PDEU.

(166)

Da se dosežejo cilji te uredbe, in sicer da se zaščitijo temeljne pravice in svoboščine posameznikov in zlasti njihova pravica do varstva osebnih podatkov ter da se zagotovi prosti pretok osebnih podatkov v Uniji, bi bilo treba na Komisijo prenesti pooblastilo, da v skladu s členom 290 PDEU sprejme akte. Zlasti bi bilo treba sprejeti delegirane akte, kar zadeva merila in zahteve v zvezi z mehanizmi potrjevanja, informacijami, ki se navedejo v standardiziranih ikonah, in postopki za določitve takšnih ikon. Zlasti je pomembno, da se Komisija pri svojem pripravljalnem delu ustrezno posvetuje, vključno na ravni strokovnjakov. Komisija bi morala pri pripravi in oblikovanju delegiranih aktov zagotoviti, da se zadevni dokumenti posredujejo Evropskemu parlamentu in Svetu sočasno, pravočasno in na ustrezen način.

(167)

Za zagotovitev enotnih pogojev izvajanja te uredbe bi bilo treba na Komisijo prenesti izvedbena pooblastila, kadar je tako določeno v tej uredbi. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011. V zvezi s tem bi morala Komisija razmisliti o posebnih ukrepih za mikro, mala in srednja podjetja.

(168)

Postopek pregleda bi se moral uporabiti za sprejetje izvedbenih aktov o standardnih pogodbenih določilih med upravljavci in obdelovalci ter med obdelovalci, kodeksov ravnanja; tehničnih standardov in mehanizmov potrjevanja; ustrezne ravni varstva, ki jo zagotavlja tretja država, ozemlje ali določen sektor v navedeni tretji državi ali mednarodna organizacija; standardnih zaščitnih določil; določitev oblik in postopkov za izmenjavo informacij z elektronskimi sredstvi med upravljavci, obdelovalci in nadzornimi organi za zavezujoča poslovna pravila; medsebojne pomoči; in ureditve za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in odborom.

(169)

Komisija bi morala sprejeti izvedbene akte, ki se začnejo takoj uporabljati, kadar obstajajo dokazi, da tretja država, ozemlje ali določen sektor v navedeni tretji državi ali mednarodna organizacija ne zagotavlja ustrezne ravni varstva in če je to potrebno v izredno nujnih primerih.

(170)

Ker cilja te uredbe, in sicer zagotovitve enakovredne ravni varstva posameznikov in prostega pretoka osebnih podatkov v vsej Uniji, države članice ne morejo zadovoljivo doseči, temveč se zaradi obsega ali učinkov ukrepov lažje doseže na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji (PEU). V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenega cilja.

(171)

S to uredbo bi bilo treba razveljaviti Direktivo 95/46/ES. Obdelavo, ki se že izvaja na dan uporabe te uredbe, bi bilo treba uskladiti s to uredbo v roku dveh let po začetku veljavnosti te uredbe. Kadar obdelava temelji na privolitvi v skladu z Direktivo 95/46/ES, posamezniku, na katerega se nanašajo osebni podatki, ni treba ponovno dati privolitve, če je bila privolitev dana na način, ki je v skladu s pogoji iz te uredbe, s čimer se upravljavcu dovoli, da takšno obdelavo še naprej izvaja po datumu začetka uporabe te uredbe. Odločitve, ki jih je na podlagi Direktive 95/46/ES sprejela Komisija, in dovoljenja s strani nadzornih organov so veljavni, dokler se ne spremenijo, nadomestijo ali prekličejo.

(172)

Opravljeno je bilo posvetovanje z Evropskim nadzornikom za varstvo podatkov v skladu s členom 28(2) Uredbe (ES) št. 45/2001, ki je mnenje podal 7. marca 2012 (17).

(173)

Ta uredba bi se morala uporabljati za vse zadeve, ki zadevajo varstvo temeljnih pravic in svoboščin pri obdelavi osebnih podatkov, za katere ne veljajo posebne obveznosti z istim ciljem iz Direktive 2002/58/ES Evropskega parlamenta in Sveta (18), vključno z obveznostmi za upravljavca in pravicami posameznikov. Za pojasnitev povezave med to uredbo in Direktivo 2002/58/ES bi bilo treba navedeno direktivo ustrezno spremeniti. Ko bo ta uredba sprejeta, bi bilo treba pregledati Direktivo 2002/58/ES, zlasti da se zagotovi skladnost s to uredbo –

SPREJELA NASLEDNJO UREDBO:

POGLAVJE I

Splošne določbe

Člen 1

Predmet urejanja in cilji

1.   Ta uredba določa pravila o varstvu posameznikov pri obdelavi osebnih podatkov in pravila o prostem pretoku osebnih podatkov.

2.   Ta uredba varuje temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov.

3.   Prosti pretok osebnih podatkov v Uniji ne sme biti omejen ali prepovedan iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov.

Člen 2

Področje uporabe

1.   Ta uredba se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke.

2.   Ta uredba se ne uporablja za obdelavo osebnih podatkov:

(a)

v okviru dejavnosti zunaj področja uporabe prava Unije;

(b)

s strani držav članic, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 2 naslova V PEU;

(c)

s strani fizične osebe med potekom popolnoma osebne ali domače dejavnosti;

(d)

s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem.

3.   Za obdelavo osebnih podatkov s strani institucij, organov, uradov in agencij Unije se uporablja Uredba (ES) št. 45/2001. Uredba (ES) št. 45/2001 in drugi pravni akti Unije, ki se uporabljajo za tako obdelavo osebnih podatkov, se prilagodijo načelom in pravilom iz te uredbe v skladu s členom 98.

4.   Ta uredba ne posega v uporabo Direktive 2000/31/ES, zlasti v uporabo pravil o odgovornosti posrednih ponudnikov storitev iz členov 12 do 15 navedene direktive.

Člen 3

Ozemeljska veljavnost

1.   Ta uredba se uporablja za obdelavo osebnih podatkov v okviru dejavnosti sedeža upravljavca ali obdelovalca v Uniji, ne glede na to, ali obdelava poteka v Uniji ali ne.

2.   Ta uredba se uporablja za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki so v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, kadar so dejavnosti obdelave povezane:

(a)

z nudenjem blaga ali storitev takim posameznikom v Uniji, ne glede na to, ali je potrebno plačilo posameznika, na katerega se nanašajo osebni podatki, ali

(b)

s spremljanjem njihovega vedenja, kolikor to poteka v Uniji.

3.   Ta uredba se uporablja za obdelavo osebnih podatkov s strani upravljavca, ki nima sedeža v Uniji, temveč v kraju, kjer se pravo države članice uporablja na podlagi mednarodnega javnega prava.

Člen 4

Opredelitev pojmov

V tej uredbi:

(1)

„osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(2)

„obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

(3)

„omejitev obdelave“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

(4)

„oblikovanje profilov“ pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

(5)

„psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

(6)

„zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(7)

„upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave; kadar namene in sredstva obdelave določa pravo Unije ali pravo države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali pravom države članice;

(8)

„obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

(9)

„uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa se javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne štejejo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

(10)

„tretja oseba“ pomeni fizično ali pravno osebo, javni organ, agencijo ali telo, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;

(11)

„privolitev posameznika, na katerega se nanašajo osebni podatki“ pomeni vsako prostovoljno, izrecno, informirano in nedvoumno izjavo volje posameznika, na katerega se nanašajo osebni podatki, s katero z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj;

(12)

„kršitev varstva osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(13)

„genetski podatki“ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;

(14)

„biometrični podatki“ pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

(15)

„podatki o zdravstvenem stanju“ pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;

(16)

„glavni sedež“ pomeni:

(a)

v zvezi z upravljavcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, kadar se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo na drugem sedežu upravljavca v Uniji in ima ta sedež pooblastila za izvajanje takih odločitev, sedež, ki sprejema take odločitve;

(b)

v zvezi z obdelovalcem, ki ima sedeže v več kot eni državi članici, kraj njegove osrednje uprave v Uniji ali, če obdelovalec nima osrednje uprave v Uniji, sedež obdelovalca v Uniji, kjer se izvajajo glavne dejavnosti obdelave v okviru dejavnosti sedeža obdelovalca, kolikor za obdelovalca veljajo posebne obveznosti iz te uredbe;

(17)

„predstavnik“ pomeni fizično ali pravno osebo s sedežem v Uniji, ki jo pisno imenuje upravljavec ali obdelovalec v skladu s členom 27 in ki predstavlja upravljavca ali obdelovalca v zvezi z njegovimi obveznostmi iz te uredbe;

(18)

„podjetje“ pomeni fizično ali pravno osebo, ki opravlja gospodarsko dejavnost, ne glede na njeno pravno obliko, vključno s partnerstvi ali združenji, ki redno opravljajo gospodarsko dejavnost;

(19)

„povezana družba“ pomeni obvladujočo družbo in njene odvisne družbe;

(20)

„zavezujoča poslovna pravila“ pomeni politike na področju varstva osebnih podatkov, ki jih upravljavec ali obdelovalec s sedežem na ozemlju države članice spoštuje pri prenosih ali nizih prenosov osebnih podatkov upravljavcu ali obdelovalcu povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v eni ali več tretjih državah;

(21)

„nadzorni organ“ pomeni neodvisen javni organ, ki ga v skladu s členom 51 ustanovi država članica;

(22)

„zadevni nadzorni organ“ pomeni nadzorni organ, ki ga obdelava osebnih podatkov zadeva, ker:

(a)

ima upravljavec ali obdelovalec sedež na ozemlju države članice tega nadzornega organa;

(b)

obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, s prebivališčem v državi članici tega nadzornega organa, ali

(c)

je bila vložena pritožba pri tem nadzornem organu;

(23)

„čezmejna obdelava osebnih podatkov“ pomeni bodisi:

(a)

obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti sedežev upravljavca ali obdelovalca v več kot eni državi članici, kadar ima upravljavec ali obdelovalec sedež v več kot eni državi članici, bodisi

(b)

obdelavo osebnih podatkov, ki poteka v Uniji v okviru dejavnosti edinega sedeža upravljavca ali obdelovalca, vendar obdelava znatno vpliva ali bi lahko znatno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici;

(24)

„ustrezen in utemeljen ugovor“ pomeni ugovor osnutku odločitve glede tega, ali je bila uredba kršena, oziroma glede tega, ali je predvideno ukrepanje v zvezi z upravljavcem ali obdelovalcem v skladu s to uredbo, kar jasno navede pomen tveganja, ki ga predstavlja osnutek odločitve, kar zadeva temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in – kjer je to ustrezno – prosti pretok osebnih podatkov v Uniji;

(25)

„storitev informacijske družbe“ pomeni storitev, kakor je opredeljena v točki (b) člena 1(1) Direktive (EU) 2015/1535 Evropskega parlamenta in Sveta (19);

(26)

„mednarodna organizacija“ pomeni organizacijo in njena podrejena telesa, ki jih ureja mednarodno javno pravo ali kateri koli drugo telo, ustanovljeno s sporazumom med dvema ali več državami ali na podlagi takega sporazuma.

POGLAVJE II

Načela

Člen 5

Načela v zvezi z obdelavo osebnih podatkov

1.   Osebni podatki so:

(a)

obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki („zakonitost, pravičnost in preglednost“);

(b)

zbrani za določene, izrecne in zakonite namene ter se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) ne velja za nezdružljivo s prvotnimi nameni („omejitev namena“);

(c)

ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“);

(d)

točni in, kadar je to potrebno, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo („točnost“);

(e)

hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko shranjujejo za daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki („omejitev shranjevanja“);

(f)

obdelujejo se na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“).

2.   Upravljavec je odgovoren za skladnost z odstavkom 1 in je to skladnost tudi zmožen dokazati („odgovornost“).

Člen 6

Zakonitost obdelave

1.   Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)

posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)

obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)

obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)

obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)

obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)

obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Točka (f) prvega pododstavka se ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

2.   Države članice lahko ohranijo ali uvedejo podrobnejše določbe, da bi prilagodile uporabo pravil te uredbe v zvezi z obdelavo osebnih podatkov za zagotovitev skladnosti s točkama (c) in (e) odstavka 1, tako da podrobneje opredelijo posebne zahteve v zvezi z obdelavo ter druge ukrepe za zagotovitev zakonite in poštene obdelave, tudi za druge posebne primere obdelave iz poglavja IX.

3.   Podlaga za obdelavo iz točk (c) in (e) odstavka 1 je določena v skladu s:

(a)

pravom Unije; ali

(b)

pravom države članice, ki velja za upravljavca.

Namen obdelave se določi v navedeni pravni podlagi ali pa je ta v primeru obdelave iz točke (e) odstavka 1 potrebna za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene upravljavcu. Navedena pravna podlaga lahko vključuje posebne določbe, s katerimi se prilagodi uporaba pravil iz te uredbe, med drugim: splošne pogoje, ki urejajo zakonitost obdelave podatkov s strani upravljavca; vrste podatkov, ki se obdelujejo; zadevne posameznike, na katere se nanašajo osebni podatki; subjekte, katerim se osebni podatki lahko razkrijejo, in namene, za katere se lahko razkrijejo; omejitve namena; obdobja hrambe; ter dejanja obdelave in postopke obdelave, vključno z ukrepi za zagotovitev zakonite in poštene obdelave, kot tiste za druge posebne primere obdelave iz poglavja IX. Pravo Unije ali pravo države članice izpolnjuje cilj javnega interesa in je sorazmerno z zakonitim ciljem, za katerega si prizadeva.

4.   Kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na pravu Unije ali pravu države članice, kar predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz člena 23(1), upravljavec, da bi ocenil, ali je obdelava za drug namen združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, med drugim upošteva:

(a)

kakršno koli povezavo med nameni, za katere so bili osebni podatki zbrani, in nameni načrtovane nadaljnje obdelave;

(b)

okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in upravljavcem;

(c)

naravo osebnih podatkov, zlasti ali se obdelujejo posebne vrste osebnih podatkov v skladu s členom 9 ali pa se obdelujejo osebni podatki v zvezi s kazenskimi obsodbami in prekrški v skladu s členom 10;

(d)

morebitne posledice načrtovane nadaljnje obdelave za posameznike, na katere se nanašajo osebni podatki;

(e)

obstoj ustreznih zaščitnih ukrepov, ki lahko vključujejo šifriranje ali psevdonimizacijo.

Člen 7

Pogoji za privolitev

1.   Kadar obdelava temelji na privolitvi, mora biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov.

2.   Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana v pisni izjavi, ki se nanaša tudi na druge zadeve, se zahteva za privolitev predloži na način, ki se jasno razlikuje od drugih zadev, v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. Deli take izjave, ki predstavljajo kršitev te uredbe, niso zavezujoči.

3.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. O tem se pred privolitvijo obvesti posameznik, na katerega se nanašajo osebni podatki. Privolitev je enako enostavno preklicati kot dati.

4.   Pri ugotavljanju, ali je bila privolitev dana prostovoljno, se med drugim zlasti upošteva, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe.

Člen 8

Pogoji, ki se uporabljajo za privolitev otroka v zvezi s storitvami informacijske družbe

1.   Kadar se uporablja točka (a) člena 6(1), je v zvezi s storitvami informacijske družbe, ki se ponujajo neposredno otroku, obdelava osebnih podatkov otroka zakonita, kadar ima otrok vsaj 16 let. Kadar je otrok mlajši od 16 let, je takšna obdelava zakonita le, če in kolikor takšno privolitev da ali odobri nosilec starševske odgovornosti za otroka.

Države članice lahko za te namene z zakonom določijo nižjo starost, če ta starost ni nižja od 13 let.

2.   Upravljavec si ob upoštevanju razpoložljive tehnologije v takih primerih razumno prizadeva za preveritev, ali je nosilec starševske odgovornosti za otroka dal ali odobril privolitev.

3.   Odstavek 1 ne vpliva na splošno pogodbeno pravo držav članic, kot so pravila o veljavnosti, oblikovanju ali učinku pogodbe v zvezi z otrokom.

Člen 9

Obdelava posebnih vrst osebnih podatkov

1.   Prepovedani sta obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

2.   Odstavek 1 se ne uporablja, če velja eno od naslednjega:

(a)

posameznik, na katerega se nanašajo osebni podatki, je dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije ali pravo države članice določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1;

(b)

obdelava je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika, na katerega se nanašajo osebni podatki, na področju delovnega prava ter prava socialne varnosti in socialnega varstva, če to dovoljuje pravo Unije ali pravo države članice ali kolektivna pogodba v skladu s pravom države članice, ki zagotavlja ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki;

(c)

obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;

(d)

obdelavo v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi izvaja ustanova, združenje ali katero koli drugo neprofitno telo s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane telesa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se osebni podatki ne posredujejo zunaj tega telesa brez privolitve posameznikov, na katere se nanašajo osebni podatki;

(e)

obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi;

(f)

obdelava je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali kadar koli sodišča izvajajo svojo sodno pristojnost;

(g)

obdelava je potrebna iz razlogov bistvenega javnega interesa na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki;

(h)

obdelava je potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali prava države članice ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz odstavka 3;

(i)

obdelava je potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov, na podlagi prava Unije ali prava države članice, ki zagotavlja ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti;

(j)

obdelava je potrebna za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1) na podlagi prava Unije ali prava države članice, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki.

3.   Osebni podatki iz odstavka 1 se lahko obdelujejo v namene iz točke (h) odstavka 2, kadar jih obdeluje ali je za njihovo obdelavo odgovoren strokovnjak, za katerega velja obveznost varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi, ali druga oseba, za katero tudi velja obveznost varovanja skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi.

4.   Države članice lahko ohranijo ali uvedejo dodatne pogoje, tudi omejitve, glede obdelave genetskih, biometričnih ali podatkov v zvezi z zdravjem.

Člen 10

Obdelava osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški

Obdelava osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški ali s tem povezanimi varnostnimi ukrepi na podlagi člena 6(1) se izvaja le pod nadzorom uradnega organa ali če obdelavo dovoljuje pravo Unije ali pravo države članice, ki zagotavlja ustrezne zaščitne ukrepe za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki. Kakršni koli celoviti registri kazenskih obsodb se vodijo samo pod nadzorom uradnega organa.

Člen 11

Obdelava, ki ne zahteva identifikacije

1.   Če upravljavec za namene, za katere obdeluje osebne podatke, ne potrebuje ali ne potrebuje več identifikacije posameznika, na katerega se nanašajo osebni podatki, upravljavec ni zavezan ohraniti, pridobiti ali obdelati dodatnih informacij, da bi identificiral posameznika, na katerega se nanašajo osebni podatki, samo zaradi zagotavljanja skladnosti s to uredbo.

2.   Kadar lahko upravljavec v primerih iz odstavka 1 tega člena dokaže, da ne more identificirati posameznika, na katerega se nanašajo osebni podatki, upravljavec o tem po možnosti ustrezno obvesti posameznika, na katerega se nanašajo osebni podatki. V takih primerih se členi 15 do 20 ne uporabljajo, razen kadar posameznik, na katerega se nanašajo osebni podatki, za uresničevanje svojih pravic na podlagi teh členov zagotovi dodatne informacije, s katerimi ga je mogoče identificirati.

POGLAVJE III

Pravice posameznika, na katerega se nanašajo osebni podatki

Oddelek 1

Preglednost in načini

Člen 12

Pregledne informacije, sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki

1.   Upravljavec sprejme ustrezne ukrepe, s katerimi zagotovi posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz členov 13 in 14 ter sporočila iz členov 15 do 22 in 34, povezana z obdelavo, v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku, kar velja zlasti za vse informacije, namenjene posebej otroku. Informacije se posredujejo v pisni obliki ali z drugimi sredstvi, vključno, kjer je ustrezno z elektronskimi sredstvi. Na zahtevo posameznika, na katerega se nanašajo osebni podatki, se lahko informacije predložijo ustno, pod pogojem, da se identiteta posameznika, na katerega se nanašajo osebni podatki, dokaže z drugimi sredstvi.

2   Upravljavec posamezniku, na katerega se nanašajo osebni podatki, olajša uresničevanje njegovih pravic iz členov 15 do 22. V primerih iz člena 11(2) upravljavec ne zavrne ukrepanja na zahtevo posameznika, na katerega se nanašajo osebni podatki, za uresničevanje njegovih pravic iz členov 15 do 22, razen če upravljavec dokaže, da ne more identificirati posameznika, na katerega se nanašajo osebni podatki.

3.   Upravljavec informacije o ukrepih, sprejetih na zahtevo v skladu s členi 15 do 22, posamezniku, na katerega se nanašajo osebni podatki, zagotovi brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, se informacije, kadar je mogoče, zagotovijo z elektronskimi sredstvi, razen če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače.

4.   Če upravljavec ne ukrepa na zahtevo posameznika, na katerega se nanašajo osebni podatki, upravljavec takega posameznika brez odlašanja, najpozneje pa v enem mesecu po prejemu zahteve, obvesti o razlogih za neukrepanje ter o možnosti vložitve pritožbe pri nadzornem organu in možnosti uveljavljanja pravnih sredstev.

5.   Informacije, zagotovljene na podlagi členov 13 in 14, ter vsa sporočila in ukrepi, sprejeti na podlagi členov 15 do 22 in 34, se zagotovijo brezplačno. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane zlasti ker se ponavljajo, lahko upravljavec:

(a)

zaračuna razumno pristojbino, pri čemer upošteva upravne stroške posredovanja informacij ali sporočila ali izvajanja zahtevanega ukrepa, ali

(b)

zavrne ukrepanje v zvezi z zahtevo.

Upravljavec nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

6.   Brez poseganja v člen 11 lahko upravljavec, kadar ima upravičen dvom v zvezi z identiteto posameznika, ki predloži zahtevo iz členov 15 do 21, zahteva zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki.

7.   Informacije, ki se zagotovijo posameznikom, na katere se nanašajo osebni podatki, v skladu s členoma 13 in 14 se lahko navedejo skupaj z uporabo standardiziranih ikon, da se v jasno razvidni, razumljivi in berljivi obliki zagotovi smiseln pregled načrtovane obdelave. Kadar so ikone navedene v elektronski obliki, so strojno berljive.

8.   Komisija je v skladu s členom 92 pooblaščena za sprejemanje delegiranih aktov z namenom določitve informacije, ki se navedejo v standardiziranih ikonah, in postopkov za določitev standardiziranih ikon.

Oddelek 2

Informacije in dostop do osebnih podatkov

Člen 13

Informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki

1.   Kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije:

(a)

identiteto in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

(b)

kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

(c)

namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

(d)

kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

(e)

uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo;

(f)

kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

2.   Poleg informacij iz odstavka 1 upravljavec takrat, ko pridobi osebne podatke posamezniku, na katerega se ti nanašajo, zagotovi naslednje dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave:

(a)

obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(b)

obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora obdelavi in pravice do prenosljivosti podatkov;

(c)

kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

(d)

pravico do vložitve pritožbe pri nadzornem organu;

(e)

ali je zagotovitev osebnih podatkov statutarna ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo, in

(f)

obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

3.   Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki zbrani, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.

4.   Odstavki 1, 2 in 3 se ne uporabljajo, kadar in kolikor posameznik, na katerega se nanašajo osebni podatki, že ima informacije.

Člen 14

Informacije, ki jih je treba zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo

1.   Kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se ti nanašajo, upravljavec posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje informacije:

(a)

istovetnost in kontaktne podatke upravljavca in njegovega predstavnika, kadar ta obstaja;

(b)

kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

(c)

namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

(d)

vrste zadevnih osebnih podatkov;

(e)

uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;

(f)

kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 46 ali 47 ali drugega pododstavka člena 49(1) sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

2.   Upravljavec poleg informacij iz odstavka 1 posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje informacije, ki so potrebne za zagotavljanje poštene in pregledne obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki:

(a)

obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(b)

kadar obdelava temelji na točki (f) člena 6(1), zakonite interese, za uveljavljanje katerih si prizadeva upravljavec ali tretja oseba;

(c)

obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, in obstoj pravice do ugovora obdelavi ter pravice do prenosljivosti podatkov;

(c)

kadar obdelava temelji na točki (a) člena 6(1) ali točki (a) člena 9(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

(e)

pravico do vložitve pritožbe pri nadzornem organu;

(f)

od kje izvirajo osebni podatki in po potrebi, ali izvirajo iz javno dostopnih virov, in

(g)

obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

3.   Upravljavec zagotovi informacije iz odstavkov 1 in 2:

(a)

v razumnem roku po prejemu osebnih podatkov, vendar najpozneje v enem mesecu, pri čemer se upoštevajo posebne okoliščine, v katerih se obdelujejo osebni podatki;

(b)

če se bodo osebni podatki uporabili za komuniciranje s posameznikom, na katerega se nanašajo osebni podatki, najpozneje ob prvem komuniciranju s tem posameznikom, ali

(c)

če je predvideno razkritje drugemu uporabniku, najpozneje ob prvem razkritju osebnih podatkov.

4.   Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki pridobljeni, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.

5.   Odstavki 1 do 4 se ne uporabljajo, kadar in kolikor:

(a)

posameznik, na katerega se nanašajo osebni podatki, že ima informacije;

(b)

se izkaže, da je zagotavljanje takih informacij nemogoče ali bi vključevalo nesorazmeren napor, zlasti pri obdelavi v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, pod pogoji in ob upoštevanju zaščitnih ukrepov iz člena 89(1) ali kolikor bi obveznost iz odstavka 1 tega člena lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave. V takih primerih upravljavec sprejme ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, tudi tako, da informacije objavi;

(c)

je pridobitev ali razkritje izrecno določeno s pravom Unije ali pravom države članice, ki velja za upravljavca in s katerim so določeni ustrezni ukrepi za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ali

(d)

morajo osebni podatki ostati zaupni ob upoštevanju obveznosti varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice, vključno s statutarno obveznostjo varovanja skrivnosti.

Člen 15

Pravica dostopa posameznika, na katerega se nanašajo osebni podatki

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

(a)

namene obdelave;

(b)

vrste zadevnih osebnih podatkov;

(c)

uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

(d)

kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(e)

obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;

(f)

pravico do vložitve pritožbe pri nadzornem organu;

(g)

kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;

(h)

obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 22(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

2.   Kadar se osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, ima posameznik, na katerega se nanašajo osebni podatki, pravico biti obveščen o ustreznih zaščitnih ukrepih v skladu s členom 46 v zvezi s prenosom.

3.   Upravljavec zagotovi kopijo osebnih podatkov, ki se obdelujejo. Za dodatne kopije, ki jih zahteva posameznik, na katerega se nanašajo osebni podatki, lahko upravljavec zaračuna razumno pristojbino ob upoštevanju upravnih stroškov. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, in če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače, se informacije zagotovijo v elektronski obliki, ki je splošno uporabljana.

4.   Pravica do pridobitve kopije iz odstavka 3 ne vpliva negativno na pravice in svoboščine drugih.

Oddelek 3

Popravek in izbris

Člen 16

Pravica do popravka

Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave, pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.

Člen 17

Pravica do izbrisa („pravica do pozabe“)

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

(a)

osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;

(b)

posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

(c)

posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi, ali pa posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 21(2);

(d)

osebni podatki so bili obdelani nezakonito;

(e)

osebne podatke je treba izbrisati za izpolnitev pravne obveznosti v skladu s pravom Unije ali pravom države članice, ki velja za upravljavca;

(f)

osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1).

2.   Kadar upravljavec objavi osebne podatke in je v skladu z odstavkom 1 osebne podatke obvezan izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce, ki obdelujejo osebne podatke, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.

3.   Odstavka 1 in 2 se ne uporabljata, če je obdelava potrebna:

(a)

za uresničevanje pravice do svobode izražanja in obveščanja;

(b)

za izpolnjevanje pravne obveznosti obdelave na podlagi prava Unije ali prava države članice, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;

(c)

iz razlogov javnega interesa na področju javnega zdravja v skladu s točkama (h) in (i) člena 9(2) ter členom 9(3);

(d)

za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), kolikor bi pravica iz odstavka 1 lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali

(e)

za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

Člen 18

Pravica do omejitve obdelave

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec omeji obdelavo, kadar velja en od naslednjih primerov:

(a)

posameznik, na katerega se nanašajo osebni podatki, oporeka točnosti podatkov, in sicer za obdobje, ki upravljavcu omogoča preveriti točnost osebnih podatkov;

(b)

je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;

(c)

upravljavec osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;

(d)

je posameznik, na katerega se nanašajo osebni podatki, vložil ugovor v zvezi z obdelavo v skladu s členom 21(1), dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.

2.   Kadar je bila obdelava osebnih podatkov omejena v skladu z odstavkom 1, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le s privolitvijo posameznika, na katerega se ti nanašajo, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali zaradi varstva pravic druge fizične ali pravne osebe ali zaradi pomembnega javnega interesa Unije ali države članice.

3.   Upravljavec, ki je dosegel omejitev obdelave v skladu z odstavkom 1, pred preklicem omejitve obdelave o tem obvesti posameznika, na katerega se nanašajo osebni podatki.

Člen 19

Obveznost obveščanja v zvezi s popravkom ali izbrisom osebnih podatkov ali omejitvijo obdelave

Upravljavec vsakemu uporabniku, ki so mu bili osebni podatki razkriti, sporoči vse popravke ali izbrise osebnih podatkov ali omejitve obdelave v skladu s členom 16, členom 17(1) in členom 18, razen če se to izkaže za nemogoče ali vključuje nesorazmeren napor. Upravljavec o teh uporabnikih obvesti posameznika, na katerega se nanašajo osebni podatki, če ta posameznik tako zahteva.

Člen 20

Pravica do prenosljivosti podatkov

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posedoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, kadar:

(a)

obdelava temelji na privolitvi v skladu s točko (a) člena 6(1) ali točko (a) člena 9(2) ali na pogodbi v skladu s točko (b) člena 6(1), in

(b)

se obdelava izvaja z avtomatiziranimi sredstvi.

2.   Pri uresničevanju pravice do prenosljivosti podatkov v skladu z odstavkom 1 ima posameznik, na katerega se nanašajo osebni podatki, pravico, da se osebni podatki neposredno prenesejo od enega upravljavca k drugemu, kadar je to tehnično izvedljivo.

3.   Uresničevanje pravice iz odstavka 1 tega člena ne posega v člen 17. Ta pravica se ne uporablja za obdelavo, potrebno za opravljanje naloge, ki se izvaja v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.

4.   Pravica iz odstavka 1 ne vpliva negativno na pravice in svoboščine drugih.

Oddelek 4

Pravica do ugovora in avtomatizirano sprejemanje posameznih odločitev

Člen 21

Pravica do ugovora

1.   Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, ki temelji na točki (e) ali (f) člena 6(1), vključno z oblikovanjem profilov na podlagi teh določb. Upravljavec preneha obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

2.   Kadar se osebni podatki obdelujejo za namene neposrednega trženja, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim za namene takega trženja, vključno z oblikovanjem profilov, kolikor je povezano s takim neposrednim trženjem.

3.   Kadar posameznik, na katerega se nanašajo osebni podatki, ugovarja obdelavi za namene neposrednega trženja, se osebni podatki ne obdelujejo več v te namene.

4.   Posameznika, na katerega se nanašajo osebni podatki, se na pravico iz odstavkov 1 in 2 izrecno opozori najpozneje ob prvem komuniciranju z njim in se mu to pravico predstavi jasno in ločeno od vseh drugih informacij.

5.   V okviru uporabe storitev informacijske družbe in ne glede na Direktivo 2002/58/ES lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja pravico do ugovora z avtomatiziranimi sredstvi z uporabo tehničnih specifikacij.

6.   Kadar se osebni podatki obdelujejo v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 89(1), ima posameznik, na katerega se ti podatki nanašajo, pravico, da iz razlogov, povezanih z njegovim posebnim položajem, ugovarja obdelavi osebnih podatkov v zvezi z njim, razen če je obdelava potrebna za opravljanje naloge, ki se izvaja zaradi razlogov javnega interesa.

Člen 22

Avtomatizirano sprejemanje posameznih odločitev, vključno z oblikovanjem profilov

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva.

2.   Odstavek 1 se ne uporablja, če je odločitev:

(a)

nujna za sklenitev ali izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem podatkov;

(b)

dovoljena v pravu Unije ali pravu države članice, ki velja za upravljavca in določa tudi ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ali

(c)

utemeljena z izrecno privolitvijo posameznika, na katerega se nanašajo osebni podatki.

3.   V primerih, navedenih v točkah (a) in (c) odstavka 2, upravljavec podatkov izvede ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja upravljavca, do izražanja lastnega stališča in izpodbijanja odločitve.

4.   Odločitve iz odstavka 2 ne temeljijo na posebnih vrstah osebnih podatkov iz člena 9(1), razen če se uporablja točka (a) ali (g) člena 9(2) in se izvajajo ustrezni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

Oddelek 5

Omejitve

Člen 23

Omejitve

1.   Pravo Unije ali pravo države članice, ki velja za upravljavca ali obdelovalca podatkov, lahko z zakonodajnim ukrepom omeji obseg obveznosti in pravic iz členov 12 do 22 in člena 34, pa tudi člena 5, kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 12 do 22, če taka omejitev spoštuje bistvo temeljnih pravic in svoboščin ter je potreben in sorazmeren ukrep v demokratični družbi za zagotavljanje:

(a)

državne varnosti;

(b)

obrambe;

(c)

javne varnosti;

(d)

preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem;

(e)

drugih pomembnih ciljev v splošnem javnem interesu Unije ali države članice, zlasti pomembnega gospodarskega ali finančnega interesa Unije ali države članice, vključno z denarnimi, proračunskimi in davčnimi zadevami, javnim zdravjem in socialno varnostjo;

(f)

varstva neodvisnosti sodstva in sodnega postopka;

(g)

preprečevanja, preiskovanja, odkrivanja in pregona kršitev etike v zakonsko urejenih poklicih;

(h)

spremljanja, pregledovanja ali urejanja, povezanega, lahko tudi zgolj občasno, z izvajanjem javne oblasti v primerih iz točk (a) do (e) in (g);

(i)

varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih;

(j)

uveljavljanja civilnopravnih zahtevkov.

2.   Zlasti vsak zakonodajni ukrep iz odstavka 1 vsebuje posebne določbe vsaj, kjer je ustrezno, glede:

(a)

namenov obdelave ali vrst obdelave;

(b)

vrst osebnih podatkov;

(c)

obsega uvedenih omejitev;

(d)

zaščitnih ukrepov za preprečitev zlorab ali nezakonitega dostopa ali prenosa;

(e)

natančnejše ureditve upravljavca ali vrst upravljavcev;

(f)

obdobij hrambe in veljavnih zaščitnih ukrepov, pri čemer se upoštevajo narava, obseg in nameni obdelave ali vrste obdelave;

(g)

tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ter

(h)

pravice posameznikov, na katere se nanašajo osebni podatki, da so obveščeni o omejitvi, razen če bi to posegalo v namen omejitve.

POGLAVJE IV

Upravljavec in obdelovalec

Oddelek 1

Splošne obveznosti

Člen 24

Odgovornost upravljavca

1.   Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.

2.   Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.

3.   Zavezanost k odobrenim kodeksom ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 se lahko uporabi za dokazovanje izpolnjevanja obveznosti upravljavca.

Člen 25

Vgrajeno in privzeto varstvo podatkov

1.   Ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki so povezana z obdelavo in se razlikujejo po verjetnosti in resnosti, upravljavec tako v času določanja sredstev obdelave kot tudi v času same obdelave izvaja ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve te uredbe in zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.

2.   Upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da osebni podatki niso samodejno dostopni nedoločenemu številu posameznikov brez posredovanja zadevnega posameznika.

3.   Odobreni mehanizem potrjevanja v skladu s členom 42 se lahko uporabi za dokazovanje izpolnjevanja obveznosti iz odstavkov 1 in 2 tega člena.

Člen 26

Skupni upravljavci

1.   Dva ali več upravljavcev, ki skupaj določijo namene in načine obdelave, so skupni upravljavci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja obveznosti v skladu s to uredbo, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz členov 13 in 14, razen če in kolikor so dolžnosti vsakega od upravljavcev določene s pravom Unije ali pravom države članice, ki velja za upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki.

2.   Dogovor iz odstavka 1 ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznikov, na katere se nanašajo osebni podatki. Vsebina dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki.

3.   Posameznik, na katerega se nanašajo osebni podatki, lahko ne glede na pogoje dogovora iz odstavka 1 uresničuje svoje pravice v skladu s to uredbo glede vsakega od upravljavcev in proti vsakemu od njih.

Člen 27

Predstavniki upravljavcev ali obdelovalcev, ki nimajo sedeža v Uniji

1.   Kadar se uporablja člen 3(2), upravljavec ali obdelovalec pisno določi predstavnika v Uniji.

2.   Obveznost, določena v odstavku 1 tega člena, ne velja za:

(a)

obdelavo, ki je občasna in v velikem obsegu ne vključuje obdelave posebnih vrst podatkov iz člena 9(1) ali obdelave osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10 ter glede na njeno naravo, okoliščine, obseg in namene verjetno ne bo povzročila tveganja za pravice in svoboščine posameznikov, ali

(b)

javni organ ali telo.

3.   Predstavnik ima sedež v eni od držav članic, kjer so posamezniki, na katere se nanašajo osebni podatki, katerih osebni podatki se obdelujejo v zvezi s ponujanjem blaga ali storitev tem posameznikom ali katerih vedenje se spremlja.

4.   Z namenom zagotavljanja skladnosti s to uredbo upravljavec ali obdelovalec pooblasti predstavnika, ki ga lahko v zvezi z vsemi vprašanji, povezanimi z obdelavo, poleg upravljavca ali obdelovalca ali namesto njega kontaktirajo zlasti nadzorni organi in posamezniki, na katere se nanašajo osebni podatki.

5.   Določitev predstavnika s strani upravljavca ali obdelovalca ne posega v pravne ukrepe, ki bi lahko bili uvedeni zoper samega upravljavca ali obdelovalca.

Člen 28

Obdelovalec

1.   Kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

2.   Obdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

3.   Obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

(a)

osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;

(b)

zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c)

sprejme vse ukrepe, potrebne v skladu s členom 32;

(d)

spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;

(e)

ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f)

upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 32 do 36 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;

(g)

v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;

(h)

da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

V zvezi s točko (h) prvega pododstavka obdelovalec nemudoma obvesti upravljavca, če po njegovem mnenju navodilo krši to uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov.

4.   Kadar obdelovalec zadolži drugega obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu upravljavca, za tega drugega obdelovalca na podlagi pogodbe ali drugega pravnega akta v skladu s pravom Unije ali pravom države članice veljajo enake obveznosti varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem iz odstavka 3, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz te uredbe. Kadar ta drugi obdelovalec ne izpolni obveznosti varstva podatkov, prvi obdelovalec še naprej v celoti odgovarja upravljavcu za izpolnjevanje obveznosti drugega obdelovalca.

5.   Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 s strani obdelovalca se lahko uporabi za dokazovanje zagotavljanja zadostnih jamstev iz odstavkov 1 in 4 tega člena.

6.   Brez poseganja v individualno pogodbo med upravljavcem in obdelovalcem lahko pogodba ali drug pravni akt iz odstavkov 3 in 4 tega člena v celoti ali delno temelji na standardnih pogodbenih določilih iz odstavkov 7 in 8 tega člena, tudi ko so del potrdila, izdanega upravljavcu ali obdelovalcu v skladu s členoma 42 in 43.

7.   Komisija lahko določi standardna pogodbena določila za zadeve iz odstavkov 3 in 4 tega člena ter v skladu s postopkom pregleda iz člena 93(2).

8.   Nadzorni organ lahko sprejme standardna pogodbena določila za zadeve iz odstavkov 3 in 4 tega člena ter v skladu z mehanizmom za skladnost iz člena 63.

9.   Pogodba ali drug pravni akt iz odstavkov 3 in 4 je v pisni obliki, vključno z elektronsko obliko.

10.   Brez poseganja v člene 82, 83 in 84, če obdelovalec krši to uredbo s tem, ko določi namene in sredstva obdelave, se obdelovalec šteje za upravljavca v zvezi s to obdelavo.

Člen 29

Obdelava pod vodstvom upravljavca ali obdelovalca

Obdelovalec in katera koli oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca in ima dostop do osebnih podatkov, teh podatkov ne sme obdelati brez navodil upravljavca, razen če to od njega zahteva pravo Unije ali pravo države članice.

Člen 30

Evidenca dejavnosti obdelave

1.   Vsak upravljavec in predstavnik upravljavca, kadar ta obstaja, vodi evidenco dejavnosti obdelave osebnih podatkov v okviru svoje odgovornosti. Ta evidenca vsebuje vse naslednje informacije:

(a)

naziv ali ime in kontaktne podatke upravljavca in, kadar obstajajo, skupnega upravljavca, predstavnika upravljavca in pooblaščene osebe za varstvo podatkov;

(b)

namene obdelave;

(c)

opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;

(d)

kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;

(e)

kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;

(f)

kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;

(g)

kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).

2.   Vsak obdelovalec in predstavnik obdelovalca, kadar ta obstaja, vodita evidenco vseh vrst dejavnosti obdelave, ki jih izvajata v imenu upravljavca, ki vsebuje:

(a)

naziv ali ime in kontaktne podatke obdelovalca ali obdelovalcev in vsakega upravljavca, v imenu katerega deluje obdelovalec, ter, kadar obstajajo, predstavnika upravljavca ali obdelovalca, in pooblaščene osebe za varstvo podatkov;

(b)

vrste obdelave, ki se izvaja v imenu posameznega upravljavca;

(c)

kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz drugega pododstavka člena 49(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;

(d)

kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 32(1).

3.   Evidence iz odstavkov 1 in 2 so v pisni, vključno v elektronski obliki.

4.   Upravljavec, obdelovalec ali predstavnik upravljavca ali obdelovalca, kadar ta obstaja, nadzornemu organu na zahtevo omogočijo dostop do evidenc.

5.   Obveznosti iz odstavkov 1 in 2 se ne uporabljajo za podjetje ali organizacijo, ki zaposluje manj kot 250 oseb, razen če je verjetno, da obdelava, ki jo izvaja, predstavlja tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in ni občasna, ali obdelava vključuje posebne vrste podatkov iz člena 9(1) ali osebne podatke v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

Člen 31

Sodelovanje z nadzornim organom

Upravljavec in obdelovalec ter, kadar obstajajo, njuni predstavniki, na zahtevo sodelujejo z nadzornim organom pri izvajanju njegovih nalog.

Oddelek 2

Varnost osebnih podatkov

Člen 32

Varnost obdelave

1.   Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

(a)

psevdonimizacijo in šifriranjem osebnih podatkov;

(b)

zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;

(c)

zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

(d)

postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

2.   Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

3.   Zavezanost k odobrenemu kodeksu ravnanja iz člena 40 ali izvajanje odobrenega mehanizma potrjevanja iz člena 42 se lahko uporabi za dokazovanje izpolnjevanja zahtev iz odstavka 1 tega člena.

4.   Upravljavec in obdelovalec zagotovita, da katera koli fizična oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil upravljavca, razen če to od nje zahteva pravo Unije ali pravo države članice.

Člen 33

Uradno obvestilo nadzornemu organu o kršitvi varstva osebnih podatkov

1.   V primeru kršitve varstva osebnih podatkov upravljavec brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej uradno obvesti pristojni nadzorni organ v skladu s členom 55, razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov. Kadar uradno obvestilo nadzornemu organu ni podano v 72 urah, se mu priloži navedbo razlogov za zamudo.

2.   Obdelovalec po seznanitvi s kršitvijo varstva osebnih podatkov brez nepotrebnega odlašanja uradno obvesti upravljavca.

3.   Uradno obvestilo iz odstavka 1 vsebuje vsaj:

(a)

opis vrste kršitve varstva osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;

(b)

sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;

(c)

opis verjetnih posledic kršitve varstva osebnih podatkov;

(d)

opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.

4.   Kadar in kolikor informacij ni mogoče zagotoviti istočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.

5.   Upravljavec dokumentira vsako kršitev varstva osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varstva osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da preveri skladnost s tem členom.

Člen 34

Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov

1.   Kadar je verjetno, da kršitev varstva osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.

2.   V sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena je v jasnem in preprostem jeziku opisana vrsta kršitve varstva osebnih podatkov ter so vsebovane vsaj informacije in ukrepe iz točk (b), (c) in (d) člena 33(3).

3.   Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev:

(a)

upravljavec je izvedel ustrezne tehnične in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena kršitev varstva, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje;

(b)

upravljavec je sprejel naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1 verjetno ne bo več udejanjilo;

(c)

to bi zahtevalo nesorazmeren napor. V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

4.   Če upravljavec posameznika, na katerega se nanašajo osebni podatki, še ni obvestil o kršitvi varstva osebnih podatkov, lahko nadzorni organ to od njega zahteva po preučitvi verjetnosti, da bi kršitev varstva osebnih podatkov povzročila veliko tveganje, ali pa lahko odloči, da je izpolnjen kateri koli od pogojev iz odstavka 3.

Oddelek 3

Ocena učinka v zvezi z varstvom podatkov in predhodno posvetovanje

Člen 35

Ocena učinka v zvezi z varstvom podatkov

1.   Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.

