OBRAZLOŽITVENI MEMORANDUM

1. OZADJE PREDLOGA

Ta obrazložitveni memorandum podrobneje predstavlja predlagani novi pravni okvir za varstvo osebnih podatkov v EU, kakor je določen v Sporočilu COM(2012) 9 final[1]. Predlagani novi pravni okvir sestavljata dva zakonodajna predloga:

– predlog uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov) ter

– predlog direktive Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov[2].

Ta obrazložitveni memorandum se nanaša na zakonodajni predlog za Splošno uredbo o varstvu podatkov.

Osrednji dokument veljavne zakonodaje EU o varstvu osebnih podatkov, tj. Direktiva 95/46/ES[3], je bil sprejet leta 1995 z dvema ciljema: varstvo temeljne pravice do varstva podatkov in zagotovitev prostega pretoka osebnih podatkov med državami članicami. Dopolnil jo je Okvirni sklep 2008/977/PNZ kot splošni pravni akt na ravni Unije za varstvo osebnih podatkov na področju policijskega in pravosodnega sodelovanja v kazenskih zadevah[4].

Hiter tehnološki razvoj je prinesel nove izzive za varstvo osebnih podatkov. Obseg izmenjave in zbiranja podatkov se je bistveno povečal. Tehnologija zasebnim podjetjem in javnim organom omogoča, da osebne podatke uporabljajo za svoje dejavnosti v obsegu, kakršnega še ni bilo. Posamezniki vedno bolj dajejo osebne podatke na razpolago tako javno kot globalno. Tehnologija je spremenila gospodarstvo in družbeno življenje.

Ustvarjanje zaupanja v spletno okolje je ključ do gospodarskega razvoja. Zaradi pomanjkanja zaupanja potrošniki oklevajo pri spletnih nakupih in sprejemanju novih storitev. To lahko vpliva na upočasnitev razvoja inovativnih uporab novih tehnologij. Varstvo osebnih podatkov ima zato osrednjo vlogo v Evropski digitalni agendi[5] in bolj splošno v strategiji Evropa 2020[6].

Člen 16(1) Pogodbe o delovanju Evropske unije (PDEU), kakor je bil uveden z Lizbonsko pogodbo, določa načelo, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj. Poleg tega je Lizbonska pogodba s členom 16(2) PDEU uvedla posebno pravno podlago za sprejetje predpisov o varstvu osebnih podatkov. Člen 8 Listine EU o temeljnih pravicah zagotavlja varstvo osebnih podatkov kot temeljno pravico.

Evropski svet je Komisijo pozval, naj oceni delovanje pravnih aktov EU o varstvu podatkov ter po potrebi predstavi nadaljnje zakonodajne in nezakonodajne pobude[7]. Evropski parlament je v resoluciji o stockholmskem programu[8] pozdravil celovit sistem varstva podatkov v EU in med drugim pozval k pregledu Okvirnega sklepa. Komisija je v akcijskem načrtu izvajanja stockholmskega programa[9] poudarila potrebo po zagotavljanju, da se temeljna pravica do varstva osebnih podatkov dosledno uporablja v okviru vseh politik EU.

Komisija je v sporočilu „Celovit pristop k varstvu osebnih podatkov v Evropski uniji“[10] ugotovila, da EU potrebuje celovitejšo in skladnejšo politiko o temeljni pravici do varstva osebnih podatkov.

Kar se tiče ciljev in načel, veljavni okvir še vedno velja, vendar ni preprečil razdrobljenosti na področju izvajanja varstva osebnih podatkov v Uniji, pravne negotovosti in razširjenega javnega mnenja, da so precejšnja tveganja povezana zlasti s spletno dejavnostjo[11]. Zato je čas za trdnejši in skladnejši okvir za varstvo podatkov v EU, podprt z doslednim izvajanjem, ki bo digitalnemu gospodarstvu omogočil, da se razvije na notranjem trgu, dal posameznikom nadzor nad lastnimi podatki ter okrepil pravno in praktično varnost gospodarskih subjektov in javnih organov.

2. REZULTATI POSVETOVANJ Z ZAINTERESIRANIMI STRANMI IN OCENA UČINKA

Ta pobuda je rezultat obsežnih posvetovanj z vsemi pomembnimi zainteresiranimi stranmi o veljavnem pravnem okviru varstva osebnih podatkov, ki so potekala več kot dve leti, obsegala pa so tudi konferenco na visoki ravni maja 2009[12] in dve fazi javnih posvetovanj:

– od 9. julija do 31. decembra 2009 je potekalo posvetovanje o pravnem okviru za temeljno pravico do varstva osebnih podatkov. Komisija je prejela 168 odgovorov, od tega jih je bilo 127 od posameznikov, poslovnih organizacij in združenj, 12 pa od javnih organov[13];

– od 4. novembra 2010 do 15. januarja 2011 pa je potekalo posvetovanje o celovitem pristopu Komisije k varstvu osebnih podatkov v Evropski uniji. Komisija je prejela 305 odgovorov, od tega 54 od državljanov, 31 od javnih organov in 220 od zasebnih organizacij, zlasti poslovnih združenj in nevladnih organizacij[14].

