ISSN 1977-0804

Uradni list

Evropske unije

L 295

European flag  

Slovenska izdaja

Zakonodaja

Letnik 61
21. november 2018


Vsebina

 

I   Zakonodajni akti

Stran

 

 

UREDBE

 

*

Uredba (EU) 2018/1724 Evropskega parlamenta in Sveta z dne 2. oktobra 2018 o vzpostavitvi enotnega digitalnega portala za zagotavljanje dostopa do informacij, do postopkov ter do storitev za pomoč in reševanje težav ter o spremembi Uredbe (EU) št. 1024/2012 ( 1 )

1

 

*

Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES ( 1 )

39

 

*

Uredba (EU) 2018/1726 Evropskega parlamenta in Sveta z dne 14. novembra 2018 o Agenciji Evropske unije za operativno upravljanje obsežnih informacijskih sistemov s področja svobode, varnosti in pravice (eu-LISA), o spremembi Uredbe (ES) št. 1987/2006 in Sklepa Sveta 2007/533/PNZ ter o razveljavitvi Uredbe (EU) št. 1077/2011

99

 

*

Uredba (EU) 2018/1727 Evropskega parlamenta in Sveta z dne 14. novembra 2018 o Agenciji Evropske unije za pravosodno sodelovanje v kazenskih zadevah (Eurojust) ter nadomestitvi in razveljavitvi Sklepa Sveta 2002/187/PNZ

138

 


 

(1)   Besedilo velja za EGP.

SL

Akti z rahlo natisnjenimi naslovi so tisti, ki se nanašajo na dnevno upravljanje kmetijskih zadev in so splošno veljavni za omejeno obdobje.

Naslovi vseh drugih aktov so v mastnem tisku in pred njimi stoji zvezdica.


I Zakonodajni akti

UREDBE

21.11.2018   

SL

Uradni list Evropske unije

L 295/1


UREDBA (EU) 2018/1724 EVROPSKEGA PARLAMENTA IN SVETA

z dne 2. oktobra 2018

o vzpostavitvi enotnega digitalnega portala za zagotavljanje dostopa do informacij, do postopkov ter do storitev za pomoč in reševanje težav ter o spremembi Uredbe (EU) št. 1024/2012

(Besedilo velja za EGP)

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije ter zlasti člena 21(2) in člena 114(1) Pogodbe,

ob upoštevanju predloga Evropske komisije,

po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,

ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora (1),

v skladu z rednim zakonodajnim postopkom (2),

ob upoštevanju naslednjega:

(1)

Notranji trg spada med najbolj oprijemljive dosežke Unije. Z omogočanjem prostega gibanja ljudi, blaga, storitev in kapitala državljanom in podjetjem zagotavlja nove priložnosti. Ta uredba je ključni element strategije za enotni trg, vzpostavljene s sporočilom Komisije z dne 28. oktobra 2015 z naslovom „Izpopolnitev enotnega trga: več priložnosti za prebivalstvo in gospodarstvo“. Cilj te strategije je odpiranje vseh možnosti notranjega trga, tako da se državljanom in podjetjem olajša gibanje v Uniji in trgovanje ter ustanavljanje in širjenje podjetij čez meje.

(2)

V sporočilu Komisije z dne 6. maja 2015 z naslovom „Strategija za enotni digitalni trg za Evropo“ je bila priznana vloga, ki jo imajo internet in digitalne tehnologije pri spreminjanju našega življenja, načina, kako državljani in podjetja dostopajo do informacij, pridobivajo znanje, kupujejo blago in storitve, sodelujejo na trgu in delajo, saj prinašajo priložnosti za inovacije, rast in delovna mesta. V tem sporočilu in številnih resolucijah, ki jih je sprejel Evropski parlament, je bilo priznano, da je mogoče potrebe državljanov in podjetij v njihovih matičnih državah in prek meja bolje zadovoljevati z razširitvijo in povezavo obstoječih portalov na ravni Evrope, spletnih mest, mrež, storitev in sistemov z različnimi nacionalnimi rešitvami, s čimer bi ustvarili „enotno digitalno vstopno mesto“, ki bi služil kot evropska enotna vstopna točka (v nadaljnjem besedilu: vstopno mesto). V sporočilu Komisije z dne 19. aprila 2016 z naslovom „Akcijski načrt Unije za e-upravo za obdobje 2016–2020, Pospešitev digitalne preobrazbe uprave“, je bilo vstopno mesto uvrščeno med ukrepe za leto 2017. V poročilu Komisije z dne 24. januarja 2017 z naslovom „Krepitev pravic državljanov v Uniji demokratičnih sprememb: Poročilo o državljanstvu EU iz leta 2017“ je vstopno mesto označeno kot prednostna naloga za pravice državljanov Unije.

(3)

Evropski parlament in Svet sta večkrat pozvala k oblikovanju celovitejšega in uporabniku prijaznejšega svežnja informacij in pomoči, ki bi državljanom in podjetjem pomagal krmariti po notranjem trgu ter okrepil in izboljšal učinkovitost orodij notranjega trga za boljšo izpolnitev potreb državljanov in podjetij pri njihovih čezmejnih dejavnostih.

(4)

Ta uredba je odziv na te pozive, saj državljanom in podjetjem omogoča enostaven dostop do informacij, postopkov ter storitev za pomoč in reševanje težav, ki jih potrebujejo za uveljavljanje svojih pravic na notranjem trgu. Vstopno mesto bi lahko pripomoglo k večji preglednosti pravil in predpisov glede različnih poslovnih in življenjskih dogodkov, kot so potovanje, upokojitev, izobraževanje, zaposlitev, zdravstveno varstvo, potrošniške pravice in družinske pravice. Poleg tega bi lahko pomagalo izboljšati zaupanje potrošnikov, odpraviti pomanjkljivo poznavanje varstva potrošnikov in pravil notranjega trga ter zmanjšati stroške izpolnjevanja obveznosti za podjetja. S to uredbo se vzpostavlja uporabnikom prijazno interaktivno vstopno mesto, ki naj bi jim pomagalo do najustreznejših storitev glede na njihove potrebe. Glede tega bi morale imeti Komisija in države članice pomembno vlogo pri doseganju navedenih ciljev.

(5)

Vstopno mesto bi moralo olajšati interakcijo med državljani in podjetji na eni strani ter pristojnimi organi na drugi strani, saj zagotavlja dostop do spletnih rešitev in s tem lajša vsakodnevne dejavnosti državljanov in podjetij ter zmanjšuje ovire na notranjem trgu. Obstoj enotnega digitalnega vstopnega mesta, ki zagotavlja spletni dostop do točnih in ažurnih informacij, postopkov ter storitev za pomoč in reševanje težav, bi lahko prispeval k ozaveščanju uporabnikov o različnih obstoječih spletnih storitvah in jim prihranil čas in stroške.

(6)

Ta uredba ima tri cilje, in sicer zmanjšati vsakršno dodatno upravno breme za državljane in podjetja, ki uveljavljajo ali želijo uveljavljati svoje pravice na notranjem trgu, vključno s prostim gibanjem državljanov, popolnoma skladno z nacionalnimi pravili in postopki, odpraviti diskriminacijo in zagotoviti delovanje notranjega trga v zvezi z zagotavljanjem informacij, postopkov in storitev za pomoč in reševanje težav. Ker zajema prosto gibanje državljanov, ki ga ni mogoče šteti le za postransko, bi morala ta uredba temeljiti na členu 21(2) in členu 114(1) Pogodbe o delovanju Evropske unije (PDEU).

(7)

Da bi državljani in podjetja Unije lahko uveljavljali svojo pravico do prostega gibanja na notranjem trgu, bi morala Unija sprejeti posebne nediskriminatorne ukrepe, ki bi državljanom in podjetjem omogočili enostaven dostop do dovolj celovitih in zanesljivih informacij o pravicah, ki jih imajo na podlagi prava Unije, ter do veljavnih nacionalnih pravil in postopkov, ki jih morajo izpolnjevati, ko se preselijo v državo članico, ki ni njihova matična država članica, ali tam živijo ali se izobražujejo oziroma ko tam ustanavljajo podjetja in opravljajo poslovno dejavnost. Informacije bi morale šteti za dovolj celovite, če vključujejo vse informacije, ki jih uporabniki potrebujejo za razumevanje, kaj so njihove pravice in obveznosti, in identifikacijo pravil, ki veljajo zanje v zvezi z dejavnostmi, ki jih želijo opravljati kot čezmejni uporabniki. Informacije bi morale biti navedene na jasen, izčrpen in razumljiv način in biti operativne ter dobro prilagojene ciljni skupini uporabnikov. Informacije in postopki bi morali zajemati vse predvidljive postopkovne korake, ki so pomembni za uporabnika. Za državljane in podjetja, ki delujejo v zapletenih regulativnih okoljih, kot so tisti, ki delujejo v e-trgovini in sodelovalnem gospodarstvu, je pomembno, da imajo enostaven dostop do veljavnih pravil in navodil, kako se ta pravila uporabljajo za njihove dejavnosti. Enostaven in uporabniku prijazen dostop do informacij pomeni, da se uporabnikom omogoči, da lahko zlahka najdejo informacije, da lahko zlahka ugotovijo, kateri deli informacij so pomembni prav za njihovo situacijo, ter da ustrezne informacije zlahka razumejo. Informacije, ki jih je treba zagotoviti na nacionalni ravni, se ne bi smele nanašati samo na nacionalna pravila, ki izvajajo pravo Unije, ampak tudi na vsa druga nacionalna pravila, ki se uporabljajo tako za čezmejne uporabnike kot za uporabnike, ki niso čezmejni.

(8)

Pravila o zagotavljanju informacij iz te uredbe ne bi smela veljati za nacionalne pravosodne sisteme, saj so informacije s tega področja, ki so pomembne za čezmejne uporabnike, že vključene v portal evropskega e-pravosodja. V nekaterih primerih iz te uredbe bi bilo treba sodišča šteti za pristojne organe, na primer kadar upravljajo poslovne registre. Poleg tega bi bilo treba načelo nediskriminacije uporabljati tudi za spletne postopke, ki omogočajo dostop do sodnih postopkov.

(9)

Jasno je, da so lahko državljani in podjetja iz drugih držav članic v slabšem položaju zaradi nepoznavanja nacionalnih pravil in upravnih sistemov, razlik v jezikih, ki se uporabljajo, in geografske oddaljenosti od pristojnih organov v državi članici, ki ni njihova matična država članica. Najučinkovitejši način za zmanjšanje teh posledičnih ovir na notranjem trgu je, da se čezmejnim uporabnikom in uporabnikom, ki niso čezmejni, v jeziku, ki ga lahko razumejo, omogoči spletni dostop do informacij, da se jim omogoči opravljanje postopkov v celoti na spletu za skladnost z nacionalnimi pravili ter da se jim zagotovi pomoč, kadar pravila in postopki niso dovolj jasni ali kadar se pri uveljavljanju svojih pravic srečajo z ovirami.

(10)

Sprejetih je bilo več aktov Unije, v kateri se ponuja rešitve z vzpostavitvijo sektorskih storitev „vse na enem mestu“, vključno z enotnimi kontaktnimi točkami, vzpostavljenimi z Direktivo 2006/123/ES Evropskega parlamenta in Sveta (3), ki nudijo spletne informacije, storitve za pomoč in dostop do postopkov, pomembnih za zagotavljanje storitev; kontaktnih točk za proizvode, vzpostavljene z Uredbo (ES) št. 764/2008 Evropskega parlamenta in Sveta (4), in kontaktnih točk za proizvode za gradbeništvo, vzpostavljene z Uredbo (EU) št. 305/2011 Evropskega parlamenta in Sveta (5), ki zagotavljajo dostop do tehničnih pravil za proizvode; ter nacionalnih centrov za pomoč pri priznavanju poklicnih kvalifikacij, vzpostavljenih z Direktivo 2005/36/ES Evropskega parlamenta in Sveta (6), ki pomagajo strokovnjakom, ki se preselijo čez mejo. Poleg tega so bile vzpostavljene mreže, na primer evropski potrošniški centri, da bi se spodbudilo razumevanje pravic potrošnikov v Uniji in zagotovila pomoč pri reševanju pritožb glede nakupov, opravljenih med potovanjem ali spletnim nakupovanjem v drugi državi članici mreže. Poleg tega si mreža Solvit iz Priporočila Komisije 2013/461/EU (7) prizadeva zagotoviti hitre, učinkovite in neformalne rešitve težav, s katerimi se srečujejo posamezniki in podjetja, če javni organi onemogočajo izvajanje njihovih pravic na notranjem trgu. Vzpostavljenih je bilo več informacijskih portalov, kot sta Tvoja Evropa v zvezi z notranjim trgom in portal e-pravosodja v zvezi s področjem pravosodja, za obveščanje uporabnikov o pravilih Unije in nacionalnih pravilih.

(11)

Ker so vsi ti akti Unije sektorski, je sedanje zagotavljanje spletnih informacij in storitev za pomoč in reševanje težav skupaj s spletnimi postopki za državljane in podjetja zelo razdrobljeno. Spletne informacije in postopki niso enako razpoložljivi, kakovost storitev je pomanjkljiva, informacije in storitve za pomoč in reševanje težav pa so premalo poznane. Prav tako imajo čezmejni uporabniki težave z najdenjem in dostopnostjo teh storitev.

(12)

Ta uredba bi morala vzpostaviti enotno digitalno vstopno mesto kot enotno vstopno točko, prek katere bi lahko državljani in podjetja dostopali do informacij o pravilih in zahtevah, ki jih morajo izpolnjevati na podlagi prava Unije ali nacionalnega prava. Vstopno mesto bi moralo poenostaviti stike državljanov in podjetij s storitvami za pomoč in reševanje težav, vzpostavljenimi na ravni Unije ali nacionalni ravni, in narediti ta stik učinkovitejši. Vstopno mesto bi moralo tudi olajšati dostop do spletnih postopkov in njihovo izvedbo. Ta uredba ne bi smela v ničemer vplivati na že obstoječe pravice in obveznosti na podlagi prava Unije ali nacionalnega prava, ki veljajo na navedenih področjih politike. Za postopke iz Priloge II k tej uredbi in postopke iz direktiv 2005/36/ES in 2006/123/ES ter iz direktiv 2014/24/EU (8) in 2014/25/EU (9) Evropskega parlamenta in Sveta bi morala ta uredba podpreti uporabo načela „samo enkrat“ za izmenjavo dokazil med pristojnimi organi različnih držav članic, pri tem pa bi morala popolnoma spoštovati temeljno pravico do varstva osebnih podatkov.

(13)

Vstopno mesto in njegova vsebina bi morala biti osredotočena na uporabnika in uporabniku prijazna. Pri vstopnem mestu bi si bilo treba prizadevati, da ne bi povzročal prekrivanja in bi moral zagotoviti povezave z obstoječimi storitvami. Državljanom in podjetjem bi moral omogočati interakcijo z javnimi organi na nacionalnimi ravni in ravni Unije, tako da bi jim dal možnost pošiljanja povratnih informacij v zvezi s storitvami, zagotovljenimi prek vstopnega mesta, in delovanjem notranjega trga po njihovih izkušnjah. Orodje za povratne informacije bi moralo uporabniku omogočiti, da na način, ki omogoča, da uporabnik ostane anonimen, opozori na zaznane težave, pomanjkljivosti in potrebe, da se spodbudi stalno izboljševanje kakovosti storitev.

(14)

Uspeh vstopnega mesta bo odvisen od skupnega prizadevanja Komisije in držav članic. Vstopno mesto bi moralo vključevati skupni uporabniški vmesnik, integriran v že obstoječi portal Tvoja Evropa, ki ga bo upravljala Komisija. Skupni uporabniški vmesnik bi moral zagotavljati povezave do informacij in postopkov ter storitev za pomoč ali reševanje težav, ki so na voljo na portalih, ki jih upravljajo pristojni organi držav članic in Komisija. Za spodbujanje uporabe vstopnega mesta bi moral biti skupni uporabniški vmesnik na voljo v vseh uradnih jezikih institucij Unije (v nadaljnjem besedilu: uradni jeziki Unije). Na obstoječem portalu Tvoja Evropa in njegovi glavni dostopovni strani, prilagojeni zahtevam vstopnega mesta, bi bilo treba ohraniti ta večjezikovni pristop do informacij, ki se zagotavljajo. Delovanje vstopnega mesta bi moralo biti podprto s tehničnimi orodji, ki jih Komisija razvije v tesnem sodelovanju z državami članicami.

(15)

V Listini za elektronske enotne kontaktne točke iz Direktive 2006/123/ES, ki jo je Svet podprl leta 2013, so se države članice prostovoljno zavezale sprejetju na uporabnike osredotočenega pristopa za zagotavljanje informacij prek enotnih kontaktnih točk, tako da bodo zajeta vsa področja, pomembna za podjetja, vključno z DDV, davki od dohodkov, socialno varnostjo ali zahtevami delovnega prava. Na podlagi Listine in v luči izkušenj s portalom Tvoja Evropa bi morale informacije vsebovati tudi opis storitev za pomoč in reševanje težav. Državljani in podjetja bi morali imeti možnost, da se na te storitve obrnejo, ko imajo težave z razumevanjem informacij, z uporabo informacij v svoji situaciji ali z opravljanjem postopka.

(16)

V tej uredbi bi morala biti zajeta področja informacij, pomembna za državljane in podjetja, ki uveljavljajo svoje pravice in izpolnjujejo svoje obveznosti na notranjem trgu. Za ta področja bi bilo treba na nacionalni ravni, vključno z regionalno in lokalno ravnjo, pa tudi na ravni Unije zagotoviti dovolj celovite informacije, ki bodo pojasnjevale veljavna pravila in veljavne obveznosti ter postopke, ki jih morajo državljani in podjetja opraviti za izpolnjevanje teh pravil in obveznosti. Da bi zagotovili kakovost ponujenih storitev, bi morale biti informacije, zagotovljene prek vstopnega mesta, jasne, točne in ažurne, zmanjšati bi bilo treba uporabo zapletenih strokovnih poimenovanj, uporabo kratic pa omejiti na poenostavljene in zlahka razumljive izraze, ki ne zahtevajo predhodnega poznavanja pravne tematike ali področja. Te informacije bi bilo treba zagotoviti tako, da lahko uporabniki zlahka razumejo osnovna pravila in zahteve, ki se uporabljajo za njihovo konkretno situacijo na teh področjih. Poleg tega bi bilo treba uporabnike obvestiti, da v nekaterih državah članicah ni nacionalnih pravil na področjih informacij iz Priloge I, zlasti kadar za ta področja v drugih državah članicah veljajo nacionalna pravila. Informacije o tem, da ni nacionalnih pravil, bi lahko bile vključene v portal Tvoja Evropa.

(17)

Informacije, ki jih je Komisija v skladu z veljavnim pravom Unije ali prostovoljnimi dogovori že pridobila od držav članic, kot so informacije, zbrane za portal EURES, vzpostavljen z Uredbo (EU) 2016/589 Evropskega parlamenta in Sveta (10), portal evropskega e-pravosodja, vzpostavljen z Odločbo Sveta 2001/470/ES (11), ali zbirko podatkov reguliranih poklicev, vzpostavljeno z Direktivo 2005/36/ES, bi bilo treba po možnosti uporabljati kot del informacij, ki jih je treba v skladu s to uredbo dati na voljo državljanom in podjetjem na ravni Unije in na nacionalni ravni. Od držav članic ne bi smeli zahtevati, da na svojih nacionalnih spletnih mestih zagotavljajo informacije, ki so že na voljo v ustreznih podatkovnih zbirkah, ki jih upravlja Komisija. Kadar morajo države članice zagotoviti spletne informacije že na podlagi drugih aktov Unije, kot je Direktiva 2014/67/EU Evropskega parlamenta in Sveta (12), bi moralo zadostovati, da zgolj zagotovijo povezave do že obstoječih spletnih informacij. Kadar so določena področja politike že v celoti harmonizirana s pravom Unije, na primer pravice potrošnikov, bi morale informacije, zagotovljene na ravni Unije, na splošno zadostovati, da se uporabnikom pojasnijo njihove ustrezne pravice oziroma obveznosti. V takih primerih bi bilo treba od držav članic zahtevati le, da zagotovijo dodatne informacije v zvezi z svojimi nacionalnimi upravnimi postopki in storitvami za pomoč ali drugimi upravnimi pravili na nacionalni ravni, če so pomembni za uporabnike. Informacije o pravicah potrošnikov na primer ne bi smele vplivati na pogodbeno pravo, temveč bi morale obveščati uporabnike o njihovih pravicah v skladu s pravom Unije in nacionalnim pravom v okviru trgovskih poslov.

(18)

Ta uredba bi morala okrepiti razsežnost notranjega trga v zvezi s spletnimi postopki, s čimer bi prispevala k digitalizaciji notranjega trga, s podpiranjem splošnega načela nediskriminacije, med drugim v povezavi z dostopom državljanov ali podjetij do spletnih postopkov, ki na nacionalni ravni že obstajajo na podlagi prava Unije ali nacionalnega prava, in do postopkov, ki se v skladu s to uredbo omogočijo v celoti na spletu. Kadar lahko uporabnik v situaciji, ki je izključno omejena na eno samo državo članico, dostopa do spletnega postopka v tej državi članici in ga opravi na področju iz te uredbe, bi moral tudi čezmejni uporabnik imeti možnost spletnega dostopa do istega postopka in njegovega opravljanja brez diskriminatornih ovir, bodisi z uporabo iste tehnične rešitve bodisi z drugo, tehnično ločeno rešitvijo, katere rezultat bi bil isti. Takšne ovire bi lahko bile rešitve, zasnovane na nacionalni ravni, kot je uporaba polj v obrazcih, ki zahtevajo nacionalne telefonske številke, nacionalne klicne številke ali nacionalne poštne številke, plačilo pristojbin, ki ga je mogoče izvesti samo prek sistemov, ki ne omogočajo čezmejnih plačil, odsotnost podrobnih pojasnil v jeziku, ki ga razumejo čezmejni uporabniki, nezadostne možnosti za predložitev elektronskih dokazil, ki jih izdajo organi v drugi državi članici, in nesprejemanje sredstev elektronske identifikacije, izdanih v drugih državah članicah. Države članice bi morale zagotoviti rešitve za te ovire.

(19)

Kadar uporabniki opravljajo spletne postopke čezmejno, bi morali imeti možnost, da prejmejo vsa ustrezna pojasnila v uradnem jeziku Unije, ki ga dobro razume največje možno število čezmejnih uporabnikov. To ne pomeni, da morajo države članice upravne obrazce, ki so povezani s postopkom, ali rezultate tega postopka prevesti v ta jezik. Vendar pa se države članice spodbuja, da uporabljajo tehnične rešitve, ki bi uporabnikom omogočile, da postopke v čim več primerih opravljajo v tem jeziku, pri čemer spoštujejo nacionalna pravila držav članic o uporabi jezikov.

(20)

Nacionalni spletni postopki, ki so pomembni za čezmejne uporabnike, da lahko uveljavljajo svoje pravice na notranjem trgu, so odvisni od tega, ali imajo prebivališče ali sedež v zadevni državi članici oziroma ali želijo dostopati do postopkov te države članice, pri tem pa imajo prebivališče ali sedež v drugi državi članici. Ta uredba državam članicam ne bi smela onemogočati, da od čezmejnih uporabnikov, ki imajo prebivališče ali sedež na njihovem ozemlju, zahtevajo, da pridobijo nacionalno identifikacijsko številko, da bi lahko dostopali do nacionalnih spletnih postopkov, pod pogojem, da to zadevnim uporabnikom ne nalaga neupravičenega dodatnega bremena ali stroškov. Čezmejnim uporabnikom brez stalnega prebivališča ali sedeža v zadevni državi članici ni treba omogočiti popolnega dostopa do nacionalnih spletnih postopkov, ki niso pomembni za uveljavljanje njihovih pravic na notranjem trgu, na primer vpis za prejemanje lokalnih storitev, kot sta pobiranja odpadkov in parkirna dovoljenja.

(21)

Ta uredba bi morala nadgrajevati Uredbo (EU) št. 910/2014 Evropskega parlamenta in Sveta (13), ki določa pogoje, pod katerimi države članice priznajo določena sredstva elektronske identifikacije fizičnih in pravnih oseb, za katere velja priglašena shema elektronske identifikacije druge države članice. Uredba (EU) št. 910/2014 določa pogoje, pod katerimi lahko uporabniki uporabljajo svoja sredstva elektronske identifikacije in avtentikacije za dostop do spletnih javnih storitev v čezmejnih situacijah. Institucije, organe, urade in agencije Unije se spodbuja, naj sprejmejo sredstva elektronske identifikacije in avtentikacije za postopke, za katere so pristojni.

(22)

V skladu z več sektorskimi akti Unije, kot so direktive 2005/36/ES, 2006/123/ES, 2014/24/EU in 2014/25/EU, morajo biti postopki na voljo v celoti na spletu. S to uredbo bi bilo treba določiti, da morajo biti zahteve za več drugih postopkov, ki so ključnega pomena za večino državljanov in podjetij, ki uveljavljajo svoje pravice in izpolnjujejo obveznosti prek meja, na voljo v celoti na spletu.

(23)

Da bi lahko državljani in podjetja neposredno uživali koristi notranjega trga brez nepotrebnega dodatnega upravnega bremena, bi ta uredba morala zahtevati popolno digitalizacijo uporabniškega vmesnika z določenimi ključnimi postopki za čezmejne uporabnike, navedenimi v Prilogi II k tej uredbi. Ta uredba bi morala določati tudi merila za določitev, kako ti postopki štejejo za v celoti spletne. Obveznost narediti takšen postopek v celoti spleten bi se morala uporabljati le, kadar je postopek v zadevni državi članici vzpostavljen. Ta uredba ne bi smela zajemati prve registracije poslovne dejavnosti, postopkov za ustanovitev podjetij kot pravnih oseb ali naknadnega vlaganja dokumentacije teh podjetij, saj je za te postopke potreben celovit pristop, namenjen spodbujanju uporabe digitalnih rešitev v celotnem življenjskem ciklu podjetja. Ko se podjetja ustanovijo v drugi državi članici, jih je treba prijaviti v sistem socialne varnosti in sistem zavarovanja, da se prijavijo njihovi zaposleni in se v oba sistema plačujejo prispevki. Lahko se zgodi, da morajo priglasiti svoje poslovne dejavnosti, pridobiti dovoljenja ali prijaviti spremembe poslovne dejavnosti. Ti postopki so skupni za podjetja, ki delujejo v veliko gospodarskih sektorjih, zato je primerno zahtevati, da se zagotovijo v celoti na spletu.

(24)

S to uredbo bi morali razjasniti, kaj pomeni ponuditi postopek v celoti na spletu. Postopek bi moral šteti za popolnoma spletnega, če lahko uporabnik vse faze od dostopa do zaključka, sodelovanje s pristojnim organom, „sprejemno pisarno“, izvede elektronsko, na daljavo in prek spletne storitve. Ta spletna storitev bi morala usmerjati uporabnika skozi seznam vseh zahtev, ki jih je treba izpolniti, in vseh dokazil, ki jih je treba predložiti, mu omogočiti, da predloži informacije in dokazila o skladnosti z vsemi takšnimi zahtevami, in mu zagotoviti samodejno potrdilo o prejemu, razen če se rezultat postopka lahko zagotovi takoj. To pristojnim organom ne bi smelo preprečevati, da z uporabnikom navežejo neposreden stik, kadar je to potrebno za pridobitev nadaljnjih pojasnil, potrebnih za postopek. Tudi rezultat postopka, kot ga določa ta uredba, bi morali pristojni organi uporabniku zagotoviti v elektronski obliki, kadar je to mogoče na podlagi veljavnega prava Unije in nacionalnega prava.

(25)

Ta uredba ne bi smela vplivati na vsebino postopkov iz Priloge II, ki so določeni na nacionalni, regionalni ali lokalni ravni, niti ne določa materialnih ali postopkovnih pravil na področjih, zajetih v Prilogi II, vključno z davčnim področjem. Namen te uredbe je določiti tehnične zahteve za zagotovitev, da bi bili ti postopki, kadar so bili v zadevni državi članici vzpostavljeni, omogočeni v celoti na spletu.

(26)

Ta uredba ne bi smela vplivati na pristojnosti nacionalnih organov v kateremkoli postopku, vključno s preverjanjem točnosti in veljavnosti predloženih informacij ali dokazil ter preverjanjem verodostojnosti, kadar so dokazila predložena z drugimi sredstvi, ne pa s tehničnim sistemom na podlagi načela „samo enkrat“. Ta uredba tudi ne bi smela vplivati na postopkovne delovne procese znotraj pristojnih organov in med njimi, „zaledne storitve“, ne glede na to, ali so digitalizirani ali ne. Kadar je to potrebno kot del nekaterih postopkov za prijavo spremembe poslovne dejavnosti, bi moralo državam članicam biti še naprej omogočeno, da zahtevajo udeležbo notarjev ali odvetnikov, ki bi lahko želeli uporabiti sredstva preverjanja, vključno z videokonferencami ali drugimi spletnimi sredstvi, ki omogočajo avdiovizualno povezavo v realnem času. Vendar njihova udeležba ne bi smela preprečevati, da se postopek za prijavo teh sprememb zaključi v celoti na spletu.

(27)

V nekaterih primerih se lahko od uporabnikov zahteva, da predložijo dokazila o dejstvih, ki jih ni mogoče dokazati s spletnimi sredstvi. Taka dokazila lahko vključujejo zdravniška potrdila, dokazilo, da je nekdo živ, ter dokazilo o tehnični brezhibnosti motornih vozil ali njihovi številki šasije. Če je ta dokazila mogoče predložiti v elektronski obliki, to ne bi smelo pomeniti izjeme od načela, da bi bilo treba postopek ponuditi v celoti na spletu. V drugih primerih bi lahko bilo še vedno potrebno, da se uporabniki postopka v okviru spletnega postopka še vedno osebno zglasijo pri pristojnem organu. Vse take izjeme, razen tistih, ki izhajajo iz prava Unije, bi morale biti omejene na situacije, ko je to upravičeno z nujnim razlogom v javnem interesu na področju javne varnosti, javnega zdravja ali boja proti goljufijam. Za zagotovitev preglednosti bi morale države članice s Komisijo in drugimi državami članicami deliti informacije o tovrstnih izjemah ter na podlagi katerih razlogov in v katerih okoliščinah se lahko uporabijo. Od držav članic se ne bi smelo zahtevati, da poročajo o vsakem posameznem primeru, v katerem je izjemoma potrebna osebna navzočnost, ampak bi morale sporočiti nacionalne določbe, ki določajo take primere. Najboljše prakse na nacionalni ravni in tehnološki razvoj, ki omogočajo nadaljnjo digitalizacijo v zvezi s tem, bi morala redno obravnavati usklajevalna skupina za vstopno mesto.

(28)

V čezmejnih situacijah je lahko postopek za registracijo spremembe naslova sestavljen iz dveh ločenih postopkov, in sicer postopka v državi članici izvora, v katerem se zahteva odjava na starem naslovu, in postopka v namembni državi članici, v katerem se zahteva prijava na novem naslovu. Ta uredba bi morala zajemati oba postopka.

(29)

Ker je digitalizacija zahtev, postopkov in formalnosti v zvezi s priznavanjem poklicnih kvalifikacij že zajeta v Direktivi 2005/36/ES, bi morala ta uredba zajemati le digitalizacijo postopka za zahtevo za akademsko priznanje diplom, potrdil ali drugih dokazil o opravljenem izobraževanju osebe, ki želi začeti ali nadaljevati študij, ali za uporabo akademskega naziva zunaj formalnosti, povezanih s priznavanjem poklicnih kvalifikacij.

(30)

Ta uredba ne bi smela vplivati na pravila za koordinacijo sistemov socialne varnosti iz uredb (ES) št. 883/2004 (14) in (ES) št. 987/2009 (15) Evropskega parlamenta in Sveta, ki opredeljujeta pravice in obveznosti zavarovanih oseb in nosilcev socialne varnosti ter postopke, ki se uporabljajo na področju koordinacije sistemov socialne varnosti.

(31)

Na ravni Unije in na nacionalni ravni je bilo vzpostavljenih več mrež in storitev za pomoč državljanom in podjetjem pri čezmejnih dejavnostih. Pomembno je, da so te storitve, vključno z obstoječimi storitvami za pomoč ali reševanje težav, vzpostavljenimi na ravni Unije, kot so evropski potrošniški centri, portal Tvoja Evropa – nasveti, mreža SOLVIT, Služba za pomoč glede pravic intelektualne lastnine, mreža Europe Direct in Evropska podjetniška mreža, del vstopnega mesta, da jih lahko najdejo vsi potencialni uporabniki. Storitve iz Priloge III so bile vzpostavljene z zavezujočimi akti Unije, druge pa so prostovoljne. Za storitve, vzpostavljene z zavezujočimi akti Unije, bi morale veljati zahteve glede kakovosti iz te uredbe. Prostovoljne storitve bi morale izpolnjevati te zahteve glede kakovosti, če je namen, da so dostopne prek vstopnega mesta. Ta uredba ne bi smela spreminjati obsega in vrste teh storitev, njihove upravljavske ureditve, veljavnih rokov in njihove prostovoljne, pogodbene ali druge podlage. Kadar se s temi storitvami na primer zagotavlja pomoč neformalne narave, ta uredba te pomoči ne bi smela spremeniti v zavezujoč pravni nasvet.

(32)

Poleg tega bi bilo treba državam članicam in Komisiji omogočiti, da pod pogoji iz te uredbe vstopnemu mestu dodajo druge nacionalne storitve za pomoč in reševanje težav, ki jih zagotavljajo pristojni organi ali zasebni in polzasebni subjekti ali javni subjekti, kot so gospodarske zbornice ali nevladne storitve za pomoč državljanom. Načeloma bi morali biti pristojni organi odgovorni za pomoč državljanom in podjetjem pri vseh težavah v zvezi z veljavnimi pravili in postopki, ki jih s spletnimi storitvami ne morejo v celoti rešiti. Vendar lahko države članice za zelo specifična področja, in kadar storitve, ki jih zagotavljajo zasebni ali polzasebni subjekti, izpolnjujejo potrebe uporabnikov, Komisiji predlagajo vključitev takih storitev v vstopno mesto, če izpolnjujejo vse zahteve iz te uredbe in ne podvajajo že obstoječih storitev za pomoč in reševanje težav.

(33)

Za pomoč uporabnikom pri iskanju ustrezne storitve bi ta uredba morala zagotoviti iskalnik storitev za pomoč, ki uporabnike samodejno usmeri k pravi storitvi.

(34)

Skladnost z minimalnim seznamom zahtev glede kakovosti je bistvena za uspeh vstopnega mesta, da se zagotovi zanesljivost zagotavljanja informacij in storitev, saj bi bila v nasprotnem primeru resno ogrožena verodostojnost celotnega vstopnega mesta. Glavni cilj skladnosti je zagotoviti jasno in uporabnikom prijazno predstavitev informacij ali storitev. Za dosego tega cilja, so za način predstavitve informacij v postopku, ki ga opravi uporabnik, odgovorne države članice. Čeprav je za uporabnike na primer sicer koristno, da so pred začetkom postopka obveščeni o splošno razpoložljivih pravnih sredstvih kadar je rezultat postopka negativen, je uporabniku veliko bolj prijazno, če se jim specifične informacije o možnih korakih, ki jih lahko sprejmejo v tem primeru, zagotovijo ob koncu postopka.

(35)

Dostopnost informacij za čezmejne uporabnike je mogoče bistveno izboljšati, kadar so informacije na voljo v uradnem jeziku Unije, ki ga dobro razume največje možno število čezmejnih uporabnikov. Ta jezik bi moral biti v večini primerov tuji jezik, ki se ga uporabniki po vsej Uniji največ učijo, v nekaterih posebnih primerih, zlasti v primeru informacij, ki jih morajo na lokalni ravni zagotoviti majhne občine blizu meje države članice, pa je lahko najbolj primeren jezik tisti, ki ga kot prvi jezik uporabljajo čezmejni uporabniki v sosednji državi članici. Prevodi iz uradnega jezika ali jezikov zadevne države članice v ta drugi uradni jezik Unije bi morali odražati točno vsebino informacij, zagotovljenih v uradnem jeziku ali jezikih. Prevod je lahko omejeno na informacije, ki jih uporabniki potrebujejo za razumevanje osnovnih pravil in zahtev, ki veljajo v njihovih situacijah. Čeprav bi bilo treba države članice spodbuditi, da kar največ informacij prevedejo v uradni jezik Unije, ki ga dobro razume največje možno število čezmejnih uporabnikov, pa bo količina informacij, ki jih je treba prevesti na podlagi te uredbe, odvisna od finančnih sredstev, ki so na voljo v ta namen, zlasti tistih iz proračuna Unije. Komisija bi morala vzpostaviti ustrezno ureditev za učinkovito zagotavljanje prevodov državam članicam na njihovo zahtevo. Usklajevalna skupina za vstopno mesto bi morala o tem razpravljati in zagotoviti smernice o uradnem jeziku ali jezikih Unije, v katere bi bilo treba prevesti te informacije.

(36)

V skladu z Direktivo (EU) 2016/2102 Evropskega parlamenta in Sveta (16) morajo države članice zagotoviti, da so spletna mesta njihovih javnih organov dostopna v skladu z načeli zaznavnosti, uporabljivosti, razumljivosti in robustnosti in da izpolnjujejo zahteve iz navedene direktive. Komisija in države članice bi morale zagotoviti skladnost s Konvencijo Organizacije združenih narodov o pravicah invalidov, zlasti s členoma 9 in 21 Konvencije, osebam z motnjami v duševnem razvoju pa bi morale biti v čim večji možni meri zagotovljene alternative v zlahka berljivem jeziku v skladu z načelom sorazmernosti. Države članice so se z ratifikacijo in Unija s sklenitvijo (17) Konvencije zavezale, da bodo sprejele ustrezne ukrepe, s katerimi se invalidom zagotovi enak kot drugim do novih informacijskih in komunikacijskih tehnologij in sistemov, vključno z internetom, s tem, ko se spodbuja dostop do informacij za osebe z motnjami v duševnem razvoju, v čim večji možni meri in sorazmerno zagotavljajo alternative v zlahka berljivem jeziku.

(37)

Direktiva (EU) 2016/2102 se ne uporablja za spletna mesta in mobilne aplikacije institucij, organov, uradov in agencij Unije, vendar bi morala Komisija zagotoviti, da bodo skupni uporabniški vmesnik in spletne strani, za katere je odgovorna in ki bodo vključeni v vstopno mesto, dostopni invalidom, kar pomeni, da bodo zaznavna, operabilna, razumljiva in robustna. Zaznavnost pomeni, da morajo biti informacije in skupni uporabniški vmesniki uporabnikom predstavljeni na načine, ki jih lahko zaznajo; operabilnost pomeni, da je treba zagotoviti delujoče uporabniške vmesnike in navigacijo; razumljivost pomeni, da morajo biti informacije, povezane s skupnim uporabniškim vmesnikom, in njegovo delovanje razumljivi; robustnost pa pomeni, da mora biti vsebina dovolj robustna, da jo je mogoče zanesljivo razlagati z različnimi uporabniškimi agenti, tudi s podpornimi tehnologijami. V zvezi z izrazi zaznavnost, operabilnost, razumljivost in robustnost se Komisijo spodbuja, da spoštuje ustrezne harmonizirane standarde.

(38)

Da bi olajšali plačilo pristojbin, ki se zahtevajo kot del spletnih postopkov ali za zagotavljanje storitev za pomoč ali reševanje težav, bi morali čezmejni uporabniki imeti možnost, da uporabljajo kreditne prenose ali direktne bremenitve, kot je določeno v Uredbi (EU) št. 260/2012 Evropskega parlamenta in Sveta (18), ali druga plačilna sredstva, ki se običajno uporabljajo čezmejno, vključno z debetnimi ali kreditnimi karticami.

(39)

Za uporabnike je koristno, da so obveščeni o predvidenem trajanju postopka. Ustrezno bi bilo treba uporabnike obvestiti o veljavnih rokih ali tihih odobritvah ali ureditvi upravnega molka ali, če se ti ne uporabljajo, vsaj o povprečnem, ocenjenem ali okvirnem času, ki je običajno potreben za zadevni postopek. Te ocene ali navedbe bi morale zgolj pomagati uporabnikom pri načrtovanju njihovih dejavnosti ali morebitnih nadaljnjih upravnih korakov in ne bi smele imeti pravnih učinkov.

(40)

Ta uredba bi morala omogočati tudi preverjanje dokazil, ki jih uporabniki predložijo v elektronski obliki, kadar so ta dokazila predložena brez elektronskega žiga ali potrdila pristojnega organa izdajatelja ali kadar tehnično orodje, vzpostavljeno s to uredbo, ali drug sistem, ki omogoča neposredno izmenjavo ali preverjanje dokazil med pristojnimi organi različnih držav članic, ni na voljo. Za take primere bi ta uredba morala določati učinkovit mehanizem za upravno sodelovanje med pristojnimi organi držav članic na podlagi informacijskega sistema za notranji trg (IMI), vzpostavljenega z Uredbo (EU) št. 1024/2012 Evropskega parlamenta in Sveta (19). V takih primerih bi morala biti odločitev pristojnega organa za uporabo IMI prostovoljna, vendar enkrat ko organ zahtevek za informacije ali sodelovanje predloži prek IMI, bi moral zaprošeni pristojni organ obvezno sodelovati in zagotoviti odgovor. Zahtevek se lahko prek IMI pošlje pristojnemu organu, ki izdaja dokazila, ali centralnemu organu, ki ga države članice določijo skladno s svojimi upravnimi pravili. Da bi se izognili nepotrebnemu podvajanju in ker Uredba (EU) 2016/1191 Evropskega parlamenta in Sveta (20) zajema del dokazil, pomembnih za postopke iz te uredbe, se lahko ureditev sodelovanja za IMI iz Uredbe (EU) 2016/1191 uporablja tudi za druga dokazila, ki se zahtevajo v postopkih iz te uredbe. Da bi lahko organi, uradi ali agencije Unije postali udeleženci IMI, bi bilo treba spremeniti Uredbo (EU) št. 1024/2012.

(41)

Spletne storitve, ki jih zagotavljajo pristojni organi, so ključne za izboljšanje kakovosti in varnosti storitev za državljane in podjetja. Javne uprave v državah članicah vedno bolj delujejo v smeri ponovne uporabe podatkov in od državljanov in podjetij vse redkeje zahtevajo večkratno predložitev istih informacij. Za zmanjšanje dodatnega bremena, bi bilo treba ponovno uporabo podatkov spodbujati za čezmejne uporabnike.

(42)

Da se omogoči zakonita čezmejna izmenjava dokazil in informacij na podlagi uporabe načela „samo enkrat“ po vsej Uniji, bi bilo treba to uredbo in načelo „samo enkrat“ uporabljati skladno z vsemi ustreznimi pravili o varstvu podatkov, vključno z načelom najmanjšega obsega podatkov, točnosti, omejitve shranjevanja, celovitosti in zaupnosti, nujnosti, sorazmernosti in omejitve namena. Pri njenem izvajanju bi bilo treba popolnoma upoštevati tudi načelo vgrajene varnosti in načelo vgrajene zasebnosti ter spoštovati temeljne pravice posameznikov, vključno tistih v zvezi s pravičnostjo in preglednostjo.

(43)

Države članice bi morale zagotoviti, da se uporabnikom postopkov zagotovijo jasne informacije o tem, kako bodo osebni podatki, ki se nanašajo nanje, obdelani v skladu s členoma 13 in 14 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta (21) in členoma 15 in 16 Uredbe (EU) 2018/1725 (22).

(44)

Za nadaljnje spodbujanje uporabe spletnih postopkov bi morala ta uredba v skladu z načelom „samo enkrat“ zagotoviti podlago za oblikovanje in uporabo popolnoma delujočega, varnega in zanesljivega tehničnega sistema za avtomatizirano čezmejno izmenjavo dokazil med akterji, udeleženimi v postopku, kadar za to izrecno zaprosijo državljani in podjetja. Kadar izmenjava dokazil vključuje osebne podatke, bi bilo treba zahtevo šteti za izrecno, če vsebuje prostovoljen, specifičen, ozaveščen in nedvoumen izraz posameznikove volje, bodisi z izjavo ali z jasnim pritrdilnim dejanjem, da želi izvesti izmenjavo ustreznih informacij. Če uporabnik ni oseba, na katero se podatki nanašajo, postopek na spletu ne bi smel posegati v njegove pravice iz Uredbe (EU) 2016/679. Čezmejna uporaba načela „samo enkrat“ bi morala privesti do tega, da državljanom in podjetjem istih podatkov ni treba predložiti javnim organom več kot enkrat in da se ti podatki lahko uporabljajo tudi na zahtevo uporabnika za namen opravljanja čezmejnih spletnih postopkov, ki vključujejo čezmejne uporabnike. Obveznost uporabe tehničnega sistema za avtomatizirano izmenjavo dokazil med različnimi državami članicami bi za pristojni organ izdajatelj morala veljati le, kadar organi v svoji državi članici dokazila zakonito izdajajo v elektronski obliki, ki omogoča tako avtomatizirano izmenjavo.

(45)

Vsaka čezmejna izmenjava dokazil bi morala imeti ustrezno pravno podlago, kot je Direktiva 2005/36/ES, 2006/123/ES, 2014/24/EU ali 2014/25/EU oziroma za postopke iz Priloge II, drugo veljavno pravo Unije ali nacionalno pravo.

(46)

Primerno je, da ta uredba v splošnem določa, da čezmejna avtomatizirana izmenjava dokazil poteka na izrecno zahtevo uporabnika. Vendar se ta zahteva se ne bi smela uporabljati, kadar ustrezno pravo Unije ali nacionalno pravo dovoljuje avtomatizirano čezmejno izmenjavo podatkov brez izrecne zahteve uporabnika.

(47)

Uporaba tehničnega sistema, vzpostavljenega s to uredbo, bi morala ostati prostovoljna, uporabniku pa bi moralo biti omogočeno, da dokazila posreduje na druge načine, zunaj tehničnega sistema. Uporabnik bi moral imeti možnost vpogleda v dokazila in pravico, da izbere, da ne bo nadaljeval izmenjave dokazil v primeru, ko po vpogledu v dokazila, ki naj bi se izmenjala, ugotovi, da so informacije netočne, zastarele ali presegajo tisto, kar je potrebno za zadevni postopek. Podatki, vključeni v vpogled, se ne bi smeli hraniti dlje, kot je tehnično potrebno.

(48)

Varen tehnični sistem, ki bi ga bilo treba vzpostaviti za izmenjavo dokazil v skladu s to uredbo, bi moral pristojnim organom prosilcem jamčiti, da je dokazilo izdal pravi organ. Pristojni organ bi moral imeti možnost, da pred sprejetjem informacij, ki jih v okviru postopka zagotovi uporabnik, preveri informacije v primeru dvoma, in pride do zaključka, da so točne.

(49)

Obstaja več gradnikov, ki ponujajo osnovne zmogljivosti in se lahko uporabijo za vzpostavitev tehničnega sistema, kot je gradnik Instrumenta za povezovanje Evrope, vzpostavljenega z Uredbo (EU) št. 1316/2013 Evropskega parlamenta in Sveta (23), ter gradnika e-dostave in elektronske identifikacije, ki sta sestavna dela Instrumenta za povezovanje Evrope. Te gradnike sestavljajo tehnične specifikacije, vzorci programske opreme in podporne storitve, njihov namen pa je zagotavljati interoperabilnost med obstoječimi sistemi informacijske in komunikacijske tehnologije v različnih državah članicah, tako da lahko državljani, podjetja in uprave, kjer koli se nahajajo v Uniji, uporabljajo brezšivne digitalne javne storitve.

(50)

Tehnični sistem, vzpostavljen s to uredbo, bi moral biti na voljo poleg drugih sistemov, ki zagotavljajo mehanizme za sodelovanje med organi, kot je IMI, in ne bi smel vplivati na druge sisteme, vključno s sistemom iz Uredbe (ES) št. 987/2009, enotnim evropskim dokumentom v zvezi z oddajo javnega naročila iz Direktive 2014/24/EU, elektronsko izmenjavo informacij socialne varnosti iz Uredbe (ES) št. 987/2009, evropsko poklicno izkaznico iz Direktive 2005/36/ES, medsebojno povezavo nacionalnih registrov ter medsebojno povezavo centralnih in trgovinskih registrov ter registrov podjetij iz Direktive (EU) 2017/1132 Evropskega parlamenta in Sveta (24) ter medsebojno povezanost registrov insolventnosti iz Uredbe (EU) 2015/848 Evropskega parlamenta in Sveta (25).

(51)

Da bi se zagotovili enotni pogoji za izvajanje tehničnega sistema za avtomatizirano izmenjavo dokazil, bi bilo treba na Komisijo prenesti izvedbena pooblastila za določitev zlasti tehničnih in operativnih specifikacij sistema za obdelavo zahtevka uporabnika za izmenjavo dokazil, prenos takih dokazil, kot tudi za določitev pravil, potrebnih za zagotovitev integritete in zaupnosti prenosa. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (26).

(52)

Za zagotovitev visoke ravni varnosti tehničnega sistema za čezmejno uporabo načela „samo enkrat“ pri sprejemanju izvedbenih aktov, bi morala Komisija pri sprejemanju izvedbenih aktov, s katerimi določi specifikacije takega tehničnega sistema, ustrezno upoštevati standarde in tehnične specifikacije, ki jih pripravijo evropske in mednarodne organizacije in organi za standardizacijo, zlasti Evropski odbor za standardizacijo (CEN), Evropski inštitut za telekomunikacijske standarde (ETSI), Mednarodna organizacija za standardizacijo (ISO) in Mednarodna telekomunikacijska zveza (ITU), kakor tudi varnostne standarde iz člena 32 Uredbe (EU) 2016/679 in člena 22 Uredbe (EU) 2018/1725.

(53)

Kadar je to potrebno za zagotovitev razvoja, razpoložljivosti, vzdrževanja, nadzora, spremljanja in varnostnega upravljanja delov tehničnega sistema, za katere je odgovorna Komisija, bi morala Komisija po potrebi za nasvet zaprositi Evropskega nadzornika za varstvo podatkov.

(54)

Pristojni organi in Komisija bi morali zagotoviti, da so informacije, postopki in storitve, za katere so odgovorni, skladne z merili glede kakovosti. Nacionalni koordinatorji, imenovani na podlagi te uredbe, in Komisija bi morali redno nadzirati skladnost z merili glede kakovosti in varnosti na nacionalni ravni oziroma ravni Unije ter obravnavati morebitne težave. Nacionalni koordinatorji bi morali poleg tega pomagati Komisiji pri spremljanju delovanja tehničnega sistema, ki omogoča čezmejno izmenjavo dokazil. Ta uredba bi morala Komisiji zagotoviti vrsto sredstev za obravnavo poslabšanja kakovosti storitev, zagotovljenih prek vstopnega mesta, odvisno od resnosti in trajanja takega poslabšanja, po potrebi z vključitvijo usklajevalne skupine za vstopno mesto. To ne bi smelo prejudicirati splošne odgovornosti Komisije v zvezi s spremljanjem skladnosti s to uredbo.

(55)

Ta uredba bi morala podrobno določiti glavne funkcije tehničnih orodij, ki podpirajo delovanje vstopnega mesta, zlasti skupnega uporabniškega vmesnika, repozitorija za povezave in skupnega iskalnika storitev za pomoč. Skupni uporabniški vmesnik bi moral zagotoviti, da lahko uporabniki na nacionalnih spletnih mestih in na spletnih mestih Unije zlahka najdejo informacije, postopke ter storitve za pomoč in reševanje težav. Države članice in Komisija bi si morale prizadevati za zagotavljanje povezav do enega samega vira informacij, potrebnih za vstopno mesto, da se prepreči zmeda med uporabniki, ki jo povzročajo različni, popolnoma ali delno podvojeni viri z enakimi informacijami. To ne bi smelo izključiti možnosti zagotavljanja povezav z istimi informacijami, ki jih nudijo lokalni ali regionalni pristojni organi glede različnih geografskih območij. Prav tako to ne bi smelo preprečiti določenega podvajanja informacij, kadar je to neizogibno ali zaželeno, na primer, kadar se nekatere pravice, obveznosti in pravila Unije ponovijo ali so opisani na nacionalnih spletnih straneh zaradi večje prijaznosti do uporabnika. Za zmanjšanje človeškega posredovanja pri posodabljanju povezav, ki se uporabljajo pri skupnem uporabniškem vmesniku, bi bilo treba, kadar je to tehnično izvedljivo, vzpostaviti neposredno povezavo med ustreznimi tehničnimi sistemi držav članic in repozitorijem za povezave. Skupna podporna orodja informacijske in komunikacijske tehnologije lahko za izboljšanje interoperabilnosti s katalogi in semantiko storitev na nacionalni ravni uporabljajo osnovno besedišče javnih storitev (CPSV). Države članice bi bilo treba spodbujati k uporabi CPSV, vendar se lahko odločijo za uporabo nacionalnih rešitev. Informacije, vključene v repozitorij za povezave, bi morale biti javno dostopne v odprti, splošno uporabljeni in strojno berljivi obliki, na primer z vmesniki za aplikacijsko programiranje, da se omogoči njihova ponovna uporaba.