2   Upravljavec pri izvedbi ocene učinka v zvezi z varstvom podatkov za mnenje zaprosi pooblaščeno osebo za varstvo podatkov, kjer je ta imenovana.

3.   Ocena učinka v zvezi z varstvom podatkov iz odstavka 1 se zahteva zlasti v primeru:

(a)

sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;

(b)

obsežne obdelave posebnih vrst podatkov iz člena 9(1) ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10, ali

(c)

obsežnega sistematičnega spremljanja javno dostopnega območja.

4.   Nadzorni organ določi in objavi seznam vrst dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov v skladu z odstavkom 1. Nadzorni organ te sezname posreduje odboru iz člena 68.

5.   Nadzorni organ lahko tudi določi in objavi seznam vrst dejanj obdelave, za katere ne velja zahteva po oceni učinka v zvezi z varstvom podatkov. Nadzorni organ te sezname posreduje odboru.

6.   Pristojni nadzorni organ pred sprejetjem seznamov iz odstavkov 4 in 5 uporabi mehanizem za skladnost iz člena 63, kadar taki seznami vključujejo dejavnosti obdelave, ki so povezane z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, ali s spremljanjem njihovega ravnanja v več državah članicah ali pa lahko znatno vplivajo na prosti pretok osebnih podatkov v Uniji.

7.   Ocena zajema vsaj:

(a)

sistematičen opis predvidenih dejanj obdelave in namenov obdelave, kadar je ustrezno pa tudi zakonitih interesov, za katere si prizadeva upravljavec;

(b)

oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

(c)

oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1, ter

(d)

ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

8.   Pri ocenjevanju učinka dejanj obdelave, ki jih izvajajo upravljavci ali obdelovalci, opravljenem zlasti za namene ocene učinka v zvezi z varstvom podatkov, se upošteva, ali zadevni upravljavci ali obdelovalci spoštujejo odobrene kodekse ravnanja iz člena 40.

9.   Po potrebi upravljavec glede predvidene obdelave zaprosi za mnenje posameznikov, na katere se nanašajo osebni podatki, ali njihovih predstavnikov, brez poseganja v zaščito komercialnega ali javnega interesa ali varnost dejanj obdelave.

10.   Kadar je pravna podlaga za obdelavo v skladu s točko (c) ali (e) člena 6(1) pravo Unije ali pravo države članice, ki velja za upravljavca, to pravo ureja zadevno posebno dejanje obdelave ali niz zadevnih dejanj obdelave, in je bila ocena učinka v zvezi z varstvom podatkov že izvedena v okviru splošne ocene učinkov med sprejemanjem te pravne podlage, se odstavki 1 do 7 ne uporabljajo, razen če države članice menijo, da je treba tako oceno opraviti pred dejavnostmi obdelave.

11.   Upravljavec po potrebi opravi pregled, da bi ocenil, ali obdelava poteka v skladu z oceno učinka v zvezi z varstvom podatkov vsaj takrat, ko se spremeni tveganje, ki ga predstavljajo dejanja obdelave.

Člen 36

Predhodno posvetovanje

1.   Upravljavec se pred obdelavo posvetuje z nadzornim organom, kadar je iz ocene učinka v zvezi z varstvom podatkov iz člena 35 razvidno, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja.

2.   Kadar nadzorni organ meni, da bi predvidena obdelava iz odstavka 1 kršila to uredbo, zlasti kadar upravljavec ni ustrezno opredelil ali ublažil tveganja, nadzorni organ v roku do osmih tednov po prejemu zahteve za posvetovanje pisno svetuje upravljavcu, kadar je ustrezno, pa tudi obdelovalcu, in lahko uporabi katero koli pooblastilo iz člena 58. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša za nadaljnjih šest tednov. Nadzorni organ o vsakem takem podaljšanju obvesti upravljavca in, kadar je potrebno, obdelovalca v enem mesecu od prejema zahteve za posvetovanje, skupaj z razlogi za zamudo. Ta rok se lahko začasno odloži, dokler nadzorni organ ne pridobi informacij, ki jih je zahteval za namene posvetovanja.

3.   Pri posvetovanju z nadzornim organom v skladu z odstavkom 1 upravljavec nadzornemu organu predloži:

(a)

kadar je ustrezno, dolžnosti upravljavca, skupnih upravljavcev in obdelovalcev, vključenih v obdelavo, zlasti pri obdelavi v povezani družbi;

(b)

namene in sredstva predvidene obdelave;

(c)

ukrepe in zaščitne ukrepe za zaščito pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, v skladu s to uredbo;

(d)

kadar je ustrezno, kontaktne podatke pooblaščene osebe za varstvo podatkov;

(e)

oceno učinka v zvezi z varstvom podatkov iz člena 35 in

(f)

vsakršne druge informacije, ki jih zahteva nadzorni organ.

4.   Države članice se med pripravo predloga zakonodajnega ukrepa, ki ga sprejme nacionalni parlament, ali regulativnega ukrepa, ki temelji na takšnem zakonodajnem ukrepu, ki se nanaša na obdelavo, posvetujejo z nadzornim organom.

5.   Ne glede na odstavek 1 lahko pravo države članice od upravljavcev zahteva, naj se posvetujejo z nadzornim organom in od njega prejmejo predhodno dovoljenje v zvezi z obdelavo s strani upravljavca z namenom izvajanja naloge, ki jo upravljavec izvaja v javnem interesu, vključno z obdelavo v zvezi s socialnim varstvom in javnim zdravjem.

Oddelek 4

Pooblaščena oseba za varstvo podatkov

Člen 37

Imenovanje pooblaščene osebe za varstvo podatkov

1.   Upravljavec in obdelovalec imenujeta pooblaščeno osebo za varstvo podatkov vedno, kadar:

(a)

obdelavo opravlja javni organ ali telo, razen sodišč, kadar delujejo kot sodni organ;

(b)

temeljne dejavnosti upravljavca ali obdelovalca zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično obsežno spremljati, ali

(c)

temeljne dejavnosti upravljavca ali obdelovalca zajemajo obsežno obdelavo posebnih vrst podatkov v skladu s členom 9 in osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 10.

2.   Povezana družba lahko imenuje eno pooblaščeno osebo za varstvo podatkov, če je ta pooblaščena oseba za varstvo podatkov lahko dostopna iz vsake enote.

3.   Kadar je upravljavec ali obdelovalec javni organ ali telo, se lahko za več takšnih organov ali teles ob upoštevanju njihove organizacijske strukture in velikosti imenuje ena sama pooblaščena oseba za varstvo podatkov.

4.   V primerih, ki niso navedeni v odstavku 1, upravljavec ali obdelovalec ali združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, smejo imenovati ali, kadar tako zahteva pravo Unije ali pravo države članice, imenujejo pooblaščeno osebo za varstvo podatkov. Pooblaščena oseba za varstvo podatkov lahko deluje v imenu teh združenj in drugih teles, ki predstavljajo upravljavce ali obdelovalce.

5.   Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 39.

6.   Pooblaščena oseba za varstvo podatkov je lahko član osebja upravljavca ali obdelovalca ali pa naloge opravlja na podlagi pogodbe o storitvah.

7.   Upravljavec ali obdelovalec objavi kontaktne podatke pooblaščene osebe za varstvo podatkov in jih sporoči nadzornemu organu.

Člen 38

Položaj pooblaščene osebe za varstvo podatkov

1.   Upravljavec in obdelovalec zagotovita, da je pooblaščena oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.

2.   Upravljavec in obdelovalec pooblaščeni osebi za varstvo podatkov pomagata pri opravljanju nalog iz člena 39, tako da zagotovita sredstva, potrebna za opravljanje teh nalog, in dostop do osebnih podatkov in dejanj obdelave, ter ohranjanje njenega strokovnega znanja.

3.   Upravljavec in obdelovalec zagotovita, da pooblaščena oseba za varstvo podatkov pri opravljanju teh nalog ne prejema nobenih navodil. Pooblaščena oseba za varstvo podatkov ne sme biti razrešena ali kaznovana zaradi opravljanja svojih nalog. Pooblaščena oseba za varstvo podatkov neposredno poroča najvišji upravni ravni upravljavca ali obdelovalca.

4.   Posamezniki, na katere se nanašajo osebni podatki, lahko s pooblaščeno osebo za varstvo podatkov stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov, in uresničevanjem njihovih pravic na podlagi te uredbe.

5.   Pooblaščena oseba za varstvo podatkov je pri opravljanju svojih nalog zavezana varovati skrivnost ali zaupnost v skladu s pravom Unije ali pravom države članice.

6.   Pooblaščena oseba za varstvo podatkov lahko opravlja druge naloge in dolžnosti. Upravljavec ali obdelovalec zagotovi, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov.

Člen 39

Naloge pooblaščene osebe za varstvo podatkov

1.   Pooblaščena oseba za varstvo podatkov ima vsaj naslednje naloge:

(a)

obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to uredbo in drugimi določbami prava Unije ali prava države članice o varstvu podatkov;

(b)

spremljanje skladnosti s to uredbo, drugimi določbami prava Unije ali prava države članice o varstvu podatkov in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;

(c)

svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 35;

(d)

sodelovanje z nadzornim organom;

(e)

delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 36, in, kjer je ustrezno, posvetovanje glede katere koli druge zadeve.

2.   Pooblaščena oseba za varstvo podatkov pri opravljanju svojih nalog upošteva tveganje, povezano z dejanji obdelave, ter naravo, obseg, okoliščine in namene obdelave.

Oddelek 5

Kodeksi ravnanja in potrjevanje

Člen 40

Kodeksi ravnanja

1.   Države članice, nadzorni organi, odbor in Komisija spodbujajo pripravljanje kodeksov ravnanja, katerih namen je prispevati k pravilni uporabi te uredbe, ob upoštevanju posebnih značilnosti različnih sektorjev za obdelavo ter posebnih potreb mikro, malih in srednjih podjetij.

2.   Združenja in druga telesa, ki predstavljajo vrste upravljavcev ali obdelovalcev, lahko pripravijo kodekse ravnanja oziroma takšne kodekse spremenijo ali razširijo z namenom podrobneje obrazložiti uporabo te uredbe, kot na primer glede:

(a)

poštene in pregledne obdelave;

(b)

zakonitih interesov, za katere si prizadevajo upravljavci v posebnih okoliščinah;

(c)

zbiranje osebnih podatkov;

(d)

psevdonimizacije osebnih podatkov;

(e)

obveščanja javnosti in posameznikov, na katere se nanašajo osebni podatki;

(f)

uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki;

(g)

obveščanja in zaščite otrok ter načina, kako pridobiti privolitev nosilca starševske odgovornosti za otroka;

(h)

ukrepi in postopki iz členov 24 in 25 ter ukrepi za zagotovitev varnosti obdelave iz člena 32;

(i)

uradno obveščanje nadzornih organov o kršitvah varstva osebnih podatkov in obveščanje posameznikov, na katere se nanašajo osebni podatki, o takšnih kršitvah varstva osebnih podatkov;

(j)

prenos osebnih podatkov v tretje države ali mednarodne organizacije, ali

(k)

izvensodni postopki in drugi postopki reševanja sporov za reševanje sporov med upravljavci in posamezniki, na katere se nanašajo osebni podatki, v zvezi z obdelavo, brez poseganja v pravice posameznikov, na katere se nanašajo osebni podatki, v skladu s členoma 77 in 79.

3.   Poleg tega, da so h kodeksom ravnanja, ki so bili odobreni v skladu z odstavkom 5 tega člena in so splošno veljavni v skladu z odstavkom 9 tega člena, zavezani upravljavci ali obdelovalci, za katere se uporablja ta uredba, se k njim lahko zavežejo tudi upravljavci ali obdelovalci, za katere se ta uredba v skladu s členom 3 ne uporablja, da se zagotovijo ustrezni zaščitni ukrepi v okviru prenosa osebnih podatkov v tretje države ali mednarodne organizacije v skladu s pogoji iz točke (e) člena 46(2). Taki upravljavci ali obdelovalci s pogodbenimi ali drugimi pravno zavezujočimi instrumenti sprejmejo zavezujoče in izvršljive zaveze, da bodo uporabljali ustrezne zaščitne ukrepe, vključno glede pravic posameznikov, na katere se nanašajo osebni podatki.

4.   Kodeks ravnanja iz odstavka 2 tega člena vsebuje mehanizme, ki organu iz člena 41(1) omogočajo izvajanje obveznega spremljanja skladnosti z njegovimi določbami s strani upravljavcev ali obdelovalcev, ki se zavežejo k njegovi uporabi, brez poseganja v naloge in pooblastila nadzornih organov, pristojnih v skladu s členom 55 ali 56.

5.   Združenja in druga telesa iz odstavka 2 tega člena, ki nameravajo pripraviti kodeks ravnanja oziroma spremeniti ali razširiti veljaven kodeks, predložijo osnutek kodeksa, spremembo ali razširitev nadzornemu organu, pristojnemu v skladu s členom 55. Nadzorni organ poda mnenje, ali je osnutek kodeksa, sprememba ali razširitev skladna s to uredbo, in takšen osnutek kodeksa, spremembo ali razširitev potrdi, če oceni, da zagotavlja zadostne ustrezne zaščitne ukrepe.

6.   Kadar se osnutek kodeksa, sprememba ali razširitev odobri v skladu z odstavkom 5 in kadar se zadevni kodeks ravnanja ne nanaša na dejavnosti obdelave v več državah članicah, nadzorni organ kodeks registrira in objavi.

7.   Kadar se osnutek kodeksa ravnanja nanaša na dejavnosti obdelave v več državah članicah, nadzorni organ, ki je pristojen v skladu s členom 55, pred odobritvijo osnutka kodeksa, spremembe ali razširitve predloži v postopek iz člena 63 odboru, ki poda mnenje o tem, ali je osnutek kodeksa, sprememba ali razširitev skladna s to uredbo oziroma v primeru iz odstavka 3 tega člena zagotavlja ustrezne zaščitne ukrepe.

8.   Kadar mnenje iz odstavka 7 potrdi, da so osnutek kodeksa, spremembo ali razširitev skladni s to uredbo ali v primeru iz odstavka 3 zagotavljajo ustrezne zaščitne ukrepe, odbor svoje mnenje predloži Komisiji.

9.   Komisija lahko z izvedbenimi akti sklene, da so odobren kodeks ravnanja, sprememba ali razširitev, ki so ji bili predloženi na podlagi odstavka 8 tega člena, v Uniji splošno veljavni. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

10.   Komisija zagotovi ustrezno objavo odobrenih kodeksov, za katere je v skladu z odstavkom 9 sklenila, da so splošno veljavni.

11.   Odbor zbira vse odobrene kodekse ravnanja, spremembe in razširitve v registru in jih objavi na ustrezne načine.

Člen 41

Spremljanje odobrenih kodeksov ravnanja

1.   Brez poseganja v naloge in pooblastila pristojnega nadzornega organa iz členov 57 in 58 lahko spremljanje skladnosti s kodeksom ravnanja v skladu s členom 40 izvaja organ, ki ima ustrezno raven strokovnega znanja v zvezi z vsebino kodeksa in ga je v ta namen pooblastil pristojni nadzorni organ.

2.   Organ iz odstavka 1 se lahko pooblasti za spremljanje skladnosti s kodeksom ravnanja, kadar je ta organ:

(a)

pristojnemu nadzornemu organu zadovoljivo dokazal neodvisnost in strokovno znanje v zvezi z vsebino kodeksa;

(b)

vzpostavil postopke, ki mu omogočajo, da oceni upravičenost zadevnih upravljavcev in obdelovalcev do uporabe kodeksa, da spremlja njihovo skladnost z določbami kodeksa ter da redno pregleduje njegovo delovanje;

(c)

vzpostavil postopke in strukture za obravnavanje pritožb zaradi kršitev kodeksa ali načina, kako je kodeks izvajal ali ga izvaja upravljavec ali obdelovalec, ter za omogočanje preglednosti teh postopkov in struktur za posameznike, na katere se nanašajo osebni podatki, in javnost, in

(d)

pristojnemu nadzornemu organu zadovoljivo dokazal, da zaradi njegovih nalog in dolžnosti ne pride do nasprotja interesov.

3.   Pristojni nadzorni organ osnutek meril za pooblastitev organa iz odstavka 1 tega člena v skladu z mehanizmom za skladnost iz člena 63 predloži odboru.

4.   Brez poseganja v naloge in pooblastila pristojnega nadzornega organa ter določbe poglavja VIII organ iz odstavka 1 tega člena ob ustreznih zaščitnih ukrepih v primerih kršitve kodeksa s strani upravljavca ali obdelovalca sprejme ustrezne ukrepe, vključno z začasno ali dokončno prepovedjo zadevnemu upravljavcu ali obdelovalcu, da uporablja kodeks. O takšnih ukrepih in razlogih zanje obvesti pristojni nadzorni organ.

5.   Pristojni nadzorni organ organu iz odstavka 1 pooblastilo prekliče, če pogoji za pooblastitev niso ali niso več izpolnjeni ali kadar ukrepi, ki jih sprejme organ, kršijo to uredbo.

6.   Ta člen se ne uporablja za obdelavo, ki jo izvajajo javni organi in telesa.

Člen 42

Potrjevanje

1.   Države članice, nadzorni organi, odbor in Komisija zlasti na ravni Unije spodbujajo vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov za dokazovanje, da so dejanja obdelave s strani upravljavcev in obdelovalcev v skladu s to uredbo. Upoštevajo se posebne potrebe mikro, malih in srednjih podjetij.

2.   Poleg tega, da se mehanizmi potrjevanja, pečate ali označbe za varstvo podatkov, odobrene v skladu z odstavkom 5 tega člena, uporabljajo za upravljavce ali obdelovalce, za katere se uporablja ta uredba, se lahko vzpostavijo tudi za dokazovanje obstoja ustreznih zaščitnih ukrepov, ki jih upravljavci ali obdelovalci, za katere se ta uredba v skladu s členom 3 ne uporablja, zagotavljajo v okviru prenosa osebnih podatkov v tretje države ali mednarodne organizacije v skladu s pogoji iz točke (f) člena 46(2). Takšni upravljavci ali obdelovalci s pogodbenimi ali drugimi pravno zavezujočimi instrumenti sprejmejo zavezujoče in izvršljive zaveze, da bodo uporabljali ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki.

3.   Potrjevanje je prostovoljno in se zagotavlja v okviru postopka, ki je pregleden.

4.   Potrdilo v skladu s tem členom ne zmanjšuje odgovornosti upravljavca ali obdelovalca za skladnost s to uredbo ter ne posega v naloge in pooblastila nadzornih organov, ki so pristojni v skladu s členom 55 ali 56.

5.   Potrdilo v skladu s tem členom izdajo organi za potrjevanje iz člena 43 ali pristojni nadzorni organ, in sicer na podlagi meril, ki jih odobri ta pristojni nadzorni organ na podlagi člena 58(3) ali odbor na podlagi člena 63. Kadar merila odobri odbor, je lahko rezultat meril skupno potrjevanje, evropski pečat za varstvo podatkov.

6   Upravljavec ali obdelovalec, ki svojo obdelavo predloži v mehanizem potrjevanja, organu za potrjevanje iz člena 43 ali, kadar je ustrezno, pristojnemu nadzornemu organu zagotovi vse informacije in dostop do svojih dejavnosti obdelave, ki so potrebni za izvedbo postopka potrjevanja.

7.   Potrdilo se izda upravljavcu ali obdelovalcu za obdobje največ treh let in se pod enakimi pogoji lahko podaljša, če so zadevne zahteve še naprej izpolnjene. Organi za potrjevanje iz člena 43 ali pristojni nadzorni organ, kakor je ustrezno, potrdilo prekličejo, kadar zahteve v zvezi s potrdilom niso ali niso več izpolnjene.

8.   Odbor zbira v registru vse mehanizme potrjevanja ter pečate in označbe za varstvo podatkov in jih objavi na kakšne koli ustrezne načine.

Člen 43

Organi za potrjevanje

1.   Brez poseganja v naloge in pooblastila pristojnega nadzornega organa iz členov 57 in 58 potrdilo izda in podaljša organ za potrjevanje, ki ima ustrezno raven strokovnega znanja v zvezi z varstvom podatkov, in sicer potem, ko obvesti nadzorni organ, da se mu po potrebi dovoli izvajanje pooblastil v skladu s točko (h) člena 58(2). Države članice zagotovijo, da so ti organi za potrjevanje pooblaščeni s strani enega ali obeh od naslednjih:

(a)

nadzornega organa, ki je pristojen na podlagi člena 55 ali 56;

(b)

nacionalnega akreditacijskega organa, imenovanega v skladu z Uredbo (ES) št. 765/2008 Evropskega parlamenta in Sveta (20) v skladu z EN-ISO/IEC 17065/2012 in dodatnimi zahtevami, ki jih določi nadzorni organ, ki je pristojen na podlagi člena 55 ali 56.

2.   Organi za potrjevanje iz odstavka 1 se lahko v skladu z navedenim odstavkom pooblastijo le, kadar so:

(a)

pristojnemu nadzornemu organu zadovoljivo dokazali svojo neodvisnost in strokovno znanje v zvezi z vsebino potrjevanja;

(b)

se zavezali, da bodo izpolnjevali merila iz člena 42(5), ki jih potrdi nadzorni organ, pristojen na podlagi člena 55 ali 56, ali odbor na podlagi člena 63;

(c)

vzpostavili postopke za izdajo, redne preglede in preklic potrjevanja, pečatov in označb za varstvo podatkov;

(d)

vzpostavili postopke in strukture za obravnavanje pritožb zaradi kršitev potrjevanja ali načina, kako je potrjevanje izvajal ali ga izvaja upravljavec ali obdelovalec, ter za omogočanje preglednosti teh postopkov in struktur za posameznike, na katere se nanašajo osebni podatki, in javnost, ter

(e)

pristojnemu nadzornemu organu zadovoljivo dokazali, da zaradi svojih nalog in dolžnosti ne pride do nasprotja interesov.

3.   Organi za potrjevanje iz odstavkov 1 in 2 tega člena se pooblastijo na podlagi meril, ki jih potrdi nadzorni organ, ki je pristojen na podlagi člena 55 ali 56, ali odbor na podlagi člena 63. V primeru pooblastitve iz točke (c) odstavka 1 tega člena te zahteve dopolnjujejo tiste, ki so določene v Uredbi (ES) št. 765/2008, in tehnična pravila v zvezi z metodami in postopki organov za potrjevanje.

4.   Organi za potrjevanje iz odstavka 1 so odgovorni za ustrezno ocenjevanje, ki privede do potrdila ali preklica takšnega potrdila, brez poseganja v odgovornost upravljavca ali obdelovalca za skladnost s to uredbo. Pooblastilo se izda za obdobje največ petih let in se pod enakimi pogoji lahko podaljša, če organ za potrjevanje izpolnjuje zahteve, določene v tem členu.

5.   Organi za potrjevanje iz odstavka 1 pristojnim nadzornim organom utemeljijo dodelitev ali preklic zahtevanega potrdila.

6.   Nadzorni organ zahteve iz odstavka 3 tega člena in merila iz člena 42(5) objavi v lahko dostopni obliki. Nadzorni organi te zahteve in merila pošljejo tudi odboru. Odbor zbira v registru vse mehanizme potrjevanja in pečate za varstvo podatkov ter jih objavi na kakršne koli ustrezne načine.

7.   Pristojni nadzorni organ ali nacionalni akreditacijski organ brez poseganja v določbe poglavja VIII prekliče pooblastilo organu za potrjevanje na podlagi odstavka 1 tega člena, kadar pogoji za pooblastilo niso ali niso več izpolnjeni ali kadar ukrepi, ki jih sprejme organ za potrjevanje, kršijo to uredbo.

8.   Na Komisijo se v skladu s členom 92 prenese pooblastilo za sprejemanje delegiranih aktov, s katerimi določi zahteve, ki se upoštevajo za mehanizme potrjevanja za varstvo podatkov iz člena 42(1).

9.   Komisija lahko sprejme izvedbene akte, s katerimi določi tehnične standarde za mehanizme potrjevanja ter pečate in označbe za varstvo podatkov ter mehanizme za spodbujanje uporabe in priznavanje teh mehanizmov potrjevanja, pečatov in označb. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

POGLAVJE V

Prenos osebnih podatkov v tretje države ali mednarodne organizacije

Člen 44

Splošno načelo za prenose

Vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, se ob upoštevanju drugih določb te uredbe izvede le, če upravljavec in obdelovalec ravnata v skladu s pogoji iz tega poglavja, kar velja tudi za nadaljnje prenose osebnih podatkov iz tretje države ali mednarodne organizacije v drugo tretjo državo ali drugo mednarodno organizacijo. Vse določbe tega poglavja se uporabljajo za zagotovitev, da ni ogrožena raven varstva posameznikov, ki jo zagotavlja ta uredba.

Člen 45

Prenosi na podlagi sklepa o ustreznosti

1.   Prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo se lahko izvede, če Komisija odloči, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno posebno dovoljenje.

2.   Komisija pri ocenjevanju ustreznosti ravni varstva upošteva zlasti naslednje elemente:

(a)

načelo pravne države, spoštovanje človekovih pravic in temeljnih svoboščin, ustrezno splošno in področno zakonodajo, tudi na področju javne varnosti, obrambe, nacionalne varnosti in kazenskega prava ter dostopa javnih organov do osebnih podatkov, pa tudi izvajanje take zakonodaje, pravila o varstvu podatkov, strokovna pravila ter varnostne ukrepe, vključno s pravili za nadaljnji prenos osebnih podatkov v drugo tretjo državo ali mednarodno organizacijo, ki se spoštujejo v navedeni tretji državi ali mednarodni organizaciji, sodno prakso, pa tudi dejanske in izvršljive pravice ter učinkovito upravno in sodno varstvo posameznikov, na katere se nanašajo osebni podatki, ki se prenašajo;

(b)

obstoj enega ali več učinkovito delujočih neodvisnih nadzornih organov v tretji državi članici ali pristojnih za mednarodno organizacijo, ki so odgovorni za zagotavljanje in izvrševanje predpisov o varstvu podatkov, kar vključuje tudi ustrezna pooblastila za izvrševanje,za pomoč in svetovanje posameznikom, na katere se nanašajo osebni podatki, pri uresničevanju njihovih pravic ter za sodelovanje z nadzornimi organi držav članic, in

(c)

mednarodne zaveze, ki jih je sprejela zadevna tretja država ali mednarodna organizacija, ali druge obveznosti, ki izhajajo iz pravno zavezujočih konvencij ali instrumentov, pa tudi iz sodelovanja tretje države ali mednarodne organizacije v večstranskih ali regionalnih sistemih, zlasti glede varstva osebnih podatkov.

3.   Komisija lahko po oceni ustreznosti ravni varstva z izvedbenim aktom odloči, da tretja država, ozemlje ali en ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva v smislu odstavka 2 tega člena. V izvedbenem aktu se določi mehanizem za redni pregled, vsaj vsaka štiri leta, ki v celoti upošteva razvoj dogodkov na zadevnem področju v tretji državi ali mednarodni organizaciji. V izvedbenem aktu se določi njegova ozemeljska veljavnost in sektorska uporaba ter, kadar je ustrezno, opredeli nadzorni organ ali organi iz točke (b) odstavka 2 tega člena. Izvedbeni akt se sprejme v skladu s postopkom pregleda iz člena 93(2).

4.   Komisija redno spremlja razvoj dogodkov v tretjih državah in mednarodnih organizacijah, ki bi lahko vplival na izvajanje sklepov, sprejetih v skladu z odstavkom 3 tega člena, in odločitev, sprejetih na podlagi člena 25(6) Direktive 95/46/ES.

5.   Komisija v primeru, ko razpoložljive informacije, zlasti na podlagi pregleda iz odstavka 3 tega člena, pokažejo, da tretja država, ozemlje ali eden ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva v smislu odstavka 2 tega člena, z izvedbenim aktom, v potrebnem obsegu, razveljavi, spremeni ali začasno odloži izvajanje sklepa iz odstavka 3 tega člena brez retroaktivnega učinka. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

V ustrezno utemeljenih izredno nujnih primerih Komisija v skladu s postopkom iz člena 93(3) sprejme izvedbene akte, ki se začnejo takoj uporabljati.

6.   Komisija se začne posvetovati s tretjo državo ali mednarodno organizacijo, kako izboljšati stanje, zaradi katerega je bil sprejet sklep na podlagi odstavka 5.

7.   Sklep na podlagi odstavka 5 tega člena ne posega v prenose osebnih podatkov v zadevno tretjo državo, ozemlje ali en ali več določenih sektorjev v tej tretji državi ali mednarodno organizacijo v skladu s členi 46 do 49.

8.   Komisija v Uradnem listu Evropske unije in na svojem spletnem mestu objavi seznam tretjih držav, ozemelj, določenih sektorjev v tretji državi in mednarodnih organizacij, v zvezi s katerimi je sprejela sklep, da zagotavljajo ustrezno raven varstva oziroma je ne zagotavljajo več.

9.   Odločitve, ki jih je Komisija sprejela na podlagi člena 25(6) Direktive 95/46/ES, ostanejo veljavne, dokler jih Komisija ne spremeni, nadomesti ali razveljavi s sklepom, sprejetim v skladu z odstavkom 3 ali 5 tega člena.

Člen 46

Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi

1.   Kadar sklep v skladu s členom 45(3) ni sprejet, lahko upravljavec ali obdelovalec osebne podatke prenese v tretjo državo ali mednarodno organizacijo le, če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe, in pod pogojem, da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva.

2.   Ustrezni zaščitni ukrepi iz odstavka 1 se lahko, ne da bi bilo potrebno posebno dovoljenje nadzornih organov, zagotovijo s:

(a)

pravno zavezujočim in izvršljivim instrumentom, ki ga sprejmejo javni organi ali telesa;

(b)

zavezujočimi poslovnimi pravili v skladu s členom 47;

(c)

standardnimi določili o varstvu podatkov, ki jih sprejme Komisija v skladu s postopkom pregleda iz člena 93(2);

(d)

standardnimi določili o varstvu podatkov, ki jih sprejme nadzorni organ in odobri Komisija v skladu s postopkom pregleda iz člena 93(2);

(e)

odobrenim kodeksom ravnanja v skladu s členom 40, skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabljal ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki, ali

(f)

odobrenim mehanizmom potrjevanja v skladu s členom 42, skupaj z zavezujočimi in izvršljivimi zavezami upravljavca ali obdelovalca v tretji državi, da bo uporabljal ustrezne zaščitne ukrepe, tudi glede pravic posameznikov, na katere se nanašajo osebni podatki.

3.   Ustrezni zaščitni ukrepi iz odstavka 1 se lahko z dovoljenjem ustreznega nadzornega organa zagotovijo tudi zlasti s:

(a)

pogodbenimi določili med upravljavcem ali obdelovalcem in upravljavcem, obdelovalcem ali uporabnikom osebnih podatkov v tretji državi ali mednarodni organizaciji, ali

(b)

določbami, ki se vstavijo v upravne dogovore med javnimi organi ali telesi in v katere so vključene izvršljive in učinkovite pravice za posameznike, na katere se nanašajo podatki.

4.   Nadzorni organ v primerih iz odstavka 3 tega člena uporabi mehanizem za skladnost iz člena 63.

5.   Dovoljenja države članice ali nadzornega organa na podlagi člena 26(2) Direktive 95/46/ES ostanejo veljavna, dokler jih zadevni nadzorni organ ne spremeni, nadomesti ali razveljavi, če je to potrebno. Odločitve, ki jih je Komisija sprejela na podlagi člena 26(4) Direktive 95/46/ES, ostanejo veljavne, dokler jih Komisija ne spremeni, nadomesti ali razveljavi, če je to potrebno, z odločitvijo, sprejeto v skladu z odstavkom 2 tega člena.

Člen 47

Zavezujoča poslovna pravila

1.   Pristojni nadzorni organ odobri zavezujoča poslovna pravila v skladu z mehanizmom za skladnost iz člena 63, če:

(a)

so pravno zavezujoča, se uporabljajo za vsakega zadevnega člana povezane družbe ali skupin podjetij, ki skupaj opravljajo gospodarsko dejavnost, tudi za njihove zaposlene, in jih vsak od teh članov izvršuje;

(b)

posameznikom, na katere se nanašajo osebni podatki, izrecno podeljujejo izvršljive pravice v zvezi z obdelavo njihovih osebnih podatkov, ter

(c)

izpolnjujejo zahteve iz odstavka 2.

2.   Zavezujoča poslovna pravila iz odstavka 1 določajo vsaj naslednje:

(a)

strukturo in kontaktne podatke povezane družbe ali skupin podjetij, ki opravljajo skupno gospodarsko dejavnost, in vsakega od njenih članov;

(b)

prenose podatkov ali nize prenosov, vključno z vrstami osebnih podatkov, vrsto obdelave in njenimi nameni, kategorijami posameznikov, na katere se nanašajo osebni podatki in na katere ta pravila vplivajo, ter identifikacijo zadevne tretje države ali držav;

(c)

njihovo pravno zavezujočo naravo, tako notranjo kot zunanjo;

(d)

uporabo splošnih načel o varstvu podatkov, zlasti omejitev namena, najmanjši obseg podatkov, omejen čas hrambe, kakovost podatkov, vgrajeno in privzeto varstvo podatkov, pravno podlago za obdelavo, obdelavo posebnih vrst osebnih podatkov, ukrepe za zagotavljanje varnosti podatkov in zahteve v zvezi z nadaljnjim prenosom na telesa, ki jih zavezujoča poslovna pravila ne zavezujejo;

(e)

pravice posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo in sredstvi za uresničevanje teh pravic, vključno s pravico, da zanje ne veljajo odločitve, ki temeljijo zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, v skladu s členom 22, pravico do vložitve pritožbe pri pristojnem nadzornem organu in pristojnih sodiščih držav članic v skladu s členom 79 ter do pridobitve varstva in po potrebi odškodnine za kršitev zavezujočih poslovnih pravil;

(f)

sprejemanje odgovornosti s strani upravljavca ali obdelovalca s sedežem na ozemlju države članice za morebitne kršitve zavezujočih poslovnih pravil s strani katerega koli zadevnega člana, ki nima sedeža v Uniji; upravljavec ali obdelovalec je iz te odgovornosti delno ali v celoti izvzet samo, če dokaže, da zadevni član ni odgovoren za dogodek, zaradi katerega je škoda nastala;

(g)

kako se poleg informacij iz členov 13 in 14 informacije o zavezujočih poslovnih pravilih, zlasti o določbah iz točk (d), (e) in (f) tega odstavka, zagotovijo posameznikom, na katere se nanašajo osebni podatki;

(h)

naloge vsake pooblaščene osebe za varstvo podatkov, imenovane v skladu s členom 37, ali katere koli druge osebe ali subjekta, odgovornega za spremljanje skladnosti z zavezujočimi poslovnimi pravili v povezani družbi ali skupini podjetij, ki opravljajo skupno gospodarsko dejavnost, pa tudi za spremljanje usposabljanja in obravnavanje pritožb;

(i)

pritožbene postopke;

(j)

mehanizme v povezani družbi ali skupini podjetij, ki opravljajo skupno gospodarsko dejavnost, ki zagotavljajo preverjanje skladnosti z zavezujočimi poslovnimi pravili. Takšni mehanizmi vključujejo preverjanje varstva podatkov in metode za zagotavljanje popravljalnih ukrepov za zaščito pravic posameznika, na katerega se nanašajo osebni podatki. Rezultate teh preverjanj bi bilo treba sporočiti osebi ali subjektu iz točke (h) in odboru obvladujoče družbe v povezani družbi ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, na zahtevo pa bi morali biti na razpolago pristojnemu nadzornemu organu;

(k)

mehanizme za poročanje in evidentiranje sprememb pravil ter poročanje o teh spremembah nadzornemu organu;

(l)

mehanizem sodelovanja z nadzornim organom, s katerim se zagotovi, da vsak član povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, upošteva pravila, zlasti tako, da se nadzornemu organu dajo na razpolago rezultati preverjanj ukrepov iz točke (j);

(m)

mehanizme za poročanje pristojnemu nadzornemu organu o vseh pravnih zahtevah, ki veljajo za člana povezane družbe ali skupine podjetij, ki opravljajo skupno gospodarsko dejavnost, v tretji državi in bi lahko imele znaten negativen učinek na jamstva iz zavezujočih poslovnih pravil, in

(n)

ustrezno usposabljanje o varstvu podatkov za osebje, ki stalno ali redno dostopa do osebnih podatkov.

3.   Komisija lahko za zavezujoča poslovna pravila v smislu tega člena določi obliko in postopke za izmenjavo informacij med upravljavci, obdelovalci in nadzornimi organi. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

Člen 48

Prenosi ali razkritja, ki jih pravo Unije ne dovoljuje

Sodba sodišča in odločba upravnega organa tretje države, ki od upravljavca ali obdelovalca zahteva prenos ali razkritje osebnih podatkov, se lahko prizna ali izvrši na kateri koli način le, če temelji na mednarodnem sporazumu, kot je pogodba o medsebojni pravni pomoči, sklenjenem med tretjo državo prosilko in Unijo ali državo članico, brez poseganja v druge razloge za prenos na podlagi tega poglavja.

Člen 49

Odstopanja v posebnih primerih

1.   Če sklep o ustreznosti v skladu s členom 45(3) ni sprejet ali pa niso sprejeti ustrezni zaščitni ukrepi v skladu s členom 46, vključno z zavezujočimi poslovnimi pravili, se lahko prenos ali niz prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo izvede le pod enim izmed naslednjih pogojev:

(a)

posameznik, na katerega se nanašajo osebni podatki, je izrecno privolil v predlagani prenos, potem ko je bil obveščen o morebitnih tveganjih, ki jih zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov takšni prenosi pomenijo zanj;

(b)

prenos je potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki;

(c)

prenos je potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki;

(d)

prenos je potreben zaradi pomembnih razlogov javnega interesa;

(e)

prenos je potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;

(f)

prenos je potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugih oseb, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve;

(g)

prenos se opravi iz registra, ki je po pravu Unije ali pravu države članice namenjen zagotavljanju informacij javnosti in je na voljo za vpogled bodisi javnosti na splošno bodisi kateri koli osebi, ki lahko izkaže zakonit interes, vendar le, če so v posameznem primeru izpolnjeni pogoji za tak vpogled, določeni s pravom Unije ali pravom države članice.

Kadar podlaga za prenos ne morejo biti določbe iz člena 45 ali 46, vključno z določbami zavezujočih poslovnih pravil, in ne velja nobeno od odstopanj v posebnih primerih iz prvega pododstavka tega odstavka, se lahko prenos v tretjo državo ali mednarodno organizacijo izvede samo, če prenos ni ponovljiv, zadeva le omejeno število posameznikov, na katere se nanašajo osebni podatki, je potreben zaradi nujnih zakonitih interesov, za katere si prizadeva upravljavec in nad katerimi ne prevladajo interesi ali pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, in pod pogojem, da je upravljavec ocenil vse okoliščine v zvezi s prenosom podatkov in na podlagi te ocene predvidel ustrezne zaščitne ukrepe v zvezi z varstvom osebnih podatkov. Upravljavec o prenosu obvesti nadzorni organ. Poleg informacij iz členov 13 in 14 upravljavec posreduje posamezniku, na katerega se nanašajo osebni podatki, tudi informacije o zadevnem prenosu in nujnih zakonitih interesih, za katere si prizadeva upravljavec.

2.   Prenos v skladu s točko (g) prvega pododstavka odstavka 1 ne vključuje vseh osebnih podatkov ali celih vrst osebnih podatkov, ki jih vsebuje register. Kadar je register namenjen vpogledu oseb, ki imajo zakonit interes, se prenos opravi samo, če to zahtevajo te osebe ali če bodo te osebe uporabniki.

3.   Točke (a), (b) in (c) prvega pododstavka odstavka 1 ter drugi pododstavek navedenega odstavka se ne uporabljajo za dejavnosti, ki jih opravljajo javni organi pri izvajanju svojih javnih pooblastil.

4.   Javni interes iz točke (d) prvega pododstavka odstavka 1 je priznan v pravu Unije ali pravu države članice, ki velja za upravljavca.

5.   Če sklepa o ustreznosti ni, se lahko v pravu Unije ali pravu države članice zaradi pomembnih razlogov javnega interesa izrecno določijo omejitve prenosa posebnih vrst osebnih podatkov v tretjo državo ali mednarodno organizacijo. Države članice o takšnih določbah uradno obvestijo Komisijo.

6.   Upravljavec ali obdelovalec dokumentira oceno in ustrezne zaščitne ukrepe iz drugega pododstavka odstavka 1 tega člena v evidenci iz člena 30.

Člen 50

Mednarodno sodelovanje za varstvo osebnih podatkov

Komisija in nadzorni organi v zvezi s tretjimi državami in mednarodnimi organizacijami sprejmejo ustrezne ukrepe za:

(a)

oblikovanje mehanizmov mednarodnega sodelovanja za spodbujanje učinkovitega izvrševanja zakonodaje o varstvu osebnih podatkov;

(b)

zagotavljanje mednarodne medsebojne pomoči pri izvrševanju zakonodaje o varstvu osebnih podatkov, vključno z uradnim obveščanjem, posredovanjem pritožb, pomočjo pri preiskavah in izmenjavo informacij, pri čemer se uporabljajo ustrezni zaščitni ukrepi za varstvo osebnih podatkov ter drugih temeljnih pravic in svoboščin;

(c)

vključevanje ustreznih deležnikov v razpravo in dejavnosti, katerih namen je spodbujanje mednarodnega sodelovanja pri izvrševanju zakonodaje o varstvu osebnih podatkov;

(d)

spodbujanje izmenjave in dokumentiranja zakonodaje in prakse za varstvo osebnih podatkov, vključno s spori glede sodne pristojnosti s tretjimi državami.

POGLAVJE VI

Neodvisni nadzorni organi

Oddelek 1

Status neodvisnosti

Člen 51

Nadzorni organ

1.   Vsaka država članica zagotovi enega ali več neodvisnih javnih organov, ki so pristojni za spremljanje uporabe te uredbe, da se zaščitijo temeljne pravice in svoboščine posameznikov v zvezi z obdelavo ter olajša prost pretok osebnih podatkov v Uniji (v nadaljnjem besedilu: nadzorni organ).

2.   Vsak nadzorni organ prispeva k dosledni uporabi te uredbe v vsej Uniji. V ta namen nadzorni organi sodelujejo med seboj in s Komisijo v skladu s poglavjem VII.

3.   Kadar je v državi članici ustanovljen več kot en nadzorni organ, ta država članica določi nadzorni organ, ki zadevne organe zastopa v odboru, in vzpostavi mehanizem, s katerim zagotovi, da drugi organi upoštevajo pravila v zvezi z mehanizmom za skladnost iz člena 63.

4.   Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu s tem poglavjem, do 25. maja 2018, in jo brez odlašanja uradno obvestijo o vsakršni naknadni spremembi, ki nanje vpliva.

Člen 52

Neodvisnost

1.   Vsak nadzorni organ pri opravljanju svojih nalog in izvajanju svojih pooblastil v skladu s to uredbo ravna popolnoma neodvisno.

2.   Član oziroma člani vsakega nadzornega organa pri opravljanju svojih nalog in izvajanju pooblastil v skladu s to uredbo niso izpostavljeni niti neposrednemu niti posrednemu zunanjemu vplivu in nikogar ne prosijo za navodila niti jih od nikogar ne sprejemajo.

3.   Član ali člani vsakega nadzornega organa se vzdržijo vsakega delovanja, ki je nezdružljivo z njihovimi dolžnostmi, in se v času svojega mandata ne ukvarjajo z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim.

4.   Vsaka država članica zagotovi, da ima vsak nadzorni organi na voljo človeške, tehnične in finančne vire, prostore ter infrastrukturo, ki jih potrebuje za učinkovito opravljanje svojih nalog in izvajanje pooblastil, tudi tistih, ki se nanašajo na medsebojno pomoč, sodelovanje in udeležbo v odboru.

5.   Vsaka država članica zagotovi, da vsak nadzorni organ izbere in ima svoje osebje, ki ga usmerjajo izključno član oziroma člani zadevnega nadzornega organa.

6.   Vsaka država članica zagotovi, da se izvaja finančni nadzor vsakega nadzornega organa, kar pa ne vpliva na njegovo neodvisnost, in da ima ločen, javni letni proračun, ki je lahko del splošnega državnega ali nacionalnega proračuna.

Člen 53

Splošni pogoji za člane nadzornega organa

1.   Države članice zagotovijo, da vsakega člana nadzornega organa po preglednem postopku imenuje:

njihov parlament,

njihova vlada,

njihov voditelj ali

neodvisno telo, ki je na podlagi prava države članice pooblaščeno za imenovanje.

2.   Vsak član ima kvalifikacije, izkušnje in znanje, zlasti na področju varstva osebnih podatkov, potrebno za opravljanje svojih dolžnosti in izvajanje svojih pooblastil.

3.   Dolžnosti člana prenehajo v primeru prenehanja mandata, odstopa ali razrešitve v skladu s pravom zadevne države članice.

4.   Član je razrešen le v primerih hujše kršitve ali če ne izpolnjuje več pogojev, ki se zahtevajo za opravljanje dolžnosti.