Usmerjena posvetovanja so bila opravljena tudi s ključnimi zainteresiranimi stranmi, junija in julija 2010 pa so bili z organi držav članic in zainteresiranimi stranmi zasebnega sektorja, pa tudi organizacijami za varovanje zasebnosti, za varovanje podatkov in za potrošnike organizirani posebni dogodki[15]. Novembra 2010 je podpredsednica Evropske komisije Viviane Reding organizirala okroglo mizo o reformi varstva podatkov. Evropska komisija in Svet Evrope sta 28. januarja 2011 (dan varstva podatkov) skupaj organizirala konferenco na visoki ravni, na kateri so razpravljali o vprašanjih, povezanih z reformo pravnega okvira EU in potrebo po skupnih standardih za varstvo podatkov po vsem svetu[16]. Dve konferenci o varstvu podatkov sta 16. in 17. junija 2011 oziroma 21. septembra 2011 organizirala madžarsko in poljsko predsedstvo Sveta.

V letu 2011 so bile organizirane posebne delavnice in seminarji o posebnih vprašanjih. Agencija ENISA[17] je januarja organizirala delavnico na temo obveščanja o kršitvah varnosti podatkov v Evropi[18]. Februarja je Komisija z organi držav članic pripravila delavnico, na kateri so razpravljali o vprašanjih varstva podatkov na področju policijskega sodelovanja in pravosodnega sodelovanja v kazenskih zadevah, vključno z izvajanjem Okvirnega sklepa, Agencija za temeljne pravice pa je organizirala posvetovalno srečanje z zainteresiranimi stranmi o varstvu podatkov in zasebnosti. Razprava o ključnih vprašanjih reforme je potekala 13. julija 2011 z nacionalnimi organi za varstvo podatkov. Posvetovanje z državljani EU je potekalo prek raziskave Eurobarometra novembra in decembra 2010[19]. Izvedenih je bilo tudi več študij[20]. Delovna skupina iz člena 29[21] je Komisiji predložila več mnenj in koristne prispevke[22]. Evropski nadzornik za varstvo podatkov je izdal celovito mnenje o vprašanjih, ki jih je Komisija izpostavila v sporočilu iz novembra 2010[23].

Evropski parlament je z resolucijo z dne 6. julija 2011 odobril poročilo, ki je podprlo pristop Komisije k reformi okvira za varstvo podatkov[24]. Svet Evropske unije je 24. februarja 2011 sprejel sklepe, v katerih je na splošno podprl namen Komisije za reformo okvira varstva osebnih podatkov, in se strinjal z več elementi pristopa Komisije. Tudi Evropski ekonomsko-socialni odbor je podprl namen Komisije, da se zagotovita doslednejša uporaba pravil EU o varstvu podatkov[25] v vseh državah članicah in ustrezen pregled Direktive 95/46/ES[26].

Med posvetovanji o celovitem pristopu se je velika večina zainteresiranih strani strinjala, da splošna načela veljajo še naprej, vendar obstaja potreba po spremembi veljavnega okvira, da bi se lahko bolje odzvali na izzive, ki sta jih prinesla hiter razvoj novih tehnologij (zlasti na spletu) in vedno večja globalizacija, obenem pa ohranili tehnološko nevtralnost pravnega okvira. Trenutna razdrobljenost varstva osebnih podatkov v Uniji je bila ostro kritizirana, zlasti s strani gospodarskih akterjev, ki so zahtevali večjo pravno varnost in uskladitev predpisov o varstvu osebnih podatkov. Po njihovem mnenju zapletenost predpisov o mednarodnem prenosu osebnih podatkov precej ovira njihovo poslovanje, saj morajo osebne podatke iz EU redno prenašati v druge dele sveta.

Komisija je v skladu s svojo politiko „boljše pravne ureditve“ opravila oceno učinka možnosti politike. Ocena učinka je temeljila na treh ciljih politike, in sicer izboljšanju razsežnosti notranjega trga pri varstvu podatkov, povečanju učinkovitosti uveljavljanja pravic do varstva podatkov za posameznike ter oblikovanju celovitega in skladnega okvira, ki zajema vsa področja pristojnosti Unije, vključno s policijskim sodelovanjem in pravosodnim sodelovanjem v kazenskih zadevah. Ocenjene so bile tri možnosti politike z različnimi stopnjami posredovanja: prvo možnost so sestavljale najmanjše možne zakonodajne spremembe ter uporaba razlagalnih sporočil in podpornih ukrepov politike, kot so programi financiranja in tehnična orodja; drugo možnost je sestavljal sveženj zakonodajnih določb, ki obravnavajo vsako od vprašanj, opredeljenih v analizi; tretja možnost pa je bila združitev varstva podatkov na ravni EU s pomočjo natančnih in podrobnih predpisov za vse sektorje ter ustanovitev agencije EU za spremljanje in izvrševanje določb.