(56)

Iskalni pripomoček skupnega uporabniškega vmesnika bi moral uporabnike usmeriti k informacijam, ki jih potrebujejo kjer koli že je, na spletnih straneh Unije ali na nacionalnih spletnih straneh. Poleg tega bo kot alternativni način usmerjanja uporabnikov k koristnim informacijam še naprej koristen za vzpostavljanje povezav med obstoječimi in komplementarnimi spletnimi mesti ali spletnimi stranmi, njihovo čim večje poenostavljanje in združevanje ter vzpostavljanje povezav med spletnimi stranmi in spletnimi mesti na ravni Unije in na nacionalni ravni, ki zagotavljajo dostop do spletnih storitev in informacij.

(57)

V tej uredbi bi morale biti navedene tudi zahteve glede kakovosti za skupni uporabniški vmesnik. Komisija bi morala zagotoviti, da je skupni uporabniški vmesnik skladen s temi zahtevami, še zlasti pa, da je vmesnik na voljo in dostopen na spletu prek različnih kanalov ter da je enostaven za uporabo.

(58)

Za zagotovitev enotnih pogojev izvajanja tehničnih rešitev, ki podpirajo delovanje vstopnega mesta, bi bilo treba na Komisijo prenesti izvedbena pooblastila za določitev, kadar je potrebno, veljavnih standardov in zahtev glede interoperabilnosti, da se lažje najdejo informacije o pravilih in obveznostih, postopkih ter storitvah za pomoč in reševanje težav, za katere so odgovorne države članice in Komisija. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011.

(59)

Ta uredba bi morala tudi jasno razdeliti odgovornost za razvoj, razpoložljivost, vzdrževanje in varnost aplikacij informacijske in komunikacijske tehnologije, ki podpirajo delovanje vstopnega mesta, med Komisijo in države članice. Komisija in države članice bi morale v okviru svojih nalog vzdrževanja redno spremljati pravilno delovanje teh aplikacij informacijske in komunikacijske tehnologije.

(60)

Da bi omogočili vse možnosti različnih področij informacij in postopkov ter storitev za pomoč in reševanje težav, ki bi jih bilo treba vključiti v vstopno mesto, je treba močno izboljšati poznavanje ciljnih skupin o njihovem obstoju in delovanju. Njihova vključitev v vstopno mesto bi morala uporabnikom omogočiti, da precej lažje najdejo informacije in postopke ter storitve za pomoč in reševanje težav, tudi če jih ne poznajo. Poleg tega bodo potrebne usklajene promocijske dejavnosti za zagotovitev, da se državljani in podjetja iz Unije seznanijo z obstojem vstopnega mesta in koristmi, ki jih ponuja. Take promocijske dejavnosti bi morale vključevati optimizacijo iskalnikov in druge ukrepe za večjo ozaveščenost o spletu, saj so ti stroškovno najučinkovitejši in lahko pomagajo doseči kar največjo ciljno publiko. Za največjo učinkovitost bi bilo treba te promocijske dejavnosti usklajevati v okviru usklajevalne skupine za vstopno mesto, države članice pa bi morale svoja prizadevanja za promocijo prilagoditi tako, da bi vsi ustrezni okviri vsebovali skupen značilen sklic, z možnostjo povezovanja vstopnega mesta z nacionalnimi pobudami.

(61)

Vse institucije, organe in agencije Unije bi bilo treba pozvati k spodbujanju uporabe vstopnega mesta tako, da njegov logotip in povezave do njega vključijo v vse ustrezne spletne strani, za katere so odgovorni.

(62)

Ime, pod katerim je vstopno mesto znano in promovirano v splošni javnosti, bi moralo biti „Tvoja Evropa“. Skupni uporabniški vmesnik bi moral biti prepoznaven in bi se ga moralo dati zlahka najti, zlasti na ustreznih spletnih straneh Unije in nacionalnih spletnih straneh. Logotip vstopnega mesta bi moral biti viden na ustreznih spletnih mestih Unije in nacionalnih spletnih mestih.

(63)

Za pridobivanje ustreznih informacij za ocenjevanje in izboljšanje uspešnosti vstopnega mesta bi morala ta uredba od pristojnih organov in Komisije zahtevati zbiranje in analizo podatkov, povezanih z uporabo različnih področij informacij, postopkov in storitev, zagotovljenih prek vstopnega mesta. Z zbiranjem statističnih podatkov uporabnikov, kot so podatki v zvezi s številom obiskovalcev posameznih spletnih strani, številom uporabnikov v neki državi članici v primerjavi s številom uporabnikov iz drugih držav članic, uporabljene iskalne besede, najbolj obiskane spletne strani, referenčne spletne strani ali število, izvor in vsebina zahtevkov za pomoč, bi se moralo izboljšati delovanje vstopnega mesta, saj bi bilo lažje opredeliti publiko, razvijati promocijske dejavnosti in izboljšati kakovost ponujenih storitev. Pri zbiranju teh podatkov bi bilo treba upoštevati letno primerjalno analizo e-uprave, ki jo izvede Komisija, da se prepreči podvajanje.

(64)

Da se zagotovijo enotni pogoji izvajanja te uredbe, bi bilo treba na Komisijo prenesti izvedbena pooblastila za določitev enotnih pravil o načinu zbiranja in izmenjave statističnih podatkov o uporabnikih. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011.

(65)

Kakovost vstopnega mesta je odvisna od kakovosti storitev Unije in nacionalnih storitev, ki se zagotavljajo prek njega. Zato bi bilo treba redno spremljati tudi kakovost informacij in postopkov ter storitev za pomoč in reševanje težav, ki so na voljo prek vstopnega mesta, prek orodja za povratne informacije uporabnikov, s katerim se uporabnike zaprosi, da ocenijo zajemanja in kakovosti informacij, postopka ali storitve za pomoč in reševanje težav, ki so jih uporabili, ter dajanje povratnih informacij o njih. Te povratne informacije bi bilo treba zbirati v skupnem orodju, do katerega bi morali imeti dostop Komisija, pristojni organi in nacionalni koordinatorji. Da se zagotovijo enotni pogoji za izvajanje te uredbe v zvezi s skupnimi funkcijami orodij za povratne informacije uporabnikov ter podrobna ureditev za zbiranje in izmenjavo povratnih informacij uporabnikov, bi bilo treba na Komisijo prenesti izvedbena pooblastila. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011. Komisija bi morala objaviti anonimne spletne preglede težav, ki izhajajo iz informacij, glavne statistične podatke o uporabnikih in glavne povratne informacije uporabnikov, zbranih v skladu s to uredbo.

(66)

Poleg tega bi moralo vstopno mesto vključevati orodje za povratne informacije, ki uporabnikom omogoča, da prostovoljno in anonimno sporočijo vse težave in nevšečnosti, ki so jih imeli pri uveljavljanju svojih pravic na notranjem trgu. To orodje bi moralo zgolj dopolnjevati mehanizme za reševanje pritožb, saj uporabnikom ne more nuditi prilagojenega odziva. Prejet odziv bi bilo treba združiti z zbirnimi informacijami storitev za pomoč in reševanje težav o primerih, ki so jih obravnavale, da se pripravi pregled notranjega trga, kot ga dojemajo njegovi uporabniki, in opredelijo težavna področja, v zvezi s katerimi bodo v prihodnosti morda potrebni ukrepi za izboljšanje delovanja notranjega trga. Ta pregled bi moral biti povezan z obstoječimi orodji za poročanje, kot je pregled enotnega trga.

(67)

Ta uredba ne bi smela vplivati na pravico držav članic, da odločijo, kdo ima vlogo nacionalnega koordinatorja. Države članice bi morale imeti možnost, da funkcije in odgovornosti njihovih nacionalnih koordinatorjev, povezane z vstopnim mestom, prilagodijo svojim notranjim upravnim strukturam. Države članice bi morale možnost, da imenujejo dodatne nacionalne koordinatorje, ki sami ali skupaj z drugimi opravljajo naloge v skladu s to uredbo, in so pristojni za organizacijsko enoto uprave ali geografsko regijo, ali pa se njihova pristojnost določi v skladu z drugimi merili. Države članice bi morale Komisiji sporočiti identiteto enega samega nacionalnega koordinatorja, ki so ga imenovale za stike s Komisijo.

(68)

Oblikovati bi bilo treba usklajevalno skupino za vstopno mesto, ki bi jo sestavljali nacionalni koordinatorji in bi ji predsedovala Komisija, z namenom spodbujati uporabo te uredbe, zlasti z izmenjavo najboljših praks in sodelovanjem, da bi se izboljšala doslednost predstavitve informacij skladno z zahtevami te uredbe. Pri delu usklajevalne skupine za vstopno mesto bi bilo treba upoštevati cilje iz letnega delovnega programa, ki bi ji ga morala Komisija predložiti v obravnavo. Letni delovni program bi moral biti v obliki smernic ali priporočil, ki so za države članice nezavezujoči. Komisija se na zahtevo Evropskega parlamenta lahko odloči, da Parlament povabi, da pošlje strokovnjake, ki se udeležijo sestankov usklajevalne skupine za vstopno mesto.

(69)

Ta uredba bi morala razjasniti, kateri deli vstopnega mesta se financirajo prek proračuna Unije in kateri deli so v pristojnosti držav članic. Komisija bi morala državam članicam pomagati pri identifikaciji ponovno uporabljivih gradnikov informacijske in komunikacijske tehnologije in pri financiranju, ki je na voljo prek različnih skladov in programov na ravni Unije, ki lahko prispeva h kritju stroškov za prilagoditve in razvoj informacijske in komunikacijske tehnologije, potrebnih na nacionalni ravni za zagotovitev skladnosti s to uredbo. Proračunska sredstva, potrebna za izvajanje te uredbe, bi morala biti v skladu z veljavnim večletnim finančnim okvirom.

(70)

Države članice se spodbuja k usklajevanju, izmenjavi in tesnejšemu medsebojnemu sodelovanju, da bi povečale svoje strateške, operativne, raziskovalne in razvojne zmogljivosti na področju kibernetske varnosti, zlasti z izvajanjem varnosti omrežij in informacijskih sistemov iz Direktive (EU) 2016/1148 Evropskega parlamenta in Sveta (27), da bi okrepile varnost in odpornost svojih javnih uprav in storitev. Države članice se spodbuja, naj povečajo varnost transakcij in zagotovijo zadostno raven zaupanja v elektronska sredstva z uporabo okvira eIDAS, določenega v Uredbi (EU) št. 910/2014, zlasti pa zadostne ravni jamstev. Države članice lahko sprejmejo ukrepe v skladu s pravom Unije za ohranjanje kibernetske varnosti in preprečevanje zlorabe identitete ali drugih oblik goljufij.

(71)

Kadar izvajanje te uredbe vključuje obdelavo osebnih podatkov, bi jo bilo treba izvesti v skladu s pravom Unije o varstvu osebnih podatkov, zlasti Uredbo (EU) 2016/679 in Uredbo (EU) 2018/1725. V okviru te uredbe bi se morala uporabljati tudi Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta (28). Kot je določeno v Uredbi (EU) 2016/679, lahko države članice ohranijo ali uvedejo dodatne pogoje, vključno z omejitvami, glede obdelave podatkov v zvezi z zdravjem, in lahko tudi določijo bolj podrobna pravila o obdelavi osebnih podatkov zaposlenih v okviru zaposlitve.

(72)

Ta uredba bi morala spodbujati in olajšati poenostavitev ureditve upravljanja za storitve, ki jih zajema vstopno mesto. V ta namen bi morala Komisija v tesnem sodelovanju z državami članicami pregledati obstoječe ureditve upravljanja in jih po potrebi prilagoditi, da bi preprečili podvajanje in neučinkovitost.

(73)

Cilj te uredbe je uporabnikom, ki so dejavni v drugi državi članici, zagotoviti spletni dostop do celovitih, zanesljivih, dostopnih in razumljivih informacij Unije in nacionalnih informacij o pravicah, pravilih in obveznostih, do spletnih postopkov, ki so v celoti izvedljivi čezmejno, ter do storitev za pomoč in reševanje težav. Ker tega cilja države članice ne morejo zadovoljivo doseči, temveč se zaradi obsega in učinkov te uredbe lažje doseže na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenega cilja.

(74)

Da lahko države članice in Komisija razvijejo in izvajajo orodja, potrebna za izvajanje te uredbe, bi morale nekatere njene določbe začeti veljati dve leti po datumu začetka njene veljavnosti. Občinski organi bi morali imeti po datumu začetka veljavnosti te uredbe, še štiri leta časa, da izvedejo zahtevo za zagotovitev informacij glede pravil, postopkov in storitev za pomoč in reševanje težav, za katere so odgovorni. Določbe te uredbe o postopkih, ki se ponujajo v celoti na spletu, čezmejnem dostopu do spletnih postopkov in tehničnemu sistemu za čezmejno avtomatizirano izmenjavo dokazil v skladu z načelom „samo enkrat“ bi se morale začeti izvajati najpozneje pet let po datumu začetka veljavnosti te uredbe.

(75)

Ta uredba spoštuje temeljne pravice in upošteva načela, priznana zlasti v Listini Evropske unije o temeljnih pravicah, in bi jo bilo treba izvajati v skladu s temi pravicami in načeli.

(76)

Opravljeno je bilo posvetovanje z Evropskim nadzornikom za varstvo podatkov v skladu s členom 28(2) Uredbe (ES) št. 45/2001 Evropskega parlamenta in Sveta (29), ki je svoje mnenje podal 1. avgusta 2017 (30) –

SPREJELA NASLEDNJO UREDBO:

POGLAVJE I

SPLOŠNE DOLOČBE

Člen 1

Predmet urejanja

1.   V tej uredbi so določena pravila o:

(a)

vzpostavitvi in delovanju enotnega digitalnega vstopnega mesta, da se državljanom in podjetjem omogoči enostaven dostop do kakovostnih informacij, učinkovitih postopkov ter uspešnih storitev za pomoč in reševanje težav glede pravil Unije in nacionalnih pravil, veljavnih za državljane in podjetja, ki uveljavljajo ali nameravajo uveljavljati svoje pravice, ki izhajajo iz prava Unije na področju notranjega trga, v smislu člena 26(2) PDEU;

(b)

uporabi postopkov s strani čezmejnih uporabnikov in izvajanje načela „samo enkrat“ v zvezi s postopki iz Priloge II k tej uredbi in postopki, določenimi v direktivah 2005/36/ES, 2006/123/ES, 2014/24/EU in 2014/25/EU;

(c)

poročanju o ovirah na notranjem trgu na podlagi zbranih povratnih informacij uporabnikov in statističnih podatkov storitev, ki jih zagotavlja vstopno mesto.

2.   Kadar je ta uredba v nasprotju z določbo drugega akta Unije, ki ureja določene vidike predmeta urejanja te uredbe, se uporablja določba iz tega drugega akta Unije.

3.   Ta uredba ne vpliva na vsebino postopkov, določenih na ravni Unije ali nacionalni ravni v zvezi s področji, ki jih ureja ta uredba, niti na pravice, ki iz njih izhajajo. Nadalje ta uredba ne vpliva na ukrepe, sprejete v skladu s pravom Unije za zaščito kibernetske varnosti in preprečevanje goljufij.

Člen 2

Vzpostavitev enotnega digitalnega vstopnega mesta

1.   Enotno digitalno vstopno mesto (v nadaljnjem besedilu: vstopno mesto) vzpostavijo Komisija in države članice v skladu s to uredbo. Vstopno mesto je sestavljeno iz skupnega uporabniškega vmesnika, ki ga upravlja Komisija (v nadaljnjem besedilu: skupni uporabniški vmesnik), ki se integrira v portal Tvoja Evropa in omogoča dostop do ustreznih spletnih strani Unije in nacionalnih spletnih strani.

2.   Vstopno mesto omogoča dostop do:

(a)

informacij o pravicah, obveznostih in pravilih, ki jih določata pravo Unije in nacionalno pravo in ki veljajo za uporabnike, ki uveljavljajo ali nameravajo uveljavljati svoje pravice, ki izvirajo iz prava Unije na notranjem trgu na področjih iz Priloge I;

(b)

informacij o spletnih in nespletnih postopkih ter povezavah do spletnih postopkov, vključno s postopki, zajetimi v Prilogi II, vzpostavljenih na ravni Unije ali nacionalni ravni, za omogočanje uporabnikom, da uveljavljajo pravice in upoštevajo obveznosti in pravila na področju notranjega trga na področjih iz Priloge I;

(c)

informacij o storitvah za pomoč in reševanje težav iz Priloge III ali člena 7, ki jih lahko državljani in podjetja uporabijo, če imajo vprašanja ali težave v zvezi s pravicami, obveznostmi, pravili ali postopki iz točk (a) in (b) tega odstavka, ter povezav do njih.

3.   Skupni uporabniški vmesnik je dostopen v vseh uradnih jezikih Unije.

Člen 3

Opredelitev pojmov

V tej uredbi se uporabljajo naslednje opredelitve pojmov:

(1)

„uporabnik“ pomeni državljana Unije, fizično osebo, ki prebiva v državi članici, ali pravno osebo s sedežem v državi članici, ki prek vstopnega mesta dostopa do informacij, postopkov ali storitev za pomoč ali reševanje težav iz člena 2(2);

(2)

„čezmejni uporabnik“ pomeni uporabnika, ki je v situaciji, ki v nobenem pogledu ni omejena na eno samo državo članico;

(3)

„postopek“ pomeni zaporedje korakov, ki jih morajo uporabniki izvesti za izpolnitev zahtev ali pridobitev sklepa od pristojnega organa, da lahko uveljavljajo svoje pravice iz točke (a) člena 2(2);

(4)

„pristojni organ“ pomeni kateri koli organ ali telo države članice, ustanovljen na nacionalni, regionalni ali lokalni ravni, ki ima posebne pristojnosti v zvezi z informacijami, postopki ter storitvami za pomoč in reševanje težav iz te uredbe;

(5)

„dokazilo“ pomeni kateri koli dokument ali podatek, vključno z besedilom, zvočnim, vizualnim ali avdiovizualnim posnetkom, ne glede na uporabljeni medij, ki ga pristojni organ potrebuje za dokazovanje dejstev ali skladnosti s postopkovnimi zahtevami iz točke (b) člena 2(2).

POGLAVJE II

STORITVE VSTOPNEGA MESTA

Člen 4

Dostop do informacij

1.   Države članice zagotovijo, da imajo uporabniki na nacionalnih spletnih straneh enostaven, spletni dostop do:

(a)

informacij o pravicah, obveznostih in pravilih iz točke (a) člena 2(2), ki izhajajo iz nacionalnega prava;

(b)

informacij o postopkih iz točke (b) člena 2(2), ki so vzpostavljeni na nacionalni ravni;

(c)

informacij o storitvah za pomoč in reševanje težav iz točke (c) člena 2(2), ki so zagotovljene na nacionalni ravni.

2.   Komisija zagotovi, da portal Tvoja Evropa uporabnikom nudi enostaven spletni dostop do:

(a)

informacij o pravicah, obveznostih in pravilih iz točke (a) člena 2(2), ki izhajajo iz prava Unije;

(b)

informacij o postopkih iz točke (b) člena 2(2), ki so vzpostavljeni na ravni Unije;

(c)

informacij o storitvah za pomoč in reševanje težav iz točke (c) člena 2(2), ki so zagotovljene na ravni Unije.

Člen 5

Dostop do informacij, ki niso vključene v Prilogo I

1.   Države članice in Komisija lahko zagotovijo povezave do informacij, ki jih dajejo na voljo pristojni organi, Komisija ali organi, uradi in agencije Unije s področij, ki niso navedena v Prilogi I, pod pogojem, da te informacije spadajo na področje uporabe vstopnega mesta, kot je opredeljeno v točki (a) člena 1(1), in so skladne z zahtevami glede kakovosti iz člena 9.

2.   Povezave do informacij iz odstavka 1 tega člena se zagotovijo v skladu s členom 19(2) in (3).

3.   Preden Komisija aktivira kakršnekoli povezave, preveri, da so izpolnjeni pogoji iz odstavka 1 ter se posvetuje z usklajevalno skupino za vstopno mesto.

Člen 6

Postopki, ki se jih ponuja v celoti na spletu

1.   Vsaka država članica zagotovi, da lahko uporabniki do vseh postopkov iz Priloge II dostopajo ter jih opravijo v celoti na spletu, pod pogojem, da so ti postopki vzpostavljani v zadevni državi članici.

2.   Postopki iz odstavka 1 štejejo za popolnoma spletne, kadar:

(a)

je mogoče vse – identifikacijo uporabnikov, predložitev informacij in dokazil, podpis in končno vložitev – opraviti elektronsko na daljavo prek storitvenega kanala, ki uporabnikom omogoča, da zahteve, povezane s postopkom, izpolnjujejo na uporabniku prijazen in strukturiran način;

(b)

uporabniki prejmejo avtomatsko potrdilo o prejemu, razen če se rezultat postopka zagotovi takoj;

(c)

se izid postopka dostavi elektronsko ali kadar je treba s fizično dostavo zadostiti veljavnemu pravu Unije ali nacionalnemu pravu; in

(d)

uporabniki prejmejo elektronsko obvestilo o opravljenem postopku.

3.   Kadar v ustrezno utemeljenih izjemnih primerih nujnega razloga v javnem interesu na področju javne varnosti, javnega zdravja ali boja proti goljufijam cilja ni mogoče doseči v celoti na spletu, lahko države članice zahtevajo, da se uporabnik kot korak v postopku osebno zglasi pri pristojnem organu. V takih izjemnih primerih države članice osebno navzočnost omejijo na navzočnost, ki je nujno potrebna in objektivno upravičena, ter zagotovijo, da je mogoče druge faze postopka opraviti v celoti na spletu. Države članice bi morale tudi zagotoviti, da zahteve glede osebne navzočnosti ne bi pomenile diskriminacije čezmejnih uporabnikov.

4.   Države članice prek skupnega repozitorija, ki je dostopen Komisiji in ostalim državam članicam uradno sporočijo in pojasnijo razloge iz katerih in okoliščine v katerih se lahko zahteva osebna navzočnost za postopkovne korake iz odstavka 3 ter razloge iz katerih in okoliščine v katerih je potrebna fizična dostava, kot je navedeno v točki (c) odstavka 2.

5.   Ta člen državam članicam ne preprečuje, da uporabnikom zagotovijo dodatne možnosti dostopa do postopkov iz točke (b) člena 2(2) in opravljanja le-teh tudi kako drugače, ne le prek spleta, ali da jih neposredno kontaktirajo.

Člen 7

Dostop do storitev za pomoč in reševanje težav

1.   Države članice in Komisija zagotovijo, da imajo uporabniki, vključno s čezmejnimi uporabniki, prek različnih kanalov enostaven spletni dostop do storitev za pomoč in reševanje težav iz točke (c) člena 2(2).

2.   Nacionalni koordinatorji iz člena 28 in Komisija lahko poleg povezav do storitev za pomoč in reševanje težav iz Priloge III, ki jih zagotovijo v skladu s členom 19(2) in (3), zagotovijo tudi povezave do storitev za pomoč in reševanje težav, ki jih zagotavljajo pristojni organi, Komisija ali organi, uradi in agencije Unije, pod pogojem, da take storitve izpolnjujejo zahteve glede kakovosti iz členov 11 in 16.

3.   Kadar je to potrebno za izpolnjevanje potreb uporabnikov, lahko nacionalni koordinator Komisiji predlaga vključitev povezav do storitev za pomoč ali reševanje težav, ki jih zagotavljajo zasebni ali polzasebni subjekti, v vstopno mesto, kadar te storitve izpolnjujejo naslednje pogoje:

(a)

zagotavljajo informacije ali pomoč na področjih in za namene, zajete v tej uredbi, ter dopolnjuje storitve, ki so že vključene v vstopno mesto;

(b)

so brezplačne ali se zaračunajo po ceni, dostopni za mikropodjetja, nepridobitne ustanove in državljane, ter

(c)

izpolnjujejo zahteve iz členov 8, 11 in 16.

4.   Kadar je nacionalni koordinator predlagal vključitev povezave v skladu z odstavkom 3 tega člena in takšno povezavo zagotovi v skladu s členom 19(3), Komisija oceni, ali storitev, ki naj bi jo vključili prek povezave, izpolnjuje pogoje iz odstavka 3 tega člena, in če je to tako, povezavo aktivira.

Kadar Komisija ugotovi, da storitev, ki naj bi bila vključena, pogojev iz odstavka 3 ne izpolnjuje, obvesti nacionalnega koordinatorja o razlogih za neaktiviranje povezave.

Člen 8

Zahteve glede kakovosti v zvezi s spletno dostopnostjo

Komisija poveča dostopnost do spletnih strani in spletnih mest, prek katerih omogoči dostop do informacij iz člena 4(2) in storitev za pomoč in reševanje težav iz člena 7, s tem ko poskrbi, da so zaznavni, uporabljivi, razumljivi in robustni.

POGLAVJE III

ZAHTEVE GLEDE KAKOVOSTI

ODDELEK 1

Zahteve glede kakovosti v zvezi z informacijami o pravicah, obveznostih in pravilih, o postopkih ter o storitvah za pomoč in reševanje težav

Člen 9

Kakovost informacij o pravicah, obveznostih in pravilih

1.   Kadar so države članice in Komisija v skladu s členom 4 odgovorne za zagotavljanje dostopa do informacij iz točke (a) člena 2(2), se prepričajo, da te informacije izpolnjujejo naslednje zahteve:

(a)

so uporabnikom prijazne in jih je mogoče zlahka najti in razumeti ter zlahka način ugotoviti, kateri del informacij je relevanten za specifične uporabnikove okoliščine;

(b)

so točne in dovolj izčrpne, da zajemajo informacije, ki jih morajo uporabniki poznati za uveljavljanje svojih pravic popolnoma v skladu z veljavnimi pravili in obveznostmi;

(c)

po potrebi vključujejo sklice in povezave do pravnih aktov, tehničnih specifikacij in smernic;

(d)

vključujejo ime pristojnega organa ali subjekta, odgovornega za vsebino informacij;

(e)

vključujejo kontaktne podatke ustreznih storitev za pomoč ali reševanje težav, na primer telefonsko številko, elektronsko pošto, spletni obrazec ali druge splošno uporabljane načine elektronskega komuniciranja, ki so najprimernejši za ponujeno vrsto storitve in za njene ciljne naslovnike;

(f)

vključujejo datum morebitne zadnje posodobitve informacij, kadar pa informacije niso bile posodobljene, datum objave informacij;

(g)

so dobro strukturirane in predstavljene, tako da lahko uporabniki hitro najdejo informacije, ki jih potrebujejo;

(h)

se redno posodabljajo ter

(i)

so napisane v jasnem in preprostem jeziku, prilagojenem potrebam ciljnih uporabnikov.

2.   Države članice v skladu s členom 12 zagotovijo, da so informacije iz odstavka 1 tega člena dostopne v uradnem jeziku Unije, ki ga dobro razume največje možno število čezmejnih uporabnikov.

Člen 10

Kakovost informacij o postopkih

1.   Države članice in Komisija za skladnost s členom 4 zagotovijo, da imajo uporabniki, še preden morajo izkazati svojo istovetnost pred začetkom postopka, dostop do dovolj izčrpnega, jasnega in uporabniku prijaznega pojasnila naslednjih elementov postopkov iz točke (b) člena 2(2), kadar je potrebno:

(a)

ustreznih faz postopka, ki jih mora opraviti uporabnik, vključno z vsemi izjemami na podlagi člena 6(3) glede obveznosti držav članic, da postopek v celoti ponudijo na spletu;

(b)

imena pristojnega organa, odgovornega za postopek, in njegovih kontaktnih podatkov;

(c)

sprejetih sredstev za avtentikacijo, izkazovanje istovetnosti in podpis za postopek;

(d)

vrste in oblike dokazil, ki jih je treba predložiti;

(e)

pravnih sredstev ali možnosti pritožbe, ki so običajno na voljo v primeru sporov s pristojnimi organi;

(f)

veljavnih pristojbin in spletnih načinov plačila;

(g)

rokov, ki jih mora upoštevati uporabnik ali pristojni organ, kadar rokov ni, pa dostop do povprečnega, ocenjenega ali okvirnega časa, ki ga pristojni organ potrebuje za izvedbo postopka;

(h)

vseh pravil, ki veljajo v primeru, da ni odgovora pristojnega organa in pravne posledice za uporabnika v takem primeru, vključno z ureditvijo glede tihe odobritve ali upravnega molka;

(i)

vseh dodatnih jezikov, v katerih je mogoče opraviti postopek.

2.   Če tihe odobritve, upravnega molka ali podobne ureditve ni, pristojni organ po potrebi obvesti uporabnike o zamudah in podaljšanju rokov ali vseh posledicah zamud in podaljšanih rokov.

3.   Kadar imajo nečezmejni uporabniki že na voljo pojasnilo iz odstavka 1, ga je mogoče po potrebi uporabiti ali ponovno uporabiti za namene te uredbe, pod pogojem, da vsebuje informacije v zvezi z okoliščinami čezmejnih uporabnikov.

4.   Države članice v skladu s členom 12 zagotovijo, da je pojasnilo iz odstavka 1 tega člena dostopno tudi v uradnem jeziku Unije, ki ga dobro razume največje možno število čezmejnih uporabnikov.

Člen 11

Kakovost informacij o storitvah za pomoč in reševanje težav

1.   Za skladnost s členom 4 države članice in Komisija zagotovijo, da imajo uporabniki, preden zaprosijo za storitev iz točke (c) člena 2(2), dostop do jasnega in uporabniku prijaznega pojasnila naslednjih elementov:

(a)

vrste, namena in pričakovanih rezultatov zagotovljene storitve;

(b)

kontaktnih podatkov subjektov, odgovornih za te storitve, na primer telefonske številke, elektronske pošte, spletnega obrazca ali drugih splošno uporabljanih načinov elektronskega komuniciranja, ki so najprimernejši za ponujeno vrsto storitve in za njene ciljne naslovnike;

(c)

kadar je ustrezno, veljavnih pristojbin in spletnih načinov plačila;

(d)

vseh veljavnih rokov, ki se jih je treba držati, kadar rokov ni, pa do povprečnega ali okvirnega časa za izvedbo storitve;

(e)

vseh morebitnih dodatnih jezikov, v katerih je mogoče oddati zahtevek in jih uporabiti pri nadaljnjih stikih.

2.   Države članice v skladu s členom 12 zagotovijo, da je pojasnilo iz odstavka 1 tega člena dostopno v uradnem jeziku Unije, ki ga dobro razume največje možno število čezmejnih uporabnikov.

Člen 12

Prevod informacij

1.   Kadar država članica informacij, pojasnil in navodil iz členov 9, 10, 11 in točke (a) člena 13(2) ne zagotovi v enem od uradnih jezikov Unije, ki ga dobro razume največje možno število čezmejnih uporabnikov, ta država članica od Komisije zahteva, da zagotovi prevod v ta jezik v okviru razpoložljivega proračuna Unije, kot je navedeno v točki (c) člena 32(1).

2.   Države članice zagotovijo, da besedila, ki se pošljejo v prevod v skladu z odstavkom 1 tega člena, zajemajo vsaj osnovne informacije z vseh področij iz Priloge I in, kadar je na voljo dovolj proračunskih sredstev Unije, zajamejo tudi dodatne informacije, pojasnila in navodila iz členov 9, 10, 11 in točke (a) člena 13(2), ob upoštevanju najpomembnejših potreb čezmejnih uporabnikov. Države članice zagotovijo povezave do teh prevedenih informacij v repozitoriju za povezave iz člena 19.

3.   Jezik iz odstavka 1 je uradni jezik Unije, ki se ga uporabniki v Uniji najpogosteje učijo kot tujega jezika. Kadar se predvideva, da bodo informacije, pojasnila ali navodila, ki jih je treba prevesti, potrebna predvsem za čezmejne uporabnike iz ene same druge države članice je lahko jezik iz odstavka 1 izjemoma tisti uradni jezik Unije, kot je prvi jezik teh čezmejnih uporabnikov.

4.   Kadar država članica zaprosi za prevod v uradni jezik Unije, ki ni jezik, ki se ga uporabniki v Uniji najpogosteje učijo kot tujega jezika, ustrezno obrazloži svoj zahtevek. Kadar Komisija ugotovi, da pogoji iz odstavka 3 za izbiro takega drugega jezika niso izpolnjeni, prošnjo zavrne in o razlogih za to obvesti državo članico.

ODDELEK 2

Zahteve glede spletnih postopkov

Člen 13

Čezmejni dostop do spletnih postopkov

1.   Države članice zagotovijo, da kadar imajo nečezmejni uporabniki dostop do postopka iz točke (b) člena 2(2), vzpostavljenega na nacionalni ravni, in ga lahko opravijo na spletu, lahko na nediskriminatoren način prek iste ali druge tehnične rešitve enako storijo tudi čezmejni uporabniki.

2.   Države članice zagotovijo, da so, kadar so postopki iz odstavka 1 tega člena zagotovljeni na spletu, izpolnjene vsaj naslednje zahteve:

(a)

uporabniki lahko v skladu v členom 12 do navodil za opravljanje postopka dostopajo v uradnem jeziku Unije, ki ga dobro razume največje možno število čezmejnih uporabnikov;

(b)

čezmejni uporabniki lahko predložijo zahtevane informacije, tudi če struktura teh informacij razlikuje od podobnih informacij v zadevni državi članici;

(c)

čezmejni uporabniki lahko izkažejo svojo istovetnost in se avtenticirajo, elektronsko podpišejo ali ožigosajo dokumente, kot je določeno v Uredbi (EU) št. 910/2014, v vseh primerih, v katerih lahko to storijo tudi nečezmejni uporabniki;

(d)

čezmejni uporabniki lahko zagotovijo dokazila o skladnosti z veljavnimi zahtevami in prejmejo izide postopkov v elektronski obliki v vseh primerih, v katerih lahko to storijo tudi nečezmejni uporabniki;

(e)

kadar je izvedba postopka odvisna od plačila, lahko uporabniki pristojbine plačajo na spletu prek široko dostopnih čezmejnih plačilnih storitev brez diskriminacije na podlagi sedeža ponudnika plačilnih storitev, kraja izdaje plačilnega instrumenta ali kraja plačilnega računa v Uniji.

3.   Kadar se v postopku ne zahteva elektronska identifikacija ali avtentikacija iz točke (c) odstavka 2 in kadar lahko pristojni organi v skladu z veljavnim nacionalnim pravom ali upravnimi praksami v zvezi z nečezmejnimi uporabniki sprejemajo digitalizirane kopije neelektronskih dokazil o istovetnosti, kot so osebne izkaznice ali potni listi, tovrstne digitalizirane kopije sprejmejo tudi v zvezi z čezmejnimi uporabniki.

Člen 14

Tehnični sistem za čezmejno avtomatizirano izmenjavo dokazil in uporaba načela „samo enkrat“

1.   Komisija za namen izmenjave dokazil za spletne postopke iz Priloge II k tej Uredbi ter postopke iz direktiv 2005/36/ES, 2006/123/ES, 2014/24/EU in 2014/25/EU v sodelovanju z državami članicami vzpostavi tehnični sistem za elektronsko izmenjavo dokazil med pristojnimi organi različnih držav članic (v nadaljnjem besedilu: tehnični sistem).

2.   Kadar pristojni organi v svoji državi članici zakonito in v elektronski obliki, ki omogoča avtomatizirano izmenjavo, izdajo dokazila, ki so ustrezna za spletne postopke iz odstavka 1, takšna dokazila dajo na voljo tudi pristojnim organom prosilcem iz drugih držav članic v elektronski obliki, ki omogoča avtomatizirano izmenjavo.

3.   Tehnični sistem zlasti:

(a)

omogoča obdelavo zahtevkov za predložitev dokazil na izrecno zahtevo uporabnika;

(b)

omogoča obdelavo zahtevkov za dokazila, do katerih se dostopa ali ki se izmenjujejo;

(c)

omogoča prenos dokazil med pristojnimi organi;

(d)

pristojnemu organu prosilcu omogoča obdelavo dokazil;

(e)

zagotavlja zaupnost in integriteto dokazil;

(f)

uporabniku omogoči možnost vpogleda v dokazila, ki jih bodo uporabili pristojni organi prosilci, ter izbiro, ali bo dokazila izmenjal ali ne;

(g)

zagotavlja ustrezno stopnjo interoperabilnosti z drugimi ustreznimi sistemi;

(h)

zagotavlja visoko raven varnosti pri prenosu in obdelavi dokazil;

(i)

ne obdeluje dokazil bolj, kot je tehnično nujno potrebno zaradi izmenjave, in samo za toliko časa, kolikor je potrebno za ta namen.

4.   Uporaba tehničnega sistema za uporabnike ni obvezna in se jim dovoli samo na izrecno zahtevo, razen če je v pravu Unije ali nacionalnem pravu določeno drugače. Uporabnikom se dovoli, da dokazila predložijo brez uporabe tehničnega sistema in neposredno pri pristojnem organu.

5.   Možnosti vpogleda v dokazila iz točke (f) odstavka 3 tega člena ni treba zagotoviti za postopke, v katerih je v skladu z veljavnim pravom Unije ali nacionalnim pravom dovoljena avtomatizirana čezmejna izmenjava podatkov brez vpogleda. Ta možnost vpogleda v dokazila ne posega v obveznost zagotoviti informacije v skladu s členoma 13 in 14 Uredbe (EU) 2016/679.

6.   Države članice v postopke iz odstavka 1 vključijo popolnoma delujoč tehnični sistem.

7.   Pristojni organi, odgovorni za spletne postopke iz odstavka 1, na izrecno, prostovoljno, konkretno, informirano in nedvoumno zahtevo zadevnega uporabnika prek tehničnega sistema zahtevajo dokazila neposredno od pristojnih organov drugih držav članic, ki izdajajo dokazila. Pristojni organi izdajatelji iz odstavka 2 ta dokazila v skladu s točko (e) odstavka 3 dajo na voljo prek istega sistema.

8.   Dokazila, ki se dajo na voljo pristojnemu organu prosilcu, so omejena na zahtevane podatke in jih ta organ uporabi le za namene postopka, za katerega so bila izmenjana. Dokazila, izmenjana prek tehničnega sistema, za namene pristojnega organa prosilca štejejo za verodostojna.

9.   Komisija do 12. junija 2021 sprejme izvedbene akte za določitev tehničnih in operativnih specifikacij tehničnega sistema, potrebnega za izvajanje tega člena. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 37(2).

10.   Odstavki 1 do 8 se ne uporabljajo za postopke, ki so vzpostavljeni na ravni Unije in za izmenjavo dokazil določajo drugačne mehanizme, razen če je tehnični sistem, potreben za izvajanje tega člena integriran v te postopke v skladu s pravili iz aktov Unije, s katerimi so ti postopki vzpostavljeni.

11.   Komisija in vsaka od držav članic so odgovorne za razvoj, razpoložljivost, vzdrževanje, nadzor, spremljanje in varnostno upravljanje svojega dela tehničnega sistema.

Člen 15

Preverjanje dokazil med državami članicami

Kadar tehnični sistem ali drugi sistemi za izmenjavo ali preverjanje dokazil med državami članicami, niso na voljo ali niso ustrezni ali kadar uporabnik ne zahteva uporabe tehničnega sistema, pristojni organi po potrebi sodelujejo prek informacijskega sistema za notranji trg (IMI), kadar je to potrebno za preverjanje pristnosti dokazila, ki ga je v okviru spletnega postopka uporabnik v elektronski obliki predložil enemu do njih.

ODDELEK 3

Zahteve glede kakovosti v zvezi s storitvami za pomoč in reševanje težav

Člen 16

Zahteve glede kakovosti v zvezi s storitvami za pomoč in reševanje težav

Pristojni organi in Komisija v okviru svojih pristojnosti zagotovijo, da službe za pomoč in reševanje težav iz Priloge III in tiste, ki so bile vključene v vstopno mesto v skladu s členom 7(2), (3) in (4), izpolnjujejo naslednje zahteve glede kakovosti:

(a)

izvajajo se v razumnem roku, pri čemer se upošteva zapletenost zahteve;

(b)

če so roki podaljšani, so uporabniki vnaprej obveščeni o razlogih za to in o novem roku;

(c)

kadar je izvedba storitve odvisna od plačila, lahko uporabniki pristojbine plačajo na spletu prek široko dostopnih čezmejnih plačilnih storitev brez diskriminacije na podlagi sedeža ponudnika plačilnih storitev, kraja izdaje plačilnega instrumenta ali kraja plačilnega računa v Uniji.

ODDELEK 4

Spremljanje kakovosti

Člen 17

Spremljanje kakovosti

1.   Nacionalni koordinatorji iz člena 28 in Komisija v okviru svojih pristojnosti redno spremljajo skladnost informacij in postopkov ter storitev za pomoč in reševanje težav, ki so na voljo prek vstopnega mesta, ob upoštevanju zahtev glede kakovosti iz členov 8 do 13 in 16. Spremljanje se izvaja na podlagi podatkov, zbranih v skladu s členoma 24 in 25.

2.   V primeru poslabšanja kakovosti informacij, postopkov ter storitev za pomoč in reševanje težav iz odstavka 1, ki jih zagotavljajo pristojni organi, Komisija ob upoštevanju resnosti in trajanja poslabšanja sprejme enega ali več naslednjih ukrepov:

(a)

obvesti ustreznega nacionalnega koordinatorja in prosi za popravne ukrepe;

(b)

usklajevalni skupini za vstopno mesto v razpravo predloži priporočene ukrepe za izboljšanje izpolnjevanja zahtev glede kakovosti;

(c)

zadevni državi članici pošlje pismo s priporočili;

(d)

z vstopnega mesta začasno odstrani informacije, postopke ali storitve za pomoč ali reševanje težav.

3.   Kadar služba za pomoč ali reševanje težav, do katere so zagotovljene povezave v skladu s členom 7(3), dlje časa ne izpolnjuje zahtev iz členov 11 in 16 ali ne izpolnjuje več potreb uporabnikov, kar se ugotovi na podlagi podatkov, zbranih v skladu s členoma 24 in 25, jo lahko Komisija po posvetovanju z ustreznim nacionalnim koordinatorjem in po potrebi z usklajevalno skupino za vstopno mesto odstrani z vstopnega mesta.

POGLAVJE IV

TEHNIČNE REŠITVE

Člen 18

Skupni uporabniški vmesnik

1.   Komisija za zagotovitev pravilnega delovanja vstopnega mesta v tesnem sodelovanju z državami članicami zagotovi skupni uporabniški vmesnik, vgrajen v portal Tvoja Evropa.

2.   Skupni uporabniški vmesnik omogoča dostop do informacij in postopkov ter storitev za pomoč ali reševanje težav s povezavami do ustreznih spletnih mest ali spletnih strani Unije in nacionalnih spletnih mest ali spletnih strani, ki so vključeni v repozitorij za povezave iz člena 19.

3.   Države članice in Komisija, ki delujejo v skladu s svojimi vlogami in odgovornostmi iz člena 4, zagotovijo, da so informacije o pravilih in obveznostih, postopkih ter storitvah za pomoč in reševanje težav organizirane in označene tako, da jih je lažje najti prek skupnega uporabniškega vmesnika.

4.   Komisija zagotovi, da skupni uporabniški vmesnik izpolnjuje naslednje zahteve glede kakovosti:

(a)

mogoče ga je zlahka uporabljati;

(b)

dostopen je na spletu prek različnih elektronskih naprav;

(c)

razvit in optimiziran je za različne spletne brskalnike;

(d)

izpolnjuje naslednje zahteve glede spletne dostopnosti: zaznavnost, uporabljivost, razumljivost in robustnost.

5.   Komisija lahko sprejme izvedbene akte, s katerimi določi zahteve glede interoperabilnosti, da se informacije o pravilih in obveznostih, postopkih ter storitvah za pomoč in reševanje težav prek skupnega uporabniškega vmesnika lažje najdejo. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 37(2).

Člen 19

Repozitorij za povezave

1.   Komisija v tesnem sodelovanju z državami članicami vzpostavi in vzdržuje elektronski repozitorij za povezave do informacij in postopkov ter storitev za pomoč in reševanje težav iz člena 2(2), ki omogoča povezavo med temi storitvami in skupnim uporabniškim vmesnikom.

2.   Komisija v repozitoriju za povezave zagotovi povezave do informacij in postopkov ter storitev za pomoč in reševanje težav, ki so dostopni na spletnih straneh, ki se upravljajo na ravni Unije, in skrbi za točnost in posodobitve teh povezav.

3.   Nacionalni koordinatorji v repozitoriju za povezave zagotovijo povezave do informacij in postopkov ter storitev za pomoč in reševanje težav, ki so dostopni na spletnih straneh, ki jih upravljajo pristojni organi ali zasebni ali polzasebni subjekti iz člena 7(3), in skrbijo za točnost in posodobitve teh povezav.

4.   Kadar je tehnično izvedljivo, se lahko zagotavljanje povezav iz odstavka 3 med ustreznimi sistemi držav članic in repozitorijem za povezave izvaja samodejno.

5.   Komisija zagotovi, da so informacije v repozitoriju za povezave javno dostopne v odprti in strojno berljivi obliki.

6.   Komisija in nacionalni koordinatorji zagotovijo, da povezave do informacij in postopkov ter storitev za pomoč ali reševanje težav, ki se nudijo prek vstopnega mesta, ne vsebujejo nepotrebnih popolnih ali delnih podvajanj ter prekrivanj, ki bi lahko zmedla uporabnike.

7.   Kadar je zagotavljanje informacij iz člena 4 določeno z drugimi določbami prava Unije, lahko Komisija in nacionalni koordinatorji za skladnost z zahtevami iz navedenega člena zagotovijo povezave do teh informacij.

Člen 20

Skupni iskalnik storitev za pomoč

1.   Za olajšanje dostopa do storitev za pomoč in reševanje težav iz Priloge III ali člena 7(2) in (3) pristojni organi in Komisija zagotovijo, da lahko uporabniki do njih dostopajo prek skupnega iskalnika storitve za pomoč in reševanje težav (v nadaljnjem besedilu: skupni iskalnik storitve za pomoč), ki je na voljo prek vstopnega mesta.

2.   Da se omogoči pravilno delovanje skupnega iskalnika storitve za pomoč, ga Komisija razvije in upravlja ter določi strukturo in obliko, v katerih morajo biti zagotovljeni opisi in kontaktni podatki storitev za pomoč in reševanje težav.

3.   Opise in kontaktne podatke iz odstavka 2 Komisiji zagotovijo nacionalni koordinatorji.

Člen 21

Odgovornosti za aplikacije informacijske in komunikacijske tehnologije, ki podpirajo vstopno mesto

1.   Komisija je odgovorna za razvoj, razpoložljivost, spremljanje, posodabljanje, vzdrževanje, varnost in gostovanje naslednjih aplikacij informacijske in komunikacijske tehnologije in spletnih strani:

(a)

portala Tvoja Evropa iz člena 2(1);

(b)

skupnega uporabniškega vmesnika iz člena 18(1), vključno z iskalnikom ali drugim orodjem informacijske in komunikacijske tehnologije, ki pomaga iskati spletne informacije in storitve;

(c)

repozitorija za povezave iz člena 19(1);

(d)

skupnega iskalnika storitve za pomoč iz člena 20(1);

(e)

orodij za povratne informacije uporabnikov iz členov 25(1) in točke (a) člena 26(1).

Komisija pri razvoju aplikacij informacijske in komunikacijske tehnologije tesno sodeluje z državami članicami.

2.   Države članice so odgovorne za razvoj, razpoložljivost, spremljanje in posodabljanje, vzdrževanje in varnost aplikacij informacijske in komunikacijske tehnologije, povezanih z nacionalnimi spletnimi mesti in spletnimi stranmi, ki jih upravljajo in ko so povezani s skupnim uporabniškim vmesnikom.

POGLAVJE V

PROMOCIJA

Člen 22

Ime, logotip in znak kakovosti

1.   Ime, pod katerim je vstopno mesto znano in promovirano v širši javnosti, je „Tvoja Evropa“.

Logotip, pod katerim je vstopno mesto znano in promovirano v širši javnosti, določi Komisija v tesnem sodelovanju z usklajevalno skupino za vstopno mesto, in sicer najpozneje do 12. junija 2019.

Logotip vstopnega mesta in povezava do vstopnega mesta morata biti vidna in na voljo na ustreznih spletnih mestih na ravni Unije in nacionalni ravni, ki so povezana z vstopnim mestom.

2.   Kot dokaz o izpolnjevanju zahtev glede kakovosti iz členov 9, 10 in 11 sta ime in logotip vstopnega mesta hkrati tudi znak kakovosti. Vendar se logotip vstopnega mesta kot znak kakovosti uporablja le na spletnih mestih in spletnih straneh, ki so vključeni v repozitorij za povezave iz člena 19.

Člen 23

Promocija

1.   Države članice in Komisija promovirajo poznavanje in uporabo vstopnega mesta med državljani in podjetji ter zagotovijo, da so vstopno mesto in njegove informacije, postopki in storitve za pomoč in reševanje težav vidni za javnost in jih je možno zlahka najti prek iskalnikov, ki so dostopni javnosti.

2.   Države članice in Komisija usklajujejo dejavnosti promocije iz odstavka 1, pri čemer se sklicujejo na vstopno mesto in uporabljajo njegov logotip, po potrebi skupaj z morebitnimi drugimi znamkami.

3.   Države članice in Komisija zagotovijo, da je mogoče vstopno mesto zlahka najti prek povezanih spletnih mest, za katera so odgovorne, in da vsa ustrezna spletna mesta na ravni Unije in nacionalni ravni vsebujejo jasne povezave do skupnega uporabniškega vmesnika.

4.   Nacionalni koordinatorji vstopno mesto promovirajo pri nacionalnih organih.

POGLAVJE VI

ZBIRANJE POVRATNIH INFORMACIJ UPORABNIKOV IN STATISTIČNIH PODATKOV

Člen 24

Statistični podatki o uporabnikih

1.   Za izboljšanje funkcionalnosti vstopnega mesta pristojni organi in Komisija zagotovijo zbiranje statističnih podatkov o obiskih uporabnikov na vstopnem mestu in spletnih straneh, do katerih vodijo povezave na njem, na način, ki zagotavlja anonimnost uporabnikov.

2.   Pristojni organi, izvajalci storitev za pomoč ali reševanje težav iz člena 7(3), in Komisija zbirajo in si v zbirni obliki izmenjajo število, izvor in vsebino zahtevkov za storitve za pomoč in reševanje težav ter njihov odzivni čas.

3.   Statistični podatki, zbrani v skladu z odstavkoma 1 in 2, glede informacij, postopkov ter storitev za pomoč in reševanje težav, do katerih vodijo povezave na vstopnem mestu, zajemajo naslednje kategorije:

(a)

podatke, povezane s številom, izvorom in vrsto uporabnikov vstopnega mesta;

(b)

podatke, povezane z nastavitvami in potovanji uporabnikov;

(c)

podatke, povezane z uporabnostjo, najdljivostjo in kakovostjo informacij in postopkov ter storitev za pomoč in reševanje težav.

Ti podatki se dajo na voljo javnosti v odprti in splošno uporabljeni ter strojno berljivi obliki.

4.   Komisija sprejme izvedbene akte, s katerimi določi način zbiranja in izmenjave statističnih podatkov o uporabnikih iz odstavkov 1, 2 in 3. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 37(2).

Člen 25

Povratne informacije uporabnikov o storitvah vstopnega mesta

1.   Da bi Komisija od uporabnikov pridobila neposredne informacije o zadovoljstvu s storitvami, zagotovljenimi prek vstopnega mesta in razpoložljivimi informacijami, uporabnikom prek vstopnega mesta zagotovi prijazno orodje za posredovanje povratnih informacij, ki jim takoj po uporabi storitev iz člena 2(2) omogoča anonimno oceno kakovosti in razpoložljivosti storitev, zagotovljenih prek vstopnega mesta, informacij, ki so jim na njem bile dane na voljo, ter skupnega uporabniškega vmesnika.

2.   Pristojni organi in Komisija na vseh spletnih straneh, ki so del vstopnega mesta, zagotovijo, da lahko uporabniki dostopajo do orodja iz odstavka 1.

3.   Komisija, pristojni organi in nacionalni koordinatorji imajo za namen reševanja morebitnih javljenih težav neposreden dostop do povratnih informacij uporabnikov, zbranih prek orodja iz odstavka 1.

4.   Pristojnim organom na svojih spletnih straneh, ki niso del vstopnega mesta, ni treba omogočiti dostopa do orodja za povratne informacije uporabnikov iz odstavka 1, kadar je na njihovih spletnih straneh že na voljo drugo orodje za povratne informacije s podobnimi funkcijami, za namen spremljanja kakovosti storitev. Pristojni organi zbirajo povratne informacije, prejete prek lastnega orodja za povratne informacije uporabnikov, ter jih dajo na voljo Komisiji in nacionalnim koordinatorjem ostalih držav članic.

5.   Komisija sprejme izvedbene akte, s katerimi določi pravila za zbiranje in izmenjavo povratnih informacij uporabnikov. Ti izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 37(2).