Člen 54

Pravila o ustanovitvi nadzornega organa

1.   Vsaka država članica z zakonom določi vse naslednje:

(a)

ustanovitev posameznega nadzornega organa;

(b)

kvalifikacije in pogoje za upravičenost, ki se zahtevajo za imenovanje na mesto člana posameznega nadzornega organa;

(c)

pravila in postopke za imenovanje člana ali članov posameznega nadzornega organa;

(d)

trajanje mandata člana oziroma članov posameznega nadzornega organa, ki ni krajši od štirih let, razen pri prvem imenovanju po 24. maju 2016, del katerega je lahko krajši, če je to potrebno zaradi zaščite neodvisnosti nadzornega organa s postopnim postopkom imenovanja;

(e)

ali se lahko član oziroma člani posameznega nadzornega organa ponovno imenujejo, in če je tako, za koliko mandatov;

(f)

pogoje, ki urejajo obveznosti člana oziroma članov in osebja posameznega nadzornega organa, prepovedi ukrepanja, delovanja in ugodnosti, ki so nezdružljivi s temi pogoji, med mandatom in po njem, ter pravila o prenehanju zaposlitve.

2.   Član oziroma člani in osebje posameznega nadzornega organa so v skladu s pravom Unije ali pravom države članice tako med svojim mandatom kot po njem dolžni varovati poklicne skrivnosti v zvezi z vsemi zaupnimi informacijami, s katerimi so se seznanili med opravljanjem svojih nalog ali izvajanjem svojih pooblastil. V času njihovega mandata ta dolžnost varovanja poklicne skrivnosti velja zlasti za poročanje posameznikov o kršitvah te uredbe.

Oddelek 2

Pristojnost, naloge in pooblastila

Člen 55

Pristojnost

1.   Vsak nadzorni organ je na ozemlju svoje države članice pristojen za opravljanje dodeljenih nalog in izvajanje prenesenih pooblastil v skladu s to uredbo.

2.   Kadar obdelavo izvajajo javni organi ali zasebna telesa, ki delujejo na podlagi točke (c) ali (e) člena 6(1), je pristojen nadzorni organ zadevne države članice. V takih primerih se člen 56 ne uporablja.

3.   Nadzorni organi niso pristojni za nadzor dejanj obdelave sodišč, kadar delujejo kot sodni organ.

Člen 56

Pristojnosti vodilnega nadzornega organa

1.   Nadzorni organ glavnega ali edinega sedeža upravljavca ali obdelovalca je brez poseganja v člen 55 pristojen, da deluje kot vodilni nadzorni organ za obdelavo, ki jo izvaja ta upravljavec ali obdelovalec na čezmejni ravni, v skladu s postopkom iz člena 60.

2.   Z odstopanjem od odstavka 1 je vsak nadzorni organ pristojen za obravnavo pritožbe, vložene pri njem, ali morebitne kršitve te uredbe, če se vsebina nanaša zgolj na sedež v njegovi državi članici ali znatno vpliva na posameznike, na katere se nanašajo osebni podatki, samo v njegovi državi članici.

3.   Nadzorni organ v primerih iz odstavka 2 tega člena o tej zadevi brez odlašanja obvesti vodilni nadzorni organ. Vodilni nadzorni organ v treh tednih po tem, ko je obveščen, odloči, ali bo zadevo obravnaval v skladu s postopkom iz člena 60 ali ne, pri tem pa upošteva, ali ima upravljavec ali obdelovalec sedež v državi članici nadzornega organa, ki ga je o tem obvestil, ali ne.

4.   Kadar vodilni nadzorni organ odloči, da bo zadevo obravnaval, se uporabi postopek iz člena 60. Nadzorni organ, ki je obvestil vodilni nadzorni organ, lahko temu nadzornemu organu predloži osnutek odločitve. Vodilni nadzorni organ v največji meri upošteva ta osnutek pri pripravi osnutka odločitve iz člena 60(3).

5.   Kadar vodilni nadzorni organ odloči, da zadeve ne bo obravnaval, jo v skladu s členoma 61 in 62 obravnava nadzorni organ, ki je o tem obvestil vodilni nadzorni organ.

6.   Vodilni nadzorni organ je edini sogovornik upravljavca ali obdelovalca za njune obdelave na čezmejni ravni.

Člen 57

Naloge

1.   Brez poseganja v druge naloge, določene v tej uredbi, vsak nadzorni organ na svojem ozemlju:

(a)

spremlja in zagotavlja uporabo te uredbe;

(b)

spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo. Posebna pozornost se posveti dejavnostim, ki so namenjene izrecno otrokom;

(c)

v skladu s pravom države članice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svoboščin posameznikov pri obdelavi;

(d)

spodbuja ozaveščenost upravljavcev in obdelovalcev glede njihovih obveznosti na podlagi te uredbe;

(e)

vsakemu posamezniku, na katerega se nanašajo osebni podatki, na zahtevo zagotovi informacije o uresničevanju njegovih pravic na podlagi te uredbe in v ta namen, če je ustrezno, sodeluje z nadzornimi organi v drugih državah članicah;

(f)

obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oziroma v skladu s členom 80 telo, organizacija ali združenje, v ustreznem obsegu preuči vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti če je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom;

(g)

sodeluje z drugimi nadzornimi organi, med drugim z izmenjavo informacij, in jim zagotavlja medsebojno pomoč, da se zagotovi doslednost pri uporabi in izvajanju te uredbe;

(h)

izvaja preiskave o uporabi te uredbe, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa;

(i)

spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij ter trgovinskih praks;

(j)

sprejema standardna pogodbena določila iz člena 28(8) in točke (d) člena 46(2);

(k)

vzpostavi in vzdržuje seznam v zvezi z zahtevo po oceni učinka v zvezi z varstvom podatkov v skladu s členom 35(4);

(l)

svetuje glede dejanj obdelave iz člena 36(2);

(m)

spodbuja pripravo kodeksov ravnanja v skladu s členom 40(1) ter poda mnenje in odobri take kodekse ravnanja, ki zagotavljajo zadostne zaščitne ukrepe, v skladu s členom 40(5);

(n)

spodbuja vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov v skladu s členom 42(1) in odobri merila potrjevanja v skladu s členom 42(5);

(o)

kadar je ustrezno, izvaja redne preglede potrdil, izdanih v skladu s členom 42(7);

(p)

oblikuje in objavi merila za pooblastitev telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in organa za potrjevanje v skladu s členom 43;

(q)

opravi pooblastitev telesa za spremljanje kodeksov ravnanja v skladu s členom 41 in organa za potrjevanje v skladu s členom 43;

(r)

odobri pogodbena določila in določbe iz člena 46(3);

(s)

odobri zavezujoča poslovna pravila v skladu s členom 47;

(t)

prispeva k dejavnostim odbora;

(u)

hrani notranjo evidenco kršitev te uredbe in sprejetih ukrepov v skladu s členom 58(2), ter

(v)

opravlja vse druge naloge, povezane z varstvom osebnih podatkov.

2.   Vsak nadzorni organ olajša postopek vložitve pritožb iz točke (f) odstavka 1 z ukrepi, kot je obrazec za vložitev pritožbe, ki ga je mogoče izpolniti elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

3.   Opravljanje nalog vsakega nadzornega organa je za posameznika, na katerega se nanašajo osebni podatki, in za pooblaščeno osebo za varstvo podatkov, kadar ta obstaja, brezplačno.

4.   Kadar so zahteve očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko nadzorni organ zaračuna razumno pristojbino glede na upravne stroške ali zavrne ukrepanje v zvezi z zahtevo. Nadzorni organ nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

Člen 58

Pooblastila

1.   Vsak nadzorni organ ima vsa naslednja preiskovalna pooblastila:

(a)

da upravljavcu in obdelovalcu ter, če je ustrezno, predstavniku upravljavca ali obdelovalca odredi, naj zagotovi vse informacije, ki jih potrebuje za opravljanje svojih nalog;

(b)

da izvaja preiskave v obliki pregledov na področju varstva podatkov;

(c)

da izvaja preglede potrdil, izdanih v skladu s členom 42(7);

(d)

da upravljavca ali obdelovalca uradno obvesti o domnevni kršitvi te uredbe;

(e)

da od upravljavca ali obdelovalca pridobi dostop do vseh osebnih podatkov in informacij, ki jih potrebuje za opravljanje svojih nalog;

(f)

da pridobi dostop do vseh prostorov upravljavca ali obdelovalca, vključno z vso opremo in sredstvi za obdelavo podatkov, v skladu s pravom Unije ali postopkovnim pravom države članice.

2.   Vsak nadzorni organ ima vsa naslednja popravljalna pooblastila:

(a)

da izda upravljavcu ali obdelovalcu opozorilo, da bi predvidena dejanja obdelave verjetno kršila določbe te uredbe;

(b)

da upravljavcu ali obdelovalcu izreče opomin, kadar so bile z dejanji obdelave kršene določbe te uredbe;

(c)

da upravljavcu ali obdelovalcu odredi, naj ugodi zahtevam posameznika, na katerega se nanašajo osebni podatki, glede uresničevanja njegovih pravic na podlagi te uredbe;

(d)

da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi z določbami te uredbe;

(e)

da upravljavcu odredi, naj posameznika, na katerega se nanašajo osebni podatki, obvesti o kršitvi varstva osebnih podatkov;

(f)

da uvede začasno ali dokončno omejitev obdelave, vključno s prepovedjo obdelave;

(g)

da v skladu s členi 16, 17 in 18 odredi popravek ali izbris osebnih podatkov oziroma omejitev obdelave in o takšnih ukrepih v skladu s členom 17(2) in členom 19 uradno obvesti uporabnike, ki so jim bili osebni podatki razkriti;

(h)

da prekliče potrdilo ali organu za potrjevanje odredi preklic potrdila, izdanega v skladu s členoma 42 in 43, ali da organu za potrjevanje odredi, naj ne izda potrdila, kadar zahteve v zvezi s potrdilom niso ali niso več izpolnjene;

(i)

da glede na okoliščine posameznega primera poleg ali namesto ukrepov iz tega odstavka naloži upravno globo v skladu s členom 83;

(j)

da odredi prekinitev prenosov podatkov uporabniku v tretji državi ali mednarodni organizaciji.

3.   Vsak nadzorni organ ima vsa naslednja pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi:

(a)

da svetuje upravljavcu v skladu s postopkom predhodnega posvetovanja iz člena 36;

(b)

da na lastno pobudo ali na zahtevo izdaja mnenja za nacionalni parlament, vlado države članice ali, v skladu s pravom države članice, druge institucije in telesa, pa tudi za javnost, o vseh vprašanjih v zvezi z varstvom osebnih podatkov;

(c)

da odobri obdelavo iz člena 36(5), če pravo države članice zahteva tako predhodno dovoljenje;

(d)

da izdaja mnenja in odobri osnutke kodeksov ravnanja v skladu s členom 40(5);

(e)

da pooblasti organe za potrjevanje v skladu s členom 43;

(f)

da izdaja potrdila in odobri merila za potrjevanje v skladu s členom 42(5);

(g)

da sprejme standardna določila o varstvu podatkov iz člena 28(8) in iz točke (d) člena 46(2);

(h)

da odobri pogodbena določila iz točke (a) člena 46(3);

(i)

da odobri upravne dogovore iz točke (b) člena 46(3);

(j)

da odobri zavezujoča poslovna pravila v skladu s členom 47.

4.   Nadzorni organ izvaja pooblastila, ki so mu dodeljena v skladu s tem členom, na podlagi ustreznih zaščitnih ukrepov, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom, kot je določeno v pravu Unije in pravu države članice v skladu z Listino.

5.   Vsaka država članica z zakonom določi, da ima njen nadzorni organ pooblastila, da sodne organe opozori na kršitve te uredbe in po potrebi začne sodne postopke ali v njih drugače sodeluje, da se zagotovi izvajanje določb te uredbe.

6.   Vsaka država članica z zakonom določi, da ima njen nadzorni organ poleg pooblastil iz odstavkov 1, 2 in 3 še dodatna pooblastila. Izvajanje teh pooblastil ne vpliva na učinkovitost izvajanja poglavja VII.

Člen 59

Poročila o dejavnostih

Vsak nadzorni organ pripravi letno poročilo o svojih dejavnostih, ki lahko vključuje seznam vrst priglašenih kršitev in vrst naloženih ukrepov v skladu s členom 58(2). Ta poročila se predloži nacionalnemu parlamentu, vladi in drugim organom, kakor določa pravo države članice. Na voljo se dajo javnosti, Komisiji in odboru.

POGLAVJE VII

Sodelovanje in skladnost

Oddelek 1

Sodelovanje

Člen 60

Sodelovanje med vodilnim nadzornim organom in drugimi zadevnimi nadzornimi organi

1.   Vodilni nadzorni organ sodeluje z drugimi zadevnimi nadzornimi organi v skladu s tem členom in si prizadeva za soglasje. Vodilni nadzorni organ in zadevni nadzorni organi si izmenjujejo vse ustrezne informacije.

2.   Vodilni nadzorni organ lahko od drugih zadevnih nadzornih organov kadar koli zahteva zagotovitev medsebojne pomoči v skladu s členom 61 in lahko ukrepa skupaj z njimi v skladu s členom 62, zlasti pri izvajanju preiskav ali spremljanju izvajanja ukrepa, povezanega z upravljavcem ali obdelovalcem s sedežem v drugi državi članici.

3.   Vodilni nadzorni organ brez odlašanja posreduje ustrezne informacije o zadevi drugim zadevnim nadzornim organom. Drugim zadevnim nadzornim organom brez odlašanja predloži osnutek odločitve, s čimer jih zaprosi za mnenje, ki ga ustrezno upošteva.

4.   Kadar kateri koli od drugih zadevnih nadzornih organov v obdobju štirih tednov po opravljenem posvetovanju v skladu z odstavkom 3 tega člena poda ustrezne in utemeljene razloge za ugovor glede osnutka odločitve, vodilni nadzorni organ zadevo predloži mehanizmu za skladnost iz člena 63, če se z ugovorom ne strinja ali meni, da ugovor ni ustrezen ali utemeljen.

5.   Kadar namerava vodilni nadzorni organ upoštevati ustrezen in utemeljen ugovor, drugim zadevnim nadzornim organom predloži v mnenje spremenjeni osnutek odločitve. Za ta spremenjeni osnutek odločitve se v obdobju dveh tednov uporabi postopek iz odstavka 4.

6.   Kadar noben drug zadevni nadzorni organ v obdobju iz odstavkov 4 in 5 ne nasprotuje osnutku odločitve, ki jo predloži vodilni nadzorni organ, se šteje, da se vodilni nadzorni organ in zadevni nadzorni organi strinjajo s tem osnutkom odločitve, ki je zanje zavezujoča.

7.   Vodilni nadzorni organ sprejme odločitev in o njej uradno obvesti glavni ali edini sedež upravljavca ali obdelovalca, odvisno od primera, zadevno odločitev ter povzetek ustreznih dejstev in razlogov pa posreduje tudi drugim zadevnim nadzornim organom in odboru. Nadzorni organ, pri katerem je bila vložena pritožba, o odločitvi obvesti pritožnika.

8.   Z odstopanjem od odstavka 7 nadzorni organ, pri katerem je bila vložena pritožba, v primeru zavržene ali zavrnjene pritožbe sprejme odločitev, o kateri uradno obvesti pritožnika, sporoči pa jo tudi upravljavcu.

9.   Kadar se vodilni nadzorni organ in zadevni nadzorni organi strinjajo, da se zavržejo ali zavrnejo deli pritožbe in uveljavijo drugi deli te pritožbe, se za vsakega od navedenih delov zadeve sprejme ločena odločitev. Vodilni nadzorni organ sprejme odločitev o delu, ki se nanaša na ukrepe, povezane z upravljavcem, o njej uradno obvesti glavni ali edini sedež upravljavca ali obdelovalca na ozemlju države članice, za katero je pristojen, sporoči pa jo tudi pritožniku, nadzorni organ pritožnika pa sprejme odločitev o delu, ki se nanaša na zavržbo ali zavrnitev pritožbe, in o njej uradno obvesti zadevnega pritožnika, sporoči pa jo tudi upravljavcu ali obdelovalcu.

10.   Upravljavec ali obdelovalec po prejemu uradnega obvestila o odločitvi vodilnega nadzornega organa v skladu z odstavkoma 7 in 9 sprejme ukrepe, potrebne za zagotovitev spoštovanja odločitve, kar zadeva obdelavo v okviru vseh njegovih sedežev v Uniji. Upravljavec ali obdelovalec o ukrepih, sprejetih za zagotovitev spoštovanja odločitve, uradno obvesti vodilni nadzorni organ, ki to sporoči drugim zadevnim nadzornim organom.

11.   V izjemnih okoliščinah, ko zadevni nadzorni organ utemeljeno sklepa, da obstaja nujna potreba po ukrepanju zaradi varstva interesov posameznikov, na katere se nanašajo osebni podatki, se uporabi nujni postopek iz člena 66.

12.   Vodilni nadzorni organ in drugi zadevni nadzorni organi drug drugemu z elektronskimi sredstvi posredujejo zahtevane informacije iz tega člena v standardizirani obliki.

Člen 61

Medsebojna pomoč

1.   Nadzorni organi drug drugemu zagotovijo zadevne informacije in medsebojno pomoč, da dosledno izvajajo in uporabljajo to uredbo, ter uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za predhodno dovoljenje in posvetovanja, preglede ter preiskave.

2.   Vsak nadzorni organ sprejme vse ustrezne ukrepe, potrebne za odgovor na zahtevo drugega nadzornega organa, brez nepotrebnega odlašanja in najpozneje en mesec po prejemu zahteve. Takšni ukrepi lahko vključujejo zlasti prenos zadevnih informacij o poteku preiskave.

3.   Zahteve za pomoč vsebujejo vse potrebne informacije, vključno z namenom in obrazložitvijo zahteve. Izmenjane informacije se uporabljajo samo v namen, za katerega so bile zahtevane.

4.   Nadzorni organ, ki prejme zahtevo za pomoč, te ne sme zavrniti, razen če:

(a)

ni pristojen za vsebino zahteve ali za izvršitev zahtevanih ukrepov, ali

(b)

bi izpolnitev zahteve kršila to uredbo ali pravo Unije ali pravo države članice, ki velja za nadzorni organ, ki je prejel zahtevo.

5.   Nadzorni organ, ki je prejel zahtevo, obvesti nadzorni organ, ki je zahtevo poslal, o rezultatih oziroma po potrebi o stanju zadeve ali ukrepih, sprejetih v odziv na zahtevo. Nadzorni organ, ki je prejel zahtevo, vsako zavrnitev zahteve v skladu z odstavkom 4 ustrezno obrazloži.

6.   Nadzorni organi, ki so prejeli zahtevo, informacije, za katere zaprosijo drugi nadzorni organi, praviloma posredujejo z elektronskimi sredstvi v standardizirani obliki.

7.   Nadzorni organi, ki so prejeli zahtevo za noben njihov ukrep na podlagi zahteve za medsebojno pomoč ne zaračunajo pristojbine. Nadzorni organi se lahko dogovorijo o pravilih o vzajemnih nadomestilih, za posebne izdatke, nastale zaradi zagotavljanja medsebojne pomoči v izjemnih okoliščinah..

8.   Kadar nadzorni organ informacij iz odstavka 5 tega člena ne zagotovi v enem mesecu po prejemu zahteve drugega nadzornega organa, lahko nadzorni organ, ki je zahtevo poslal, v skladu s členom 55(1) sprejme začasen ukrep na ozemlju države članice, za katero je pristojen. V tem primeru se predpostavlja, da obstaja nujna potreba po ukrepanju v skladu s členom 66(1), na podlagi katere se v skladu s členom 66(2) zahteva nujna zavezujoča odločitev odbora.

9.   Komisija lahko z izvedbenimi akti določi obliko in postopke za medsebojno pomoč iz tega člena ter ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in odborom, zlasti standardizirano obliko iz odstavka 6 tega člena. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

Člen 62

Skupno ukrepanje nadzornih organov

1.   Nadzorni organi po potrebi skupaj ukrepajo, tudi z izvajanjem skupnih preiskav in skupnih izvršilnih ukrepov, pri katerih sodelujejo člani ali osebje nadzornih organov drugih držav članic.

2.   Kadar ima upravljavec ali obdelovalec sedeže v več državah članicah, ali kadar je verjetno, da bodo dejanja obdelave pomembno vplivala na znatno število posameznikov, na katere se nanašajo osebni podatki, v več kot eni državi članici, ima nadzorni organ vsake od teh držav članic pravico do sodelovanja pri skupnem ukrepanju. Pristojni nadzorni organ, ki je pristojen na podlagi člena 56(1) ali (4), k sodelovanju pri skupnem ukrepanju povabi nadzorni organ vsake od teh držav članic in se brez odlašanja odzove na zahtevo nadzornega organa za sodelovanje.

3.   Nadzorni organ lahko v skladu s pravom držav članic in z dovoljenjem nadzornega organa druge države članice dodeli pooblastila, tudi preiskovalna, članom ali osebju nadzornega organa druge države članice, ki sodelujejo pri skupnem ukrepanju, ali, če je to po pravu države članice nadzornega organa gostitelja dopustno, članom ali osebju nadzornega organa druge države članice dovoli izvajanje njihovih preiskovalnih pooblastil v skladu s pravom države članice nadzornega organa druge države članice. Takšna preiskovalna pooblastila se lahko izvajajo samo pod vodstvom in v prisotnosti članov ali osebja nadzornega organa gostitelja. Za člane ali osebje nadzornega organa druge države članice velja pravo države članice nadzornega organa gostitelja.

4.   Kadar v skladu z odstavkom 1 osebje nadzornega organa druge države članice deluje v kateri drugi državi članici, država članica nadzornega organa gostitelja prevzame odgovornost za njegova dejanja, tudi kazensko odgovornost, za vso škodo, ki jo povzroči med delovanjem, v skladu s pravom države članice, na ozemlju katere deluje.

5.   Država članica, na ozemlju katere je bila povzročena škoda, tako škodo poravna pod pogoji, ki veljajo za škodo, ki jo povzroči njeno lastno osebje. Država članica nadzornega organa druge države članice, katere osebje povzroči škodo kateri koli osebi na ozemlju druge države članice, tej drugi državi članici v celoti povrne vse zneske, ki jih je ta izplačala upravičenim osebam.

6.   V primeru iz odstavka 1 vsaka država članica brez poseganja v uresničevanje svojih pravic do tretjih oseb in z izjemo odstavka 5 od druge države članice ne zahteva povračila škode iz odstavka 4.

7.   Kadar se načrtuje skupno ukrepanje in nadzorni organ v enem mesecu ne izpolni obveznosti iz drugega stavka odstavka 2 tega člena, lahko drugi nadzorni organi v skladu s členom 55 sprejmejo začasen ukrep na ozemlju države članice, za katero je pristojen. V tem primeru se predpostavlja, da obstaja nujna potreba po ukrepanju v skladu s členom 66(1), na podlagi katere se v skladu s členom 66(2) zahteva nujno mnenje ali nujna zavezujoča odločitev odbora.

Oddelek 2

Skladnost

Člen 63

Mehanizem za skladnost

Da bi prispevali k dosledni uporabi te uredbe v vsej Uniji, nadzorni organi sodelujejo med seboj in po potrebi s Komisijo, in sicer prek mehanizma za skladnost, kakor je določen v tem oddelku.

Člen 64

Mnenje odbora

1.   Odbor izda mnenje, kadar pristojni nadzorni organ namerava sprejeti katerega koli od ukrepov v nadaljevanju. V ta namen pristojni nadzorni organ posreduje osnutek odločitve odboru, ko:

(a)

je namenjen sprejetju seznama dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov v skladu s členom 35(4);

(b)

zadeva vprašanje v skladu s členom 40(7), in sicer, ali je osnutek kodeksa ravnanja oziroma sprememba ali razširitev v skladu s to uredbo;

(c)

je namenjen odobritvi meril za pooblastitev organa v skladu s členom 41(3) ali organa za potrjevanje v skladu s členom 43(3);

(d)

je namenjen določitvi standardnih določil o varstvu podatkov iz točke (d) člena 46(2) in iz člena 28(8);

(e)

je namenjen odobritvi pogodbenih določil iz točke (a) člena 46(3), ali

(f)

je namenjen odobritvi zavezujočih poslovnih pravil v smislu člena 47.

2.   Kateri koli nadzorni organ, predsednik odbora ali Komisija lahko zahteva, da katero koli zadevo splošne uporabe ali z učinkom v več kot eni državi članici preuči odbor, ki da mnenje, zlasti kadar pristojni nadzorni organ ne izpolni obveznosti glede medsebojne pomoči v skladu s členom 61 ali glede skupnega ukrepanja v skladu s členom 62.

3.   V primerih iz odstavkov 1 in 2 odbor izda mnenje o vsebini, ki mu je predložena, če o isti zadevi ni že izdal mnenja. To mnenje se sprejme v osmih tednih z navadno večino članov odbora. To obdobje se lahko glede na kompleksnost vsebine podaljša za šest tednov. Kar zadeva osnutek odločitve iz odstavka 5, razposlan članom odbora v skladu z odstavkom 6, velja, da se član, ki ne izrazi nasprotovanja v razumnem roku, ki ga določi predsednik, strinja z osnutkom odločitve.

4.   Nadzorni organi in Komisija odboru brez nepotrebnega odlašanja z elektronskimi sredstvi v standardizirani obliki sporočijo vse zadevne informacije, po potrebi vključno s povzetkom dejstev, osnutkom odločitve, razlogi, zaradi katerih je sprejetje takšnega ukrepa potrebno, in mnenji drugih zadevnih nadzornih organov.

5.   Predsednik odbora brez nepotrebnega odlašanja z elektronskimi sredstvi obvesti:

(a)

člane odbora in Komisijo o vseh zadevnih informacijah, ki jih je prejel v standardizirani obliki. Sekretariat odbora po potrebi zagotovi prevode pomembnih informacij, in

(b)

nadzorni organ iz odstavka 1 oziroma 2 in Komisijo o mnenju, ki ga tudi objavi.

6.   Pristojni nadzorni organ v roku iz odstavka 3 ne sprejme osnutka odločitve iz odstavka 1.

7.   Nadzorni organ iz odstavka 1 čim bolj upošteva mnenje odbora in v dveh tednih po prejemu mnenja predsednika odbora z elektronskimi sredstvi v standardizirani obliki obvesti, ali bo ohranil ali spremenil svoj osnutek odločitve in spremenjeni osnutek odločitve, če obstaja.

8.   Kadar zadevni nadzorni organ v obdobju iz odstavka 7 tega člena obvesti predsednika odbora, da v celoti ali deloma ne namerava upoštevati mnenja odbora, in to ustrezno utemelji, se uporabi člen 65(1).

Člen 65

Reševanje sporov s strani odbora

1.   Da se zagotovi pravilna in dosledna uporaba te uredbe v posameznih primerih, odbor sprejme zavezujočo odločitev v naslednjih primerih:

(a)

kadar je, v primeru iz člena 60(4), zadevni nadzorni organ dal ustrezen in utemeljen ugovor osnutku odločitve vodilnega organa ali če je vodilni organ zavrnil tak ugovor kot neustrezen ali neutemeljen. Zavezujoča odločitev velja za vse zadeve, na katere se nanaša ustrezen in utemeljen ugovor, zlasti kadar gre za kršitev te uredbe;

(b)

kadar obstajajo nasprotujoča si stališča o tem, kateri zadevni nadzorni organ je pristojen za glavni sedež;

(c)

kadar pristojni nadzorni organ ne zaprosi za mnenje odbora v primerih iz člena 64(1) ali ne upošteva mnenja odbora, izdanega na podlagi člena 64. V tem primeru lahko kateri koli zadevni nadzorni organ ali Komisija zadevo posreduje odboru.

2.   Odločitev iz odstavka 1 se sprejme v enem mesecu od predložitve vsebine z dvotretjinsko večino članov odbora. To obdobje se lahko zaradi kompleksnosti vsebine podaljša za en mesec. Odločitev iz odstavka 1 se utemelji ter naslovi na vodilni nadzorni organ in vse zadevne nadzorne organe ter je za vse zavezujoča.

3.   Kadar odboru v obdobjih iz odstavka 2 ne uspe sprejeti odločitve, sprejme odločitev v dveh tednih po izteku drugega meseca iz odstavka 2, in sicer z navadno večino članov odbora. Kadar so glasovi članov odbora izenačeni, se odločitev sprejme z glasovanjem predsednika odbora.

4.   Zadevni nadzorni organi ne sprejmejo odločitve o vsebini, predloženi odboru v skladu z odstavkom 1, v obdobjih iz odstavkov 2 in 3.

5.   Predsednik odbora zadevne nadzorne organe brez nepotrebnega odlašanja uradno obvesti o odločitvi iz odstavka 1. O tem obvesti Komisijo. Odločitev se brez odlašanja objavi na spletnem mestu odbora, potem ko nadzorni organ uradno sporoči končno odločitev iz odstavka 6.

6.   Vodilni nadzorni organ oziroma nadzorni organ, pri katerem je bila vložena pritožba, končno odločitev sprejme na podlagi odločitve iz odstavka 1 tega člena, brez nepotrebnega odlašanja in najpozneje en mesec po uradnem posredovanju odločitve odbora. Vodilni nadzorni organ oziroma nadzorni organ, pri katerem je bila vložena pritožba, obvesti odbor o datumu, ko so upravljavec ali obdelovalec in posameznik, na katerega se nanašajo osebni podatki, uradno obveščeni o njegovi končni odločitvi. Končna odločitev zadevnih nadzornih organov se sprejme pod pogoji iz člena 60(7), (8) in (9). Končna odločitev se nanaša na odločitev iz odstavka 1 tega člena, v njej pa je navedeno, da se odločitev iz odstavka 1 objavi na spletnem mestu odbora v skladu z odstavkom 5 tega člena. Končni odločitvi je priložena odločitev iz odstavka 1 tega člena.

Člen 66

Nujni postopek

1.   V izjemnih okoliščinah, kadar zadevni nadzorni organ meni, da obstaja nujna potreba po ukrepanju zaradi varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, lahko z odstopanjem od mehanizma za skladnost iz členov 63, 64 in 65 ali postopka iz člena 60 brez odlašanja sprejme začasne ukrepe, katerih namen je doseči pravne učinke na ozemlju, na katerem deluje, z določenim obdobjem veljavnosti, ki ni daljše od treh mesecev. Nadzorni organ o teh ukrepih in razlogih za njihovo sprejetje nemudoma obvesti druge zadevne nadzorne organe, odbor in Komisijo.

2.   Kadar je nadzorni organ sprejel ukrep v skladu z odstavkom 1 in meni, da je treba končne ukrepe nujno sprejeti, lahko zahteva nujno mnenje ali nujno zavezujočo odločitev odbora, pri čemer navede razloge za tako mnenje ali odločitev.

3.   Kadar pristojni nadzorni organ ni sprejel ustreznega ukrepa, ko je ukrepanje nujno, lahko kateri koli nadzorni organ od odbora zahteva nujno mnenje oziroma nujno zavezujočo odločitev, da se zaščitijo pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, pri čemer utemelji zahtevo po izdaji takega mnenja ali sprejetju take odločitve, tudi glede nujnosti ukrepanja.

4.   Z odstopanjem od člena 64(3) in člena 65(2) se nujno mnenje ali nujna zavezujoča odločitev iz odstavkov 2 in 3 tega člena sprejme v dveh tednih z navadno večino članov odbora.

Člen 67

Izmenjava informacij

Komisija lahko sprejme izvedbene akte, ki se splošno uporabljajo, s katerimi določi ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in odborom, zlasti standardizirano obliko iz člena 64.

Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 93(2).

Oddelek 3

Evropski odbor za varstvo podatkov

Člen 68

Evropski odbor za varstvo podatkov

1.   Evropski odbor za varstvo podatkov (v nadaljnjem besedilu: odbor) se ustanovi kot organ Unije in je pravna oseba.

2.   Odbor zastopa njegov predsednik.

3.   Odbor sestavljajo vodje enega nadzornega organa iz vsake države članice in Evropski nadzornik za varstvo podatkov ali njihovi predstavniki.

4.   Kadar je v državi članici za spremljanje uporabe določb na podlagi te uredbe pristojnih več nadzornih organov, se v skladu s pravom te države članice imenuje skupni predstavnik.

5.   Komisija ima pravico, da sodeluje pri dejavnostih in na sestankih odbora, nima pa glasovalne pravice. Komisija imenuje svojega predstavnika. Predsednik odbora obvesti Komisijo o dejavnostih odbora.

6.   V primerih iz člena 65 ima Evropski nadzornik za varstvo podatkov glasovalno pravico le pri odločitvah v zvezi z načeli in pravili, ki se uporabljajo za institucije, organe, urade in agencije Unije ter po vsebini ustrezajo načelom in pravilom iz te uredbe.

Člen 69

Neodvisnost

1.   Odbor pri opravljanju nalog ali izvajanju pooblastil na podlagi členov 70 in 71 deluje neodvisno.

2.   Brez poseganja v zahteve Komisije iz točke (b) člena 70(1) in člena 70(2) odbor pri opravljanju svojih nalog ali izvajanju svojih pooblastil nikogar ne prosi za navodila niti jih od nikogar ne sprejema.

Člen 70

Naloge odbora

1.   Odbor zagotavlja dosledno uporabo te uredbe. V ta namen na lastno pobudo ali, kjer je ustrezno, na zahtevo Komisije zlasti:

(a)

spremlja in zagotavlja pravilno uporabo te uredbe v primerih iz členov 64 in 65 brez poseganja v naloge nacionalnih nadzornih organov;

(b)

svetuje Komisiji o vseh vprašanjih v zvezi z varstvom osebnih podatkov v Uniji, tudi o vseh predlogih sprememb te uredbe;

(c)

svetuje Komisiji glede oblike in postopkov izmenjave informacij med upravljavci, obdelovalci in nadzornimi organi za zavezujoča poslovna pravila;

(d)

izdaja smernice, priporočila in najboljše prakse za postopke izbrisa povezav do osebnih podatkov ali kopij osebnih podatkov iz javnosti dostopnih komunikacijskih storitev iz člena 17(2);

(e)

na lastno pobudo oziroma na zahtevo katerega od svojih članov ali Komisije preuči vsako vprašanje v zvezi z uporabo te uredbe ter izda smernice, priporočila in najboljše prakse, da spodbudi njeno dosledno uporabo;

(f)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi podrobneje določi merila in pogoje za odločitve na podlagi oblikovanja profilov v skladu s členom 22(2);

(g)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka za ugotavljanje kršitev varstva osebnih podatkov in opredelitev izraza „nepotrebno odlašanje“ iz člena 33(1) in (2) ter za posebne okoliščine, v katerih se od upravljavca ali obdelovalca zahteva, da predloži uradno obvestilo o kršitvi varstva osebnih podatkov;

(h)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka glede okoliščin, v katerih je verjetno, da kršitev varstva osebnih podatkov povzroča veliko tveganje za pravice in svoboščine posameznikov iz člena 34(1);

(i)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi podrobneje določi merila in zahteve za prenose podatkov, ki temeljijo na zavezujočih poslovnih pravilih, ki veljajo za upravljavce, in zavezujočih poslovnih pravilih, ki veljajo za obdelovalce, ter na nadaljnjih zahtevah, potrebnih za zagotavljanje varstva osebnih podatkov zadevnih posameznikov, na katere se nanašajo osebni podatki, iz člena 47;

(j)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, da bi podrobneje določil merila in zahteve za prenose osebnih podatkov na podlagi člena 49(1);

(k)

pripravi smernice za nadzorne organe v zvezi z uporabo ukrepov iz člena 58(1), (2) in (3) ter določitvijo upravnih glob v skladu s členom 83;

(l)

pregleda praktično uporabo smernic, priporočil in najboljših praks iz točk (e) in (f);

(m)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (e) tega odstavka, s katerimi določi skupne postopke za poročanje posameznikov o kršitvah te uredbe v skladu s členom 54(2);

(n)

spodbuja oblikovanje kodeksov ravnanja, pa tudi vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov v skladu s členoma 40 in 42;

(o)

pooblašča organe za potrjevanje in redni pregled potrjevanja v skladu s členom 43 ter vodi javni register pooblaščenih organov v skladu s členom 43(6) in pooblaščenih upravljavcev ali obdelovalcev s sedežem v tretjih državah v skladu s členom 42(7);

(p)

določi zahteve iz člena 43(3) za namene pooblastitve organov za potrjevanje v skladu s členom 42;

(q)

Komisiji predloži mnenje o zahtevah glede potrjevanja iz člena 43(8);

(r)

Komisiji predloži mnenje o zahtevah glede ikon iz člena 12(7);

(s)

Komisiji predloži mnenje v zvezi z oceno ustreznosti ravni varstva v tretji državi ali mednarodni organizaciji, vključno v zvezi z oceno o tem, ali tretja država, ozemlje ali en ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva. V ta namen Komisija predloži odboru vso potrebno dokumentacijo, vključno s korespondenco z vlado tretje države glede te tretje države, ozemlja ali določenega sektorja, ali z mednarodno organizacijo;

(t)

izdaja mnenja o osnutkih odločitev nadzornih organov v skladu z mehanizmom za skladnost iz člena 64(1) o zadevah, predloženih v skladu s členom 64(2), in izdaja zavezujoče odločitve v skladu s členom 65, vključno v primerih iz člena 66;

(u)

spodbuja sodelovanje ter učinkovito dvostransko in večstransko izmenjavo informacij in najboljših praks med nadzornimi organi;

(v)

spodbuja skupne programe usposabljanja ter pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi organi tretjih držav ali mednarodnimi organizacijami;

(w)

spodbuja izmenjavo znanja in dokumentacije o zakonodaji in praksi s področja varstva osebnih podatkov z nadzornimi organi za varstvo podatkov po svetu.

(x)

izdaja mnenja o kodeksih ravnanja, oblikovanih na ravni Unije v skladu s členom 40(9), in

(y)

vodi javno dostopen elektronski register odločitev, ki jih sprejmejo nadzorni organi in sodišča glede vprašanj, obravnavanih v okviru mehanizma za skladnost.

2.   Kadar Komisija odbor zaprosi za nasvet, lahko navede rok, pri čemer upošteva nujnost zadeve.

3.   Odbor Komisiji in odboru iz člena 93 posreduje svoja mnenja, smernice, priporočila in najboljše prakse ter jih objavi.

4.   Odbor se po potrebi posvetuje z zainteresiranimi stranmi in jim omogoči, da v razumnem roku podajo svoje pripombe. Odbor brez poseganja v člen 76 objavi rezultate postopka posvetovanja.

Člen 71

Poročila

1.   Odbor pripravi letno poročilo o varstvu posameznikov v zvezi z obdelavo v Uniji ter po potrebi tretjih državah in mednarodnih organizacijah. Poročilo se objavi in posreduje Evropskemu parlamentu, Svetu in Komisiji.

2.   Letno poročilo vključuje pregled praktične uporabe smernic, priporočil in najboljših praks iz točke (l) člena 70(1) ter zavezujočih odločitev iz člena 65.

Člen 72

Postopek

1.   Odbor odločitve sprejema z navadno večino članov, razen če je v tej uredbi določeno drugače.

2.   Odbor sprejme svoj poslovnik z dvotretjinsko večino svojih članov in določi svoj način delovanja.

Člen 73

Predsednik

1.   Odbor izmed svojih članov z navadno večino izvoli predsednika in dva namestnika predsednika.

2.   Mandat predsednika in namestnikov predsednika je pet let in se lahko enkrat podaljša.

Člen 74

Naloge predsednika

1.   Naloge predsednika so:

(a)

sklicevanje sestankov odbora in priprava dnevnega reda;

(b)

uradno sporočanje odločitev, ki jih v skladu s členom 65 sprejme odbor, vodilnemu nadzornemu organu in zadevnim nadzornim organom;

(c)

zagotavljanje pravočasne izpolnitve nalog odbora, zlasti v zvezi z mehanizmom za skladnost iz člena 63.

2.   Odbor v svojem poslovniku določi razdelitev nalog med predsednikom in namestnikoma predsednika.

Člen 75

Sekretariat

1.   Odboru pomaga sekretariat, ki ga zagotovi Evropski nadzornik za varstvo podatkov.

2.   Sekretariat opravlja svoje naloge izključno po navodilih predsednika odbora.

3.   Linija poročanja osebja Evropskega nadzornika za varstvo podatkov, ki opravlja naloge, ki so v skladu s to uredbo dodeljene odboru, je ločena od linije poročanja osebja, ki opravlja naloge, dodeljene Evropskemu nadzorniku za varstvo podatkov.

4.   Kjer je to ustrezno, odbor in Evropski nadzornik za varstvo podatkov pripravita in objavita memorandum o soglasju o izvajanju tega člena, v katerem so določeni pogoji njunega sodelovanja in ki ga uporablja osebje Evropskega nadzornika za varstvo podatkov, ki opravlja naloge, ki so s to uredbo dodeljene odboru.

5.   Sekretariat zagotavlja analitično, upravno in logistično podporo odboru.

6.   Sekretariat je odgovoren zlasti za:

(a)

vsakodnevno poslovanje odbora;

(b)

komunikacijo med člani odbora, njegovim predsednikom in Komisijo;

(c)

komunikacijo z drugimi institucijami in javnostjo;

(d)

uporabo elektronskih sredstev za notranjo in zunanjo komunikacijo;

(e)

prevod pomembnih informacij;

(f)

pripravo sestankov odbora in nadaljnje ukrepanje po njih;

(g)

pripravo, oblikovanje osnutkov ter objavo mnenj, odločitev o reševanju sporov med nadzornimi organi in drugih besedil, ki jih sprejme odbor.

Člen 76

Zaupnost

1.   Kakor je določeno v poslovniku odbora, so razprave odbora zaupne, kadar ta meni, da je to potrebno.

2.   Dostop do dokumentov, predloženih članom odbora, strokovnjakom in predstavnikom tretjih oseb, ureja Uredba (ES) št. 1049/2001 Evropskega parlamenta in Sveta (21).

POGLAVJE VIII

Pravna sredstva, odgovornost in kazni

Člen 77

Pravica do vložitve pritožbe pri nadzornem organu

1.   Brez poseganja v katero koli drugo upravno ali pravno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo pri nadzornem organu, zlasti v državi članici, v kateri ima običajno prebivališče, v kateri je njegov kraj dela ali v kateri je domnevno prišlo do kršitve, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo.

2.   Nadzorni organ, pri katerem je vložena pritožba, obvesti pritožnika o stanju zadeve in odločitvi o pritožbi, vključno z možnostjo pravnega sredstva na podlagi člena 78.

Člen 78

Pravica do učinkovitega pravnega sredstva zoper nadzorni organ

1.   Brez poseganja v katero koli drugo upravno ali izvensodno sredstvo ima vsaka fizična ali pravna oseba pravico do učinkovitega pravnega sredstva zoper pravno zavezujočo odločitev nadzornega organa v zvezi z njo.

2.   Brez poseganja v katero koli drugo upravno ali izvensodno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar nadzorni organ, ki je pristojen na podlagi členov 55 in 56, ne obravnava pritožbe ali če posameznika, na katerega se nanašajo osebni podatki, v treh mesecih ne obvesti o stanju zadeve ali odločitvi o pritožbi, vloženi na podlagi člena 77.

3.   Za postopke zoper nadzorni organ so pristojna sodišča države članice, v kateri ima nadzorni organ sedež.

4.   Kadar je začet postopek zoper odločitev nadzornega organa, v zvezi s katero je odbor pred tem sprejel mnenje ali odločitev v okviru mehanizma za skladnost, nadzorni organ to mnenje ali odločitev posreduje sodišču.

Člen 79

Pravica do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca

1.   Brez poseganja v katero koli razpoložljivo upravno ali izvensodno sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu na podlagi člena 77, ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar meni, da so bile njegove pravice iz te uredbe kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu s to uredbo.

2.   Za postopke zoper upravljavca ali obdelovalca so pristojna sodišča države članice, v kateri ima upravljavec ali obdelovalec sedež. Alternativno so za takšne postopke pristojna tudi sodišča države članice, v kateri ima posameznik, na katerega se nanašajo osebni podatki, svoje običajno prebivališče, razen če je upravljavec ali obdelovalec javni organ države članice, ki izvaja svoja javna pooblastila.

Člen 80

Zastopanje posameznikov, na katere se nanašajo osebni podatki

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da pooblasti neprofitno telo, organizacijo ali združenje, ki je ustrezno ustanovljeno v skladu s pravom države članice, in katerega statutarno določeni cilji so v javnem interesu ter je dejavno na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov, da vloži pritožbo v njegovem imenu in da v njegovem imenu uveljavlja pravice iz členov 77, 78 in 79 ter da v njegovem imenu uveljavlja pravico do odškodnine iz člena 82, kadar tako določa pravo države članice.

2.   Države članice lahko določijo, da ima katero koli telo, organizacija ali združenje iz odstavka 1 tega člena neodvisno od pooblastila posameznika, na katerega se nanašajo osebni podatki, v tej državi članici pravico, da vloži pritožbo pri nadzornem organu, ki je pristojen na podlagi člena 77, in da uveljavlja pravice iz členov 78 in 79, če meni, da so pravice posameznika, na katerega se nanašajo osebni podatki, iz te uredbe kršene zaradi obdelave.

Člen 81

Začasna ustavitev postopka

1.   Kadar ima pristojno sodišče države članice informacije, da na sodišču druge države članice teče postopek v zvezi z enako vsebino, kar zadeva obdelavo s strani istega upravljavca ali obdelovalca, stopi v stik z zadevnim sodiščem v drugi državi članici, da potrdi obstoj takega postopka.