Člen 26

Poročanje o delovanju notranjega trga

1.   Komisija:

(a)

uporabnikom vstopnega mesta zagotovi uporabniku prijazno orodje za povratne informacije in anonimno sporočanje vseh ovir, ki jih imajo pri uveljavljanju pravic na notranjem trgu;

(b)

od storitev za pomoč in reševanje težav, ki so del vstopnega mesta, pridobiva zbirne informacije o vsebini zahtevkov in odzivov.

2.   Komisija, pristojni organi in nacionalni koordinatorji imajo neposreden dostop do povratnih informacij, zbranih v skladu s točko (a) odstavka 1.

3.   Države članice in Komisija analizirajo in raziščejo težave, ki so jih sporočili uporabniki na podlagi tega člena, ter jih, če je le mogoče, ustrezno obravnavajo.

Člen 27

Spletni pregled težav

Komisija na podlagi informacij, zbranih v skladu s členom 26(1), glavnih statističnih podatkov o uporabnikih iz člena 24 in glavnih povratnih informacij uporabnikov iz člena 25 objavi anonimiziran spletni povzetek težav.

POGLAVJE VII

UPRAVLJANJE VSTOPNEGA MESTA

Člen 28

Nacionalni koordinatorji

1.   Vsaka država članica imenuje nacionalnega koordinatorja. Poleg obveznosti iz členov 7, 17, 19, 20, 23 in 25 imajo nacionalni koordinatorji tudi nalogo, da:

(a)

delujejo kot kontaktna točka znotraj svojih uprav za vsa vprašanja v zvezi z vstopnim mestom;

(b)

spodbujajo enotno uporabo členov 9 do 16 pri svojih pristojnih organih;

(c)

zagotovijo ustrezno izvajanje priporočil iz točke (c) člena 17(2).

2.   Vsaka država članica lahko v skladu z notranjo upravno strukturo imenuje enega ali več koordinatorjev za opravljanje nalog iz odstavka 1. Za stike s Komisijo glede vseh vprašanj v zvezi z vstopnim mestom je odgovoren en sam nacionalni koordinator iz vsake države članice.

3.   Vsaka država članica drugim državam članicam in Komisiji sporoči ime in kontaktne podatke svojega nacionalnega koordinatorja.

Člen 29

Usklajevalna skupina

Ustanovi se usklajevalna skupina (v nadaljnjem besedilu: usklajevalna skupina za vstopno mesto). Sestavljajo jo po en nacionalni koordinator iz vsake države članice, predseduje pa ji predstavnik Komisije. Usklajevalna skupina za portal sprejme svoj poslovnik. Komisija zagotovi sekretariat.

Člen 30

Naloge usklajevalne skupine za vstopno mesto

1.   Usklajevalna skupina za vstopno mesto podpira izvajanje te uredbe. Zlasti:

(a)

olajšuje izmenjavo in redno posodabljanje najboljših praks;

(b)

spodbuja uporabo drugih popolnoma spletnih postopkov, poleg tistih iz Priloge II k tej uredbi, in spletnih načinov avtentikacije, potrjevanja istovetnosti in podpisa, zlasti tistih, ki jih določa Uredba (EU) št. 910/2014;

(c)

razpravlja o izboljšavah uporabniku prijazne predstavitve informacij na področjih iz Priloge I, zlasti na podlagi podatkov, zbranih v skladu s členoma 24 in 25;

(d)

pomaga Komisiji pri razvoju skupnih rešitev informacijske in komunikacijske tehnologije v podporo vstopnemu mestu;

(e)

razpravlja o osnutku letnega delovnega programa;

(f)

pomaga Komisiji pri spremljanju izvajanja letnega delovnega programa;

(g)

razpravlja o dodatnih informacijah, ki se zagotovijo v skladu s členom 5, da bi druge države članice spodbudili k zagotavljanju podobnih informacij, kadar so pomembne za uporabnike;

(h)

v skladu s členom 17 Komisiji pomaga pri spremljanju skladnosti z zahtevami iz členov 8 do 16;

(i)

poroča o izvajanju člena 6(1);

(j)

razpravlja o ukrepih za preprečitev ali odpravo nepotrebnega podvajanja storitev, ki so na voljo prek vstopnega mesta, in jih priporoči pristojnim organom in Komisiji;

(k)

predloži mnenja o postopkih ali ukrepih za učinkovito reševanje težav s kakovostjo storitev, ki jih izpostavijo uporabniki, ali predloge za njihovo izboljšanje;

(l)

razpravlja o uporabi načela vgrajene varnosti in zasebnosti v okviru te uredbe;

(m)

razpravlja o vprašanjih v zvezi z zbiranjem povratnih informacij uporabnikov in statističnih podatkov iz členov 24 in 25, da se storitve na ravni Unije in nacionalni ravni neprestano izboljšujejo;

(n)

razpravlja o vprašanjih v zvezi z zahtevami glede kakovosti storitev, zagotovljenih prek vstopnega mesta;

(o)

izmenja najboljše prakse in Komisiji pomaga pri organizaciji, strukturi in predstavitvi storitev iz člena 2(2), da bi omogočila dobro delovanje skupnega uporabniškega vmesnika;

(p)

olajšuje razvoj in izvajanje usklajene promocije;

(q)

sodeluje z organi upravljanja informacijskih storitev, storitev za pomoč ali reševanje težav;

(r)

zagotavlja smernice o dodatnem uradnem jeziku ali jezikih Unije, ki jih morajo pristojni organi uporabljati v skladu s členi 9(2), 10(4) in 11(2) ter točko (a) člena 13(2).

2.   Komisija se lahko z usklajevalno skupino za vstopno mesto posvetuje o vseh zadevah v zvezi z uporabo te uredbe.

Člen 31

Letni delovni program

1.   Komisija sprejme letni delovni program, v katerem so določeni zlasti:

(a)

ukrepi za izboljšavo predstavitve specifičnih informacij na področjih iz Priloge I in ukrepi za lažje pravočasno izvajanje obveznosti pristojnih organov na vseh ravneh, tudi na ravni občin, da zagotavljajo informacije;

(b)

ukrepi za spodbujanje skladnosti s členoma 6 in 13;

(c)

ukrepi za zagotavljanje stalne skladnosti z zahtevami iz členov 9 do 12;

(d)

dejavnosti v zvezi s promocijo vstopnega mesta v skladu s členom 23.

2.   Komisija pri pripravi osnutka letnega delovnega programa upošteva statistične podatke o uporabnikih in njihove povratne informacije, zbrane v skladu s členoma 24 in 25, ter morebitne predloge držav članic. Komisija osnutek letnega delovnega programa še pred sprejetjem predloži v razpravo usklajevalni skupini za vstopno mesto.

POGLAVJE VIII

KONČNE DOLOČBE

Člen 32

Stroški

1.   S sredstvi iz splošnega proračuna Evropske unije se krijejo stroški:

(a)

razvoja in vzdrževanja orodij informacijske in komunikacijske tehnologije, ki podpirajo izvajanje te uredbe na ravni Unije;

(b)

promocije vstopnega mesta na ravni Unije;

(c)

prevajanja informacij, pojasnil in navodil v skladu s členom 12 v okviru največjega letnega obsega na državo članico, brez poseganja v morebitno prerazporeditev, kadar je to potrebno, da se omogoči poraba celotnega razpoložljivega proračuna.

2.   Stroški, povezani z nacionalnimi spletnimi portali, informacijskimi platformami, storitvami za pomoč in postopki, vzpostavljenimi na ravni države članice, se krijejo iz ustreznih proračunov držav članic, razen če je drugače določeno v zakonodaji Unije.

Člen 33

Varstvo osebnih podatkov

Obdelava osebnih podatkov s strani pristojnih organov v okviru te uredbe mora biti skladna z Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta. Obdelava osebnih podatkov s strani Komisije v okviru te uredbe mora biti skladna z Uredbo (EU) 2018/1725.

Člen 34

Sodelovanje z drugimi informacijskimi in podpornimi mrežami

1.   Komisija po posvetovanju z državami članicami določi, katere obstoječe neformalne ureditve upravljanja za katero koli storitvijo za pomoč ali reševanje težav iz Priloge III ali za katero koli področje informacij iz Priloge I se bodo vključile v usklajevalno skupino za vstopno mesto.

2.   Če so bile informacijske ali podporne storitve ali mreže za področja informacij iz Priloge I vzpostavljene s pravno zavezujočim aktom Unije, Komisija za doseganje sinergij in preprečevanje podvajanja usklajuje delo usklajevalne skupine za vstopno mesto in organov upravljanja takih storitev ali mrež.

Člen 35

Informacijski sistem za notranji trg

1.   Za namene člena 6(4) in člena 15 ter v skladu z njima se uporablja informacijski sistem za notranji trg (IMI), vzpostavljen z Uredbo (EU) št. 1024/2012.

2.   Komisija lahko odloči, da se IMI uporablja kot elektronski repozitorij za povezave iz člena 19(1).

Člen 36

Poročanje in pregled

Komisija do 12. decembra 2022 in nato vsaki dve leti opravi pregled uporabe te uredbe ter Evropskemu parlamentu in Svetu predloži poročilo o oceni delovanja vstopnega mesta in o delovanju notranjega trga na podlagi statističnih podatkov in povratnih informacij, zbranih v skladu s členi 24, 25 in 26. Med pregledom zlasti oceni področje uporabe člena 14 ob upoštevanju tehnoloških, tržnih in pravnih sprememb na področju izmenjave dokazil med pristojnimi organi.

Člen 37

Postopek v odboru

1.   Komisiji pomaga odbor. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.

2.   Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.

Člen 38

Sprememba Uredbe (EU) št. 1024/2012

Uredba (EU) št. 1024/2012 se spremeni:

(1)

člen 1 se nadomesti z naslednjim:

„Člen 1

Predmet urejanja

Ta uredba določa pravila za uporabo informacijskega sistema za notranji trg (v nadaljnjem besedilu: IMI) za upravno sodelovanje med udeleženci IMI, vključno z obdelavo osebnih podatkov.“;

(2)

v členu 3 se odstavek 1 nadomesti z naslednjim:

„1.   IMI se uporablja za izmenjave informacij med udeleženci IMI, vključno z osebnimi podatki, in za obdelavo teh informacij za enega od naslednjih namenov:

(a)

upravno sodelovanje, ki se zahteva v skladu z akti iz Priloge;

(b)

upravno sodelovanje, ki je predmet pilotnega projekta, izvedenega v skladu s členom 4.“;

(3)

v členu 5 se drugi odstavek spremeni:

(a)

točka (a) se nadomesti z naslednjim:

„(a)

‚IMI‘ pomeni elektronsko orodje, ki ga Komisija zagotovi za olajšanje upravnega sodelovanja med udeleženci IMI;“;

(b)

točka (b) se nadomesti z naslednjim:

„(b)

‚upravno sodelovanje‘ pomeni sodelovanje med udeleženci IMI v obliki izmenjave in obdelave informacij za boljšo uporabo prava Unije;“;

(c)

točka (g) se nadomesti z naslednjim:

„(g)

‚udeleženci IMI‘ pomeni pristojne organe, koordinatorje IMI, Komisijo ter organe, urade in agencije Unije;“;

(4)

v členu 8(1) se doda naslednja točka:

„(f)

zagotavlja usklajevanje z organi, uradi in agencijami Unije ter jim zagotavlja dostop do IMI.“;

(5)

v členu 9 se odstavek 4 nadomesti z naslednjim:

„4.   Države članice, Komisija ter organi, uradi in agencije Unije zagotovijo ustrezne načine, tako da lahko uporabniki IMI do osebnih podatkov, obdelanih v IMI, dostopajo samo na podlagi potrebe po seznanitvi in na področju ali področjih notranjega trga, za katera so jim bile podeljene pravice dostopa v skladu z odstavkom 3.“;

(6)

člen 21 se spremeni:

(a)

odstavek 2 se nadomesti z naslednjim:

„2.   Evropski nadzornik za varstvo podatkov je odgovoren za spremljanje in zagotavljanje uporabe te uredbe, ko Komisija ali organi, uradi in agencije Unije v vlogi udeleženca IMI obdelujejo osebne podatke. Uporabljajo se dolžnosti in pooblastila iz členov 57 in 58 Uredbe (EU) 2018/1725 (*1).

(*1)  Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39).“;"

(b)

odstavek 3 se nadomesti z naslednjim:

„3.   Nacionalni nadzorni organi in Evropski nadzornik za varstvo podatkov, ki delujejo v okviru svojih zadevnih pristojnosti, sodelujejo zaradi zagotavljanja usklajenega nadzora IMI in njegove uporabe s strani udeležencev IMI v skladu s členom 62 Uredbe (EU) 2018/1725.“;

(c)

odstavek 4 se črta;

(7)

v členu 29 se odstavek 1 črta;

(8)

v Prilogi se dodata naslednji točki:

„11.

Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (*2) (Splošna uredba o varstvu podatkov): člen 56, členi 60 do 66 in člen 70(1).

12.

Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 2. oktobra 2018 o vzpostavitvi enotnega digitalnega vstopnega mesta za zagotavljanje dostopa do informacij, do postopkov ter do storitev za pomoč in reševanje težav ter o spremembi Uredbe (EU) št. 1024/2012 (*3): členi 6(4), 15 in 19.

(*2)  UL L 119, 4.5.2016, str. 1."

(*3)  UL L 295, 21.11.2018, str. 39“."

Člen 39

Začetek veljavnosti

Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

Člen 2, člen 4, členi 7 do 12, člen 16, člen 17, člen 18(1) do (4), člen 19, člen 20, člen 24(1), (2) in (3), člen 25(1) do (4), člen 26 in člen 27 se uporabljajo od 12. decembra 2020.

Člen 6, člen 13, člen 14(1) do (8) in (10) ter člen 15 se uporabljajo od 12. decembra 2023.

Ne glede na datum začetka uporabe členov 2, 9, 10 in 11 lokalni organi dajo informacije, pojasnila in navodila iz navedenih členov, na voljo najpozneje do 12. decembra 2022.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Strasbourgu, 2. oktobra 2018

Za Evropski parlament

Predsednik

A. TAJANI

Za Svet

Predsednica

J. BOGNER-STRAUSS


(1)  UL C 81, 2.3.2018, str. 88.

(2)  Stališče Evropskega parlamenta z dne 13. septembra 2018 (še ni objavljeno v Uradnem listu) in odločitev Sveta z dne 27. septembra 2018.

(3)  Direktiva 2006/123/ES Evropskega parlamenta in Sveta z dne 12. decembra 2006 o storitvah na notranjem trgu (UL L 376, 27.12.2006, str. 36).

(4)  Uredba (ES) št. 764/2008 Evropskega parlamenta in Sveta z dne 9. julija 2008 o določitvi postopkov za uporabo nekaterih nacionalnih tehničnih pravil za proizvode, ki se zakonito tržijo v drugi državi članici, in o razveljavitvi Odločbe št. 3052/95/ES (UL L 218, 13.8.2008, str. 21).

(5)  Uredba (EU) št. 305/2011 Evropskega parlamenta in Sveta z dne 9. marca 2011 o določitvi usklajenih pogojev za trženje gradbenih proizvodov in razveljavitvi Direktive Sveta 89/106/EGS (UL L 88, 4.4.2011, str. 5).

(6)  Direktiva Evropskega parlamenta in Sveta 2005/36/ES z dne 7. septembra 2005 o priznavanju poklicnih kvalifikacij (UL L 255, 30.9.2005, str. 22).

(7)  Priporočilo Komisije 2013/461/EU z dne 17. septembra 2013 o načelih, ki urejajo mrežo Solvit (UL L 249, 19.9.2013, str. 10).

(8)  Direktiva 2014/24/EU Evropskega parlamenta in Sveta z dne 26. februarja 2014 o javnem naročanju in razveljavitvi Direktive 2004/18/ES (UL L 94, 28.3.2014, str. 65).

(9)  Direktiva 2014/25/EU Evropskega parlamenta in Sveta z dne 26. februarja 2014 o javnem naročanju naročnikov, ki opravljajo dejavnosti v vodnem, energetskem in prometnem sektorju ter sektorju poštnih storitev, ter o razveljavitvi Direktive 2004/17/ES (UL L 94, 28.3.2014, str. 243).

(10)  Uredba (EU) 2016/589 Evropskega parlamenta in Sveta z dne 13. aprila 2016 o evropski mreži služb za zaposlovanje (EURES), dostopu delavcev do storitev na področju mobilnosti in nadaljnjem povezovanju trgov dela ter o spremembi uredb (EU) št. 492/2011 in (EU) št. 1296/2013 (UL L 107, 22.4.2016, str. 1).

(11)  Odločba Sveta 2001/470/ES z dne 28. maja 2001 o vzpostavitvi Evropske pravosodne mreže v civilnih in gospodarskih zadevah (UL L 174, 27.6.2001, str. 25).

(12)  Direktiva 2014/67/EU Evropskega parlamenta in Sveta z dne 15. maja 2014 o izvrševanju Direktive 96/71/ES o napotitvi delavcev na delo v okviru opravljanja storitev in spremembi Uredbe (EU) št. 1024/2012 o upravnem sodelovanju prek informacijskega sistema za notranji trg (uredba IMI) (UL L 159, 28.5.2014, str. 11).

(13)  Uredba (EU) št. 910/2014 Evropskega parlamenta in Sveta z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 1999/93/ES (UL L 257, 28.8.2014, str. 73).

(14)  Uredba (ES) št. 883/2004 Evropskega parlamenta in Sveta z dne 29. aprila 2004 o koordinaciji sistemov socialne varnosti (UL L 166, 30.4.2004, str. 1).

(15)  Uredba (ES) št. 987/2009 Evropskega parlamenta in Sveta z dne 16. septembra 2009 o določitvi podrobnih pravil za izvajanje Uredbe (ES) št. 883/2004 o koordinaciji sistemov socialne varnosti (UL L 284, 30.10.2009, str. 1).

(16)  Direktiva (EU) 2016/2102 Evropskega parlamenta in Sveta z dne 26. oktobra 2016 o dostopnosti spletišč in mobilnih aplikacij organov javnega sektorja (UL L 327, 2.12.2016, str. 1).

(17)  Sklep Sveta 2010/48/ES z dne 26. novembra 2009 o sklenitvi Konvencije Združenih narodov o pravicah invalidov s strani Evropske skupnosti (UL L 23, 27.1.2010, str. 35).

(18)  Uredba (EU) št. 260/2012 Evropskega parlamenta in Sveta z dne 14. marca 2012 o uvajanju tehničnih in poslovnih zahtev za kreditne prenose in direktne bremenitve v eurih in o spremembi Uredbe (ES) št. 924/2009 (UL L 94, 30.3.2012, str. 22).

(19)  Uredba (EU) št. 1024/2012 Evropskega parlamenta in sveta z dne 25. oktobra 2012 o upravnem sodelovanju prek informacijskega sistema za notranji trg in razveljavitvi Odločbe Komisije 2008/49/ES (uredba IMI) (UL L 316, 14.11.2012, str. 1).

(20)  Uredba (EU) 2016/1191 Evropskega parlamenta in Sveta z dne 6. julija 2016 o spodbujanju prostega gibanja državljanov s poenostavitvijo zahtev za predložitev nekaterih javnih listin v Evropski uniji in o spremembi Uredbe (EU) št. 1024/2012 (UL L 200, 26.7.2016, str. 1).

(21)  Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).

(22)  Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (glej stran 39 tega Uradnega lista).

(23)  Uredba (EU) št. 1316/2013 Evropskega parlamenta in Sveta z dne 11. decembra 2013 o vzpostavitvi Instrumenta za povezovanje Evrope, spremembi Uredbe (EU) št. 913/2010 in razveljavitvi uredb (ES) št. 680/2007 in (ES) št. 67/2010 (UL L 348, 20.12.2013, str. 129).

(24)  Direktiva (EU) 2017/1132 Evropskega parlamenta in Sveta z dne 14. junija 2017 o določenih vidikih prava družb (UL L 169, 30.6.2017, str. 46).

(25)  Uredba (EU) 2015/848 Evropskega parlamenta in Sveta z dne 20. maja 2015 o postopkih v primeru insolventnosti (UL L 141, 5.6.2015, str. 19).

(26)  Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).

(27)  Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L 194, 19.7.2016, str. 1).

(28)  Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4.5.2016, str. 89).

(29)  Uredba (ES) št. 45/2001 evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12.1.2001, str. 1).

(30)  UL C 340, 11.10.2017, str. 6.


PRILOGA I

Seznam področij informacij, pomembnih za državljane in podjetja, ki uveljavljajo svoje pravice na notranjem trgu iz točke (a) člena 2(2)

Področja informacij v zvezi z državljani:

Področje

INFORMACIJE O PRAVICAH, OBVEZNOSTIH IN PRAVILIH, KI IZHAJAJO IN PRAVA UNIJE IN NACIONALNEGA PRAVA

A.

Potovanje znotraj Unije

1.

dokumenti, ki jih morajo predložiti državljani Unije, njihovi družinski člani, ki niso državljani Unije, mladoletniki, ki potujejo sami, in državljani, ki niso državljani Unije, ko prečkajo meje znotraj Unije (osebna izkaznica, vizum, potni list)

2.

pravice in obveznosti potnikov, ki znotraj Unije in iz nje potujejo z letalom, vlakom, ladjo ali avtobusom in tistih, ki kupijo paketna potovanja in povezane potovalne aranžmaje

3.

pomoč potnikom z zmanjšano gibljivostjo, ki potujejo znotraj Unije ali iz nje

4.

prevoz živali, rastlin, alkohola, tobaka, cigaret in drugega blaga med potovanjem znotraj Unije

5.

govorni klici ter pošiljanje in prejemanje elektronskih sporočil in podatkov znotraj Unije

B.

Delo in upokojitev v Uniji

1.

iskanje zaposlitve v drugi državi članici

2.

zaposlitev v drugi državi članici

3.

priznavanje kvalifikacij za zaposlitev v drugi državi članici

4.

obdavčenje v drugi državi članici

5.

pravila o odgovornosti in obveznem zavarovanju v zvezi s prebivanjem in zaposlitvijo v drugi državi članici

6.

pogoji zaposlovanja, tudi za napotene delavce, ki so določeni z zakoni ali podzakonskimi akti, (vključno z informacijami o delovnem času, plačanem dopustu, pravicah do letnega dopusta, pravicah in obveznostih glede nadurnega dela, zdravstvenih pregledih, prenehanju pogodb, odpovedi in odpuščanjih)

7.

enaka obravnava (pravila, ki prepovedujejo diskriminacijo na delovnem mestu, pravila o enakem plačilu za moške in ženske in enakem plačilu za zaposlene s pogodbami o zaposlitvi za določen ali nedoločen čas)

8.

obveznosti na področju zdravja in varnosti v zvezi z različnimi vrstami dejavnosti

9.

pravice in obveznosti na področju socialne varnosti v Uniji, vključno s pravicami in obveznostmi v zvezi s prejemanjem pokojnine

C.

Vozila v Uniji

1.

začasna ali stalna preselitev motornega vozila v drugo državo članico

2.

pridobitev in podaljšanje vozniškega dovoljenja

3.

sklenitev obveznega zavarovanja za motorno vozilo

4.

nakup in prodaja motornega vozila v drugi državi članici

5.

nacionalni prometni predpisi in zahteve za voznike, vključno s splošnimi pravili za uporabo nacionalne cestne infrastrukture: časovno omejene pristojbine (vinjete), pristojbine na podlagi prevožene razdalje (cestnine), emisijske nalepke

D.

Prebivanje v drugi državi članici

1.

začasna ali stalna preselitev v drugo državo članico

2.

nakup in prodaja nepremičnin, vključno z vsemi pogoji in obveznostmi, povezanimi z davki, lastništvom ali uporabo takih nepremičnin, tudi kot sekundarno prebivališče

3.

udeležba na lokalnih volitvah in volitvah v Evropski parlament

4.

zahteve za dovoljenja za prebivanje državljanov Unije in njihovih družinskih članov, vključno z družinskimi člani, ki niso državljani Unije

5.

pogoji, ki veljajo za naturalizacijo državljanov druge države članice

6.

pravila, ki veljajo za primer smrti, vključno s pravili o repatriaciji posmrtnih ostankov v drugo državo članico

E.

Izobraževanje ali pripravništvo v drugi državi članici

1.

izobraževalni sistem v drugi državi članici, vključno s predšolsko vzgojo in varstvom, primarnim in sekundarnim izobraževanjem, visokošolskim izobraževanjem in izobraževanjem odraslih

2.

prostovoljno delo v drugi državi članici

3.

pripravništva v drugi državi članici

4.

izvajanje raziskav v drugi državi članici v okviru izobraževalnega programa

F.

Zdravstveno varstvo

1.

zdravljenje v drugi državi članici

2.

spletni ali osebni nakup predpisanih farmacevtskih izdelkov v državi članici, ki ni država članica, v kateri je bil izdan recept

3.

pravila o zdravstvenem zavarovanju, ki veljajo v primeru kratkoročnega ali dolgoročnega bivanja v drugi državi članici, vključno s tem, kako zaprositi za evropsko kartico zdravstvenega zavarovanja

4.

splošne informacije o pravicah dostopa do razpoložljivih preventivnih javnih zdravstvenih ukrepov ali obveznosti sodelovanja v teh ukrepih

5.

storitve, ki se zagotavljajo prek nacionalne številke za klic v sili, vključno s številkama,112' in,116'

6.

pravice in pogoji za selitev v dom za ostarele

G.

Državljanske in družinskopravne pravice

1.

rojstvo, skrbništvo za mladoletne otroke, starševske odgovornosti, pravila o nadomestnem starševstvu in posvojitvi, vključno s posvojitvijo otroka enega samega starša, preživninske obveznosti v zvezi z otroki v družinah v čezmejnem položaju

2.

pari, ki imajo različno državljanstvo, vključno z istospolnimi pari (sklenitev zakonske zveze, civilnega ali registriranega partnerstva, ločitev, razveza zakonske zveze, pravice v premoženjskih razmerjih med zakoncema, pravice zunajzakonskih partnerjev)

3.

pravila o priznavanju spola

4.

pravice in obveznosti v zvezi z dedovanjem v drugi državi članici, vključno z davčnimi pravili

5.

pravice in pravila, ki veljajo v primeru mednarodne starševske ugrabitve otrok

H.

Pravice potrošnikov

1.

spletni ali osebni nakup blaga, digitalnih vsebin ali storitev (vključno s finančnimi storitvami) iz druge države članice

2.

odprt bančni račun v drugi državi članici

3.

komunalni priključki, kot so plinski, električni, vodovodni priključek, odvoz gospodinjskih odpadkov, telekomunikacijski in internetni priključki

4.

plačila, vključno z bančnimi nakazili, zamude pri čezmejnih plačilih

5.

pravice potrošnikov ter jamstva v zvezi z nakupom blaga in storitev, vključno s postopki za reševanje potrošniških sporov in plačilom odškodnin

6.

varnost potrošniških proizvodov

7.

najem motornega vozila

I.

Varstvo osebnih podatkov

1.

uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki, v zvezi z varstvom osebnih podatkov

Področja informacij v zvezi s podjetji:

Področje

INFORMACIJE O PRAVICAH, OBVEZNOSTIH IN PRAVILIH

J.

Ustanovitev, vodenje in zaprtje podjetja

1.

registracija, sprememba pravne oblike ali zaprtje podjetja (postopki registracije in pravne oblike poslovanja)

2.

preselitev podjetja v drugo državo članico

3.

pravice intelektualne lastnine (vložitev patentne prijave, registracija blagovne znamke, risbe ali modela, pridobitev dovoljenja za razmnoževanje)

4.

pravice potrošnikov ter jamstva v zvezi s prodajo blaga in storitev

5.

zagotavljanje spletnih storitev za čezmejna plačila pri prodaji blaga in storitev na spletu

6.

pravice in obveznosti, ki izhajajo iz pogodbenega prava, vključno z zamudnimi obrestmi

7.

postopek zaradi insolventnosti in likvidacija podjetij

8.

kreditno zavarovanje

9.

združitve podjetij ali prodaja podjetja

10.

civilna odgovornost direktorjev podjetja

11.

pravila in obveznosti v zvezi z obdelavo osebnih podatkov

K.

Zaposleni

1.

pogoji zaposlovanja, ki so določeni z zakoni ali podzakonskimi akti (vključno z delovnim časom, plačanim dopustom, pravicami do letnega dopusta, pravicami in obveznostmi glede nadurnega dela, zdravstvenimi pregledi, prenehanjem pogodb, odpovedjo in odpuščanji)

2.

pravice in obveznosti na področju socialne varnosti v Uniji (registracija delodajalca, registracija zaposlenih, obvestilo o izteku pogodbe zaposlenega, plačevanje socialnih prispevkov, pravice in obveznosti v zvezi s pokojninami)

3.

zaposlovanje delavcev v drugih državah članicah (napotitev delavcev, pravila o svobodi opravljanja storitev, zahteve glede stalnega prebivališča delavcev)

4.

enaka obravnava (pravila, ki prepovedujejo diskriminacijo na delovnem mestu, pravila o enakem plačilu za moške in ženske in enakem plačilu za zaposlene s pogodbami o zaposlitvi za določen/nedoločen čas)

5.

pravila o zastopanju zaposlenih

L.

Davki

1.

DDV: informacije o splošnih pravilih, stopnjah in oprostitvah, registracija za namene DDV in plačevanje DDV, pridobitev vračila

2.

trošarine: informacije o splošnih pravilih, stopnjah in oprostitvah, registracija za namene trošarine in vračilo trošarine, pridobitev vračila

3.

carine in drugi davki in dajatve ob uvozu

4.

carinski postopki za uvoz in izvoz na podlagi carinskega zakonika Unije

5.

drugi davki: plačevanje, stopnje, davčne napovedi

M.

Blago

1.

pridobitev oznake CE

2.

pravila in zahteve v zvezi s proizvodi

3.

opredelitev veljavnih standardov, tehničnih specifikacij in certifikacija proizvodov

4.

vzajemno priznavanje proizvodov, za katere specifikacije Unije ne veljajo

5.

zahteve glede razvrščanja, označevanja in pakiranja nevarnih kemikalij

6.

prodaja na daljavo/prodaja zunaj poslovnih prostorov: informacije, ki jih je treba vnaprej zagotoviti strankam, pisna potrditev pogodbe, odstop od pogodbe, dobava blaga, druge posebne obveznosti

7.

izdelki z napako: pravice in jamstva za potrošnike, odgovornosti po prodaji, pravna sredstva, ki so na voljo oškodovancu

8.

certificiranje, oznake (EMAS, energijske nalepke, okoljsko primerna zasnova, znak EU za okolje)

9.

recikliranje in ravnanje z odpadki

N.

Storitve

1.

pridobitev licenc, odobritev ali dovoljenj za ustanovitev in delovanje podjetja

2.

obveščanje organov o čezmejnih dejavnostih

3.

priznavanje poklicnih kvalifikacij, vključno s poklicnim izobraževanjem in usposabljanjem

O.

Financiranje podjetja

1.

pridobitev dostopa do financiranja na ravni Unije, vključno s programi financiranja in nepovratnimi sredstvi Unije za podjetja

2.

pridobitev dostopa do financiranja na nacionalni ravni

3.

pobude, namenjene podjetnikom (izmenjave za nove podjetnike, programi mentorstva itd.)

P.

Javna naročila

1.

sodelovanje na javnih razpisih: pravila in postopki

2.

predložitev ponudbe prek spleta v okviru javnega razpisa

3.

sporočanje nepravilnosti v zvezi s postopkom javnega razpisa

Q.

Varnost in zdravje pri delu

1.

obveznosti na področju zdravja in varnosti v zvezi z različnimi vrstami dejavnosti, vključno s preprečevanjem tveganj, obveščanjem in usposabljanjem


PRILOGA II

Postopki iz člena 6(1)

Življenjski dogodki

Postopki

Pričakovani rezultat, po potrebi ob upoštevanju ocene vloge s strani pristojnega organa v skladu z nacionalnim pravom

Rojstvo

vložitev prošnje za izdajo potrdila o vpisu v rojstno matično knjigo

potrdilo o vpisu v rojstno matično knjigo ali rojstni list

Prebivališče

vložitev prošnje za izdajo potrdila o prebivališču

potrditev prijave na trenutnem naslovu

Študij

vložitev prošnje za financiranje terciarnega izobraževanja, kot so štipendije in posojila, s strani javnega organa ali institucije

odločitev o prošnji za financiranje ali potrdilo o prejemu

predložitev prve prijave za sprejem v javni visokošolski zavod

potrdilo o prejemu prijave

vložitev prošnje za akademsko priznanje diplom, spričeval ali drugih dokazil o študiju ali usposabljanju

odločitev o prošnji za priznanje

Delo

zahteva za določitev veljavne zakonodaje v skladu z naslovom II Uredbe (ES) št. 883/2004 (1)

sklep o veljavni zakonodaji

priglasitev sprememb osebnih ali poklicnih okoliščin osebe, ki prejema socialne prejemke, pomembnih za te prejemke

potrditev prejema uradnega obvestila o takšni spremembi

vložitev zahtevka za evropsko kartico zdravstvenega zavarovanja

evropska kartica zdravstvenega zavarovanja

oddaja napovedi za odmero dohodnine

potrditev prejema napovedi

Selitev

prijava spremembe naslova

potrditev odjave na prejšnjem naslovu in prijave na novem naslovu

registracija motornega vozila, ki izvira iz države članice ali je že registrirano v državi članici, po standardnih postopkih (2)

dokazilo o registraciji motornega vozila

pridobitev nalepk za uporabo nacionalne cestne infrastrukture: pristojbine na časovni podlagi (vinjeta), pristojbine na podlagi razdalje (cestnina, ki jih izda javni organ ali institucija

prejem cestninske nalepke ali vinjete ali drugega dokazila o plačilu

pridobitev emisijskih nalepk, ki jih izda javni organ ali institucija

prejem emisijske nalepke ali drugega dokazila o plačilu

Upokojitev

vložitev zahtevkov za pokojnino in prejemkov pred upokojitvijo v okviru obveznih sistemov

potrditev prejema zahtevka ali odločitve o zahtevku za pokojnino ali prejemkov pred upokojitvijo

prošnja za posredovanje informacij v zvezi s pokojnino iz obveznega zavarovanja

izpis osebnih pokojninskih podatkov

Ustanovitev, poslovanje in prenehanje podjetja

priglasitev poslovne dejavnosti, dovoljenja za izvajanje poslovne dejavnosti, spremembe in prenehanje poslovne dejavnosti, kadar ne gre za insolventnost ali stečaj, razen prvega vpisa poslovne dejavnosti v poslovni register in postopkov v zvezi z ustanovitvijo družb ali podjetij ali njihovo naknadno predložitvijo dokumentov v smislu drugega odstavka člena 54 PDEU

potrditev prejema obvestila ali spremembe dejavnosti ali prošnje za odobritev dejavnosti

registracija delodajalca (fizične osebe) v okviru obveznih sistemov zavarovanja in pokojninskega zavarovanja

potrditev registracije ali registrska številka v evidenci socialnih zavarovanj

registracija zaposlenih v okviru obveznih sistemov zavarovanja in pokojninskega zavarovanja

potrditev registracije ali registrska številka v evidenci socialnih zavarovanj

oddaja napovedi za odmero davka od dohodkov pravnih oseb

potrditev prejema napovedi

obvestilo sistemom socialne varnosti o izteku pogodbe z zaposlenim, razen postopkov za kolektivno odpoved pogodb o zaposlitvi

potrditev prejema obvestila

plačilo socialnih prispevkov za zaposlene

potrdilo o plačilu ali druga oblika potrdila o plačilu socialnih prispevkov za zaposlene


(1)  Uredba (ES) št. 883/2004 Evropskega parlamenta in Sveta z dne 29. aprila 2004 o koordinaciji sistemov socialne varnosti (UL L 166, 30.4.2004, str. 1).

(2)  Zajeta so naslednja vozila: (a) motorna vozila ali priklopna vozila iz člena 3 Direktive 2007/46/ES Evropskega parlamenta in Sveta (UL L 263, 9.10.2007, str. 1) ter (b) dvo- ali trikolesna motorna vozila z dvojnimi kolesi ali brez njih, namenjena za vožnjo po cesti, iz člena 1 Uredbe (EU) št. 168/2013 Evropskega parlamenta in Sveta (UL L 60, 2.3.2013, str. 52).


PRILOGA III

Seznam storitev za pomoč in reševanje težav iz točke (c) člena 2(2)

(1)

Enotne kontaktne točke (1)

(2)

Kontaktne točke za proizvode (2)

(3)

Kontaktne točke za proizvode za gradbeništvo (3)

(4)

Nacionalni centri za pomoč v zvezi s poklicnimi kvalifikacijami (4)

(5)

Kontaktne točke za zdravstveno varstvo (5)

(6)

Evropska mreža služb za zaposlovanje (EURES) (6)

(7)

Spletno reševanje sporov (7)


(1)  Direktiva 2006/123/ES Evropskega parlamenta in Sveta z dne 12. decembra 2006 o storitvah na notranjem trgu (UL L 376, 27.12.2006, str. 36).

(2)  Uredba (ES) št. 764/2008 Evropskega parlamenta in Sveta z dne 9. julija 2008 o določitvi postopkov za uporabo nekaterih nacionalnih tehničnih pravil za proizvode, ki se zakonito tržijo v drugi državi članici, in o razveljavitvi Odločbe št. 3052/95/ES (UL L 218, 13.8.2008, str. 21).

(3)  Uredba (EU) št. 305/2011 Evropskega parlamenta in Sveta z dne 9. marca 2011 o določitvi usklajenih pogojev za trženje gradbenih proizvodov in razveljavitvi Direktive Sveta 89/106/EGS (UL L 88, 4.4.2011, str. 5).

(4)  Direktiva Evropskega parlamenta in Sveta 2005/36/ES z dne 7. septembra 2005 o priznavanju poklicnih kvalifikacij (UL L 255, 30.9.2005, str. 22).

(5)  Direktiva 2011/24/EU Evropskega parlamenta in Sveta z dne 9. marca 2011 o uveljavljanju pravic pacientov pri čezmejnem zdravstvenem varstvu (UL L 88, 4.4.2011, str. 45).

(6)  Uredba (EU) 2016/589 Evropskega parlamenta in Sveta z dne 13. aprila 2016 o evropski mreži služb za zaposlovanje (EURES), dostopu delavcev do storitev na področju mobilnosti in nadaljnjem povezovanju trgov dela ter o spremembi uredb (EU) št. 492/2011 in (EU) št. 1296/2013 (UL L 107, 22.4.2016, str. 1).

(7)  Uredba (EU) št. 524/2013 Evropskega parlamenta in Sveta z dne 21. maja 2013 o spletnem reševanju potrošniških sporov ter spremembi Uredbe (ES) št. 2006/2004 in Direktive 2009/22/ES (Uredba o spletnem reševanju potrošniških sporov) (UL L 165, 18.6.2013, str. 1).


21.11.2018   

SL

Uradni list Evropske unije

L 295/39


UREDBA (EU) 2018/1725 EVROPSKEGA PARLAMENTA IN SVETA

z dne 23. oktobra 2018

o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES

(Besedilo velja za EGP)

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije, in zlasti člena 16(2) Pogodbe,

ob upoštevanju predloga Evropske komisije,

po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,

ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora (1),

v skladu z rednim zakonodajnim postopkom (2),

ob upoštevanju naslednjega:

(1)

Varstvo posameznikov pri obdelavi osebnih podatkov je temeljna pravica. V členu 8(1) Listine Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina) in členu 16(1) Pogodbe o delovanju Evropske unije (PDEU) je določeno, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj. Ta pravica je zajamčena tudi v členu 8 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin.

(2)

Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta (3) posameznikom zagotavlja pravno izvršljive pravice, določa obveznosti upravljavcev pri obdelavi osebnih podatkov v institucijah in organih Skupnosti ter ustanavlja neodvisni nadzorni organ (Evropski nadzornik za varstvo podatkov), odgovoren za spremljanje obdelave osebnih podatkov v institucijah in organih Unije. Vendar se ne uporablja za obdelavo osebnih podatkov v okviru dejavnosti institucij in organov Unije zunaj področja uporabe prava Unije.

(3)

Uredba (EU) 2016/679 Evropskega parlamenta in Sveta (4) in Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta (5) sta bili sprejeti 27. aprila 2016. Uredba določa splošna pravila za varstvo posameznikov pri obdelavi osebnih podatkov in zagotavljanje prostega pretoka osebnih podatkov v Uniji, Direktiva pa določa posebna pravila za varstvo posameznikov pri obdelavi osebnih podatkov in zagotavljanje prostega pretoka osebnih podatkov v Uniji na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja.

(4)

Uredba (EU) 2016/679 določa prilagoditve Uredbe (ES) št. 45/2001, da se zagotovi trden in usklajen okvir varstva podatkov v Uniji in omogoči sočasna uporaba z Uredbo (EU) 2016/679.

(5)

V interesu usklajenega pristopa k varstvu osebnih podatkov po vsej Uniji in prostega pretoka osebnih podatkov v Uniji je, da se pravila o varstvu podatkov za institucije, organe, urade in agencije Unije čim bolj uskladijo s pravili o varstvu podatkov, sprejetimi za javni sektor v državah članicah. Kadar določbe te uredbe sledijo istim konceptom kot določbe Uredbe (EU) 2016/679, bi bilo treba v skladu s sodno prakso Sodišča Evropske unije (v nadaljnjem besedilu: Sodišče) navedena dva niza določb razlagati enotno, zlasti ker bi bilo treba strukturo te uredbe razumeti kot enakovredno strukturi Uredbe (EU) 2016/679.

(6)

Osebe, katerih osebni podatki se v kakršnem koli okviru obdelujejo v institucijah in organih Unije, ker so na primer zaposlene v teh institucijah in organih, bi morale biti zaščitene. Ta uredba se ne bi smela uporabljati za obdelavo osebnih podatkov umrlih oseb. Ta uredba ne zajema obdelave osebnih podatkov glede pravnih oseb in zlasti družb, ustanovljenih kot pravne osebe, vključno z imenom in obliko ter kontaktnimi podatki pravne osebe.

(7)

Z namenom preprečiti ustvarjanje resnega tveganja izogibanja predpisom bi moralo biti varstvo posameznikov tehnološko nevtralno in neodvisno od uporabljenih tehnik.

(8)

Ta uredba bi se morala uporabljati za obdelavo osebnih podatkov s strani vseh institucij, organov, uradov in agencij Unije. Uporabljati bi se morala za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke. Zapisi ali nizi zapisov – in njihove naslovnice –, ki niso strukturirani v skladu s posebnimi merili, ne bi smeli spadati na področje uporabe te uredbe.

(9)

V izjavi št. 21 o varstvu osebnih podatkov na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja, ki je priložena Sklepni listini medvladne konference, ki je sprejela Lizbonsko pogodbo, je konferenca potrdila, da bi lahko bili zaradi posebne narave pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja na teh področjih potrebni posebni predpisi o varstvu osebnih podatkov in o prostem pretoku osebnih podatkov na podlagi člena 16 PDEU. Zato bi se moralo za obdelavo operativnih osebnih podatkov, na primer osebnih podatkov, ki jih za namene kazenske preiskave obdelajo organi, uradi ali agencije Unije, ki opravljajo dejavnosti na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja, uporabljati posebno poglavje te uredbe, ki vsebuje splošna pravila.

(10)

Direktiva (EU) 2016/680 določa harmonizirana pravila o varstvu in prostem pretoku osebnih podatkov, ki se obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem. Da bi se zagotovila enaka raven varstva posameznikov prek pravno izvršljivih pravic po vsej Uniji in preprečilo, da bi razlike ovirale izmenjavo osebnih podatkov med organi, uradi ali agencijami Unije pri opravljanju dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, in pristojnimi organi, bi morala biti pravila o varstvu in prostem pretoku operativnih osebnih podatkov, ki jih obdelujejo taki organi, uradi ali agencije Unije, skladna z Direktivo (EU) 2016/680.

(11)

Splošna pravila iz poglavja te uredbe o obdelavi operativnih osebnih podatkov bi se morala uporabljati brez poseganja v posebna pravila, ki se uporabljajo za obdelavo operativnih osebnih podatkov s strani organov, uradov in agencij Unije pri opravljanju dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU. Ta posebna pravila bi bilo treba obravnavati kot lex specialis v razmerju do določb iz poglavja te uredbe o obdelavi operativnih osebnih podatkov (lex specialis derogat legi generali). Da bi se zmanjšala pravne razdrobljenosti, bi morala biti posebna pravila o varstvu podatkov, ki se uporabljajo za obdelavo operativnih osebnih podatkov s strani organov, uradov ali agencij Unije pri opravljanju dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, skladna z načeli, na katerih temelji poglavje te uredbe o obdelavi operativnih osebnih podatkov, kot tudi z določbami te uredbe v zvezi z neodvisnim nadzorom, pravnimi sredstvi, odgovornostjo in kaznimi.

(12)

Poglavje te uredbe o obdelavi operativnih osebnih podatkov bi se moralo uporabljati za organe, urade in agencije Unije pri opravljanju dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, ne glede na to, ali gre pri teh dejavnostih za njihove glavne ali postranske naloge, za namene preprečevanja, odkrivanja, preiskovanja ali pregona kaznivih dejanj. Ne bi pa se smelo uporabljati za Europol ali za Evropsko javno tožilstvo, dokler se s spremembo pravnih aktov o ustanovitvi Europola in Evropskega javnega tožilstva ne določi, da se zanju uporablja poglavje iz te uredbe o obdelavi operativnih osebnih podatkov, kot je prilagojeno.

(13)

Komisija bi morala opraviti pregled te uredbe, zlasti poglavja te uredbe o obdelavi operativnih osebnih podatkov. Komisija bi morala opraviti tudi pregled drugih pravnih aktov, sprejetih na podlagi Pogodb, ki urejajo obdelavo operativnih osebnih podatkov s strani organov, uradov in agencij Unije pri opravljanju dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU. Da bi se zagotovilo enotno in skladno varstvo posameznikov pri obdelavi osebnih podatkov, bi morala Komisija imeti možnost, da po vsakem takem pregledu pripravi ustrezne zakonodajne predloge, vključno s potrebnimi prilagoditvami poglavja te uredbe o obdelavi operativnih osebnih podatkov, z namenom, da se uporablja za Europol in Evropsko javno tožilstvo. Pri prilagoditvah bi bilo treba upoštevati določbe v zvezi z neodvisnim nadzorom, pravnimi sredstvi, odgovornostjo in kaznimi.

(14)

Obdelava upravnih osebnih podatkov, kot so podatki o osebju, ki jih obdelujejo organi, uradi ali agencije Unije pri opravljanju dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, bi morala biti zajeta v tej uredbi.

(15)

Ta uredba bi se morala uporabljati za obdelavo osebnih podatkov s strani institucij, organov, uradov ali agencij Unije pri opravljanju dejavnosti, ki spadajo na področje uporabe poglavja 2 naslova V Pogodbe o Evropski uniji (PEU). Ta uredba se ne bi smela uporabljati za obdelavo osebnih podatkov v okviru misij iz členov 42(1), 43 in 44 PEU, prek katerih se izvaja skupna varnostna in obrambna politika. Kadar je primerno, bi bilo treba predložiti ustrezne predloge, da se nadalje uredi obdelava osebnih podatkov na področju skupne varnostne in obrambne politike.

(16)

Načela varstva podatkov bi se morala uporabljati za vse informacije v zvezi z določenim ali določljivim posameznikom. Osebne podatke, ki so bili psevdonimizirani in ki jih je mogoče z uporabo dodatnih informacij pripisati posamezniku, bi bilo treba obravnavati kot informacije o določljivem posamezniku. Pri ugotavljanju, ali je posameznik določljiv, bi bilo treba upoštevati vsa sredstva – kot je na primer izločitev –, za katera se razumno pričakuje, da jih bo upravljavec ali druga oseba uporabila za neposredno ali posredno identifikacijo posameznika. Da bi ugotovili, ali se za ta sredstva lahko razumno pričakuje, da bodo uporabljena za identifikacijo posameznika, bi bilo treba upoštevati vse objektivne dejavnike, kot so stroški identifikacije in čas, potreben zanjo, ter pri tem upoštevati razpoložljivo tehnologijo in tehnološki razvoj v času obdelave. Načel varstva podatkov zato ne bi smeli uporabljati za anonimizirane informacije, in sicer informacije, ki niso povezane z določenim ali določljivim posameznikom, ali osebne podatke, ki so bili anonimizirani na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni ali ni več določljiv. Ta uredba torej ne zadeva obdelave takšnih anonimiziranih informacij, vključno z informacijami v statistične ali raziskovalne namene.

(17)

Z uporabo psevdonimizacije osebnih podatkov se lahko zmanjša tveganje za zadevne posameznike, na katere se nanašajo osebni podatki, ter pomaga upravljavcem in obdelovalcem pri izpolnjevanju obveznosti glede varstva podatkov. Namen izrecne uvedbe „psevdonimizacije“ v tej uredbi ni preprečiti kakršnih koli drugih ukrepov za varstvo podatkov.

(18)

Posamezniki so lahko povezani s spletnimi identifikatorji, ki jih zagotovijo njihove naprave, aplikacije, orodja in protokoli, kot so naslovi internetnega protokola in identifikatorji piškotkov, ali drugimi identifikatorji, kot so oznake za radiofrekvenčno identifikacijo. To lahko pusti sledi, ki se lahko, zlasti kadar se kombinirajo z edinstvenimi identifikatorji in drugimi informacijami, ki jih prejmejo strežniki, uporabijo za oblikovanje profilov posameznikov in njihovo identifikacijo.

(19)

Privolitev bi morala biti dana z jasnim pritrdilnim dejanjem, ki pomeni, da je posameznik, na katerega se nanašajo osebni podatki, prostovoljno, konkretno, ozaveščeno in nedvoumno izrazil strinjanje z obdelavo osebnih podatkov v zvezi z njim, kot je s pisno, tudi z elektronskimi sredstvi, ali ustno izjavo. To lahko vključuje označitev okenca ob obisku spletne strani, izbiro tehničnih nastavitev za storitve informacijske družbe ali katero koli drugo izjavo ali ravnanje, ki v tem okviru jasno kaže na to, da posameznik, na katerega se nanašajo osebni podatki, sprejema predlagano obdelavo svojih osebnih podatkov. Molk, vnaprej označena okenca ali nedejavnost zato ne pomenijo privolitve. Privolitev bi morala zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene. Kadar je obdelava večnamenska, bi bilo treba privolitev dati za vse namene obdelave. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi zahteve z elektronskimi sredstvi, mora biti zahteva jasna in natančna, prav tako pa ne sme po nepotrebnem ovirati uporabe storitve, za katero se zagotavlja. Hkrati bi moral imeti posameznik, na katerega se nanašajo osebni podatki, pravico, da privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave na podlagi privolitve pred njenim preklicem. Za zagotovitev, da je privolitev dana prostovoljno, privolitev ne bi smela biti veljavna pravna podlaga za obdelavo osebnih podatkov v posebnem primeru, ko obstaja očitno neravnotežje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, in je zato malo verjetno, da je bila privolitev dana prostovoljno v vseh okoliščinah te specifične situacije. V fazi zbiranja podatkov pogosto ni mogoče v celoti opredeliti namena obdelave osebnih podatkov v znanstvenoraziskovalne namene. Posamezniki, na katere se nanašajo osebni podatki, bi zato morali imeti možnost, da dajo privolitev za nekatera znanstvenoraziskovalna področja, ob upoštevanju priznanih etičnih standardov znanstvenega raziskovanja. Posamezniki, na katere se nanašajo osebni podatki, bi morali imeti možnost, da dajo privolitev le za nekatera raziskovalna področja ali dele raziskovalnih projektov v obsegu, ki ga dovoljuje predvideni namen.

(20)

Vsaka obdelava osebnih podatkov bi morala biti zakonita in poštena. Načini zbiranja, uporabe, pregledovanja ali drug način obdelave ter obseg obdelave ali prihodnje obdelave osebnih podatkov, ki se nanašajo na posameznike, bi morali biti za posameznike pregledni. Načelo preglednosti zahteva, da so vse informacije in sporočila, ki se nanašajo na obdelavo teh osebnih podatkov, lahko dostopni in razumljivi ter izraženi v jasnem in preprostem jeziku. To načelo zadeva zlasti informacije za posameznike, na katere se nanašajo osebni podatki, o identiteti upravljavca in namenih obdelave ter dodatne informacije za zagotovitev poštene in pregledne obdelave glede zadevnih posameznikov in njihove pravice do pridobitve potrditve in sporočila o obdelavi osebnih podatkov v zvezi z njimi. Posameznike bi bilo treba opozoriti na tveganja, pravila, zaščitne ukrepe in pravice v zvezi z obdelavo njihovih osebnih podatkov ter na to, kako lahko uresničujejo svoje pravice v zvezi s tako obdelavo. Zlasti posebni nameni, za katere se osebni podatki obdelujejo, bi morali biti izrecni in zakoniti ter določeni v času zbiranja osebnih podatkov. Osebni podatki bi morali biti ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Zato bi bilo treba zlasti zagotoviti, da je obdobje hrambe osebnih podatkov omejeno na najkrajše mogoče obdobje. Osebni podatki bi se lahko obdelali le, če namena obdelave ne bi bilo mogoče razumno doseči z drugimi sredstvi. Za zagotovitev, da se osebni podatki hranijo le toliko časa, kolikor je potrebno, bi moral upravljavec določiti roke za izbris ali občasno preverjanje. Sprejeti bi bilo treba vse smiselne ukrepe za popravek ali izbris netočnih osebnih podatkov. Osebne podatke bi bilo treba obdelovati na način, ki zagotavlja ustrezno varnost in zaupnost osebnih podatkov, tudi za preprečitev nedovoljenega dostopa do osebnih podatkov ali uporabe osebnih podatkov in opreme za obdelavo ter za preprečitev njihovega razkritja med prenosom.

(21)

Institucije in organi Unije bi morali, kadar posredujejo osebne podatke znotraj iste institucije ali organa Unije in uporabnik ni del upravljavca ali drugim institucijam in organom Unije, v skladu z načelom odgovornosti preveriti, ali so taki osebni podatki potrebni za zakonito opravljanje nalog, ki spadajo v pristojnost uporabnika. Upravljavec bi moral po prejemu zahteve uporabnika glede prenosa osebnih podatkov zlasti preveriti, ali obstaja ustrezna podlaga za zakonito obdelavo osebnih podatkov in pristojnost uporabnika. Upravljavec bi moral tudi začasno oceniti potrebo po prenosu podatkov. Če se pojavijo dvomi o tej potrebi, bi moral upravljavec od uporabnika zahtevati nadaljnje informacije. Prejemnik bi moral zagotoviti, da se lahko naknadno preveri potreba po prenosu podatkov.

(22)

Da bi bila obdelava zakonita, bi bilo treba osebne podatke obdelati, ker je to potrebno za opravljanje nalog, ki jih v javnem interesu izvajajo institucije in organi Unije, ali pri izvajanju njihove uradne pristojnosti, ker je to potrebno za izpolnitev pravne obveznosti, ki velja za upravljavca, ali na kateri drugi zakoniti podlagi iz te uredbe, vključno s privolitvijo posameznika, na katerega se nanašajo osebni podatki, v obdelavo ali ker je obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe. Obdelava osebnih podatkov za opravljanje nalog, ki jih v javnem interesu izvajajo institucije in organi Unije, vključuje obdelavo osebnih podatkov, potrebnih za upravljanje in delovanje teh institucij in organov. Obdelava osebnih podatkov bi se morala prav tako šteti za zakonito, kadar je potrebna za zaščito interesa, ki je bistven za življenje posameznika, na katerega se nanašajo osebni podatki, ali za življenje drugega posameznika. Obdelava osebnih podatkov na podlagi življenjskih interesov drugega posameznika bi se načeloma lahko izvajala le, kadar obdelave ni mogoče očitno izvesti na drugi pravni podlagi. Nekatere vrste obdelave lahko služijo tako pomembnim razlogom v javnem interesu kot življenjskim interesom posameznika, na katerega se nanašajo osebni podatki, na primer kadar je obdelava potrebna v humanitarne namene, tudi za spremljanje epidemij in njihovega širjenja ali v izrednih humanitarnih razmerah, zlasti pri naravnih nesrečah in nesrečah, ki jih povzroči človek.

(23)

Pravo Unije, na katerega se sklicuje ta uredba, bi moralo biti jasno in natančno, njegova uporaba pa predvidljiva za osebe, na katere se nanaša, v skladu z zahtevami iz Listine in Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin.

(24)

Notranja pravila, na katera se sklicuje ta uredba, bi morala biti jasni in natančni akti splošne uporabe s pravnimi učinki za posameznike, na katere se nanašajo osebni podatki. Sprejeti pa bi morali biti na najvišji ravni vodstva institucij in organov Unije v okviru njihovih pristojnosti in v zvezi z zadevami, ki se nanašajo na njihovo delovanje. Objavljena bi morala biti v Uradnem listu Evropske unije. Uporaba teh pravil bi morala biti predvidljiva za osebe, na katere se nanašajo, ter skladna z zahtevami iz Listine in Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin. Notranja pravila imajo lahko obliko sklepov, zlasti če jih sprejmejo institucije Unije.

(25)

Obdelava osebnih podatkov za druge namene kot tiste, za katere so bili osebni podatki prvotno zbrani, bi morala biti dovoljena le, kadar je združljiva z nameni, za katere so bili osebni podatki prvotno zbrani. V takšnem primeru ni potrebna ločena pravna podlaga od tiste, na podlagi katere so bili osebni podatki zbrani. Če je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, se lahko naloge in nameni, za katere bi se nadaljnja obdelava morala šteti za združljivo in zakonito, določijo in opredelijo s pravom Unije. Nadaljnja obdelava v namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene bi morala veljati za združljivo zakonito dejanje obdelave. Pravna podlaga, ki se za obdelavo osebnih podatkov določi s pravom Unije, je lahko tudi pravna podlaga za nadaljnjo obdelavo. Za ugotovitev, ali je namen nadaljnje obdelave združljiv z namenom, za katerega so bili osebni podatki prvotno zbrani, bi moral upravljavec, potem ko je izpolnil vse zahteve glede zakonitosti prvotne obdelave, med drugim upoštevati morebitno povezavo med prvotnimi nameni in nameni načrtovane nadaljnje obdelave; okoliščine, v katerih so bili osebni podatki zbrani, zlasti razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, o nadaljnji uporabi teh podatkov ob upoštevanju njihovega razmerja z upravljavcem; naravo osebnih podatkov; posledice načrtovane nadaljnje obdelave za te posameznike in obstoj ustreznih zaščitnih ukrepov, tako pri prvotnih kot načrtovanih nadaljnjih dejanjih obdelave.

(26)

Kadar obdelava temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, bi moral biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v dejanje obdelave. Zlasti v okviru pisne izjave o drugi zadevi bi morali zaščitni ukrepi zagotoviti, da se posameznik, na katerega se nanašajo osebni podatki, zaveda dejstva, da daje privolitev in v kakšnem obsegu jo daje. V skladu z Direktivo Sveta 93/13/EGS (6) bi moral upravljavec vnaprej pripraviti izjavo o privolitvi, ki bi morala biti v razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku in ne bi smela vsebovati nedovoljenih pogojev. Da bi posameznik, na katerega se nanašajo osebni podatki, lahko dal ozaveščeno privolitev, bi moral poznati vsaj identiteto upravljavca in namene obdelave osebnih podatkov. Privolitev se ne bi smela šteti za prostovoljno, če posameznik, na katerega se nanašajo osebni podatki, nima možnosti dejanske ali prostovoljne izbire ali privolitve ne more zavrniti ali preklicati brez škode.

(27)

Otroci potrebujejo posebno varstvo v zvezi s svojimi osebnimi podatki, saj se morda manj zavedajo zadevnih tveganj, posledic in zaščitnih ukrepov in svojih pravic v zvezi z obdelavo osebnih podatkov. Tako posebno varstvo bi moralo zadevati zlasti ustvarjanje osebnostnih profilov in zbiranje osebnih podatkov v zvezi z otroki pri uporabi storitev, ki se na spletnih mestih institucij in organov Unije nudijo neposredno otroku, kot so storitve medosebne komunikacije ali spletna prodaja vstopnic, in obdelava osebnih podatkov temelji na privolitvi.

(28)

Kadar uporabniki, ustanovljeni v Uniji, ki niso institucije in organi Unije, želijo, da jim institucije in organi Unije prenesejo osebne podatke, bi morali ti uporabniki izkazati, da je prenos podatkov tem uporabnikom potreben bodisi za opravljanje njihove naloge, ki se izvaja v javnem interesu, bodisi pri izvajanju javne oblasti, ki jim je bila dodeljena. Kot druga možnost bi morali uporabniki izkazati, da je prenos potreben za poseben namen v javnem interesu, pri čemer bi moral upravljavec ugotoviti, ali obstaja razlog za domnevo, da bi pri tem lahko šlo za poseg v zakonite interese posameznika, na katerega se nanašajo osebni podatki. V takšnih primerih bi moral upravljavec na preverljiv način pretehtati različne navzkrižne interese, da bi ocenil sorazmernost zahtevanega prenosa osebnih podatkov. Poseben namen v javnem interesu je lahko povezan s preglednostjo institucij in organov Unije. Poleg tega bi morale institucije in organi Unije bi morali tako potrebo dokazati, kadar se prenos izvede na njihovo pobudo, v skladu z načelom preglednosti in dobrega upravljanja. Zahteve, ki jih ta uredba določa za prenos podatkov uporabnikom, ustanovljenim v Uniji, ki niso institucije in organi Unije, bi bilo treba razumeti tako, da dopolnjujejo pogoje za zakonito obdelavo.

(29)

Posebno varstvo si zaslužijo osebni podatki, ki so po svoji naravi posebej občutljivi z vidika temeljnih pravic in svoboščin, saj bi lahko okoliščine njihove obdelave resno ogrozile temeljne pravice in svoboščine. Taki osebni podatki se ne bi smeli obdelovati, razen če so izpolnjeni posebni pogoji, določeni v tej uredbi. Ti osebni podatki bi morali vključevati osebne podatke, ki razkrivajo rasno ali etnično poreklo, pri čemer uporaba pojma „rasno poreklo“ v tej uredbi ne pomeni, da Unija priznava teorije, ki poskušajo dokazati obstoj različnih človeških ras. Obdelava fotografij se ne bi smela sistematično šteti za obdelavo posebnih vrst osebnih podatkov, saj spadajo v opredelitev biometričnih podatkov le, kadar so obdelane s posebnimi tehničnimi sredstvi, ki omogočajo edinstveno identifikacijo ali avtentikacijo posameznika. Poleg posebnih zahtev za obdelavo občutljivih podatkov bi morala veljati splošna načela in druga pravila iz te uredbe, zlasti glede pogojev zakonite obdelave. Izrecno bi morala biti določena odstopanja od splošne prepovedi obdelave takšnih posebnih vrst osebnih podatkov, med drugim kadar posameznik, na katerega se nanašajo osebni podatki, da izrecno privolitev, ali glede posebnih potreb, zlasti kadar se obdelava izvaja v okviru zakonitih dejavnosti nekaterih združenj ali ustanov, katerih namen je omogočiti uresničevanje temeljnih svoboščin.

(30)

Posebne vrste osebnih podatkov, ki potrebujejo višjo zaščito, bi se lahko obdelovale v namene, povezane z zdravjem, le kadar je to potrebno za doseganje teh namenov v korist posameznikov in družbe kot celote, zlasti v okviru upravljanja storitev in sistemov zdravstvenega ali socialnega varstva. Zato bi bilo treba v tej uredbi ob upoštevanju posebnih potreb določiti usklajene pogoje za obdelavo posebnih vrst osebnih podatkov v zvezi z zdravjem, zlasti kadar take podatke v določene namene v zvezi z zdravjem obdelujejo osebe, za katere velja pravna obveznost varovanja poklicne skrivnosti. V pravu Unije bi bilo treba določiti posebne in ustrezne ukrepe za zaščito temeljnih pravic in osebnih podatkov posameznikov.

(31)

Obdelava posebnih vrst osebnih podatkov je lahko potrebna iz razlogov javnega interesa na področju javnega zdravja brez privolitve posameznika, na katerega se nanašajo osebni podatki. Za takšno obdelavo bi morali veljati ustrezni in posebni ukrepi za zaščito pravic in svoboščin posameznikov. V zvezi s tem bi bilo treba pojem „javno zdravje“ razlagati, kakor je opredeljen v Uredbi (ES) št. 1338/2008 Evropskega parlamenta in Sveta (7), kjer pomeni vse elemente, povezane z zdravjem, in sicer zdravstveno stanje, vključno z obolevnostjo in invalidnostjo, determinante, ki vplivajo na zdravstveno stanje, potrebe zdravstvenega varstva, vire, namenjene zdravstvenemu varstvu, zagotavljanje in splošni dostop do zdravstvenega varstva, pa tudi izdatke in financiranje zdravstvenega varstva ter vzroke smrtnosti. Zaradi take obdelave podatkov v zvezi z zdravjem iz razlogov javnega interesa se osebni podatki ne bi smeli obdelovati v druge namene.

(32)

Če osebni podatki, ki jih obdeluje upravljavec, slednjemu ne omogočajo identifikacije posameznika, upravljavec podatkov ne bi smel biti zavezan pridobiti dodatnih informacij, da bi ugotovil identiteto posameznika, na katerega se nanašajo osebni podatki, samo zaradi skladnosti s katero koli določbo te uredbe. Vendar pa upravljavec ne bi smel zavrniti dodatnih informacij, ki jih posameznik, na katerega se nanašajo osebni podatki, predloži z namenom uresničevanja svojih pravic. Identifikacija bi morala vključevati digitalno identifikacijo posameznika, na katerega se nanašajo osebni podatki, denimo, z mehanizmom avtentikacije, na primer da posameznik, na katerega se nanašajo osebni podatki, uporablja isto poverilnico za prijavo na spletne storitve, ki jo ponuja upravljavec podatkov.

(33)

Pri obdelavi osebnih podatkov za namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene bi bilo treba zagotoviti ustrezne zaščitne ukrepe za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, v skladu s to uredbo. S temi zaščitnimi ukrepi bi bilo treba zagotoviti, da se sprejmejo tehnični in organizacijski ukrepi, s katerimi se zagotovi zlasti spoštovanje načela najmanjšega obsega podatkov. Nadaljnja obdelava osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene se opravi, kadar je upravljavec ocenil izvedljivost uresničitve teh namenov z obdelavo osebnih podatkov, ki ne omogočajo ali ne omogočajo več identifikacije posameznika, na katerega se nanašajo osebni podatki, pod pogojem, da obstajajo ustrezni zaščitni ukrepi (kot je, na primer, psevdonimizacija osebnih podatkov). Institucije in organi Unije bi morali v pravu Unije, ki lahko vključuje notranje predpise, ki jih sprejmejo institucije in organi Unije v zvezi z zadevami, ki se nanašajo na njihovo delovanje, zagotoviti ustrezne zaščitne ukrepe za obdelavo osebnih podatkov v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene.

(34)

Zagotoviti bi bilo treba načine za lažje uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz te uredbe, vključno z mehanizmi, s katerimi se zahtevajo in po potrebi brezplačno pridobijo zlasti dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ter uresničuje pravica do ugovora. Upravljavec bi zato moral omogočiti tudi elektronsko vlaganje zahtev, zlasti kadar se osebni podatki obdelujejo z elektronskimi sredstvi. Upravljavec bi moral biti zavezan, da na zahtevo posameznika, na katerega se nanašajo osebni podatki, odgovori brez nepotrebnega odlašanja in najpozneje v enem mesecu in da v primeru, ko ne namerava izpolniti take zahteve, to utemelji.

(35)

Načeli poštene in pregledne obdelave zahtevata, da je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti o obstoju dejanja obdelave in njegovih namenih. Upravljavec bi moral posamezniku, na katerega se nanašajo osebni podatki, zagotoviti vse dodatne informacije, potrebne za zagotavljanje poštene in pregledne obdelave ob upoštevanju specifičnih okoliščin in okvira obdelave osebnih podatkov. Poleg tega bi moral biti ta posameznik obveščen o obstoju oblikovanja profilov in njegovih posledicah. Kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki, bi ga bilo treba obvestiti tudi o tem, ali je dolžan predložiti osebne podatke, in o posledicah, kadar takih podatkov ne predloži. Te informacije se lahko navedejo skupaj z uporabo standardiziranih ikon, da se na jasno razviden, razumljiv in berljiv način zagotovi smiseln pregled načrtovane obdelave. Kadar so ikone navedene v elektronski obliki, bi morale biti strojno berljive.

(36)

Posameznike, na katere se nanašajo osebni podatki, bi bilo treba o obdelavi osebnih podatkov v zvezi z njimi obvestiti v trenutku zbiranja podatkov od posameznika, na katerega se nanašajo osebni podatki, ali, kadar se osebni podatki pridobijo iz drugega vira, v ustreznem roku odvisno od okoliščin primera. Kadar se lahko osebni podatki zakonito razkrijejo drugemu uporabniku, bi moral biti posameznik, na katerega se nanašajo osebni podatki, obveščen, ko se osebni podatki prvič razkrijejo uporabniku. Kadar namerava upravljavec obdelovati osebne podatke za namen, ki ni namen, za katerega so bili zbrani, bi moral upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov zagotoviti informacije o tem drugem namenu in druge potrebne informacije. Kadar temu posamezniku ni mogoče sporočiti izvora osebnih podatkov zaradi uporabe različnih virov, bi mu bilo treba zagotoviti splošne informacije.

(37)

Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico dostopa do osebnih podatkov, ki so bili zbrani v zvezi z njim, in do enostavnega uresničevanja te pravice v razumnih časovnih presledkih, da bi se seznanil z obdelavo in preveril njeno zakonitost. To vključuje pravico posameznikov, na katere se nanašajo osebni podatki, da imajo dostop do podatkov v zvezi s svojim zdravjem, na primer podatkov v njihovi zdravstveni kartoteki, ki vključuje informacije, kot so diagnoze, izvidi preiskav, ocene lečečih zdravnikov in druga zdravljenja ali posegi. Zato bi moral vsak posameznik, na katerega se nanašajo osebni podatki, imeti pravico do seznanitve s sporočilom in njegove pridobitve, zlasti o namenih obdelave osebnih podatkov, po možnosti o obdobju, za katerega so osebni podatki obdelani, uporabnikih osebnih podatkov, o razlogih za morebitno avtomatsko obdelavo osebnih podatkov in, vsaj v primerih, kadar obdelava temelji na oblikovanju profilov, o posledicah take obdelave. Ta pravica ne bi smela negativno vplivati na pravice ali svoboščine drugih, vključno s poslovnimi skrivnostmi ali intelektualno lastnino, ter predvsem na avtorske pravice, ki ščitijo programsko opremo. To pa ne bi smelo povzročiti, da se posamezniku, na katerega se nanašajo osebni podatki, zavrne dostop do vseh informacij. Kadar upravljavec obdeluje veliko količino informacij v zvezi s posameznikom, na katerega se nanašajo osebni podatki, bi moral upravljavec imeti možnost, da pred zagotovitvijo informacij od tega posameznika zahteva, naj podrobno opredeli, na katere informacije ali dejavnosti obdelave se zahteva nanaša.

(38)

Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico do popravka osebnih podatkov v zvezi z njim in „pravico do pozabe“, kadar hramba takih podatkov krši to uredbo ali pravo Unije, ki velja za upravljavca. Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico do tega, da se njegovi osebni podatki izbrišejo in se ne obdelujejo več, kadar osebni podatki niso več potrebni za namene, za katere so bili zbrani ali kako drugače obdelani, kadar posameznik, na katerega se nanašajo osebni podatki, prekliče svojo privolitev ali ugovarja obdelavi osebnih podatkov, ki se nanašajo nanj, ali kadar obdelava njegovih osebnih podatkov kako drugače ni v skladu s to uredbo. Ta pravica je zlasti pomembna, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo privolitev kot otrok in se ni v celoti zavedal tveganj, povezanih z obdelavo, ter želi pozneje take osebne podatke odstraniti, zlasti z interneta. Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti možnost, da to pravico uresničuje ne glede na dejstvo, da ni več otrok. Vendar bi morala biti nadaljnja hramba osebnih podatkov zakonita, če je to potrebno za uresničevanje pravice do svobode izražanja in obveščanja, izpolnjevanje pravnih obveznosti, izvajanje nalog v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, iz razlogov javnega interesa na področju javnega zdravja, za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

(39)

Za okrepitev pravice do pozabe v spletnem okolju bi bilo treba pravico do izbrisa razširiti tako, da bi zahtevali, da mora upravljavec, ki je osebne podatke dal v javnost, obvestiti upravljavce, ki take osebne podatke obdelujejo, da izbrišejo vse povezave do teh osebnih podatkov ali kopije ali prenovitve teh osebnih podatkov. Pri tem bi moral upravljavec ob upoštevanju razpoložljive tehnologije in sredstev, ki jih ima na voljo, vključno s tehničnimi ukrepi, sprejeti razumne ukrepe, da bi upravljavce, ki obdelujejo osebne podatke, obvestil o zahtevi posameznika, na katerega se nanašajo osebni podatki.

(40)

Metode za omejitev obdelave osebnih podatkov bi lahko med drugim zajemale začasni prenos izbranih podatkov v drug sistem za obdelavo, preprečitev dostopnosti izbranih osebnih podatkov uporabnikom ali začasno odstranitev objavljenih podatkov s spletnega mesta. Pri avtomatiziranih zbirkah bi bilo treba omejitev obdelave načeloma zagotoviti s tehničnimi sredstvi na način, da se osebni podatki nadalje več ne obdelujejo in jih ni mogoče spremeniti. Dejstvo, da je obdelava osebnih podatkov omejena, bi moralo biti jasno navedeno v zbirki.

(41)

Da bi še dodatno okrepili nadzor nad lastnimi podatki, kadar se obdelava osebnih podatkov izvaja z avtomatskimi sredstvi, bi moral posameznik, na katerega se nanašajo osebni podatki, imeti tudi možnost, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani, strojno berljivi in interoperabilni obliki in jih posreduje drugemu upravljavcu. Upravljavce podatkov bi bilo treba spodbuditi k razvoju interoperabilnih oblik, ki omogočajo prenosljivost podatkov. Ta pravica bi morala veljati, kadar je posameznik, na katerega se nanašajo osebni podatki, te podatke zagotovil na podlagi svoje privolitve ali kadar je obdelava potrebna za izvajanje pogodbe. Zato ne bi smela veljati, kadar je obdelava osebnih podatkov nujna za izpolnjevanje pravne obveznosti, ki velja za upravljavca, ali izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu. Pravica posameznika, na katerega se nanašajo osebni podatki, do posredovanja ali prejemanja osebnih podatkov v zvezi z njim ne bi smela ustvariti obveznosti za upravljavca, da mora sprejeti ali vzdrževati sisteme za obdelavo, ki so tehnično združljivi. Kadar določeni niz osebnih podatkov zadeva več kot enega posameznika, na katerega se ti podatki nanašajo, pravica do prejemanja osebnih podatkov ne bi smela posegati v pravice in svoboščine drugih posameznikov, na katere se nanašajo osebni podatki, v skladu s to uredbo. Poleg tega ta pravica ne bi smela posegati v pravico posameznika, na katerega se nanašajo osebni podatki, da zahteva izbris osebnih podatkov, in v omejitve te pravice, kakor je določeno v tej uredbi, zlasti pa ne bi smela pomeniti izbrisa osebnih podatkov, ki jih je posameznik, na katerega se ti nanašajo, zagotovil za izvajanje pogodbe, in sicer kolikor in dokler so osebni podatki potrebni za izvajanje te pogodbe. Kadar je to tehnično izvedljivo, bi posameznik, na katerega se nanašajo osebni podatki, moral imeti pravico doseči, da se osebni podatki prenesejo neposredno od enega upravljavca k drugemu.

(42)

Kadar se lahko osebni podatki zakonito obdelujejo, ker je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu, bi moral imeti vsak posameznik, na katerega se nanašajo osebni podatki, kljub temu pravico ugovarjati obdelavi katerih koli osebnih podatkov, povezanih z njegovim posebnim položajem. Upravljavec bi moral dokazati, da njegovi nujni zakoniti interesi prevladajo nad interesi ali temeljnimi pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki.

(43)

Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da zanj ne bi veljala odločitev, ki lahko vključuje ukrep, o ocenjevanju osebnih vidikov v zvezi z njim, ki temelji zgolj na avtomatizirani obdelavi in ima pravne učinke v zvezi z njim ali podobno znatno vpliva nanj, kot so prakse zaposlovanja prek spleta brez človekovega posredovanja. Taka obdelava vključuje „oblikovanje profilov“ v kakršni koli obliki avtomatizirane obdelave osebnih podatkov, na podlagi katerih se ocenjujejo osebni vidiki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa ali interesov, zanesljivosti ali vedenja, lokacije ali gibanja, kadar ustvarja pravne učinke v zvezi z njim ali nanj podobno znatno vpliva.

Sprejemanje odločitev na podlagi take obdelave, vključno z oblikovanjem profilov, pa bi moralo biti dovoljeno, kadar ga izrecno dovoljuje pravo Unije. V vsakem primeru bi morali za tako obdelavo veljati ustrezni zaščitni ukrepi, ki bi morali vključevati konkretno seznanitev posameznika, na katerega se nanašajo osebni podatki, in pravico do osebnega posredovanja, pravico izraziti svoje stališče, pravico dobiti pojasnilo o odločitvi, ki je bila sprejeta po takem ocenjevanju, in pravico do izpodbijanja odločitve. Taki ukrepi ne bi smeli zadevati otroka. Da bi upravljavec ob upoštevanju posebnih okoliščin in okvira, v katerih se osebni podatki obdelujejo, zagotovil pošteno in pregledno obdelavo osebnih podatkov za posameznika, na katerega se osebni podatki nanašajo, bi moral uporabiti ustrezne matematične ali statistične postopke za oblikovanje profilov, izvajati tehnične in organizacijske ukrepe, s katerimi bi na ustrezen način zagotovil zlasti, da se dejavniki, ki povzročijo netočnost osebnih podatkov, popravijo in tveganje napak čim bolj zmanjša, zavarovati osebne podatke tako, da se upoštevajo morebitne nevarnosti, povezane z interesi in pravicami posameznika, na katerega se nanašajo osebni podatki, ter preprečiti, med drugim, diskriminatorne posledice za posameznike na podlagi rasnega ali etničnega porekla, političnega mnenja, vere ali prepričanja, članstva v sindikatu, genetskega ali zdravstvenega stanja, spolne usmerjenosti, ali obdelavo, ki privede do ukrepov, ki imajo takšne posledice. Avtomatizirano sprejemanje odločitev in oblikovanje profilov na podlagi posebnih vrst osebnih podatkov bi bilo treba dovoliti le pod posebnimi pogoji.

(44)

S pravnimi akti, sprejetimi na podlagi Pogodb ali notranjih predpisov, ki jih sprejmejo institucije in organi Unije v zvezi z zadevami, ki se nanašajo na njihovo delovanje, se lahko uvedejo omejitve glede posebnih načel in pravic do obveščenosti, dostopa in popravka ali izbrisa osebnih podatkov, pravice do prenosljivosti podatkov, zaupnosti elektronskih komunikacijskih podatkov in sporočanja o kršitvi varstva osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki, in določenih s tem povezanih obveznosti upravljavcev, če je to v demokratični družbi potrebno in sorazmerno zaradi zaščite javne varnosti ter preprečevanja, preiskovanja in pregona kaznivih dejanj ali izvrševanja kazenskih sankcij. To vključuje varovanje pred grožnjami javni varnosti in njihovo preprečevanje, zaščito človeškega življenja, zlasti pri odzivu na naravne nesreče ali nesreče, ki jih povzroči človek, notranjo varnost institucij in organov Unije, druge pomembne cilje v splošnem javnem interesu Unije ali države članice, zlasti cilje skupne zunanje in varnostne politike Unije ali pomembnega gospodarskega ali finančnega interesa Unije ali države članice, in vodenje javnih registrov iz razlogov splošnega javnega interesa ali varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih, vključno s socialnim varstvom, javnim zdravjem in humanitarnimi nameni.

(45)

Uvesti bi bilo treba pristojnost in odgovornost upravljavca glede vsake obdelave osebnih podatkov, ki jo izvede upravljavec ali je izvedena v njegovem imenu. Upravljavec bi moral zlasti izvajati ustrezne in učinkovite ukrepe ter biti zmožen dokazati skladnost dejavnosti obdelave s to direktivo, vključno z učinkovitostjo ukrepov. Ti ukrepi bi morali upoštevati naravo, obseg, okoliščine in namene obdelave ter tveganje za pravice in svoboščine posameznikov.

(46)

Tveganje za pravice in svoboščine posameznika, ki se razlikuje po verjetnosti in resnosti, je lahko posledica obdelave osebnih podatkov, ki bi lahko povzročila fizično, premoženjsko ali nepremoženjsko škodo, zlasti: kadar obdelava lahko privede do diskriminacije, kraje ali zlorabe identitete, finančne izgube, okrnitve ugleda, izgube zaupnosti osebnih podatkov, zaščitenih s poklicno molčečnostjo, neodobrene reverzije psevdonimizacije ali katere koli druge znatne gospodarske ali socialne škode; kadar bi bile posameznikom, na katere se nanašajo osebni podatki, lahko odvzete pravice in svoboščine ali bi jim bilo preprečeno izvajanje nadzora nad njihovimi osebnimi podatki; kadar se obdelujejo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politična mnenja, veroizpoved ali filozofsko prepričanje ali članstvo v sindikatu, ter obdelovanje genskih podatkov ali podatkov v zvezi z zdravjem ali podatkov v zvezi s spolnim življenjem ali kazenskimi obsodbami in prekrški ali s tem povezanimi varnostnimi ukrepi; kadar se vrednotijo osebni vidiki, zlasti analiziranje ali predvidevanje vidikov, ki zadevajo uspešnost pri delu, ekonomski položaj, zdravje, osebni okus ali interese, zanesljivost ali vedenje, lokacijo ali gibanje, da bi se ustvarili ali uporabljali osebni profili; kadar se obdelujejo osebni podatki ranljivih posameznikov, zlasti otrok, ali kadar obdelava vključuje veliko število osebnih podatkov in zadeva veliko število posameznikov, na katere se nanašajo osebni podatki.

(47)

Verjetnost in resnost tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, bi bilo treba ugotavljati glede na vrsto, obseg, okoliščine in namene obdelave. Tveganje bi bilo treba oceniti na podlagi objektivne ocene, s katero se določi, ali dejanja obdelave podatkov pomenijo tveganje ali veliko tveganje.

(48)

Zaradi varstva pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov je treba sprejeti ustrezne tehnične in organizacijske ukrepe, da bi zagotovili izpolnitev zahtev iz te uredbe. Da bi upravljavec lahko dokazal skladnost s to uredbo, bi moral sprejeti notranjo ureditev in izvesti ukrepe, ki spoštujejo zlasti načeli vgrajenega in privzetega varstva podatkov. Ti ukrepi bi med drugim lahko vključevali minimizacijo obdelave osebnih podatkov, čimprejšnjo psevdonimizacijo osebnih podatkov, preglednost pri nalogah in obdelavi osebnih podatkov, omogočanje posameznikom, na katere se nanašajo osebni podatki, da spremljajo obdelavo podatkov, in omogočanje upravljavcu, da vzpostavi in izboljša varnostne ukrepe. Načeli vgrajenega in privzetega varstva podatkov bi morali biti upoštevani tudi pri javnih razpisih.

(49)

V Uredbi (EU) 2016/679 je določeno, da morajo upravljavci izkazati skladnost na podlagi izvajanja odobrenim mehanizmom certificiranja. Podobno bi morali biti institucije in organi Unije sposobni izkazati skladnost s to uredbo s pridobitvijo certifikata v skladu s členom 42 Uredbe (EU) 2016/679.

(50)

Varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, ter pristojnost in odgovornost upravljavcev in obdelovalcev zahtevajo jasno dodelitev odgovornosti na podlagi te uredbe, tudi kadar upravljavec namene in sredstva obdelave določi skupaj z drugimi upravljavci ali kadar je dejanje obdelave izvedeno v imenu upravljavca.

(51)

Za zagotovitev skladnosti z zahtevami iz te uredbe v zvezi z obdelavo, ki jo opravi obdelovalec v imenu upravljavca, bi moral upravljavec dejavnosti obdelave zaupati samo tistim obdelovalcem, ki zagotavljajo zadostna jamstva, zlasti v smislu strokovnega znanja, zanesljivosti in virov za izvajanje tehničnih in organizacijskih ukrepov, ki izpolnjujejo zahteve iz te uredbe, vključno za varnost obdelave. Zavezanost obdelovalcev, ki niso institucije in organi Unije, k odobrenemu kodeksu ravnanja ali odobrenemu mehanizmu potrjevanja se lahko uporabi kot element za izpolnjevanje obveznosti upravljavca. Obdelavo s strani obdelovalca, ki ni institucija ali organ Unije, bi morala urejati pogodba ali v primeru, da imajo institucije in organi Unije vlogo obdelovalca, pogodba ali drug pravni akt v skladu s pravom Unije, ki bi določal obveznosti obdelovalca do upravljavca ter določal vsebino in trajanje obdelave, naravo in namene obdelave, vrsto osebnih podatkov in kategorije posameznikov, na katere se nanašajo osebni podatki, ob upoštevanju posebnih nalog in odgovornosti obdelovalca v okviru obdelave, ki jo izvaja, in tveganje za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. Upravljavec in obdelovalec se lahko odločita za uporabo individualne pogodbe ali standardnih pogodbenih določil, ki jih sprejme bodisi neposredno Komisija bodisi Evropski nadzornik za varstvo podatkov, nato pa jih sprejme Komisija. Po zaključku obdelave v imenu upravljavca bi moral obdelovalec v skladu z odločitvijo upravljavca vrniti ali izbrisati osebne podatke, razen v primeru zahteve za shranitev osebnih podatkov v skladu s pravom Unije ali pravom države članice, ki velja za obdelovalca.

(52)

Za izkaz skladnosti s to uredbo bi morali upravljavci hraniti evidence o dejavnostih obdelave, za katere so odgovorni, obdelovalci pa bi morali hraniti evidence o vrstah dejavnosti obdelave, za katere so odgovorni. Institucije in organi Unije bi morali biti zavezani k sodelovanju z Evropskim nadzornikom za varstvo podatkov in mu na zahtevo omogočiti dostop do svojih evidenc, da bi bile tako lahko namenjene spremljanju dejanj obdelave. Institucije in organi Unije bi morali imeti možnost, da vzpostavijo centralni register evidenc svojih dejavnosti obdelave, razen če glede na velikost institucije ali organa Unije to ni primerno. Zaradi preglednosti bi morali imeti tudi možnost, da tak register objavijo.

(53)

Za ohranitev varnosti in preprečitev obdelave, ki bi pomenila kršitev te uredbe, bi moral upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja, na primer šifriranje. Ti ukrepi bi morali zagotavljati ustrezno raven varnosti, vključno z zaupnostjo, ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja glede na tveganja in naravo osebnih podatkov, ki jih je treba varovati. Pri oceni tveganja v zvezi z varstvom podatkov bi bilo treba pozornost posvetiti tveganjem, ki jih pomeni obdelava osebnih podatkov, kot so nenamerno ali nezakonito uničenje, izguba, sprememba, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani, kar lahko zlasti povzroči fizično, premoženjsko ali nepremoženjsko škodo.

(54)

Institucije in organi Unije bi morali zagotoviti zaupnost elektronskih sporočil v skladu s členom 7 Listine. Zlasti bi morali zagotoviti varnost svojih elektronskih komunikacijskih omrežij. Zavarovati bi morali informacije v zvezi s terminalsko opremo uporabnikov omrežja ali opreme, s katero se dostopa do njihovih javno dostopnih spletnih mest in mobilnih aplikacij v skladu z Direktivo 2002/58/ES Evropskega parlamenta in Sveta (8). Morali bi zavarovati tudi osebne podatke, shranjene v imenikih uporabnikov omrežja ali opreme.

(55)

Kršitev varnosti osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo. Zato bi moral upravljavec, takoj, ko se seznani s kršitvijo varnosti osebnih podatkov, o njej uradno obvestiti Evropskega nadzornika za varstvo podatkov brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, razen če lahko upravljavec v skladu z načelom odgovornosti dokaže, da ni verjetno, da bi kršitev varnosti osebnih podatkov povzročila tveganje za pravice in svoboščine posameznikov. Kadar ni mogoče uradno obvestiti v 72 urah, bi bilo treba uradnemu obvestilu priložiti razloge za zamudo, informacije pa se lahko zagotovijo postopoma in brez nadaljnjega nepotrebnega odlašanja. Kadar je taka zamuda upravičena, bi bilo treba čim prej objaviti manj občutljive ali manj podrobne informacije o kršitvi, namesto da se zadevni incident v celoti razreši pred uradnim obvestilom.

(56)

Upravljavec bi moral posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja obvestiti o kršitvi varstva osebnih podatkov, kadar je verjetno, da bi ta kršitev varstva osebnih podatkov lahko povzročila veliko tveganje za pravice in svoboščine posameznika, da bi se ta lahko ustrezno zavaroval. Sporočilo bi moralo vsebovati opis narave kršitve varstva osebnih podatkov in priporočila za zadevnega posameznika za ublažitev morebitnih škodljivih učinkov. Posamezniki, na katere se nanašajo osebni podatki, bi morali prejeti tako sporočilo, kakor hitro je to razumno mogoče in v tesnem sodelovanju z Evropskim nadzornikom za varstvo podatkov ter ob upoštevanju smernic, ki jih je podal Evropski nadzornik za varstvo podatkov ali drugi ustrezni organi, kot so organi za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj.

(57)

Uredba (ES) št. 45/2001 določa splošno obveznost upravljavca, da o obdelavi osebnih podatkov obvesti pooblaščeno osebo za varstvo podatkov. Pooblaščena oseba za varstvo podatkov vodi evidenco dejanj obdelave, o katerih je bila obveščena, razen če glede na velikost institucije ali organa Unije to ni primerno. Poleg te splošne obveznosti bi bilo treba določiti učinkovite postopke in mehanizme za spremljanje dejanj obdelave, ki zaradi svoje narave, obsega, okoliščin in namenov verjetno povzročajo veliko tveganje za pravice in svoboščine posameznikov. Taki postopki bi zlasti morali biti določeni, kadar gre za vrste dejanj obdelave, ki vključujejo uporabo novih tehnologij ali ki so nove, v zvezi s katerimi upravljavec še ni izvedel ocene učinka v zvezi z varstvom podatkov ali postanejo potrebne zaradi časa, ki je pretekel od prvotne obdelave. V takih primerih bi moral upravljavec pred obdelavo izvesti oceno učinka v zvezi z varstvom podatkov, da bi se ocenili posebna verjetnost in resnost velikega tveganja, pri čemer bi upoštevali naravo, obseg, okoliščine in namene obdelave ter izvor tveganja. Ta ocena učinka pa bi morala obsegati zlasti ukrepe, zaščitne ukrepe in mehanizme, ki so predvideni za ublažitev tega tveganja, zagotavljanje varstva osebnih podatkov in dokazovanje skladnosti s to uredbo.

(58)

Kadar ocena učinka v zvezi z varstvom podatkov pokaže, da bi zaradi neobstoječih zaščitnih ukrepov, varnostnih ukrepov in mehanizmov za ublažitev tveganja obdelava povzročila veliko tveganje za pravice in svoboščine posameznikov, in upravljavec meni, da tveganja ni mogoče ublažiti z razumnimi sredstvi v smislu razpoložljivih tehnologij in stroškov izvajanja, bi moralo biti pred začetkom dejavnosti obdelave opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov. Za tako veliko tveganje je verjetno, da izhaja iz določenih vrst obdelave ter določenega obsega in pogostosti obdelave, kar bi lahko povzročilo tudi škodo za pravice in svoboščine posameznika ali poseg vanje. Evropski nadzornik za varstvo podatkov bi se moral na zahtevo po posvetovanju odzvati v določenem obdobju. Vendar odsotnost odziva Evropskega nadzornika za varstvo podatkov v tem obdobju ne bi smela posegati v kakršno koli posredovanje Evropskega nadzornika za varstvo podatkov v skladu z njegovimi nalogami in pooblastili iz te uredbe, vključno s pooblastilom za prepoved dejanj obdelave. V okviru tega postopka posvetovanja bi moralo biti mogoče Evropskemu nadzorniku za varstvo podatkov predložiti rezultat ocene učinka v zvezi z varstvom podatkov, ki se izvede v zvezi z zadevno obdelavo, zlasti ukrepi, ki so predvideni za ublažitev tveganja za pravice in svoboščine posameznikov.

(59)

Da bi zagotovili skladnost načrtovane obdelave s to uredbo, zlasti kar zadeva ublažitev tveganja za posameznika, na katerega se nanašajo osebni podatki, bi moral biti Evropski nadzornik za varstvo podatkov obveščen o upravnih ukrepih in zaprošen za mnenje o notranjih predpisih, ki jih institucije in organi Unije sprejmejo v zvezi z zadevami, ki se nanašajo na njihovo delovanje, ko urejajo obdelavo osebnih podatkov, določajo pogoje za omejitev pravic posameznika, na katerega se nanašajo osebni podatki, ali predvidevajo ustrezne zaščitne ukrepe za pravice posameznika, na katerega se nanašajo osebni podatki.

(60)

Z Uredbo (EU) 2016/679 je bil ustanovljen Evropski odbor za varstvo podatkov kot neodvisni organ Unije in kot pravna oseba. Odbor bi moral prispevati k dosledni uporabi Uredbe (EU) 2016/679 in Direktive (EU) 2016/680 po vsej Uniji, tudi s svetovanjem Komisiji. Hkrati bi moral Evropski nadzornik za varstvo podatkov še naprej izvajati svojo nadzorno in svetovalno vlogo v zvezi z vsemi institucijami in organi Unije, na lastno pobudo ali na zahtevo. Za zagotovitev skladnosti pravil o varstvu podatkov po vsej Uniji, bi si morala Komisija med pripravo predlogov ali priporočil prizadevati za posvetovanje z Evropskim nadzornikom za varstvo podatkov. Posvetovanje Komisije bi moralo biti obvezno po sprejetju zakonodajnih aktov ali med pripravo delegiranih in izvedbenih aktov, kakor so opredeljeni v členih 289, 290 in 291 PDEU, ter po sprejetju priporočil in predlogov, ki se nanašajo na sporazume s tretjimi državami in mednarodnimi organizacijami, kakor je določeno v členu 218 PDEU, ki vplivajo na pravico do varstva osebnih podatkov. V takih primerih bi se morala Komisija posvetovati z Evropskim nadzornikom za varstvo podatkov, razen kadar se mora v skladu z Uredbo (EU) 2016/679 posvetovati z Evropskim odborom za varstvo podatkov, na primer o sklepih o ustreznosti ali delegiranih aktih o standardiziranih ikonah in zahtevah v zvezi z mehanizmi potrjevanja. Kadar je zadevni akt zlasti pomemben za varstvo pravic in svoboščin posameznikov pri obdelavi osebnih podatkov, bi morala Komisija imeti možnost, da se posvetuje tudi z Evropskim odborom za varstvo podatkov. V teh primerih bi moral Evropski nadzornik za varstvo podatkov kot član Evropskega odbora za varstvo podatkov svoje delo uskladiti s tem odborom, da izdata skupno mnenje. Evropski nadzornik za varstvo podatkov in, kadar je ustrezno, Evropski odbor za varstvo podatkov bi morala svoje mnenje v pisni obliki predložiti v osmih tednih. Ta časovni okvir bi moral biti krajši v nujnih primerih ali kadar je drugače primerno, na primer kadar Komisija pripravlja delegirane in izvedbene akte.

(61)

V skladu s členom 75 Uredbe (EU) 2016/679 bi moral Evropski nadzornik za varstvo podatkov zagotoviti sekretariat Evropskemu odboru za varstvo podatkov.

(62)

V vseh institucijah in organih Unije bi morala pooblaščena oseba za varstvo podatkov zagotoviti, da se določbe te uredbe uporabljajo, ter upravljavcem in obdelovalcem svetovati glede izpolnjevanja njihovih obveznosti. Ta pooblaščena oseba bi morala biti oseba s strokovnim znanjem s področja prava o varstvu podatkov in poznavanjem zadevnih praks, kar bi bilo treba določiti zlasti glede na dejanja obdelave podatkov, ki jih izvede upravljavec ali obdelovalec, in varstvo, potrebno pri osebnih podatkih, vključenih v obdelavo. Taki pooblaščeni osebi za varstvo podatkov bi moralo biti omogočeno, da svoje dolžnosti in naloge opravlja neodvisno.

(63)

Kadar se osebni podatki prenašajo iz institucij in organov Unije upravljavcem, obdelovalcem ali drugim uporabnikom v tretjih državah ali mednarodnim organizacijam, bi morala biti zagotovljena raven varstva posameznikov, ki jo v Uniji zagotavlja ta uredba. Enaka jamstva bi se morala uporabljati v primeru nadaljnjih prenosov osebnih podatkov iz tretje države ali mednarodne organizacije upravljavcem, obdelovalcem v isti ali drugi tretji državi ali mednarodni organizaciji. V vsakem primeru se lahko prenosi v tretje države in mednarodne organizacije izvajajo samo v popolni skladnosti s to uredbo in ob spoštovanju temeljnih pravic in svoboščin, zapisanih v Listini. Prenos bi se lahko izvedel le, če upravljavec ali obdelovalec v skladu z drugimi določbami te uredbe izpolnjuje pogoje iz določb te uredbe v zvezi s prenosom osebnih podatkov v tretje države ali mednarodne organizacije.

(64)

Komisija lahko na podlagi člena 45 Uredbe (EU) 2016/679 ali člena 36 Direktive (EU) 2016/680 sklene, da tretja država, ozemlje ali določen sektor v tretji državi ali mednarodna organizacija nudi ustrezno raven varstva podatkov. V takih primerih se lahko prenosi osebnih podatkov v to tretjo državo ali mednarodno organizacijo iz institucije ali organa Unije opravijo brez potrebe po pridobitvi dodatnega dovoljenja.

(65)

Če sklep o ustreznosti ni sprejet, bi moral upravljavec ali obdelovalec sprejeti ukrepe, na podlagi katerih pomanjkanje varstva podatkov v tretji državi nadomesti z ustreznimi zaščitnimi ukrepi za posameznika, na katerega se nanašajo osebni podatki. Taki ustrezni zaščitni ukrepi so lahko sestavljeni iz uporabe standardnih določil o varstvu podatkov, ki jih sprejme Komisija ali Evropski nadzornik za varstvo podatkov, ali pogodbenih določil, ki jih odobri Evropski nadzornik za varstvo podatkov. Kadar obdelovalec ni institucija ali organ Unije, so lahko navedeni ustrezni zaščitni ukrepi sestavljeni tudi iz zavezujočih poslovnih pravil, kodeksov ravnanja in mehanizmov potrjevanja, ki se uporabljajo za mednarodne prenose na podlagi Uredbe (EU) 2016/679. S temi zaščitnimi ukrepi bi bilo treba zagotoviti skladnost z zahtevami glede varstva podatkov in pravicami posameznikov, na katere se nanašajo osebni podatki, ki ustrezajo obdelavi znotraj Unije, vključno z razpoložljivostjo izvršljivih pravic posameznikov, na katere se nanašajo osebni podatki, in učinkovitih pravnih sredstev, tudi pravico do učinkovitega upravnega ali sodnega varstva ali odškodnine, v Uniji ali tretji državi. Nanašati bi se morali zlasti na skladnost s splošnimi načeli v zvezi z obdelavo osebnih podatkov ter načeli vgrajenega in privzetega varstva podatkov. Prenose z javnimi organi ali telesi v tretjih državah oziroma z mednarodnimi organizacijami z ustreznimi nalogami ali funkcijami lahko opravijo tudi institucije in organi Unije, tudi na podlagi določb, ki se vključijo v upravne dogovore, kot je memorandum o soglasju, s katerimi se zagotavljajo izvršljive in učinkovite pravice posameznikov, na katere se nanašajo osebni podatki. Kadar so zaščitni ukrepi določeni v upravnih dogovorih, ki niso pravno zavezujoči, bi bilo treba pridobiti dovoljenje Evropskega nadzornika za varstvo podatkov.

(66)

Možnost, ki jo ima upravljavec ali obdelovalec glede uporabe standardnih določil o varstvu podatkov, ki jih sprejme Komisija ali Evropski nadzornik za varstvo podatkov, upravljavcem ali obdelovalcem ne bi smela preprečiti niti, da standardna določila o varstvu podatkov vključijo v obsežnejšo pogodbo, kot je pogodba med obdelovalcem in drugim obdelovalcem, niti, da dodajo druga določila ali dodatne zaščitne ukrepe, če ti neposredno ali posredno ne nasprotujejo standardnim pogodbenim določilom Komisije ali Evropskega nadzornika za varstvo podatkov ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki. Upravljavce in obdelovalce bi bilo treba spodbujati, da vzpostavijo dodatne zaščitne ukrepe s pomočjo pogodbenih obveznosti, ki bi dopolnjevale standardna določila o varstvu podatkov.

(67)

Nekatere tretje države sprejemajo zakone, predpise in druge pravne akte, ki neposredno urejajo dejavnosti obdelave institucij in organov Unije. To lahko vključuje sodbe sodišč ali odločbe upravnih organov tretjih držav, ki od upravljavca ali obdelovalca zahtevajo prenos ali razkritje osebnih podatkov in ki ne temeljijo na mednarodnem sporazumu, sklenjenem med tretjo državo prosilko in Unijo. Zunajozemeljska uporaba teh zakonov, predpisov in drugih pravnih aktov lahko krši mednarodno pravo in ovira doseganje varstva posameznikov, ki ga v Uniji zagotavlja ta uredba. Prenosi bi smeli biti dovoljeni samo, kadar so izpolnjeni pogoji iz te uredbe za prenos v tretje države. To je lahko med drugim v primeru, kadar je razkritje potrebno zaradi pomembnega javnega interesa, priznanega s pravom Unije.

(68)

V posebnih primerih bi morala biti predvidena možnost prenosov v določenih okoliščinah, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo izrecno privolitev, kadar je prenos občasen in potreben zaradi pogodbe ali pravnega zahtevka, ne glede na to, ali gre za sodni postopek ali upravni ali kateri koli izvensodni postopek, vključno s postopki pred regulativnimi organi. Možnost prenosov bi morala biti predvidena tudi, kadar to zahtevajo pomembni razlogi v javnem interesu, določeni s pravom Unije, ali kadar je prenos izveden iz registra, vzpostavljenega z zakonom in namenjenega vpogledu javnosti ali oseb z zakonitim interesom. V slednjem primeru tak prenos ne bi smel vključevati celotnih osebnih podatkov ali celotnih vrst podatkov, ki jih vsebuje register, razen če to dovoljuje pravo Unije, in kadar je register namenjen vpogledu oseb, ki imajo zakoniti interes, bi bilo treba prenos opraviti samo na zahtevo teh oseb ali če bodo te osebe uporabniki, pri čemer je treba v celoti upoštevati interese in temeljne pravice posameznikov, na katere se nanašajo osebni podatki.

(69)

Ta odstopanja bi se morala uporabljati zlasti za prenose podatkov, ki so zahtevani in potrebni zaradi pomembnih razlogov javnega interesa, kot v primeru mednarodne izmenjave podatkov med institucijami in organi Unije ter organi za varstvo konkurence, davčnimi ali carinskimi upravami, finančnimi nadzornimi organi in službami, pristojnimi za zadeve na področju socialne varnosti ali javnega zdravja, denimo v primeru sledenja stikov za nalezljive bolezni ali zaradi zmanjšanja in/ali odprave uporabe nedovoljenih poživil v športu. Prenos osebnih podatkov bi moral prav tako veljati za zakonitega, kadar je treba zaščititi ključni interes posameznika, na katerega se nanašajo osebni podatki, ali interese življenjskega pomena za druge osebe, vključno s telesno nedotakljivostjo ali življenjem, če posameznik, na katerega se nanašajo osebni podatki, ni sposoben dati privolitve. Če sklepa o ustreznosti ni, se lahko v pravu Unije zaradi pomembnih razlogov javnega interesa izrecno določijo omejitve prenosa posebnih kategorij podatkov v tretjo državo ali mednarodno organizacijo. Vsak prenos osebnih podatkov posameznika, na katerega se nanašajo osebni podatki in ki fizično ali pravno ni sposoben dati privolitve, mednarodni humanitarni organizaciji, ki se opravi z namenom izvajanja naloge v skladu z Ženevskimi konvencijami ali za skladnost z mednarodnim humanitarnim pravom, ki se uporablja za oborožene spore, bi se lahko štel za potrebnega, če je v pomembnem javnem interesu ali življenjskega interesa za posameznika, na katerega se nanašajo osebni podatki.

(70)

V vsakem primeru bi moral upravljavec ali obdelovalec, če Komisija ni sprejela sklepa o ustrezni ravni varstva podatkov v tretji državi, uporabiti rešitve, ki posameznikom, na katere se nanašajo osebni podatki, zagotavljajo izvršljive in učinkovite pravice glede obdelave njihovih podatkov v Uniji po prenosu teh podatkov, tako da lahko še vedno uresničujejo temeljne pravice in zaščitne ukrepe.

(71)

Pri čezmejnem prenosu osebnih podatkov zunaj Unije se lahko poveča tveganje v zvezi z zmožnostjo posameznikov za uresničevanje pravic do varstva podatkov, zlasti da se zaščitijo pred nezakonito uporabo ali razkritjem navedenih podatkov. Hkrati lahko nacionalni nadzorni organi in Evropski nadzornik za varstvo podatkov ugotovijo, da ne morejo obravnavati pritožb ali izvesti preiskav v zvezi z dejavnostmi zunaj svoje pristojnosti. Njihova prizadevanja za čezmejno sodelovanje lahko ovirajo tudi nezadostna pooblastila za preprečevanje kršitev ali njihovo odpravo, neskladne pravne ureditve in praktične ovire, na primer omejitev virov. Zato bi bilo treba spodbujati tesnejše sodelovanje med Evropskim nadzornikom za varstvo podatkov in nacionalnimi nadzornimi organi, da bi jim pomagali izmenjavati informacije s tujimi nadzornimi organi za varstvo podatkov.