2.   Kadar na sodišču druge države članice teče postopek v zvezi z enako vsebino, kar zadeva obdelavo s strani istega upravljavca ali obdelovalca, lahko katero koli pristojno sodišče, razen sodišča, pred katerim se je postopek najprej začel, začasno ustavi postopek.

3.   Kadar ti postopki tečejo na sodiščih prve stopnje, se lahko katero koli sodišče, razen sodišča, pred katerim se je postopek najprej začel, na zahtevo ene od strank prav tako izreče za nepristojno, če je sodišče, pred katerim se je postopek najprej začel, pristojno za odločanje v zadevnih postopkih in če nacionalno pravo dovoljuje združitev postopkov.

Člen 82

Pravica do odškodnine in odgovornost

1.   Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.

2.   Vsak upravljavec, vključen v obdelavo, je odgovoren za škodo, ki jo povzroči obdelava, ki krši to uredbo. Obdelovalec je odgovoren za škodo, ki jo povzroči obdelava le, kadar ne izpolnjuje obveznosti iz te uredbe, ki so posebej naslovljene na obdelovalce, ali kadar je prekoračil zakonita navodila upravljavca ali ravnal v nasprotju z njimi.

3.   Upravljavec ali obdelovalec je izvzet od odgovornosti iz odstavka 2, če dokaže, da v nobenem primeru ni odgovoren za dogodek, ki povzroči škodo.

4.   Kadar so v isto obdelavo vključeni več kot en upravljavec ali obdelovalec ali sta vključena oba, upravljavec in obdelovalec in kadar so ti na podlagi odstavkov 2 in 3 odgovorni za katero koli škodo, nastalo zaradi obdelave, je vsak upravljavec ali obdelovalec odgovoren za celotno škodo, da se zagotovi, da posameznik, na katerega se nanašajo osebni podatki, prejme učinkovito odškodnino.

5.   Kadar je upravljavec ali obdelovalec v skladu z odstavkom 4 plačal celotno odškodnino za nastalo škodo, je ta upravljavec ali obdelovalec upravičen, da od drugih upravljavcev ali obdelovalcev, vključenih v isto obdelavo, zahteva povračilo tistega dela odškodnine, ki ustreza njihovemu delu odgovornosti za škodo v skladu s pogoji iz odstavka 2.

6.   Za sodne postopke v zvezi z uveljavljanjem pravice do odškodnine so pristojna sodišča, ki so pristojna na podlagi prava države članice iz člena 79(2).

Člen 83

Splošni pogoji za naložitev upravnih glob

1.   Vsak nadzorni organ zagotovi, da so upravne globe, naložene na podlagi tega člena, v zvezi s kršitvami te uredbe iz odstavkov 4, 5 in 6, v vsakem posameznem primeru učinkovite, sorazmerne in odvračilne.

2.   Glede na okoliščine posameznega primera se upravne globe naložijo poleg ali namesto ukrepov iz točk (a) do (h) in (j) člena 58(2). Pri odločanju o tem, ali se naloži upravna globa, in o višini upravne globe za vsak posamezen primer se ustrezno upošteva naslednje:

(a)

narava, teža in trajanje kršitve, pri čemer se upoštevajo narava, obseg ali namen zadevne obdelave ter število posameznikov, na katere se nanašajo osebni podatki in ki jih je kršitev prizadela, in raven škode, ki so jo utrpeli;

(b)

ali je kršitev naklepna ali posledica malomarnosti;

(c)

vsi ukrepi, ki jih je sprejel upravljavec ali obdelovalec, da bi omilil škodo, ki so jo utrpeli posamezniki, na katere se nanašajo osebni podatki;

(d)

stopnja odgovornosti upravljavca ali obdelovalca, pri čemer se upoštevajo tehnični in organizacijski ukrepi, ki jih je sprejel v skladu s členoma 25 in 32;

(e)

vse zadevne predhodne kršitve upravljavca ali obdelovalca;

(f)

stopnja sodelovanja z nadzornim organom pri odpravljanju kršitve in blažitvi morebitnih škodljivih učinkov kršitve;

(g)

vrste osebnih podatkov, ki jih zadeva kršitev,

(h)

kako je nadzorni organ izvedel za kršitev, zlasti če in v kakšnem obsegu ga je upravljavec ali obdelovalec uradno obvestil o kršitvi;

(i)

kadar so bili ukrepi iz člena 58(2) že prej odrejeni zoper zadevnega upravljavca ali obdelovalca v zvezi z enako vsebino, skladnost s temi ukrepi;

(j)

zavezanost k odobrenim kodeksom ravnanja v skladu s členom 40 ali odobrenim mehanizmom potrjevanja v skladu s členom 42, in

(k)

morebitni drugi oteževalni ali olajševalni dejavniki v zvezi z okoliščinami primera, kot so pridobljene finančne koristi ali preprečene izgube, ki neposredno ali posredno izhajajo iz kršitve.

3.   Če upravljavec ali obdelovalec namerno ali iz malomarnosti pri istem ali povezanem dejanju obdelave krši več določb te uredbe, skupni znesek upravne globe ne presega zneska, določenega za najhujšo kršitev.

4.   V skladu z odstavkom 2 se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 10 000 000 EUR ali v primeru družbe v znesku do 2 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:

(a)

obveznosti upravljavca in obdelovalca v skladu s členi 8, 11, 25 do 39 ter 42 in 43;

(b)

obveznosti organa za potrjevanje v skladu s členoma 42 in 43;

(c)

obveznosti organa za spremljanje v skladu s členom 41(4).

5.   V skladu z odstavkom 2 se za kršitve naslednjih določb uporabljajo upravne globe v znesku do 20 000 000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji:

(a)

osnovna načela obdelave, vključno s pogoji za privolitev, v skladu s členi 5, 6, 7 in 9;

(b)

pravice posameznika, na katerega se nanašajo podatki, v skladu s členi 12 do 22;

(c)

prenosi osebnih podatkov uporabniku v tretji državi ali mednarodni organizaciji, v skladu s členi 44 do 49;

(d)

katere koli obveznosti v skladu s pravom države članice, sprejete na podlagi poglavja IX;

(e)

neupoštevanje odredbe ali začasne ali dokončne omejitve obdelave ali prekinitve prenosa podatkov, ki jo izda nadzorni organ v skladu s členom 58(2), ali nezagotovitev dostopa, s čimer se krši člen 58(1).

6.   V skladu z odstavkom 2 tega člena se za neupoštevanje odredbe, ki jo izda nadzorni organ, iz člena 58(2) uporabljajo upravne globe v znesku do 20 000 000 EUR ali v primeru družbe v znesku do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu, odvisno od tega, kateri znesek je višji.

7.   Brez poseganja v popravljalna pooblastila nadzornih organov na podlagi člena 58(2) lahko vsaka država članica določi pravila o tem, ali in v kolikšni meri se lahko javnim organom in telesom s sedežem v zadevni državi članici naložijo upravne globe.

8.   Nadzorni organ izvaja pooblastila iz tega člena na podlagi ustreznih postopkovnih zaščitnih ukrepov v skladu s pravom Unije in pravom države članice, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom.

9.   Kadar pravni sistem države članice ne določa upravnih glob, se lahko ta člen uporablja tako, da pristojni nadzorni organ sproži postopek za naložitev globe, pristojna nacionalna sodišča pa jo izrečejo, pri čemer mora biti zagotovljeno, da so ta pravna sredstva učinkovita in imajo enak učinek, kot ga imajo upravne globe, ki jih naložijo nadzorni organi. V vsakem primeru pa so globe učinkovite, sorazmerne in odvračilne. Te države članice Komisijo uradno obvestijo o določbah svojih zakonov, ki jih sprejmejo na podlagi tega odstavka do 25. maja 2018, brez odlašanja pa tudi o vseh nadaljnjih spremembah teh predpisov ali spremembah, ki vplivajo nanje.

Člen 84

Kazni

1.   Države članice določijo pravila o drugih kaznih, ki se uporabljajo za kršitve te uredbe, zlasti za kršitve, za katere se ne uporabljajo upravne globe v skladu s členom 83, in sprejmejo vse potrebne ukrepe za zagotovitev, da se te kazni izvajajo. Te kazni morajo biti učinkovite, sorazmerne in odvračilne.

2.   Vsaka država članica Komisijo uradno obvesti o določbah svojih zakonov, ki jih sprejme na podlagi odstavka 1, do 25. maja 2018 in jo brez odlašanja uradno obvestijo o vsakršni naknadni spremembi, ki nanje vpliva

POGLAVJE IX

Določbe o posebnih primerih obdelave

Člen 85

Obdelava ter svoboda izražanja in obveščanja

1.   Države članice z zakonom usklajujejo pravico do varstva osebnih podatkov na podlagi te uredbe s pravico do svobode izražanja in obveščanja, vključno z obdelavo v novinarske namene ali zaradi akademskega, umetniškega ali književnega izražanja.

2.   Za obdelavo v novinarske namene ali zaradi akademskega, umetniškega ali književnega izražanja države članice določijo izjeme ali odstopanja od poglavja II (načela), poglavja III (pravice posameznika, na katerega se nanašajo osebni podatki), poglavja IV (upravljavec in obdelovalec), poglavja V (prenos osebnih podatkov v tretje države ali mednarodne organizacije), poglavja VI (neodvisni nadzorni organi), poglavja VII (sodelovanje in skladnost) in poglavja IX (posebni primeri obdelave podatkov), če so potrebni za uskladitev pravice do varstva osebnih podatkov s svobodo izražanja in obveščanja.

3.   Vsaka država članica Komisijo uradno obvesti o določbah zakonov, ki jih sprejme v skladu z odstavkom 2, brez odlašanja pa tudi o vsakršni naknadni spremembi teh predpisov ali spremembah, ki nanje vplivajo.

Člen 86

Obdelava in dostop javnosti do uradnih dokumentov

Javni organ oziroma javno ali zasebno telo lahko v skladu s pravom Unije ali pravom države članice, ki velja za javni organ ali telo, razkrije osebne podatke iz uradnih dokumentov, s katerimi razpolaga zaradi opravljanja nalog v javnem interesu, da se uskladi dostop javnosti do uradnih dokumentov s pravico do varstva osebnih podatkov v skladu s to uredbo.

Člen 87

Obdelava nacionalne identifikacijske številke

Države članice lahko dodatno določijo posebne pogoje za obdelavo nacionalne identifikacijske številke ali katerega koli drugega identifikatorja, ki se splošno uporablja. V tem primeru se nacionalna identifikacijska številka ali kateri koli drug identifikator, ki se splošno uporablja, uporablja le z ustreznimi zaščitnimi ukrepi za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, v skladu s to uredbo.

Člen 88

Obdelava v okviru zaposlitve

1.   Države članice lahko v zakonu ali kolektivnih pogodbah določijo podrobnejša pravila za zagotovitev varstva pravic in svoboščin v zvezi z obdelavo osebnih podatkov zaposlenih v okviru zaposlitve, zlasti za namene zaposlovanja, izvajanja pogodbe o zaposlitvi, vključno z izpolnjevanjem obveznosti, določenih z zakonom ali kolektivnimi pogodbami, upravljanja, načrtovanja in organizacije dela, enakosti in raznolikosti na delovnem mestu, zdravja in varnosti pri delu, varstva lastnine zaposlenih ali potrošnikov in za namene individualnega ali kolektivnega izvajanja in uživanja pravic in ugodnosti, povezanih z zaposlitvijo, ter za namene prekinitve delovnega razmerja.

2.   Ta pravila vključujejo ustrezne in posebne ukrepe za zaščito človeškega dostojanstva, zakonitih interesov in temeljnih pravic posameznika, na katerega se nanašajo osebni podatki, s posebnim poudarkom na preglednosti obdelave, prenosu osebnih podatkov v povezani družbi ali skupini podjetij, ki opravljajo skupno gospodarsko dejavnost, ter sistemih spremljanja na delovnem mestu.

3.   Vsaka država članica Komisijo uradno obvesti o določbah svojih zakonov, ki jih sprejme v skladu z odstavkom 1, do 25. maja 2018, in jo brez odlašanja uradno obvesti o vsakršni naknadni spremembi, ki nanje vpliva.

Člen 89

Zaščitni ukrepi in odstopanja v zvezi z obdelavo v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene

1.   Za obdelavo v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene se v skladu s to uredbo uporabljajo ustrezni zaščitni ukrepi za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. S temi zaščitnimi ukrepi se zagotovi, da se sprejmejo tehnični in organizacijski ukrepi, s katerimi se zagotovi zlasti spoštovanje načela najmanjšega obsega podatkov. Ti ukrepi lahko vključujejo psevdonimizacijo, kadar se ti nameni lahko uresničijo na ta način. Kadar se ti nameni lahko uresničijo z nadaljnjo obdelavo, ki ne omogoča ali več ne omogoča identifikacije posameznikov, na katere se nanašajo podatki, se ti nameni uresničijo na ta način.

2.   Kadar se osebni podatki obdelujejo v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, se lahko v pravu Unije ali pravu države članice določijo odstopanja od pravic iz členov 15, 16, 18 in 21, za katere veljajo pogoji in zaščitni ukrepi iz odstavka 1 tega člena, kolikor je verjetno, da bi takšne pravice onemogočile ali resno ovirale doseganje posebnih namenov in kolikor so takšna odstopanja nujna za uresničitev teh namenov.

3.   Kadar se osebni podatki obdelujejo za namene arhiviranja v javnem interesu, se lahko v pravu Unije ali pravu države članice določijo odstopanja od pravic iz členov 15, 16, 18, 19, 20 in 21, za katere veljajo pogoji in zaščitni ukrepi iz odstavka 1 tega člena, če bi takšne pravice lahko onemogočile ali resno ovirale doseganje posebnih namenov in kolikor so takšna odstopanja nujna za uresničitev teh namenov.

4.   Kadar vrsta obdelave iz odstavkov 2 in 3 hkrati izpolnjuje tudi drug namen, se dovoljena odstopanja uporabijo le za obdelavo v namene iz navedenih odstavkov.

Člen 90

Obveznost varovanja skrivnosti

1.   Države članice lahko sprejmejo posebna pravila, s katerimi določijo pooblastila nadzornih organov iz točk (e) in (f) člena 58(1) v zvezi z upravljavci ali obdelovalci, za katere v skladu s pravom Unije ali pravom države članice ali predpisi, ki jih določijo pristojni nacionalni organi, velja obveznost varovanja poklicne skrivnosti ali druge enakovredne obveznosti varovanja skrivnosti, kadar je to potrebno in sorazmerno, da se uskladi pravica do varstva osebnih podatkov z obveznostjo varovanja skrivnosti. Ta pravila se uporabljajo samo glede osebnih podatkov, ki jih je upravljavec ali obdelovalec prejel ali pridobil v okviru dejavnosti, za katero velja ta obveznost varovanja skrivnosti.

2.   Vsaka država članica Komisijo uradno obvesti o pravilih, ki jih sprejme na podlagi odstavka 1 tega člena, do 25. maja 2018, in jo brez odlašanja uradno obvesti o vsakršni naknadni spremembi, ki nanje vpliva.

Člen 91

Veljavna pravila o varstvu podatkov cerkva in verskih združenj

1.   Kadar v državi članici v času začetka veljavnosti te uredbe cerkve in verska združenja ali skupnosti uporabljajo celovita pravila v zvezi z varstvom posameznikov pri obdelavi, ta pravila lahko veljajo še naprej, če se uskladijo s to uredbo.

2.   Cerkve in verska združenja, ki uporabljajo celovita pravila v skladu z odstavkom 1 tega člena, nadzira neodvisen nadzorni organ, ki je lahko poseben organ, če izpolnjuje pogoje iz poglavja VI te uredbe.

POGLAVJE X

Delegirani akti in izvedbeni akti

Člen 92

Izvajanje prenosa pooblastila

1.   Pooblastilo za sprejemanje delegiranih aktov je preneseno na Komisijo pod pogoji, določenimi v tem členu.

2.   Pooblastilo iz člena 12(8) in člena 43(8) se prenese na Komisijo za nedoločen čas od 24. maja 2016.

3.   Prenos pooblastila iz člena 12(8) in člena 43(8) lahko kadar koli prekliče Evropski parlament ali Svet. S sklepom o preklicu preneha veljati prenos pooblastila iz navedenega sklepa. Sklep začne učinkovati dan po njegovi objavi v Uradnem listu Evropske unije ali na poznejši dan, ki je določen v navedenem sklepu. Sklep ne vpliva na veljavnost že veljavnih delegiranih aktov.

4.   Komisija takoj po sprejetju delegiranega akta o njem sočasno uradno obvesti Evropski parlament in Svet.

5.   Delegirani akt, sprejet na podlagi člena 12(8) in člena 43(8), začne veljati le, če mu niti Evropski parlament niti Svet ne nasprotuje v roku treh mesecev od uradnega obvestila Evropskemu parlamentu in Svetu o tem aktu ali če pred iztekom tega roka tako Evropski parlament kot Svet obvestita Komisijo, da mu ne bosta nasprotovala. Ta rok se na pobudo Evropskega parlamenta ali Sveta podaljša za tri mesece.

Člen 93

Postopek v odboru

1.   Komisiji pomaga odbor. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.

2.   Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.

3.   Pri sklicevanju na ta odstavek se uporablja člen 8 Uredbe (EU) št. 182/2011 v povezavi s členom 5 Uredbe.

POGLAVJE XI

Končne določbe

Člen 94

Razveljavitev Direktive 95/46/ES

1.   Direktiva 95/46/ES se razveljavi z učinkom od 25. maja 2018.

2.   Sklicevanja na razveljavljeno direktivo se štejejo kot sklicevanja na to uredbo. Sklicevanja na Delovno skupino za varstvo posameznikov pri obdelavi osebnih podatkov, ustanovljeno s členom 29 Direktive 95/46/ES, se štejejo kot sklicevanja na Evropski odbor za varstvo podatkov, ustanovljen s to uredbo.

Člen 95

Razmerje z Direktivo 2002/58/ES

Ta uredba ne uvaja dodatnih obveznosti za fizične ali pravne osebe v zvezi z obdelavo, povezano z zagotavljanjem javno dostopnih elektronskih komunikacijskih storitev v javnih komunikacijskih omrežjih v Uniji v povezavi z zadevami, za katere veljajo posebne obveznosti z istim ciljem iz Direktive 2002/58/ES.

Člen 96

Razmerje s predhodno sklenjenimi sporazumi

Mednarodni sporazumi, ki vključujejo prenos osebnih podatkov v tretje države ali mednarodne organizacije in ki so jih države članice sklenile pred 24. majem 2016 ter so skladni s pravom Unije, ki se je uporabljalo pred navedenim datumom, ostanejo veljavni, dokler niso spremenjeni, nadomeščeni ali razveljavljeni.

Člen 97

Poročila Komisije

1.   Komisija do 25. maja 2020 in nato vsaka štiri leta Evropskemu parlamentu in Svetu predloži poročila o vrednotenju in pregledu te uredbe. Ta poročila se objavijo.

2.   Komisija pri vrednotenju in pregledih iz odstavka 1 preveri zlasti uporabo in delovanje:

(a)

poglavja V o prenosu osebnih podatkov v tretje države ali mednarodne organizacije, s posebnim poudarkom na odločitvah, sprejetih v skladu s členom 45(3) te uredbe, in odločitvah, sprejetih na podlagi člena 25(6) Direktive 95/46/ES;

(b)

poglavja VII o sodelovanju in skladnosti.

3.   Komisija lahko za namen iz odstavka 1 zahteva informacije od držav članic in nadzornih organov.

4.   Komisija pri izvajanju vrednotenja in pregledov iz odstavkov 1 in 2 upošteva stališča in ugotovitve Evropskega parlamenta, Sveta ter drugih ustreznih organov ali virov.

5.   Komisija po potrebi predloži ustrezne predloge za spremembo te uredbe, zlasti ob upoštevanju razvoja informacijske tehnologije in glede na stanje napredka v informacijski družbi.

Člen 98

Pregled drugih pravnih aktov Unije o varstvu podatkov

Komisija po potrebi predloži zakonodajne predloge za spremembo drugih pravnih aktov Unije o varstvu osebnih podatkov, da se zagotovi enotno in skladno varstvo posameznikov pri obdelavi. To zlasti zadeva pravila o varstvu posameznikov pri obdelavi s strani institucij, organov, uradov in agencij Unije ter pravila o prostem pretoku takšnih podatkov.

Člen 99

Začetek veljavnosti in uporaba

1.   Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

2.   Uporablja se od 25. maja 2018.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju, 27. aprila 2016

Za Evropski parlament

Predsednik

M. SCHULZ

Za Svet

Predsednica

J.A. HENNIS-PLASSCHAERT


(1)  UL C 229, 31.7.2012, str. 90.

(2)  UL C 391, 18.12.2012, str. 127.

(3)  Stališče Evropskega parlamenta z dne 12. marca 2014 (še ni objavljeno v Uradnem listu) in stališče Sveta v prvi obravnavi z dne 8. aprila 2016 (še ni objavljeno v Uradnem listu). Stališče Evropskega parlamenta z dne 14. aprila 2016.

(4)  Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995, str. 31).

(5)  Priporočilo Komisije z dne 6. maja 2003 o opredelitvi mikro, malih in srednje velikih podjetij (C(2003) 1422) (UL L 124, 20.5.2003, str. 36).

(6)  Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12.1.2001, str. 1).

(7)  Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov in o razveljavitvi Okvirnega sklep Sveta 2008/977/PNZ (glej stran 89 tega Uradnega lista).

(8)  Direktiva 2000/31/ES Evropskega parlamenta in Sveta z dne 8. junija 2000 o nekaterih pravnih vidikih storitev informacijske družbe, zlasti elektronskega poslovanja na notranjem trgu (Direktiva o elektronskem poslovanju) (UL L 178, 17.7.2000, str. 1).

(9)  Direktiva 2011/24/EU Evropskega parlamenta in Sveta z dne 9. marca 2011 o uveljavljanju pravic pacientov pri čezmejnem zdravstvenem varstvu (UL L 88, 4.4.2011, str. 45).

(10)  Direktiva Sveta 93/13/EGS z dne 5. aprila 1993 o nedovoljenih pogojih v potrošniških pogodbah (UL L 95, 21.4.1993, str. 29).

(11)  Uredba (ES) št. 1338/2008 Evropskega parlamenta in Sveta z dne 16. decembra 2008 o statističnih podatkih Skupnosti v zvezi z javnim zdravjem ter zdravjem in varnostjo pri delu (UL L 354, 31.12.2008, str. 70).

(12)  Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).

(13)  Uredba (EU) št. 1215/2012 Evropskega parlamenta in Sveta z dne 12. decembra 2012 o pristojnosti in priznavanju ter izvrševanju sodnih odločb v civilnih in gospodarskih zadevah (UL L 351, 20.12.2012, str. 1).

(14)  Direktiva 2003/98/ES Evropskega parlamenta in Sveta z dne 17. novembra 2003 o ponovni uporabi informacij javnega sektorja (UL L 345, 31.12.2003, str. 90).

(15)  Uredba (EU) št. 536/2014 Evropskega parlamenta in Sveta z dne 16. aprila 2014 o kliničnem preskušanju zdravil za uporabo v humani medicini in razveljavitvi Direktive 2001/20/ES (UL L 158, 27.5.2014, str. 1).

(16)  Uredba (ES) št. 223/2009 Evropskega parlamenta in Sveta z dne 11. marca 2009 o evropski statistiki ter razveljavitvi Uredbe (ES, Euratom) št. 1101/2008 Evropskega parlamenta in Sveta o prenosu zaupnih podatkov na Statistični urad Evropskih skupnosti, Uredbe Sveta (ES) št. 322/97 o statističnih podatkih Skupnosti in Sklepa Sveta 89/382/EGS, Euratom, o ustanovitvi Odbora za statistične programe Evropskih skupnosti (UL L 87, 31.3.2009, str. 164).

(17)  UL C 192, 30.6.2012, str. 7.

(18)  Direktiva 2002/58/ES evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).

(19)  Direktiva (EU) 2015/1535 Evropskega parlamenta in Sveta z dne 9. septembra 2015 o določitvi postopka za zbiranje informacij na področju tehničnih predpisov in pravil za storitve informacijske družbe (UL L 241, 17.9.2015, str. 1).

(20)  Uredba (ES) št. 765/2008 Evropskega Parlamenta in Sveta z dne 9. julija 2008 o določitvi zahtev za akreditacijo in nadzor trga v zvezi s trženjem proizvodov ter razveljavitvi Uredbe (EGS) št. 339/93 (UL L 218, 13.8.2008, str. 30).

(21)  Uredba (ES) št. 1049/2001 Evropskega parlamenta in Sveta z dne 30. maja 2001 o dostopu javnosti do dokumentov Evropskega parlamenta, Sveta in Komisije (UL L 145, 31.5.2001, str. 43).


DIREKTIVE

4.5.2016   

SL

Uradni list Evropske unije

L 119/89


DIREKTIVA (EU) 2016/680 EVROPSKEGA PARLAMENTA IN SVETA

z dne 27. aprila 2016

o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti člena 16(2) Pogodbe,

ob upoštevanju predloga Evropske komisije,

po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,

ob upoštevanju mnenja Odbora regij (1),

v skladu z rednim zakonodajnim postopkom (2),

ob upoštevanju naslednjega:

(1)

Varstvo posameznikov pri obdelavi osebnih podatkov je temeljna pravica. V členu 8(1) Listine Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina) in členu 16(1) Pogodbe o delovanju Evropske unije (PDEU) je določeno, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj.

(2)

Načela in pravila o varstvu posameznikov pri obdelavi njihovih osebnih podatkov bi morali ne glede na njihovo državljanstvo ali prebivališče zagotavljati spoštovanje temeljnih pravic in svoboščin posameznikov, zlasti pravico do varstva osebnih podatkov. Ta direktiva naj bi prispevala k dokončnemu oblikovanju območja svobode, varnosti in pravice.

(3)

Hiter tehnološki razvoj in globalizacija sta prinesla nove izzive za varstvo osebnih podatkov. Obseg zbiranja in izmenjave osebnih podatkov se je bistveno povečal. Tehnologija še nikoli prej ni v takšnem obsegu omogočala obdelave osebnih podatkov za izvajanje dejavnosti, kot so preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij.

(4)

Omogočiti je treba lažji prost pretok osebnih podatkov med pristojnimi organi za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem v Uniji ter prenosom takšnih osebnih podatkov v tretje države in mednarodne organizacije, hkrati pa zagotoviti visoko raven varstva osebnih podatkov. Zaradi takšnega razvoja je potrebno oblikovati trden in skladnejši okvir za varstvo osebnih podatkov v Uniji, ki se ga dosledno izvaja.

(5)

Direktiva 95/46/ES Evropskega parlamenta in Sveta (3) se uporablja za vse obdelave osebnih podatkov v državah članicah, tako v javnem in zasebnem sektorju. Vendar se ne uporablja za obdelavo osebnih podatkov med dejavnostjo, ki ne sodi na področje uporabe prava Skupnosti, na primer med dejavnostmi na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja.

(6)

Okvirni sklep Sveta 2008/977/PNZ (4), se uporablja na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja. Področje uporabe navedenega okvirnega sklepa je omejeno na obdelavo osebnih podatkov, ki se posredujejo ali dajo na voljo med državami članicami.

(7)

Zagotavljanje dosledne in visoke ravni varstva osebnih podatkov posameznikov ter spodbujanje izmenjave osebnih podatkov med pristojnimi organi držav članic je bistvenega pomena za zagotovitev učinkovitega pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja. Zato bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, v vseh državah članicah enaka. Za učinkovito varstvo osebnih podatkov v celotni Uniji ni potrebna le krepitev pravic posameznikov, na katere se nanašajo osebni podatki, ter dolžnosti tistih, ki takšne podatke obdelujejo, temveč so potrebna tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili o varstvu osebnih podatkov v državah članicah.

(8)

V členu 16(2) PDEU je navedeno, da Evropski parlament in Svet določati pravila o varstvu fizičnih oseb pri obdelavi osebnih podatkov ter pravila o prostem pretoku osebnih podatkov.

(9)

Na podlagi tega so v Uredbi (EU) 2016/679 Evropskega parlamenta in Sveta (5) določena splošna pravila o varstvu posameznikov pri obdelavi osebnih podatkov in o zagotovitvi prostega pretoka osebnih podatkov v Uniji.

(10)

V izjavi št. 21 o varstvu osebnih podatkov na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja, ki je priložena Sklepni listini medvladne konference, ki je sprejela Lizbonsko pogodbo, je konferenca potrdila, da bi lahko bili zaradi posebne narave pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja na teh področjih potrebni posebni predpisi o varstvu osebnih podatkov in o prostem pretoku osebnih podatkov na podlagi člena 16 PDEU.

(11)

Zato je primerno, da ta področja ureja direktiva, v kateri so določena posebna pravila o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ob upoštevanju posebnih lastnosti teh dejavnosti. Ti pristojni organi lahko vključujejo ne le javne organe, kot so pravosodni organi, policija ali drugi organi preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, temveč tudi vse druge organe ali subjekte, ki v skladu z zakonodajo države članice izvajajo javno oblast in javna pooblastila za namene te direktive. Kadar takšen organ ali subjekt obdeluje osebne podatke za namene, ki so drugačni od namenov iz te direktive, se uporablja Uredba (EU) 2016/679. Uredba (EU) 2016/679 se torej uporablja v primerih, ko organ ali subjekt zbira osebne podatke za druge namene in jih dodatno obdeluje, ker jih k temu zavezujejo pravne obveznosti. Na primer finančne institucije za namene preiskovanja, odkrivanja ali pregona kaznivih dejanj zadržijo nekatere osebne podatke, ki so jih obdelale, ter jih pristojnim nacionalnim organom posredujejo le v posebnih primerih in v skladu z zakonodajo države članice. Organ ali subjekt, ki v imenu navedenih organov obdeluje osebne podatke v okviru področja uporabe te direktive, bi morali zavezovati pogodba ali drug pravni akt in določbe, ki veljajo za obdelovalce v skladu s to direktivo, medtem ko bi morala uporaba Uredbe (EU) 2016/679 ostati nespremenjena za obdelavo osebnih podatkov, ki jih obdelovalec izvaja zunaj področja uporabe te direktive.

(12)

Pri dejavnostih, ki jih izvaja policija ali drug organ preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, je glavni poudarek na preprečevanju, preiskovanju, odkrivanju ali pregonu kaznivih dejanj, vključujejo pa tudi policijske dejavnosti v primerih, ko še ni jasno, ali gre za kaznivo dejanje ali ne. Takšne dejavnosti lahko vključujejo izvajanje pristojnosti s prisilnimi ukrepi, kot so policijske dejavnosti ob demonstracijah, na velikih športnih dogodkih in ob izgredih. Vključujejo tudi vzdrževanje javnega reda in miru, nalogo, za katero je pristojna policija ali drug organ preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, kadar je to potrebno za varovanje pred grožnjami javni varnosti in pravno zaščitenim temeljnim interesom družbe ter preprečevanje teh groženj, ki bi lahko vodile v kazniva dejanja. Države članice lahko pristojnim organom zaupajo druge naloge, ki se ne izvajajo nujno za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, tako da obdelava osebnih podatkov za te druge namene, kolikor spada v področje uporabe prava Unije, spada v področje uporabe Uredbe (EU) 2016/679.

(13)

Kaznivo dejanje v smislu te direktive bi moral biti avtonomen pojem prava Unije, kot ga razlaga Sodišče Evropske unije (v nadaljnjem besedilu: Sodišče).

(14)

Te direktive ne bi smeli uporabljati za obdelavo osebnih podatkov pri dejavnostih, ki ne spadajo v področje uporabe prava Unije, zato se dejavnosti v zvezi z varnostjo države ter dejavnosti agencij ali enot, zadolženih za vprašanja varnosti države, in obdelava osebnih podatkov v državah članicah pri izvajanju dejavnosti, ki spadajo v področje uporabe poglavja 2 naslova V Pogodbe o Evropski uniji (PEU), ne bi smele šteti za dejavnosti, ki spadajo v področje uporabe te direktive.

(15)

Da bi s pravno izvršljivimi pravicami zagotovili enako raven varstva posameznikov v Uniji in preprečili razhajanja, ki ovirajo izmenjavo osebnih podatkov med pristojnimi organi, bi morala ta direktiva vsebovati harmonizirana pravila o varstvu in prostem pretoku osebnih podatkov, ki se obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem. Približevanje zakonodaj držav članic nikakor ne bi smelo znižati ravni varstva osebnih podatkov, ki jo te zagotavljajo; nasprotno, z njim bi si morali prizadevati za zagotavljanje visoke ravni varstva znotraj Unije. Državam članicam bi moralo biti omogočeno, da za varovanje pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, ki jih obdelujejo pristojni organi, sprejmejo višjo raven zaščitnih ukrepov od te, ki je določena v tej direktivi.

(16)

Ta direktiva ne posega v načelo dostopa javnosti do uradnih dokumentov. V skladu z Uredbo (EU) 2016/679 lahko javni organ oziroma javno ali zasebno telo v skladu s pravom Unije ali pravom države članice, ki velja za organ ali telo, razkrije osebne podatke iz uradnih dokumentov, s katerimi razpolaga zaradi opravljanja nalog v javnem interesu, da se dostop javnosti do uradnih dokumentov uskladi s pravico do varstva osebnih podatkov.

(17)

Varstvo, zagotovljeno s to direktivo, bi se moralo uporabljati za obdelavo osebnih podatkov posameznikov, ne glede na njihovo državljanstvo ali prebivališče.

(18)

Z namenom preprečiti ustvarjanje resnega tveganja izogibanja predpisom, bi moralo biti varstvo posameznikov tehnološko nevtralno in neodvisno od uporabljenih tehnik. Varstvo posameznikov bi se moralo uporabljati za obdelavo osebnih podatkov z avtomatiziranimi sredstvi in za ročno obdelavo, če so osebni podatki del zbirke ali so namenjeni, da postanejo del zbirke. Zapisi ali nizi zapisov – kot tudi njihove naslovnice -, ki niso strukturirani v skladu s posebnimi merili, ne bi smeli spadati na področje uporabe te direktive.

(19)

Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta (6) se uporablja za obdelavo osebnih podatkov s strani institucij, organov, uradov in agencij Unije. Uredbo (ES) št. 45/2001 in druge pravne akte Unije, ki se uporabljajo za takšno obdelavo osebnih podatkov, bi bilo treba prilagoditi načelom in pravilom, določenim v Uredbi (EU) 2016/679.

(20)

Ta direktiva državam članicam ne preprečuje, da v nacionalnih predpisih o kazenskih postopkih določijo dejanja in postopke obdelave v zvezi z obdelavo osebnih podatkov s strani sodišč in drugih pravosodnih organov, zlasti kar zadeva osebne podatke, vsebovane v sodnih odločbah ali v evidencah, povezanih s kazenskimi postopki.

(21)

Načela varstva podatkov bi se morala uporabljati za vse informacije v zvezi z določenim ali določljivim posameznikom. Pri ugotavljanju, ali je posameznik določljiv, bi bilo treba upoštevati vsa sredstva– kot je na primer izločitev – za katera se razumno pričakuje, da jih bo uporabil upravljavec ali druga oseba za neposredno ali posredno identifikacijo posameznika. Da bi ugotovili ali se za ta sredstva lahko razumno pričakuje, da bodo uporabljena za identifikacijo posameznika, bi bilo treba upoštevati vse objektivne dejavnike, kot so stroški identifikacije in čas, potreben zanjo, ter pri tem upoštevati razpoložljivo tehnologijo in tehnološki razvoj v času obdelave. Načel varstva podatkov zato ne bi smeli uporabljati za anonimizirane informacije, in sicer informacije, ki niso povezane z določenim ali določljivim posameznikom, ali osebne podatke, ki so bili anonimizirani na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni več določljiv.

(22)

Javnih organov, ki so jim bili osebni podatki razkriti v skladu s pravno obveznostjo za izvajanje njihovih uradnih nalog, kot so davčni in carinski organi, finančne preiskovalne enote, neodvisni upravni organi ali organi finančnih trgov, pristojni za regulacijo in nadzor trgov vrednostnih papirjev, ne bi smeli šteti za uporabnike, če prejmejo osebne podatke, ki so potrebni za izvedbo določene preiskave v splošnem interesu, v skladu s pravom Unije ali države članice. Zahteve za razkritje, ki jih predložijo javni organi, bi morale biti vedno v pisni obliki, utemeljene in občasne ter ne bi smele zadevati celotne zbirke ali voditi k medsebojnemu povezovanju zbirk. Obdelava osebnih podatkov s strani teh javnih organov bi morala biti v skladu z veljavnimi predpisi o varstvu podatkov glede na namene obdelave.

(23)

Genetski podatki bi morali biti opredeljeni kot osebni podatki, povezani s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstveno informacijo o fiziologiji ali zdravju tega posameznika in izhajajo iz analize biološkega vzorca zadevnega posameznika, zlasti analize kromosomov, deoksiribonukleinske kisline (DNK) ali ribonukleinske kisline (RNK) ali analize drugega elementa, ki zagotavlja enakovredne informacije. Glede na kompleksnost in občutljivost genetskih informacij obstaja velika nevarnost zlorabe in ponovne uporabe za različne namene s strani upravljavca. Vsakršna diskriminacija na podlagi genetskih značilnosti bi načeloma morala biti prepovedana.

(24)

Osebni podatki v zvezi z zdravjem bi morali obsegati vse podatke o zdravstvenem stanju posameznika, na katerega se nanašajo osebni podatki, ki razkrivajo informacije o njegovem preteklem, sedanjem ali prihodnjem telesnem ali duševnem zdravstvenem stanju. To vključuje informacije o posamezniku, zbrane med registracijo za storitve zdravstvenega varstva ali njihovim zagotavljanjem posamezniku, kot je določeno v Direktivi 2011/24/EU Evropskega parlamenta in Sveta (7); številko, znak ali posebno oznako, dodeljeno posamezniku za njegovo edinstveno identifikacijo v zdravstvene namene; informacije, pridobljene s testiranjem ali preiskavo dela telesa ali telesne snovi, vključno z informacijami, pridobljenimi iz genetskih podatkov in bioloških vzorcev, in vse informacije o, na primer, bolezni, invalidnosti, tveganju za nastanek bolezni, zdravstveni anamnezi, kliničnem zdravljenju ali fiziološkem ali biomedicinskem stanju posameznika, na katerega se nanašajo osebni podatki, ne glede na vir teh podatkov, na primer zdravnik ali drug zdravstveni delavec, bolnišnica, medicinski pripomoček ali diagnostični preskus in vitro.

(25)

Vse države članice so pridružene Mednarodni organizaciji kriminalistične policije (Interpol). Interpol za izpolnjevanje svojih nalog prejema, shranjuje in razpošilja osebne podatke, s čimer pristojnim organom pomaga pri preprečevanju mednarodnega kriminala in boju proti njemu. Zato je treba izboljšati sodelovanje med Unijo in Interpolom, in sicer s spodbujanjem učinkovite izmenjave osebnih podatkov, hkrati pa zagotavljati spoštovanje temeljnih pravic in svoboščin v zvezi z avtomatsko obdelavo osebnih podatkov. Pri prenosu osebnih podatkov iz Unije v Interpol in v države, ki imajo svoje predstavnike v Interpolu, bi se morala uporabljati ta direktiva, zlasti določbe o mednarodnih prenosih. Ta direktiva ne bi smela posegati v posebna pravila, določena v Skupnem stališču Sveta 2005/69/PNZ (8) in Sklepu Sveta 2007/533/PNZ (9).

(26)

Vsaka obdelava osebnih podatkov mora biti zakonita, poštena in pregledna za zadevne posameznike ter opravljena le za posebne namene, določene z zakonom. To samo po sebi organom kazenskega pregona ne preprečuje izvajanja dejavnosti, kot so tajne preiskave ali video nadzor. Te dejavnosti se lahko izvajajo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali za izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, pod pogojem, da so določene z zakonom, so nujen in sorazmeren ukrep v demokratični družbi ter upoštevajo zakonite interese zadevne ga posameznika. Načelo poštene obdelave v okviru varstva podatkov je pojem, ki je jasno ločen od pravice do poštenega sojenja, ki je opredeljena v členu 47 Listine in členu 6 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin (EKČP). Posameznike bi bilo treba opozoriti na tveganja, pravila, zaščitne ukrepe in pravice v zvezi z obdelavo njihovih osebnih podatkov ter na to, kako lahko uresničujejo njihove pravice v zvezi s tako obdelavo. Zlasti posebni nameni, za katere se osebni podatki obdelujejo, bi morali biti izrecni, zakoniti in določeni v času zbiranja osebnih podatkov. Osebni podatki bi morali biti ustrezni in relevantni za namene, za katere se obdelujejo. Zlasti bi bilo treba zagotoviti, da zbrani osebni podatki niso prekomerni in se hranijo le toliko časa, kolikor je potrebno za namene, za katere se obdelujejo. Osebne podatke bi lahko obdelovali samo, če namena obdelave v razumnih okvirih ni bilo mogoče doseči z drugimi sredstvi. Da bi zagotovili, da se podatki hranijo le toliko časa, kolikor je potrebno, bi moral upravljavec določiti roke za izbris ali reden pregled. Države članice bi morale določiti ustrezne zaščitne ukrepe za osebne podatke, ki se zaradi arhiviranja v javnem interesu ali v znanstvene, statistične ali zgodovinske namene shranjujejo za daljše obdobje.

(27)

Zaradi preprečevanja, preiskovanja in pregona kaznivih dejanj morajo pristojni organi osebne podatke, zbrane v okviru preprečevanja, preiskovanja, odkrivanja ali pregona posebnih kaznivih dejanj, obdelovati zunaj tega okvira, da bi lahko pridobili vpogled v kriminalne dejavnosti ter odkrivali povezave med različnimi odkritimi kaznivimi dejanji.

(28)

Da bi ohranili varnost glede obdelave in preprečili obdelave, ki bi pomenile kršitve te direktive, bi morali biti osebni podatki obdelani na način, ki zagotavlja ustrezno raven varnosti in zaupnosti, vključno s preprečevanjem nedovoljenega dostopa do osebnih podatkov in opreme za obdelavo ali njihove uporabe, in ki upošteva razpoložljive tehnološke ravni in tehnologije, stroške izvajanja glede na tveganja in na naravo osebnih podatkov, ki jih je treba varovati.

(29)

Osebne podatke bi bilo treba zbirati za določene, izrecne in zakonite namene v okviru področja uporabe te direktive ter jih ne bi smeli obdelovati za namene, ki so nezdružljivi z nameni preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem. Če osebne podatke obdeluje isti ali drugi upravljavec za namene v okviru področja uporabe te direktive, ki so drugačni od namenov, za katere so bili zbrani, bi morala taka obdelava biti dovoljena, pod pogojem, da je ta obdelava v skladu z veljavnimi pravnimi določbami ter je za zadevni drugi namen potrebna in z njim sorazmerna.

(30)

Ob upoštevanju narave in namena zadevne obdelave, bi bilo treba uporabljati načelo točnosti podatkov. Zlasti izjave, podane v sodnih postopkih, ki vsebujejo osebne podatke, temeljijo na subjektivnem dojemanju posameznikov in niso vedno preverljive. Zato se zahteva po točnosti ne bi smela nanašati na točnost izjave, ampak zgolj na dejstvo, da je bila določena izjava podana.

(31)

Z obdelavo osebnih podatkov na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja je neločljivo povezano dejstvo, da se obdelujejo osebni podatki v zvezi z različnimi kategorijami posameznikov, na katere se nanašajo osebni podatki. Zato bi bilo treba, kadar je to ustrezno in v največji možni meri, jasno razlikovati med osebnimi podatki različnih kategorij posameznikov, na katere se nanašajo osebni podatki, kot so osumljenci, osebe, obsojene za kaznivo dejanje, žrtve in druge osebe, kot so priče, osebe, ki imajo pomembne informacije ali stike, ter udeleženci pri kaznivem dejanju, povezani z osumljenci in obsojenimi storilci kaznivih dejanj. To ne bi smelo preprečevati uresničevanja pravice do domneve nedolžnosti, ki jo zagotavljata Listina in EKČP, kot ju razlaga sodna praksa Sodišča in Evropskega sodišča za človekove pravice.

(32)

Pristojni organi bi morali zagotoviti, da se osebni podatki, ki so netočni, nepopolni ali neposodobljeni, ne posredujejo ali dajo na voljo. Da bi zagotovili varstvo posameznikov, točnost, popolnost oziroma stopnjo posodobljenosti osebnih podatkov in zanesljivost osebnih podatkov, ki se posredujejo ali dajejo na voljo, bi morali pristojni organi v vsak prenos osebnih podatkov, kolikor je to mogoče, vključiti potrebne informacije.

(33)

Kadar se ta direktiva sklicuje na pravo države članice, pravno podlago ali zakonodajni ukrep, to, brez poseganja v ustavne zahteve zadevne države članice, ne pomeni nujno, da mora zakonodajni akt sprejeti parlament., Takšno pravo države članice, pravna podlaga ali zakonodajni ukrep pa bi morali biti za osebe, na katere se nanašajo, jasni in natančni, njihova uporaba pa predvidljiva, v skladu s sodno prakso Sodišča in Evropskega sodišča za človekove pravice. Pravo države članice, ki ureja obdelavo osebnih podatkov v okviru področja uporabe te direktive, bi moralo določiti vsaj cilje, osebne podatke, ki se obdelujejo, namene obdelave ter postopke za ohranjanje celovitosti in zaupnosti osebnih podatkov ter postopke za njihovo uničenje, s čimer se zagotovijo zadostna jamstva pred nevarnostjo zlorabe in samovoljnosti.