(72)

Ustanovitev Evropskega nadzornika za varstvo podatkov z Uredbo (ES) št. 45/2001, ki je pooblaščen, da svoje naloge in pooblastila izvaja popolnoma neodvisno, je bistveni del varstva posameznikov pri obdelavi njihovih osebnih podatkov. Ta uredba bi morala dodatno okrepiti in pojasniti njegovo vlogo in neodvisnost. Evropski nadzornik za varstvo podatkov bi moral biti oseba, katere neodvisnost je nedvomna in ki ima priznane izkušnje in strokovnost, potrebne za opravljanje dolžnosti Evropskega nadzornika za varstvo podatkov, na primer zato, ker deluje ali je delovala v okviru enega od nadzornih organov iz člena 51 Uredbe (EU) 2016/679.

(73)

Da se zagotovi dosledno spremljanje in izvajanje pravil o varstvu podatkov v vsej Uniji, bi moral imeti Evropski nadzornik za varstvo podatkov enake naloge in učinkovita pooblastila kot nacionalni nadzorni organi, vključno s pooblastili za preiskovanje, popravljalnimi pooblastili in sankcijami ter pooblastili v zvezi z dovoljenji in svetovalnimi pristojnostmi, zlasti v primerih pritožb posameznikov, pooblastila za opozarjanje Sodišča na kršitve te uredbe ter pooblastila za sodelovanje v sodnih postopkih v skladu s primarno zakonodajo. Taka pooblastila bi morala vključevati tudi pooblastilo za uvedbo začasne ali dokončne omejitve ali prepoved obdelave. Da bi se preprečili nepotrebni stroški in pretirane nevšečnosti za vpletene osebe, za katere bi lahko imeli ukrepi Evropskega nadzornika za varstvo podatkov negativne posledice, bi moral biti vsak tak ukrep ustrezen, potreben in sorazmeren, da se zagotovi skladnost s to uredbo, pri tem pa bi se morale upoštevati okoliščine posameznega primera in spoštovati pravica vsake osebe, da izrazi svoje mnenje, preden se sprejme kakršen koli zadevni posamezni ukrep. Vsak pravno zavezujoč ukrep Evropskega nadzornika za varstvo podatkov bi moral biti v pisni obliki, jasen in nedvoumen, v njem bi moral biti naveden datum izdaje ukrepa, podpisati bi ga moral Evropski nadzornik za varstvo podatkov, vsebovati pa bi moral razloge za ukrep in sklic na pravico do učinkovitega pravnega sredstva.

(74)

Nadzorna pristojnost Evropskega nadzornika za varstvo podatkov ne bi smela vključevati obdelave osebnih podatkov s strani Sodišča, kadar deluje kot sodni organ, da se zaščiti neodvisnost Sodišča pri opravljanju sodnih nalog, vključno z odločanjem. Za takšna dejanja obdelave bi moralo Sodišče vzpostaviti neodvisen nadzor v skladu s členom 8(3) Listine, na primer prek notranjega mehanizma.

(75)

Odločitve Evropskega nadzornika za varstvo podatkov glede izjem, garancij, odobritev in pogojev v zvezi z dejanji obdelave podatkov, kakor je opredeljeno v tej uredbi, bi bilo treba objaviti v poročilu o dejavnostih. Ne glede na objavo letnega poročila o dejavnostih lahko Evropski nadzornik za varstvo podatkov objavi poročila o posameznih temah.

(76)

Evropski nadzornik za varstvo podatkov bi moral spoštovati Uredbo (ES) št. 1049/2001 Evropskega parlamenta in Sveta (9).

(77)

Nacionalni nadzorni organi spremljajo uporabo Uredbe (EU) 2016/679 in prispevajo k njeni dosledni uporabi po vsej Uniji, da bi varovali posameznike pri obdelavi njihovih osebnih podatkov in olajšali prosti pretok osebnih podatkov na notranjem trgu. Za večjo skladnost uporabe pravil o varstvu podatkov, ki se uporabljajo v državah članicah, in pravil o varstvu podatkov, ki se uporabljajo za institucije in organe Unije, bi moral Evropski nadzornik za varstvo podatkov učinkovito sodelovati z nacionalnimi nadzornimi organi.

(78)

Pravo Unije v nekaterih okoliščinah določa model usklajenega nadzora, ki ga uporabljajo Evropski nadzornik za varstvo podatkov in nacionalni nadzorni organi. Evropski nadzornik za varstvo podatkov je tudi nadzorni organ Europola in v te namene je bil v okviru odbora za sodelovanje s svetovalno vlogo vzpostavljen poseben model za sodelovanje z nacionalnimi nadzornimi organi. Da se izboljšata učinkovit nadzor in izvajanje materialnih pravil o varstvu podatkov, bi bilo treba v Uniji uvesti enoten, skladen model usklajenega nadzora. Komisija bi morala zato, kadar je primerno, predložiti zakonodajne predloge za spremembo pravnih aktov Unije, ki določajo model usklajenega nadzora, da se uskladijo z modelom usklajenega nadzora iz te uredbe. Evropski odbor za varstvo podatkov bi moral biti enotni forum za zagotavljanje učinkovitega usklajenega splošnega nadzora.

(79)

Vsak posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da vloži pritožbo pri Evropskem nadzorniku za varstvo podatkov, in pravico do učinkovitega pravnega sredstva pred Sodiščem v skladu s Pogodbama, kadar meni, da so njegove pravice iz te uredbe kršene, ali če Evropski nadzornik za varstvo podatkov ne obravnava pritožbe, jo v celoti ali deloma zavrže ali zavrne ali ne ukrepa, kadar je tak ukrep potreben za varstvo pravic posameznika, na katerega se nanašajo osebni podatki. Preiskavo na podlagi pritožbe bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen, saj je lahko odločitev nadzornega organa predmet sodne presoje. Evropski nadzornik za varstvo podatkov bi moral posameznika, na katerega se nanašajo osebni podatki, v razumnem roku obvestiti o stanju zadeve in o odločitvi o pritožbi. Če se mora Evropski nadzornik za varstvo podatkov dodatno uskladiti z nacionalnim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo osebni podatki, posredovati informacije o stanju zadeve med postopkom. Za poenostavitev postopka vložitve pritožbe bi moral Evropski nadzornik za varstvo podatkov sprejeti ukrepe, na primer za zagotovitev obrazca za vložitev pritožbe, ki se lahko izpolni tudi elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

(80)

Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, bi moral imeti pravico, da pod pogoji iz Pogodb od upravljavca ali obdelovalca dobi odškodnino za nastalo škodo.

(81)

Da bi se okrepila nadzorna vloga Evropskega nadzornika za varstvo podatkov in učinkovito izvrševanje te uredbe, bi moral imeti Evropski nadzornik za varstvo podatkov kot zadnjo možnost pooblastilo za naložitev upravnih glob. Globe bi morale biti namenjene temu, da se zaradi neskladnosti s to uredbo ter za odvračanje od prihodnjih kršitev te uredbe in spodbujanje kulture varstva osebnih podatkov v institucijah in organih Unije namesto posameznikov kaznuje institucija ali organ. Ta uredba bi morala navajati kršitve, za katere se uporabljajo upravne globe, zgornjo mejo in merila za določanje s tem povezanih glob. Znesek globe bi moral v vsakem posameznem primeru določiti Evropski nadzornik za varstvo podatkov ob upoštevanju vseh zadevnih okoliščin v določeni situaciji ter narave, teže in trajanja kršitve, njenih posledic in sprejetih ukrepov za zagotavljanje skladnosti z obveznostmi iz te uredbe ter za preprečitev ali ublažitev posledic kršitve. Evropski nadzornik za varstvo podatkov bi moral pri naložitvi upravne globe instituciji ali organu Unije upoštevati sorazmernost zneska globe. Upravni postopek za naložitev glob institucijam in organom Unije bi moral upoštevati splošna načela prava Unije, kakor jih razlaga Sodišče.

(82)

Kadar posameznik, na katerega se nanašajo osebni podatki, meni, da so bile kršene njegove pravice iz te uredbe, bi moral imeti pravico, da pooblasti organ, organizacijo ali združenje, ki je nepridobitne narave, ustanovljeno v skladu s pravom Unije ali pravom države članice, katerega statutarno določeni cilji so v javnem interesu ter je dejavno na področju varstva osebnih podatkov, da v njegovem imenu vloži pritožbo pri Evropskem nadzorniku za varstvo podatkov. Tak organ, organizacija ali združenje bi moralo imeti tudi možnost, da uveljavlja pravico do pravnega sredstva v imenu posameznikov, na katere se nanašajo osebni podatki, ali da uveljavlja pravico do odškodnine v imenu posameznikov, na katere se nanašajo osebni podatki.

(83)

Uradnik ali drug uslužbenec Evropske unije, ki ne izpolnjuje obveznosti iz te uredbe, bi moral biti disciplinsko ali kako drugače odgovoren v skladu s pravili in postopki, določenimi v Kadrovskih predpisih za uradnike Evropske unije in Pogojih za zaposlitev drugih uslužbencev Unije, določenih v Uredbi Sveta (EGS, Euratom, ESPJ) št. 259/68 (10) (v nadaljnjem besedilu: Kadrovski predpisi).

(84)

Za zagotovitev enotnih pogojev izvajanja te uredbe bi bilo treba na Komisijo prenesti izvedbena pooblastila. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (11). Postopek pregleda bi se moral uporabiti za sprejetje standardnih pogodbenih določil med upravljavci in obdelovalci ter med obdelovalci, za sprejetje seznama dejanj obdelave, kadar se morajo upravljavci, ki osebne podatke obdelujejo za opravljanje naloge v javnem interesu, predhodno posvetovati z Evropskim nadzornikom za varstvo podatkov, in za sprejetje standardnih pogodbenih določil, ki zagotavljajo ustrezne zaščitne ukrepe za mednarodne prenose.

(85)

Zaupne informacije, ki jih statistični organi Unije in nacionalni statistični organi zberejo zaradi priprave uradne evropske in nacionalne statistike, bi bilo treba zaščititi. Evropsko statistiko bi bilo treba razvijati, pripravljati in razširjati v skladu s statističnimi načeli iz člena 338(2) PDEU. V Uredbi (ES) št. 223/2009 Evropskega parlamenta in Sveta (12) so določene nadaljnje natančnejše ureditve glede statistične zaupnosti evropske statistike.

(86)

Uredbo (ES) št. 45/2001 in Sklep št. 1247/2002/ES Evropskega parlamenta, Sveta in Komisije (13) bi bilo treba razveljaviti. Sklicevanje na razveljavljeno uredbo in razveljavljeni sklep bi bilo treba šteti kot sklicevanje na to uredbo.

(87)

Da se zaščiti popolna neodvisnost članov neodvisnega nadzornega organa, ta uredba ne bi smela vplivati na mandata sedanjega evropskega nadzornika za varstvo podatkov in sedanjega pomočnika nadzornika. Sedanji pomočnik nadzornika bi moral še naprej opravljati svojo funkcijo do konca svojega mandata, razen če je izpolnjen eden od pogojev iz te uredbe za predčasno prenehanje mandata evropskega nadzornika za varstvo podatkov. Zadevne določbe te uredbe bi se morale za pomočnika nadzornika uporabljati do konca njegovega mandata.

(88)

Da bi se dosegla osnovni cilj zagotovitve enakovredne ravni varstva posameznikov pri obdelavi osebnih podatkov in prosti pretok osebnih podatkov po vsej Uniji, je v skladu z načelom sorazmernosti potrebno in primerno določiti pravila o obdelavi osebnih podatkov v institucijah in organih Unije. V skladu s členom 5(4) PEU ta uredba ne presega tistega, kar je potrebno za doseganje zastavljenih ciljev.

(89)

Opravljeno je bilo posvetovanje z Evropskim nadzornikom za varstvo podatkov v skladu s členom 28(2) Uredbe (ES) št. 45/2001, ki je mnenje podal 15. marca 2017 (14) –

SPREJELA NASLEDNJO UREDBO:

POGLAVJE I

SPLOŠNE DOLOČBE

Člen 1

Predmet urejanja in cilji

1.   Ta uredba določa pravila o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Unije in pravila o prostem pretoku osebnih podatkov med njimi ali drugimi uporabniki, ustanovljenimi v Uniji.

2.   Ta uredba varuje temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov.

3.   Evropski nadzornik za varstvo podatkov spremlja uporabo določb te uredbe pri vseh dejanjih obdelave, ki jih izvede institucija ali organ Unije.

Člen 2

Področje uporabe

1.   Ta uredba se uporablja za obdelavo osebnih podatkov v vseh institucijah in organih Unije.

2.   Za obdelavo operativnih osebnih podatkov v organih, uradih in agencijah Unije pri opravljanju dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, se uporabljata samo člen 3 in poglavje IX te uredbe.

3.   Ta uredba se ne uporablja za obdelavo operativnih osebnih podatkov v Europolu in Evropskem javnem tožilstvu, dokler se Uredba (EU) 2016/794 Evropskega parlamenta in Sveta (15) in Uredba Sveta (EU) 2017/1939 (16) ne prilagodita v skladu s členom 98 te uredbe.

4.   Ta uredba se ne uporablja za obdelavo osebnih podatkov v okviru misij iz členov 42(1), 43 in 44 PEU.

5.   Ta uredba se uporablja za obdelavo osebnih podatkov, ki se v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se izvaja z avtomatiziranimi sredstvi.

Člen 3

Opredelitev pojmov

V tej uredbi se uporabljajo naslednje opredelitve pojmov:

(1)

„osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom („posameznik, na katerega se nanašajo osebni podatki“); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(2)

„operativni osebni podatki“ pomeni osebne podatke, ki jih obdelujejo organi, uradi ali agencije Unije pri opravljanju dejavnosti, ki spadajo na področje poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, da bi uresničili cilje, določene v aktih o ustanovitvi teh organov, uradov ali agencij;

(3)

„obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

(4)

„omejitev obdelave“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

(5)

„oblikovanje profilov“ pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

(6)

„psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

(7)

„zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(8)

„upravljavec“ pomeni institucijo ali organ Unije, generalni direktorat ali kateri koli drug organizacijski subjekt, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva takšne obdelave določa posebni akt Unije, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije;

(9)

„upravljavci, ki niso institucije in organi Unije“ pomeni upravljavce v smislu točke 7 člena 4 Uredbe (EU) 2016/679 in upravljavce v smislu točke 8 člena 3 Direktive (EU) 2016/680;

(10)

„institucije in organi Unije“ pomeni institucije, organe, urade in agencije Unije, ki so bili ustanovljeni s PEU, PDEU ali Pogodbo Euratom ali na njihovi podlagi;

(11)

„pristojni organ“ pomeni kateri koli javni organ v državi članici, ki je pristojen za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem;

(12)

„obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drug organ, ki obdeluje osebne podatke v imenu upravljavca;

(13)

„uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drug organ, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom Unije ali pravom države članice, ne veljajo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

(14)

„tretja oseba“ pomeni fizično ali pravno osebo, javni organ, agencijo ali organ, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo osebnih podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;

(15)

„privolitev“ posameznika, na katerega se nanašajo osebni podatki, pomeni vsako prostovoljno, konkretno, informirano in nedvoumno ravnanje v obliki izjave ali jasnega pritrdilnega dejanja, iz katerega je mogoče sklepati na želje posameznika, na katerega se nanašajo osebni podatki, s katerim izrazi strinjanje z obdelavo osebnih podatkov, ki se nanašajo nanj;

(16)

„kršitev varnosti osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(17)

„genski podatki“ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;

(18)

„biometrični podatki“ pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

(19)

„podatki o zdravstvenem stanju“ pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;

(20)

„storitev informacijske družbe“ pomeni storitev, kakor je opredeljena v točki (b) člena 1(1) Direktive (EU) 2015/1535 Evropskega parlamenta in Sveta (17);

(21)

„mednarodna organizacija“ pomeni organizacijo in njene podrejene organe, ki jih ureja mednarodno javno pravo ali kateri koli drug organ, ustanovljen s sporazumom med dvema ali več državami ali na podlagi takega sporazuma;

(22)

„nacionalni nadzorni organ“ pomeni neodvisni javni organ, ki ga ustanovi država članica na podlagi člena 51 Uredbe (EU) 2016/679 ali člena 41 Direktive (EU) 2016/680;

(23)

„uporabnik omrežja ali opreme“ pomeni katero koli fizično osebo, ki uporablja omrežje ali terminalsko opremo, ki deluje pod nadzorom institucije ali organa Unije;

(24)

„imenik“ pomeni javno dostopen imenik uporabnikov omrežja ali opreme ali interni imenik uporabnikov omrežja ali opreme v natisnjeni ali elektronski obliki, ki je na voljo v instituciji ali organu Unije ali si ga izmenjujejo institucije in organi Unije;

(25)

„elektronsko komunikacijsko omrežje“ pomeni prenosni sistem, ne glede na to, ali temelji na stalni infrastrukturi ali centralizirani upravni zmogljivosti, in, kadar je primerno, komutacijsko ali usmerjevalno opremo ter druge vire, vključno z omrežnimi elementi, ki niso aktivni, ki omogočajo prenos signalov po žicah, z radijskimi valovi, z optičnimi ali drugimi elektromagnetnimi sredstvi, vključno s satelitskimi omrežji, fiksnimi (vodovno in paketno komutiranimi, vključno z internetom) in mobilnimi prizemnimi omrežji, električnimi kabelskimi sistemi, če se uporabljajo za prenos signalov, omrežji, ki se uporabljajo za radijsko in televizijsko oddajanje, ter z omrežji kabelske televizije, ne glede na vrsto prenesenih informacij;

(26)

„terminalska oprema“ pomeni terminalsko opremo, kot je opredeljena v točki 1 člena 1 Direktive Komisije 2008/63/ES (18).

POGLAVJE II

SPLOŠNA NAČELA

Člen 4

Načela v zvezi z obdelavo osebnih podatkov

1.   Osebni podatki morajo biti:

(a)

obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki („zakonitost, poštenost in preglednost“);

(b)

zbrani za določene, izrecne in zakonite namene in se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni; nadaljnja obdelava v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 13 ne velja za nezdružljivo s prvotnimi nameni („omejitev namena“);

(c)

ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo („najmanjši obseg podatkov“);

(d)

točni in, kadar je to potrebo, posodobljeni; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo („točnost“);

(e)

hranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki se lahko hranijo daljše obdobje, če bodo obdelani zgolj za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene v skladu s členom 13, pri čemer je treba izvajati ustrezne tehnične in organizacijske ukrepe iz te uredbe, da se zaščitijo pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki („omejitev hrambe“);

(f)

obdelani na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“).

2.   Upravljavec je odgovoren za skladnost z odstavkom 1 in mora biti to skladnost zmožen dokazati („odgovornost“).

Člen 5

Zakonitost obdelave

1.   Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

(a)

obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene instituciji ali organu Unije;

(b)

obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(c)

obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(d)

posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(e)

obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe.

2.   Podlaga za obdelavo iz točk (a) in (b) odstavka 1 je določena v pravu Unije.

Člen 6

Obdelava podatkov za drug združljivi namen

Kadar obdelava podatkov za drug namen kot za tistega, za katerega so bili osebni podatki zbrani, ne temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na pravu Unije, ki predstavlja potreben in sorazmeren ukrep v demokratični družbi za uresničevanje ciljev iz člena 25(1), upravljavec, da bi ocenil, ali je obdelava za drug namen združljiva z namenom, za katerega so bili osebni podatki prvotno zbrani, med drugim upošteva:

(a)

kakršno koli povezavo med nameni, za katere so bili osebni podatki zbrani, in nameni načrtovane nadaljnje obdelave;

(b)

okoliščine, v katerih so bili osebni podatki zbrani, zlasti kar zadeva razmerje med posamezniki, na katere se nanašajo osebni podatki, in upravljavcem;

(c)

naravo osebnih podatkov, zlasti ali se obdelujejo posebne vrste osebnih podatkov v skladu s členom 10 ali pa se obdelujejo osebni podatki v zvezi s kazenskimi obsodbami in prekrški v skladu s členom 11;

(d)

morebitne posledice predvidene nadaljnje obdelave za posameznike, na katere se nanašajo osebni podatki;

(e)

obstoj ustreznih zaščitnih ukrepov, ki lahko vključujejo šifriranje ali psevdonimizacijo.

Člen 7

Pogoji za privolitev

1.   Kadar obdelava temelji na privolitvi, mora biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov.

2.   Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana v pisni izjavi, ki se nanaša tudi na druge zadeve, se zahteva za privolitev predloži na način, ki se jasno razlikuje od drugih zadev, v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. Deli take izjave, ki predstavljajo kršitev te uredbe, niso zavezujoči.

3.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. O tem se pred privolitvijo obvesti posameznik, na katerega se nanašajo osebni podatki. Privolitev je enako enostavno preklicati kot dati.

4.   Pri ugotavljanju, ali je bila privolitev dana prostovoljno, se med drugim zlasti upošteva, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe.

Člen 8

Pogoji, ki se uporabljajo za privolitev otroka v zvezi s storitvami informacijske družbe

1.   Kadar se uporablja točka (d) člena 5(1), je v zvezi s storitvami informacijske družbe, ki se ponujajo neposredno otroku, obdelava osebnih podatkov otroka zakonita, kadar ima otrok vsaj 13 let. Kadar je otrok mlajši od 13 let, je takšna obdelava zakonita le, če in kolikor takšno privolitev da ali odobri nosilec starševske odgovornosti za otroka.

2.   Upravljavec ob upoštevanju razpoložljive tehnologije v takih primerih vloži razumen napor v preveritev, ali je nosilec starševske odgovornosti za otroka dal ali odobril privolitev.

3.   Odstavek 1 ne vpliva na splošno pogodbeno pravo držav članic, kot so pravila o veljavnosti, oblikovanju ali učinku pogodbe v zvezi z otrokom.

Člen 9

Prenos osebnih podatkov uporabnikom, ustanovljenim v Uniji, ki niso institucije in organi Unije

1.   Brez poseganja v člene 4 do 6 in 10 se osebni podatki prenesejo uporabnikom, ustanovljenim v Uniji, ki niso institucije in organi Unije, le če:

(a)

uporabnik izkaže, da so podatki potrebni za opravljanje naloge, ki se izvaja v javnem interesu, ali pri izvajanju javne oblasti, dodeljene uporabniku, ali

(b)

uporabnik izkaže, da je prenos podatkov potreben za konkreten namen v javnem interesu, uporabnik pa v primeru, ko obstaja razlog za domnevo, da bi to lahko posegalo v zakonite interese posameznika, na katerega se nanašajo osebni podatki, ugotovi, potem ko je na preverljiv način pretehtal različne navzkrižne interese, da je prenos osebnih podatkov za ta konkretni namen sorazmeren.

2.   Kadar se prenos podatkov na podlagi tega člena izvede na pobudo upravljavca, upravljavec z uporabo meril iz točke (a) ali (b) odstavka 1 dokaže, da je prenos osebnih podatkov potreben in sorazmeren z nameni prenosa.

3.   Institucije in organi Unije v skladu s pravom Unije uskladijo pravico do varstva osebnih podatkov s pravico do dostopa do dokumentov.

Člen 10

Obdelava posebnih vrst osebnih podatkov

1.   Prepovedani sta obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

2.   Odstavek 1 se ne uporablja, če velja eno od naslednjega:

(a)

posameznik, na katerega se nanašajo osebni podatki, je dal izrecno privolitev v obdelavo navedenih osebnih podatkov za enega ali več določenih namenov, razen kadar pravo Unije določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1;

(b)

obdelava je potrebna za namene izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca ali posameznika, na katerega se nanašajo osebni podatki, na področju delovnega prava ter prava socialne varnosti in socialnega varstva, če to dovoljuje pravo Unije, ki zagotavlja ustrezne zaščitne ukrepe za temeljne pravice in interese posameznika, na katerega se nanašajo osebni podatki;

(c)

obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali poslovno ni sposoben dati privolitve;

(d)

obdelavo v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi izvaja neprofitni organ, ki je subjekt, vključen v institucijo ali organ Unije, s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane tega telesa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se podatki ne razkrijejo zunaj tega telesa brez privolitve posameznikov, na katere se nanašajo osebni podatki;

(e)

obdelava je povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi;

(f)

obdelava je potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali kadar koli Sodišče izvaja svojo pravosodno funkcijo;

(g)

obdelava je potrebna iz razlogov bistvenega javnega interesa na podlagi prava Unije, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki;

(h)

obdelava je potrebna za namene preventivne medicine ali medicine dela, oceno delovne sposobnosti zaposlenega, zdravstveno diagnozo, zagotovitev zdravstvene ali socialne oskrbe ali zdravljenja ali upravljanje sistemov in storitev zdravstvenega ali socialnega varstva na podlagi prava Unije ali v skladu s pogodbo z zdravstvenim delavcem ter zanjo veljajo pogoji in zaščitni ukrepi iz odstavka 3;

(i)

obdelava je potrebna iz razlogov javnega interesa na področju javnega zdravja, kot je zaščita pred resnimi čezmejnimi tveganji za zdravje ali zagotovitev visokih standardov kakovosti in varnosti zdravstvenega varstva ter zdravil ali medicinskih pripomočkov, na podlagi prava Unije, ki zagotavlja ustrezne in posebne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, zlasti varovanje poklicne skrivnosti; ali

(j)

obdelava je potrebna za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene na podlagi prava Unije, ki je sorazmerno z zastavljenim ciljem, spoštuje bistvo pravice do varstva podatkov ter zagotavlja ustrezne in posebne ukrepe za zaščito temeljnih pravic in interesov posameznika, na katerega se nanašajo osebni podatki.

3.   Osebni podatki iz odstavka 1 se lahko obdelujejo za namene iz točke (h) odstavka 2, kadar jih obdeluje ali je za njihovo obdelavo odgovoren strokovnjak, za katerega velja obveznost varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi, ali druga oseba, za katero tudi velja obveznost varovanja skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi.

Člen 11

Obdelava osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški

Obdelava osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški ali s tem povezanimi varnostnimi ukrepi na podlagi člena 5(1) se izvaja le pod nadzorom uradnega organa ali če obdelavo dovoljuje pravo Unije, ki zagotavlja ustrezne zaščitne ukrepe za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

Člen 12

Obdelava, ki ne zahteva identifikacije

1.   Če upravljavec za namene, za katere obdeluje osebne podatke, ne potrebuje ali ne potrebuje več identifikacije posameznika, na katerega se nanašajo osebni podatki, upravljavec ni zavezan ohraniti, pridobiti ali obdelati dodatnih informacij, da bi identificiral posameznika, na katerega se nanašajo osebni podatki, samo zaradi zagotavljanja skladnosti s to uredbo.

2.   Kadar lahko upravljavec v primerih iz odstavka 1 tega člena dokaže, da ne more identificirati posameznika, na katerega se nanašajo osebni podatki, upravljavec o tem po možnosti ustrezno obvesti posameznika, na katerega se nanašajo osebni podatki. V takih primerih se členi 17 do 22 ne uporabljajo, razen kadar posameznik, na katerega se nanašajo osebni podatki, za uresničevanje svojih pravic na podlagi teh členov zagotovi dodatne informacije, s katerimi ga je mogoče identificirati.

Člen 13

Zaščitni ukrepi v zvezi z obdelavo za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene

Za obdelavo v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene se v skladu s to uredbo uporabljajo ustrezni zaščitni ukrepi za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. S temi zaščitnimi ukrepi se zagotovi, da se sprejmejo tehnični in organizacijski ukrepi, s katerimi se zagotovi zlasti spoštovanje načela najmanjšega obsega podatkov. Ti ukrepi lahko vključujejo psevdonimizacijo, kadar se ti nameni lahko uresničijo na ta način. Kadar se ti nameni lahko uresničijo z nadaljnjo obdelavo, ki ne omogoča ali več ne omogoča identifikacije posameznikov, na katere se nanašajo osebni podatki, se ti nameni uresničijo na ta način.

POGLAVJE III

PRAVICE POSAMEZNIKA, NA KATEREGA SE NANAŠAJO OSEBNI PODATKI

ODDELEK 1

Preglednost in načini

Člen 14

Pregledne informacije, sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki

1.   Upravljavec sprejme ustrezne ukrepe, s katerimi zagotovi posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz členov 15 in 16 ter sporočila iz členov 17 do 24 in 35, povezana z obdelavo, v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku, kar velja zlasti za vse informacije, namenjene posebej otroku. Informacije se posredujejo v pisni obliki ali z drugimi sredstvi, vključno, kadar je ustrezno, z elektronskimi sredstvi. Na zahtevo posameznika, na katerega se nanašajo osebni podatki, se lahko informacije predložijo ustno, pod pogojem, da se identiteta posameznika, na katerega se nanašajo osebni podatki, dokaže z drugimi sredstvi.

2.   Upravljavec posamezniku, na katerega se nanašajo osebni podatki, olajša uresničevanje njegovih pravic iz členov 17 do 24. V primerih iz člena 12(2) upravljavec ne zavrne ukrepanja na zahtevo posameznika, na katerega se nanašajo osebni podatki, za uresničevanje njegovih pravic iz členov 17 do 24, razen če upravljavec dokaže, da ne more identificirati posameznika, na katerega se nanašajo osebni podatki.

3.   Upravljavec informacije o ukrepih, sprejetih na zahtevo v skladu s členi 17 do 24, posamezniku, na katerega se nanašajo osebni podatki, zagotovi brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, se informacije, kadar je mogoče, zagotovijo z elektronskimi sredstvi, razen če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače.

4.   Če upravljavec ne ukrepa na zahtevo posameznika, na katerega se nanašajo osebni podatki, upravljavec takega posameznika brez odlašanja, najpozneje pa v enem mesecu po prejemu zahteve, obvesti o razlogih za neukrepanje ter o možnosti vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov in možnosti uveljavljanja pravnih sredstev.

5.   Informacije, zagotovljene na podlagi členov 15 in 16, ter vsa sporočila in ukrepi, sprejeti na podlagi členov 17 do 24 in 35, se zagotovijo brezplačno. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko upravljavec zavrne ukrepanje v zvezi z zahtevo. Upravljavec nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

6.   Brez poseganja v člen 12 lahko upravljavec, kadar ima upravičen dvom v zvezi z identiteto posameznika, ki predloži zahtevo iz členov 17 do 23, zahteva zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki.

7.   Informacije, ki se zagotovijo posameznikom, na katere se nanašajo osebni podatki, v skladu s členoma 15 in 16, se lahko navedejo skupaj z uporabo standardiziranih ikon, da se v jasno razvidni, razumljivi in berljivi obliki zagotovi smiseln pregled načrtovane obdelave. Kadar so ikone navedene v elektronski obliki, so strojno berljive.

8.   Kadar Komisija sprejme delegirane akte v skladu s členom 12(8) Uredbe (EU) 2016/679, s katerimi določi informacije, ki se navedejo v ikonah, in postopke za določitev standardiziranih ikon, institucije in organi Unije, kadar je primerno, skupaj s takimi standardiziranimi ikonami zagotovijo informacije v skladu s členoma 15 in 16 te uredbe.

ODDELEK 2

Informacije in dostop do osebnih podatkov

Člen 15

Informacije, ki se zagotovijo, kadar se osebni podatki pridobijo od posameznika, na katerega se nanašajo osebni podatki

1.   Kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije:

(a)

identiteto in kontaktne podatke upravljavca;

(b)

kontaktne podatke pooblaščene osebe za varstvo podatkov;

(c)

namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

(d)

uporabnike ali kategorije uporabnikov osebnih podatkov, če obstajajo;

(e)

kadar je ustrezno, dejstvo, da upravljavec namerava prenesti osebne podatke v tretjo državo ali mednarodno organizacijo, ter obstoj ali neobstoj sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 48 sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

2.   Poleg informacij iz odstavka 1 upravljavec takrat, ko pridobi osebne podatke, posamezniku, na katerega se ti nanašajo, zagotovi naslednje dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave:

(a)

obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(b)

obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali, kadar je ustrezno, obstoj pravice do ugovora obdelavi ali pravice do prenosljivosti podatkov;

(c)

kadar obdelava temelji na točki (d) člena 5(1) ali točki (a) člena 10(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

(d)

pravico do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov;

(e)

ali je zagotovitev osebnih podatkov zakonska ali pogodbena obveznost ali pa obveznost, ki je potrebna za sklenitev pogodbe, ter ali mora posameznik, na katerega se nanašajo osebni podatki, zagotoviti osebne podatke ter kakšne so morebitne posledice, če se taki podatki ne zagotovijo;

(f)

obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 24(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

3.   Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki zbrani, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.

4.   Odstavki 1, 2 in 3 se ne uporabljajo, kadar in kolikor posameznik, na katerega se nanašajo osebni podatki, že ima informacije.

Člen 16

Informacije, ki jih je treba zagotoviti, kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se nanašajo

1.   Kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se nanašajo, upravljavec, posamezniku, na katerega se nanašajo osebni podatki zagotovi naslednje informacije:

(a)

identiteto in kontaktne podatke upravljavca;

(b)

kontaktne podatke pooblaščene osebe za varstvo podatkov;

(c)

namene, za katere se osebni podatki obdelujejo, kakor tudi pravno podlago za njihovo obdelavo;

(d)

vrste zadevnih osebnih podatkov;

(e)

uporabnike ali kategorije uporabnikov osebnih podatkov, kadar obstajajo;

(f)

kadar je ustrezno, informacije o tem, da namerava upravljavec prenesti osebne podatke uporabniku v tretji državi ali mednarodni organizaciji, ter o obstoju ali neobstoju sklepa Komisije o ustreznosti ali v primeru prenosov iz člena 48 sklic na ustrezne ali primerne zaščitne ukrepe in sredstva za pridobitev njihove kopije ali kje so na voljo.

2.   Upravljavec poleg informacij iz odstavka 1 posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje dodatne informacije, ki so potrebne za zagotavljanje poštene in pregledne obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki:

(a)

obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(b)

obstoj pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov ali omejitev obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali, kadar je potrebno, obstoj pravice do ugovora obdelavi ali pravice do prenosljivosti podatkov;

(c)

kadar obdelava temelji na točki (d) člena 5(1) ali točki (a) člena 10(2), obstoj pravice, da se lahko privolitev kadar koli prekliče, ne da bi to vplivalo na zakonitost obdelave podatkov, ki se je na podlagi privolitve izvajala do njenega preklica;

(d)

pravico do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov;

(e)

od kje izvirajo osebni podatki in po potrebi, ali izvirajo iz javno dostopnih virov;

(f)

obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 24(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

3.   Upravljavec zagotovi informacije iz odstavkov 1 in 2:

(a)

v razumnem roku po prejemu osebnih podatkov, vendar najpozneje v enem mesecu, pri čemer se upoštevajo posebne okoliščine, v katerih se obdelujejo osebni podatki;

(b)

če se bodo osebni podatki uporabili za komuniciranje s posameznikom, na katerega se nanašajo osebni podatki, najpozneje ob prvem komuniciranju s tem posameznikom, ali

(c)

če je predvideno razkritje drugemu uporabniku, najpozneje ob prvem razkritju osebnih podatkov.

4.   Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki pridobljeni, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.

5.   Odstavki 1 do 4 se ne uporabljajo, kadar in kolikor:

(a)

posameznik, na katerega se nanašajo osebni podatki, že ima informacije;

(b)

se izkaže, da je zagotavljanje takih informacij nemogoče ali bi vključevalo nesorazmeren napor, zlasti pri obdelavi v namene arhiviranja v javnem interesu, v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, ali kolikor bi obveznost iz odstavka 1 tega člena lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave;

(c)

je pridobitev ali razkritje izrecno določeno s pravom Unije, ki določa ustrezne ukrepe za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ali

(d)

morajo osebni podatki ostati zaupni ob upoštevanju obveznosti varovanja poklicne skrivnosti v skladu s pravom Unije, vključno s predpisanimi obveznostmi varovanja skrivnosti.

6.   V primerih iz točke (b) odstavka 5 upravljavec sprejme ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, tudi tako, da informacije dajo na voljo javnosti.

Člen 17

Pravica dostopa posameznika, na katerega se nanašajo osebni podatki

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

(a)

namene obdelave;

(b)

vrste zadevnih osebnih podatkov;

(c)

uporabnike ali kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

(d)

kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(e)

obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali obstoj pravice do ugovora taki obdelavi;

(f)

pravico do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov;

(g)

kadar osebni podatki niso zbrani pri posamezniku, na katerega se ti nanašajo, vse razpoložljive informacije v zvezi z njihovim virom;

(h)

obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov iz člena 24(1) in (4), ter vsaj v takih primerih smiselne informacije o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, na katerega se nanašajo osebni podatki.

2.   Kadar se osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, ima posameznik, na katerega se nanašajo osebni podatki, pravico biti obveščen o ustreznih zaščitnih ukrepih v skladu s členom 48 v zvezi s prenosom.

3.   Upravljavec zagotovi kopijo osebnih podatkov, ki se obdelujejo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi in če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače, se informacije zagotovijo v elektronski obliki, ki je splošno uporabljana.

4.   Pravica do pridobitve kopije iz odstavka 3 ne vpliva negativno na pravice in svoboščine drugih.

ODDELEK 3

Popravek in izbris

Člen 18

Pravica do popravka

Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja popravi netočne osebne podatke v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave pravico do dopolnitve nepopolnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.

Člen 19

Pravica do izbrisa („pravica do pozabe“)

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

(a)

osebni podatki niso več potrebni v namene, za katere so bili zbrani ali kako drugače obdelani;

(b)

posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (d) člena 5(1) ali točko (a) člena 10(2), in kadar za obdelavo ne obstaja nobena druga pravna podlaga;

(c)

posameznik, na katerega se nanašajo osebni podatki, obdelavi ugovarja v skladu s členom 23(1), za njihovo obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi;

(d)

osebni podatki so bili obdelani nezakonito;

(e)

osebne podatke je treba izbrisati za izpolnitev pravne obveznosti, ki velja za upravljavca;

(f)

osebni podatki so bili zbrani v zvezi s ponudbo storitev informacijske družbe iz člena 8(1).

2.   Kadar upravljavec objavi osebne podatke in je v skladu z odstavkom 1 osebne podatke obvezan izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce ali upravljavce, ki niso institucije in organi Unije, ki obdelujejo osebne podatke, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.

3.   Odstavka 1 in 2 se ne uporabljata, če je obdelava potrebna:

(a)

za uresničevanje pravice do svobode izražanja in obveščanja;

(b)

za izpolnjevanje pravne obveznosti, ki velja za upravljavca, ali za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, ki je bila dodeljena upravljavcu;

(c)

iz razlogov javnega interesa na področju javnega zdravja v skladu s točkama (h) in (i) člena 10(2) ter členom 10(3);

(d)

za namene arhiviranja v javnem interesu, za znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, kolikor bi pravica iz odstavka 1 lahko onemogočila ali resno ovirala uresničevanje namenov te obdelave, ali

(e)

za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

Člen 20

Pravica do omejitve obdelave

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec omeji obdelavo, kadar velja en od naslednjih primerov:

(a)

posameznik, na katerega se nanašajo osebni podatki, oporeka točnosti osebnih podatkov, in sicer za obdobje, ki upravljavcu omogoča preveritev točnosti osebnih podatkov, vključno z njihovo popolnostjo;

(b)

je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe;

(c)

upravljavec osebnih podatkov ne potrebuje več za namene obdelave, temveč jih posameznik, na katerega se nanašajo osebni podatki, potrebuje za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;

(d)

je posameznik, na katerega se nanašajo osebni podatki, vložil ugovor v zvezi z obdelavo v skladu s členom 23(1), dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika, na katerega se nanašajo osebni podatki.

2.   Kadar je bila obdelava osebnih podatkov omejena v skladu z odstavkom 1, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le s privolitvijo posameznika, na katerega se ti nanašajo, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov, ali zaradi varstva pravic druge fizične ali pravne osebe, ali zaradi pomembnega javnega interesa Unije ali države članice.

3.   Upravljavec pred preklicem omejitve obdelave o tem obvesti posameznika, na katerega se nanašajo osebni podatki in ki je dosegel omejitev obdelave v skladu z odstavkom 1.

4.   Pri avtomatiziranih zbirkah se omejitev obdelave načeloma zagotovi s tehničnimi sredstvi. Dejstvo, da so osebni podatki omejeni, se označi v sistemu na način, ki jasno pokaže, da se osebni podatki ne smejo uporabiti.

Člen 21

Obveznost obveščanja v zvezi s popravkom ali izbrisom osebnih podatkov ali omejitvijo obdelave

Upravljavec vsakemu uporabniku, ki so mu bili osebni podatki razkriti, sporoči vse popravke ali izbrise osebnih podatkov ali omejitve obdelave v skladu s členom 18, členom 19(1) in členom 20, razen če se to izkaže za nemogoče ali vključuje nesorazmeren napor. Upravljavec o teh uporabnikih obvesti posameznika, na katerega se nanašajo osebni podatki, če ta posameznik tako zahteva.

Člen 22

Pravica do prenosljivosti podatkov

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, kadar:

(a)

obdelava temelji na privolitvi v skladu s točko (d) člena 5(1) ali točko (a) člena 10(2) ali na pogodbi v skladu s točko (c) člena 5(1) in

(b)

se obdelava izvaja z avtomatiziranimi sredstvi.

2.   Pri uresničevanju pravice do prenosljivosti podatkov v skladu z odstavkom 1 ima posameznik, na katerega se nanašajo osebni podatki, pravico, da se osebni podatki neposredno prenesejo od enega upravljavca k drugemu ali upravljavcem, ki niso institucije in organi Unije, kadar je to tehnično izvedljivo.

3.   Uresničevanje pravice iz odstavka 1 tega člena ne posega v člen 19. Ta pravica se ne uporablja za obdelavo, potrebno za opravljanje naloge, ki se izvaja v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.

4.   Pravica iz odstavka 1 ne vpliva negativno na pravice in svoboščine drugih.

ODDELEK 4

Pravica do ugovora in avtomatizirano sprejemanje posameznih odločitev

Člen 23

Pravica do ugovora

1.   Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, ki temelji na točki (a) člena 5(1), vključno z oblikovanjem profilov na podlagi navedene določbe. Upravljavec preneha obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

2.   Posameznika, na katerega se nanašajo osebni podatki, se na pravico iz odstavka 1 izrecno opozori najpozneje ob prvem komuniciranju z njim in se mu to pravico predstavi jasno in ločeno od vseh drugih informacij.

3.   V okviru uporabe storitev informacijske družbe in neglede na člena 36 in 37 lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja pravico do ugovora z avtomatiziranimi sredstvi z uporabo tehničnih specifikacij.

4.   Kadar se osebni podatki obdelujejo v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, ima posameznik, na katerega se ti podatki nanašajo, pravico, da iz razlogov, povezanih z njegovim posebnim položajem, ugovarja obdelavi osebnih podatkov v zvezi z njim, razen če je obdelava potrebna za opravljanje naloge, ki se izvaja zaradi razlogov javnega interesa.

Člen 24

Avtomatizirano sprejemanje posameznih odločitev, vključno z oblikovanjem profilov

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva.

2.   Odstavek 1 se ne uporablja, če je odločitev:

(a)

nujna za sklenitev ali izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem;

(b)

dovoljena v pravu Unije, ki določa tudi ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ali

(c)

utemeljena z izrecno privolitvijo posameznika, na katerega se nanašajo osebni podatki.

3.   V primerih, navedenih v točkah (a) in (c) odstavka 2, upravljavec podatkov izvede ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja upravljavca, do izražanja lastnega stališča in izpodbijanja odločitve.

4.   Odločitve iz odstavka 2 tega člena ne temeljijo na posebnih vrstah osebnih podatkov iz člena 10(1), razen če se uporablja točka (a) ali (g) člena 10(2) in se izvajajo ustrezni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

ODDELEK 5

Omejitve

Člen 25

Omejitve

1.   Pravni akti, sprejeti na podlagi Pogodb ali, kadar se zadeve nanašajo na delovanje institucij in organov Unije, notranji predpisi, ki jih določijo te institucije in organi, lahko omejijo uporabo členov 14 do 22, 35 in 36, ko tudi člena 4, kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 22, če taka omejitev spoštuje bistvo temeljnih pravic in svoboščin ter je potreben in sorazmeren ukrep v demokratični družbi za zagotavljanje:

(a)

državne varnosti, javne varnosti ali obrambe držav članic;

(b)

preprečevanja, preiskovanja, odkrivanja in pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem;

(c)

drugih pomembnih ciljev v splošnem javnem interesu Unije ali države članice, zlasti ciljev skupne zunanje in varnostne politike Unije ali pomembnega gospodarskega ali finančnega interesa Unije ali države članice, vključno z denarnimi, proračunskimi in davčnimi zadevami, javnim zdravjem in socialno varnostjo;

(d)

notranje varnosti institucij in organov Unije, vključno z varnostjo njihovih elektronskih komunikacijskih omrežij;

(e)

varstva neodvisnosti sodstva in sodnega postopka;

(f)

preprečevanja, preiskovanja, odkrivanja in pregona kršitev etike v zakonsko urejenih poklicih;

(g)

spremljanja, pregledovanja ali urejanja, povezanega, lahko tudi zgolj občasno, z izvajanjem javne oblasti v primerih iz točk (a) do (c);

(h)

varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih;

(i)

uveljavljanja civilnopravnih zahtevkov.

2.   Vsak zakonodajni ukrep ali notranji predpis iz odstavka 1 po potrebi vsebuje zlasti posebne določbe glede:

(a)

namenov obdelave ali vrst obdelave;

(b)

vrst osebnih podatkov;

(c)

obsega uvedenih omejitev;

(d)

zaščitnih ukrepov za preprečitev zlorab ali nezakonitega dostopa ali prenosa;

(e)

natančnejše ureditve upravljavca ali vrst upravljavcev;

(f)

obdobij hrambe in veljavnih zaščitnih ukrepov, pri čemer se upoštevajo narava, obseg in nameni obdelave ali vrste obdelave; ter

(g)

tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

3.   Kadar se osebni podatki obdelujejo v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, se lahko v pravu Unije, ki lahko vključuje notranje predpise, ki jih institucije in organi Unije sprejmejo v zvezi z zadevami, ki se nanašajo na njihovo delovanje, določijo odstopanja od pravic iz členov 17, 18, 20 in 23, za katere veljajo pogoji in zaščitni ukrepi iz člena 13, kolikor je verjetno, da bi takšne pravice onemogočile ali resno ovirale doseganje posebnih namenov, in kolikor so takšna odstopanja nujna za uresničitev teh namenov.

4.   Kadar se osebni podatki obdelujejo za namene arhiviranja v javnem interesu, se lahko v pravu Unije, ki lahko vključuje notranje predpise, ki jih institucije in organi Unije sprejmejo v zvezi z zadevami, ki se nanašajo na njihovo delovanje, določijo odstopanja od pravic iz členov 17, 18, 20, 21, 22 in 23, za katere veljajo pogoji in zaščitni ukrepi iz člena 13, kolikor je verjetno, da bi takšne pravice onemogočile ali resno ovirale doseganje posebnih namenov, in kolikor so takšna odstopanja nujna za uresničitev teh namenov.

5.   Notranji predpisi iz odstavkov 1, 3 in 4 morajo biti jasni in natančni splošno veljavni akti s pravnimi učinki za posameznike, na katere se nanašajo osebni podatki, ki se sprejmejo na najvišji ravni vodstva institucij in organov Unije in se objavijo v Uradnem listu Evropske unije.

6.   Če se naloži omejitev v skladu z odstavkom 1, se v skladu s pravom Unije posameznika, na katerega se nanašajo osebni podatki, obvesti o glavnih razlogih, na katerih temelji uporaba omejitve, in o njegovi pravici, da vloži pritožbo pri Evropskem nadzorniku za varstvo podatkov.

7.   Če se dostop posamezniku, na katerega se nanašajo osebni podatki, zavrne s sklicevanjem na omejitev, naloženo v skladu z odstavkom 1, Evropski nadzornik za varstvo podatkov pri preiskovanju pritožbe posameznika samo obvesti, ali so bili podatki pravilno obdelani, in če niso bili, ali so bili opravljeni morebitni potrebni popravki.

8.   Zagotavljanje informacij iz odstavkov 6 in 7 tega člena ter člena 45(2) se lahko preloži, opusti ali zavrne, če bi se s tem izničil učinek omejitve, naložene v skladu z odstavkom 1 tega člena.

POGLAVJE IV

UPRAVLJAVEC IN OBDELOVALEC

ODDELEK 1

Splošne obveznosti

Člen 26

Odgovornost upravljavca

1.   Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kadar je to potrebno.

2.   Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.

3.   Izvajanje odobrenega mehanizma certificiranja iz člena 42 Uredbe (EU) 2016/679 se lahko uporabi kot element za izkazovanje izpolnjevanja obveznosti upravljavca.

Člen 27

Vgrajeno in privzeto varstvo podatkov

1.   Ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki so povezana z obdelavo in se razlikujejo po verjetnosti in resnosti, upravljavec tako v času določanja sredstev obdelave kot tudi v času same obdelave izvaja ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve te uredbe in zavarujejo pravice posameznikov, na katere se nanašajo osebni podatki.

2.   Upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da osebni podatki niso samodejno dostopni nedoločenemu številu posameznikov brez posredovanja zadevnega posameznika.

3.   Odobreni mehanizem certificiranja v skladu s členom 42 Uredbe (EU) 2016/679 se lahko uporabi kot element za izkazovanje izpolnjevanja obveznosti iz odstavkov 1 in 2 tega člena.

Člen 28

Skupni upravljavci

1.   Kadar dva ali več upravljavcev, ali eden ali več upravljavcev hkrati z upravljavci, ki niso institucije ali organi Unije, skupaj določijo namene in načine obdelave, so skupni upravljavci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja njihovih obveznosti varstva podatkov, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz členov 15 in 16, razen če in kolikor so dolžnosti vsakega od skupnih upravljavcev določene s pravom Unije ali pravom države članice, ki velja za skupne upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki.

2.   Dogovor iz odstavka 1 ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznikov, na katere se nanašajo osebni podatki. Bistveno vsebino dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki.

3.   Posameznik, na katerega se nanašajo osebni podatki, lahko ne glede na pogoje dogovora iz odstavka 1 uresničuje svoje pravice v skladu s to uredbo glede vsakega od upravljavcev in proti vsakemu od njih.

Člen 29

Obdelovalec

1.   Kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

2.   Obdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

3.   Obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca in v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

(a)

osebne podatke obdeluje samo po dokumentiranih navodilih upravljavca, vključno glede prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, razen če to od njega zahteva pravo Unije ali pravo države članice, ki velja za obdelovalca; v slednjem primeru obdelovalec o tej pravni zahtevi pred obdelavo podatkov obvesti upravljavca, razen če zadevno pravo prepoveduje takšno obvestilo na podlagi pomembnih razlogov v javnem interesu;

(b)

zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c)

sprejme vse ukrepe, potrebne v skladu s členom 33;

(d)

spoštuje pogoje iz odstavkov 2 in 4 za zaposlitev drugega obdelovalca;

(e)

ob upoštevanju narave obdelave pomaga upravljavcu z ustreznimi tehničnimi in organizacijskimi ukrepi, kolikor je to mogoče, pri izpolnjevanju njegovih obveznosti, da odgovori na zahteve za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f)

upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 33 do 41 ob upoštevanju narave obdelave in informacij, ki so dostopne obdelovalcu;

(g)

v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje osebnih podatkov;

(h)

da upravljavcu na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter upravljavcu ali drugemu revizorju, ki ga pooblasti upravljavec, omogoči izvajanje revizij, tudi pregledov, in pri njih sodeluje.

V zvezi s točko (h) prvega pododstavka obdelovalec nemudoma obvesti upravljavca, če po njegovem mnenju navodilo krši to uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov.

4.   Kadar obdelovalec zadolži drugega obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu upravljavca, za tega drugega obdelovalca na podlagi pogodbe ali drugega pravnega akta v skladu s pravom Unije ali pravom države članice veljajo enake obveznosti varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem iz odstavka 3, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz te uredbe. Kadar ta drugi obdelovalec ne izpolni obveznosti varstva podatkov, prvi obdelovalec še naprej v celoti odgovarja upravljavcu za izpolnjevanje obveznosti drugega obdelovalca.

5.   Kadar obdelovalec ni institucija ali organ Unije, se lahko njegova zavezanost k odobrenemu kodeksu ravnanja iz člena 40(5) Uredbe (EU) 2016/679 ali izvajanje odobrenega mehanizma certificiranja iz člena 42 Uredbe (EU) 2016/679 uporabi kot element, s katerim se izkaže zagotavljanje zadostnih jamstev iz odstavkov 1 in 4 tega člena.

6.   Brez poseganja v katero koli individualno pogodbo med upravljavcem in obdelovalcem lahko pogodba ali drug pravni akt iz odstavkov 3 in 4 tega člena v celoti ali delno temelji na standardnih pogodbenih določilih iz odstavkov 7 in 8 tega člena, tudi ko so del certifikata, izdanega obdelovalcu, ki ni institucija ali organ Unije, v skladu s členom 42 Uredbe (EU) 2016/679.

7.   Komisija lahko določi standardna pogodbena določila za zadeve iz odstavkov 3 in 4 tega člena ter v skladu s postopkom pregleda iz člena 96(2).

8.   Evropski nadzornik za varstvo podatkov lahko sprejme standardna pogodbena določila za zadeve iz odstavkov 3 in 4.

9.   Pogodba ali drug pravni akt iz odstavkov 3 in 4 je v pisni obliki, vključno z elektronsko obliko.

10.   Brez poseganja v člena 65 in 66, če obdelovalec krši to uredbo s tem, ko določi namene in sredstva obdelave, se obdelovalec šteje za upravljavca v zvezi s to obdelavo.

Člen 30

Obdelava pod vodstvom upravljavca ali obdelovalca

Obdelovalec in katera koli oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca in ima dostop do osebnih podatkov, teh podatkov ne sme obdelati brez navodil upravljavca, razen če to od njega zahteva pravo Unije ali pravo države članice.

Člen 31

Evidenca dejavnosti obdelave

1.   Vsak upravljavec vodi evidenco dejavnosti obdelave v okviru svoje odgovornosti. Ta evidenca vsebuje vse naslednje informacije:

(a)

ime in kontaktne podatke upravljavca, pooblaščene osebe za varstvo podatkov in, kadar je ustrezno, obdelovalca in skupnega upravljavca;

(b)

namene obdelave;

(c)

opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;

(d)

kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v državah članicah, tretjih državah ali mednarodnih organizacijah;

(e)

kadar je ustrezno, informacije o prenosih osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije, in dokumentacijo o ustreznih zaščitnih ukrepih;

(f)

kadar je mogoče, predvidene roke za izbris različnih vrst podatkov;

(g)

kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 33.

2.   Vsak obdelovalec vodi evidenco vseh vrst dejavnosti obdelave, ki jih izvaja v imenu upravljavca, ki vsebuje:

(a)

naziv in ime in kontaktne podatke obdelovalca ali obdelovalcev, posameznih upravljavcev, v imenu katerih deluje obdelovalec, in pooblaščene osebe za varstvo podatkov;

(b)

vrste obdelave, ki se izvajajo v imenu posameznega upravljavca;

(c)

kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije, in dokumentacijo o ustreznih zaščitnih ukrepih;

(d)

kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 33.

3.   Evidence iz odstavkov 1 in 2 so v pisni obliki, vključno v elektronski obliki.

4.   Institucije in organi Unije Evropskemu nadzorniku za varstvo podatkov na zahtevo omogočijo dostop do evidenc.

5.   Institucije in organi Unije svoje evidence dejavnosti obdelave hranijo v centralnem registru, razen če glede na velikost institucije ali organa Unije to ni primerno. Poskrbijo, da je zadevni register javno dostopen.

Člen 32

Sodelovanje z Evropskim nadzornikom za varstvo podatkov

Institucije in organi Unije na zahtevo sodelujejo z Evropskim nadzornikom za varstvo podatkov pri izvajanju njegovih nalog.

ODDELEK 2

Varnost osebnih podatkov

Člen 33

Varnost obdelave

1.   Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

(a)

psevdonimizacijo in šifriranjem osebnih podatkov;

(b)

zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;

(c)

zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;

(d)

postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.

2.   Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

3.   Upravljavec in obdelovalec zagotovita, da katera koli posameznik, ki ukrepa pod vodstvom upravljavca ali obdelovalca, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil upravljavca, razen če to od nje zahteva pravo Unije.

4.   Izvajanje odobrenega mehanizma certificiranja iz člena 42 Uredbe (EU) 2016/679 se lahko uporabi kot element, s katerim se izkaže izpolnjevanje zahtev iz odstavka 1 tega člena.

Člen 34

Obvestilo Evropskemu nadzorniku za varstvo podatkov o kršitvi varnosti osebnih podatkov

1.   V primeru kršitve varnosti osebnih podatkov upravljavec brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej obvesti Evropskega nadzornika za varstvo podatkov, razen če ni verjetno, da bi bile s kršitvijo varnosti osebnih podatkov ogrožene pravice in svoboščine posameznikov. Kadar obvestilo Evropskemu nadzorniku za varstvo podatkov ni podano v 72 urah, se mu priloži navedba razlogov za zamudo.

2.   Obdelovalec po seznanitvi s kršitvijo varnosti osebnih podatkov brez nepotrebnega odlašanja obvesti upravljavca.

3.   Obvestilo iz odstavka 1 vsebuje vsaj:

(a)

opis vrste kršitve varnosti osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;

(b)

sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varnost podatkov;

(c)

opis verjetnih posledic kršitve varnosti osebnih podatkov;

(d)

opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varnosti osebnih podatkov, pa tudi ukrepov za ublažitev morebitnih škodljivih učinkov kršitve, če je to ustrezno.

4.   Kadar in kolikor informacij ni mogoče zagotoviti sočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.

5.   Upravljavec pooblaščeno osebo za varstvo podatkov obvesti o kršitvi varstva osebnih podatkov.

6.   Upravljavec dokumentira vsako kršitev varnosti osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varnosti osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija Evropskemu nadzorniku za varstvo podatkov omogoči, da preveri skladnost s tem členom.

Člen 35

Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov

1.   Kadar je verjetno, da kršitev varnosti osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varnosti osebnih podatkov.

2.   V sporočilu posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena je v jasnem in preprostem jeziku opisana vrsta kršitve varnosti osebnih podatkov ter so vsebovane vsaj informacije in ukrepi iz točk (b), (c) in (d) člena 34(3).

3.   Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 ni potrebno, če je izpolnjen kateri koli od naslednjih pogojev:

(a)

upravljavec je izvedel ustrezne tehnične in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena kršitev varnosti, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje;

(b)

upravljavec je sprejel naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1 verjetno ne bo več udejanjilo;

(c)

to bi zahtevalo nesorazmeren napor. V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

4.   Če upravljavec posameznika, na katerega se nanašajo osebni podatki, še ni obvestil o kršitvi varnosti osebnih podatkov, lahko Evropski nadzornik za varstvo podatkov to od njega zahteva po proučitvi verjetnosti, da bi kršitev varnosti osebnih podatkov povzročila veliko tveganje, ali pa lahko odloči, da je izpolnjen kateri koli od pogojev iz odstavka 3.

ODDELEK 3

Zaupnost elektronskih sporočil

Člen 36

Zaupnost elektronskih sporočil

Institucije in organi Unije zagotovijo zaupnost elektronskih sporočil, zlasti z zaščito svojih elektronskih komunikacijskih omrežij.

Člen 37

Varstvo informacij, ki so posredovane terminalski opremi uporabnikov omrežja ali opreme, so na njej shranjene, z njo povezane in obdelane oziroma so z nje zbrane

Institucije in organi Unije varujejo informacije, ki so posredovane terminalski opremi uporabnikov omrežja ali opreme, so na njej shranjene, z njo povezane in obdelane oziroma zbrane s terminalske opreme uporabnikov omrežja ali opreme, ki dostopa do njihovih javno dostopnih spletnih mest in mobilnih aplikacij v skladu s členom 5(3) Direktive 2002/58/ES.

Člen 38

Imeniki uporabnikov omrežja ali opreme

1.   Osebni podatki, ki jih vsebujejo imeniki uporabnikov omrežja ali opreme, in dostop do takih imenikov se omejijo na tisto, kar je nujno potrebno za posebne namene imenika.

2.   Institucije in organi Unije sprejmejo vse potrebne ukrepe, da preprečijo uporabo osebnih podatkov, ki jih taki imeniki vsebujejo, za namene neposrednega trženja, ne glede na to, ali so javnosti dostopni ali ne.

ODDELEK 4

Ocena učinka v zvezi z varstvom podatkov in predhodno posvetovanje

Člen 39

Ocena učinka v zvezi z varstvom podatkov

1.   Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.

2.   Upravljavec pri izvedbi ocene učinka v zvezi z varstvom podatkov za mnenje zaprosi pooblaščeno osebo za varstvo podatkov.

3.   Ocena učinka v zvezi z varstvom podatkov iz odstavka 1 se zahteva zlasti v primeru:

(a)

sistematičnega in obsežnega vrednotenja osebnih vidikov v zvezi s posamezniki, ki temelji na avtomatizirani obdelavi, vključno z oblikovanjem profilov, in je osnova za odločitve, ki imajo pravne učinke v zvezi s posameznikom ali nanj na podoben način znatno vplivajo;

(b)

obsežne obdelave posebnih vrst podatkov iz člena 10 ali osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški iz člena 11, ali

(c)

obsežnega sistematičnega spremljanja javno dostopnega območja.

4.   Evropski nadzornik za varstvo podatkov določi in objavi seznam vrst dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov v skladu z odstavkom 1.

5.   Evropski nadzornik za varstvo podatkov lahko tudi določi in objavi seznam vrst dejanj obdelave, za katere ne velja zahteva po oceni učinka v zvezi z varstvom podatkov.

6.   Evropski nadzornik za varstvo podatkov pred sprejetjem seznamov iz odstavkov 4 in 5 tega člena zaprosi Evropski odbor za varstvo podatkov, ustanovljen s členom 68 Uredbe (EU) 2016/679, naj v skladu s točko (e) člena 70(1) navedene uredbe te sezname preuči, kadar se nanašajo na dejanja obdelave, ki jih upravljavec izvaja skupaj z enim ali več upravljavci, ki niso institucije in organi Unije.

7.   Ocena zajema vsaj:

(a)

sistematičen opis predvidenih dejanj obdelave in namenov obdelave;

(b)

oceno potrebnosti in sorazmernosti dejanj obdelave glede na njihov namen;

(c)

oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1 ter

(d)

ukrepe za obravnavanje tveganj, vključno z zaščitnimi ukrepi, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in zakonitih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih oseb, ki jih to zadeva.

8.   Pri ocenjevanju učinka dejanj obdelave, ki jih izvajajo zadevni obdelovalci, ki niso institucije in organi Unije, opravljenem zlasti za namene ocene učinka v zvezi z varstvom podatkov, se upošteva, ali taki obdelovalci spoštujejo odobrene kodekse ravnanja iz člena 40 Uredbe (EU) 2016/679.

9.   Po potrebi upravljavec glede predvidene obdelave zaprosi za mnenje posameznikov, na katere se nanašajo osebni podatki, ali njihovih predstavnikov, brez poseganja v zaščito javnih interesov ali varnost dejanj obdelave.

10.   Kadar je pravna podlaga za obdelavo v skladu s točko (a) ali (b) člena 5(1) pravni akt, sprejet na podlagi Pogodb, ki ureja zadevno posebno dejanje obdelave ali niz zadevnih dejanj obdelave, in je bila ocena učinka v zvezi z varstvom podatkov že izvedena v okviru splošne ocene učinka med sprejemanjem te pravne podlage, se odstavki 1 do 6 tega člena ne uporabljajo, razen če navedeni pravni akt določa drugače.

11.   Upravljavec po potrebi opravi pregled, da bi ocenil, ali obdelava poteka v skladu z oceno učinka v zvezi z varstvom podatkov, vsaj takrat, ko se spremeni tveganje, ki ga predstavljajo dejanja obdelave.

Člen 40

Predhodno posvetovanje

1.   Upravljavec se pred obdelavo posvetuje z Evropskim nadzornikom za varstvo podatkov, kadar je iz ocene učinka v zvezi z varstvom podatkov iz člena 39 razvidno, da bi obdelava zaradi neobstoječih zaščitnih ukrepov, varnostnih ukrepov in mehanizmov za ublažitev tveganja povzročila veliko tveganje za pravice in svoboščine posameznikov, in upravljavec meni, da tveganja ni mogoče ublažiti z razumnimi sredstvi ob upoštevanju razpoložljivih tehnologij in stroškov izvajanja. Upravljavec glede potrebe po predhodnem posvetovanju za mnenje zaprosi pooblaščeno osebo za varstvo podatkov.

2.   Kadar Evropski nadzornik za varstvo podatkov meni, da bi predvidena obdelava iz odstavka 1 kršila to uredbo, zlasti kadar upravljavec ni ustrezno opredelil ali ublažil tveganja, Evropski nadzornik za varstvo podatkov v roku do osmih tednov po prejemu zahteve za posvetovanje pisno svetuje upravljavcu, kadar je ustrezno, pa tudi obdelovalcu, in lahko uporabi katero koli pooblastilo iz člena 58. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša za nadaljnjih šest tednov. Evropski nadzornik za varstvo podatkov o vsakem takem podaljšanju obvesti upravljavca in, kadar je potrebno, obdelovalca v enem mesecu po prejemu zahteve za posvetovanje, skupaj z razlogi za zamudo. Ta rok se lahko začasno odloži, dokler Evropski nadzornik za varstvo podatkov ne pridobi informacij, ki jih je zahteval za namene posvetovanja.

3.   Pri posvetovanju z Evropskim nadzornikom za varstvo podatkov v skladu z odstavkom 1, upravljavec Evropskemu nadzorniku za varstvo podatkov predloži:

(a)

kadar je ustrezno, dolžnosti upravljavca, skupnih upravljavcev in obdelovalcev, vključenih v obdelavo;

(b)

namene in sredstva predvidene obdelave;

(c)

ukrepe in zaščitne ukrepe za zaščito pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, v skladu s to uredbo;

(d)

kontaktne podatke pooblaščene osebe za varstvo podatkov;

(e)

oceno učinka v zvezi z varstvom podatkov iz člena 39 in

(f)

vsakršne druge informacije, ki jih zahteva Evropski nadzornik za varstvo podatkov.

4.   Komisija lahko z izvedbenim aktom določi seznam primerov, v katerih se upravljavci posvetujejo z Evropskim nadzornikom za varstvo podatkov in od njega pridobijo predhodno dovoljenje v zvezi z obdelavo osebnih podatkov z namenom opravljanja naloge, ki jo upravljavec izvaja v javnem interesu, vključno z obdelavo takih podatkov v zvezi s socialnim varstvom in javnim zdravjem.

ODDELEK 5

Obveščanje in zakonodajno posvetovanje

Člen 41

Obveščanje in posvetovanje

1.   Institucije in organi Unije obvestijo Evropskega nadzornika za varstvo podatkov, kadar institucije in organi Unije pripravljajo upravne ukrepe in notranje predpise v zvezi z obdelavo osebnih podatkov bodisi sami ali skupaj z drugimi.

2.   Institucije in organi Unije se pri pripravi notranjih predpisov iz člena 25 posvetujejo z Evropskim nadzornikom za varstvo podatkov.

Člen 42

Zakonodajno posvetovanje

1.   Komisija se po sprejetju predloga zakonodajnega akta in priporočil ali predlogov Svetu v na podlagi člena 218 PDEU ali pri pripravi delegiranih aktov ali izvedbenih aktov, ki vplivajo na varstvo pravic in svoboščin posameznikov pri obdelavi osebnih podatkov, posvetuje z Evropskim nadzornikom za varstvo podatkov.

2.   Kadar je akt iz odstavka 1 zlasti pomemben za varstvo pravic in svoboščin posameznikov pri obdelavi osebnih podatkov, se Komisija lahko posvetuje tudi z Evropskim odborom za varstvo podatkov. V takih primerih Evropski nadzornik za varstvo podatkov in Evropski odbor za varstvo podatkov uskladita svoje delo, da izdata skupno mnenje.

3.   Mnenje iz odstavkov 1 in 2 se poda v pisni obliki v roku do osmih tednov po prejemu zahteve za posvetovanje iz odstavkov 1 in 2. Komisija lahko v nujnih primerih, ali če je drugače primerno, rok skrajša.

4.   Ta člen se ne uporablja, kadar se mora Komisija v skladu z Uredbo (EU) 2016/679 posvetovati z Evropskim odborom za varstvo podatkov.

ODDELEK 6

Pooblaščena oseba za varstvo podatkov

Člen 43

Imenovanje pooblaščene osebe za varstvo podatkov

1.   Vsaka institucija ali organ Unije imenuje pooblaščeno osebo za varstvo podatkov.

2.   Institucije in organi Unije lahko ob upoštevanju svoje organizacijske strukture in velikosti imenujejo eno pooblaščeno osebo za varstvo podatkov za več institucij ali organov.

3.   Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 45.

4.   Pooblaščena oseba za varstvo podatkov je član osebja institucije ali organa Unije. Ob upoštevanje svoje velikosti in če možnost iz odstavka 2 ni uporabljena, lahko institucije in organi Unije imenujejo pooblaščeno osebo za varstvo podatkov, ki svoje naloge opravlja na podlagi pogodbe o storitvah.

5.   Institucije in organi Unije objavijo kontaktne podatke pooblaščene osebe za varstvo podatkov in jih sporočijo Evropskemu nadzorniku za varstvo podatkov.

Člen 44

Položaj pooblaščene osebe za varstvo podatkov

1.   Institucije in organi Unije zagotovijo, da je pooblaščena oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.

2.   Institucije in organi Unije pooblaščeni osebi za varstvo podatkov pomagajo pri opravljanju nalog iz člena 45, tako da zagotovijo sredstva, potrebna za opravljanje teh nalog, in dostop do osebnih podatkov in dejanj obdelave, ter ohranjanje njenega strokovnega znanja.

3.   Institucije in organi Unije zagotovijo, da pooblaščena oseba za varstvo podatkov pri opravljanju svojih nalog ne prejema nobenih navodil. Upravljavec ali obdelovalec ne sme razrešiti ali kaznovati pooblaščene osebe za varstvo podatkov zaradi opravljanja njenih nalog. Pooblaščena oseba za varstvo podatkov neposredno poroča najvišji upravni ravni upravljavca ali obdelovalca.

4.   Posamezniki, na katere se nanašajo osebni podatki, lahko s pooblaščeno osebo za varstvo podatkov stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov in uresničevanjem njihovih pravic na podlagi te uredbe.

5.   Pooblaščena oseba za varstvo podatkov in njeno osebje sta pri opravljanju svojih nalog zavezana varovati skrivnost ali zaupnost v skladu s pravom Unije.

6.   Pooblaščena oseba za varstvo podatkov lahko opravlja druge naloge in dolžnosti. Upravljavec ali obdelovalec zagotovi, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov.

7.   S pooblaščeno osebo za varstvo podatkov se lahko upravljavec in obdelovalec, zadevni kadrovski odbor in kateri koli posameznik posvetujejo o vsaki zadevi v zvezi z razlago ali uporabo te uredbe, brez ukrepanja po uradni poti. Zaradi zadeve, predložene pooblaščeni osebi za varstvo podatkov z navedbo, da so bile kršene določbe te uredbe, nihče ne sme trpeti škode.

8.   Pooblaščena oseba za varstvo podatkov se imenuje za mandat treh do petih let in se lahko ponovno imenuje. Pooblaščeno osebo za varstvo podatkov lahko institucija ali organ Unije, ki jo je imenoval, razreši s položaja pooblaščene osebe za varstvo podatkov, če ne izpolnjuje več pogojev, potrebnih za opravljanje njenih dolžnosti in le s soglasjem Evropskega nadzornika za varstvo podatkov.

9.   Po njenem imenovanju institucija ali organ Unije, ki jo je imenoval, pooblaščeno osebo za varstvo podatkov vpiše pri Evropskem nadzorniku za varstvo podatkov.

Člen 45

Naloge pooblaščene osebe za varstvo podatkov

1.   Pooblaščena oseba za varstvo podatkov ima naslednje naloge:

(a)

obveščanje upravljavca ali obdelovalca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to uredbo in drugimi določbami prava Unije o varstvu podatkov;

(b)

zagotavljanje interne uporabe te uredbe na neodvisen način; spremljanje skladnosti s to uredbo, drugim veljavnim pravom Unije, ki vsebuje določbe o varstvu podatkov, in politikami upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem zadolžitev, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;

(c)

zagotavljanje, da so posamezniki, na katere se nanašajo osebni podatki, obveščeni o svojih pravicah in obveznostih v skladu s to uredbo;

(d)

svetovanje, kadar je to zahtevano, glede potrebe po obvestilu ali sporočilu o kršitvi varnosti osebnih podatkov v skladu s členoma 34 in 35;

(e)

svetovanje, kadar je to zahtevano, glede ocene učinka v zvezi z varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 39 ter posvetovanje z Evropskim nadzornikom za varstvo podatkov v primeru dvoma glede potrebe po oceni učinka v zvezi z varstvom podatkov;

(f)

svetovanje, kadar je to zahtevano, glede potrebe po predhodnem posvetovanju z Evropskim nadzornikom za varstvo podatkov v skladu s členom 40 ter posvetovanje z Evropskim nadzornikom za varstvo podatkov v primeru dvoma glede potrebe po predhodnem posvetovanju;

(g)

odgovarjanje na zahteve Evropskega nadzornika za varstvo podatkov; na področju svoje pristojnosti sodelovanje in posvetovanje z Evropskim nadzornikom za varstvo podatkov na zahtevo le-tega ali na lastno pobudo;

(h)

zagotavljanje, da dejanja obdelave nimajo negativnega vpliva na pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

2.   Pooblaščena oseba za varstvo podatkov lahko upravljavcu in obdelovalcu poda priporočila glede praktičnega izboljšanja varstva podatkov in jima svetuje glede zadev v zvezi z uporabo določb o varstvu podatkov. Poleg tega lahko na lastno pobudo ali na zahtevo upravljavca ali obdelovalca, zadevnega kadrovskega odbora ali katerega koli posameznika preiskuje zadeve in dogodke, ki se neposredno nanašajo na njene naloge in za katere izve, ter poroča osebi, ki je naročila preiskavo, oziroma upravljavcu ali obdelovalcu.

3.   Nadaljnja izvedbena pravila v zvezi s pooblaščeno osebo za varstvo podatkov sprejme vsaka institucija ali organ Unije. Izvedbena pravila se nanašajo predvsem na naloge, dolžnosti in pooblastila pooblaščene osebe za varstvo podatkov.

POGLAVJE V

PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE ALI MEDNARODNE ORGANIZACIJE

Člen 46

Splošno načelo za prenose

Vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, se ob upoštevanju drugih določb te uredbe izvede le, če upravljavec in obdelovalec ravnata v skladu s pogoji iz tega poglavja, kar velja tudi za nadaljnje prenose osebnih podatkov iz tretje države ali mednarodne organizacije v drugo tretjo državo ali drugo mednarodno organizacijo. Vse določbe tega poglavja se uporabljajo za zagotovitev, da ni ogrožena raven varstva posameznikov, ki jo zagotavlja ta uredba.

Člen 47

Prenosi na podlagi sklepa o ustreznosti

1.   Prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo se lahko izvede, če Komisija v skladu s členom 45(3) Uredbe (EU) 2016/679 ali členom 36(3) Direktive (EU) 2016/680 odloči, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov, in kadar se osebni podatki prenesejo le, da se lahko izvedejo naloge v pristojnosti upravljavca.

2.   Institucije in organi Unije Komisijo in Evropskega nadzornika za varstvo podatkov obvestijo o primerih, za katere menijo, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija, kateri nameravajo prenesti osebne podatke, ne zagotavlja ustrezne ravni varstva v smislu odstavka 1.

3.   Institucije in organi Unije sprejmejo potrebne ukrepe za uskladitev z odločitvami, ki jih sprejme Komisija, ko v skladu s členom 45(3) ali (5) Uredbe (EU) 2016/679 ali členom 36(3) ali (5) Direktive (EU) 2016/680 ugotovi, da tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva oziroma je več ne zagotavlja.

Člen 48

Prenosi, za katere se uporabljajo ustrezni zaščitni ukrepi

1.   Kadar sklep v skladu s členom 45(3) Uredbe (EU) 2016/679 ali členom 36(3) Direktive (EU) 2016/680 ni sprejet, lahko upravljavec ali obdelovalec osebne podatke prenese v tretjo državo ali mednarodno organizacijo le, če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe, in pod pogojem, da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva.

2.   Ustrezni zaščitni ukrepi iz odstavka 1 se lahko, ne da bi bilo potrebno posebno dovoljenje Evropskega nadzornika za varstvo podatkov, zagotovijo s:

(a)

pravno zavezujočim in izvršljivim instrumentom, ki ga sprejmejo javni organi ali telesa;

(b)

standardnimi določili o varstvu podatkov, ki jih sprejme Komisija v skladu s postopkom pregleda iz člena 96(2);

(c)

standardnimi določili o varstvu podatkov, ki jih sprejme Evropski nadzornik za varstvo podatkov in odobri Komisija v skladu s postopkom pregleda iz člena 96(2);

(d)

kadar obdelovalec ni institucija ali organ Unije, zavezujočimi poslovnimi pravili, kodeksi ravnanja ali mehanizmi certificiranja v skladu s točkami (b), (e) in (f) člena 46(2) Uredbe (EU) 2016/679.

3.   Ustrezni zaščitni ukrepi iz odstavka 1 se lahko z dovoljenjem Evropskega nadzornika za varstvo podatkov zagotovijo tudi zlasti s:

(a)

pogodbenimi določili med upravljavcem ali obdelovalcem in upravljavcem, obdelovalcem ali uporabnikom osebnih podatkov v tretji državi ali mednarodni organizaciji, ali

(b)

določbami, ki se vstavijo v upravne dogovore med javnimi organi ali telesi in v katere so vključene izvršljive in učinkovite pravice za posameznike, na katere se nanašajo osebni podatki.

4.   Dovoljenja Evropskega nadzornika za varstvo podatkov na podlagi člena 9(7) Uredbe (ES) št. 45/2001 ostanejo veljavna, dokler jih Evropski nadzornik za varstvo podatkov ne spremeni, nadomesti ali razveljavi, če je to potrebno.

5.   Institucije in organi Unije Evropskega nadzornika za varstvo podatkov obvestijo o kategorijah primerov, v katerih je bil uporabljen ta člen.

Člen 49

Prenosi ali razkritja, ki jih pravo Unije ne dovoljuje

Sodba sodišča in odločba upravnega organa tretje države, ki od upravljavca ali obdelovalca zahteva prenos ali razkritje osebnih podatkov, se lahko prizna ali izvrši na kateri koli način le, če temelji na mednarodnem sporazumu, kot je pogodba o medsebojni pravni pomoči, sklenjenem med tretjo državo prosilko in Unijo, brez poseganja v druge podlage za prenos v skladu s tem poglavjem.

Člen 50

Odstopanja v posebnih primerih

1.   Če sklep o ustreznosti v skladu s členom 45(3) Uredbe (EU) 2016/679 ali členom 36(3) Direktive (EU) 2016/680 ni sprejet ali pa niso sprejeti ustrezni zaščitni ukrepi v skladu s členom 48 te uredbe, se lahko prenos ali niz prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo izvede le pod enim izmed naslednjih pogojev:

(a)

posameznik, na katerega se nanašajo osebni podatki, je izrecno privolil v predlagani prenos, potem ko je bil obveščen o morebitnih tveganjih, ki jih zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov takšni prenosi pomenijo zanj;

(b)

prenos je potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki;

(c)

prenos je potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki;

(d)

prenos je potreben zaradi pomembnih razlogov javnega interesa;

(e)

prenos je potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov;

(f)

prenos je potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugih oseb, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali poslovno ni sposoben dati privolitve, ali

(g)

prenos se opravi iz registra, ki je po pravu Unije namenjen zagotavljanju informacij javnosti in je na voljo za vpogled bodisi javnosti na splošno bodisi kateri koli osebi, ki lahko izkaže zakoniti interes, vendar le, če so v posameznem primeru izpolnjeni pogoji za tak vpogled, določeni s pravom Unije.

2.   Točke (a), (b) in (c) odstavka 1 se ne uporabljajo za dejavnosti, ki jih institucije in organi Unije opravljajo pri izvajanju svojih javnih pooblastil.

3.   Javni interes iz točke (d) odstavka 1 je priznan v pravu Unije.

4.   Prenos v skladu s točko (g) odstavka 1 ne vključuje vseh osebnih podatkov ali celih vrst osebnih podatkov, ki jih vsebuje register, razen če to dovoljuje pravo Unije. Kadar je register namenjen vpogledu oseb, ki imajo zakoniti interes, se prenos opravi samo, če to zahtevajo te osebe ali če bodo te osebe uporabniki.

5.   Če sklepa o ustreznosti ni, se lahko v pravu Unije zaradi pomembnih razlogov javnega interesa izrecno določijo omejitve prenosa posebnih vrst osebnih podatkov v tretjo državo ali mednarodno organizacijo.

6.   Institucije in organi Unije Evropskega nadzornika za varstvo podatkov obvestijo o kategorijah primerov, v katerih je bil uporabljen ta člen.

Člen 51

Mednarodno sodelovanje za varstvo osebnih podatkov

Evropski nadzornik za varstvo podatkov v sodelovanju s Komisijo in Evropskim odborom za varstvo podatkov v zvezi s tretjimi državami in mednarodnimi organizacijami sprejme ustrezne ukrepe za:

(a)

oblikovanje mehanizmov mednarodnega sodelovanja za spodbujanje učinkovitega izvrševanja zakonodaje o varstvu osebnih podatkov;

(b)

zagotavljanje mednarodne medsebojne pomoči pri izvrševanju zakonodaje o varstvu osebnih podatkov, vključno z uradnim obveščanjem, posredovanjem pritožb, pomočjo pri preiskavah in izmenjavo informacij, pri čemer se uporabljajo ustrezni zaščitni ukrepi za varstvo osebnih podatkov ter drugih temeljnih pravic in svoboščin;

(c)

vključevanje ustreznih deležnikov v razpravo in dejavnosti, katerih namen je spodbujanje mednarodnega sodelovanja pri izvrševanju zakonodaje o varstvu osebnih podatkov;

(d)

spodbujanje izmenjave in dokumentiranja zakonodaje in prakse za varstvo osebnih podatkov, vključno s spori glede sodne pristojnosti s tretjimi državami.

POGLAVJE VI

EVROPSKI NADZORNIK ZA VARSTVO PODATKOV

Člen 52

Evropski nadzornik za varstvo podatkov

1.   Ustanovi se Evropski nadzornik za varstvo podatkov.

2.   Evropski nadzornik za varstvo podatkov je v zvezi z obdelavo osebnih podatkov odgovoren za zagotovitev, da institucije in organi Unije spoštujejo temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva podatkov.

3.   Evropski nadzornik za varstvo podatkov je odgovoren za spremljanje in zagotavljanje uporabe določb te uredbe in vseh drugih aktov Unije v zvezi z varstvom temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov v instituciji ali organu Unije ter za svetovanje institucijam in organom Unije ter posameznikom, na katere se nanašajo osebni podatki, o vseh zadevah v zvezi z obdelavo osebnih podatkov. Evropski nadzornik za varstvo podatkov v ta namen izpolnjuje naloge iz člena 57 in izvaja pooblastila, dodeljena v členu 58.

4.   Uredba (ES) št. 1049/2001 se uporablja za dokumente, ki jih hrani Evropski nadzornik za varstvo podatkov. Evropski nadzornik za varstvo podatkov sprejme podrobna pravila za uporabo Uredbe (ES) št. 1049/2001 v zvezi s temi dokumenti.

Člen 53

Imenovanje evropskega nadzornika za varstvo podatkov

1.   Evropski parlament in Svet s skupnim soglasjem imenujeta evropskega nadzornika za varstvo podatkov za petletni mandat na podlagi seznama, ki ga pripravi Komisija po javnem razpisu za kandidate. Ta razpis omogoči vsem zainteresiranim stranem po vsej Uniji, da predložijo svoje prijave. Seznam kandidatov, ki ga pripravi Komisija, je javen in vključuje vsaj tri kandidate. Pristojni odbor Evropskega parlamenta se lahko na podlagi seznama, ki ga pripravi Komisija, odloči za zaslišanje kandidatov in si zagotovi možnost, da izrazi svoje mnenje o tem, kateremu kandidatu daje prednost.

2.   Na seznamu kandidatov iz odstavka 1 so osebe, katerih neodvisnost je nedvomna in ki imajo priznano strokovno znanje na področju varstva podatkov, pa tudi izkušnje in strokovnost, potrebne za opravljanje dolžnosti evropskega nadzornika za varstvo podatkov.

3.   Mandat evropskega nadzornika za varstvo podatkov se lahko enkrat obnovi.

4.   Dolžnosti evropskega nadzornika za varstvo podatkov prenehajo v naslednjih okoliščinah:

(a)

če se evropski nadzornik za varstvo podatkov zamenja;

(b)

če evropski nadzornik za varstvo podatkov odstopi;

(c)

če se evropski nadzornik za varstvo podatkov razreši ali prisilno upokoji.

5.   Sodišče lahko na zahtevo Evropskega parlamenta, Sveta ali Komisije razreši evropskega nadzornika za varstvo podatkov ali mu odvzame pravico do pokojnine ali do drugih ugodnosti na njegovem položaju, če ne izpolnjuje več pogojev, ki se zahtevajo za opravljanje njegovih dolžnosti, ali če je storil hujšo kršitev.

6.   V primeru normalne zamenjave ali prostovoljnega odstopa ostane evropski nadzornik za varstvo podatkov na svojem položaju vse do zamenjave.

7.   Za evropskega nadzornika za varstvo podatkov se uporabljajo členi 11 do 14 in 17 Protokola o privilegijih in imunitetah Evropske unije.

Člen 54

Predpisi in splošni pogoji, ki urejajo izvajanje dolžnosti evropskega nadzornika za varstvo podatkov, osebje in finančne vire

1.   Evropski nadzornik za varstvo podatkov se glede določitve plače, dodatkov, starostne pokojnine in vseh drugih nadomestil na podlagi plače šteje za enakovrednega sodniku Sodišča.

2.   Proračunski organ zagotovi, da je Evropski nadzornik za varstvo podatkov preskrbljen s človeškimi in finančnimi viri, potrebnimi za izvajanje njegovih nalog.

3.   Proračun Evropskega nadzornika za varstvo podatkov se prikaže v posebnem proračunskem naslovu v oddelku o upravnih odhodkih splošnega proračuna Unije.

4.   Evropskemu nadzorniku za varstvo podatkov pomaga sekretariat. Uradnike in druge člane osebja sekretariata imenuje evropski nadzornik za varstvo podatkov, ki je njihov nadrejeni. Podrejeni so le njegovemu vodstvu. Njihovo število se kot del proračunskega postopka določi vsako leto. Člen 75(2) Uredbe (EU) 2016/679 se uporablja za osebje Evropskega nadzornika za varstvo podatkov, ki sodeluje pri opravljanju nalog, ki so v skladu s pravom Unije dodeljene Evropskemu odboru za varstvo podatkov.

5.   Za uradnike in druge člane osebja sekretariata Evropskega nadzornika za varstvo podatkov veljajo pravila in predpisi, ki se uporabljajo za uradnike in druge uslužbence Unije.

6.   Sedež Evropskega nadzornika za varstvo podatkov je v Bruslju.

Člen 55

Neodvisnost

1.   Evropski nadzornik za varstvo podatkov pri opravljanju svojih nalog in izvajanju svojih pooblastil v skladu s to uredbo ravna popolnoma neodvisno.

2.   Evropski nadzornik za varstvo podatkov pri opravljanju svojih nalog in izvajanju pooblastil v skladu s to uredbo ni izpostavljen niti neposrednemu niti posrednemu zunanjemu vplivu in nikogar ne prosi za navodila niti jih od nikogar ne sprejema.

3.   Evropski nadzornik za varstvo podatkov se vzdrži vsakega delovanja, ki je nezdružljivo z njegovimi dolžnostmi, in se v času svojega mandata ne ukvarja z nobenim drugim delom, bodisi profitnim bodisi neprofitnim.

4.   Po izteku mandata Evropski nadzornik za varstvo podatkov pri sprejemanju imenovanj in ugodnosti ravna pošteno in diskretno.

Člen 56

Poklicna skrivnost

Evropski nadzornik za varstvo podatkov in njegovo osebje so tako med svojim mandatom kot po njegovem izteku dolžni varovati poklicno skrivnost v zvezi z vsemi zaupnimi informacijami, s katerimi so se seznanili med izvajanjem svojih uradnih dolžnosti.

Člen 57

Naloge

1.   Brez poseganja v druge naloge, določene v tej uredbi, Evropski nadzornik za varstvo podatkov:

(a)

spremlja in zagotavlja uporabo te uredbe v institucijah ali organih Unije, razen pri obdelavi osebnih podatkov s strani Sodišča, kadar opravlja svojo pravosodno funkcijo;

(b)

spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo. Posebna pozornost se posveti dejavnostim, ki so namenjene izrecno otrokom;

(c)

spodbuja ozaveščenost upravljavcev in obdelovalcev glede njihovih obveznosti na podlagi te uredbe;

(d)

vsakemu posamezniku, na katerega se nanašajo osebni podatki, na zahtevo zagotovi informacije o uresničevanju njegovih pravic na podlagi te uredbe in v ta namen, če je ustrezno, sodeluje z nacionalnimi nadzornimi organi;

(e)

obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oziroma v skladu s členom 67 organ, organizacija ali združenje, v ustreznem obsegu prouči vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti če je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom;

(f)

izvaja preiskave o uporabi te uredbe, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa;

(g)

vsem institucijam in organom Unije na lastno pobudo ali na zahtevo svetuje o zakonodajnih in upravnih ukrepih, ki so povezani z varstvom pravic in svoboščin posameznikov glede obdelave osebnih podatkov;

(h)

spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij;

(i)

sprejema standardna pogodbena določila iz člena 29(8) in točke (c) člena 48(2);

(j)

vzpostavi in vzdržuje seznam v zvezi z zahtevo po oceni učinka v zvezi z varstvom podatkov v skladu s členom 39(4);

(k)

sodeluje pri dejavnostih Evropskega odbora za varstvo podatkov;

(l)

zagotovi sekretariat Evropskega odbora za varstvo podatkov v skladu s členom 75 Uredbe (EU) 2016/679;

(m)

svetuje glede dejanj obdelave iz člena 40(2);

(n)

odobri pogodbena določila in določbe iz člena 48(3);

(o)

hrani notranjo evidenco kršitev te uredbe in sprejetih ukrepov v skladu s členom 58(2);

(p)

opravlja vse druge naloge, povezane z varstvom osebnih podatkov, in

(q)

sestavi svoj poslovnik.

2.   Evropski nadzornik za varstvo podatkov olajša postopek vložitve pritožb iz točke (e) odstavka 1 z obrazcem za vložitev pritožbe, ki ga je mogoče izpolniti elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

3.   Opravljanje nalog Evropskega nadzornika za varstvo podatkov je za posameznika, na katerega se nanašajo osebni podatki, brezplačno.

4.   Kadar so zahteve očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko Evropski nadzornik za varstvo podatkov zavrne ukrepanje v zvezi z zahtevo. Evropski nadzornik za varstvo podatkov nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

Člen 58

Pooblastila

1.   Evropski nadzornik za varstvo podatkov ima naslednja preiskovalna pooblastila:

(a)

da upravljavcu in obdelovalcu odredi, naj zagotovi vse informacije, ki jih potrebuje za opravljanje svojih nalog;

(b)

da izvaja preiskave v obliki revizij na področju varstva podatkov;

(c)

da upravljavca ali obdelovalca uradno obvesti o domnevni kršitvi te uredbe;

(d)

da od upravljavca ali obdelovalca pridobi dostop do vseh osebnih podatkov in informacij, ki jih potrebuje za opravljanje svojih nalog;

(e)

da pridobi dostop do vseh prostorov upravljavca ali obdelovalca, vključno z vso opremo in sredstvi za obdelavo podatkov, v skladu s pravom Unije;

2.   Evropski nadzornik za varstvo podatkov ima naslednja popravljalna pooblastila:

(a)

da izda upravljavcu ali obdelovalcu opozorilo, da bi predvidena dejanja obdelave verjetno kršila določbe te uredbe;

(b)

da upravljavcu ali obdelovalcu izreče opomin, kadar so bile z dejanji obdelave kršene določbe te uredbe;

(c)

da o zadevi obvesti zadevnega upravljavca ali obdelovalca in po potrebi Evropski parlament, Svet in Komisijo;

(d)

da upravljavcu ali obdelovalcu odredi, naj ugodi zahtevam posameznika, na katerega se nanašajo osebni podatki, glede uresničevanja njegovih pravic na podlagi te uredbe;

(e)

da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi z določbami te uredbe;

(f)

da upravljavcu odredi, naj posameznika, na katerega se nanašajo osebni podatki, obvesti o kršitvi varstva osebnih podatkov;

(g)

da uvede začasno ali dokončno omejitev obdelave, vključno s prepovedjo obdelave;

(h)

da v skladu s členi 18, 19 in 20 odredi popravek ali izbris osebnih podatkov oziroma omejitev obdelave in o takšnih ukrepih v skladu s členom 19(2) in členom 21 uradno obvesti uporabnike, ki so jim bili osebni podatki razkriti;

(i)

da instituciji ali organu Unije v primeru neupoštevanja enega od ukrepov iz točk (d) do (h) in (j) tega odstavka in glede na okoliščine posameznega primera naloži upravno globo v skladu s členom 66;

(j)

da odredi prekinitev prenosov podatkov uporabniku v državi članici, tretji državi ali mednarodni organizaciji.

3.   Evropski nadzornik za varstvo podatkov ima naslednja pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi:

(a)

da posameznikom, na katere se nanašajo osebni podatki, svetuje pri uresničevanju njihovih pravic;

(b)

da svetuje upravljavcu v skladu s postopkom predhodnega posvetovanja iz člena 40 v skladu s členom 41(2);

(c)

da na lastno pobudo ali na zahtevo izdaja mnenja za institucije in organe Unije ter za javnost o vseh vprašanjih v zvezi z varstvom osebnih podatkov;

(d)

da sprejme standardna določila o varstvu podatkov iz člena 29(8) in iz točke (c) člena 48(2);

(e)

da odobri pogodbena določila iz točke (a) člena 48(3);

(f)

da odobri upravne dogovore iz točke (b) člena 48(3).

(g)

da odobri dejanja obdelave na podlagi izvedbenih aktov, sprejetih v skladu s členom 40(4).

4.   Evropski nadzornik za varstvo podatkov ima pooblastila, da o zadevi obvesti Sodišče pod pogoji iz Pogodb in posreduje v tožbah, vloženih pri Sodišču.

5.   Evropski nadzornik za varstvo podatkov izvaja pooblastila, ki so mu dodeljena v skladu s tem členom, na podlagi ustreznih zaščitnih ukrepov, vključno z učinkovitimi pravnimi sredstvi in ustreznim pravnim postopkom, kot je določeno v pravu Unije.

Člen 59

Obveznost upravljavcev in obdelovalcev, da odgovorijo na navedbe

Kadar Evropski nadzornik za varstvo podatkov izvaja pooblastila iz točk (a), (b) in (c) člena 58(2), zadevni upravljavec ali obdelovalec Evropskega nadzornika za varstvo podatkov obvesti o svojem mnenju v razumnem roku, ki ga ob upoštevanju okoliščin posameznega primera določi Evropski nadzornik za varstvo podatkov. V odgovor na pripombe Evropskega nadzornika za varstvo podatkov odgovor vsebuje tudi opis morebitnih sprejetih ukrepov.

Člen 60

Poročilo o dejavnostih

1.   Evropski nadzornik za varstvo podatkov letno poročilo o svojih dejavnostih predloži Evropskemu parlamentu, Svetu in Komisiji in ga sočasno objavi.

2.   Evropski nadzornik za varstvo podatkov poročilo iz odstavka 1 posreduje drugim institucijam in organom Unije, ki lahko predložijo pripombe v zvezi z morebitno obravnavo poročila v Evropskem parlamentu.

POGLAVJE VII

SODELOVANJE IN SKLADNOST

Člen 61

Sodelovanje med Evropskim nadzornikom za varstvo podatkov in nacionalnimi nadzornimi organi

Evropski nadzornik za varstvo podatkov sodeluje z nacionalnimi nadzornimi organi in skupnim nadzornim organom, ustanovljenim na podlagi člena 25 Sklepa Sveta 2009/917/PNZ (19), v obsegu, ki je potreben za izvajanje njihovih zadevnih nalog, zlasti z zagotavljanjem relevantnih informacij, s tem, da zaprosijo drug drugega, da izvedejo svoja pooblastila, in da se odzovejo na medsebojne zahteve.

Člen 62

Usklajen nadzor, ki ga izvajajo Evropski nadzornik za varstvo podatkov in nacionalni nadzorni organi

1.   Kadar se akt Unije sklicuje na ta člen, Evropski nadzornik za varstvo podatkov in nacionalni nadzorni organi, vsak v mejah svoje pristojnosti, aktivno sodelujejo v okviru svojih odgovornosti, da zagotovijo učinkovit nadzor nad obsežnimi sistemi informacijske tehnologije in organi, uradi in agencijami Unije.

2.   Vsak v mejah svoje pristojnosti in v okviru svojih odgovornosti po potrebi izmenjujejo relevantne informacije, si pomagajo pri izvajanju revizij in pregledov, proučujejo težave pri razlagi ali uporabi te uredbe in drugih veljavnih aktov Unije, proučujejo težave, ki nastanejo pri izvajanju neodvisnega nadzora ali uresničevanju pravic posameznikov, na katere se nanašajo osebni podatki, pripravljajo harmonizirane predloge za rešitve morebitnih težav in spodbujajo ozaveščenost o pravicah glede varstva podatkov.

3.   Nacionalni nadzorni organi in Evropski nadzornik za varstvo podatkov se za namene iz odstavka 2 sestanejo vsaj dvakrat letno v okviru Evropskega odbora za varstvo podatkov. V te namene lahko Evropski odbor za varstvo podatkov po potrebi oblikuje nadaljnje delovne metode.

4.   Evropski odbor za varstvo podatkov vsaki dve leti Evropskemu parlamentu, Svetu in Komisiji predložijo skupno poročilo o dejavnostih usklajenega nadzora.

POGLAVJE VIII

PRAVNA SREDSTVA, ODGOVORNOST IN KAZNI

Člen 63

Pravica do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov

1.   Brez poseganja v katero koli pravno, upravno ali izvensodno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo pri Evropskem nadzorniku za varstvo podatkov, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo.

2.   Evropski nadzornik za varstvo podatkov obvesti pritožnika o stanju zadeve in odločitvi o pritožbi, vključno z možnostjo pravnega sredstva na podlagi člena 64.

3.   Če Evropski nadzornik za varstvo podatkov v treh mesecih pritožbe ne obravnava ali posameznika, na katerega se nanašajo osebni podatki, ne obvesti o stanju zadeve ali odločitvi o pritožbi, se šteje, da je Evropski nadzornik za varstvo podatkov sprejel negativno odločitev.

Člen 64

Pravica do učinkovitega pravnega sredstva

1.   Za obravnavanje vseh sporov v zvezi z določbami te uredbe, vključno z odškodninskimi zahtevki, je pristojno Sodišče.

2.   Tožbe zoper odločitve Evropskega nadzornika za varstvo podatkov, vključno z odločitvami iz člena 63(3), se vložijo pri Sodišču.

3.   Sodišče ima neomejeno pristojnost za sodni pregled upravnih glob iz člena 66. V okviru omejitev člena 66 te globe lahko prekliče, zmanjša ali poveča.

Člen 65

Pravica do odškodnine

Vsak posameznik, ki je utrpel premoženjsko ali nepremoženjsko škodo kot posledico kršitve te uredbe, ima pravico, da pod pogoji iz Pogodb od institucije ali organa Unije dobi odškodnino za nastalo škodo.

Člen 66

Upravne globe

1.   Evropski nadzornik za varstvo podatkov lahko institucijam in organom Unije glede na okoliščine posameznega primera naloži upravne globe, kadar institucija ali organ Unije ne upoštevata odredbe Evropskega nadzornika za varstvo podatkov v skladu s točkami (d) do (h) in točko (j) člena 58(2). Pri odločanju o tem, ali se naloži upravna globa, in o višini upravne globe za vsak posamezen primer se ustrezno upošteva naslednje:

(a)

narava, teža in trajanje kršitve, pri čemer se upoštevajo narava, obseg ali namen zadevne obdelave ter število posameznikov, na katere se nanašajo osebni podatki in ki jih je kršitev prizadela, in raven škode, ki so jo utrpeli;

(b)

vsi ukrepi, ki sta jih sprejela institucija ali organ Unije, da bi omilila škodo, ki so jo utrpeli posamezniki, na katere se nanašajo osebni podatki;

(c)

stopnja odgovornosti institucije ali organa Unije, pri čemer se upoštevajo tehnični in organizacijski ukrepi, ki sta jih sprejela v skladu s členoma 27 in 33;

(d)

vse podobne prejšnje kršitve institucije ali organa Unije;

(e)

stopnja sodelovanja z Evropskim nadzornikom za varstvo podatkov pri odpravljanju kršitve in blažitvi morebitnih škodljivih učinkov kršitve;

(f)

vrste osebnih podatkov, ki jih zadeva kršitev;

(g)

kako je Evropski nadzornik za varstvo podatkov izvedel za kršitev, zlasti če in v kakšnem obsegu sta ga institucija ali organ Unije uradno obvestila o kršitvi;

(h)

skladnost s katerimi koli ukrepi iz člena 58, ki so bili že prej odrejeni zoper zadevno institucijo ali organ Unije v zvezi z enako vsebino. Postopki, s katerimi se naložijo navedene globe, se izvedejo v razumnem časovnem okviru glede na okoliščine posameznega primera ter ob upoštevanju zadevnih ukrepov in postopkov iz člena 69.

2.   Kadar institucija ali organ Unije kršita svoje obveznosti iz členov 8, 12, 27 do 35, 39, 40, 43, 44 in 45, se jima v skladu z odstavkom 1 tega člena naložijo upravne globe v višini do 25 000 EUR za posamezno kršitev in do največ 250 000 EUR letno.

3.   Kadar institucija ali organ Unije kršita naslednje določbe, se jima v skladu z odstavkom 1 naložijo upravne globe v višini do 50 000 EUR za posamezno kršitev in do največ 500 000 EUR letno:

(a)

osnovna načela obdelave, vključno s pogoji za privolitev, v skladu s členi 4, 5, 7 in 10;

(b)

pravice posameznika, na katerega se nanašajo osebni podatki, v skladu s členi 14 do 24;

(c)

prenosi osebnih podatkov uporabniku v tretji državi ali mednarodni organizaciji v skladu s členi 46 do 50.

4.   Če institucija ali organ Unije pri istem ali povezanem ali nadaljnjem dejanju obdelave kršita več določb te uredbe ali večkrat isto določbo te uredbe, skupni znesek upravne globe ne presega zneska, določenega za najhujšo kršitev.

5.   Evropski nadzornik za varstvo podatkov pred sprejetjem odločitev v skladu s tem členom instituciji ali organu Unije, zaradi katerih je začel postopek, omogoči, da podata izjavo o zadevah, ki jim Evropski nadzornik za varstvo podatkov ugovarja. Evropski nadzornik za varstvo podatkov svoje odločitve sprejme le na podlagi ugovorov, na katere so lahko zadevne strani podale pripombe. Pritožniki so tesno povezani s postopki.

6.   V postopkih se v celoti spoštuje pravica strank do obrambe. Strankam je zagotovljena pravica do vpogleda v spis Evropskega nadzornika za varstvo podatkov, ob upoštevanju zakonitega interesa posameznikov ali podjetij za varstvo njihovih osebnih podatkov ali poslovnih skrivnosti.

7.   Sredstva, zbrana z naložitvijo glob iz tega člena, so prihodek splošnega proračuna Unije.

Člen 67

Zastopanje posameznikov, na katere se nanašajo osebni podatki

Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da pooblasti neprofitni organ, organizacijo ali združenje, ki je ustrezno ustanovljen v skladu s pravom Unije ali pravom države članice in katerega s pravnimi akti določeni cilji so v javnem interesu ter je dejaven na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov, da pri Evropskem nadzorniku za varstvo podatkov vloži pritožbo v njegovem imenu in da v njegovem imenu uveljavlja pravice iz členov 63 in 64 ter da v njegovem imenu uveljavlja pravico do odškodnine iz člena 65.

Člen 68

Pritožbe osebja Unije

Vsaka oseba, ki je zaposlena pri instituciji ali organu Unije, lahko pri Evropskem nadzorniku za varstvo podatkov vloži pritožbo, vključno brez ukrepanja po uradni poti, v zvezi z domnevno kršitvijo določb te uredbe. Zaradi pritožbe, vložene pri Evropskem nadzorniku za varstvo podatkov, ki očita tako kršitev, nihče ne sme utrpeti škode.

Člen 69

Sankcije

Kadar uradnik ali drug uslužbenec Unije ne izpolnjuje obveznosti iz te uredbe, bodisi namerno bodisi iz malomarnosti, je zadevni uradnik ali drug uslužbenec disciplinsko ali kako drugače odgovoren v skladu s pravili in postopki, določenimi v Kadrovskih predpisih.

POGLAVJE IX

OBDELAVA OPERATIVNIH OSEBNIH PODATKOV, KI JIH OBDELUJEJO ORGANI, URADI IN AGENCIJE UNIJE PRI OPRAVLJANJU DEJAVNOSTI, KI SPADAJO NA PODROČJE POGLAVJA 4 ALI POGLAVJA 5 NASLOVA V TRETJEGA DELA PDEU

Člen 70

Področje uporabe tega poglavja

To poglavje se uporablja le za obdelavo operativnih osebnih podatkov, ki jih obdelujejo organi, uradi in agencije Unije pri opravljanju dejavnosti, ki spadajo na področje poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, brez poseganja v specifična pravila o varstvu osebnih podatkov, ki veljajo za takšne organe, urade ali agencije Unije.