(34)

Obdelava osebnih podatkov s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, bi morala zajemati vsa dejanja ali niz dejanj, ki se za navedene namene izvajajo v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali kako drugače, kot so zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, iskanje, vpogled, uporaba, prilagajanje ali kombiniranje, omejevanje obdelave, izbris ali uničenje. Pravila iz te direktive bi bilo treba uporabljati zlasti za posredovanje osebnih podatkov za namene iz te direktive uporabnikom, za katere se ta direktiva ne uporablja. Za takega uporabnika bi morala šteti vsaka fizična ali pravna oseba, javni organ, agencija ali kateri koli drug organ, ki mu je pristojni organ zakonito razkril osebne podatke. V primerih, ko je pristojni organ osebne podatke prvotno zbral za katerega od namenov iz te direktive, bi bilo treba za obdelavo teh podatkov za namene, ki jih ne zajema ta direktiva, uporabiti Uredbo (EU) 2016/679, če je takšna obdelava dovoljena v pravu Unije ali države članice. Pravila iz Uredbe (EU) 2016/679 bi bilo treba uporabljati zlasti za posredovanje osebnih podatkov za namene, ki ne sodijo v področje uporabe te direktive. Za obdelavo osebnih podatkov s strani uporabnika, ki ni pristojni organ oziroma ne deluje kot pristojni organ v smislu te direktive in mu je pristojni organ osebne podatke zakonito razkril, bi bilo treba uporabljati Uredbo (EU) 2016/679. Države članice bi morale imeti možnost, da pri izvajanju te direktive še podrobneje določijo uporabo pravil iz Uredbe (EU) 2016/679 ob upoštevanju pogojev iz navedene uredbe.

(35)

Da bi bila obdelava osebnih podatkov v skladu s to direktivo zakonita, bi morala biti nujna za opravljanje naloge, ki jo pristojni organ izvaja v javnem interesu na podlagi prava Unije ali države članice za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem. Te dejavnosti bi morale zajemati zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki. Opravljanje nalog preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj je institucionalno preneseno na pristojne organe z zakonom, kar jim omogoča, da lahko od posameznikov zahtevajo ali jim odredijo da izvršijo dane zahteve. V takšnem primeru privolitev posameznika, na katerega se nanašajo osebni podatki, kot je določeno v Uredbi (EU) 2016/679, ne bi smela predstavljati pravne podlage za obdelavo osebnih podatkov s strani pristojnih organov. Kadar mora posameznik, na katerega se nanašajo osebni podatki, ravnati v skladu z zakonsko obvezo, ne more dejansko in svobodno izbirati, zato odziva tega posameznika ne bi smeli obravnavati kot prostovoljni izraz njegove volje. To državam članicam ne bi smelo preprečevati, da z zakonom določijo, da lahko posameznik, na katerega se nanašajo osebni podatki, izrazi soglasje za obdelavo svojih osebnih podatkov za namene te direktive, kot je test DNK v kazenskih preiskavah ali spremljanje njegove lokacije z elektronskimi zapestnicami pri izvrševanju kazenskih sankcij.

(36)

Države članice bi morale določiti, da v primeru, ko so v pravu Unije ali države članice za pristojni organ, ki posreduje podatke, določeni posebni pogoji za obdelavo osebnih podatkov v posebnih okoliščinah, na primer uporaba kode za ravnanje s podatki, bi moral pristojni organ, ki posreduje podatke, obvestiti uporabnika teh osebnih podatkov o takšnih pogojih in zahtevati, da jih upošteva. Ti pogoji bi lahko na primer obsegali prepoved posredovanja osebnih podatkov naprej ali prepoved njihove uporabe za druge namene kot so nameni, za katere so bili posredovani uporabniku, ali prepoved obvestitve posameznika, na katerega se podatki nanašajo, o omejitvi pravice do obveščenosti, brez predhodnega dovoljenja pristojnega organa, ki je podatke posredoval. Te obveznosti bi se morale uporabljati tudi za prenose pristojnega organa, ki posreduje podatke, uporabnikom v tretjih državah ali mednarodnih organizacijah. Države članice bi morale zagotoviti, da pristojni organ, ki je podatke posredoval, takšnih pogojev ne bo uporabljal za uporabnike v drugih državah članicah ali za agencije, urade in organe, ustanovljene v skladu s poglavji 4 in 5 naslova V PDEU, razen tistih, ki se uporabljajo za podobne prenose podatkov v državi članici tega pristojnega organa.

(37)

Posebno varstvo si zaslužijo osebni podatki, ki so po svoji naravi posebej občutljivi z vidika temeljnih pravic in svoboščin, saj bi okoliščine njihove obdelave lahko povzročile resno tveganje za temeljne pravice in svoboščine. Ti osebni podatki bi morali vključevati tudi osebne podatke, ki razkrivajo rasno ali etnično poreklo, pri čemer uporaba pojma „rasno poreklo“ v tej direktivi ne pomeni, da Unija priznava teorije, ki poskušajo dokazati obstoj različnih človeških ras. Takšnih osebnih podatkov ne bi smeli obdelovati, razen če je pri obdelavi z zakonom zagotovljena ustrezna zaščita pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, in je obdelava dovoljena v zakonsko določenih primerih; kadar to po zadevnem zakonu še ni dovoljeno in je obdelava potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe; ali če se obdelujejo podatki, ki jih je posameznik, na katerega se nanašajo, sam objavil. Ustrezna zaščita pravic in svoboščin posameznika, na katerega se osebni podatki nanašajo, bi lahko vključevala možnost, da se ti podatki zbirajo samo v povezavi z drugimi podatki v zvezi z zadevnim posameznikom, možnost da se zbrane podatke ustrezno zavaruje, strožja pravila o dostopu osebja pristojnega organa do podatkov in prepoved prenosa takšnih podatkov. Obdelava takšnih podatkov bi morala biti zakonsko dovoljena, kadar posameznik, na katerega se nanašajo osebni podatki, izrecno privoli v obdelavo, ki je zanj posebej intruzivna. Vendar pa soglasje posameznika, na katerega se nanašajo osebni podatki, samo po sebi ne bi smelo zagotavljati pravne podlage za obdelavo takšnih občutljivih osebnih podatkov s strani pristojnih organov.

(38)

Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da zanj ne bi veljala odločitev o ocenjevanju osebnih vidikov v zvezi z njim, ki temelji zgolj na avtomatizirani obdelavi in ima škodljive pravne učinke v zvezi z njim ali znatno vpliva nanj. V vsakem primeru bi morali za tako obdelavo veljati ustrezni zaščitni ukrepi, vključno s konkretno seznanitvijo posameznika, na katerega se nanašajo osebni podatki, s pravico, da dobi osebno posredovanje, kar bi mu zlasti omogočilo, da izrazi svoje stališče ali dobi pojasnilo o odločitvi po takem ocenjevanju, ali pravico do izpodbijanja odločitve. Oblikovanje profilov, ki ima za posledico diskriminacijo posameznikov na podlagi osebnih podatkov, ki so po svoji naravi posebej občutljivi z vidika temeljnih pravic in svoboščin, bi moralo biti prepovedano pod pogoji, določenimi v členih 21 in 52 Listine.

(39)

Da bi lahko posameznik, na katerega se nanašajo osebni podatki, uresničeval svoje pravice, bi mu morale biti vse informacije lahko dostopne, tudi na spletni strani upravljavca, in bi morale biti z uporabo jasnega in preprostega jezika enostavno razumljive. Takšne informacije bi bilo treba prilagoditi potrebam ranljivih posameznikov, kot so otroci.

(40)

Da bi lahko posameznik, na katerega se nanašajo osebni podatki, lažje uresničeval svoje pravice na podlagi določb, sprejetih na podlagi te direktive, bi bilo treba določiti ureditve, tudi mehanizme, s katerimi lahko zahteva in, če je ustrezno, mu je zagotovljen, zlasti brezplačen dostop do osebnih podatkov ter popravek ali izbris osebnih podatkov in omejitev obdelave. Upravljavec bi moral biti zavezan, da na zahtevo posameznika, na katerega se nanašajo osebni podatki, odgovori brez nepotrebnega odlašanja, razen če upravljavec uporablja omejitve pravic posameznikov, na katere se nanašajo osebni podatki, v skladu s to direktivo. Če so poleg tega zahteve očitno neutemeljene ali pretirane, kot v primeru, ko posameznik, na katerega se nanašajo osebni podatki, nerazumno in neprestano zahteva informacije ali zlorabi svojo pravico do informacij, na primer z navajanjem napačnih ali zavajajočih informacij pri oddaji zahteve, bi moral upravljavec imeti možnost zaračunati razumno pristojbino ali pa zavrniti ukrepanje v zvezi s to zahtevo.

(41)

Kadar upravljavec zahteva predložitev dodatnih informacij, potrebnih za potrditev identitete posameznika, na katerega se nanašajo osebni podatki, bi bilo treba te informacije obdelati samo za ta poseben namen in se jih ne bi smelo shranjevati dlje, kot je potrebno za navedeni namen.

(42)

Posamezniku, na katerega se nanašajo osebni podatki, bi bilo treba zagotoviti najmanj naslednje informacije: identiteto upravljavca, obstoj dejanj obdelave, namen obdelave, pravica do vložitve pritožbe in obstoj pravice, da se od upravljavca zahtevajo dostop do in popravek ali izbris osebnih podatkov ali omejitev obdelave. Te informacije bi lahko bile zagotovljene na spletnem mestu pristojnega organa. Poleg tega bi bilo treba posameznika, na katerega se nanašajo osebni podatki, v posebnih primerih in zaradi uresničevanja njegovih pravic seznaniti s pravno podlago za obdelavo in tem, kako dolgo bodo podatki shranjeni, v kolikor so take dodatne informacije potrebne, ob upoštevanju posebnih okoliščin, v katerih se podatki obdelujejo, za zagotovitev poštene obdelave v odnosu do posameznika, na katerega se nanašajo osebni podatki.

(43)

Posameznik bi moral imeti pravico dostopa do podatkov, ki so bili zbrani v zvezi z njim, in do enostavnega uresničevanja te pravice v razumnih časovnih presledkih, da bi se seznanil z obdelavo in preveril njeno zakonitost. Zato bi moral imeti vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da je seznanjen s sporočilom in da prejme sporočilo o namenih, za katere se obdelujejo podatki, v kakšnem obdobju se ti podatki obdelujejo in kdo so uporabniki podatkov, tudi v tretjih državah. Kadar takšna sporočila vsebujejo informacije o izvoru osebnih podatkov, te informacije ne bi smele razkriti identitete posameznikov, zlasti zaupnih virov. Da bi se ta pravica spoštovala, zadošča, da posameznik, na katerega se nanašajo osebni podatki, poseduje celoten povzetek teh podatkov v razumljivi obliki, to pomeni obliki, ki mu omogoča, da se zaveda obstoja teh podatkov ter da preveri, ali so podatki točni in se obdelujejo v skladu s to direktivo, da bi lahko uresničeval pravice, ki so mu podeljene s to direktivo. Ta povzetek je lahko v obliki kopije osebnih podatkov, ki se obdelujejo.

(44)

Državam članicam bi moralo biti omogočeno, da sprejmejo zakonodajne ukrepe za zadržanje, omejitev ali izpustitev informacij za posameznike, na katere se nanašajo osebni podatki, ali celotno ali delno omejitev dostopa do njihovih osebnih podatkov, v kolikor je tak ukrep ob upoštevanju temeljnih pravic in zakonitih interesov zadevnega posameznika v demokratični družbi nujen in sorazmeren ukrep za preprečitev oviranja uradnih ali drugih zakonitih preiskav, poizvedb ali postopkov ter vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, pa tudi zaščito javne varnosti ali varnosti države ali pravic in svoboščin drugih. Upravljavec bi moral na podlagi konkretne in posamične preučitve vsakega primera presoditi, ali bi bilo treba pravico do dostopa delno ali v celoti omejiti.

(45)

Posameznika, na katerega se nanašajo osebni podatki, bi bilo treba o morebitni zavrnitvi ali omejitvi dostopa načeloma pisno obvestiti, tudi o dejanskem stanju ali pravni podlagi, na katerih temelji odločitev.

(46)

Vsaka omejitev pravic posameznika, na katerega se nanašajo osebni podatki, mora biti skladna z Listino in EKČP, kot ju razlaga sodna praksa Sodišča in Evropskega sodišča za človekove pravice, zlasti glede vsebine teh pravic in svoboščin.

(47)

Posameznik bi moral imeti pravico do popravka netočnih osebnih podatkov, ki se nanašajo nanj, zlasti v zvezi z dejstvi, in pravico do izbrisa, kadar obdelava takih podatkov krši določbe iz te direktive. Vendar pravica do popravka ne bi smela vplivati na primer na vsebino izjave priče. Posameznik bi moral imeti tudi pravico do omejitve obdelave, kadar izpodbija točnost osebnih podatkov, pri čemer njihove točnosti ali netočnosti ni mogoče preveriti, ali kadar je treba osebne podatke ohraniti za namene dokazovanja. Namesto da se izbriše osebne podatke, bi bilo treba zlasti omejiti njihovo obdelavo, če v specifičnem primeru obstajajo utemeljeni razlogi za sum, da bi izbris lahko vplival na zakonite interese posameznika, na katerega se nanašajo osebni podatki. V takšnem primeru bi bilo treba omejene podatke obdelovati le za namen, ki je preprečil njihov izbris. Metode za omejitev obdelave osebnih podatkov bi lahko med drugim zajemale prenos izbranih podatkov v drug sistem za obdelavo, na primer za namene arhiviranja, ali onemogočenje dostopnosti izbranih podatkov. Pri avtomatiziranih zbirkah bi bilo treba omejitev obdelave načeloma zagotoviti s tehničnimi sredstvi. V zbirki bi moralo biti jasno navedeno dejstvo, da je obdelava osebnih podatkov omejena. O popravku ali izbrisu osebnih podatkov ali omejitvi obdelave bi bilo treba obvestiti uporabnike, ki so jim bili podatki razkriti, in pristojne organe, ki so netočne podatke posredovali. Upravljavci bi morali prav tako prenehati širiti te podatke.

(48)

Kadar upravljavec posamezniku, na katerega se nanašajo osebni podatki, zavrne pravico do informacij, dostopa, popravka ali izbrisa osebnih podatkov ali omejitve obdelave, bi moral imeti ta posameznik pravico, da od nacionalnega nadzornega organa zahteva pregled zakonitosti obdelave. Posameznika, na katerega se nanašajo osebni podatki, bi bilo treba o tej pravici obvestiti. Kadar nadzorni organ deluje v imenu posameznika, na katerega se nanašajo osebni podatki, bi moral nadzorni organ tega posameznika obvestiti vsaj o tem, da je opravil vsa potrebna preverjanja ali preglede. Nadzorni organ posameznika, na katerega se nanašajo osebni podatki, obvesti tudi o pravici do uporabe pravnega sredstva.

(49)

Kadar se osebni podatki obdelujejo med kazensko preiskavo in v sodnem kazenskem postopku, bi moralo biti državam članicam omogočeno, da zagotovijo, da se uresničevanje pravic do informacij, dostopa in popravka ali izbrisa osebnih podatkov in omejitve obdelave izvajajo v skladu z nacionalnimi predpisi o sodnih postopkih.

(50)

Uvesti bi bilo treba pristojnost in odgovornost upravljavca glede vsake obdelave osebnih podatkov, ki jo izvede upravljavec ali je izvedena v njegovem imenu. Upravljavec bi moral zlasti izvajati ustrezne in učinkovite ukrepe ter biti zmožen dokazati, da so dejavnosti obdelave v skladu s to direktivo. Pri takšnih ukrepih bi moral upoštevati naravo, obseg, okoliščine in namene obdelave ter tveganje za pravice in svoboščine posameznikov. Ukrepi, ki jih sprejme upravljavec, bi morali vključevati oblikovanje in izvajanje posebnih zaščitnih ukrepov v zvezi z ravnanjem z osebnimi podatki ranljivih posameznikov, kot so otroci.

(51)

Tveganja za posameznikove pravice in svoboščine, ki se razlikujejo po verjetnosti in resnosti, so lahko posledica obdelave podatkov, ki bi lahko povzročila fizično, premoženjsko ali nepremoženjsko škodo, zlasti kadar obdelava lahko privede do diskriminacije, kraje ali zlorabe identitete, finančne izgube, okrnitve ugleda, izgube zaupnosti podatkov, zaščitenih s poklicno skrivnostjo, neodobrene reverzije psevdonimizacije ali katere koli druge večje gospodarske ali socialne škode ali kadar bi bile posameznikom, na katere se nanašajo osebni podatki, lahko odvzete pravice in svoboščine ali možnost nadzora nad njihovimi osebnimi podatki; kadar se obdelujejo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politična stališča, veroizpoved ali filozofsko prepričanje ali članstvo v sindikatu, kadar se obdelujejo genetski ali biometrični podatki za edinstveno identifikacijo zadevnega posameznika ali kadar se obdelujejo podatki v zvezi z zdravjem ali podatki v zvezi s spolnim življenjem in spolno usmerjenostjo, kazenskimi obsodbami in prekrški ali s tem povezanimi varnostnimi ukrepi; kadar se vrednotijo osebni vidiki, zlasti analiziranje in predvidevanje vidikov, ki zadevajo uspešnost pri delu, ekonomski položaj, zdravje, osebni okus ali interese, zanesljivost ali vedenje, lokacijo ali gibanje, da bi se ustvarili ali uporabljali osebni profili; kadar se obdelujejo osebni podatki ranljivih posameznikov, zlasti otrok, ter kadar obdelava vključuje veliko število osebnih podatkov in zadeva veliko število posameznikov, na katere se nanašajo osebni podatki.

(52)

Verjetnost in resnost tveganja bi bilo treba ugotoviti glede na vrsto, obseg, okoliščine in namene obdelave. Tveganje bi bilo treba oceniti na podlagi objektivne ocene, s katero bi ugotovili, ali dejanja obdelave podatkov pomenijo veliko tveganje. Veliko tveganje pomeni znatno tveganje poseganja v pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

(53)

Zaradi varstva pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov je treba sprejeti primerne tehnične in organizacijske ukrepe, s čimer se zagotovi izpolnitev zahtev iz te direktive. Izvajanje takih ukrepov ne bi smelo biti odvisno zgolj od gospodarskih vidikov. Da bi upravljavec lahko dokazal skladnost s to direktivo, bi moral sprejeti notranje politike in izvesti ukrepe, ki spoštujejo zlasti načeli vgrajenega in privzetega varstva podatkov. Če je upravljavec izvedel oceno učinka v zvezi z varstvom podatkov v skladu s to direktivo, bi bilo treba rezultate te ocene upoštevati pri oblikovanju navedenih ukrepov in postopkov. Ti ukrepi bi med drugim lahko vključevali ukrep čim zgodnejše uporabe psevdonimizacije. Uporaba psevdonimizacije za namene te direktive bi lahko služila kot orodje, ki bi lahko olajšalo zlasti prost pretok osebnih podatkov znotraj območja svobode, varnosti in pravice.

(54)

Varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, pa tudi pristojnost in odgovornost upravljavcev in obdelovalcev, tudi v povezavi s spremljanjem in ukrepi nadzornih organov, zahtevajo jasno razdelitev odgovornosti iz te direktive, tudi kadar upravljavec namene in sredstva obdelave določi skupaj z drugimi upravljavci ali kadar je dejanje obdelave izvedeno v imenu upravljavca.

(55)

Obdelavo s strani obdelovalca bi moral urejati pravni akt, vključno s pogodbo, v kateri bi bile določene obveznosti obdelovalca do upravljavca, predvsem pa navedeno, da bi obdelovalec moral delovati samo po navodilih upravljavca. Obdelovalec bi moral upoštevati načelo vgrajenega in privzetega varstva podatkov.

(56)

Za dokaz skladnosti s to direktivo bi moral upravljavec ali obdelovalec hraniti evidence o vseh vrstah dejavnosti obdelave osebnih podatkov, za katere je odgovoren. Vsak upravljavec in obdelovalec bi moral sodelovati z nadzornim organom in mu na zahtevo omogočiti dostop do teh evidenc, ki jih ima na voljo, da bi se lahko uporabile za spremljanje teh dejanj obdelave. Upravljavec ali obdelovalec, ki obdeluje osebne podatke v neavtomatiziranih sistemih obdelave, bi moral vzpostaviti učinkovite metode za dokazovanje zakonitosti obdelave, notranje spremljanje ter zagotavljanje neoporečnosti in varnosti podatkov, kot so dnevniki ali druge oblike evidentiranja.

(57)

Dnevnike bi bilo treba hraniti vsaj za dejanja v avtomatiziranih sistemih obdelave, kot so zbiranje, predelava, vpogled, razkritje, vključno s prenosi, kombiniranje ali izbris. Identifikacija osebe, ki je vpogledala v osebne podatke ali jih razkrila, bi morala biti zabeležena v dnevniku, na podlagi tega pa bi moralo biti možno utemeljiti dejanja obdelave. Dnevnike bi bilo treba uporabljati zgolj za preverjanje zakonitosti obdelave, notranje spremljanje ter zagotavljanje neoporečnosti in varnosti podatkov in kazenskih postopkov. Notranje spremljanje vključuje tudi notranji disciplinski postopek pristojnih organov.

(58)

Upravljavec bi moral opraviti oceno učinka v zvezi z varstvom podatkov, če je verjetno, da bodo dejanja obdelave povzročila znatno tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zaradi svoje narave, obsega ali namena, kar bi zlasti moralo vključevati ukrepe, zaščitne ukrepe in mehanizme, predvidene za zagotavljanje varstva osebnih podatkov in dokazovanje skladnosti s to direktivo. Ocene učinka bi morale zajemati ustrezne sisteme in dejanja obdelave, ne pa tudi posameznih primerov.

(59)

Upravljavec ali obdelovalec bi se moral v nekaterih primerih pred obdelavo posvetovati z nadzornim organom, da bi bilo zagotovljeno učinkovito varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki.

(60)

Za ohranitev varnosti in preprečitev obdelave, ki bi pomenila kršitev te direktive, bi moral upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja, na primer šifriranje. Takšni ukrepi bi morali zagotoviti ustrezno raven varnosti, vključno z zaupnostjo, in bi morali upoštevati najsodobnejše tehnologije, stroške izvajanja glede na tveganje in naravo osebnih podatkov, ki jih je treba varovati. Pri oceni tveganj v zvezi z varstvom podatkov bi bilo treba pozornost posvetiti tveganjem, ki jih pomeni obdelava podatkov, kot so nenamerno ali nezakonito uničenje, izguba, sprememba ali nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani, kar lahko zlasti povzroči fizično, premoženjsko ali nepremoženjsko škodo. Upravljavec in obdelovalec bi morala zagotoviti, da obdelave osebnih podatkov ne izvajajo nepooblaščene osebe.

(61)

Kršitev varstva osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnim posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo, kot so izguba nadzora nad njihovimi osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja ali zloraba identitete, finančna izguba, neodobrena reverzija psevdonimizacije, okrnitev ugleda, izguba zaupnosti osebnih podatkov, zaščitenih s poklicno skrivnostjo, ali katera koli druga znatna gospodarska ali socialna škoda. Zato bi moral upravljavec, takoj, ko se seznani s kršitvijo varstva osebnih podatkov, o njej uradno obvestiti pristojni nadzorni organ brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, razen če lahko upravljavec v skladu z načelom odgovornosti dokaže, da ni verjetno, da bi kršitev varstva osebnih podatkov povzročila tveganje za pravice in svoboščine posameznikov. Kadar ni mogoče uradno obvestiti v 72 urah, bi bilo treba uradnemu obvestilu priložiti razloge za zamudo, informacije pa se lahko zagotovijo postopoma in brez dodatnega nepotrebnega odlašanja.

(62)

Posameznike bi bilo treba brez nepotrebnega odlašanja obvestiti, kadar bi kršitev varstva osebnih podatkov lahko povzročila znatno tveganje za pravice in svoboščine posameznikov, da bi se ti lahko ustrezno zavarovali. Obvestitev bi morala vsebovati opis narave kršitve varstva osebnih podatkov in vključevati priporočila za zadevnega posameznika v zvezi z ublažitvijo morebitnih škodljivih učinkov. Posamezniki, na katere se nanašajo osebni podatki, bi morali biti obveščeni, kakor hitro je to razumno mogoče, v tesnem sodelovanju z nadzornim organom in ob upoštevanju smernic nadzornega organa ali drugih ustreznih organov. Potreba po ublažitvi neposrednega tveganja nastanka škode bi na primer terjala takojšnjo obvestitev posameznikov, na katere se nanašajo osebni podatki, potreba po izvajanju ustreznih ukrepov zoper nadaljnje ali podobne kršitve varstva podatkov pa bi lahko upravičila daljši rok obvestitve. Kadar z odložitvijo ali omejitvijo obvestitve zadevnega posameznika o kršitvi varstva osebnih podatkov ni mogoče doseči preprečevanja oviranja uradnih ali zakonitih preiskav, poizvedb ali postopkov, izogibanja vplivu na preprečevanje, odkrivanje, preiskovanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, zaščite javne varnosti in varnosti države ali zaščite pravic in svoboščin drugih, se ta obvestitev v izjemnih okoliščinah lahko opusti.

(63)

Upravljavec bi moral določiti osebo, ki bi mu pomagala pri spremljanju notranje skladnosti s predpisi, sprejetimi na podlagi te direktive, razen če se država članica odloči, da izvzame sodišča in druge neodvisne pravosodne organe, kadar delujejo kot sodni organ. Ta oseba je lahko član obstoječega osebja upravljavca, ki se je udeležilo posebnega usposabljanja o zakonodaji in praksah s področja varstva podatkov z namenom pridobiti strokovno znanje na tem področju. Določiti bi bilo treba stopnjo potrebnega strokovnega znanja, zlasti glede na izvedeno obdelavo podatkov in varstvo, ki je potrebno pri osebnih podatkih, obdelanih s strani upravljavca. Ta oseba lahko svoje naloge opravlja v okviru krajšega ali polnega delovnega časa. Več upravljavcev lahko ob upoštevanju svoje organizacijske strukture in velikosti, na primer v primeru skupnih virov v centralnih enotah, skupaj imenuje pooblaščeno osebo za varstvo podatkov. Ta oseba je lahko prav tako imenovana na različne položaje v okviru strukture zadevnih upravljavcev. Upravljavcu in zaposlenim, ki obdelujejo osebne podatke, bi morala pomagati tako, da bi jih obveščala in jim svetovala o izpolnjevanju njihovih obveznosti v zvezi z varstvom podatkov. Takšnim pooblaščenim osebam za varstvo podatkov bi moralo biti omogočeno, da svoje dolžnosti in naloge opravljajo neodvisno in v skladu s pravom držav članic.

(64)

Države članice bi morale zagotoviti, da se prenos v tretjo državo ali mednarodno organizacijo izvede samo, če je potreben za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ter če je upravljavec v tretji državi ali mednarodni organizaciji organ, pristojen v smislu te direktive. Prenos bi smeli izvesti le pristojni organi, ki delujejo kot upravljavci, razen ko je obdelovalcem izrecno naročen prenos v imenu upravljavcev. Tak prenos se lahko izvede v primerih, v katerih je Komisija sklenila, da zadevna tretja država ali mednarodna organizacija zagotavlja ustrezno raven varstva, po zagotovitvi ustreznih zaščitnih ukrepov ali v posebnih primerih, v katerih se uporabljajo odstopanja. Kadar se osebni podatki prenašajo iz Unije upravljavcem, obdelovalcem ali drugim uporabnikom v tretjih državah ali mednarodnim organizacijam, raven varstva posameznikov, ki jo v Uniji zagotavlja ta direktiva, ne bi smela biti ogrožena, vključno v primeru nadaljnjih prenosov osebnih podatkov iz tretje države ali mednarodne organizacije upravljavcem ali obdelovalcem v isti ali drugi tretji državi ali mednarodni organizaciji.

(65)

Kadar se osebni podatki posredujejo iz države članice v tretje države ali mednarodne organizacije, bi moral biti tak prenos načeloma možen šele po pridobitvi soglasja države članice, ki je posredovala podatke. Kadar so javna varnost v državi članici ali tretji državi oziroma osnovni interesi države članice tako neposredno ogroženi, da predhodnega soglasja ni mogoče pravočasno pridobiti, bi pristojni organ zaradi učinkovitega sodelovanja na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj moral imeti možnost, da zadevni tretji državi ali mednarodni organizaciji posreduje ustrezne osebne podatke brez takšnega predhodnega soglasja. Države članice bi morale določiti, da so tretje države ali mednarodne organizacije obveščene o vseh specifičnih okoliščinah prenosa. Za nadaljnje prenose osebnih podatkov bi moral dati predhodno soglasje pristojni organ, ki je izvedel prvotni prenos. Pri odločanju o zahtevi za soglasje z nadaljnjim prenosom bi moral pristojni organ, ki je izvedel prvotni prenos, ustrezno upoštevati vse bistvene dejavnike, vključno z resnostjo kaznivega dejanja, posebnimi okoliščinami in namenom, za katerega so bili podatki prvotno preneseni, naravo in pogoji izvrševanja kazenske sankcije ter ravnjo varstva osebnih podatkov v tretji državi ali mednarodni organizaciji, v katero so osebni podatki preneseni v okviru nadaljnjega prenosa. Pristojni organ, ki je izvedel prvotni prenos, bi moral imeti možnost, da posebne pogoje predpiše tudi za nadaljnji prenos. Take posebne pogoje je mogoče opisati na primer v kodeksih ravnanja s podatki.

(66)

Komisija bi morala imeti možnost, da sklene – z učinkom za celotno Unijo –, da nekatere tretje države ali ozemlja ali eden ali več določenih sektorjev v tretji državi ali mednarodna organizacija nudi ustrezno raven varstva podatkov, s čimer zagotavlja pravno varnost in enotnost po vsej Uniji v zvezi s tretjimi državami ali mednarodnimi organizacijami, za katere velja, da zagotavljajo takšno raven varstva. V takšnih primerih bi moralo biti možno, da se prenosi osebnih podatkov v te države opravijo brez posebnega soglasja, razen če mora druga država članica, ki je posredovala podatke, podati svoje soglasje za prenos.

(67)

Komisija bi morala v skladu s temeljnimi vrednotami, na katerih temelji Unija, zlasti z varstvom človekovih pravic, v svoji oceni tretje države ali ozemlja ali določenega sektorja v tretji državi upoštevati, v kolikšni meri posamezna tretja država spoštuje načelo pravne države, dostop do pravnega varstva, pa tudi mednarodna pravila in standarde na področju človekovih pravic ter svojo splošno in področno zakonodajo, med drugim zakonodajo na področju javne varnosti, obrambe, varnosti države ter javnega reda in kazenskega prava. Pri sprejetju sklepa o ustreznosti glede ozemlja ali določenega sektorja v tretji državi bi bilo treba upoštevati jasna in objektivna merila, kot so posebne dejavnosti obdelave ter področje uporabe veljavnih pravnih standardov in veljavne zakonodaje v tretji državi. Tretja država bi morala nuditi jamstva, ki zagotavljajo ustrezno raven varstva, ki je v osnovi enakovredna tisti, zagotovljeni v Uniji, zlasti kadar se osebni podatki obdelujejo v enem ali več določenih sektorjih. Zlasti bi morala tretja država zagotavljati učinkovit in neodvisen nadzor varstva podatkov ter mehanizme sodelovanja z organi za varstvo podatkov držav članic, posamezniki, na katere se nanašajo osebni podatki, pa bi morali imeti učinkovite in izvršljive pravice ter dostop do učinkovitega upravnega in sodnega varstva.

(68)

Poleg mednarodnih zavez, ki jih sprejme tretja država ali mednarodna organizacija, bi morala Komisija upoštevati tudi obveznosti, ki izhajajo iz sodelovanja tretje države ali mednarodne organizacije pri večstranskih ali regionalnih sistemih, zlasti v povezavi z varstvom osebnih podatkov, ter izvajanje takih obveznosti. Upoštevati bi bilo treba zlasti pristop tretje države h Konvenciji Sveta Evrope z dne 28. januarja 1981 o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov in Dodatnemu protokolu h Konvenciji. Pri oceni ravni varstva v tretjih državah ali mednarodnih organizacijah bi se Komisija morala posvetovati z Evropskim odborom za varstvo podatkov, ustanovljenim z Uredbo (EU) 2016/679 (v nadaljnjem besedilu: odbor). Komisija bi morala upoštevati tudi vse relevantne sklepe Komisije o ustreznosti, sprejete v skladu s členom 45 Uredbe (EU) 2016/679.

(69)

Komisija bi morala spremljati izvajanje sklepov v zvezi z ravnjo varstva v tretji državi, na ozemlju ali v določenem sektorju v tretji državi ali v mednarodni organizaciji. V svojih sklepih o ustreznosti bi morala Komisija zagotoviti mehanizem za redno pregledovanje njihovega izvajanja. Te redne preglede bi bilo treba izvajati v posvetovanju z zadevno tretjo državo ali mednarodno organizacijo ter bi morali upoštevati vsa ustrezna dogajanja v tretji državi ali mednarodni organizaciji.

(70)

Komisija bi morala biti tudi zmožna ugotoviti, da tretja država, ozemlje ali določeni sektor v tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva podatkov. Posledično bi bilo treba prenos osebnih podatkov v to tretjo državo ali mednarodno organizacijo prepovedati, razen če so izpolnjene zahteve iz te direktive o prenosih podatkov v skladu s ustreznimi zaščitnimi ukrepi in odstopanji za posebne primere. Določiti bi bilo treba postopke za posvetovanje med Komisijo in takimi tretjimi državami ali mednarodnimi organizacijami. Komisija bi morala tretjo državo ali mednarodno organizacijo pravočasno obvestiti o zadevnih razlogih in z njo začeti posvetovanja za izboljšanje stanja.

(71)

Prenosi, ki ne temeljijo na takem sklepu o ustreznosti, bi morali biti dovoljeni samo, če so bili v pravno zavezujočem instrumentu določeni ustrezni zaščitni ukrepi, ki zagotavljajo varstvo osebnih podatkov, ali če je upravljavec ocenil vse okoliščine pri prenosu podatkov in na podlagi te ocene meni, da obstajajo ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov. Takšni pravno zavezujoči instrumenti bi na primer lahko bili pravno zavezujoči dvostranski sporazumi, ki so jih sklenile države članice in se izvajajo v okviru njihovega pravnega reda ter bi jih lahko uveljavljali posamezniki, na katere se nanašajo osebni podatki, iz zadevnih držav in ki zagotavljajo skladnost z zahtevami glede varstva podatkov in pravicami posameznikov, na katere se nanašajo osebni podatki, tudi pravico do učinkovitega upravnega ali sodnega varstva. Upravljavec bi moral imeti možnost upoštevati sporazume o sodelovanju, ki so jih sklenili Europol ali Eurojust in tretje države ter omogočajo izmenjavo osebnih podatkov pri ocenjevanju vseh okoliščin pri prenosu podatkov. Prav tako bi moral imeti možnost upoštevati dejstvo, da bodo za prenos osebnih podatkov veljale obveznosti glede zaupnosti in načelo specifičnosti, ki zagotavljajo, da se podatki ne obdelujejo za druge namene kot za namen prenosa. Poleg tega pa bi moral tudi upoštevati, da se osebni podatki ne bodo uporabljali pri pozivu k smrtni kazni, njenemu izreku in njeni uresničitvi ali kakršni koli obliki krutega in nečloveškega ravnanja. Čeprav bi se ti pogoji lahko šteli za ustrezne zaščitne ukrepe za prenos podatkov, bi upravljavec moral imeti možnost zahtevati dodatne zaščitne ukrepe.

(72)

V primerih, ko ni sklepa o ustreznosti ali ustreznih zaščitnih ukrepov, bi se prenos ali skupina prenosov lahko izvedla le v specifičnih okoliščinah, če je to potrebno za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe ali zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, kadar je to določeno v pravu države članice, ki prenaša osebne podatke, za preprečevanje neposredne in resne ogroženosti javne varnosti države članice ali tretje države, v posameznem primeru za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ali v posameznem primeru zaradi uveljavitve, izvajanja ali obrambe pravnih zahtevkov. Ta odstopanja bi bilo treba razlagati restriktivno in ne bi smela omogočati pogostih, množičnih in strukturnih prenosov osebnih podatkov, niti obsežnih prenosov podatkov, ampak bi morala biti omejena na podatke, ki so nujno potrebni. Take prenose bi bilo treba dokumentirati ter jih na zahtevo dati na voljo nadzornemu organu, da bi lahko spremljal zakonitost prenosa.

(73)

Pristojni organi držav članic uporabljajo veljavne dvo- ali večstranske mednarodne sporazume, sklenjene s tretjimi državami, na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja, in sicer za izmenjavo ustreznih informacij, ki jim omogočajo izvajanje njihovih zakonsko dodeljenih nalog. To načeloma poteka prek organov, ki so za namene te Direktive pristojni v zadevnih tretjih državah ali vsaj v sodelovanju z njim, včasih tudi v primeru neobstoja dvo- ali večstranskega mednarodnega sporazuma. Vendar je lahko v specifičnih posameznih primerih redni postopek, v okviru katerih se zahteva vzpostavitev stika s takšnim organom v tretji državi, neučinkovit ali neprimeren, zlasti ker prenosa ne bi bilo mogoče opraviti pravočasno ali ker navedeni organ v tretji državi ne spoštuje načela pravne države ali mednarodnih pravil in standardov na področju človekovih pravic, tako da bi se pristojni organi držav članic lahko odločili, da osebne podatke prenesejo neposredno uporabnikom s sedežem v teh tretjih državah. To se lahko zgodi, kadar je nujno posredovati osebne podatke, da bi rešili življenje osebi, ki je v nevarnosti, da postane žrtev kaznivega dejanja, ali zaradi preprečitve neposredne storitve kaznivega dejanja, vključno s terorizmom. Čeprav bi ta prenos med pristojnimi organi ter uporabniki s sedežem v tretjih državah moral potekati le v specifičnih posameznih primerih, bi v tej direktivi morali zagotoviti pogoje za urejanje takih primerov. Te določbe ne smejo šteti za odstopanja od obstoječih dvo- ali večstranskih mednarodnih sporazumov na področjih pravosodnega sodelovanja v pri kazenskih zadevah in policijskega sodelovanja. Ti predpisi bi se morali uporabljati poleg drugih predpisov iz te direktive, zlasti predpisov o zakonitosti obdelave in predpisov iz Poglavja V.

(74)

Pri čezmejnem prenosu osebnih podatkov se lahko poveča tveganje v zvezi z zmožnostjo posameznikov pri uresničevanju pravic do varstva podatkov, da se zaščitijo pred nezakonito uporabo ali razkritjem navedenih podatkov. Hkrati lahko nadzorni organi ugotovijo, da ne morejo obravnavati pritožb ali izvesti preiskav v zvezi z dejavnostmi zunaj svojih meja. Tudi nezadostna pooblastila za preprečevanje kršitev ali njihovo odpravo in neskladne pravne ureditve lahko ovirajo njihova prizadevanja za čezmejno sodelovanje. Zato je treba spodbujati tesnejše sodelovanje med nadzornimi organi za varstvo podatkov zaradi zagotavljanja pomoči pri izmenjavi informacij s tujimi nadzornimi organi za varstvo podatkov.

(75)

Ustanovitev nadzornih organov v državah članicah, ki so zmožni opravljati svoje naloge popolnoma neodvisno, je bistveni del varstva posameznikov pri obdelavi njihovih osebnih podatkov. Nadzorni organi bi morali spremljati uporabo predpisov, sprejetih na podlagi te direktive in bi morali prispevati k njihovi dosledni uporabi v Uniji zaradi zaščite posameznikov v zvezi z obdelavo njihovih osebnih podatkov. V ta namen je potrebno medsebojno sodelovanje nadzornih organov in njihovo sodelovanje s Komisijo.

(76)

Države članice lahko nadzornemu organu, že ustanovljenemu na podlagi Uredbe (EU) 2016/679, podelijo pristojnost za naloge, ki jih izvajajo nacionalni nadzorni organi, ustanovljeni na podlagi te direktive.

(77)

Države članice bi morale imeti možnost, da v skladu s svojo ustavno, organizacijsko in upravno strukturo ustanovijo več kot en nadzorni organ. Vsak nadzorni organ bi moral imeti finančne in človeške vire, prostore in infrastrukturo, ki jih potrebuje za učinkovito opravljanje svojih nalog, tudi tistih, ki se nanašajo na medsebojno pomoč in sodelovanje z drugimi nadzornimi organi v Uniji. Vsak nadzorni organ bi moral imeti ločen, javni letni proračun, ki je lahko del splošnega državnega ali nacionalnega proračuna.

(78)

Finančni odhodki nadzornih organov bi morali biti predmet neodvisnih nadzornih ali spremljevalnih mehanizmov, pod pogojem, da tak finančni nadzor ne vpliva na neodvisnost teh nadzornih organov.

(79)

Splošni pogoji za člana ali člane nadzornega organa bi morali biti določeni s pravom države članice in bi morali zlasti določati, da te člane imenuje bodisi parlament bodisi vlada ali voditelj zadevne države članice na podlagi predloga vlade ali člana vlade ali parlamenta ali njegovega dela ali pa neodvisen organ, ki je v skladu s pravom države članice in po preglednem postopku pooblaščen za imenovanja. Da bi zagotovili neodvisnost nadzornega organa, bi moral član ali člani delovati neoporečno, se vzdržati vsakega delovanja, ki ni združljivo z njihovimi nalogami, in se v času svojega mandata ne ukvarjati z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim. Da bi zagotovili neodvisnost nadzornega organa, bi moral nadzorni organ izbrati osebje, kar lahko vključuje posredovanje neodvisnega organa, pooblaščenega v skladu s pravom države članice.

(80)

Čeprav se ta direktiva uporablja tudi za dejavnosti nacionalnih sodišč in drugih pravosodnih organov, pa pristojnost nadzornih organov ne bi smela obsegati obdelave osebnih podatkov, kadar sodišča delujejo kot sodni organ, da se zaščiti neodvisnost sodnikov pri opravljanju njihovih sodnih nalog. Ta izjema bi morala biti omejena na sodna opravila v sodnih postopkih in se ne bi smela uporabljati za druge dejavnosti, v katere bi lahko bili vključeni sodniki v skladu s pravom države članice. Države članice bi morale imeti možnost določiti, da nadzorni organ ni pristojen za obdelavo osebnih podatkov drugih neodvisnih pravosodnih organov, kadar delujejo kot sodni organ, na primer urada državnega tožilca. V vsakem primeru bi se moral nad upoštevanjem pravil iz te direktive s strani sodišč in drugih neodvisnih pravosodnih organov vedno opravljati neodvisen nadzor v skladu s členom 8(3) Listine.

(81)

Vsak nadzorni organ bi moral obravnavati pritožbe, ki jih vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, in preiskati zadevo ali jo predložiti pristojnemu nadzornemu organu. Preiskavo na podlagi pritožbe, ki je lahko predmet sodne presoje, bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen. Nadzorni organ bi moral posameznika, na katerega se nanašajo osebni podatki, v primernem roku obvestiti o stanju zadeve in odločitvi o pritožbi. Če mora nadzorni organ zadevo podrobneje preiskati ali se uskladiti z drugim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo osebni podatki, posredovati informacije o stanju zadeve med postopkom.

(82)

Da bi zagotovili učinkovito, zanesljivo in dosledno spremljanje skladnosti s to direktivo in njeno uveljavljanje v vsej Uniji v skladu s PDEU, kot jo razlaga Sodišče, bi morali imeti nadzorni organi v vsaki državi članici enake naloge in učinkovita pooblastila, vključno s pooblastili za preiskovanje, pooblastili za sprejemanje popravljalnih ukrepov in svetovalnimi pooblastili, ki pomenijo potrebna sredstva za opravljanje njihovih nalog. Vendar pa njihova pooblastila ne bi smela posegati v posebna pravila za kazenske postopke, vključno s preiskovanjem in pregonom kaznivih dejanj, ali v neodvisnost sodstva. Brez poseganja v pooblastila organov pregona, ki jih imajo v skladu s pravom države članice, bi morali biti nadzorni organi pooblaščeni tudi za obveščanje pravosodnih organov o kršitvah te direktive ali sodelovanje v sodnih postopkih. Pooblastila nadzornih organov bi bilo treba izvajati nepristransko, pravično in v razumnem roku v skladu z ustreznimi postopkovnimi zaščitnimi ukrepi, določenimi s pravom Unije in države članice. Zlasti bi morali biti vsi ukrepi ustrezni, nujni in sorazmerni, da bi zagotovili skladnost s to direktivo, pri čemer bi bilo treba upoštevati okoliščine vsakega posameznega primera, spoštovati pravico vsake osebe, da pred sprejetjem posameznega ukrepa, ki bi lahko imel negativne posledice za zadevno osebo, izrazi svoje mnenje, ter preprečiti nepotrebne stroške in pretirane nevšečnosti za zadevno osebo. Preiskovalna pooblastila glede dostopa v prostore bi bilo treba izvajati v skladu s posebnimi zahtevami prava države članice, kot je na primer zahteva glede predhodne sodne odobritve. Za vsako sprejetje pravno zavezujoče odločitve bi bilo treba v državi članici nadzornega organa, ki jo je sprejel, opraviti sodno presojo.