Člen 71

Načela v zvezi z obdelavo operativnih osebnih podatkov

1.   Operativni osebni podatki:

(a)

se obdelajo zakonito in pošteno („zakonitost in poštenost“);

(b)

se zbirajo za določene, izrecne in zakonite namene ter se ne obdelujejo na način, ki je nezdružljiv s temi nameni („omejitev namena“);

(c)

so ustrezni, relevantni in ne pretirani glede na namene, za katere se obdelujejo („najmanjši obseg podatkov“);

(d)

so točni in po potrebi posodabljani; sprejmejo se vsi razumni ukrepi za zagotovitev, da se netočni operativni osebni podatki brez odlašanja izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo („točnost“);

(e)

se hranijo v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se operativni osebni podatki obdelujejo („omejitev shranjevanja“),

(f)

se obdelajo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi („celovitost in zaupnost“).

2.   Obdelava s strani istega ali drugega upravljavca za katerega koli od namenov iz pravnega akta o ustanovitvi organa, urada ali agencije Unije, ki ni namen, za katerega so bili operativni osebni podatki zbrani, je dovoljena, če:

(a)

je upravljavec pooblaščen za obdelavo takšnih operativnih osebnih podatkov za takšen namen v skladu s pravom Unije in

(b)

je obdelava potrebna in sorazmerna s takšnim drugim namenom v skladu s pravom Unije.

3.   Obdelava podatkov s strani istega ali drugega upravljavca lahko vključuje arhiviranje v javnem interesu, znanstveno, statistično ali zgodovinsko uporabo za namene iz pravnega akta o ustanovitvi organa, urada ali agencije Unije, če je zagotovljena ustrezna zaščita pravic in svoboščin posameznikov, na katere se osebni podatki nanašajo.

4.   Upravljavec je odgovoren za skladnost z odstavki 1, 2 in 3 in je to skladnost tudi zmožen izkazati.

Člen 72

Zakonitost obdelave operativnih osebnih podatkov

1.   Obdelava operativnih osebnih podatkov je zakonita le in kolikor je potrebna za opravljanje nalog organov, uradov ali agencij Unije pri izvajanju dejavnosti, ki spadajo na področje poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, ter če temelji na pravu Unije.

2.   Posebni pravni akti Unije, ki urejajo obdelavo v okviru področja uporabe tega poglavja, določijo vsaj cilje obdelave, katere operativne osebne podatke je treba obdelati, namene obdelave in roke za hrambo operativnih osebnih podatkov ali za redni pregled potrebe po nadaljnjem shranjevanju operativnih osebnih podatkov.

Člen 73

Razlikovanje med različnimi kategorijami posameznikov, na katere se nanašajo osebni podatki

Upravljavec, kadar je to ustrezno in kolikor je to mogoče, jasno razlikuje med operativnimi osebnimi podatki različnih kategorij posameznikov, na katere se nanašajo osebni podatki, kot so kategorije iz pravnih aktov o ustanovitvi organov, uradov in agencij Unije.

Člen 74

Razlikovanje med operativnimi osebnimi podatki in preverjanje kakovosti operativnih osebnih podatkov

1.   Upravljavec razlikuje, v največji možni meri, med operativnimi osebnimi podatki, ki temeljijo na dejstvih, in operativnimi osebnimi podatki, ki temeljijo na osebnih ocenah.

2.   Upravljavec sprejme vse razumne ukrepe za zagotovitev, da se operativni osebni podatki, ki so netočnih, nepopolni ali neposodobljeni, ne posredujejo ali dajo na voljo. V ta namen nadzornik preveri kakovost operativnih osebnih podatkov, še preden se ti posredujejo ali dajo na voljo, če je to izvedljivo in kadar je ustrezno. Če je mogoče, upravljavec pri vsakem posredovanju operativnih osebnih podatkov doda potrebne informacije, ki uporabniku omogočijo, da oceni stopnjo točnosti, popolnosti, zanesljivosti in posodobljenosti operativnih osebnih podatkov.

3.   Če se izkaže, da so bili posredovani nepravilni operativni osebni podatki ali da so bili operativni osebni podatki posredovani nezakonito, je o tem treba takoj uradno obvestiti prejemnika. V takšnem primeru je treba popraviti ali izbrisati zadevne operativne osebne podatke ali omejiti njihovo obdelavo v skladu s členom 82.

Člen 75

Posebni pogoji za obdelavo

1.   Kadar so v pravu Unije, ki se uporablja za upravljavca, ki posreduje podatke, določeni posebni pogoji za obdelavo, upravljavec obvesti uporabnika operativnih osebnih podatkov o takšnih pogojih in o obveznosti skladnosti s temi pogoji.

2.   Upravljavec mora spoštovati posebne pogoje za obdelavo, ki jih določi pristojni organ, ki posreduje podatke, v skladu s členom 9(3) in (4) Direktive (EU) 2016/680.

Člen 76

Obdelava posebnih vrst operativnih osebnih podatkov

1.   Obdelava operativnih osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, vero ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, operativnih osebnih podatkov v zvezi z zdravstvenim ali spolnim življenjem in spolno usmerjenostjo je dovoljena le, če je nujno potrebna za operativne namene, v mejah pristojnosti zadevnega organa, urada ali agencije Unije in če je zagotovljena ustrezna zaščita pravic in svoboščin posameznika, na katerega se operativni osebni podatki nanašajo. Diskriminacija oseb na podlagi takšnih osebnih podatkov je prepovedana.

2.   O uporabi tega člena se nemudoma obvesti pooblaščena oseba za varstvo podatkov.

Člen 77

Avtomatizirano sprejemanje posameznih odločitev, vključno z oblikovanjem profilov

1.   Sprejemanje odločitev izključno na podlagi avtomatizirane obdelave, vključno z oblikovanjem profilov, ki ima lahko negativen pravni učinek za posameznika, na katerega se nanašajo osebni podatki, ali ga zelo prizadene, je prepovedano, razen če to dovoljuje pravo Unije ali države članice, ki se uporablja za upravljavca in ki zagotavlja ustrezno zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja s strani upravljavca.

2.   Odločitve iz odstavka 1 tega člena ne temeljijo na posebnih vrstah operativnih osebnih podatkov iz člena 76, razen če so vzpostavljeni ustrezni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

3.   Oblikovanje profilov, ki ima za posledico diskriminacijo posameznikov na podlagi posebnih vrst operativnih osebnih podatkov iz člena 76, je v skladu s pravom Unije prepovedano.

Člen 78

Sporočila in načini za uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki

1.   Upravljavec sprejme razumne ukrepe, s katerimi zagotovi, da se posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz člena 79 ter vsa sporočila iz členov 80 do 84 ter 92, povezana z obdelavo, posredujejo v jedrnati, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku. Informacije se posredujejo na vse ustrezne načine, tudi v elektronski obliki. Upravljavec praviloma zagotovi informacije v taki obliki, kot jo je imela zahteva.

2.   Upravljavec olajša uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz členov 79 do 84.

3.   Upravljavec posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja pisno obvesti o nadaljnjih ukrepih v zvezi z njegovo zahtevo, v vsakem primeru pa najpozneje v treh mesecih po prejetju zahteve posameznika, na katerega se nanašajo osebni podatki.

4.   Upravljavec informacije iz člena 79 ter morebitna sporočila in ukrepe, sprejete na podlagi členov 80 do 84 ter 92, posreduje brezplačno. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko upravljavec zavrne ukrepanje v zvezi z zahtevo. Upravljavec nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

5.   Kadar upravljavec upravičeno dvomi o identiteti posameznika, ki predloži zahtevo iz členov 80 ali 82, lahko zahteva zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki.

Člen 79

Informacije, ki se dajo na voljo ali zagotovijo posamezniku, na katerega se nanašajo osebni podatki

1.   Upravljavec posamezniku, na katerega se nanašajo osebni podatki, da na voljo vsaj naslednje informacije:

(a)

identiteto in kontaktne podatke organa, urada ali agencije Unije;

(b)

kontaktne podatke pooblaščene osebe za varstvo podatkov;

(c)

namene obdelave operativnih osebnih podatkov;

(d)

o pravici do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov in njegove kontaktne podatke;

(e)

o pravici, da se od upravljavca zahtevajo dostop do operativnih osebnih podatkov in popravek ali izbris operativnih osebnih podatkov ter omejitev obdelave operativnih osebnih podatkov v zvezi s posameznikom, na katerega se ti podatki nanašajo.

2.   Upravljavec posamezniku, na katerega se nanašajo osebni podatki, v posebnih primerih, določenih s pravom Unije, poleg informacij iz odstavka 1 da tudi naslednje informacije, s čimer omogoči uresničevanje njegovih pravic:

(a)

pravno podlago za obdelavo;

(b)

obdobje hrambe operativnih osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(c)

kadar je to ustrezno, kategorije uporabnikov operativnih osebnih podatkov, tudi v tretjih državah ali mednarodnih organizacijah;

(d)

po potrebi dodatne informacije, zlasti kadar se operativni osebni podatki zbirajo brez vednosti posameznika, na katerega se nanašajo.

3.   Upravljavec lahko zadrži, omeji ali opusti zagotavljanje informacij posamezniku, na katerega se nanašajo osebni podatki, na podlagi odstavka 2, če in dokler je takšen ukrep, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

(a)

preprečitev oviranja uradnih in zakonitih preiskav, poizvedb ali postopkov;

(b)

preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(c)

zaščito javne varnosti držav članic;

(d)

zaščito nacionalne varnosti držav članic;

(e)

zaščito pravic in svoboščin drugih, kot so žrtve in priče.

Člen 80

Pravica do dostopa posameznika, na katerega se nanašajo osebni podatki

Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo operativni osebni podatki, in kadar je temu tako, do dostopa do operativnih osebnih podatkov ter naslednje informacije:

(a)

namene in pravne podlage za obdelavo;

(b)

vrste zadevnih operativnih osebnih podatkov;

(c)

uporabnike ali kategorije uporabnikov, ki so jim bili razkriti operativni osebni podatki, zlasti uporabnikov v tretjih državah ali mednarodnih organizacijah;

(d)

kadar je mogoče, predvideno obdobje hrambe operativnih osebnih podatkov ali, če ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(e)

o pravici, da od upravljavca zahteva popravek ali izbris operativnih osebnih podatkov ali omejitev obdelave operativnih osebnih podatkov v zvezi s posameznikom, na katerega se ti podatki nanašajo;

(f)

o pravici do vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov in njegove kontaktne podatke;

(g)

sporočil o operativnih osebnih podatkih, ki se obdelujejo, in o vseh dostopnih informacijah v zvezi z njihovim virom.

Člen 81

Omejitve pravice do dostopa

1.   Upravljavec lahko posamezniku, na katerega se nanašajo osebni podatki, popolnoma ali delno omeji pravico do dostopa, in sicer če in dokler je taka delna ali popolna omejitev, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

(a)

preprečitev oviranja uradnih in zakonitih preiskav, poizvedb ali postopkov;

(b)

preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(c)

zaščito javne varnosti držav članic;

(d)

zaščito nacionalne varnosti držav članic;

(e)

zaščito pravic in svoboščin drugih, kot so žrtve in priče.

2.   Upravljavec v primerih iz odstavka 1 posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja pisno obvesti o vsaki zavrnitvi ali omejitvi dostopa in razlogih zanju. Te informacije se lahko izpustijo, če bi njihova zagotovitev ogrozila namen iz odstavka 1. Upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o možnosti za vložitev pritožbe pri Evropskem nadzorniku za varstvo podatkov ali o obstoju pravnega sredstva pred Sodiščem. Upravljavec dokumentira dejansko stanje ali pravne razloge, na katerih temelji odločitev. Te informacije se dajo na voljo Evropskemu nadzorniku za varstvo podatkov na njegovo zahtevo.

Člen 82

Pravica do popravka ali izbrisa operativnih osebnih podatkov in omejitve obdelave

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da pri upravljavcu brez nepotrebnega odlašanja doseže popravek netočnih operativnih osebnih podatkov v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave pravico do dopolnitve nepopolnih operativnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.

2.   Upravljavec brez nepotrebnega odlašanja izbriše operativne osebne podatke, posameznik, na katerega se nanašajo osebni podatki, pa ima pravico, da pri upravljavcu brez nepotrebnega odlašanja doseže izbris operativnih osebnih podatkov v zvezi z njim, če obdelava krši člen 71, 72(1) ali 76, ali če je treba operativne osebne podatke izbrisati za izpolnitev pravne obveznosti, ki velja za upravljavca.

3.   Upravljavec namesto izbrisa omeji obdelavo, kadar:

(a)

posameznik, na katerega se nanašajo osebni podatki, izpodbija njihovo točnost in ni mogoče preveriti, ali so podatki točni ali ne, ali

(b)

je treba osebne podatke ohraniti za namene dokazovanja.

Kadar je obdelava omejena v skladu s točko (a) prvega pododstavka, upravljavec pred preklicem omejitve obdelave obvesti posameznika, na katerega se nanašajo osebni podatki.

Podatki, za katere velja omejitev, se obdelajo le za namen, zaradi katerega niso bili izbrisani.

4.   Upravljavec posameznika, na katerega se nanašajo osebni podatki, pisno obvesti o vsaki zavrnitvi popravka ali izbrisa operativnih osebnih podatkov ali omejitvi obdelave ter o razlogih za zavrnitev. Upravljavec lahko popolnoma ali delno omeji zagotavljanje teh informacij, kolikor je taka omejitev, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

(a)

preprečitev oviranja uradnih in zakonitih preiskav, poizvedb ali postopkov;

(b)

preprečitev vplivanja na preprečevanje, odkrivanje, preiskovanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(c)

zaščito javne varnosti držav članic;

(d)

zaščito nacionalne varnosti držav članic;

(e)

zaščito pravic in svoboščin drugih, kot so žrtve in priče.

Upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o možnosti za vložitev pritožbe pri Evropskem nadzorniku za varstvo podatkov ali obstoju pravnega sredstva pred Sodišču.

5.   Upravljavec o popravku netočnih operativnih osebnih podatkov obvesti pristojni organ, ki je posredoval netočne operativne osebne podatke.

6.   Če so bili operativni osebni podatki na podlagi odstavka 1, 2 ali 3 popravljeni ali izbrisani ali je bila njihova obdelava omejena, upravljavec o tem uradno obvesti uporabnike ter da uporabniki popravijo ali izbrišejo operativne osebne podatke ali omejiti obdelavo operativnih osebnih podatkov za katere so odgovorni.

Člen 83

Pravica do dostopa v kazenskih preiskavah in postopkih

Kadar operativni osebni podatki izvirajo iz pristojnega organa, organi, uradi in agencije Unije, pred odločitvijo o pravici posameznika, na katerega se nanašajo osebni podatki, do dostopa pri zadevnem pristojnem organu preverijo, ali se takšni osebni podatki navedeni v sodbi ali kazenski evidenci ali sodnem spisu, ki se obdela med kazensko preiskavo in kazenskim postopkom v državi članici tega pristojnega organa. V tem primeru se odločitev o pravici do dostopa sprejme v posvetovanju in tesnem sodelovanju z zadevnim pristojnim organom.

Člen 84

Uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, in preverjanje, ki ga izvede Evropski nadzornik za varstvo podatkov

1.   V primerih iz členov 79(3), 81 in 82(4) lahko posameznik, na katerega se nanašajo osebni podatki, svoje pravice uveljavlja tudi prek Evropskega nadzornika za varstvo podatkov.

2.   Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, da lahko svoje pravice uresničuje prek Evropskega nadzornika za varstvo podatkov v skladu z odstavkom 1.

3.   Kadar posameznik, na katerega se nanašajo osebni podatki, uresničuje pravico iz odstavka 1, ga Evropski nadzornik za varstvo podatkov obvesti vsaj o tem, da je izvedel vsa potrebna preverjanja oziroma pregled. Evropski nadzornik za varstvo podatkov tudi obvesti posameznika, na katerega se nanašajo osebni podatki, o njegovi pravici do uporabe pravnega sredstva pred Sodiščem.

Člen 85

Vgrajeno in privzeto varstvo podatkov

1.   Upravljavec ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, tako v času določanja sredstev obdelave kot v času same obdelave, izvede ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve iz te uredbe in pravnega akta o njegovi ustanovitvi ter zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.

2.   Upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se samodejno obdelajo samo operativni osebni podatki, ki so ustrezni, relevantni in ne pretirani glede na namene, za katere se obdelujejo. Ta obveznost velja za količino zbranih operativnih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da operativni osebni podatki niso samodejno dostopni nedoločenemu številu fizičnih oseb brez posredovanja zadevnega posameznika.

Člen 86

Skupni upravljavci

1.   Kadar dva ali več upravljavcev ali eden ali več upravljavcev ali upravljavci, ki niso institucije in organi Unije, skupaj določijo namene in načine obdelave, so skupni upravljavci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja njihovih obveznosti varstva podatkov, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz člena 79, razen če in kolikor so dolžnosti vsakega od skupnih upravljavcev določene s pravom Unije ali pravom države članice, ki velja za skupne upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki.

2.   Dogovor iz odstavka 1 ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznika, na katerega se nanašajo osebni podatki. Bistveno vsebino dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki.

3.   Posameznik, na katerega se nanašajo osebni podatki, lahko ne glede na pogoje dogovora iz odstavka 1 uresničuje svoje pravice v skladu s to uredbo glede vsakega od upravljavcev in proti vsakemu od njih.

Člen 87

Obdelovalec

1.   Kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te uredbe in pravnega akta o ustanovitvi upravljavca ter zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

2.   Obdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

3.   Obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca in v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta operativnih osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

(a)

deluje samo po navodilih upravljavca;

(b)

zagotovi, da so osebe, ki so pooblaščene za obdelavo operativnih osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c)

pomaga upravljavcu na kakršen koli primeren način, da se zagotovi skladnost z določbami o pravicah posameznika, na katerega se nanašajo osebni podatki;

(d)

v skladu z odločitvijo upravljavca izbriše ali vrne vse operativne osebne podatke upravljavcu po zaključku storitev v zvezi z obdelavo ter uniči obstoječe kopije, razen če pravo Unije ali pravo države članice predpisuje shranjevanje operativnih osebnih podatkov;

(e)

da upravljavcu na voljo vse informacije, potrebne za izkazovanje skladnosti z obveznostmi iz tega člena;

(f)

izpolnjuje pogoje iz odstavka 2 in tega odstavka za zaposlitev drugega obdelovalca.

4.   Pogodba ali drug pravni akt iz odstavka 3 je v pisni obliki, vključno z elektronsko obliko.

5.   Če obdelovalec z določitvijo namenov in načinov obdelave krši to uredbo ali pravni akt o ustanovitvi upravljavca, obdelovalec šteje za upravljavca v zvezi s to obdelavo.

Člen 88

Vodenje dnevnikov

1.   Upravljavec vodi dnevnike o vseh naslednjih postopkih dejanjih obdelave v sistemih za avtomatizirano obdelavo: zbiranje, predelava, dostop, vpogled, razkritje, vključno s prenosi, kombiniranje in izbris operativnih osebnih podatkov. Dnevniki vpogleda in razkritja omogočajo, da se take dejavnosti utemeljijo, da se opredeli datum in čas takih dejavnosti ter identificirajo osebe, ki so vpogledale v operativne osebne podatke ali jih razkrile, ter da se, kolikor je to mogoče, identificirajo uporabniki takih operativnih osebnih podatkov.

2.   Dnevniki se uporabljajo zgolj za preverjanje zakonitosti obdelave, notranje spremljanje, zagotavljanje celovitosti in varnosti operativnih osebnih podatkov ter v kazenskih postopkih. Taki dnevniki se izbrišejo po treh letih, razen če so potrebni za tekoči nadzor.

3.   Upravljavec svoji pooblaščeni osebi za varstvo podatkov in Evropskemu nadzorniku za varstvo podatkov na zahtevo omogoči dostop do dnevnikov.

Člen 89

Ocena učinka v zvezi z varstvom podatkov

1.   Kadar bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo operativnih osebnih podatkov.

2.   Ocena iz odstavka 1 obsega vsaj splošni opis predvidenih dejanj obdelave, oceno tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ukrepe, namenjene obvladovanju teh tveganj, zaščitne ukrepe, varnostne ukrepe ter mehanizme za zagotavljanje varstva operativnih osebnih podatkov in za dokazovanje skladnosti s predpisi za varstvo osebnih podatkov, pri čemer se upoštevajo pravice in zakoniti interesi posameznikov, na katere se nanašajo osebni podatki, ter drugih zadevnih oseb.

Člen 90

Predhodno posvetovanje z Evropskim nadzornikom za varstvo podatkov

1.   Upravljavec se pred obdelavo osebnih podatkov, ki bodo del nove zbirke, posvetuje z Evropskim nadzornikom za varstvo podatkov, kadar:

(a)

ocena učinka na varstvo podatkov iz člena 89 kaže, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja, ali

(b)

vrsta obdelave, zlasti v primeru uporabe novih tehnologij, mehanizmov ali postopkov, pomeni veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

2.   Evropski nadzornik za varstvo podatkov lahko pripravi seznam dejavnosti obdelave, za katere je treba v skladu z odstavkom 1 opraviti predhodno posvetovanje.

3.   Upravljavec Evropskemu nadzorniku za varstvo podatkov predloži oceno učinka na varstvo podatkov iz člena 89, na zahtevo pa tudi vse druge informacije, ki bodo Evropskemu nadzorniku za varstvo podatkov omogočile, da oceni skladnost obdelave in zlasti tveganja za varstvo operativnih osebnih podatkov posameznika, na katerega se nanašajo osebni podatki, ter s tem povezane zaščitne ukrepe.

4.   Kadar Evropski nadzornik za varstvo podatkov meni, da bi predvidena obdelava iz odstavka 1 kršila to uredbo ali pravni akt o ustanovitvi organa, urada ali agencije Unije, zlasti kadar upravljavec ni zadostno opredelil ali ublažil tveganja, Evropski nadzornik za varstvo podatkov v roku do šestih tednov po prejemu zahteve za posvetovanje pisno svetuje upravljavcu. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša za en mesec. Evropski nadzornik za varstvo podatkov o vsakem takem podaljšanju obvesti upravljavca v enem mesecu po prejemu zahteve za posvetovanje, skupaj z razlogi za zamudo.

Člen 91

Varnost obdelave operativnih osebnih podatkov

1.   Upravljavec in obdelovalec ob upoštevanju tehnološkega razvoja, stroškov izvajanja in narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z ustreznimi tehničnimi in organizacijskimi ukrepi zagotovi ustrezno raven varnosti glede na tveganje, zlasti kar zadeva obdelavo posebnih vrst operativnih osebnih podatkov.

2.   Upravljavec in obdelovalec v zvezi z avtomatizirano obdelavo po oceni tveganj izvedeta ukrepe, katerih namen je:

(a)

onemogočiti dostop nepooblaščenih oseb do opreme za obdelavo podatkov, ki se uporablja za obdelavo (nadzor dostopa do opreme);

(b)

preprečiti nepooblaščeno branje, kopiranje, spreminjanje ali odstranjevanje nosilcev podatkov (nadzor nosilcev podatkov);

(c)

preprečiti nepooblaščen vnos operativnih osebnih podatkov in nepooblaščeno preverjanje, spreminjanje ali brisanje shranjenih operativnih osebnih podatkov (nadzor shranjevanja);

(d)

nepooblaščenim osebam, ki uporabljajo opremo za prenos podatkov, preprečiti uporabo sistemov za avtomatizirano obdelavo (nadzor uporabnikov omrežja ali opreme);

(e)

zagotoviti, da imajo osebe, pooblaščene za uporabo sistema za avtomatizirano obdelavo, dostop samo do operativnih osebnih podatkov, ki jih zajema njihovo pooblastilo za dostop (nadzor dostopa do podatkov);

(f)

zagotoviti, da je mogoče preveriti in ugotoviti, katerim organom so operativni osebni podatki bili ali bi lahko bili poslani oziroma jim je bil ali bi jim lahko bil omogočen dostop do njih prek prenosa podatkov (nadzor prenosa);

(g)

zagotoviti, da je mogoče naknadno preveriti in ugotoviti, kateri operativni osebni podatki so bili vneseni v sisteme za avtomatizirano obdelavo operativnih osebnih podatkov ter kdaj in kdo jih je vnesel (nadzor vnosa);

(h)

prepreči nepooblaščeno branje, kopiranje, spreminjanje ali brisanje operativnih osebnih podatkov med prenosom operativnih osebnih podatkov ali med pošiljanjem nosilcev podatkov (nadzor pošiljanja):

(i)

zagotoviti, da je mogoče nameščene sisteme v primeru prekinitve ponovno vzpostaviti (obnova);

(j)

zagotoviti, da funkcije sistema delujejo, da se pojavljanje napak v funkcijah sporoči (zanesljivost) in da shranjeni operativni osebni podatki ne morejo postati neuporabni zaradi okvare sistema (neoporečnost).

Člen 92

Obvestilo Evropskemu nadzorniku za varstvo podatkov o kršitvi varnosti operativnih osebnih podatkov

1.   V primeru kršitve varnosti operativnih osebnih podatkov upravljavec brez nepotrebnega odlašanja in po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo o njej obvesti Evropskega nadzornika o varstvu podatkov, razen če ni verjetno, da bi bilo s kršitvijo varnosti operativnih osebnih podatkov povzročeno tveganje za pravice in svoboščine posameznikov. Kadar obvestilo Evropskemu nadzorniku za varstvo podatkov ni podano v 72 urah, se mu priložijo razlogi za zamudo.

2.   Obvestilo iz odstavka 1 vsebuje vsaj:

(a)

opis vrste kršitve varnosti osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc operativnih osebnih podatkov;

(b)

sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov;

(c)

opis verjetnih posledic kršitve varnosti operativnih osebnih podatkov;

(d)

opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varnosti osebnih podatkov, vključno z, če je to primerno, ukrepi za ublažitev morebitnih škodljivih učinkov kršitve.

3.   Kadar in kolikor informacij iz odstavka 2 ni mogoče zagotoviti istočasno, se lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.

4.   Upravljavec dokumentira vsako kršitev varstva osebnih podatkov iz odstavka 1, vključno z dejstvi v zvezi s kršitvijo varnosti osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija Evropskemu nadzorniku za varstvo podatkov omogoči, da preveri skladnost s tem členom.

5.   V primeru, da kršitev varstva osebnih podatkov vključuje operativne osebne podatke, ki jih je pristojni organ druge države članice poslal ali so mu bili poslani, upravljavec brez nepotrebnega odlašanja sporoči informacije iz odstavka 2 zadevnemu pristojnemu organu.

Člen 93

Sporočilo posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov

1.   Kadar je verjetno, da bi kršitev varnosti osebnih podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varnosti osebnih podatkov.

2.   V sporočilu posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena je v jasnem in preprostem jeziku opisana vrsta kršitve varnosti osebnih podatkov ter so vsebovane vsaj informacije in priporočila iz točk (b), (c) in (d) člena 92(2).

3.   Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev:

(a)

upravljavec je izvedel ustrezne tehnične in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za operativne osebne podatke, v zvezi s katerimi je bila storjena kršitev varnosti, zlasti ukrepe, na podlagi katerih postanejo operativni osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje;

(b)

upravljavec je sprejel naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1 verjetno ne bo več udejanjilo;

(c)

bi to zahtevalo nesorazmeren napor. V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

4.   Če upravljavec posameznika, na katerega se nanašajo osebni podatki, še ni obvestil o kršitvi varnosti osebnih podatkov, lahko Evropski nadzornik za varstvo podatkov to od njega zahteva po proučitvi verjetnosti, da bi kršitev varnosti osebnih podatkov povzročila veliko tveganje, ali pa lahko odloči, da je izpolnjen kateri koli od pogojev iz odstavka 3.

5.   Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena se lahko pod pogoji in iz razlogov iz člena 79(3) zadrži, omeji ali opusti.

Člen 94

Prenos operativnih osebnih podatkov v tretje države in mednarodne organizacije

1.   Upravljavec lahko, ob upoštevanju omejitev in pogojev, določenih v pravnih aktih o ustanovitvi organa, urada ali agencije Unije, prenese operativne osebne podatke organu v tretje države ali mednarodne organizacije, kolikor je tak prenos potreben za izvajanje nalog upravljavca in le kadar so izpolnjeni pogoji iz tega člena, in sicer:

(a)

Komisija je sprejela sklep o ustreznosti v skladu s členom 36(3) Direktive (EU) 2016/680, s katerim je ugotovila, da tretja država ali ozemlje ali sektor obdelave znotraj te tretje države ali zadevna mednarodna organizacija zagotavlja ustrezno raven varstva;

(b)

v primeru, da Komisija sklepa o ustreznosti iz točke (a) ni sprejela, je sklenjen mednarodni sporazum med Unijo in to tretjo državo ali mednarodno organizacijo v skladu s členom 218 PDEU, ki navaja ustrezne zaščitne ukrepe glede varstva zasebnosti ter temeljnih pravic in svoboščin posameznikov;

(c)

v primeru, če sklepa Komisije o ustreznosti iz točke (a) ali mednarodnega sporazuma iz točke (b) ni, je sklenjen sporazum o sodelovanju, ki dovoljuje izmenjavo operativnih osebnih podatkov pred začetkom uporabe pravnega akta o ustanovitvi zadevnega organa, urada ali agencije Unije, med tem organom, uradom ali agencijo Unije in zadevno tretjo državo.

2.   Pravni akti o ustanovitvi organov, uradov in agencij Unije lahko ohranijo ali sprejmejo bolj specifične določbe o pogojih za mednarodni prenos operativnih osebnih podatkov, zlasti v zvezi s prenosi z ustreznimi zaščitnimi ukrepi in odstopanji za posebne okoliščine.

3.   Upravljavec na svojem spletnem mestu objavi in posodablja seznam sklepov o ustreznosti iz točke (a), sporazumov, upravnih dogovorov in drugih instrumentov, povezanih s prenosom operativnih osebnih podatkov v skladu z odstavkom 1.

4.   Upravljavec hrani natančne evidence vseh prenosov, izvedenih na podlagi tega člena.

Člen 95

Tajnost sodnih preiskav in kazenskih postopkov

Pravni akti o ustanovitvi organov, uradov ali agencij Unije pri izvajanju dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, lahko Evropskemu nadzorniku za varstvo podatkov naložijo obveznosti, da pri izvrševanju svojih nadzornih pooblastil v največji meri upošteva tajnost sodnih preiskav in kazenskih postopkov, v skladu s pravom Unije ali države članice.

POGLAVJE X

IZVEDBENI AKTI

Člen 96

Postopek v odboru

1.   Komisiji pomaga odbor, ustanovljen s členom 93 Uredbe (EU) 2016/679. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.

2.   Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.

POGLAVJE XI

PREGLED

Člen 97

Klavzula o ponovnem pregledu

Komisija najpozneje 30. aprila 2022 in nato vsakih pet let Evropskemu parlamentu in Svetu predloži poročilo o uporabi te uredbe, ki mu po potrebi priloži ustrezne zakonodajne predloge.

Člen 98

Pregled pravnih aktov Unije

1.   Komisija do 30. aprila 2022 pregleda pravne akte, sprejete na podlagi Pogodb, ki urejajo obdelavo operativnih osebnih podatkov s strani organov, uradov ali agencij Unije, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, da bi:

(a)

ocenili njihovo skladnost z Direktivo (EU) 2016/680 in poglavjem IX te uredbe;

(b)

opredelili morebitna razhajanja, ki bi lahko ovirala izmenjavo operativnih osebnih podatkov med organi, uradi ali agencijami Unije pri opravljanju dejavnosti na teh področjih in pristojnimi organi; ter

(c)

opredelili morebitna razhajanja, ki bi lahko ustvarila pravno razdrobljenost zakonodaje o varstvu podatkov v Uniji.

2.   Da bi se zagotovilo enotno in skladno varstvo posameznikov pri obdelavi, lahko Komisija na podlagi takega pregleda predloži ustrezne zakonodajne predloge zlasti za zagotovitev, da se poglavje IX te uredbe uporablja za Europol in Evropsko javno tožilstvo, vključno s prilagoditvami poglavja IX te uredbe, če je potrebno.

POGLAVJE XII

KONČNE DOLOČBE

Člen 99

Razveljavitev Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES

Uredba (ES) št. 45/2001 in Sklep št. 1247/2002/ES se razveljavita z učinkom od 11. decembra 2018. Sklicevanja na razveljavljeno uredbo in razveljavljeni sklep se razumejo kot sklicevanja na to uredbo.

Člen 100

Prehodni ukrepi

1.   Ta uredba ne vpliva na Sklep 2014/886/EU Evropskega parlamenta in Sveta (20) ter sedanji mandat evropskega nadzornika za varstvo podatkov in pomočnika nadzornika.

2.   Pomočnik nadzornika se glede določitve plače, dodatkov, starostne pokojnine in vseh drugih nadomestil na podlagi plače šteje za enakovrednega sodnemu tajniku Sodišča.

3.   Člen 53(4), (5) in (7) ter člena 55 in 56 te uredbe se za sedanjega pomočnika nadzornika uporabljajo do konca njegovega mandata.

4.   Pomočnik nadzornika evropskemu nadzorniku za varstvo podatkov do konca svojega mandata pomaga pri vseh njegovih dolžnostih in ga nadomešča, kadar je evropski nadzornik za varstvo podatkov odsoten ali če ne more poskrbeti zanje.

Člen 101

Začetek veljavnosti in uporaba

1.   Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

2.   Ta uredba se uporablja za obdelavo osebnih podatkov, ki jo opravlja Eurojust, od 12. decembra 2019.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Strasbourgu, 23. oktobra 2018

Za Evropski parlament

Predsednik

A. TAJANI

Za Svet

Predsednica

K. EDTSTADLER


(1)  UL C 288, 31.8.2017, str. 107.

(2)  Stališče Evropskega parlamenta z dne 13. septembra 2018 (še ni objavljeno v Uradnem listu) in odločitev Sveta z dne 11. oktobra 2018.

(3)  Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12.1.2001, str. 1).

(4)  Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).

(5)  Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4.5.2016, str. 89).

(6)  Direktiva Sveta 93/13/EGS z dne 5. aprila 1993 o nedovoljenih pogojih v potrošniških pogodbah (UL L 95, 21.4.1993, str. 29).

(7)  Uredba (ES) št. 1338/2008 Evropskega parlamenta in Sveta z dne 16. decembra 2008 o statističnih podatkih Skupnosti v zvezi z javnim zdravjem ter zdravjem in varnostjo pri delu (UL L 354, 31.12.2008, str. 70).

(8)  Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).

(9)  Uredba Evropskega parlamenta in Sveta (ES) št. 1049/2001 z dne 30. maja 2001 o dostopu javnosti do dokumentov Evropskega parlamenta, Sveta in Komisije (UL L 145, 31.5.2001, str. 43).

(10)  UL L 56, 4.3.1968, str. 1.

(11)  Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).

(12)  Uredba (ES) št. 223/2009 Evropskega parlamenta in Sveta z dne 11. marca 2009 o evropski statistiki ter razveljavitvi Uredbe (ES, Euratom) št. 1101/2008 Evropskega parlamenta in Sveta o prenosu zaupnih podatkov na Statistični urad Evropskih skupnosti, Uredbe Sveta (ES) št. 322/97 o statističnih podatkih Skupnosti in Sklepa Sveta 89/382/EGS, Euratom, o ustanovitvi Odbora za statistične programe Evropskih skupnosti (UL L 87, 31.3.2009, str. 164).

(13)  Sklep št. 1247/2002/ES Evropskega parlamenta, Sveta in Komisije z dne 1. julija 2002 o predpisih in splošnih pogojih za izvajanje funkcije evropskega nadzornika za varstvo podatkov (UL L 183, 12.7.2002, str. 1).

(14)  UL C 164, 24.5.2017, str. 2.

(15)  Uredba (EU) 2016/794 Evropskega parlamenta in Sveta z dne 11. maja 2016 o Agenciji Evropske unije za sodelovanje na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj (Europol) ter nadomestitvi in razveljavitvi sklepov Sveta 2009/371/PNZ, 2009/934/PNZ, 2009/935/PNZ, 2009/936/PNZ in 2009/968/PNZ (UL L 135, 24.5.2016, str. 53).

(16)  Uredba Sveta (EU) 2017/1939 z dne 12. oktobra 2017 o izvajanju okrepljenega sodelovanja v zvezi z ustanovitvijo Evropskega javnega tožilstva (EJT) (UL L 283, 31.10.2017, str. 1).

(17)  Direktiva (EU) 2015/1535 Evropskega parlamenta in Sveta z dne 9. septembra 2015 o določitvi postopka za zbiranje informacij na področju tehničnih predpisov in pravil za storitve informacijske družbe (UL L 241, 17.9.2015, str. 1).

(18)  Direktiva Komisije 2008/63/ES z dne 20. junija 2008 o konkurenci na trgih za telekomunikacijsko terminalsko opremo (UL L 162, 21.6.2008, str. 20).

(19)  Sklep Sveta 2009/917/PNZ z dne 30. novembra 2009 o uporabi informacijske tehnologije za carinske namene (UL L 323, 10.12.2009, str. 20).

(20)  Sklep 2014/886/EU Evropskega parlamenta in Sveta z dne 4. decembra 2014 o imenovanju evropskega nadzornika za varstvo podatkov in pomočnika nadzornika (UL L 351, 9.12.2014, str. 9).


21.11.2018   

SL

Uradni list Evropske unije

L 295/99


UREDBA (EU) 2018/1726 EVROPSKEGA PARLAMENTA IN SVETA

z dne 14. novembra 2018

o Agenciji Evropske unije za operativno upravljanje obsežnih informacijskih sistemov s področja svobode, varnosti in pravice (eu-LISA), o spremembi Uredbe (ES) št. 1987/2006 in Sklepa Sveta 2007/533/PNZ ter o razveljavitvi Uredbe (EU) št. 1077/2011

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti člena 74, člena 77(2)(a) in (b), člena 78(2)(e), člena 79(2)(c), člena 82(1)(d), člena 85(1), člena 87(2)(a) ter člena 88(2) Pogodbe,

ob upoštevanju predloga Evropske komisije,

po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,

v skladu z rednim zakonodajnim postopkom (1),

ob upoštevanju naslednjega:

(1)

Schengenski informacijski sistem (SIS II) je bil vzpostavljen z Uredbo (ES) št. 1987/2006 Evropskega parlamenta in Sveta (2) in s Sklepom Sveta 2007/533/PNZ (3). Uredba (ES) št. 1987/2006 in Sklep 2007/533/PNZ določata, da je za operativno upravljanje centralnega sistema SIS II (v nadaljnjem besedilu: centralni SIS II) v prehodnem obdobju odgovorna Komisija. Po tem prehodnem obdobju je za operativno upravljanje centralnega SIS II in nekatere vidike komunikacijske infrastrukture odgovoren organ za upravljanje.

(2)

Vizumski informacijski sistem (VIS) je bil vzpostavljen z Odločbo Sveta 2004/512/ES (4). Uredba (ES) št. 767/2008 Evropskega parlamenta in Sveta (5) določa, da je za operativno upravljanje VIS v prehodnem obdobju odgovorna Komisija. Po tem prehodnem obdobju bo za operativno upravljanje centralnega VIS in nacionalnih vmesnikov ter za določene vidike komunikacijske infrastrukture odgovoren organ za upravljanje.

(3)

Sistem Eurodac je bil vzpostavljen z Uredbo Sveta (ES) št. 2725/2000 (6). Potrebna izvedbena pravila so bila določena z Uredbo Sveta (ES) št. 407/2002 (7). Navedena pravna akta sta bila razveljavljena in nadomeščena z Uredbo (EU) št. 603/2013 Evropskega parlamenta in Sveta (8) z učinkom od 20. julija 2015.

(4)

Evropska agencija za operativno upravljanje obsežnih informacijskih sistemov s področja svobode, varnosti in pravice, običajno imenovana kot eu-LISA, je bila vzpostavljena z Uredbo (EU) št. 1077/2011 Evropskega parlamenta in Sveta (9) z namenom zagotoviti operativno upravljanje SIS, VIS in sistema Eurodac ter nekaterih vidikov njihove komunikacijske infrastrukture in potencialno tudi drugih obsežnih informacijskih sistemov s področja svobode, varnosti in pravice, če bi tako določali ločeni pravni akti Unije. Uredba (EU) št. 1077/2011 je bila spremenjena z Uredbo (EU) št. 603/2013, da bi odražala spremembe sistema Eurodac.

(5)

Ker je moral biti organ za upravljanje pravno, upravno in finančno avtonomen, je bil ustanovljen kot regulativna agencija (v nadaljnjem besedilu: Agencija) s pravno osebnostjo. Kot je bilo dogovorjeno, je bil za sedež Agencije določen Talin, Estonija. Ker pa so se naloge, povezane s tehničnim razvojem in pripravami na operativno upravljanje SIS II in VIS, že opravljale v Strasbourgu, Francija, in ker je bil podporni center za te sisteme vzpostavljen v Sankt Johannu im Pongau, Avstrija, kar je tudi v skladu z lokacijama SIS II in VIS, vzpostavljenima z ustreznimi pravnimi akti Unije, bi to moralo ostati nespremenjeno. Ti dve lokaciji bi morali še naprej biti lokaciji, kjer se izvajajo naloge, povezane z operativnim upravljanjem sistema Eurodac, oziroma se tam nahaja podporni center za sistem Eurodac. Na teh lokacijah bi bilo treba tudi slediti tehničnemu razvoju in operativnemu upravljanju drugih obsežnih informacijskih sistemov s področja svobode, varnosti in pravice ter bi morali gostiti podporni center, ki lahko zagotovi delovanje obsežnega informacijskega sistema v primeru odpovedi navedenega obsežnega informacijskega sistema. Za čim boljši izkoristek morebitne uporabe podpornega centra bi se ta center lahko uporabljal tudi za hkratno upravljanje sistemov, če je pri tem zmožen zagotavljati njihovo delovanje v primeru odpovedi enega ali več sistemov. Zaradi posebne narave sistemov, ki je povezana z visoko varnostjo, dobro dosegljivostjo in ključnim pomenom za izvedbo naloge, bi moral imeti v primeru, da pride do nezadostne zmogljivosti obstoječih tehničnih lokacij, upravni odbor Agencije (v nadaljnjem besedilu: upravni odbor) možnost, kadar je to utemeljeno na podlagi neodvisne ocene učinka in analize stroškov in koristi, da predlaga vzpostavitev druge ločene tehnične lokacije v Strasbourgu ali v Sankt Johannu im Pongau ali po potrebi v obeh krajih za gostovanje sistemov. Upravni odbor bi se moral posvetovati s Komisijo in upoštevati njena stališča, preden obvesti Evropski parlament in Svet (v nadaljnjem besedilu: proračunski organ) o nameravani izvedbi kakršnega koli projekta v zvezi s premoženjem.

(6)

Agencija je od 1. decembra 2012, ko je začela izvajati svoje pristojnosti, prevzela naloge, ki so bile zaupane organu za upravljanje v zvezi z VIS v skladu z Uredbo (ES) št. 767/2008 in Sklepom Sveta 2008/633/PNZ (10). Aprila 2013 je prevzela tudi naloge, ki so bile zaupane organu za upravljanje v zvezi s SIS II v skladu z Uredbo (ES) št. 1987/2006 in Sklepom 2007/533/PNZ po začetku delovanja SIS II, junija 2013 pa je prevzela tudi naloge, ki so bile zaupane Komisiji v zvezi s sistemom Eurodac v skladu z uredbama (ES) št. 2725/2000 in (ES) št. 407/2002.

(7)

V prvi oceni dela Agencije, ki je temeljila na neodvisni zunanji oceni in je bila izvedena v obdobju 2015–2016, je bilo ugotovljeno, da Agencija učinkovito zagotavlja operativno upravljanje obsežnih informacijskih sistemov in drugih nalog, ki so ji poverjene, pokazala pa je tudi, da je potrebnih več sprememb Uredbe (EU) št. 1077/2011, kot je prenos nalog komunikacijske infrastrukture, ki jih je ohranila Komisija, na Agencijo. Komisija je na podlagi te zunanje ocene upoštevala politične in pravne spremembe ter dejanski razvoj dogodkov ter zlasti v svojem Poročilu z dne 29. junija 2017 o delovanju Evropske agencije za operativno upravljanje obsežnih informacijskih sistemov s področja svobode, varnosti in pravice (eu-LISA) (v nadaljnjem besedilu: ocenjevalno poročilo) predlagala, da se mandat Agencije razširi na izvajanje nalog, ki izhajajo iz zakonodajnih predlogov, ki jih sprejmeta sozakonodajalca in s katerimi se Agenciji poverijo novi sistemi, ter na izvajanje nalog iz sporočila Komisije z dne 6. aprila 2016 z naslovom: Trdnejši in pametnejši informacijski sistemi za meje in varnost ter nalog iz končnega poročila strokovne skupine na visoki ravni za informacijske sisteme in interoperabilnost z dne 11. maja 2017 in iz sporočila Komisije z dne 16. maja 2017 z naslovom: Sedmo poročilo o napredku pri vzpostavljanju učinkovite in prave varnostne unije, po potrebi pod pogojem sprejetja ustreznih pravnih aktov Unije. Zlasti bi morala biti Agencija zadolžena za razvoj rešitev v zvezi z interoperabilnostjo, določenih v sporočilu z dne 6. aprila 2016, kot zmožnost informacijskih sistemov, da izmenjujejo podatke in omogočajo izmenjavo informacij.

Kadar je to primerno, bi morali kakršni koli ukrepi, ki se izvajajo v zvezi z interoperabilnostjo, temeljiti na Sporočilu Komisije z dne 23. marca 2017 z naslovom: Evropski okvir interoperabilnosti – strategija za izvajanje. Priloga 2 k navedenem sporočilu določa splošne smernice, priporočila in najboljšo prakso za doseganje interoperabilnosti ali vsaj za omogočanje okolja za doseganje boljše interoperabilnosti pri načrtovanju, izvajanju in upravljanju evropskih javnih storitev.

(8)

V ocenjevalnem poročilu je poleg tega ugotovljeno, da bi bilo treba mandat Agencije razširiti, da bi ji bilo omogočeno svetovanje državam članicam v zvezi s povezavo nacionalnih sistemov s centralnimi sistemi obsežnih informacijskih sistemov, ki jih upravlja (v nadaljnjem besedilu: sistemi), ter ad hoc pomoč in podpora državam članicam, kadar je to zahtevano, pa tudi zagotavljanje pomoči in podpore službam Komisije glede tehničnih vprašanj v zvezi z novimi sistemi.

(9)

Agenciji bi bilo treba poveriti pripravo, razvoj in operativno upravljanje sistema vstopa/izstopa (SVI), vzpostavljenega z Uredbo (EU) 2017/2226 Evropskega parlamenta in Sveta (11).

(10)

Agenciji bi bilo treba tudi poveriti operativno upravljanje omrežja DubliNet, ki je ločen kanal za prenos preko varnih elektronskih sredstev, vzpostavljen na podlagi člena 18 Uredbe Komisije (ES) št. 1560/2003 (12), ki bi ga morali pristojni organi držav članic, pristojni za odločanje o azilu, uporabljati za izmenjavo informacij o prosilcih za mednarodno zaščito.

(11)

Agenciji bi bilo treba poveriti pripravo, razvoj in operativno upravljanje evropskega sistema za potovalne informacije in odobritve (ETIAS), vzpostavljenega z Uredbo (EU) 2018/1240 Evropskega parlamenta in Sveta (13).

(12)

Glavna naloga Agencije bi moralo biti še naprej operativno upravljanje SIS II, VIS, sistema Eurodac, SVI, omrežja DubliNet, ETIAS in, če bo tako odločeno, drugih obsežnih informacijskih sistemov s področja svobode, varnosti in pravice. Agencija bi morala biti odgovorna tudi za tehnične ukrepe, povezane s poverjenimi nalogami, ki niso normativne. Navedene odgovornosti ne bi smele posegati v tiste normativne naloge, za katere je izključno pristojna Komisija oziroma pri katerih Komisiji pomaga odbor v skladu s posameznimi pravnimi akti Unije, ki urejajo sisteme.

(13)

Agencija bi morala imeti možnost, da izvaja tehnične rešitve za doseganje skladnosti z zahtevami glede razpoložljivosti, ki so določene v pravnih aktih Unije, ki urejajo sisteme, ob vsestranskem spoštovanju posebnih določb teh aktov v zvezi s tehnično strukturo posameznih sistemov. Kadar te tehnične rešitve terjajo podvajanje sistema ali podvajanje njegovih sestavnih delov, bi bilo treba izvesti neodvisno oceno učinka ter analizo stroškov in koristi, odločitev pa bi moral sprejeti upravni odbor po posvetovanju s Komisijo. Ta ocena učinka bi morala vključevati tudi pregled potreb glede gostiteljske zmogljivosti obstoječih tehničnih lokacij, povezanih z razvojem teh tehničnih rešitev, in morebitna tveganja v zvezi s sedanjo operativno ureditvijo.

(14)

Ni več upravičeno, da bi Komisija še naprej opravljala nekatere naloge, povezane s komunikacijsko infrastrukturo sistemov, zato bi bilo treba te naloge prenesti na Agencijo, da se izboljša skladnost upravljanja komunikacijske infrastrukture. Vendar bi morala pri sistemih, ki uporabljajo EuroDomain, ki je varovana telekomunikacijska infrastruktura, ki jo zagotavlja omrežje TESTA-ng (vseevropske telematske storitve med upravami-nova generacija), in ki je osnovana kot del programa ISA, vzpostavljenega s Sklepom št. 922/2009/ES Evropskega parlamenta in Sveta (14), ter nadaljevana kot del programa ISA2, vzpostavljenega s Sklepom (EU) 2015/2240 Evropskega parlamenta in Sveta (15), Komisija obdržati naloge v zvezi z izvrševanjem proračuna, nabavami in posodabljanji ter naloge glede pogodbenih vprašanj.

(15)

Agencija bi morala imeti možnost, da naloge v zvezi z dostavo, vzpostavitvijo, vzdrževanjem in spremljanjem komunikacijske infrastrukture prenese na zunanje zasebne subjekte ali organe v skladu z Uredbo (EU, Euratom) 2018/1046 Evropskega parlamenta in Sveta (16). Agencija bi morala imeti na voljo zadostne finančne in človeške vire, da bi čim bolj omejila prenos svojih nalog na zunanje zasebne subjekte ali organe.

(16)

Agencija bi morala še naprej opravljati naloge, povezane z usposabljanjem o tehnični uporabi SIS II, VIS in sistema Eurodac in drugih sistemov, ki ji bodo poverjeni v prihodnje.

(17)

Da bi prispevali k oblikovanju politike Unije na področju migracij in varnosti, ki temelji na dokazih, ter nadzoru nad pravilnim delovanjem sistemov, bi morala Agencija zbrati in objaviti statistične podatke in pripraviti statistična poročila ter jih dati na voljo zadevnim udeležencem v skladu s pravnimi akti Unije, ki urejajo te sisteme, na primer za spremljanje izvajanja Uredbe Sveta (EU) št. 1053/2013 (17) ter za namene izvajanja analize tveganja in ocene ranljivosti v skladu z Uredbo (EU) 2016/1624 Evropskega parlamenta in Sveta (18).

(18)

Na podlagi členov 67 do 89 Pogodbe o delovanju Evropske unije (PDEU) bi moralo biti mogoče, da se Agenciji poveri odgovornost za pripravo, razvoj in operativno upravljanje drugih obsežnih informacijskih sistemov. Možni primeri takšnih sistemov bi bili lahko centraliziran sistem za določitev držav članic, ki imajo informacije o obsodbah državljanov tretjih držav in oseb brez državljanstva, za dopolnitev in podporo evropskega informacijskega sistema kazenskih evidenc (v nadaljnjem besedilu: sistem ECRIS-TCN) ali računalniški sistem za čezmejno komunikacijo v civilnih in kazenskih postopkih(e-CODEX). Vendar bi se morali Agenciji poveriti te sistemi le na podlagi naknadnih in ločenih pravnih aktov Unije ter po opravljeni oceni učinka.

(19)

Mandat Agencije v zvezi z raziskavami bi bilo treba razširiti, da bi se povečale njene zmožnosti za bolj proaktivno predlaganje ustreznih in potrebnih tehničnih sprememb sistemov. Agencija bi morala imeti možnost ne le spremljati raziskovalne dejavnosti, pomembne za operativno upravljanje sistemov, temveč tudi prispevati k izvajanju relevantnih delov okvirnega programa Evropske unije za raziskave in inovacije, kadar Komisija na Agencijo prenese ustrezna pooblastila. Agencija bi morala vsaj enkrat letno zagotoviti informacije o takem spremljanju Evropskemu parlamentu in Svetu ter, kadar gre za obdelavo osebnih podatkov, Evropskemu nadzorniku za varstvo podatkov.