(83)

Nadzorni organi bi si morali medsebojno pomagati pri opravljanju svojih nalog in zagotoviti medsebojno pomoč, da se zagotovita dosledna uporaba in izvajanje predpisov, sprejetih na podlagi te direktive.

(84)

Odbor bi moral prispevati k dosledni uporabi te direktive v vsej Uniji, vključno s svetovanjem Komisiji in spodbujanjem sodelovanja nadzornih organov v vsej Uniji.

(85)

Vsak posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da vloži pritožbo pri enem nadzornem organu in pravico do učinkovitega pravnega sredstva v skladu s členom 47 Listine, kadar meni, da so kršene njegove pravice iz predpisov, sprejetih na podlagi te direktive, ali kadar nadzorni organ ne obravnava pritožbe, jo deloma ali v celoti zavrže ali zavrne ali ne ukrepa, kadar je tak ukrep potreben za zaščito pravic posameznika, na katerega se nanašajo osebni podatki. Preiskavo na podlagi pritožbe, ki je lahko predmet sodne presoje, bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen. Pristojni nadzorni organ bi moral posameznika, na katerega se nanašajo osebni podatki, v primernem roku obvestiti o stanju zadeve in odločitvi o pritožbi. Če mora nadzorni organ zadevo podrobneje preučiti ali se uskladiti z drugim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo osebni podatki, posredovati informacije o stanju zadeve med postopkom. Za poenostavitev postopka vložitve pritožbe bi moral vsak nadzorni organ sprejeti ukrepe, na primer za zagotovitev obrazca za vložitev pritožbe, ki se lahko izpolni tudi elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

(86)

Vsaka fizična ali pravna oseba bi morala imeti pravico do učinkovitega pravnega sredstva pred pristojnim nacionalnim sodiščem zoper odločitev nadzornega organa, ki ima pravne učinke za to osebo. Taka odločitev se nanaša zlasti na izvajanje preiskovalnih pooblastil nadzornega organa, njegovih pooblastil za sprejemanje popravljalnih ukrepov in pooblastil v zvezi z odobritvami ali na zavržene ali zavrnjene pritožbe. Vendar pa ta pravica ne zajema drugih ukrepov nadzornih organov, ki niso pravno zavezujoči, kot so mnenja, ki jih izdajo nadzorni organi, ali njihovi nasveti. Za postopke zoper nadzorni organ bi morala biti pristojna sodišča države članice, v kateri ima nadzorni organ sedež, izvajati pa bi jih bilo treba v skladu s pravom države članice. Ta sodišča bi morala izvajati polno pristojnost, ki bi morala vključevati pristojnost za preučitev vseh vprašanj, ki se nanašajo na dejstva in zakonodajo v zvezi z zadevnim sporom.

(87)

Če posameznik, na katerega se nanašajo osebni podatki, meni, da so bile kršene njegove pravice iz te direktive, bi moral imeti pravico, da pooblasti organ, katerega cilj je zaščititi pravice in interese posameznikov, na katere se nanašajo osebni podatki, v zvezi z varstvom njihovih osebnih podatkov in ki je ustanovljen v skladu s pravom države članice, da v njegovem imenu vloži pritožbo pri nadzornem organu in uresničuje pravico do pravnega sredstva. Pravica posameznika, na katerega se nanašajo osebni podatki, do zastopnika ne bi smela posegati v postopkovno pravo države članice, v katerem je lahko določeno, da morajo posameznike, na katere se nanašajo osebni podatki, pred nacionalnimi sodišči obvezno zastopati odvetniki, kot je opredeljeno v Direktivi Sveta 77/249/EGS (10).

(88)

Vso škodo, ki jo oseba lahko utrpi zaradi obdelave, ki je posledica kršitve predpisa, sprejetega na podlagi te direktive, bi moral povrniti upravljavec ali kateri koli drug organ, pristojen na podlagi prava države članice. Pojem škode bi bilo treba razlagati široko, ob upoštevanju sodne prakse Sodišča, in sicer na način, ki v celoti odraža cilje te direktive. To ne posega v morebitne odškodninske zahtevke na podlagi kršitev drugih pravil prava Unije ali države članice. Sklicevanje na obdelavo, ki je nezakonita ali krši predpis, sprejet na podlagi te direktive, zajema tudi obdelavo, ki krši izvedbene akte, sprejete na podlagi te direktive. Posamezniki, na katere se nanašajo osebni podatki, bi morali prejeti celotno in učinkovito odškodnino za škodo, ki so jo utrpeli.

(89)

Predvideti bi bilo treba kazni za vsako fizično ali pravno osebo, za katero velja zasebno ali javno pravo, ki krši to direktivo. Države članice bi morale zagotoviti, da so kazni učinkovite, sorazmerne in odvračilne, ter sprejeti vse ukrepe za njihovo izvršitev.

(90)

Za zagotovitev enotnih pogojev izvajanja te direktive bi bilo treba na Komisijo prenesti izvedbena pooblastila glede ustrezne ravni varstva, ki ga zagotovi tretja država, ozemlje ali določeni sektor za obdelavo v tej tretji državi ali mednarodna organizacija ter glede oblike in postopkov za medsebojno pomoč ter ureditev za elektronsko izmenjavo informacij med nadzornimi organi, pa tudi med nadzornimi organi in odborom. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (11).

(91)

Za sprejetje izvedbenih aktov o ustrezni ravni varstva, ki ga zagotovi tretja država, ozemlje ali določeni sektor za obdelavo v tej tretji državi ali mednarodna organizacija, o obliki in postopkih za medsebojno pomoč ter ureditvah za elektronsko izmenjavo informacij med nadzornimi organi, pa tudi med nadzornimi organi in odborom, bi bilo treba uporabiti postopek pregleda, ker so ti akti splošni.

(92)

Komisija bi morala sprejeti izvedbene akte, ki se začnejo uporabljati takoj, kadar je to potrebno iz izredno nujnih razlogov v ustrezno utemeljenih primerih, ko tretja država, ozemlje ali določeni sektor za obdelavo v tej tretji državi ali mednarodna organizacija ne bi več zagotavljala ustrezne ravni varstva.

(93)

Ker ciljev te direktive,in sicer zaščititi temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in zlasti njihove pravice do varstva osebnih podatkov ter zagotoviti svobodne izmenjave osebnih podatkov s strani pristojnih organov v Uniji, države članice ne morejo zadovoljivo doseči, temveč se zaradi obsega ali učinkov ukrepov lažje dosežejo na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 PEU. V skladu z načelom sorazmernosti iz navedenega člena ta direktiva ne presega tistega, kar je potrebno za doseganje navedenih ciljev

(94)

Posebni predpisi iz aktov Unije, ki so bili pred sprejetjem te direktive sprejeti na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja in urejajo obdelavo osebnih podatkov med državami članicami oziroma dostop določenih organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi Pogodb, bi morali ostati nespremenjeni, kot so na primer posebni predpisi o varstvu osebnih podatkov, ki se uporabljajo v skladu s Sklepom Sveta 2008/615/PNZ (12), ali člen 23 Konvencije o medsebojni pravni pomoči v kazenskih zadevah med državami članicami Evropske unije (13). Ker člen 8 Listine in člen 16 PDEU določata, da bi morala biti temeljna pravica do varstva osebnih podatkov v vsej Uniji zagotovljena na dosleden način, bi morala Komisija presoditi, v kakšnem razmerju so ta direktiva in akti, ki so bili sprejeti pred sprejetjem te direktive in urejajo obdelavo osebnih podatkov v državah članicah oziroma dostop določenih organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi Pogodb, da se oceni potreba po prilagoditvi teh posebnih določb tej direktivi. Kadar je to ustrezno, bi morala Komisija pripraviti predloge z namenom zagotovitve doslednih pravnih predpisov v zvezi z obdelavo osebnih podatkov.

(95)

Da bi zagotovili celovito in dosledno varstvo osebnih podatkov v Uniji, bi morali mednarodni sporazumi, ki so jih države članice sklenile pred dnem začetka veljavnosti te direktive in ki so skladni z ustreznim pravom Unije, ki je veljalo pred navedenim dnem, ostati v veljavi, dokler ne bodo spremenjeni, nadomeščeni ali razveljavljeni.

(96)

Državam članicam bi bilo treba dovoliti, da to direktivo prenesejo v največ dveh letih od dneva začetka njene veljavnosti. Obdelavo, ki se že izvaja na navedeni dan, bi bilo treba uskladiti s to direktivo v roku dveh let po začetku veljavnosti te direktive. Kadar pa je takšna obdelava v skladu s pravom Unije, veljavnim pred dnevom začetka veljavnosti te direktive, se zahteve te direktive glede predhodnega posvetovanja z nadzornim organom ne bi smele uporabljati za dejanja obdelave, ki so se začela že pred tem dnevom, saj je treba te zahteve glede na njihovo naravo izpolniti pred obdelavo. Kadar države članice uporabijo daljše obdobje za izvajanje, ki se izteče sedem let po dnevu začetka veljavnosti te direktive, za uskladitev z obveznostmi vodenja dnevnikov za avtomatizirane sisteme obdelave, vzpostavljene pred tem dnevom, bi moral upravljavec ali obdelovalec vzpostaviti učinkovite metode za dokazovanje zakonitosti obdelave podatkov, notranje spremljanje ter zagotavljanje neoporečnosti in varnosti podatkov, kot so dnevniki ali druge oblike evidentiranja.

(97)

Ta direktiva ne posega v pravila o boju proti spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji, kot so določena v Direktivi 2011/93/EU Evropskega parlamenta in Sveta (14).

(98)

Okvirni sklep 2008/977/PNZ bi bilo zato treba razveljaviti.

(99)

V skladu s členom 6a Protokola št. 21 o stališču Združenega kraljestva in Irske v zvezi z območjem svobode, varnosti in pravice, ki je priložen k PEU in k PDEU, pravila iz te direktive, ki se nanašajo na obdelavo osebnih podatkov s strani držav članic, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, ne zavezujejo Združenega kraljestva in Irske, če ju ne zavezujejo pravila, ki urejajo oblike pravosodnega sodelovanja v kazenskih zadevah ali policijskega sodelovanja, v okviru katerih je treba upoštevati določbe predpisov, sprejetih na podlagi člena 16 PDEU.

(100)

V skladu s členoma 2 in 2a Protokola št. 22 o stališču Danske, ki je priložen PEU in PDEU, Danske ne zavezujejo in se zanjo ne uporabljajo pravila, ki so določena v tej direktivi in se nanašajo na obdelavo osebnih podatkov s strani držav članic, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU. Ker ta direktiva nadgrajuje schengenski pravni red na podlagi naslova V tretjega dela PDEU, se Danska v skladu s členom 4 navedenega protokola šestih mesecih po sprejetju te direktive odloči, ali jo bo prenesla v svoje nacionalno pravo.

(101)

Ta direktiva za Islandijo in Norveško predstavlja razvoj določb schengenskega pravnega reda v smislu Sporazuma, sklenjenega med Svetom Evropske unije ter Republiko Islandijo in Kraljevino Norveško, o pridružitvi teh dveh držav k izvajanju, uporabi in razvoju schengenskega pravnega reda (15).

(102)

Ta direktiva za Švico predstavlja razvoj določb schengenskega pravnega reda v smislu Sporazuma med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda (16).

(103)

Ta direktiva za Lihtenštajn predstavlja razvoj določb schengenskega pravnega reda v smislu Protokola med Evropsko unijo, Evropsko skupnostjo, Švicarsko konfederacijo in Kneževino Lihtenštajn o pristopu Kneževine Lihtenštajn k Sporazumu med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda (17).

(104)

Ta direktiva spoštuje temeljne pravice in upošteva načela, ki jih priznava Listina, kakor so vsebovani v PDEU, zlasti pravico do spoštovanja zasebnega in družinskega življenja, pravico do varstva osebnih podatkov, pravico do učinkovitega pravnega sredstva in do nepristranskega sojenja. Omejitve teh pravic so v skladu s členom 52(1) Listine, ker so potrebne za izpolnjevanje ciljev splošnega interesa, ki jih priznava Unija, ali zadovoljevanje potrebe po zaščiti pravic in svoboščin drugih.

(105)

V skladu s Skupno politično izjavo z dne 28. septembra 2011 držav članic in Komisije o obrazložitvenih dokumentih so države članice zavezujejo, da bodo v upravičenih primerih obvestilu o ukrepih za prenos priložile en ali več dokumentov, v katerih se pojasni razmerje med sestavnimi elementi direktive in ustrezajočimi deli nacionalnih instrumentov za prenos. Zakonodajalec meni, da je posredovanje takih dokumentov v primeru te direktive upravičeno.

(106)

Opravljeno je bilo posvetovanje z Evropskim nadzornikom za varstvo podatkov v skladu s členom 28(2) Uredbe (ES) št. 45/2001, ki je mnenje podal 7. marca 2012 (18).

(107)

Ta direktiva državam članicam ne bi smela preprečevati, da v nacionalnih predpisih o kazenskem postopku izvajajo uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki, do informacij, do dostopa, popravka ali izbrisa osebnih podatkov in do omejitve obdelave v kazenskem postopku, in možnih omejitvah v zvezi s tem –

SPREJELA NASLEDNJO DIREKTIVO:

POGLAVJE I

Splošne določbe

Člen 1

Predmet urejanja in cilji

1.   V tej direktivi so določena pravila o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem.

2.   Države članice v skladu s to direktivo:

(a)

varujejo temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov, in

(b)

zagotovijo, da izmenjava osebnih podatkov med pristojnimi organi v Uniji, kadar je takšna izmenjava določena v pravu Unije ali držav članic, ni niti omejena niti prepovedana iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov.

3.   Ta direktiva državam članicam ne preprečuje, da za varovanje pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, ki jih obdelujejo pristojni organi, sprejmejo višjo raven zaščitnih ukrepov od ravni, določene v tej direktivi.

Člen 2

Področje uporabe

1.   Ta direktiva se uporablja za obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene iz člena 1(1).

2.   Ta direktiva se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke.

3.   Ta direktiva se ne uporablja za obdelavo osebnih podatkov:

(a)

v okviru dejavnosti zunaj področja uporabe prava Unije;

(b)

ki jo izvajajo institucije, organi, uradi in agencije Unije.

Člen 3

Opredelitev pojmov

V tej direktivi:

(1)

„osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji ali spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(2)

„obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

(3)

„omejitev obdelave“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

(4)

„oblikovanje profilov“ pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

(5)

„psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

(6)

„zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(7)

„pristojni organ“ pomeni:

(a)

kateri koli javni organ, ki je pristojen za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ali

(b)

kateri koli drug organ ali subjekt, ki v skladu s pravom države članice lahko opravlja javne funkcije ali izvaja javna pooblastila za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem;

(8)

„upravljavec“ pomeni pristojni organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva takšne obdelave določa pravo Unije ali države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali države članice;

(9)

„obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

(10)

„uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom države članice, ne veljajo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

(11)

„kršitev varstva osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(12)

„genetski podatki“ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;

(13)

„biometrični podatki“ pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

(14)

„podatki o zdravstvenem stanju“ pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;

(15)

„nadzorni organ“ pomeni neodvisen javni organ, ki ga v skladu s členom 41 ustanovi država članica;

(16)

„mednarodna organizacija“ pomeni organizacijo in njena podrejena telesa, ki jih ureja mednarodno javno pravo, ali katera koli druga telesa, ustanovljene s sporazumom med dvema ali več državami ali na podlagi takega sporazuma.

POGLAVJE II

Načela

Člen 4

Načela v zvezi z obdelavo osebnih podatkov

1.   Države članice zagotovijo, da se osebni podatki:

(a)

obdelujejo zakonito in pošteno;

(b)

so zbrani za določene, izrecne in zakonite namene ter da se ne obdelujejo na način, ki je nezdružljiv s temi nameni;

(c)

so ustrezni, relevantni in ne prekomerni glede na namene, za katere se obdelujejo;

(d)

so točni in se po potrebi posodabljajo; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo, ob upoštevanju namenov, za katere se obdelujejo;

(e)

se hranijo v obliki, ki dopušča identifikacijo posameznikov, na katere se osebni podatki nanašajo, in le toliko časa, kolikor je potrebno za namene, za katere se obdelujejo;

(f)

se obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo, in sicer z ustreznimi tehničnimi ali organizacijskimi ukrepi.

2.   Obdelava s strani istega ali drugega upravljavca za kateregakoli od namenov iz člena 1(1), ki ni namen, za katerega so bili podatki zbrani, je dovoljena, če:

(a)

je upravljavec pooblaščen za obdelavo teh osebnih podatkov za takšen namen v skladu s pravom Unije ali države članice in

(b)

je obdelava potrebna in sorazmerna s takšnim drugim namenom v skladu s pravom Unije ali države članice.

3.   Obdelava podatkov s strani istega ali drugega upravljavca lahko vključuje arhiviranje v javnem interesu, znanstveno, statistično ali zgodovinsko uporabo za namene iz člena 1(1), če je zagotovljena ustrezna zaščita pravic in svoboščin posameznikov, na katere se osebni podatki nanašajo.

4.   Upravljavec je odgovoren za skladnost z odstavki 1,2 in 3 in je to skladnost tudi zmožen dokazati.

Člen 5

Rok hrambe in pregled

Države članice določijo ustrezne časovne roke za izbris osebnih podatkov ali za reden pregled potrebe po shranjevanju osebnih podatkov. Spoštovanje teh rokov se zagotovi s postopkovnimi ukrepi.

Člen 6

Razlikovanje med različnimi kategorijami posameznikov, na katere se nanašajo osebni podatki

Države članice določijo, da upravljavec kadar je to ustrezno in v največji možni meri jasno razlikuje med osebnimi podatki različnih kategorij posameznikov, na katere se nanašajo osebni podatki, kot so:

(a)

osebe, v zvezi s katerimi obstaja utemeljen sum, da so storile kaznivo dejanje ali ga nameravajo storiti;

(b)

osebe, ki so bile obsojene za kaznivo dejanje;

(c)

žrtve kaznivega dejanja ali osebe, v zvezi s katerimi zaradi nekaterih dejstev obstajajo razlogi za domnevo, da bi lahko postale žrtve kaznivega dejanja, in

(d)

druge osebe, povezane s kaznivim dejanjem, kot so osebe, od katerih bi se lahko zahtevalo pričanje v preiskavah v zvezi s kaznivimi dejanji ali poznejšimi kazenskimi postopki, osebe, ki lahko zagotovijo informacije o kaznivih dejanjih, ali stiki ali sodelavci ene od oseb iz točk (a) in (b).

Člen 7

Razlikovanje med osebnimi podatki in preverjanje kakovosti osebnih podatkov

1.   Države članice določijo, da se osebni podatki, ki temeljijo na dejstvih, v največji možni meri razločijo od osebnih podatkov, ki temeljijo na osebnih ocenah.

2.   Države članice določijo, da pristojni organi z vsemi razumnimi ukrepi zagotovijo, da se osebni podatki, ki so netočni, nepopolni ali neposodobljeni, ne posredujejo ali dajo na voljo. V ta namen vsak pristojni organ kakovost osebnih podatkov preveri, še preden jih posreduje ali da na voljo, če je to izvedljivo. Kolikor je mogoče, se vsako posredovanje osebnih podatkov opremi s potrebnimi informacijami, ki pristojnemu organu, ki jih prejme, omogočijo, da oceni stopnjo točnosti, popolnosti, zanesljivosti in posodobljenosti osebnih podatkov.

3.   Če se izkaže, da so bili poslani nepravilni osebni podatki ali da so bili osebni podatki posredovani nezakonito, je o tem treba takoj uradno obvestiti uporabnika. V takšnem primeru je treba popraviti ali izbrisati osebne podatke ali omejiti obdelavo v skladu s členom 16.

Člen 8

Zakonitost obdelave

1.   Države članice zagotovijo, da obdelava velja za zakonito le, če je potrebna, in v obsegu, v katerem je potrebna, za opravljanje naloge, ki jo izvaja pristojni organ za namene iz člena 1(1) in temelji na pravu Unije ali države članice.

2.   Pravo držav članic, ki ureja obdelavo v okviru področja uporabe te direktive, določa vsaj cilje obdelave, kateri osebni podatki se obdelajo in namene obdelave.

Člen 9

Posebni pogoji za obdelavo

1.   Osebni podatki, ki jih pristojni organi zbirajo za namene iz člena 1(1), se ne obdelujejo za druge namene kot za namene iz člena 1(1), razen če takšno obdelavo dovoljuje pravo Unije ali države članice. Kadar se osebni podatki obdelujejo v druge namene, se uporablja Uredba (EU) 2016/679, razen če se obdelava izvaja v okviru dejavnosti, ki ne spadajo na področje uporabe prava Unije.

2.   Kadar so pristojni organi na podlagi prava držav članic pooblaščeni za opravljanje nalog, ki so drugačne od tistih, ki se izvajajo za namene iz člena 1(1), se za obdelavo podatkov za takšne namene uporablja Uredba (EU) 2016/679, vključno z arhiviranjem iz razlogov javnega interesa, za znanstveno, statistično ali zgodovinsko uporabo, razen če se obdelava izvaja v okviru dejavnosti, ki ne spada v področje uporabe prava Unije.

3.   Države članice določijo, da v primeru, če so v pravu Unije ali države članice, ki se uporablja za pristojni organ, ki posreduje podatke, določeni posebni pogoji za obdelavo, pristojni organ, ki posreduje podatke, obvesti uporabnika teh osebnih podatkov o takšnih pogojih in o obveznosti usklajenosti s temi pogoji.

4.   Države članice zagotovijo, da pristojni organ, ki posreduje podatke, za uporabnike iz drugih držav članic ali agencije, urade in organe, ustanovljene v skladu s poglavjema 4 in 5 naslova V PDEU, ne bo uporabil pogojev iz odstavka 3, razen tistih, ki se uporabljajo za podobne prenose podatkov v državi članici pristojnega organa, ki posreduje podatke.

Člen 10

Obdelava posebnih vrst osebnih podatkov

Obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, vero ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravstvenim ali spolnim življenjem in spolno usmerjenostjo je dovoljena le, če je nujno potrebna, če je zagotovljena ustrezna zaščita pravic in svoboščin posameznika, na katerega se podatki nanašajo, in le če:

(a)

to dovoljuje pravo Unije ali države članice

(b)

je to potrebno zaradi zaščite življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika ali

(c)

je takšna obdelava povezana s podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi.

Člen 11

Avtomatizirano sprejemanje posameznih odločitev

1.   Države članice zagotovijo, da je sprejemanje odločitev izključno na podlagi avtomatizirane obdelave, vključno z oblikovanjem profilov, ki ima lahko negativen pravni učinek za posameznika, na katerega se nanašajo osebni podatki, ali ga zelo prizadene, prepovedano, razen če to dovoljuje pravo Unije ali države članice, ki se uporablja za upravljavca in ki zagotavlja ustrezno zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja s strani upravljavca.

2.   Odločitve iz odstavka 1 tega člena ne temeljijo na posebnih vrstah osebnih podatkov iz člena 10, razen če so vzpostavljeni ustrezni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

3.   Oblikovanje profilov, ki ima za posledico diskriminacijo posameznikov na podlagi posebnih vrst osebnih podatkov iz člena 10, je v skladu s pravom Unije prepovedano.

POGLAVJE III

Pravice posameznika, na katerega se nanašajo osebni podatki

Člen 12

Sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki

1.   Države članice določijo, da upravljavec sprejme razumne ukrepe, s katerimi zagotovi, da se posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz člena 13 ter vsa sporočila iz členov 11, 14 do 18 in 31, povezana z obdelavo osebnih podatkov, posredujejo v jedrnati, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku. Informacije se posredujejo na vse ustrezne načine, tudi v elektronski obliki. Upravljavec praviloma zagotovi informacije v taki obliki, kot jo je imela zahteva.

2.   Države članice določijo, da upravljavec olajša uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz členov 11 in 14 do 18.

3.   Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja pisno obvesti o nadaljnjih ukrepih v zvezi z njegovo zahtevo.

4.   Države članice določijo, da so informacije iz člena 13 ter morebitna sporočila in ukrepi, sprejeti na podlagi členov 11, 14 do 18 in 31, brezplačni. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko upravljavec:

(a)

zaračuna razumno pristojbino, pri čemer upošteva upravne stroške posredovanja informacij ali sporočila oziroma izvajanja zahtevanega ukrepa, ali

(b)

zavrne ukrepanje v zvezi z zahtevo.

Upravljavec nosi dokazno breme očitne neutemeljenosti ali pretiranosti zahteve.

5.   Če upravljavec upravičeno dvomi o identiteti posameznika, ki predloži zahtevo iz členov 14 ali 16, lahko zahteva zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki.

Člen 13

Informacije, ki se dajo na voljo ali zagotovijo posamezniku, na katerega se nanašajo osebni podatki

1.   Države članice določijo, da upravljavec posamezniku, na katerega se nanašajo osebni podatki, dajo na voljo vsaj naslednje informacije:

(a)

identiteto in kontaktne podatke upravljavca;

(b)

kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

(c)

namene obdelave osebnih podatkov;

(d)

o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;

(e)

o pravici, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov in omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se ti podatki nanašajo.

2.   Države članice z zakonom določijo, da upravljavec posamezniku, na katerega se nanašajo osebni podatki, v posebnih primerih poleg informacij iz odstavka 1 zagotovi tudi naslednje dodatne informacije, s čimer omogoči uresničevanje njegovih pravic:

(a)

pravno podlago za obdelavo;

(b)

obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(c)

kadar je to ustrezno kategorije uporabnikov osebnih podatkov, tudi v tretjih državah ali mednarodnih organizacijah;

(d)

po potrebi dodatne informacije, zlasti kadar se osebni podatki zbirajo brez vednosti posameznika, na katerega se nanašajo osebni podatki.

3.   Države članice lahko sprejmejo zakonodajne ukrepe za zadržanje, omejitev ali opustitev zagotovitve informacij posamezniku, na katerega se nanašajo osebni podatki, na podlagi odstavka 2, če in dokler je takšen ukrep, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

(a)

preprečitev oviranja uradnih ali zakonitih preiskav, poizvedb ali postopkov;

(b)

preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(c)

zaščito javne varnosti;

(d)

zaščito varnosti države;

(e)

zaščito pravic in svoboščin drugih.

4.   Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi določijo vrste obdelave, za katere se lahko v celoti ali delno uporablja katera koli točka iz odstavka 3.

Člen 14

Pravica do dostopa posameznika, na katerega se nanašajo osebni podatki

Države članice v skladu s členom 15 določijo, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da od upravljavca pridobi potrditev, da se v zvezi z njim obdelujejo osebni podatki, in da se mu v tem primeru zagotovi dostop do osebnih podatkov ter naslednje informacije:

(a)

namene in pravno podlago za obdelavo;

(b)

vrste zadevnih osebnih podatkov;

(c)

uporabnike ali kategorije uporabnikov, ki so jim bili razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

(d)

kadar je to mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(e)

o pravici, da od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se ti podatki nanašajo;

(f)

o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;

(g)

sporočilo o osebnih podatkih, ki se obdelujejo, in o vseh dostopnih informacijah v zvezi z njihovim virom.

Člen 15

Omejitve pravice do dostopa

1.   Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi posamezniku, na katerega se nanašajo osebni podatki, popolnoma ali delno omejijo pravico do dostopa, in sicer če in dokler je taka delna ali popolna omejitev, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

(a)

preprečitev oviranja uradnih ali zakonitih preiskav, poizvedb ali postopkov;

(b)

preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(c)

zaščito javne varnosti;

(d)

zaščito varnosti države;

(e)

zaščito pravic in svoboščin drugih.

2.   Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi določijo vrste obdelave, za katere se lahko v celoti ali delno uporabljajo točke (a) do (e) odstavka 1.

3.   Države članice v primerih iz odstavkov 1 in 2 določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja pisno obvesti o vsaki zavrnitvi ali omejitvi dostopa in razlogih zanju. Te informacije se lahko izpustijo, če bi njihova zagotovitev ogrozila namen iz odstavka 1. Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o možnosti za vložitev pritožbe pri nadzornem organu ali o obstoju pravnega sredstva.

4.   Države članice določijo, da upravljavec dokumentira dejansko stanje ali pravne razloge, na katerih temelji odločitev. Ti podatki so na voljo nadzornim organom.

Člen 16

Pravica do popravka ali izbrisa osebnih podatkov in omejitve obdelave

1.   Države članice določijo, da ima posameznik, na katerega se nanašajo osebni podatki, pravico, da pri upravljavcu brez nepotrebnega odlašanja doseže popravek netočnih osebnih podatkov v zvezi z njim. Države članice ob upoštevanju namena obdelave določijo, da ima posameznik, na katerega se nanašajo osebni podatki, pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.

2.   Države članice od upravljavca zahtevajo, da brez nepotrebnega odlašanja izbriše osebne podatke, in posamezniku, na katerega se nanašajo osebni podatki, zagotovijo pravico, da pri upravljavcu brez nepotrebnega odlašanja doseže izbris osebnih podatkov v zvezi z njim, če obdelava krši predpise, sprejete na podlagi členov 4, 8 ali 10, ali če je treba osebne podatke izbrisati za izpolnitev s pravne obveznosti, ki velja za upravljavca.

3.   Upravljavec namesto izbrisa omeji obdelavo, kadar:

(a)

posameznik, na katerega se nanašajo osebni podatki, izpodbija njihovo točnost in ni mogoče preveriti, ali so podatki točni ali ne, ali

(b)

je treba osebne podatke ohraniti za namene dokazovanja.

Če je obdelava omejena v skladu s točko (a) prvega pododstavka, upravljavec pred preklicem omejitve obdelave obvesti posameznika, na katerega se nanašajo osebni podatki.

4.   Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, pisno obvesti o vsaki zavrnitvi popravka ali izbrisa osebnih podatkov ali omejitve obdelave ter o razlogih za zavrnitev. Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi popolnoma ali delno omejijo obveznost zagotavljanja teh informacij, v kolikor je taka omejitev, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

(a)

preprečitev oviranja uradnih in zakonitih preiskav, poizvedb ali postopkov;

(b)

preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(c)

zaščito javne varnosti;

(d)

zaščito varnosti države;

(e)

zaščito pravic in svoboščin drugih.

Države članice določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o možnosti za vložitev pritožbe pri nadzornem organu ali obstoju pravnega sredstva.

5.   Države članice določijo, da upravljavec o popravku netočnih osebnih podatkov obvesti pristojni organ, ki je posredoval netočne osebne podatke.

6.   Države članice določijo, da v primerih, ko so bili osebni podatki na podlagi odstavkov 1, 2 in 3 popravljeni ali izbrisani ali je bila njihova obdelava omejena, upravljavec uradno obvesti uporabnike ter da uporabniki popravijo ali izbrišejo osebne podatke ali omejijo obdelavo osebnih podatkov, za katere so odgovorni.

Člen 17

Uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, in preverjanje, ki ga izvede nadzorni organ

1.   Države članice v primerih iz členov 13(3), 15(3) in 16(4) sprejmejo ukrepe, s katerimi se zagotovi, da lahko posameznik, na katerega se nanašajo osebni podatki, svoje pravice uresničuje tudi prek pristojnega nadzornega organa.

2.   Države članice določijo, da upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, da lahko svoje pravice uresničuje prek nadzornega organa v skladu z odstavkom 1.

3.   Kadar posameznik, na katerega se nanašajo osebni podatki, uresničuje pravico iz odstavka 1, ga nadzorni organ obvesti vsaj o tem, da je izvedel vsa potrebna preverjanja oziroma opravil pregled. Nadzorni organ tudi obvesti posameznika, na katerega se nanašajo osebni podatki, o njegovi pravici do uporabe pravnega sredstva.

Člen 18

Pravice posameznika, na katerega se nanašajo osebni podatki, v kazenski preiskavi in kazenskem postopku

Države članice lahko določijo, da se pravice iz členov 13, 14 in 16 uresničujejo v skladu s pravom držav članic, kadar so osebni podatki navedeni v sodni odločbi ali kazenski evidenci ali sodnem spisu, ki se obdela med kazensko preiskavo in kazenskim postopkom.

POGLAVJE IV

Upravljavec in obdelovalec

Oddelek 1

Splošne obveznosti

Člen 19

Obveznosti upravljavca

1.   Države članice določijo, da upravljavec ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to direktivo. Ti ukrepi se po potrebi pregledajo in dopolnijo.

2.   Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.

Člen 20

Vgrajeno in privzeto varstvo podatkov

1.   Države članice določijo, da upravljavec ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki so povezana z obdelavo in se razlikujejo po verjetnosti in resnosti, tako v času določanja sredstev obdelave kot tudi v času same obdelave, izvede ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve te direktive in zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.

2.   Države članice določijo, da upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se samodejno obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da osebni podatki niso samodejno dostopni nedoločenemu številu oseb brez posredovanja zadevnega posameznika.

Člen 21

Skupni upravljavci

1.   Države članice določijo, da gre v primeru, ko dva ali več upravljavcev skupaj določijo namene in načine obdelave, za skupne upravljavce. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih za izpolnjevanje obveznosti iz te direktive, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in naloge vsakega od njih glede zagotavljanja informacij iz člena 13, razen če in kolikor so dolžnosti vsakega od upravljavcev določene s pravom Unije ali države članice, ki velja za upravljavce. Z dogovorom se določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki. Države članice lahko določijo, kateri od skupnih upravljavcev lahko deluje kot enotna kontaktna točka za uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki.

2.   Države članice lahko ne glede na pogoje dogovora iz odstavka 1 določijo, da posameznik, na katerega se nanašajo osebni podatki, uresničuje pravice, ki jih ima na podlagi predpisov, sprejetih v skladu s to direktivo, glede vsakega od upravljavcev in proti vsakemu od njih.

Člen 22

Obdelovalec

1.   Države članice določijo, da upravljavec, kadar se obdelava izvaja v njegovem imenu, sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te direktive in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

2.   Države članice določijo, da obdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

3.   Države članice določijo, da izvajanje obdelave s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali države članice, ki določa obveznosti obdelovalca do upravljavca ter v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt določa zlasti, da obdelovalec:

(a)

deluje samo po navodilih upravljavca;

(b)

zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c)

pomaga upravljavcu na kakršen koli primeren način, da se zagotovi skladnost z določbami o pravicah posameznika, na katerega se nanašajo osebni podatki;

(d)

v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev obdelave podatkov ter uniči obstoječe kopije, razen če pravo Unije ali države članice predpisuje shranjevanje osebnih podatkov;

(e)

da upravljavcu na voljo vse informacije, potrebne za dokazovanje skladnosti s tem členom;

(f)

izpolnjuje pogoje iz odstavkov 2 in 3 za zaposlitev drugega obdelovalca.

4.   Pogodba ali drug pravni akt iz odstavka 3 je v pisni obliki, vključno z elektronsko obliko.

5.   Če obdelovalec za obdelavo podatkov določi namene in način obdelave, ki kršijo to direktivo, se ta obdelovalec šteje za upravljavca v zvezi s to obdelavo.

Člen 23

Obdelava pod vodstvom upravljavca ali obdelovalca

Države članice določijo, da obdelovalec in katera koli oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca in ima dostop do osebnih podatkov, teh podatkov ne sme obdelati brez navodil upravljavca, razen če to od njega zahteva pravo Unije ali države članice.

Člen 24

Evidenca dejavnosti obdelave

1.   Države članice določijo, da upravljavci vodijo evidenco vseh vrst dejavnosti obdelave, za katere so odgovorni. Ta evidenca vsebuje vse naslednje informacije:

(a)

ime in kontaktne podatke upravljavca, in kadar obstajata skupnega upravljavca in pooblaščene osebe za varstvo podatkov;

(b)

namene obdelave;

(c)

kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;

(d)

opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;

(e)

kadar je ustrezno, oblikovanje profilov;

(f)

kadar je ustrezno, kategorije prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo;

(g)

navedbo pravne podlage za dejanja obdelave, vključno s prenosi, za katere so osebni podatki namenjeni;

(h)

kadar je mogoče, predvidene roke za izbris različnih vrst osebnih podatkov;

(i)

kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 29(1).

2.   Države članice določijo, da vsak obdelovalec vodi evidenco vseh vrst dejavnosti obdelave, ki jih izvaja v imenu upravljavca, evidenca pa vsebuje:

(a)

ime in kontaktne podatke obdelovalca ali obdelovalcev, posameznih upravljavcev, v imenu katerih deluje obdelovalec, in kadar obstaja pooblaščene osebe za varstvo podatkov;

(b)

vrste obdelave, ki se izvaja v imenu posameznega upravljavca;

(c)

kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo in identifikacijo te tretje države ali mednarodne organizacije, kadar to izrecno naroči upravljavec;

(d)

kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 29(1).

3.   Evidence iz odstavkov 1 in 2 so v pisni, vključno v elektronski obliki.

Upravljavec in obdelovalec nadzornemu organu na zahtevo omogočita dostop do evidence.

Člen 25

Vodenje dnevnikov

1.   Države članice določijo, da se vodijo dnevniki vsaj o naslednjih dejanjih obdelave v avtomatiziranih sistemih obdelave: zbiranje, predelava, vpogled, razkritje, vključno s prenosi, kombiniranje in izbris. Dnevniki vpogleda in razkritja omogočajo utemeljitev, opredelitev datuma in časa takih dejanj ter, če je to mogoče, identifikacijo osebe, ki je vpogledala v osebne podatke ali jih razkrila, ter identiteto uporabnikov takih osebnih podatkov.

2.   Dnevniki se uporabljajo zgolj za preverjanje zakonitosti obdelave, notranje spremljanje, zagotavljanje neoporečnosti in varnosti osebnih podatkov ter v kazenskih postopkih.

3.   Upravljavec in obdelovalec nadzornemu organu na zahtevo omogočita dostop do dnevnikov.

Člen 26

Sodelovanje z nadzornim organom

Države članice določijo, da upravljavec in obdelovalec na zahtevo sodelujeta z nadzornim organom pri izvajanju njegovih nalog.

Člen 27

Ocena učinka v zvezi z varstvom na podatkov

1.   Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave, povzročila veliko tveganje za pravice in svoboščine posameznikov, države članice določijo, da upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov.

2.   Ocena iz odstavka 1 obsega vsaj splošni opis predvidenih dejanj obdelave, oceno tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ukrepe, namenjene obvladovanju teh tveganj, zaščitne ukrepe, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to direktivo, pri čemer se upoštevajo pravice in zakoniti interesi posameznikov, na katere se nanašajo osebni podatki, ter drugih zadevnih oseb.

Člen 28

Predhodno posvetovanje z nadzornim organom

1.   Države članice določijo, da se upravljavec ali obdelovalec pred obdelavo osebnih podatkov, ki bodo del nove zbirke, posvetuje z nadzornim organom, kadar:

(a)

ocena učinka na varstvo podatkov iz člena 27 kaže, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja, ali

(b)

vrsta obdelave, zlasti v primeru uporabe novih tehnologij, mehanizmov ali postopkov, pomeni veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

2.   Države članice določijo, da se med pripravo predloga zakonodajnega ukrepa, ki ga sprejme nacionalni parlament, ali regulativnega ukrepa, ki temelji na takšnem zakonodajnem ukrepu, ki se nanaša na obdelavo, izvede posvetovanje z nadzornim organom.

3.   Države članice določijo, da lahko nadzorni organ pripravi seznam dejanj obdelave, za katere je treba v skladu z odstavkom 1 opraviti predhodno posvetovanje.

4.   Države članice določijo, da upravljavec nadzornemu organu predloži oceno učinka na varstvo podatkov v skladu s členom 27, na zahtevo pa tudi vse druge informacije, ki bodo nadzornemu organu omogočile, da oceni skladnost obdelave in zlasti tveganja za varstvo osebnih podatkov posameznika, na katerega se ti podatki nanašajo, ter s tem povezane zaščitne ukrepe.

5.   Države članice določijo, da nadzorni organ, kadar meni, da bi predvidena obdelava iz odstavka 1 tega člena lahko kršila predpise, sprejete na podlagi te direktive, zlasti kadar upravljavec ni ustrezno opredelil ali ublažil tveganja, pisno svetuje upravljavcu, kadar je to ustrezno, pa tudi obdelovalcu, v roku do šestih tednov po prejemu zahteve za posvetovanje in lahko uporabi katero koli pooblastilo iz člena 47. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša za en mesec. Nadzorni organ o vsakem takem podaljšanju obvesti upravljavca in kadar je to ustrezno obdelovalca v enem mesecu od prejema zahteve za posvetovanje, skupaj z razlogi za zamudo.

Oddelek 2

Varnost osebnih podatkov

Člen 29

Varnost obdelave

1.   Države članice določijo, da upravljavec in obdelovalec ob upoštevanju tehnološkega razvoja, stroškov izvajanja in narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z ustreznimi tehničnimi in organizacijskimi ukrepi zagotovita ustrezno raven varnosti glede na tveganje, zlasti kar zadeva obdelavo posebnih vrst osebnih podatkov iz člena 10.

2.   V zvezi z avtomatizirano obdelavo osebnih podatkov vsaka država članica določi, da upravljavec ali obdelovalec po oceni tveganj izvede ukrepe, katerih namen je:

(a)

onemogočiti dostop nepooblaščenih oseb do opreme, ki se uporablja za obdelavo (nadzor dostopa do opreme);

(b)

preprečiti nepooblaščeno branje, prepisovanje, spreminjanje ali odnašanje nosilcev podatkov (nadzor nosilcev podatkov);

(c)

preprečiti nepooblaščeno vnašanje osebnih podatkov v podatkovne zbirke in nepooblaščeno pregledovanje, spreminjanje ali brisanje shranjenih osebnih podatkov (nadzor shranjevanja);

(d)

nepooblaščenim osebam, ki uporabljajo opremo za prenos podatkov, preprečiti uporabo sistemov za avtomatizirano obdelavo (nadzor uporabnikov);

(e)

zagotoviti, da imajo osebe, pooblaščene za uporabo sistema za avtomatizirano obdelavo, dostop samo do podatkov, ki jih zajema njihovo pooblastilo za dostop (nadzor dostopa do podatkov);

(f)

zagotoviti, da je mogoče preveriti in ugotoviti, katerim telesom so osebni podatki bili ali bi lahko bili poslani oziroma jim je bil ali bi jim lahko bil omogočen dostop do njih prek opreme za prenos podatkov (nadzor prenosa);

(g)

zagotoviti, da je mogoče naknadno preveriti in ugotoviti, kateri osebni podatki so bili vneseni v sisteme za avtomatizirano obdelavo ter kdaj in kdo jih je vnesel (nadzor vnosa);

(h)

preprečiti nepooblaščeno branje, prepisovanje, spreminjanje ali izbris osebnih podatkov med pošiljanjem osebnih podatkov ali med premeščanjem nosilcev podatkov (nadzor premeščanja);

(i)

zagotoviti, da je mogoče nameščene sisteme v primeru prekinitve ponovno vzpostaviti (obnova);

(j)

zagotoviti, da funkcije sistema delujejo, da se pojavljanje napak v funkcijah sporoči (zanesljivost) in da shranjeni osebni podatki ne morejo postati neuporabni zaradi okvare sistema (neoporečnost).

Člen 30

Uradno obvestilo nadzornemu organu o kršitvi varstva osebnih podatkov

1.   Države članice določijo, da upravljavec v primeru kršitve varstva osebnih podatkov brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo o njej uradno obvesti nadzorni organ, razen če ni verjetno, da bi bilo s kršitvijo varstva osebnih podatkov povzročeno tveganje za pravice in svoboščine posameznikov. Kadar uradno obvestilo nadzornemu organu ni podano v 72 urah, se mu priloži razloge za zamudo.

2.   Obdelovalec ob seznanitvi s kršitvijo varstva osebnih podatkov brez nepotrebnega odlašanja uradno obvesti upravljavca.

3.   Uradno obvestilo iz odstavka 1 vsebuje vsaj:

(a)

opis vrste kršitve varstva osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;

(b)

sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;

(c)

opis verjetnih posledic kršitve varstva osebnih podatkov;

(d)

opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, vključno z če je to primerno, ukrepi za ublažitev morebitnih škodljivih učinkov kršitve.

4.   Kadar in kolikor informacij ni mogoče zagotoviti istočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.

5.   Države članice določijo, da upravljavec dokumentira vsako kršitev varstva osebnih podatkov iz odstavka 1, vključno z dejstvi v zvezi s kršitvijo varstva osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da preveri skladnost s tem členom.

6.   Države članice v primeru, kadar kršitev varstva osebnih podatkov vključuje osebne podatke, ki jih je upravljavec druge države članice poslal ali so mu bili poslani, določijo, da se informacije iz odstavka 3 upravljavcu navedene države članice sporočijo brez nepotrebnega odlašanja.

Člen 31

Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov

1.   Države članice določijo, da v primeru, ko je verjetno, da bi kršitev varstva osebnih podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varstva osebnih podatkov.

2.   V sporočilu posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena je v jasnem in preprostem jeziku opisana vrsta kršitve varstva osebnih podatkov ter so vsebovane vsaj informacije in ukrepi iz točk (b), (c) in (d) člena 30(3).

3.   Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev:

(a)

upravljavec je izvedel ustrezne tehnološke in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena kršitev varstva, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje,

(b)

upravljavec je sprejel naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1 verjetno ne bo več udejanjilo,

(c)

bi to zahtevalo nesorazmeren napor. V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

4.   Če upravljavec posameznika, na katerega se nanašajo osebni podatki, še ni obvestil o kršitvi varstva osebnih podatkov, lahko nadzorni organ to od njega lahko zahteva po preučitvi verjetnosti, da bi kršitev varstva osebnih podatkov povzročila veliko tveganje, ali pa lahko odloči, da je izpolnjen kateri od pogojev iz odstavka 3.

5.   Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena se lahko pod pogoji in iz razlogov iz člena 13(3) zadrži, omeji ali opusti.

Oddelek 3

Pooblaščena oseba za varstvo podatkov

Člen 32

Imenovanje pooblaščene osebe za varstvo podatkov

1.   Države članice določijo, da upravljavec imenuje pooblaščeno osebo za varstvo podatkov. Države članice lahko iz te obveznosti lahko izvzamejo sodišča in druge neodvisne pravosodne organe, kadar delujejo kot sodni organ.

2.   Pooblaščena oseba za varstvo podatkov se imenuje na podlagi njenih poklicnih odlik in zlasti njenega strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 34.

3.   Za več pristojnih organov se lahko ob upoštevanju njihove organizacijske strukture in velikosti imenuje ena sama pooblaščena oseba za varstvo podatkov.

4.   Države članice določijo, da upravljavec objavi kontaktne podatke pooblaščene osebe za varstvo podatkov in jih sporoči nadzornemu organu.

Člen 33

Položaj pooblaščene osebe za varstvo podatkov

1.   Države članice določijo, da upravljavec zagotovi, da je pooblaščena oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.

2.   Upravljavec pooblaščeni osebi za varstvo podatkov pomaga pri opravljanju nalog iz člena 34, tako da zagotovi sredstva, potrebna za opravljanje teh nalog in dostop do osebnih podatkov in dejanj obdelave ter ohranjanje njenega strokovnega znanja.

Člen 34

Naloge pooblaščene osebe za varstvo podatkov

Države članice določijo, da upravljavec pooblaščeni osebi za varstvo podatkov zaupa vsaj naslednje naloge:

(a)

obveščanje upravljavca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to direktivo in drugimi določbami Unije ali držav članic o varstvu podatkov;

(b)

spremljanje skladnosti s to direktivo, drugimi določbami Unije ali držav članic o varstvu podatkov in politikami upravljavca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;

(c)

svetovanje, kadar se to zahteva, glede ocene učinka v zvezi z na varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 27;

(d)

sodelovanje z nadzornim organom;

(e)

delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 28, in, kjer je ustrezno, posvetovanje o kateri koli drugi zadevi.

POGLAVJE V

Prenosi osebnih podatkov v tretje države ali mednarodne organizacije

Člen 35

Splošna načela za prenose osebnih podatkov

1.   Države članice določijo, da pristojni organi vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, vključno z nadaljnjimi prenosi v drugo tretjo državo ali mednarodno organizacijo, izvedejo samo, če je v skladu z nacionalnimi določbami, sprejetimi v skladu z drugimi določbami te direktive in samo če so izpolnjeni pogoji iz tega poglavja, in sicer:

(a)

prenos je potreben za namene iz člena 1(1)

(b)

osebni podatki se prenesejo upravljavcu v tretji državi ali mednarodni organizaciji, ki je organ, pristojen za namene iz člena 1(1),

(c)

v primeru prenosa ali omogočanja dostopa do osebnih podatkov iz druge države članice je zadevna država članica dala predhodno soglasje za prenos v skladu s svojim nacionalnim pravom

(d)

Komisija je sprejela sklep o ustreznosti na podlagi člena 36 ali – v primeru, da Komisija ni sprejela tega sklepa – so predvideni ali obstajajo ustrezni zaščitni ukrepi v skladu s členom 37 ali – v primeru, da Komisija ni sprejela sklepa o ustreznosti na podlagi člena 36 ali ustreznih zaščitnih ukrepov na podlagi člena 37– se uporabljajo odstopanja za posebne primere v skladu s členom 38; in

(e)

v primeru nadaljnjega prenosa v drugo tretjo državo ali mednarodno organizacijo pristojni organ, ki je izvedel prvotni prenos, ali drug pristojni organ v isti državi članici dovoli nadaljnji prenos, potem ko ustrezno upošteva vse zadevne dejavnike, tudi resnost kaznivega dejanja, namen, za katerega so bili osebni podatki prvotno preneseni, in raven varstva osebnih podatkov v tretji državi ali mednarodni organizaciji, v katero se osebni podatki prenašajo v okviru nadaljnjega prenosa.

2.   Države članice določijo, da so prenosi brez predhodnega soglasja druge države članice v skladu s točko (c) odstavka 1 dovoljeni samo, če je prenos osebnih podatkov nujno potreben, da se prepreči neposredna in resna grožnja javni varnosti v državi članici ali tretji državi ali vitalnim interesom države članice, predhodnega soglasja pa ni mogoče pridobiti pravočasno. O tem brez odlašanja obvestijo organ, pristojen za dajanje predhodnega soglasja.

3.   Vse določbe tega poglavja se uporabljajo za zagotovitev, da ni ogrožena raven varstva posameznikov, ki jo zagotavlja ta direktiva.

Člen 36

Prenosi na podlagi sklepa o ustreznosti

1.   Države članice določijo, da se prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo lahko izvede, če Komisija sklene, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno posebno dovoljenje.

2.   Komisija pri ocenjevanju ustreznosti ravni varstva upošteva zlasti naslednje elemente:

(a)

načelo pravne države, spoštovanje človekovih pravic in temeljnih svoboščin, ustrezno splošno in področno zakonodajo, tudi na področju javne varnosti, obrambe, varnosti države in kazenskega prava ter dostopa javnih organov do osebnih podatkov, pa tudi izvajanje take zakonodaje, pravila o varstvu podatkov, strokovna pravila ter varnostne ukrepe, vključno s pravili za nadaljnji prenos osebnih podatkov v drugo tretjo državo ali mednarodno organizacijo, ki se spoštujejo v navedeni tretji državi ali mednarodni organizaciji, sodno prakso, pa tudi dejanske in izvršljive pravice ter učinkovito upravno in sodno varstvo posameznikov, na katere se nanašajo osebni podatki, ki se prenašajo;

(b)

obstoj enega ali več učinkovito delujočih neodvisnih nadzornih organov v tretji državi članici ali pristojnih za mednarodno organizacijo, ki so odgovorni za zagotavljanje in izvrševanje predpisov o varstvu podatkov, kar vključuje tudi ustrezna pooblastila za izvrševanje, za pomoč in svetovanje posameznikom, na katere se nanašajo osebni podatki, pri uresničevanju njihovih pravic ter za sodelovanje z nadzornimi organi držav članic in

(c)

mednarodne zaveze, ki jih je sprejela zadevna tretja država ali mednarodna organizacija, ali druge obveznosti, ki izhajajo iz pravno zavezujočih konvencij ali instrumentov, pa tudi iz sodelovanja tretje države ali mednarodne organizacije v večstranskih ali regionalnih sistemih, zlasti glede varstva osebnih podatkov.

3.   Komisija lahko po oceni ustreznosti ravni varstva z izvedbenim aktom sklene, da tretja država, ozemlje ali eden ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva v smislu odstavka 2 tega člena. V izvedbenem aktu se določi mehanizem za redni pregled, vsaj vsaka štiri leta, ki v celoti upošteva razvoj dogodkov v tretji državi ali mednarodni organizaciji. V izvedbenem aktu se določi njegova ozemeljska veljavnost in sektorska uporaba ter kadar je ustrezno opredeli nadzorni organ ali organi iz točke (b) odstavka 2 tega člena. Izvedbeni akt se sprejme v skladu s postopkom pregleda iz člena 58(2).

4.   Komisija redno spremlja razvoj dogodkov v tretjih državah in mednarodnih organizacijah, ki bi lahko vplival na izvajanje sklepov, sprejetih v skladu z odstavkom 3.

5.   Komisija v primeru, ko razpoložljive informacije, zlasti na podlagi pregleda iz odstavka 3 tega člena, pokažejo, da tretja država, ozemlje ali eden ali več določenih sektorjev v zadevni tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva v smislu odstavka 2 tega člena, z izvedbenim aktom, v potrebnem obsegu, razveljavi, spremeni ali začasno odloži izvajanje sklepa iz odstavka 3 tega člena brez retroaktivnega učinka. Ta izvedbeni akt se sprejme po postopku pregleda iz člena 58(2), v izjemno nujnih primerih pa po postopku iz člena 58(3).

V ustrezno utemeljenih izredno nujnih primerih Komisija v skladu s postopkom iz člena 58(3) sprejme izvedbene akte, ki se začnejo takoj uporabljati.

6.   Komisija se začne posvetovati s tretjo državo ali mednarodno organizacijo, kako izboljšati stanje, zaradi katerega je bil sprejet sklep na podlagi odstavka 5.

7.   Države članice določijo, da sklep, sprejet na podlagi odstavka 5 ne posega v prenose osebnih podatkov v zadevno tretjo državo, ozemlje ali en ali več določenih sektorjev v tej tretji državi ali mednarodno organizacijo v skladu s členoma 37 in 38.

8.   Komisija v Uradnem listu Evropske unije in na svojem spletnem mestu objavi seznam tretjih držav, ozemelj, določenih sektorjev v tretji državi in mednarodnih organizacij, v zvezi s katerimi je sprejela sklep, da zagotavljajo ustrezno raven varstva oziroma je ne zagotavljajo več.

Člen 37

Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi

1.   Države članice določijo, da se lahko v primeru nesprejetja sklepa v skladu s členom 36(3) osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, če:

(a)

so ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov določeni v pravno zavezujočem aktu ali

(b)

je upravljavec ocenil vse okoliščine v zvezi s prenosom osebnih podatkov in ugotovil, da obstajajo ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov.

2.   Upravljavec obvesti nadzorni organ o kategorijah prenosov iz točke (b) odstavka 1.

3.   Kadar prenos temelji na točki (b) odstavka 1, ga je treba dokumentirati, pri čemer mora biti dokumentacija na zahtevo na voljo nadzornemu organu, vključno z datumom in uro prenosa, podatki o pristojnem organu prejemniku, utemeljitvijo prenosa in prenesenimi osebnimi podatki.

Člen 38

Odstopanja v posebnih primerih

1.   Države članice zagotovijo, da se lahko v primeru, če ni bil sprejet sklep o ustreznosti v skladu s členom 36 oziroma če niso bili sprejeti ustrezni zaščitni ukrepi v skladu s členom 37, prenos ali kategorija prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo izvede le, če je prenos potreben:

(a)

za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe;

(b)

za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki in je to določeno v zakonodaji države članice, ki prenaša osebne podatke;

(c)

za preprečitev neposredne in resne grožnje javni varnosti v državi članici ali tretji državi;

(d)

v posameznih primerih za namene iz člena 1(1); ali

(e)

v posameznem primeru zaradi uveljavitve, izvajanja ali obrambe pravnih zahtevkov v zvezi z nameni iz člena 1(1).

2.   Če pristojni organ, ki podatke prenese, ugotovi, da temeljne pravice in svoboščine zadevnega posameznika, na katerega se nanašajo osebni podatki, prevladajo nad javnim interesom za prenos iz točk (d) in (e) odstavka 1, se osebni podatki ne prenesejo.

3.   Kadar prenos temelji na odstavku 1, ga je treba dokumentirati, pri čemer mora biti dokumentacija na zahtevo na voljo nadzornemu organu, vključno z datumom in uro prenosa, podatki o pristojnem organu prejemniku, utemeljitvijo prenosa in prenesenimi osebnimi podatki.

Člen 39

Prenosi osebnih podatkov uporabnikom s sedežem v tretjih državah

1.   V pravu Unije ali države članice se lahko z odstopanjem od točke (b) člena 35(1) in brez poseganja v kateri koli mednarodni sporazum iz odstavka 2 tega člena določi, da pristojni organi iz točke (7)(a) člena 3 v posameznih in posebnih primerih prenesejo osebne podatke neposredno uporabnikom s sedežem v tretjih državah le, če so izpolnjene zahteve iz drugih določb te direktive in vsi naslednji pogoji:

(a)

prenos je nujno potreben za izvajanje naloge pristojnega organa, ki podatke prenese, kot je določeno s pravom Unije ali države članice za namene iz člena 1(1);

(b)

pristojni organ, ki podatke prenese, ugotovi, da nobena temeljna pravica in svoboščina zadevnega posameznika, na katerega se nanašajo osebni podatki, ne prevlada nad javnim interesom, zaradi katerega je v konkretnem primeru potreben prenos;

(c)

pristojni organ, ki podatke prenese, meni, da prenos organu v tretji državi, pristojnemu za namene iz člena 1(1), ni učinkovit ali primeren, zlasti ker prenosa ni mogoče pravočasno izvesti;

(d)

organ, ki je v tretji državi pristojen za namene iz člena 1(1), je obveščen brez nepotrebnega odlašanja, razen če to ni učinkovito ali primerno;

(e)

pristojni organ, ki podatke prenese, obvesti uporabnika o določenem namenu ali namenih, za katere naj bi uporabnik izključno obdelal osebne podatke, pod pogojem, da je takšna obdelava potrebna.

2.   Mednarodni sporazum iz odstavka 1 je kateri koli veljavni dvo- ali večstranski mednarodni sporazum med državami članicami in tretjimi državami s področja pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja.

3.   Pristojni organ, ki podatke prenese, obvesti nadzorni organ o prenosih na podlagi tega člena.

4.   Kadar prenos temelji na odstavku 1, ga je treba dokumentirati.

Člen 40

Mednarodno sodelovanje za varstvo osebnih podatkov

Komisija in države članice v zvezi s tretjimi državami in mednarodnimi organizacijami sprejmejo ustrezne ukrepe, da:

(a)

oblikujejo mehanizme mednarodnega sodelovanja za spodbujanje učinkovitega izvrševanja zakonodaje o varstvu osebnih podatkov;

(b)

zagotovijo mednarodno medsebojno pomoč pri izvrševanju zakonodaje o varstvu osebnih podatkov, vključno z uradnim obveščanjem, posredovanjem pritožb, pomočjo pri preiskavah in izmenjavo informacij, pri čemer se uporabljajo ustrezni zaščitni ukrepi za varstvo osebnih podatkov ter drugih temeljnih pravic in svoboščin;

(c)

ustrezne deležnike vključijo v razpravo in dejavnosti, katerih namen je pospeševanje mednarodnega sodelovanja pri izvrševanju zakonodaje o varstvu osebnih podatkov;

(d)

spodbujajo izmenjavo in dokumentiranje zakonodaje in prakse s področja varstva osebnih podatkov, vključno s spori glede sodne pristojnosti s tretjimi državami.

POGLAVJE VI

Neodvisni nadzorni organi

Oddelek 1

Status neodvisnosti

Člen 41

Nadzorni organ

1.   Vsaka država članica zagotovi, da je eden ali več neodvisnih javnih organov pristojnih za spremljanje uporabe te direktive, da se zaščitijo temeljne pravice in svoboščine posameznikov v zvezi z obdelavo ter olajša prost pretok osebnih podatkov v Uniji (nadzorni organ).

2.   Vsak nadzorni organi prispeva k dosledni uporabi te direktive v vsej Uniji. V ta namen nadzorni organi sodelujejo med seboj in s Komisijo v skladu s poglavjem VII.

3.   Države članice lahko določijo, da je nadzorni organ, ustanovljen v skladu z Uredbo (EU) 2016/679, nadzorni organ iz te direktive in prevzame odgovornost za izvajanje nalog nadzornega organa, ki bo ustanovljen v skladu z odstavkom 1 tega člena.

4.   Kadar je v državi članici ustanovljen več kot en nadzorni organ, ta država članica določi nadzorni organ, ki navedene organe zastopa v odboru iz člena 51.

Člen 42

Neodvisnost

1.   Vsaka država članica določi, da vsak nadzorni organ pri opravljanju svojih nalog in izvajanju pooblastil v skladu s to direktivo ravna popolnoma neodvisno.

2.   Države članice določijo, da član oziroma člani njihovih nadzornih organov pri opravljanju svojih nalog in izvajanju pooblastil v skladu s to direktivo niso izpostavljeni ne neposrednemu ne posrednemu zunanjemu vplivu in nikogar ne prosijo za navodila niti jih od nikogar ne sprejemajo.

3.   Člani nadzornega organa držav članic se vzdržijo vsakega delovanja, ki je nezdružljivo z njihovimi dolžnostmi, in se v času svojega mandata ne ukvarjajo z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim.

4.   Vsaka država članica zagotovi, da ima vsak nadzorni organ na voljo človeške, tehnične in finančne vire, prostore ter infrastrukturo, ki jih potrebuje za učinkovito opravljanje svojih nalog in izvajanje pooblastil, tudi tistih, ki se nanašajo na medsebojno pomoč, sodelovanje in udeležbo v odboru.

5.   Vsaka država članica zagotovi, da vsak nadzorni organ izbere in ima svoje osebje, ki ga usmerja izključno član oziroma člani zadevnega nadzornega organa.

6.   Vsaka država članica zagotovi, da se izvaja finančni nadzor vsakega nadzornega organa, kar pa ne vpliva na njegovo neodvisnost, in da ima vsak nadzorni organ ločen, javni letni proračun, ki je lahko del splošnega državnega ali nacionalnega proračuna.

Člen 43

Splošni pogoji za člane nadzornega organa

1.   Države članice zagotovijo, da vsakega člana njihovega nadzornega organa po preglednem postopku imenuje:

njihov parlament,

njihova vlada,

njihov voditelj ali

neodvisen organ, ki je na podlagi prava države članice pooblaščen za imenovanja.

2.   Vsak član im kvalifikacije, izkušnje in znanje, zlasti na področju varstva osebnih podatkov, potrebno za opravljanje svojih dolžnosti in izvajanje svojih pooblastil.

3.   Dolžnosti člana prenehajo v primeru prenehanja mandata, odstopa ali prisilne razrešitve v skladu s pravom zadevne države članice.

4.   Član je lahko razrešen le v primerih hujše kršitve ali če ne izpolnjuje več pogojev, ki se zahtevajo za opravljanje dolžnosti.

Člen 44

Pravila o ustanovitvi nadzornega organa

1.   Vsaka država članica z zakonom določi vse naslednje:

(a)

ustanovitev posameznega nadzornega organa;

(b)

kvalifikacije in pogoje za upravičenost, ki se zahtevajo za imenovanje na mesto člana posameznega nadzornega organa;

(c)

pravila in postopke za imenovanje člana ali članov posameznega nadzornega organa;

(d)

trajanje mandata člana oziroma članov posameznega nadzornega organa, ki ni krajši od štirih let, razen pri prvem imenovanju po 6. maju 2016, del katerega je lahko krajši, če je to potrebno zaradi zaščite neodvisnosti nadzornega organa s postopkom postopnega imenovanja;

(e)

ali se lahko član oziroma člani posameznega nadzornega organa ponovno imenujejo in če je tako, za koliko mandatov;

(f)

pogoje, ki urejajo obveznosti člana oziroma članov in osebja posameznega nadzornega organa, prepovedi ukrepanja, delovanja in ugodnosti, ki so nezdružljivi s temi pogoji, med mandatom in po njem, ter pravila o prenehanju zaposlitve.

2.   Član oziroma člani in osebje posameznega nadzornega organa so v skladu s pravom Unije ali države članice tako med svojim mandatom kot po njem dolžni varovati poklicno skrivnost v zvezi z vsemi zaupnimi informacijami, s katerimi so se seznanili med opravljanjem svojih nalog ali izvajanjem svojih pooblastil. V času njihovega mandata ta dolžnost varovanja poklicne skrivnosti velja zlasti za poročanje posameznikov o kršitvah te direktive.

Oddelek 2

Pristojnost, naloge in pooblastila

Člen 45

Pristojnost

1.   Vsaka država članica določi, da je vsak nadzorni organ na ozemlju svoje države članice pristojen za opravljanje nalog in izvajanje pooblastil, ki so mu bila dodeljena v skladu s to direktivo.

2.   Vsaka država članica določi, da noben nadzorni organ ni pristojen za nadzor dejanj obdelave, ki jih izvajajo sodišča, kadar delujejo kot sodni organ. Države članice lahko določijo, da njihov nadzorni organ ni pristojen za nadzor dejanj obdelave, ki jih izvajajo drugi neodvisni pravosodni organi, kadar delujejo kot sodni organ.

Člen 46

Naloge

1.   Vsaka država članica določi, da na njenem ozemlju vsak nadzorni organ:

(a)

spremlja in zagotavlja uporabo predpisov, sprejetih v skladu s to direktivo, in njenih izvedbenih ukrepov;

(b)

spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo;

(c)

v skladu s pravom države članice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svoboščin posameznikov pri obdelavi;

(d)

spodbuja ozaveščenost upravljavcev in obdelovalcev o njihovih obveznostih na podlagi te direktive;

(e)

vsakemu posamezniku, na katerega se nanašajo osebni podatki, na zahtevo zagotovi informacije o uresničevanju njegovih pravic na podlagi te direktive in v ta namen, če je ustrezno, sodeluje z nadzornimi organi v drugih državah članicah;

(f)

obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oziroma v skladu s členom 55 organ, organizacija ali združenje, in v ustreznem obsegu preuči vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti če je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom;

(g)

preverja zakonitost obdelave v skladu s členom 17 ter posameznika, na katerega se nanašajo osebni podatki, v primernem roku obvesti o izidu pregleda v skladu z odstavkom 3 navedenega člena ali o razlogih, zaradi katerih pregled ni bil izveden;

(h)

sodeluje z drugimi nadzornimi organi, med drugim z izmenjavo informacij, in jim zagotavlja medsebojno pomoč, da bi zagotovili doslednost pri uporabi in izvajanju te direktive;

(i)

izvaja preiskave o uporabi te direktive, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa;

(j)

spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij;

(k)

svetuje glede dejanj obdelave iz člena 28; in

(l)

prispeva k dejavnostim odbora.

2.   Vsak nadzorni organ olajša postopek vložitve pritožb iz točke (f) odstavka 1, in sicer z ukrepi, kot je zagotovitev obrazca za vložitev pritožbe, ki se lahko izpolni tudi elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

3.   Opravljanje nalog vsakega nadzornega organa je za posameznika, na katerega se nanašajo osebni podatki, in za pooblaščeno osebo za varstvo podatkov brezplačno.

4.   Kadar so zahteve očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko nadzorni organ zaračuna razumno pristojbino glede na upravne stroške ali zavrne ukrepanje v zvezi z zahtevo. Nadzorni organ nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

Člen 47

Pooblastila

1.   Vsaka država članica z zakonom določi, da ima vsak nadzorni organ dejanska preiskovalna pooblastila. Ta pooblastila vključujejo vsaj pooblastilo, da od upravljavca in obdelovalca pridobi dostop do vseh osebnih podatkov, ki se obdelujejo, in vseh informacij, ki jih potrebuje za opravljanje svojih nalog.

2.   Vsaka država članica z zakonom določi, da ima vsak nadzorni organ dejanska popravljalna pooblastila, kot na primer:

(a)

da upravljavca ali obdelovalca opozori, da bi predvidena dejanja obdelave verjetno kršila predpise, sprejete na podlagi te direktive;

(b)

da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi s predpisi, sprejetimi na podlagi te direktive, zlasti tako, da v skladu s členom 16 odredi popravek ali izbris osebnih podatkov ali omejitev obdelave;

(c)

da uvede začasno ali dokončno omejitev obdelave, vključno s prepovedjo obdelave.

3.   Vsaka država članica z zakonom določi, da ima vsak nadzorni organ dejanska svetovalna pooblastila, da svetuje upravljavcu v skladu s postopkom predhodnega posvetovanja iz člena 28 in da na lastno pobudo ali na zahtevo izdaja mnenja za nacionalni parlament in vlado ali, v skladu z nacionalnim pravom, za druge institucije in organe, pa tudi za javnost, o vseh vprašanjih v zvezi z varstvom osebnih podatkov.

4.   Nadzorni organ izvaja pooblastila, ki so mu dodeljena v skladu s tem členom, na podlagi ustreznih zaščitnih ukrepov, vključno z učinkovitim pravnim sredstvom in ustreznim pravnim postopkom, kot je določeno v pravu Unije in držav članic, v skladu z Listino.

5.   Vsaka država članica z zakonom določi, da ima njen nadzorni organ pooblastila, da sodne organe opozori na kršitve predpisov, sprejetih na podlagi te direktive, in da po potrebi začne sodne postopke ali v njih drugače sodeluje, da se zagotovi izvajanje predpisov, sprejetih na podlagi te direktive.

Člen 48

Poročanje o kršitvah

Države članice določijo, da pristojni organi vzpostavijo učinkovite mehanizme za spodbujanje zaupnega poročanja o kršitvah te direktive.

Člen 49

Poročila o dejavnostih

Vsak nadzorni organ pripravi letno poročilo o svojih dejavnostih, ki lahko vključuje seznam vrst priglašenih kršitev in vrst naloženih kazni. Ta poročila se predložijo nacionalnemu parlamentu, vladi in drugim organom, kakor določa pravo države članice. Na voljo se dajo javnosti, Komisiji in odboru.

POGLAVJE VII

Sodelovanje

Člen 50

Medsebojna pomoč

1.   Vsaka država članica določi, da njihovi nadzorni organi drug drugemu zagotovijo zadevne informacije in medsebojno pomoč ter tako dosledno izvajajo in uporabljajo to direktivo in da uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za posvetovanja, preglede in preiskave.

2.   Države članice določijo, da vsak nadzorni organ sprejme vse ustrezne ukrepe, potrebne, za odgovor na zahtevo drugega nadzornega organa brez nepotrebnega odlašanja in najpozneje en mesec po prejemu zahteve. Takšni ukrepi lahko vključujejo zlasti prenos zadevnih informacij o poteku preiskave.

3.   Zahteve za pomoč vsebujejo vse potrebne informacije, vključno z namenom in obrazložitvijo zahteve. Izmenjane informacije se uporabljajo samo v namen, za katerega so bile zahtevane.

4.   Nadzorni organ, ki prejme zahtevo za pomoč, te ne sme zavrniti, razen če:

(a)

ni pristojen za vsebino zahteve ali za izvršitev zahtevanih ukrepov, ali

(b)

bi izpolnitev zahteve kršila to direktivo ali pravo Unije ali države članice, ki velja za nadzorni organ, ki je prejel zahtevo.

5.   Nadzorni organ, ki je prejel zahtevo, obvesti nadzorni organ, ki je zahtevo poslal, o rezultatih oziroma po potrebi o stanju zadeve ali ukrepih, sprejetih v odziv na zahtevo. Nadzorni organ, ki je prejel zahtevo vsako zavrnitev zahteve na podlagi odstavka 4 ustrezno obrazloži.

6.   Nadzorni organi, ki so prejeli zahtevo, informacije, za katere zaprosijo drugi nadzorni organi, praviloma posredujejo z elektronskimi sredstvi v standardizirani obliki.

7.   Nadzorni organi, ki so prejeli zahtevo, za noben njihov ukrep na podlagi zahteve za medsebojno pomoč ne zaračunajo pristojbine. Nadzorni organi se lahko dogovorijo o pravilih o vzajemnih nadomestilih, za posebne izdatke, nastale zaradi zagotavljanja medsebojne pomoči v izjemnih okoliščinah.

8.   Komisija lahko z izvedbenimi akti določi obliko in postopke za medsebojno pomoč iz tega člena ter ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in odborom. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 58(2).

Člen 51

Naloge odbora

1.   Odbor, ustanovljen z Uredbo (EU) 2016/679, opravlja vse naslednje naloge v zvezi z obdelavo v okviru področja uporabe te direktive:

(a)

Komisiji svetuje o vseh vprašanjih v zvezi z varstvom osebnih podatkov v Uniji, pa tudi o vseh predlogih sprememb te direktive;

(b)

na lastno pobudo, na zahtevo katerega od svojih članov ali na zahtevo Komisije preuči vsako vprašanje v zvezi z uporabo te direktive ter izda smernice, priporočila in najboljše prakse, s čimer spodbuja dosledno uporabo te direktive;

(c)

za nadzorne organe pripravi smernice glede uporabe ukrepov iz člena 47(1) in (3);

(d)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (b) tega pododstavka za ugotavljanje kršitev varstva osebnih podatkov in opredelitev nepotrebnega odlašanja iz člena 30(1) in (2) ter za posebne okoliščine, v katerih se od upravljavca ali obdelovalca zahteva, da predloži uradno obvestilo o kršitvi varstva osebnih podatkov;

(e)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (b) tega pododstavka glede okoliščin, v katerih je verjetno, da bi kršitev varstva osebnih podatkov povzročila znatno tveganje za pravice in svoboščine posameznikov iz člena 31(1);

(f)

pregleda praktično uporabo smernic, priporočil in najboljših praks iz točk (b) in (c);

(g)

Komisiji predloži mnenje glede ocene ustreznosti ravni varstva v tretji državi, na ozemlju ali v enem ali več določenih sektorjev v tretji državi, ali mednarodni organizaciji, vključno glede ocene o tem, ali tretja država, ozemlje, določen sektor ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva.

(h)

spodbuja sodelovanje ter učinkovito dvostransko in večstransko izmenjavo informacij in najboljših praks med nadzornimi organi;

(i)

spodbuja skupne programe usposabljanja ter pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi organi tretjih držav ali z mednarodnimi organizacijami;

(j)

spodbuja izmenjavo znanja in dokumentacije o zakonodaji in praksi s področja varstva osebnih podatkov z nadzornimi organi za varstvo podatkov po svetu.

Ob upoštevanju točke (g) prvega pododstavka, Komisija predloži odboru vso potrebno dokumentacijo, vključno s korespondenco z vlado tretje države, z ozemljem ali določenim sektorjem v navedeni tretji državi ali z mednarodno organizacijo.

2.   Kadar Komisija odbor zaprosi za nasvet, lahko navede rok, pri čemer upošteva nujnost zadeve.

3.   Odbor Komisiji in odboru iz člena 58(1) posreduje svoja mnenja, smernice, priporočila in najboljše prakse ter jih objavi.

4.   Komisija obvesti odbor o ukrepih, ki jih je sprejela na podlagi mnenj, smernic, priporočil in najboljših praks, ki jih je ta odbor izdal.

POGLAVJE VIII

Pravna sredstva, odgovornost in kazni

Člen 52

Pravica do vložitve pritožbe pri nadzornem organu

1.   Države članice brez poseganja v katero koli drugo upravno ali pravno sredstvo določijo, da ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo samo pri enem nadzornem organu, če meni, da obdelava v zvezi z njim krši predpise, sprejete na podlagi te direktive.

2.   Države članice zagotovijo, da nadzorni organ, pri katerem je bila vložena pritožba, to pritožbo brez nepotrebnega odlašanja posreduje pristojnemu nadzornemu organu, če pritožba ni bila vložena pri nadzornemu organu, pristojnem v skladu s členom 45(1). Posameznik, na katerega se nanašajo osebni podatki, je obveščen o prenosu.

3.   Države članice določijo, da nadzorni organ, pri katerem je bila vložena pritožba, nudi nadaljnjo pomoč na zahtevo posameznika, na katerega se nanašajo osebni podatki.

4.   Pristojni nadzorni organ obvesti posameznika, na katerega se nanašajo osebni podatki, o stanju zadeve in odločitvi o pritožbi, vključno z možnostjo pravnega sredstva na podlagi člena 53.

Člen 53

Pravica do učinkovitega pravnega sredstva zoper nadzorni organ

1.   Države članice brez poseganja v katero koli drugo upravno ali izvensodno sredstvo določijo, da ima fizična ali pravna oseba pravico do učinkovitega pravnega sredstva zoper pravno zavezujočo odločitev nadzornega organa v zvezi z njo.

2.   Brez poseganja v katero koli drugo upravno ali izvensodno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar nadzorni organ, pristojen na podlagi člena 45(1), ne obravnava pritožbe ali če posameznika, na katerega se nanašajo osebni podatki, v treh mesecih ne obvesti o stanju zadeve ali odločitvi o pritožbi, vloženi na podlagi člena 52.

3.   Države članice določijo, da so za postopke zoper nadzorni organ pristojna sodišča države članice, v kateri ima nadzorni organ sedež.

Člen 54

Pravica do učinkovitega pravnega sredstva zoper upravljavca ali obdelovalca

Brez poseganja v katero koli razpoložljivo upravno ali izvensodno sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu na podlagi člena 52, države članice določijo, da ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico do učinkovitega pravnega sredstva, kadar meni da so bile njegove pravice iz predpisov, sprejetih na podlagi te direktive, kršene zaradi obdelave njegovih osebnih podatkov, ki ni bila v skladu z navedenimi predpisi.

Člen 55

Zastopanje posameznikov, na katere se nanašajo osebni podatki

Država članica v skladu s svojim postopkovnim pravom določi, da ima posameznik, na katerega se nanašajo osebni podatki, pravico pooblastiti neprofitno telo, organizacijo ali združenje, ki je ustrezno ustanovljeno v skladu s pravom države članice in katerega statutarno določeni cilji so v javnem interesu ter je dejavno na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov, da vloži pritožbo v njegovem imenu in da v njegovem imenu uresničuje pravice iz členov 52, 53 in 54.

Člen 56

Pravica do odškodnine

Države članice določijo, da ima vsaka oseba, ki je utrpela premoženjsko ali nepremoženjsko škodo zaradi nezakonitega dejanja obdelave ali katerega koli dejanja, ki krši nacionalne določbe, sprejete na podlagi te direktive, pravico, da od upravljavca ali drugega organa, pristojnega v skladu s pravom države članice, dobi odškodnino za nastalo škodo.

Člen 57

Kazni

Države članice določijo pravila o kaznih, ki se uporabljajo za kršitve predpisov, sprejetih na podlagi te direktive, in sprejmejo vse ukrepe, potrebne za zagotovitev njihovega izvajanja. Predvidene kazni morajo biti učinkovite, sorazmerne in odvračilne.

POGLAVJE IX

Izvedbeni akti

Člen 58

Postopek v odboru

1.   Komisiji pomaga odbor, ustanovljen v skladu s členom 93 Uredbe (EU) 2016/679. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.

2.   Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.

3.   Pri sklicevanju na ta odstavek se uporablja člen 8 Uredbe (EU) št. 182/2011 v povezavi s členom 5 navedene uredbe.

POGLAVJE X

Končne določbe

Člen 59

Razveljavitev Okvirnega sklepa 2008/977/PNZ

1.   Okvirni sklep 2008/977/PNZ se razveljavi z učinkom od 6. maja 2018.

2.   Sklicevanja na razveljavljeni sklep iz odstavka 1 se štejejo kot sklicevanja na to direktivo.

Člen 60

Veljavni pravni akti Unije

Posebne določbe o varstvu osebnih podatkov v pravnih aktih Unije, ki so začeli veljati 6. maja 2016 ali pred tem datumom na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja in med državami članicami urejajo obdelavo in dostop imenovanih organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi Pogodb v okviru te direktive, ostanejo nespremenjene.

Člen 61

Razmerje do predhodno sklenjenih mednarodnih sporazumov na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja

Mednarodni sporazumi, ki vključujejo prenos osebnih podatkov v tretje države ali mednarodne organizacije in ki so jih države članice sklenile pred 6. majem 2016 ter so v skladu s pravom Unije, ki se je uporabljal pred tem datumom, ostanejo veljavni, dokler niso spremenjeni, nadomeščeni ali razveljavljeni.

Člen 62

Poročila Komisije

1.   Komisija do 6. maja 2022 in nato vsaka štiri leta, Evropskemu parlamentu in Svetu predloži poročila o vrednotenju in pregledu te direktive. Poročila se objavijo.

2.   Komisija v okviru teh vrednotenj in pregledov iz odstavka 1 preuči zlasti uporabo in delovanje poglavja V o prenosu osebnih podatkov v tretje države ali mednarodne organizacije, s posebnim poudarkom na odločitvah, sprejetih v skladu s členom 36(3) in členom 39.

3.   Komisija lahko za namene iz odstavkov 1 in 2 zahteva informacije od držav članic in nadzornih organov.

4.   Komisija pri izvajanju vrednotenj in pregledov iz odstavkov 1 in 2 upošteva stališča in ugotovitve Evropskega parlamenta, Sveta ter drugih ustreznih organov ali virov.

5.   Komisija po potrebi predloži ustrezne predloge za spremembo te direktive, zlasti ob upoštevanju razvoja informacijske tehnologije in glede na napredek v informacijski družbi.

6.   Komisija do 6. maja 2019 pregleda druge pravne akte, ki jih je sprejela Unija in urejajo obdelavo, ki jih pristojni organi obdelujejo za namene iz člena 1(1), vključno tistih iz člena 60, da se oceni potreba po njihovi uskladitvi s to direktivo in se po potrebi oblikujejo ustrezni predlogi za spremembo teh aktov, da se zagotovi dosleden pristop k varstvu osebnih podatkov v okviru področja uporabe te direktive.

Člen 63

Prenos

1.   Države članice sprejmejo in objavijo zakone in druge predpise, potrebne za uskladitev s to direktivo do 6. maja 2018. Komisiji nemudoma sporočijo besedilo zadevnih predpisov. Zadevne predpise uporabljajo od 6. maja 2018.

Države članice se v sprejetih predpisih sklicujejo na to direktivo ali pa sklic nanjo navedejo ob njihovi uradni objavi. Način sklicevanja določijo države članice.

2.   Država članica lahko z odstopanjem od odstavka 1 določi, da se izjemoma, tj. v primeru nesorazmernega napora, avtomatizirani sistemi obdelave, vzpostavljeni pred začetkom veljavnosti te direktive, uskladijo s členom 25(1) do 6. maja 2023.

3.   Z odstopanjem od odstavkov 1 in 2 tega člena lahko država članica v izjemnih okoliščinah določen avtomatizirani sistem obdelave iz odstavka 2 tega člena uskladi s členom 25(1) v določenem obdobju po obdobju iz odstavka 2 tega člena, če bi to sicer povzročilo resne težave v delovanju tega avtomatiziranega sistema obdelave. Zadevna država članica Komisijo uradno obvesti o razlogih za te resne težave in razlogih za navedeno obdobje, v katerem bo zadevni avtomatizirani sistem obdelave uskladila s členom 25(1). Navedeno obdobje v nobenem primeru ne sme presegati 6. maja 2026.

4.   Države članice Komisiji sporočijo besedilo temeljnih predpisov nacionalne zakonodaje, sprejetih na področju, ki ga zajema ta direktiva.

Člen 64

Začetek veljavnosti

Ta direktiva začne veljati dan po objavi v Uradnem listu Evropske unije.

Člen 65

Naslovniki

Ta direktiva je naslovljena na države članice.

V Bruslju, 27. aprila 2016

Za Evropski parlament

Predsednik

M. SCHULZ

Za Svet

Predsednica

J.A. HENNIS-PLASSCHAERT


(1)  UL C 391, 18.12.2012, str. 127.

(2)  Stališče Evropskega parlamenta z dne 12. marca 2014 (še ni objavljeno v Uradnem listu) in stališče Sveta v prvi obravnavi z dne 8. aprila 2016 (še ni objavljeno v Uradnem listu). Stališče Evropskega parlamenta z dne 14. aprila 2016.

(3)  Direktiva 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995, str. 31).

(4)  Okvirni sklep Sveta 2008/977/PNZ z dne 27. novembra 2008 o varstvu osebnih podatkov, ki se obdelujejo v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah (UL L 350, 30.12.2008, str. 60).

(5)  Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (glej stran 1 tega Uradnega lista).

(6)  Uredba (ES) št. 45/2001 evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12.1.2001, str. 1).

(7)  Direktiva 2011/24/EU Evropskega parlamenta in Sveta z dne 9. marca 2011 o uveljavljanju pravic pacientov pri čezmejnem zdravstvenem varstvu (UL L 88, 4.4.2011, str. 45).

(8)  Skupno stališče Sveta 2005/69/PNZ z dne 24. januarja 2005 o izmenjavi določenih podatkov z Interpolom (UL L 27, 29.1.2005, str. 61).

(9)  Sklep Sveta 2007/533/PNZ z dne 12. junija 2007 o vzpostavitvi, delovanju in uporabi druge generacije schengenskega informacijskega sistema (SIS II) (UL L 205, 7.8.2007, str. 63).

(10)  Direktiva Sveta 77/249/EGS z dne 22. marca 1977 o učinkovitem uresničevanju svobode opravljanja storitev odvetnikov (UL L 78, 26.3.1977, str. 17).

(11)  Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011. str. 13).

(12)  Sklep Sveta 2008/615/PNZ z dne 23. junija 2008 o poglobitvi čezmejnega sodelovanja, zlasti na področju boja proti terorizmu in čezmejnemu kriminalu (UL L 210, 6.8.2008, str. 1).

(13)  Akt Sveta z dne 29. maja 2000 o ustanovitvi Konvencije o medsebojni pravni pomoči v kazenskih zadevah med državami članicami Evropske unije, v skladu s členom 34 Pogodbe o Evropski uniji (UL C 197, 12.7.2000, str. 1).

(14)  Direktiva 2011/93/EU Evropskega parlamenta in Sveta z dne 13. decembra 2011 o boju proti spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji in nadomestitvi Okvirnega sklepa Sveta 2004/68/PNZ (UL L 335, 17.12.2011. str. 1).

(15)  UL L 176, 10.7.1999, str. 36.

(16)  UL L 53, 27.2.2008, str. 52.

(17)  UL L 160, 18.6.2011, str. 21.

(18)  UL C 192, 30.6.2012, str. 7.


4.5.2016   

SL

Uradni list Evropske unije

L 119/132


DIREKTIVA (EU) 2016/681 EVROPSKEGA PARLAMENTA IN SVETA

z dne 27. aprila 2016

o uporabi podatkov iz evidence podatkov o potnikih (PNR) za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti točke (d) člena 82(1) in točke (a) člena 87(2) Pogodbe,

ob upoštevanju predloga Evropske komisije,

po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,

ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora (1),

po posvetovanju z Odborom regij,

v skladu z rednim zakonodajnim postopkom (2),

ob upoštevanju naslednjega:

(1)

Komisija je 6. novembra 2007 sprejela predlog okvirnega sklepa Sveta o uporabi evidence podatkov o potnikih (PNR) za namene kazenskega pregona. Vendar je ob začetku veljavnosti Lizbonske pogodbe 1. decembra 2009 predlog Komisije, ki ga Svet do takrat še ni sprejel, postal brezpredmeten.

(2)

„Stockholmski program – odprta in varna Evropa, ki služi državljanom in jih varuje“ (3) poziva Komisijo, naj predloži predlog za uporabo podatkov PNR za preprečevanje, odkrivanje, preiskovanje in pregon terorizma in hudih kaznivih dejanj.

(3)

Komisija je predstavila številne osrednje elemente politike Unije na tem področju v svojem sporočilu z dne 21. septembra 2010 o globalnem pristopu k prenosu podatkov PNR tretjim državam.

(4)

Direktiva Sveta 2004/82/ES (4) ureja prenos predhodnih podatkov o potnikih (API) pristojnim nacionalnim organom s strani letalskih prevoznikov za namen izboljšanja mejnih kontrol in boja proti nezakonitemu priseljevanju.

(5)

Cilji te direktive so med drugim zagotoviti varnost, zaščititi življenje in varnost oseb ter oblikovati pravni okvir za varstvo podatkov PNR pri njihovi obdelavi s strani pristojnih organov.

(6)

Učinkovita uporaba podatkov PNR, na primer s primerjanjem podatkov PNR z različnimi podatkovnimi zbirkami iskanih oseb in predmetov, je potrebna za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj ter s tem za krepitev notranje varnosti, za zbiranje dokazov ter, kadar je to potrebno, da se izsledijo osebe, ki sodelujejo s storilci kaznivih dejanj in se razkrijejo kriminalne mreže.

(7)

Ocenjevanje podatkov PNR omogoča identifikacijo oseb, ki pred takim ocenjevanjem niso bile osumljene sodelovanja pri terorističnih ali hudih kaznivih dejanjih in ki bi jih pristojni organi morali podrobneje preveriti. Z uporabo podatkov PNR je mogoče obravnavati grožnjo terorističnih in hudih kaznivih dejanj z drugega vidika kot pri obdelavi drugih vrst osebnih podatkov. Da pa bi zagotovili, da obdelava podatkov PNR ostane omejena le na to, kar je potrebno, bi morala biti oblikovanje in uporaba ocenjevalnih meril omejena na teroristična kazniva dejanja in huda kazniva dejanja, pri katerih je uporaba takšnih meril potrebna. Poleg tega bi bilo treba ocenjevalna merila opredeliti tako, da bo število nedolžnih ljudi, ki jih sistem napačno identificira, čim nižje.