(20)

Komisija bi morala imeti možnost, da v skladu z Uredbo (EU, Euratom) 2018/1046 Agenciji poveri odgovornost za izvajanje eksperimentalnih pilotnih projektov, namenjenih preskušanju izvedljivosti posameznih ukrepov in njihove uporabnosti, ki bi se lahko izvajali brez osnovnega akta. Poleg tega bi Komisija morala imeti možnost, da Agenciji poveri naloge v zvezi z izvrševanjem proračuna za potrditve koncepta, ki se financirajo v okviru instrumenta za finančno podporo na področju zunanjih meja in vizumov, vzpostavljenega z Uredbo (EU) št. 515/2014 Evropskega parlamenta in Sveta (19) v skladu z Uredbo (EU, Euratom) 2018/1046, potem ko obvesti Evropski parlament. Agencija bi morala tudi imeti možnost, da načrtuje in izvaja dejavnosti preskušanja v zvezi z zadevami izključno iz te uredbe in pravnih aktov Unije, ki urejajo razvoj, vzpostavitev, delovanje in uporabo sistemov, kot je testiranje konceptov virtualizacije. Agencija bi morala pri izvajanju pilotnih projektov posebno pozornost nameniti strategiji Evropske unije za upravljanje informacij.

(21)

Agencija bi morala državam članicam na njihovo zahtevo svetovati v zvezi s povezavami nacionalnih sistemov s centralnimi sistemi, določenimi v pravnih aktih Unije, ki urejajo sisteme.

(22)

Prav tako bi morala Agencija državam članicam na njihovo zahtevo in v skladu s postopkom, določenim v tej uredbi, zagotavljati ad hoc pomoč v primerih izrednih izzivov ali potreb na področju varnosti ali migracij. Država članica bi morala zlasti imeti možnost, da zahteva in se opre na operativno in tehnično okrepitev, kadar se ta na določenih območjih svojih zunanjih meja sooča s posebnimi in nesorazmernimi migracijskimi izzivi, za katere je značilen velik dotok migrantov. Te okrepitve bi bilo treba na žariščnih točkah zagotoviti s podpornimi skupinami za upravljanje migracij, sestavljenimi iz strokovnjakov ustreznih agencij Unije. Kadar je v tem okviru potrebna podpora Agencije v zvezi z vprašanji o sistemih bi morala zadevna država članica zahtevo za podporo posredovati Komisiji, ta pa bi morala po oceni o upravičenosti takšne podpore zahtevo za podporo brez odlašanja posredovati Agenciji. Agencija bi o takšni zahtevi morala obvestiti upravni odbor. Komisija bi morala spremljati tudi, ali se Agencija pravočasno odzove na zahtevo za ad hoc podporo. V letnem poročilu Agencije o dejavnostih bi bilo treba podrobno poročati o dejavnostih, ki jih je izvedla Agencija, da je zagotovila ad hoc podporo državam članicam, ter o stroških, ki so pri tem nastali.

(23)

Agencija bi morala službe Komisije, kadar je to zahtevano, podpirati tudi pri tehničnih vprašanjih v zvezi z obstoječimi ali novimi sistemi, zlasti pri pripravi novih predlogov o obsežnih informacijskih sistemih, ki se poverijo Agenciji.

(24)

Skupina držav članic bi morala imeti možnost, da Agenciji poveri razvoj ali upravljanje ali jo pooblasti za gostovanje skupne informacijske komponente, da jim Agencija s tem pomaga izvajati tehnične vidike obveznosti, ki izhajajo iz pravnih aktov Unije v zvezi z decentraliziranimi informacijski sistemi s področja svobode, varnosti in pravice. To ne bi smelo posegati v obveznosti držav članic na podlagi veljavnih pravnih aktov Unije, zlasti v zvezi s strukturo teh sistemov. Za to bi se morala zahtevati predhodna odobritev Komisije in pritrdilna odločitev upravnega odbora, moralo bi biti odraženo v sporazumu o prenosu pooblastil med zadevnimi državami članicami in Agencijo ter v celoti financirano s strani zadevnih držav članic. Agencija bi morala o odobrenem sporazumu o prenosu pooblastil in o morebitnih spremembah tega sporazuma obvestiti Evropski parlament in Svet. Druge države članice bi morale imeti možnost za udeležbo pri skupnih informacijskih rešitvah, če je ta možnost predvidena v sporazumu o prenosu pooblastil in da se v sporazumu opravijo potrebne spremembe. Ta naloga ne bi smela negativno vplivati na operativno upravljanje sistemov s strani Agencije.

(25)

Pooblastitev Agencije za operativno upravljanje obsežnih informacijskih sistemov s področja svobode, varnosti in pravice ne bi smela vplivati na posebna pravila, ki se uporabljajo za te sisteme. Za vsak tak sistem se v celoti uporabljajo zlasti posebna pravila o namenu, pravici dostopa, varnostnih ukrepih in dodatnih zahtevah glede varstva podatkov.

(26)

Države članice in Komisija bi morale biti zastopane v upravnem odboru, da bi lahko učinkovito spremljale delovanje Agencije. Upravnemu odboru bi bilo treba poveriti opravljanje ustreznih nalog, zlasti sprejetje letnega delovnega programa, izvajanje njegovih dejavnosti v zvezi s proračunom Agencije, sprejetje finančnih pravil, ki se uporabljajo za Agencijo ter določitev postopkov za sprejemanje odločitev izvršnega direktorja v zvezi z operativnimi nalogami Agencije. Upravni odbor bi moral te naloge izvajati učinkovito in pregledno. Upravni odbor bi moral po ustreznem izbirnem postopku, ki ga organizira Komisija, in po predstavitvi predlaganih kandidatov pred pristojnim odborom ali odbori Evropskega parlamenta imenovati tudi izvršnega direktorja.

(27)

Ker bo število obsežnih informacijskih sistemov, zaupanih Agenciji, do leta 2020 znatno naraslo in ker se naloge Agencije občutno množijo, se bo do tega leta ustrezno močno povečalo tudi število njenega osebja. Zato bi bilo treba ustvariti delovno mesto namestnika izvršnega direktorja Agencije, saj bodo naloge, povezane z razvojem in operativnim upravljanjem sistemov, terjale okrepljen in namenski nadzor, poleg tega so sedež in tehnične lokacije agencije razpršeni na tri države članice. Namestnika izvršnega direktorja bi moral imenovati upravni odbor.

(28)

Agencija bi se morala voditi in bi morala delovati ob upoštevanju načel skupnega pristopa k decentraliziranim agencijam Unije, ki so ga 19. julija 2012 sprejeli Evropski parlament, Svet in Komisija.

(29)

Kar zadeva SIS II, bi morala imeti Agencija Evropske unije za sodelovanje na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj (Europol) in Urad za evropsko pravosodno sodelovanje (Eurojust) na sejah upravnega odbora status opazovalca, če so na dnevnem redu vprašanja, povezana z uporabo Sklepa 2007/533/PNZ, saj imata v skladu z navedenim sklepom oba pravico do dostopa do podatkov, vnesenih v SIS II, in neposrednega iskanja po njih. Evropska agencija za mejno in obalno stražo, ki ima pravico do dostopa do SIS II in iskanja v njem v skladu z Uredbo (EU) 2016/1624, bi morala imeti status opazovalca na sejah upravnega odbora, če so na dnevnem redu vprašanja, povezana z uporabo navedene uredbe. Europol, Eurojust ter Evropska agencija za mejno in obalno stražo bi morali imeti možnost, da v svetovalno skupino za SIS II, ustanovljeno s to uredbo, imenujejo vsak svojega predstavnika.

(30)

Kar zadeva VIS, bi moral imeti Europol na sejah upravnega odbora status opazovalca, ko so na dnevnem redu vprašanja, povezana z uporabo Sklepa 2008/633/PNZ. Europol bi moral imeti možnost, da v svetovalno skupino za VIS, ustanovljeno na podlagi te uredbe, imenuje svojega predstavnika.

(31)

Kar zadeva sistem Eurodac, bi moral imeti Europol na sejah upravnega odbora status opazovalca, ko so na dnevnem redu vprašanja, povezana z uporabo Uredbe (EU) št. 603/2013. Europolu bi moral imeti možnost, da v svetovalno skupino za sistem Eurodac, ustanovljeno na podlagi te uredbe, imenuje svojega predstavnika.

(32)

Kar zadeva SVI, bi moral imeti Europol na sejah upravnega odbora status opazovalca, ko so na dnevnem redu vprašanja v zvezi z Uredbo (EU) 2017/2226.

(33)

Kar zadeva ETIAS, bi moral imeti Europol na sejah upravnega odbora status opazovalca, ko so na dnevnem redu vprašanja v zvezi z Uredbo (EU) 2018/1240. Tudi Evropska agencija za mejno in obalno stražo bi morala imeti na sejah upravnega odbora status opazovalca, ko so na dnevnem redu vprašanja glede ETIAS v zvezi z uporabo navedene uredbe. Europolu ter Evropski agenciji za mejno in obalno stražo bi bilo treba omogočiti, da v svetovalno skupino za SVI/ETIAS, ustanovljeno na podlagi te uredbe, imenujeta svojega predstavnika.

(34)

Države članice bi morale imeti glasovalne pravice v upravnem odboru glede obsežnih informacijskih sistemov, kadar je po pravu Unije za njih pravno zavezujoč kateri koli pravni akt Unije, ki ureja razvoj, vzpostavitev, delovanje in uporabo navedenega sistema. Danska bi tudi morala imeti glasovalno pravico v zvezi z obsežnim informacijskim sistemom, če se na podlagi člena 4 Protokola št. 22 o stališču Danske, priloženega Pogodbi o Evropski uniji (PEU) in PDEU, odloči, da bo pravni akt Unije, ki ureja razvoj, ustanovitev, delovanje in uporabo točno navedenega sistema, prenesla v svoje nacionalno pravo.

(35)

Države članice bi morale imenovati člana v svetovalno skupino za obsežni informacijski sistem, kadar je po pravu Unije za njih pravno zavezujoč kateri koli pravni akt Unije, ki ureja razvoj, vzpostavitev, delovanje in uporabo takega sistema. Poleg tega bi morala Danska imenovati člana v svetovalno skupino za obsežni informacijski sistem, če se v skladu s členom 4 Protokola št. 22 odloči, da bo pravni akt Unije, ki ureja razvoj, ustanovitev, delovanje in uporabo takega sistema, prenesla v svoje nacionalno pravo. Svetovalne skupine bi morale po potrebi med seboj sodelovati.

(36)

Za zagotovitev popolne samostojnosti in neodvisnosti Agencije ter da se ji omogoči ustrezno izpolnjevanje ciljev in izvajanje nalog, ki jih ji dodeljuje ta uredba, bi bilo treba Agenciji zagotoviti ustrezen in avtonomen proračun s prihodki iz splošnega proračuna Unije. Za financiranje Agencije bi se moral uporabljati dogovor Evropskega parlamenta in Sveta, kot je določeno v točki 31 Medinstitucionalnega sporazuma z dne 2. decembra 2013 med Evropskim parlamentom, Svetom in Komisijo o proračunski disciplini, sodelovanju v proračunskih zadevah in dobrem finančnem poslovodenju (20). Uporabljati bi se morala proračunski postopek Unije in postopek Unije v zvezi z razrešnico. Računsko sodišče bi moralo opraviti revizijo zaključnih računov ter zakonitosti in pravilnosti osnovnih transakcij.

(37)

Agenciji bi bilo treba za opravljanje njenega poslanstva in v obsegu, potrebnem za opravljanje njenih nalog, dovoliti sodelovanje z institucijami, organi, uradi in agencijami Unije, zlasti tistimi, ki so ustanovljeni na področju svobode, varnosti in pravice, v zadevah, ki jih urejajo ta uredba in pravni akt Unije, ki urejajo razvoj, vzpostavitev, delovanje in uporabo sistemov, in sicer v okviru delovnih dogovorov, sklenjenih v skladu s pravom in politiko Unije, ter v okviru ustreznih pristojnosti teh organov. Kadar tako določa pravni akt Unije, bi morala Agencija tudi imeti možnost sodelovati z mednarodnimi organizacijami ter drugimi ustreznimi subjekti in biti zmožna v te namene sklepati delovne dogovore. Te delovne dogovore bi morala predhodno odobriti Komisija, prav tako bi zanje moralo biti potrebno dovoljenje upravnega odbora. Po potrebi bi se morala Agencija glede omrežne in informacijske varnosti posvetovati z Evropsko agencijo za varnost omrežij in informacij (ENISA), ustanovljeno z Uredbo (EU) št. 526/2013 Evropskega parlamenta in Sveta (21).

(38)

Pri zagotavljanju razvoja in operativnega upravljanja sistemov bi morala Agencija spoštovati evropske in mednarodne standarde in upoštevati najstrožje strokovne zahteve, zlasti strategijo Evropske unije za upravljanje informacij.

(39)

Za obdelavo osebnih podatkov, ki jo izvaja Agencija, bi se morala uporabljati Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta (22), brez poseganja v določbe o varstvu podatkov, določene v pravnih aktih Unije, ki urejajo razvoj, vzpostavitev, uporabo in delovanje sistemov, ki bi morale biti skladne z Uredbo(EU) 2018/1725. Za ohranitev varnosti in preprečevanje obdelave, ki bi kršila Uredbo (EU) 2018/1725 in pravne akte Unije, ki urejajo sisteme, bi morala Agencija oceniti tveganje, povezano z obdelavo, ter izvesti ukrepe za zmanjšanje tega tveganja, kot je šifriranje. Ti ukrepi bi morali zagotavljati ustrezno raven varnosti, vključno z zaupnostjo, ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja glede na tveganja in naravo osebnih podatkov, ki jih je treba varovati. Pri oceni tveganja v zvezi z varstvom podatkov bi bilo treba pozornost posvetiti tveganjem, ki jih predstavlja obdelava osebnih podatkov, kot so nenamerno ali nezakonito uničenje, izguba, sprememba, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani, kar lahko zlasti povzroči fizično, premoženjsko ali nepremoženjsko škodo. Evropski nadzornik za varstvo podatkov bi moral imeti možnost od Agencije pridobiti dostop do vseh informacij, ki jih potrebuje za preiskave. V skladu z Uredbo (ES) št. 45/2001 Evropskega parlamenta in Sveta (23) se je Komisija posvetovala z Evropskim nadzornikom za varstvo podatkov, ki je podal svoje mnenje 10. oktobra 2017.

(40)

Za zagotovitev preglednega delovanja Agencije bi se morala zanjo uporabljati Uredba (ES) št. 1049/2001 Evropskega parlamenta in Sveta (24). Agencija bi morala biti glede svojih dejavnosti čim bolj pregledna, pri čemer pa ne bi smela ogroziti doseganja cilja svojega delovanja. Objaviti bi morala ustrezne informacije o vseh svojih dejavnostih. Prav tako bi morala zagotoviti, da lahko javnost in vse druge zainteresirane strani hitro pridobijo informacije o njenem delu.

(41)

Delovanje Agencije bi moral preverjati Evropski varuh človekovih pravic v skladu s členom 228 PDEU.

(42)

Za Agencijo bi se morala uporabljati Uredba (EU, Euratom) št. 883/2013 Evropskega parlamenta in Sveta (25), Agencija pa bi morala pristopiti k Medinstitucionalnemu sporazumu z dne 25. maja 1999 med Evropskim parlamentom, Svetom Evropske unije in Komisijo Evropskih skupnosti o notranjih preiskavah Evropskega urada za boj proti goljufijam (OLAF) (26).

(43)

Za Agencijo bi se morala uporabljati Uredba Sveta (EU) 2017/1939 (27) o ustanovitvi Evropskega javnega tožilstva (EJT).

(44)

Da se zagotovijo odprti in pregledni pogoji zaposlovanja ter enaka obravnava zaposlenih, bi bilo treba za osebje Agencije, vključno z izvršnim direktorjem in namestnikom izvršnega direktorja, uporabljati Kadrovske predpise za uradnike Evropske unije (v nadaljnjem besedilu: kadrovski predpisi za uradnike) in Pogoje za zaposlitev drugih uslužbencev Evropske unije (v nadaljnjem besedilu: pogoji za zaposlitev drugih uslužbencev) iz Uredbe Sveta (EGS, Euratom, ESPJ) št. 259/68 (28) (v nadaljnjem besedilu skupaj: kadrovski predpisi), vključno s pravili glede poklicne skrivnosti ali drugih enakovrednih obvez zaupnosti.

(45)

Ker je Agencija organ, ki ga je Unija ustanovila v smislu Uredbe (EU, Euratom) 2018/1046, bi morala Agencija v skladu s tem sprejeti svoja finančna pravila.

(46)

Za Agencijo bi se morala uporabljati Delegirana uredba Komisije (EU) št. 1271/2013 (29).

(47)

Agencija, kot je ustanovljena s to uredbo, nadomesti in nasledi Evropsko agencijo za operativno upravljanje obsežnih informacijskih sistemov s področja svobode, varnosti in pravice, kot je bila ustanovljena z Uredbo (EU) št. 1077/2011. Zato bi morala biti zakoniti naslednik pri vseh pogodbah, ki jih je sklenila Evropska agencija za operativno upravljanje obsežnih informacijskih sistemov s področja svobode, varnosti in pravice, kot je bila ustanovljena z Uredbo (EU) št. 1077/2011, ter pri vseh njenih obveznostih in pridobljeni lastnini. Ta uredba ne bi smela vplivati na pravno veljavnost sporazumov, delovnih ureditev in memorandumov o soglasju, ki jih je sklenila Agencija, kot je bila ustanovljena z Uredbo (EU) št. 1077/2011, brez poseganja v spremembe le-teh na podlagi te uredbe.

(48)

Da bi Agenciji omogočili, da po svojih najboljših močeh nadalje izpolnjuje naloge Evropske agencije za operativno upravljanje obsežnih informacijskih sistemov na področju svobode, varnosti in pravice, kot je bila ustanovljena z Uredbo (EU) št. 1077/2011, bi bilo treba določiti prehodne ukrepe, zlasti v zvezi z upravnim odborom, svetovalnimi skupinami, izvršnim direktorjem in notranjimi pravili, ki jih sprejme upravni odbor.

(49)

Namen te uredbe je spremeniti in razširiti določbe Uredbe (EU) št. 1077/2011. Zadevne spremembe iz te uredbe so številčno in vsebinsko obsežne, zato bi bilo treba zaradi jasnosti Uredbo (EU) št. 1077/2011 v razmerju do držav članic, za katere je ta uredba zavezujoča, v celoti nadomestiti. Agencija, kot je ustanovljena s to uredbo, bi morala nadomestiti in prevzeti funkcije Agencije, kot je bila ustanovljena z Uredbo (EU) št. 1077/2011, ki bi jo bilo treba zato razveljaviti.

(50)

Ker ciljev te uredbe, in sicer ustanovitve Agencije na ravni Unije, pristojne za operativno upravljanje in po potrebi razvoj obsežnih IT sistemov s področja svobode, varnosti in pravice, države članice ne morejo zadovoljivo doseči, temveč se zaradi obsega in učinka ukrepa lažje dosežejo na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 PEU. V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenih ciljev.

(51)

V skladu s členoma 1 in 2 Protokola št. 22 Danska ne sodeluje pri sprejetju te uredbe, ki zato zanjo ni zavezujoča in se v njej ne uporablja. Ker ta uredba, kolikor zadeva SIS II in VIS, SVI ter ETIAS, nadgrajuje schengenski pravni red, se Danska v skladu s členom 4 navedenega protokola v roku šestih mesecev od dne, ko Svet sprejme to uredbo, odloči, ali jo bo prenesla v svoje nacionalno pravo. Danska v skladu s členom 3 Sporazuma med Evropsko skupnostjo in Kraljevino Dansko o merilih in mehanizmih za določitev države, odgovorne za obravnavanje prošnje za azil, vložene na Danskem ali v kateri koli drugi državi članici Evropske unije in o „Eurodacu“ za primerjavo prstnih odtisov zaradi učinkovite uporabe Dublinske konvencije (30) obvesti Komisijo, ali bo v svoje notranje pravo prenesla določbe te uredbe, ki se nanašajo na sistema Eurodac in omrežja DubliNet.

(52)

Združeno kraljestvo sodeluje pri tej uredbi v skladu s členom 5(1) Protokola št. 19 o schengenskem pravnem redu, vključenem v okvir Evropske unije, ki je priložen PEU in PDEU, in členom 8(2) Sklepa Sveta 2000/365/ES (31), kolikor se njene določbe nanašajo na SIS II, kot ga ureja Sklep 2007/533/PNZ. Ta uredba, kolikor se njene določbe nanašajo na SIS II, kot ga ureja Uredba (ES) št. 1987/2006, in VIS, SVI ter ETIAS, pomeni nadgradnjo določb schengenskega pravnega reda, pri katerih Združeno kraljestvo v skladu s Sklepom 2000/365/ES ne sodeluje; Združeno kraljestvo je v skladu s členom 4 Protokola št. 19 z dopisom predsedniku Sveta z dne 19. julija 2018 zaprosilo za sodelovanje pri izvajanju te uredbe. Na podlagi člena 1 Sklepa Sveta (EU) 2018/1600 (32) se je Združenemu kraljestvu odobrilo sodelovanje pri izvajanju te uredbe. Poleg tega je Združeno kraljestvo, kolikor se določbe uredbe nanašajo na sistem Eurodac in omrežje DubliNet, v skladu s členom 3 Protokola št. 21 o stališču Združenega kraljestva in Irske glede območja svobode, varnosti in pravice, ki je priložen PEU in PDEU, z dopisom z dne 23. oktobra 2017 predsedniku Sveta uradno obvestilo o svoji nameri, da želi sodelovati pri sprejetju in uporabi te uredbe. Združeno kraljestvo zato sodeluje pri sprejetju te uredbe, ki je zanj zavezujoča in se v njem uporablja.

(53)

V kolikor se določbe te uredbe nanašajo na SIS II, kot ga ureja Sklep 2007/533/PNZ, bi Irska lahko sodelovala pri tej uredbi v skladu s členom 5(1) Protokola št. 19, in členom 6(2) Sklepa Sveta 2002/192/ES (33), Ta uredba, kolikor se njene določbe nanašajo na SIS II, kot ga ureja Uredba (ES) št. 1987/2006, in na VIS, SVI ter ETIAS, predstavlja razvoj določb schengenskega pravnega reda, pri katerih Irska v skladu s Sklepom 2002/192/ES ne sodeluje; Irska ni zaprosila za sodelovanje pri sprejetju te uredbe v skladu s členom 4 Protokola št. 19. Irska torej ne sodeluje pri sprejetju te uredbe, ki zato zanjo ni zavezujoča in se v njej ne uporablja, kolikor njeni ukrepi razvijajo določbe schengenskega pravnega reda, ker se nanašajo na SIS II, kot ga ureja Uredba (ES) št. 1987/2006, ter na VIS, SVI in ETIAS. Poleg tega, kolikor se določbe te uredbe nanašajo na sistem Eurodac in omrežje DubliNet, v skladu s členoma 1 in 2 ter členom 4a(1) Protokola št. 21, Irska ne sodeluje pri sprejetju te uredbe, ki zato zanjo ni zavezujoča in se v njej ne uporablja. Ker v danih okoliščinah ni mogoče zagotoviti, da se ta uredba v celoti uporablja za Irsko, kot je določeno v členu 288 PDEU, Irska, brez poseganja v njene pravice na podlagi protokolov št. 19 in št. 21, ne sodeluje pri sprejetju te uredbe, ki zato zanjo ni zavezujoča in se v njej ne uporablja.

(54)

Ta uredba, kolikor se nanaša na SIS II in VIS, SVI ter ETIAS, za Islandijo in Norveško predstavlja razvoj določb schengenskega pravnega reda v smislu Sporazuma med Svetom Evropske unije in Republiko Islandijo ter Kraljevino Norveško o pridružitvi obeh k izvajanju, uporabi in razvoju schengenskega pravnega reda (34), ki spadajo na področje iz točk A, B in G člena 1 Sklepa Sveta 1999/437/ES (35). Kar zadeva sistem Eurodac in omrežje DubliNet, predstavlja ta uredba nov ukrep v smislu Sporazuma med Evropsko skupnostjo in Republiko Islandijo ter Kraljevino Norveško o kriterijih in mehanizmih za določitev države, odgovorne za obravnavo prošnje za azil, vložene v državi članici, na Islandiji ali na Norveškem (36). Zato bi morali delegaciji Republike Islandije in Kraljevine Norveške, če se bosta ti državi odločili to uredbo prenesti v svoj notranji pravni red, sodelovati v upravnem odboru Agencije. Da bi se določila nadaljnja podrobna pravila, ki omogočajo sodelovanje Republike Islandije in Kraljevine Norveške pri dejavnostih Agencije, bi bilo treba skleniti poseben dogovor med Unijo in tema državama.

(55)

Ta uredba, kolikor se nanaša na SIS II in VIS, SVI ter ETIAS, za Švico predstavlja razvoj določb schengenskega pravnega reda v smislu Sporazuma med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda (37), ki spadajo na področje iz točk A, B in G člena 1 Sklepa 1999/437/ES v povezavi s členom 3 Sklepa Sveta 2008/146/ES (38). Kar zadeva sistem Eurodac in omrežje DubliNet, predstavlja ta uredba nov ukrep v zvezi s sistemom Eurodac v smislu Sporazuma med Evropsko skupnostjo in Švicarsko konfederacijo o merilih in mehanizmih za določitev države, odgovorne za obravnavo prošnje za azil, vložene v državi članici ali v Švici (39). Zato bi morala delegacija Švicarske konfederacije, če se bo ta država odločila prenesti to uredbo v svoj notranji pravni red, sodelovati v upravnem odboru Agencije. Da bi se določila nadaljnja podrobna pravila, ki omogočajo sodelovanje Švicarske konfederacije pri dejavnostih Agencije, bi bilo treba skleniti poseben dogovor med Unijo in Švicarsko konfederacijo.

(56)

Ta uredba, kolikor se nanaša na SIS II in VIS, SVI ter ETIAS, za Lihtenštajn predstavlja razvoj določb schengenskega pravnega reda v smislu Protokola med Evropsko unijo, Evropsko skupnostjo, Švicarsko konfederacijo in Kneževino Lihtenštajn o pristopu Kneževine Lihtenštajn k Sporazumu med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda (40), ki spadajo na področje iz točk A, B in G člena 1 Sklepa 1999/437/ES v povezavi s členom 3 Sklepa Sveta 2011/350/EU (41).

Kar zadeva sistem Eurodac in omrežje DubliNet, predstavlja ta uredba nov ukrep v smislu Protokola med Evropsko skupnostjo, Švicarsko konfederacijo in Kneževino Lihtenštajn o pristopu Kneževine Lihtenštajn k Sporazumu med Evropsko skupnostjo in Švicarsko konfederacijo o merilih in mehanizmih za določitev države, odgovorne za obravnavo prošnje za azil, vložene v državi članici ali v Švici (42). Zato bi morala delegacija Kneževine Lihtenštajn, če se bo ta država odločila prenesti to uredbo v svoj notranji pravni red, sodelovati v upravnem odboru Agencije. Da bi se določila nadaljnja podrobna pravila, ki omogočajo sodelovanje Kneževine Lihtenštajn pri dejavnostih Agencije, bi bilo treba skleniti poseben dogovor med Unijo in Kneževino Lihtenštajn –

SPREJELA NASLEDNJO UREDBO:

POGLAVJE I

PREDMET UREJANJA IN CILJI

Člen 1

Predmet urejanja

1.   Ustanovi se Agencija Evropske unije za operativno upravljanje obsežnih informacijskih sistemov s področja svobode, varnosti in pravice (v nadaljnjem besedilu: Agencija).

2.   Agencija, kot je ustanovljena s to uredbo, nadomesti in nasledi Evropsko agencijo za operativno upravljanje obsežnih informacijskih sistemov s področja svobode, varnosti in pravice, kot je bila ustanovljena z Uredbo (EU) št. 1077/2011.

3.   Agencija je odgovorna za operativno upravljanje schengenskega informacijskega sistema (SIS II), vizumskega informacijskega sistema (VIS) in sistema Eurodac.

4.   Agencija je odgovorna za pripravo, razvoj oziroma operativno upravljanje sistema vstopa/izstopa (SVI), omrežja DubliNet in evropskega sistema za potovalne informacije in odobritve (ETIAS).

5.   Agencija je lahko na podlagi ustreznih pravnih aktov Unije, ki urejajo te sisteme in ki temeljijo na členih 67 do 89 PDEU, odgovorna za pripravo, razvoj ali operativno upravljanje obsežnih informacijskih sistemov s področja svobode, varnosti in pravice, razen tistih iz odstavkov 3 in 4 tega člena, vključno z obstoječimi sistemi, ob upoštevanju, če je primerno, razvoja raziskav iz člena 14 te uredbe ter rezultatov pilotnih projektov in potrditev koncepta iz člena 15 te uredbe.

6.   Operativno upravljanje obsega vse naloge, potrebne za delovanje obsežnih informacijskih sistemov v skladu s posebnimi določbami, ki se za take posamezne sisteme uporabljajo, vključno z odgovornostjo za komunikacijsko infrastrukturo, ki jo uporabljajo. Ti obsežni informacijski sistemi si ne izmenjujejo podatkov in ne omogočajo izmenjave informacij ali znanja, če to ni določeno v posebnem pravnem aktu Unije.

7.   Agencija je odgovorna tudi za naslednje naloge:

(a)

zagotavljanje kakovosti podatkov v skladu s členom 12;

(b)

razvoj potrebnih ukrepov, da se omogoči interoperabilnost v skladu s členom 13;

(c)

izvajanje raziskovalnih dejavnosti v skladu s členom 14;

(d)

izvajanje pilotnih projektov, potrditev koncepta in dejavnosti preskušanja v skladu s členom 15 ter

(e)

zagotavljanje podpore državam članicam in Komisiji v skladu s členom 16.

Člen 2

Cilji

Brez poseganja v zadevne pristojnosti Komisije in držav članic na podlagi pravnih aktov Unije, ki urejajo obsežne informacijske sisteme, Agencija zagotavlja:

(a)

razvoj obsežnih informacijskih sistemov z uporabo ustrezne strukture za upravljanje projekta za učinkovit razvoj teh sistemov;

(b)

učinkovito, varno in neprekinjeno delovanje obsežnih informacijskih sistemov;

(c)

učinkovito in finančno pregledno upravljanje obsežnih informacijskih sistemov;

(d)

ustrezno visoko kakovost storitev za uporabnike obsežnih informacijskih sistemov;

(e)

kontinuiteto in neprekinjene storitve;

(f)

visoko raven varstva podatkov v skladu s pravom Unije o varstvu podatkov, vključno s specifičnimi določbami za posamezne obsežne informacijske sisteme;

(g)

ustrezno raven varstva podatkov in fizične varnosti v skladu z veljavnimi pravili, vključno s specifičnimi določbami za posamezne obsežne informacijske sisteme.

POGLAVJE II

NALOGE AGENCIJE

Člen 3

Naloge v zvezi s SIS II

V zvezi s SIS II Agencija opravlja:

(a)

naloge, podeljene organu za upravljanje z Uredbo (ES) št. 1987/2006 in Sklepom 2007/533/PNZ; in

(b)

naloge, povezane z usposabljanjem o tehnični uporabi SIS II, zlasti za osebje SIRENE (SIRENE – zahteva za dopolnilne podatke pri vnosih držav članic), in usposabljanjem strokovnjakov o tehničnih vidikih SIS II v okviru schengenske evalvacije.

Člen 4

Naloge v zvezi z VIS

V zvezi z VIS Agencija opravlja:

(a)

naloge, podeljene organu za upravljanje z Uredbo (ES) št. 767/2008 in Sklepom 2008/633/PNZ; in

(b)

naloge, povezane z usposabljanjem o tehnični uporabi VIS in usposabljanjem strokovnjakov o tehničnih vidikih VIS v okviru schengenske evalvacije.

Člen 5

Naloge v zvezi s sistemom Eurodac

V zvezi s sistemom Eurodac Agencija opravlja:

(a)

naloge, ki so ji podeljene z Uredbo (EU) št. 603/2013; in

(b)

naloge, povezane z usposabljanjem o tehnični uporabi sistema Eurodac.

Člen 6

Naloge v zvezi s SVI

V zvezi s SVI Agencija opravlja:

(a)

naloge, ki so ji podeljene z Uredbo (EU) 2017/2226; in

(b)

naloge, povezane z usposabljanjem o tehnični uporabi SVI in usposabljanjem strokovnjakov o tehničnih vidikih SVI v okviru schengenske evalvacije.

Člen 7

Naloge v zvezi z ETIAS

V zvezi z ETIAS Agencija opravlja:

(a)

naloge, ki so ji podeljene z Uredbo (EU) 2018/1240, ter

(b)

naloge, povezane z usposabljanjem o tehnični uporabi ETIAS in usposabljanjem strokovnjakov o tehničnih vidikih ETIAS v okviru schengenske evalvacije.

Člen 8

Naloge v zvezi z omrežjem DubliNet

V zvezi z omrežjem DubliNet Agencija opravlja:

(a)

operativno upravljanje omrežja DubliNet, ločenega kanala za prenos prek varnih elektronskih sredstev med organi držav članic, vzpostavljenega v skladu s členom 18 Uredbe (ES) št. 1560/2003 za namene členov 31, 32 in 34 Uredbe (EU) št. 604/2013 Evropskega parlamenta in Sveta (43); in

(b)

naloge, povezane z usposabljanjem o tehnični uporabi omrežja DubliNet.

Člen 9

Naloge v zvezi s pripravo, razvojem in operativnim upravljanjem drugih obsežnih informacijskih sistemov

Kadar je Agenciji poverjena priprava, razvoj ali operativno upravljanje drugih obsežnih informacijskih sistemov iz člena 1(5), opravlja naloge, ki so ji podeljene na podlagi pravnega akta Unije, ki ureja zadevni sistem, ter naloge, povezane z usposabljanjem o tehnični uporabi teh sistemov, kot je ustrezno.

Člen 10

Tehnične rešitve, ki pred izvajanje zahtevajo posebne pogoje

Kadar mora Agencija v skladu s pravnimi akti Unije, ki urejajo sisteme, zagotavljati delovanje teh sistemov 24 ur na dan, 7 dni v tednu in brez poseganja v te pravne akte Unije, za izpolnitev teh zahtev izvede tehnične rešitve. Kadar te tehnične rešitve zahtevajo podvajanje sistema ali njegovih sestavnih delov, se izvedejo šele, kadar je bila opravljena neodvisna ocena učinka in analiza stroškov in koristi, ki jo naroči Agencija, ter po posvetovanju s Komisijo in po pritrdilni odločitvi upravnega odbora. V oceni učinka se preučijo tudi sedanje in prihodnje potrebe glede gostiteljske zmogljivosti obstoječih tehničnih lokacij, povezanih z razvojem tovrstnih tehničnih rešitev, in morebitna tveganja, povezana z aktualno operativno ureditvijo.

Člen 11

Naloge, povezane s komunikacijsko infrastrukturo

1.   Agencija opravlja vse naloge v zvezi s komunikacijsko infrastrukturo sistemov, ki so ji podeljene s pravnimi akti Unije, ki urejajo sisteme, z izjemo tistih sistemov, ki za svojo komunikacijsko infrastrukturo uporabljajo EuroDomain. V primeru teh sistemov, ki na ta način uporabljajo EuroDomain, je za naloge izvrševanja proračuna, nabave in posodabljanja ter za naloge glede pogodbenih vprašanj odgovorna Komisija. V skladu s pravnimi akti Unije, ki urejajo sisteme, ki uporabljajo EuroDomain, se naloge v zvezi s komunikacijsko infrastrukturo, vključno z operativnim upravljanjem in varnostjo, razdelijo med Agencijo in Komisijo. Da bi Komisija in Agencija zagotovili skladnost med izvajanjem svojih zadevnih odgovornosti, medsebojno skleneta operativne delovne dogovore, ki se vključijo v memorandum o soglasju.

2.   Komunikacijska infrastruktura se upravlja in nadzoruje tako, da se ščiti od groženj ter da se zagotavljata njena varnost in varnost sistemov, vključno z varnostjo podatkov, ki se izmenjujejo prek komunikacijske infrastrukture.

3.   Agencija sprejme ustrezne ukrepe, vključno z varnostnimi načrti, med drugim za preprečevanje nepooblaščenega branja, kopiranja, spreminjanja ali izbrisa osebnih podatkov med njihovim prenosom ali med prenosom nosilcev podatkov, zlasti z ustreznimi tehnikami šifriranja. Vse operativne informacije v zvezi s sistemom, ki se razpošiljajo prek komunikacijske infrastrukture, se šifrirajo.

4.   Naloge v zvezi z dostavo, vzpostavitvijo, vzdrževanjem in spremljanjem komunikacijske infrastrukture se lahko prenesejo na zunanje zasebne subjekte ali organe v skladu z Uredbo (EU, Euratom) 2018/1046. Te naloge se izvajajo v pristojnosti Agencije in pod njenim skrbnim nadzorom.

Vsi zunanji zasebni subjekti ali organi, vključno s ponudniki omrežja, so pri opravljanju nalog iz prvega pododstavka zavezani varnostnim ukrepom iz odstavka 3 in na noben način nimajo dostopa do katerih koli operativnih podatkov, shranjenih v sistemih, ali prenesenih prek komunikacijske infrastrukture, ali do izmenjave podatkov SIRENE, povezane s SIS II.

5.   Upravljanje ključev za šifriranje je še naprej v pristojnosti Agencije in se ne sme prenesti na noben zunanji zasebni subjekt. To ne posega v obstoječe pogodbe za komunikacijsko infrastrukturo za SIS II, VIS in sistem Eurodac.

Člen 12

Kakovost podatkov

Brez poseganja v odgovornosti držav članic glede podatkov, vnesenih v sisteme, si Agencija v tesnem sodelovanju s svojimi svetovalnimi skupinami skupaj s Komisijo prizadeva, da bi za vse te sisteme vzpostavila avtomatizirane mehanizme za nadzor kakovosti podatkov in skupne kazalnike kakovosti podatkov ter razvila centralni register, ki bi vseboval le anonimizirane podatke, za poročanje in statistične podatke, pod pogojem, da se sprejmejo posebne določbe v pravnih aktih Unije, ki urejajo razvoj, vzpostavljanje, delovanje in uporabo sistemov.

Člen 13

Interoperabilnost

Kadar je interoperabilnost obsežnih informacijskih sistemov določena v ustreznem pravnem aktu Unije, Agencija razvije potrebne ukrepe, da se omogoči ta interoperabilnost.

Člen 14

Spremljanje raziskav

1.   Agencija spremlja razvoj raziskav, pomembnih za operativno upravljanje SIS II, VIS, sistema Eurodac, SVI, ETIAS, omrežja DubliNet in drugih obsežnih informacijskih sistemov iz člena 1(5).

2.   Agencija lahko prispeva k izvajanju delov okvirnega programa Evropske unije za raziskave in inovacije, ki se nanašajo na obsežne informacijske sisteme s področja svobode, varnosti in pravice. Za ta namen in kadar je Komisija nanjo prenesla ustrezna pooblastila, ima Agencija naslednje naloge:

(a)

upravljanje nekaterih faz izvajanja programov in nekaterih faz posameznih projektov na podlagi ustreznih delovnih programov, ki jih je sprejela Komisija;

(b)

sprejemanje instrumentov za izvrševanje proračuna in za prihodke in odhodke ter izvajanje vseh potrebnih operacij za upravljanje programa; in

(c)

zagotavljanje podpore pri izvajanju programov.

3.   Agencija o razvoju dogodkov iz tega člena redno in vsaj enkrat letno obvešča Evropski parlament, Svet in Komisijo, kadar gre za obdelavo osebnih podatkov, pa tudi Evropskega nadzornika za varstvo podatkov, brez poseganja v zahteve za poročanje v zvezi z izvajanjem delov okvirnega programa Evropske unije za raziskave in inovacije iz odstavka 2.

Člen 15

Pilotni projekti, potrditve koncepta in dejavnosti preskušanja

1.   Agenciji se lahko na izrecno in natančno zahtevo Komisije, ki je o tem obvestila Evropski parlament in Svet vsaj tri mesece, preden je podala to zahtevo, in potem, ko je pritrdilno odločitev o tem sprejel upravni odbor, v skladu s točko (u) člena 19(1) te uredbe ter s sporazumom o prenosu pooblastil poveri izvajanje pilotnih projektov iz točke (a) člena 58(2) Uredbe (EU, Euratom) 2018/1046 za razvoj ali operativno upravljanje obsežnih informacijskih sistemov na podlagi členov 67 do 89 PDEU, in sicer v skladu s točko (c) člena 62(1) Uredbe (EU, Euratom) 2018/1046.

Agencija o poteku pilotnih projektov, ki jih izvaja na podlagi prvega pododstavka, redno obvešča Evropski parlament in Svet ter, kadar gre za obdelavo osebnih podatkov, tudi Evropskega nadzornika za varstvo podatkov.

2.   Odobritve finančnih sredstev za pilotne projekte iz točke (a) člena 58(2) Uredbe (EU, Euratom) 2018/1046, ki jih je zahtevala Komisija na podlagi odstavka 1, se vključijo v proračun za največ dve zaporedni proračunski leti.

3.   Agenciji se lahko v skladu s točko (c) člena 62(1) Uredbe (EU, Euratom) 2018/1046 na zahtevo Komisije ali Sveta, potem ko se obvesti Evropski parlament, ter po pritrdilni odločitvi upravnega odbora s sporazumom o prenosu pooblastil poverijo naloge izvrševanja proračuna za potrditve koncepta, ki se financirajo v okviru instrumenta za finančno podporo na področju zunanjih meja in vizumov, vzpostavljenega z Uredbo (EU) št. 515/2014.

4.   Po pritrdilni odločitvi upravnega odbora lahko Agencija načrtuje in izvaja dejavnosti preskušanja v zvezi z zadevami, ki so urejeni v tej uredbi in v katerem koli pravnem aktu Unije, ki ureja razvoj, vzpostavitev, delovanje in uporabo sistemov.

Člen 16

Podpora državam članicam in Komisiji

1.   Vsaka država članica lahko od Agencije zahteva, da ji svetuje glede povezovanja njenega nacionalnega sistema s centralnimi sistemi obsežnih informacijskih sistemov, ki jih upravlja Agencija.

2.   Vsaka država članica lahko zahtevo za ad hoc podporo predloži Komisiji, ki jo, če oceni, da je ta podpora iz izrednih varnostih ali migracijskih razlogov potrebna, brez odlašanja posreduje Agenciji. Agencija o teh zahtevah obvesti upravni odbor. Kadar je ocena Komisije negativna, se o tem obvesti državo članico.

Komisija spremlja, ali se je Agencija pravočasno odzvala na zahtevo države članice. V letnem poročilu Agencije o dejavnostih se podrobno poroča o ukrepih, ki jih je izvedla Agencija, da je zagotovila ad hoc podporo državam članicam, in o stroških, ki so pri tem nastali.

3.   Od Agencije se lahko zahteva tudi svetovanje ali podpora Komisiji v zvezi s tehničnimi vprašanji, povezanimi z obstoječimi ali novimi sistemi, vključno s študijami in preskušanjem. Agencija o teh zahtevah obvesti upravni odbor.

4.   Skupina najmanj petih držav članic lahko Agenciji poveri nalogo, naj zanje razvija, upravlja ali gosti skupno informacijsko komponento ter jim pomaga pri izvajanju tehničnih vidikov obveznosti, ki izhajajo iz prava Unije o decentraliziranih sistemih s področja svobode, varnosti in pravice. Te skupne informacijske rešitve ne posegajo v obveznosti, ki jo imajo države članice prosilke v skladu z veljavnim pravom Unije, zlasti kar zadeva strukturo teh sistemov.

Države članice prosilke lahko Agenciji zlasti poverijo nalogo, da vzpostavi skupno komponento ali usmerjevalnik za predhodne podatke o potnikih in podatke iz evidence podatkov o potnikih kot tehnično podporno orodje za lažjo povezljivost z letalskimi prevozniki in tako državam članicam pomaga pri izvajanju Direktive Sveta 2004/82/ES (44) in Direktive (EU) 2016/681 Evropskega parlamenta in Sveta (45). V takem primeru Agencija centralno zbira podatke od letalskih prevoznikov in jih prek skupne komponente ali usmerjevalnika posreduje državam članicam. Države članice prosilke sprejmejo potrebne ukrepe, s katerimi zagotovijo, da letalski prevozniki podatke prenašajo prek Agencije.

Agenciji se naloga, da razvije, upravlja ali gosti skupno informacijsko komponento, poveri šele po predhodni odobritvi Komisije in po pritrdilni odločitvi upravnega odbora.

Države članice prosilke Agenciji naloge iz prvega in drugega pododstavka poverijo s sporazumom o prenosu pooblastil, v katerem so določeni pogoji za prenos nalog ter izračun vseh ustreznih stroškov in način izdajanja računov. Vse ustrezne stroške krijejo sodelujoče države članice. Sporazum o prenosu pooblastil je skladen s pravnimi akti Unije, ki urejajo zadevne informacijske sisteme. Agencija o odobrenem sporazumu o prenosu pooblastil in o morebitnih spremembah tega sporazuma obvesti Evropski parlament in Svet.

Druge države članice lahko zaprosijo za udeležbo pri skupnih informacijskih rešitvah, kadar je ta možnost predvidena v sporazumu o prenosu pooblastil, v katerem so zlasti določene finančne posledice te udeležbe. Sporazum o prenosu pooblastil se ustrezno spremeni po predhodni odobritvi Komisije in po pritrdilni odločitvi upravnega odbora.

POGLAVJE III

SESTAVA IN ORGANIZACIJA

Člen 17

Pravni status in sedež

1.   Agencija je organ Unije in ima pravno osebnost.

2.   Agencija ima v vsaki državi članici kar najširšo pravno in poslovno sposobnost, ki jo pravnim osebam priznava nacionalno pravo. Zlasti lahko pridobiva premičnine in nepremičnine ali z njimi razpolaga ter je lahko stranka v sodnem postopku.

3.   Sedež Agencije je v Talinu, Estonija.

Naloge, povezane z razvojem in operativnim upravljanjem iz člena 1(4) in (5) ter členov 3, 4, 5, 6, 7, 8, 9 in 11, se opravljajo na tehnični lokaciji v Strasbourgu v Franciji.

Podporni center, ki bo lahko zagotavljal delovanje obsežnega informacijskega sistema v primeru njegove odpovedi, se vzpostavi v kraju Sankt Johann im Pongau v Avstriji.

4.   Za istočasno delovanje sistemov se lahko uporabljata obe tehnični lokaciji, pod pogojem, da lahko podporni center v primeru okvare enega ali več sistemov še vedno zagotovi njihovo delovanje.

5.   Če bi morala Agencija zaradi posebne narave sistemov vzpostaviti drugo ločeno tehnično lokacijo v Strasbourgu ali v kraju Sankt Johann im Pongau ali po potrebi v obeh krajih za gostovanje sistemov, je treba to utemeljiti na podlagi neodvisne ocene učinka in analize stroškov in koristi. Upravni odbor se posvetuje s Komisijo in upošteva njena stališča, preden v skladu s členom 45(9) proračunski organ obvesti o nameravani izvedbi morebitnega projekta v zvezi s premoženjem.

Člen 18

Sestava

1.   Upravna in vodstvena sestava Agencije vključuje:

(a)

upravni odbor;

(b)

izvršnega direktorja;

(c)

svetovalne skupine.

2.   V sestavo Agencije so vključeni:

(a)

pooblaščena oseba za varstvo podatkov;

(b)

pooblaščena oseba za varnost;

(c)

računovodja.

Člen 19

Naloge upravnega odbora

1.   Upravni odbor:

(a)

določi splošno usmeritev dejavnosti Agencije;

(b)

z dvotretjinsko večino glasov članov, ki imajo glasovalno pravico, sprejme letni proračun Agencije in izvaja druge naloge, povezane s proračunom Agencije, v skladu s poglavjem V;

(c)

imenuje izvršnega direktorja in namestnika izvršnega direktorja ter, kadar je to ustrezno, podaljša njuna mandata ali ju razreši s položaja v skladu s členom 25 oziroma členom 26;

(d)

izvaja disciplinski nadzor nad izvršnim direktorjem in spremlja njegovo uspešnost pri opravljanju nalog ter izvajanju odločitev upravnega odbora, ter izvaja disciplinski nadzor nad namestnikom izvršnega direktorja v dogovoru z izvršnim direktorjem;

(e)

sprejme vse odločitve o vzpostavitvi organizacijske sestave Agencije in po potrebi njeni spremembi ob upoštevanju potreb pri dejavnostih Agencije in dobrega proračunskega upravljanja;

(f)

sprejme kadrovsko politiko Agencije;

(g)

določi poslovnik Agencije;

(h)

sprejme strategijo za boj proti goljufijam, ki je sorazmerna s tveganjem goljufije, pri čemer upošteva stroške in koristi ukrepov, ki naj bi se izvajali;

(i)

sprejme pravila za preprečevanje in upravljanje nasprotij interesov med svojimi člani in jih objavi na spletnem mestu Agencije;

(j)

sprejme podrobna notranja pravila in postopke za zaščito žvižgačev, vključno z ustreznimi komunikacijskimi kanali za prijavljanje kršitev;

(k)

odobri sklenitev delovnih dogovorov v skladu s členoma 41 in 43;

(l)

na predlog izvršnega direktorja potrdi sporazum o sedežu Agencije in sporazume o tehničnih in podpornih lokacijah, vzpostavljene v skladu s členom 17(3), ki jih podpišejo izvršni direktor in države članice gostiteljice;

(m)

v skladu z odstavkom 2 v zvezi z osebjem Agencije izvaja pooblastila, ki jih kadrovski predpisi za uradnike podeljujejo pristojnemu organu za imenovanja in ki se na podlagi pogojev za zaposlitev drugih uslužbencev podelijo organu, pooblaščenemu za sklenitev pogodbe o zaposlitvi (v nadaljnjem besedilu: pooblastila pristojnega organa za imenovanja);

(n)

v dogovoru s Komisijo sprejme potrebna izvedbena pravila, s katerimi se začnejo izvajati kadrovski predpisi v skladu s členom 110 kadrovskih predpisov za uradnike;

(o)

sprejme potrebna pravila o napotitvi nacionalnih strokovnjakov na Agencijo;

(p)

sprejme osnutek načrta prihodkov in odhodkov Agencije, vključno z osnutkom kadrovskega načrta, ter ju do 31. januarja vsako leto predloži Komisiji;

(q)

sprejme osnutek enotnega programskega dokumenta, v katerem je večletni program Agencije in njen delovni program za naslednje leto, ter začasni osnutek načrta prihodkov in odhodkov Agencije, vključno z osnutkom kadrovskega načrta, ter ga do 31. januarja vsako leto, kar velja tudi za vsako morebitno posodobljeno različico tega dokumenta, predloži Evropskemu parlamentu, Svetu in Komisiji;

(r)

vsako leto do 30. novembra z dvotretjinsko večino glasov svojih članov, ki imajo glasovalno pravico, ter v skladu z letnim proračunskim postopkom sprejme enotni programski dokument, pri čemer upošteva mnenje Komisije, ter poskrbi, da se končna različica tega enotnega programskega dokumenta posreduje Evropskemu parlamentu, Svetu in Komisiji ter da se objavi;

(s)

vsako leto do konca avgusta sprejme vmesno poročilo o napredku pri izvajanju načrtovanih dejavnosti v tekočem letu in ga predloži Evropskemu parlamentu, Svetu in Komisiji;

(t)

oceni in sprejme konsolidirano letno poročilo o dejavnostih Agencije za preteklo leto, pri čemer zlasti primerja dosežene rezultate s cilji letnega delovnega programa, ter poročilo in svojo oceno vsako leto do 1. julija pošlje Evropskemu parlamentu, Svetu, Komisiji in Računskemu sodišču ter poskrbi, da se letno poročilo o dejavnostih objavi;

(u)

opravlja svoje naloge v zvezi s proračunom Agencije, vključno z izvajanjem pilotnih projektov in potrditev koncepta, kot je navedeno v členu 15;

(v)

sprejema finančna pravila, ki se uporabljajo za Agencijo v skladu s členom 49;

(w)

v skladu s kadrovskimi predpisi imenuje računovodjo, pri čemer gre lahko za računovodjo Komisije, ki je pri opravljanju svojih dolžnosti popolnoma neodvisen;

(x)

zagotovi, da bodo ugotovitve in priporočila, ki izhajajo iz različnih notranjih ali zunanjih revizijskih poročil in ocen ter preiskav Evropskega urada za boj proti goljufijam (OLAF) in Evropskega javnega tožilstva (EJT), ustrezno upoštevani;

(y)

sprejme načrte za obveščanje in razširjanje informacij iz člena 34(4) in jih redno posodablja;

(z)

sprejme potrebne varnostne ukrepe, vključno z varnostnim načrtom, načrtom za neprekinjeno poslovanje in sanacijskim načrtom za primere po nesreči, pri čemer upošteva morebitna priporočila strokovnjakov za varnost iz svetovalnih skupin;

(aa)

po odobritvi Komisije sprejme varnostna pravila na področju varovanja tajnih podatkov in občutljivih netajnih podatkov;

(bb)

imenuje pooblaščeno osebo za varnost;

(cc)

v skladu z Uredbo (EU) 2018/1725 imenuje pooblaščeno osebo za varstvo podatkov;

(dd)