(8)

Letalski prevozniki že zbirajo in obdelujejo podatke PNR svojih potnikov v lastne komercialne namene. Ta direktiva ne bi smela naložiti nobenih obveznosti letalskim prevoznikom glede zbiranja ali hrambe kakršnih koli dodatnih podatkov o potnikih, pa tudi potnikom glede zagotavljanja kakršnih koli podatkov poleg podatkov, ki jih že zagotavljajo letalskim prevoznikom.

(9)

Nekateri letalski prevozniki hranijo podatke API, ki jih zbirajo, kot del podatkov PNR, drugi pa ne. Uporaba podatkov PNR skupaj s podatki API ima dodano vrednost, saj je državam članicam v pomoč pri preverjanju identitete posameznika, s čimer se povečuje vrednost tega rezultata za namen preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ter zmanjšuje tveganje, da se preverjajo in preiskujejo nedolžni ljudje. Zato je pomembno zagotoviti, da letalski prevozniki, kadar zbirajo podatke API, te posredujejo, ne glede na to, ali podatke API hranijo z drugačnimi tehničnimi sredstvi kot ostale podatke PNR.

(10)

Za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih in hudih kaznivih dejanj je bistveno, da vse države članice določijo predpise, v skladu s katerimi morajo letalski prevozniki, ki opravljajo lete zunaj EU, posredovati zbrane podatke PNR, vključno s podatki API. Države članice bi tudi morale imeti možnost, da to obveznost razširijo na letalske prevoznike, ki opravljajo lete znotraj EU. Ti predpisi ne bi smeli posegati v Direktivo 2004/82/ES.

(11)

Obdelava osebnih podatkov bi morala biti sorazmerna s posebnimi varnostnimi cilji iz te direktive.

(12)

Opredelitev terorističnih kaznivih dejanj, ki se uporablja v tej direktivi, bi morala biti enaka kot v Okvirnem sklepu Sveta 2002/475/PNZ (5). Opredelitev hudih kaznivih dejanj bi morala zajemati vrste kaznivih dejanj iz Priloge II k tej direktivi.

(13)

Podatke PNR bi bilo treba posredovati eni sami določeni enoti za informacije o potnikih v zadevni državi članici, da se zagotovi preglednost in zmanjšajo stroški letalskih prevoznikov. Enota za informacije o potnikih ima lahko v eni državi članici različne izpostave, države članice pa lahko tudi skupaj ustanovijo eno samo enoto za informacije o potnikih. Države članice bi si morale informacije izmenjevati prek ustreznih mrež za izmenjavo informacij, da bi olajšali njihovo izmenjavo in zagotovili interoperabilnost.

(14)

Stroške uporabe, hrambe in izmenjave podatkov PNR bi morale kriti države članice.

(15)

Seznam podatkov PNR, ki naj bi jih pridobila enota za informacije o potnikih, bi bilo treba oblikovati tako, da bi se upoštevale upravičene zahteve javnih organov za preprečevanje, odkrivanje, preiskovanje in pregon terorističnih ali hudih kaznivih dejanj, s čimer bi se izboljšala notranja varnost v Uniji in zaščitile temeljne pravice, zlasti pravica do zasebnosti in varstva osebnih podatkov. V ta namen bi se morali uporabljati visoki standardi v skladu z Listino Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina), Konvencijo o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (v nadaljnjem besedilu: Konvencija št. 108) ter Evropsko konvencijo o varstvu človekovih pravic in temeljnih svoboščin (EKČP). Tak seznam ne bi smel biti oblikovan na podlagi rase ali etničnega porekla osebe, njene vere ali prepričanja, političnega ali drugega mnenja, članstva v sindikatu, zdravstvenega stanja, spolnega življenja ali spolne usmerjenosti. Podatki PNR bi morali vsebovati zgolj podrobnosti o rezervacijah in načrtih potovanja potnikov, ki pristojnim organom omogočajo identifikacijo letalskih potnikov, ki predstavljajo grožnjo notranji varnosti.

(16)

Trenutno sta na voljo dve možni metodi prenosa podatkov: metoda „pull“, v skladu s katero lahko pristojni organi države članice, ki potrebujejo podatke PNR, dostopajo do sistema rezervacij letalskega prevoznika in izvlečejo („pull“) kopijo podatkov PNR, ki jih potrebujejo, ter metoda „push“, v skladu s katero letalski prevozniki posredujejo („push“) podatke PNR, ki jih potrebujejo, organu, ki za podatke zaprosi, in lahko tako sami ohranijo nadzor nad tem, katere podatke zagotavljajo. Šteje se, da metoda „push“ zagotavlja višjo raven varstva podatkov, in bi morala biti obvezna za vse letalske prevoznike.

(17)

Komisija podpira smernice Mednarodne organizacije za civilno letalstvo (ICAO) o podatkih PNR. Te smernice bi zato morale biti podlaga za sprejetje sistemsko podprtih oblik zapisa podatkov, ki jih bodo letalski prevozniki uporabljali za prenos podatkov PNR državam članicam. Za zagotovitev enotnih pogojev izvajanja sistemsko podprtih oblik zapisa podatkov in ustreznih protokolov, ki jih bodo uporabljali letalski prevozniki za prenos podatkov, bi bilo treba na Komisijo prenesti izvedbena pooblastila. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (6).

(18)

Države članice bi morale sprejeti vse potrebne ukrepe, da letalskim prevoznikom omogočijo izpolnitev njihovih obveznosti iz te direktive. Države članice bi morale predpisati učinkovite,sorazmerne in odvračilne kazni, vključno z denarnimi, za tiste letalske prevoznike, ki ne izpolnjujejo svojih obveznosti v zvezi s prenosom podatkov PNR.

(19)

Vsaka država članica bi morala biti odgovorna za ocenjevanje morebitnih groženj v zvezi s terorističnimi in hudimi kaznivimi dejanji.

(20)

Ob doslednem spoštovanju pravice do varstva osebnih podatkov in pravice do nediskriminacije ne bi smela biti nobena odločitev, ki bi imela za osebo negativne pravne posledice ali bi nanjo znatneje vplivala, sprejeta le na podlagi avtomatizirane obdelave podatkov PNR. Poleg tega v skladu s členoma 8 in 21 Listine nobena takšna odločitev ne bi smela predstavljati diskriminacije na kakršni koli podlagi, kot je denimo spol, rasa, barva kože, etnično ali socialno poreklo, genetske značilnosti, jezik, vera ali prepričanje, politično ali drugo mnenje, pripadnost narodnostni manjšini, premoženje, rojstvo, invalidnost, starost ali spolna usmerjenost. Komisija bi morala upoštevati ta načela tudi ob izvedbi pregleda uporabe te direktive.

(21)

Države članice rezultatov obdelave podatkov PNR v nobenem primeru ne bi smele uporabiti za izogibanje svojim mednarodnim obveznostim v skladu s Konvencijo z dne 28. julija 1951 o statusu beguncev, kakor je bila spremenjena s Protokolom z dne 31. januarja 1967, niti za to, da se prosilcem za azil odreče varna in učinkovita možnost zakonitega vstopa na ozemlje Unije, da bi uveljavljali pravico do mednarodne zaščite.

(22)

Pri uporabi te direktive bi bilo treba zagotoviti popolno spoštovanje temeljnih pravic, pravice do zasebnosti in načela sorazmernosti, ob doslednem spoštovanju načel iz nedavne sodne prakse Sodišča Evropske unije s tega področja. Poleg tega bi bilo treba dejansko izpolnjevati cilje nujnosti in sorazmernosti za uresničitev splošnih interesov, ki jih priznava Unija, in potrebe po varovanju pravic in svoboščin drugih v boju proti terorističnim in hudim kaznivim dejanjem. Uporaba te direktive bi morala biti ustrezno utemeljena in vzpostavljeni bi morali biti potrebni zaščitni ukrepi, da se zagotovi zakonitost vsakršne hrambe, analize, prenosa ali uporabe podatkov PNR.

(23)

Države članice bi morale izmenjevati podatke PNR, ki jih prejmejo, med seboj in z Europolom, kadar menijo, da je to potrebno za preprečevanje, odkrivanje, preiskovanje ali pregon terorističnih ali hudih kaznivih dejanj. Enote za informacije o potnikih bi morale rezultate obdelave podatkov PNR, kadar je to ustrezno, brez odlašanja posredovati enotam za informacije o potnikih drugih držav članic v nadaljnje preiskovanje. Določbe te direktive ne bi smele posegati v druge instrumente Unije o izmenjavi informacij med policijo in pravosodnimi organi, med drugim tudi ne v Sklep Sveta 2009/371/PNZ (7) in Okvirni sklep Sveta 2006/960/PNZ (8). Takšno izmenjavo podatkov PNR med policijo in drugimi organi preprečevanja, odkrivanja in preiskovanja kaznivih dejanj ter pravosodnimi organi bi morala urejati pravila o policijskem in pravosodnem sodelovanju, obenem pa takšna izmenjava ne bi smela ogrožati visoke ravni varstva zasebnosti in osebnih podatkov, ki jo zahtevajo Listina, Konvencija št. 108 in EKČP.

(24)

Varno izmenjavo informacij v zvezi s podatki PNR med državami članicami bi bilo treba zagotoviti prek katerega koli obstoječega kanala za sodelovanje med pristojnimi organi držav članic in zlasti z Europolom preko orodja Europola za izmenjavo informacij prek varnih povezav (v nadaljnjem besedilu: orodje SIENA).

(25)

Obdobje hrambe podatkov PNR bi moralo biti tako dolgo, kot je to potrebno za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih in hudih kaznivih dejanj ter sorazmerno s temi nameni. Zaradi narave zadevnih podatkov in njihove uporabe je treba podatke PNR hraniti dovolj dolgo za izvedbo analiz in uporabo v preiskavah. Da bi se izognili nesorazmerni uporabi, bi bilo treba podatke PNR po začetnem obdobju hrambe depersonalizirati z zakrivanjem podatkovnih elementov. Za zagotovitev najvišje ravni varstva podatkov bi moral biti dostop do popolnih podatkov PNR, ki omogočajo neposredno identifikacijo posameznika, na katerega se podatki nanašajo, odobren le pod zelo strogimi in omejenimi pogoji po tem začetnem obdobju.

(26)

Kadar so bili določeni podatki PNR posredovani pristojnemu organu in se uporabljajo v okviru določenih kazenskih preiskav ali pregona, bi moralo hrambo takšnih podatkov pri pristojnem organu urejati nacionalno pravo, ne glede na obdobja hrambe podatkov, določena v tej direktivi.

(27)

V vsaki državi članici bi morala za obdelavo podatkov PNR, ki jo izvajajo enote za informacije o potnikih in pristojni organi, veljati raven varstva osebnih podatkov v skladu z nacionalnim pravom, ki je skladna z Okvirnim sklepom Sveta 2008/977/PNZ (9), in posebne zahteve glede varstva podatkov iz te direktive. Sklicevanja na Okvirni sklep 2008/977/PNZ bi bilo treba razumeti kot sklicevanja na trenutno veljavno zakonodajo kot tudi na zakonodajo, ki jo bo nadomestila.

(28)

Ob upoštevanju pravice do varstva osebnih podatkov bi morale biti pravice posameznikov, na katere se podatki nanašajo, glede obdelave njihovih podatkov PNR, kot so pravice do dostopa, popravka, izbrisa in omejitve, ter pravici do nadomestila škode in sodnega varstva, skladne tako z Okvirnim sklepom 2008/977/PNZ kot z visoko ravnjo varstva, ki jo zagotavljata Listina in EKČP.

(29)

Ob upoštevanju pravice potnikov do obveščenosti o obdelavi njihovih osebnih podatkov bi morale države članice potnikom zagotoviti točne, lahko dostopne in lahko razumljive informacije o zbiranju podatkov PNR, njihovem prenosu enoti za informacije o potnikih in o pravicah, ki jih imajo kot posamezniki, na katere se podatki nanašajo.

(30)

Ta direktiva ne posega v pravo Unije in nacionalno pravo glede načela dostopa javnosti do uradnih dokumentov.

(31)

Države članice bi smele podatke PNR posredovati tretjim državam le za vsak primer posebej in ob doslednem spoštovanju predpisov, ki jih države članice določijo v skladu z Okvirnim sklepom 2008/977/PNZ. Za zagotovitev varstva osebnih podatkov bi bilo treba pri takšnih prenosih spoštovati dodatne zahteve v zvezi z namenom prenosa. Pri takšnih prenosih bi bilo treba spoštovati tudi načeli nujnosti in sorazmernosti, pa tudi visoko raven varstva, ki jo zagotavljata Listina in EKČP.

(32)

Nacionalni nadzorni organ, ki je bil ustanovljen za izvajanje Okvirnega sklepa 2008/977/PNZ, bi moral biti pristojen tudi za svetovanje glede uporabe predpisov, ki jih države članice sprejmejo v skladu s to direktivo, ter za spremljanje takšne uporabe.

(33)

Ta direktiva ne vpliva na možnost držav članic, da v nacionalnem pravu vzpostavijo sistem zbiranja in obdelave podatkov PNR, ki jih prejmejo od gospodarskih subjektov, ki niso prevozniki, kot so potovalne agencije in organizatorji potovanj, ki nudijo s potovanji povezane storitve – vključno z rezervacijami letov –, za katere zbirajo in obdelujejo podatke PNR, ali od ponudnikov prevoza, ki niso navedeni v tej direktivi, če je takšno nacionalno pravo skladno s pravom Unije.

(34)

Ta direktiva ne posega v veljavna pravila Unije o načinu izvajanja mejnih kontrol ali v pravila Unije o vstopu na ozemlje Unije in izstopu s tega ozemlja.

(35)

Zaradi pravnih in tehničnih razlik med nacionalnimi predpisi glede obdelave osebnih podatkov, vključno s podatki PNR, se letalski prevozniki srečujejo in se bodo srečevali z različnimi zahtevami glede vrste informacij, ki jih je treba posredovati, in pogojev, pod katerimi jih je treba zagotoviti pristojnim nacionalnim organom. Te razlike lahko škodijo učinkovitemu sodelovanju med pristojnimi nacionalnimi organi za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih in hudih kaznivih dejanj. Zato je na ravni Unije potrebno vzpostaviti skupni pravni okvir za prenos in obdelavo podatkov PNR.

(36)

Ta direktiva spoštuje temeljne pravice in načela Listine, zlasti pravico do varstva osebnih podatkov, pravico do zasebnosti in pravico do nediskriminacije, kakor jih zagotavljajo členi 8, 7 in 21 Listine; zato bi jo bilo treba izvajati temu ustrezno. Ta direktiva je združljiva z načeli varstva podatkov, njene določbe pa so skladne z Okvirnim sklepom 2008/977/PNZ. V tej direktivi so poleg tega zaradi upoštevanja načela sorazmernosti v zvezi z nekaterimi vprašanji določena strožja pravila o varstvu podatkov kot v Okvirnem sklepu 2008/977/PNZ.

(37)

Področje uporabe te direktive je kar najbolj omejeno, saj: omogoča hrambo podatkov PNR v enotah za informacije o potnikih za obdobje največ pet let, po preteku katerega bi bilo treba podatke izbrisati; omogoča depersonalizacijo podatkov z zakrivanjem podatkovnih elementov po začetnem obdobju šestih mesecev; in prepoveduje zbiranje in uporabo občutljivih podatkov. Za zagotovitev učinkovitosti in visoke ravni varstva podatkov morajo države članice zagotoviti, da je za svetovanje glede načina obdelave podatkov PNR in za spremljanje tega načina pristojen neodvisen nacionalni nadzorni organ, zlasti pa pooblaščena oseba za varstvo podatkov. Zabeležiti ali dokumentirati bi bilo treba vsako obdelavo podatkov PNR za namene preverjanja njene zakonitosti, notranjega spremljanja in zagotavljanja celovitosti podatkov ter njihove varne obdelave. Države članice bi morale tudi zagotoviti, da so potniki jasno in natančno obveščeni o zbiranju podatkov PNR in svojih pravicah.

(38)

Ker ciljev te direktive, in sicer prenosa podatkov PNR s strani letalskih prevoznikov in njihove obdelave za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih in hudih kaznivih dejanj, države članice ne morejo zadovoljivo doseči, temveč se lažje dosežejo na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta direktiva ne presega tistega, kar je potrebno za doseganje navedenih ciljev.

(39)

V skladu s členom 3 Protokola št. 21 o stališču Združenega kraljestva in Irske glede območja svobode, varnosti in pravice, ki je priložen Pogodbi o Evropski uniji in Pogodbi o delovanju Evropske unije, sta obe državi članici podali uradno obvestilo, da želita sodelovati pri sprejetju in uporabi te direktive.

(40)

V skladu s členoma 1 in 2 Protokola št. 22 o stališču Danske, ki je priložen Pogodbi o Evropski uniji in Pogodbi o delovanju Evropske unije, Danska ne sodeluje pri sprejetju te direktive, ki zato zanjo ni zavezujoča in se v njej ne uporablja.

(41)

Opravljeno je bilo posvetovanje z Evropskim nadzornikom za varstvo podatkov v skladu s členom 28(2) Uredbe (ES) št. 45/2001 Evropskega parlamenta in Sveta (10), ki je podal mnenje 25. marca 2011 –

SPREJELA NASLEDNJO DIREKTIVO:

POGLAVJE I

Splošne določbe

Člen 1

Predmet urejanja in področje uporabe

1.   Ta direktiva ureja:

(a)

prenos podatkov iz evidence podatkov o potnikih (PNR) s strani letalskih prevoznikov na letih zunaj EU;

(b)

obdelavo podatkov iz točke (a), vključno z njihovim zbiranjem, uporabo in hrambo s strani držav članic ter njihovo izmenjavo med državami članicami.

2.   Podatki PNR, zbrani v skladu s to direktivo, se lahko obdelujejo le za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih in hudih kaznivih dejanj iz točk (a), (b) in (c) člena 6(2).

Člen 2

Uporaba te direktive za lete znotraj EU

1.   Če se država članica odloči uporabljati to direktivo za lete znotraj EU, uradno pisno obvesti Komisijo. Država članica lahko tako uradno obvestilo poda ali prekliče kadar koli. Komisija objavi to uradno obvestilo in njegov morebiten preklic v Uradnem listu Evropske unije.

2.   Kadar je podano uradno obvestilo iz odstavka 1, se uporabljajo vse določbe te direktive za lete znotraj EU, kot da bi bili leti zunaj EU, in za podatke PNR o letih znotraj EU, kot da bi bili podatki PNR o letih zunaj EU.

3.   Država članica se lahko odloči, da bo to direktivo uporabljala le za izbrane lete znotraj EU. Država članica pri taki odločitvi izbere lete, za katere meni, da so potrebni za uresničevanje ciljev te direktive. Država članica se lahko kadar koli odloči za spremembo izbire letov znotraj EU.

Člen 3

Opredelitev pojmov

V tej direktivi se uporabljajo naslednje opredelitve pojmov:

(1)

„letalski prevoznik“ pomeni podjetje za zračni prevoz z veljavno operativno licenco ali enakovrednim dovoljenjem, ki mu omogoča opravljanje zračnega prevoza potnikov;

(2)

„let zunaj EU“ pomeni vsak redni ali posebni let letalskega prevoznika z odhodom v tretji državi in načrtovanim prihodom na ozemlju države članice ali z odhodom na ozemlju države članice in načrtovanim prihodom v tretji državi, pri čemer so v obeh primerih vključeni tudi leti z vsemi morebitnimi postanki na ozemlju držav članic ali tretjih držav;

(3)

„let znotraj EU“ pomeni vsak redni ali posebni let letalskega prevoznika z odhodom na ozemlju države članice in načrtovanim prihodom na ozemlju ene ali več držav članic, brez postankov na ozemlju tretje države;

(4)

„potnik“ pomeni vsako osebo – tudi potnike v tranzitu in potnike, ki prestopajo, vendar ne članov posadke –, ki se prevaža ali se bo prevažala na letalu s privolitvijo letalskega prevoznika, pri čemer se takšno soglasje izrazi z registracijo te osebe na seznamu potnikov;

(5)

„evidenca podatkov o potnikih“ ali „PNR“ pomeni zapis zahtevanih podatkov o potovanju vsakega potnika, ki vsebuje potrebne informacije, da lahko letalski prevozniki, ki zagotavljajo rezervacije, in udeleženi letalski prevozniki obdelujejo in nadzorujejo rezervacije za vsako potovanje, ki ga rezervira posamezna oseba ali se rezervira v njenem imenu, ne glede na to, ali je sestavni del sistema rezervacij, sistema za nadzor odhodov, ki se uporablja za prijavo potnikov na let, ali enakovrednih sistemov, ki zagotavljajo enake funkcije;

(6)

„sistem rezervacij“ pomeni notranji sistem letalskega prevoznika, v katerem se zbirajo podatki PNR za obdelavo rezervacij;

(7)

„metoda ‚push‘“ pomeni metodo, v skladu s katero letalski prevozniki posredujejo podatke PNR iz Priloge I v podatkovno zbirko organa, ki za podatke zaprosi;

(8)

„teroristično kaznivo dejanje“ pomeni kaznivo dejanje po nacionalnem pravu iz členov 1 do 4 Okvirnega sklepa 2002/475/PNZ;

(9)

„hudo kaznivo dejanje“ pomeni kazniva dejanja iz Priloge II, ki se po nacionalnem pravu države članice kaznujejo z zaporno kaznijo oziroma ukrepom odvzema prostosti z najvišjo zagroženo kaznijo najmanj treh let;

(10)

„depersonalizirati z zakrivanjem podatkovnih elementov“ pomeni, da se te podatkovne elemente, na podlagi katerih bi bilo mogoče neposredno identificirati posameznika, na katerega se podatki nanašajo, zakrije tako, da za uporabnika postanejo nevidni.

POGLAVJE II

Pristojnosti držav članic

Člen 4

Enota za informacije o potnikih

1.   Vsaka država članica ustanovi ali imenuje organ, pristojen za preprečevanje, odkrivanje, preiskovanje ali pregon terorističnih in hudih kaznivih dejanj ali organizacijsko enoto takšnega organa, da deluje kot njena enota za informacije o potnikih.

2.   Enota za informacije o potnikih je pristojna za:

(a)

zbiranje podatkov PNR od letalskih prevoznikov, njihovo hrambo in obdelavo in za posredovanje teh podatkov ali rezultatov njihove obdelave pristojnim organom iz člena 7;

(b)

izmenjavo tako podatkov PNR kot rezultatov njihove obdelave z enotami za informacije o potnikih drugih držav članic in Europolom v skladu s členoma 9 in 10.

3.   Člani osebja enote za informacije o potnikih so lahko napoteni iz pristojnih organov. Države članice enotam za informacije o potnikih zagotovijo ustrezna sredstva za opravljanje njihovih nalog.

4.   Dve državi članici ali več držav članic (v nadaljnjem besedilu: sodelujoče države članice) lahko skupaj ustanovijo ali imenujejo en sam organ, da deluje kot njihova enota za informacije o potnikih. Takšna enota za informacije o potnikih se ustanovi v eni od sodelujočih držav članic in šteje za nacionalno enoto za informacije o potnikih vseh sodelujočih držav članic. Sodelujoče države članice se skupaj sporazumejo o podrobnih pravilih za delovanje enote za informacije o potnikih in upoštevajo zahteve iz te direktive.

5.   V enem mesecu od ustanovitve svoje enote za informacije o potnikih vsaka država članica o tem uradno obvesti Komisijo in lahko svoje uradno obvestilo kadar koli spremeni. Komisija objavi uradno obvestilo in njegove morebitne spremembe v Uradnem listu Evropske unije.

Člen 5

Pooblaščena oseba za varstvo podatkov pri enoti za informacije o potnikih

1.   Enota za informacije o potnikih imenuje pooblaščeno osebo za varstvo podatkov, ki je pristojna za spremljanje obdelave podatkov PNR in izvajanje ustreznih zaščitnih ukrepov.

2.   Države članice pooblaščeni osebi za varstvo podatkov zagotovijo sredstva za učinkovito in neodvisno opravljanje svojih dolžnosti in nalog v skladu s tem členom.

3.   Države članice posamezniku, na katerega se podatki nanašajo, zagotovijo pravico, da stopi v stik s pooblaščeno osebo za varstvo podatkov kot enotno kontaktno točko glede vseh vprašanj, povezanih z obdelavo njegovih podatkov PNR.

Člen 6

Obdelava podatkov PNR

1.   Podatke PNR, ki jih posredujejo letalski prevozniki, zbira enota za informacije o potnikih zadevne države članice, kot je določeno v členu 8. Kadar podatki PNR, ki jih posredujejo letalski prevozniki, vključujejo podatke, ki niso navedeni v Prilogi I, enota za informacije o potnikih takšne podatke ob prejemu izbriše takoj in trajno.

2.   Enota za informacije o potnikih obdeluje podatke PNR samo za naslednje namene:

(a)

za ocenjevanje potnikov pred njihovim načrtovanim prihodom v državo članico ali odhodom iz nje, da bi identificirala osebe, ki jih morajo pristojni organi iz člena 7 in, kadar je ustrezno, Europol v skladu s členom 10 podrobneje preveriti glede na dejstvo, da bi lahko sodelovale pri terorističnem ali hudem kaznivem dejanju;

(b)

za odzivanje, za vsak primer posebej, na ustrezno obrazloženo zaprosilo, ki ga pristojni organi predložijo na zadostni podlagi za zagotavljanje in obdelavo podatkov PNR v konkretnih primerih za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih ali hudih kaznivih dejanj ter za zagotavljanje rezultatov takšne obdelave pristojnim organom ali, kadar je ustrezno, Europolu, ter

(c)

za analiziranje podatkov PNR za namene posodabljanja ali oblikovanja novih meril za izvajanje ocenjevanj iz točke (b) odstavka 3, da bi identificirali osebe, ki bi lahko sodelovale pri terorističnem ali hudem kaznivem dejanju.

3.   Pri izvajanju ocenjevanja iz točke (a) odstavka 2, lahko enota za informacije o potnikih:

(a)

primerja podatke PNR s podatkovnimi zbirkami, ki so pomembne za namene preprečevanja, odkrivanja, preiskovanja in pregona terorističnih in hudih kaznivih dejanj, vključno s podatkovnimi zbirkami o osebah ali predmetih, ki so iskani ali so zanje razpisani ukrepi, v skladu s pravili Unije ter mednarodnimi in nacionalnimi pravili, ki veljajo za takšne podatkovne zbirke, ali

(b)

obdeluje podatke PNR glede na vnaprej določena merila.

4.   Ocenjevanje potnikov pred njihovim načrtovanim prihodom v državo članico ali odhodom iz države članice v skladu s točko (b) odstavka 3 glede na vnaprej določena merila se izvaja na nediskriminatoren način. Ta vnaprej določena merila morajo biti ciljna, sorazmerna in specifična. Države članice zagotovijo, da enote za informacije o potnikih v sodelovanju s pristojnimi organi iz člena 7 določijo in redno pregleduje ta merila. Ta merila ne smejo v nobenem primeru temeljiti na podlagi rase ali etničnega porekla osebe, njenih političnih mnenj, vere ali filozofskega prepričanja, članstva v sindikatu, zdravstvenega stanja, spolnega življenja ali spolne usmerjenosti.

5.   Države članice zagotovijo, da se kakršen koli zadetek, ki je rezultat avtomatizirane obdelave podatkov PNR, izvedene v skladu s točko (a) odstavka 2, posamično pregleda z neavtomatiziranimi sredstvi, da se preveri, ali mora pristojni organ iz člena 7 ukrepati v skladu z nacionalnim pravom.

6.   Enota države članice za informacije o potnikih posreduje podatke PNR oseb, identificiranih v skladu s točko (a) odstavka 2, ali rezultate obdelave teh podatkov v podrobnejšo preučitev pristojnim organom iz člena 7 iste države članice. Takšen prenos se lahko izvede le za vsak primer posebej, v primeru avtomatizirane obdelave podatkov PNR pa po posamičnem pregledu z neavtomatiziranimi sredstvi.

7.   Države članice zagotovijo, da ima pooblaščena oseba za varstvo podatkov dostop do vseh podatkov, ki jih obdeluje enota za informacije o potnikih. Če pooblaščena oseba za varstvo podatkov meni, da obdelava kakršnih koli podatkov ni bila zakonita, lahko zadevo predloži nacionalnemu nadzornemu organu.

8.   Enota za informacije o potnikih hrani, obdeluje in analizira podatke PNR izključno na varni lokaciji ali lokacijah na ozemlju držav članic.

9.   Posledice ocenjevanj potnikov iz točke (a) odstavka 2 tega člena ne ogrožajo pravice do vstopa oseb, ki uživajo pravico Unije do prostega gibanja, na ozemlje zadevne države članice, kot je določeno v Direktivi 2004/38/ES Evropskega parlamenta in Sveta (11). Poleg tega so posledice takšnih ocenjevanj, kadar so izvedena v zvezi z leti znotraj EU med državami članicami, za katere se uporablja Uredba (ES) št. 562/2006 Evropskega parlamenta in Sveta (12), skladne z navedeno uredbo.

Člen 7

Pristojni organi

1.   Vsaka država članica sprejme seznam pristojnih organov, ki so za namene preprečevanja, odkrivanja, preiskovanja ter pregona terorističnih ali hudih kaznivih dejanj upravičeni, da enoto za informacije o potnikih zaprosijo za podatke PNR ali rezultate obdelave teh podatkov – ali da jih prejmejo –, da bi te informacije nadalje podrobno preučili oziroma sprejeli ustrezne ukrepe.

2.   Organi iz odstavka 1 so organi, ki so pristojni za preprečevanje, odkrivanje, preiskovanje ali pregon terorističnih ali hudih kaznivih dejanj.

3.   Za namene člena 9(3) vsaka država članica Komisijo uradno obvesti o seznamu svojih pristojnih organov do 25. maja 2017 in lahko to uradno obvestilo kadar koli spremeni. Komisija objavi uradno obvestilo in njegove morebitne spremembe v Uradnem listu Evropske unije.

4.   Pristojni organi držav članic lahko podatke PNR in rezultate obdelave teh podatkov, ki jih prejmejo od enote za informacije o potnikih, nadalje obdelujejo samo za specifične namene preprečevanja, odkrivanja, preiskovanja ali pregona terorističnih ali hudih kaznivih dejanj.

5.   Odstavek 4 ne posega v pristojnosti nacionalnih organov preprečevanja, odkrivanja in preiskovanja kaznivih dejanj oziroma pravosodnih organov, kadar se v predkazenskem ali kazenskem postopku na podlagi navedene obdelave odkrijejo druga kazniva dejanja ali indici v zvezi z njimi.

6.   Pristojni organi izključno na podlagi avtomatizirane obdelave podatkov PNR ne sprejmejo nobene odločitve, ki bi imela za osebo negativne pravne posledice ali bi nanjo znatneje vplivala. Takšne odločitve se ne sprejmejo na podlagi rase ali etničnega porekla osebe, njenih političnih mnenj, vere ali filozofskega prepričanja, članstva v sindikatu, zdravstvenega stanja, spolnega življenja ali spolne usmerjenosti.

Člen 8

Obveznosti letalskih prevoznikov glede prenosa podatkov

1.   Države članice sprejmejo potrebne ukrepe, da zagotovijo, da letalski prevozniki podatke PNR, navedene v Prilogi I – kolikor so jih že zbrali med običajnim poslovanjem –, z metodo „push“ posredujejo v podatkovno zbirko enote za informacije o potnikih države članice, na ozemlju katere je prihod ali odhod leta. Pri letih pod skupno oznako enega ali več letalskih prevoznikov je za prenos podatkov PNR o vseh potnikih na tem letu odgovoren letalski prevoznik, ki izvaja let. Kadar je na letu zunaj EU predviden eden ali več postankov na letališčih držav članic, letalski prevozniki posredujejo podatke PNR o vseh potnikih enotam za informacije o potnikih vseh zadevnih držav članic. To velja tudi tedaj, ko ima let znotraj EU enega ali več postankov na letališčih različnih držav članic, vendar le za tiste države članice, ki zbirajo podatke PNR o letih znotraj EU.

2.   Če letalski prevozniki zberejo predhodne informacije o potnikih (API) iz točke 18 Priloge I, vendar teh informacij ne hranijo z enakimi tehničnimi sredstvi kot druge podatke PNR, države članice z ustreznimi ukrepi zagotovijo, da letalski prevozniki tudi te informacije z metodo „push“ posredujejo enoti za informacije o potnikih držav članic iz odstavka 1. V primeru takšnega prenosa se tudi za zadevne podatke API uporabljajo vse določbe te direktive.

3.   Letalski prevozniki podatke PNR prenesejo z elektronskimi sredstvi z uporabo skupnih protokolov in sistemsko podprtih oblik zapisa podatkov, ki se sprejmejo v skladu s postopkom pregleda iz člena 17(2), v primeru tehnične okvare pa na kakršen koli drug ustrezen način, ki zagotavlja ustrezno raven varnosti podatkov:

(a)

24 do 48 ur pred načrtovanim časom odhoda leta in

(b)

nemudoma po zaprtju leta, to je takrat, ko so potniki že vkrcani na letalo v pripravi na odhod in se ne morejo več vkrcati ali izkrcati.

4.   Države članice letalskim prevoznikom dovolijo, da prenos iz točke (b) odstavka 3 omejijo na podatke, ki so bili v primerjavi s prenosi iz točke (a) navedenega odstavka spremenjeni.

5.   Kadar je dostop do podatkov PNR potreben zaradi odziva na konkretno in dejansko grožnjo v zvezi s terorističnimi ali hudimi kaznivimi dejanji, letalski prevozniki za vsak primer posebej na zaprosilo enote za informacije o potnikih, ki je predloženo v skladu z nacionalnim pravom, posredujejo podatke PNR tudi ob drugem času in ne le ob tistih iz odstavka 3.

Člen 9

Izmenjava informacij med državami članicami

1.   Države članice zagotovijo, da enota za informacije o potnikih v zvezi z osebami, ki jih identificira v skladu s členom 6(2), posreduje vse ustrezne in potrebne podatke PNR ali rezultate njihove obdelave ustreznim enotam drugih držav članic. Enote za informacije o potnikih držav članic prejemnic v skladu s členom 6(6) posredujejo prejete informacije svojim pristojnim organom.

2.   Enota za informacije o potnikih države članice ima pravico, da po potrebi zaprosi enoto za informacije o potnikih katere koli druge države članice, da ji posreduje podatke PNR, ki jih ima slednja v svoji podatkovni zbirki in ki še niso bili depersonalizirani z zakrivanjem podatkovnih elementov na podlagi člena 12(2), in po potrebi tudi za rezultate vsake obdelave teh podatkov, če je že bila opravljena na podlagi točke (a) člena 6(2). Tako zaprosilo se ustrezno obrazloži. Temelji lahko na katerem koli podatkovnem elementu ali kombinaciji takšnih elementov, kakor enota za informacije o potnikih, ki za podatke zaprosi, oceni, da je potrebno za konkreten primer preprečevanja, odkrivanja, preiskovanja ali pregona terorističnih ali hudih kaznivih dejanj. Enote za informacije o potnikih informacije, za katere so bile zaprošene, posredujejo takoj, ko je to izvedljivo. Če so bili zaprošeni podatki depersonalizirani z zakrivanjem podatkovnih elementov v skladu s členom 12(2), enota za informacije o potnikih posreduje popolne podatke PNR le, kadar se utemeljeno domneva, da so potrebni za namene iz točke (b) člena 6(2), in le, ko to dovoli organ iz točke (b) člena 12(3).

3.   Pristojni organi države članice lahko enoto za informacije o potnikih katere koli druge države članice neposredno zaprosijo, da jim posreduje podatke PNR, ki jih hrani v svoji podatkovni zbirki le, kadar je to potrebno v nujnih primerih in pod pogoji iz odstavka 2. Zaprosila pristojnih organov se obrazložijo. Kopija zaprosila se vselej pošlje enoti za informacije o potnikih države članice, ki za podatke zaprosi. V vseh drugih primerih pristojni organi svoja zaprosila pošljejo preko enote za informacije o potnikih svoje države članice.

4.   Izjemoma, kadar je dostop do podatkov PNR potreben zaradi odziva na konkretno in dejansko grožnjo v zvezi s terorističnimi ali hudimi kaznivimi dejanji, ima enota za informacije o potnikih države članice pravico, da enoto za informacije o potnikih druge države članice zaprosi, naj pridobi podatke PNR v skladu s členom 8(5) in jih zagotovi enoti za informacije o potnikih, ki za podatke zaprosi.

5.   Za izmenjavo informacij v skladu s tem členom se lahko uporabi kateri koli obstoječ kanal za sodelovanje med pristojnimi organi držav članic. Jezik, v katerem se sestavi zaprosilo in se izmenjujejo informacije, je jezik, ki se uporablja za zadevni kanal. Države članice pri uradnem obveščanju v skladu s členom 4(5) Komisiji sporočijo tudi podrobnosti o kontaktnih točkah, ki jim je mogoče poslati zaprosila v nujnih primerih. Komisija te podrobnosti sporoči državam članicam.

Člen 10

Pogoji za dostop Europola do podatkov PNR

1.   Europol lahko v okviru svojih pristojnosti in za izvajanje svojih nalog zaprosi enote za informacije o potnikih držav članic za podatke PNR ali rezultate obdelave teh podatkov.

2.   Europol lahko za vsak primer posebej preko nacionalne enote Europola enoti za informacije o potnikih katere koli države članice predloži ustrezno obrazloženo elektronsko zaprosilo za posredovanje konkretnih podatkov PNR ali rezultatov obdelave teh podatkov. Europol lahko predloži tako zaprosilo, ko je to nujno potrebno za podporo in krepitev ukrepov držav članic pri preprečevanju, odkrivanju ali preiskovanju konkretnega terorističnega ali hudega kaznivega dejanja, kolikor je v skladu s Sklepom 2009/371/PNZ to kaznivo dejanje v pristojnosti Europola. V tem zaprosilu se opredelijo utemeljeni razlogi, na podlagi katerih Europol meni, da bi prenos podatkov PNR ali rezultatov obdelave teh podatkov občutno prispeval k preprečevanju, odkrivanju ali preiskovanju zadevnega kaznivega dejanja.

3.   Europol o vsaki izmenjavi informacij na podlagi tega člena obvesti pooblaščenca za varstvo podatkov, imenovanega v skladu s členom 28 Sklepa 2009/371/PNZ.

4.   Izmenjava informacij na podlagi tega člena poteka preko orodja SIENA in v skladu s Sklepom 2009/371/PNZ. Jezik, v katerem se sestavi zaprosilo in se izmenjujejo informacije, je jezik, ki se uporablja za orodje SIENA.

Člen 11

Prenos podatkov tretjim državam

1.   Država članica lahko posreduje podatke PNR in rezultate obdelave takšnih podatkov, ki jih hrani enota za informacije o potnikih v skladu s členom 12, tretji državi le za vsak primer posebej in če:

(a)

so izpolnjeni pogoji iz člena 13 Okvirnega sklepa 2008/977/PNZ;

(b)

je prenos potreben za namene te direktive iz člena 1(2);

(c)

tretja država soglaša, da bo drugi tretji državi posredovala podatke le, kadar bo to nujno potrebno za namene te direktive iz člena 1(2), in le z izrecnim soglasjem navedene države članice, in

(d)

so izpolnjeni enaki pogoji kot tisti iz člena 9(2).

2.   Ne glede na člen 13(2) Okvirnega sklepa 2008/977/PNZ so prenosi podatkov PNR brez predhodnega soglasja države članice, iz katere so podatki bili pridobljeni, dovoljeni v izjemnih okoliščinah in le če:

(a)

so takšni prenosi bistvenega pomena za odziv na konkretno in dejansko grožnjo, povezano s terorističnimi ali hudimi kaznivimi dejanji v državi članici ali tretji državi, in

(b)

predhodnega soglasja ni mogoče pravočasno pridobiti.

O tem se nemudoma obvesti organ, pristojen za izdajo soglasja, prenos pa se ustrezno zabeleži in se lahko naknadno preveri.

3.   Države članice podatke PNR posredujejo pristojnim organom tretjih držav samo pod pogoji, skladnimi s to direktivo, in samo, ko se prepričajo, da jih prejemniki nameravajo uporabljati skladno s temi pogoji in zaščitnimi ukrepi.

4.   Pooblaščena oseba za varstvo podatkov enote za informacije o potnikih države članice, ki je posredovala podatke PNR, se obvesti vsakič, ko država članica posreduje podatke PNR v skladu s tem členom.

Člen 12

Čas hrambe podatkov in depersonalizacija

1.   Države članice zagotovijo, da se podatki PNR, ki jih enoti za informacije o potnikih zagotovijo letalski prevozniki, hranijo v podatkovni zbirki enote za informacije o potnikih pet let od njihovega prenosa enoti za informacije o potnikih države članice, na območju katere je prihod ali odhod leta.

2.   Po izteku šestih mesecev od prenosa podatkov PNR iz odstavka 1 se vsi podatki PNR depersonalizirajo z zakrivanjem naslednjih podatkovnih elementov, na podlagi katerih bi bilo mogoče neposredno identificirati potnika, na katerega se podatki PNR nanašajo:

(a)

ime(na), vključno z imeni drugih potnikov v PNR, in število potnikov v PNR, ki potujejo skupaj;

(b)

naslov in kontaktni podatki;

(c)

vsi podatki o načinu plačila, vključno z naslovom za izstavitev računa, kolikor vsebujejo kakršne koli informacije, na podlagi katerih bi bilo mogoče neposredno identificirati potnika, na katerega se podatki PNR nanašajo, ali katero koli drugo osebo;

(d)

informacije v zvezi s programi za pogoste potnike;

(e)

splošne opombe, kolikor vsebujejo kakršne koli informacije, na podlagi katerih bi bilo mogoče neposredno identificirati potnika, na katerega se podatki PNR nanašajo, in

(f)

vse zbrane podatke API.

3.   Po izteku šestih mesecev iz odstavka 2 je razkritje popolnih podatkov PNR dovoljeno le, kadar:

(a)

se utemeljeno domneva, da je to potrebno za namene iz točke (b) člena 6(2), in

(b)

ga odobri:

(i)

sodni organ ali

(ii)

drug nacionalni organ, ki je v skladu z nacionalnim pravom pristojen za preverjanje, ali so izpolnjeni pogoji za razkritje, pod pogojem, da je pooblaščena oseba za varstvo podatkov enote za informacije o potnikih o tem obveščena in da lahko opravi naknadni pregled.

4.   Države članice zagotovijo, da se podatki PNR trajno izbrišejo po izteku obdobja iz odstavka 1. Ta obveznost ne posega v primere, v katerih so bili določeni podatki PNR posredovani pristojnemu organu in se uporabljajo v okviru konkretnih primerov za namene preprečevanja, odkrivanja, preiskovanja ali pregona terorističnih ali hudih kaznivih dejanj; v tem primeru hrambo takšnih podatkov s strani pristojnega organa ureja nacionalno pravo.

5.   Enota za informacije o potnikih hrani rezultate obdelave iz točke (a) člena 6(2) le toliko časa, kolikor je potrebno, da o zadetku obvesti pristojne organe in v skladu s členom 9(1) obvesti enote za informacije o potnikih drugih držav članic. Kadar je po posamičnem preverjanju z neavtomatiziranimi sredstvi iz člena 6(5) rezultat avtomatizirane obdelave negativen, se kljub temu lahko shrani v izogib prihodnjim „lažnim“ zadetkom, dokler s tem povezani podatki niso izbrisani v skladu z odstavkom 4 tega člena.

Člen 13

Varstvo osebnih podatkov

1.   Vsaka država članica pri vsakršni obdelavi osebnih podatkov v skladu s to direktivo zagotovi, da ima vsak potnik enako pravico do varstva svojih osebnih podatkov, pravice do dostopa, popravka, izbrisa in omejitve in pravici do odškodnine in do sodnega varstva, kot so določene v pravu Unije in nacionalnem pravu ter za izvajanje členov 17, 18, 19 in 20 Okvirnega sklepa 2008/977/PNZ. Navedeni členi se torej uporabljajo.

2.   Vsaka država članica zagotovi, da se določbe v nacionalnem pravu, ki so sprejete za izvajanje členov 21 in 22 Okvirnega sklepa 2008/977/PNZ glede zaupnosti obdelave in varnosti podatkov, uporabljajo tudi za vsako obdelavo osebnih podatkov v skladu s to direktivo.

3.   Ta direktiva ne posega v uporabo Direktive 95/46/ES Evropskega parlamenta in Sveta (13) za obdelavo osebnih podatkov s strani letalskih prevoznikov, zlasti v njihovo obveznost za sprejetje ustreznih tehničnih in organizacijskih ukrepov za zaščito varnosti in zaupnosti osebnih podatkov.

4.   Države članice prepovejo obdelavo podatkov PNR, ki razkrivajo raso ali etnično poreklo osebe, njena politična mnenja, versko ali filozofsko prepričanje, članstvo v sindikatu, zdravstveno stanje, spolno življenje ali spolno usmerjenost. Če enota za informacije o potnikih prejme podatke PNR, ki razkrivajo takšne informacije, se takoj izbrišejo.

5.   Države članice zagotovijo, da enote za informacije o potnikih hranijo dokumentacijo glede vseh sistemov in postopkov obdelave, za katere so pristojne. Ta dokumentacija vsebuje vsaj:

(a)

ime in kontaktne podatke organizacije in osebja v enoti za informacije o potnikih, ki je zadolžena za obdelavo podatkov PNR, in informacije o različnih stopnjah pooblastil za dostop;