V skladu z uveljavljeno metodologijo Komisije je bila s pomočjo medresorske usmerjevalne skupine vsaka možnost politike ocenjena glede na učinkovitost pri doseganju ciljev politike, gospodarski učinek na zainteresirane strani (vključno z učinkom na proračun institucij EU), družbeni vpliv in učinek na temeljne pravice. Okoljski vplivi niso bili obravnavani. Na podlagi analize splošnega učinka je bila oblikovana najprimernejša možnost politike, ki temelji na drugi možnosti z nekaj elementi drugih dveh možnosti in je vključena v ta predlog. V skladu z oceno učinka bo izvajanje te možnosti med drugim prineslo precejšnje izboljšanje pravne varnosti za upravljavce podatkov in državljane, zmanjšanje upravnega bremena, dosledno izvrševanje predpisov o varstvu podatkov v Uniji, učinkovito možnost posameznikov za uveljavljanje njihovih pravic do varstva podatkov na področju varstva osebnih podatkov v EU ter učinkovit nadzor in izvrševanje varstva podatkov. Izvajanje najprimernejše možnosti politike naj bi pripomoglo tudi k cilju Komisije glede poenostavitve in zmanjšanja upravnega bremena ter k ciljem Evropske digitalne agende, akcijskega načrta izvajanja stockholmskega programa in strategije Evropa 2020.

Odbor za oceno učinka je 9. septembra 2011 podal mnenje o osnutku ocene učinka. V skladu z mnenjem odbora so bile v oceno učinka vnesene naslednje spremembe:

– pojasnjeni so bili cilji veljavnega pravnega okvira (v kolikšni meri so bili oziroma niso bili doseženi) in cilji predvidene reforme;

– v oddelek o opredelitvi problema so bili dodani več dokazov in dodatne razlage/pojasnila;

– dodan je bil oddelek o sorazmernosti;

– vsi izračuni in ocene, povezani z upravnim bremenom v osnovnem scenariju in v najprimernejši možnosti, so bili v celoti pregledani in popravljeni, pojasnjena pa je bila tudi povezava med stroški obveščanja in splošnimi stroški zaradi razdrobljenosti (vključno s Prilogo 10);

– bolje so bili opredeljeni učinki na mikro-, mala in srednje velika podjetja, zlasti uradnih oseb za varstvo podatkov in ocen učinka o varstvu podatkov.

Poročilo o oceni učinka in povzetek sta objavljena skupaj s predlogi.

3. PRAVNI ELEMENTI PREDLOGA 3.1. Pravna podlaga

Predlog temelji na členu 16 PDEU, ki je nova pravna podlaga za sprejetje predpisov o varstvu podatkov, uvedenih z Lizbonsko pogodbo. Ta določba omogoča sprejetje pravil o varstvu posameznikov pri obdelavi osebnih podatkov s strani držav članic, ko izvajajo dejavnosti s področja uporabe prava Unije. Omogoča tudi sprejetje pravil o prostem pretoku osebnih podatkov, vključno z osebnimi podatki, ki jih obdelujejo države članice ali zasebni subjekti.

Uredba je najprimernejši pravni akt za določitev okvira za varstvo osebnih podatkov v Uniji. Zaradi neposredne uporabe Uredbe v skladu s členom 288 PDEU se bo zmanjšala pravna razdrobljenost in zagotovila večja pravna varnost z uvedbo usklajenega sklopa temeljnih pravil, ki bodo izboljšala varstvo temeljnih pravic posameznikov in pripomogla k delovanju notranjega trga.

Sklicevanje na člen 114(1) PDEU je potrebno samo zaradi spremembe Direktive 2002/58/ES, ker ta direktiva zagotavlja tudi zaščito pravnih interesov naročnikov, ki so pravne osebe.

3.2. Subsidiarnost in sorazmernost

V skladu z načelom subsidiarnosti (člen 5(3) PEU) se ukrepi na ravni Unije sprejmejo le, če in kolikor ciljev predlaganih ukrepov ni mogoče zadovoljivo doseči na ravni držav članic, temveč se zaradi njihovega obsega ali učinkov laže dosežejo na ravni Unije. Ob upoštevanju opisanih težav analiza subsidiarnosti kaže na nujnost ukrepanja na ravni EU, ker:

– pravica do varstva osebnih podatkov iz člena 8 Listine o temeljnih pravicah zahteva enako raven varstva podatkov v celotni Uniji. Zaradi pomanjkanja skupnih predpisov EU bi se lahko pojavile različne ravni varstva v državah članicah, nastale pa bi tudi omejitve čezmejnega prenosa osebnih podatkov med državami članicami z različnimi standardi;

– prenos osebnih podatkov čez nacionalne meje, tako notranje kot zunanje, zelo hitro narašča. Poleg tega obstajajo praktični izzivi glede izvajanja zakonodaje o varstvu podatkov in potreba po sodelovanju med državami članicami in njihovimi organi, ki ga je treba organizirati na ravni EU, da se zagotovi enotna uporaba zakonodaje Unije. EU je tudi v najboljšem položaju, da učinkovito in dosledno zagotovi enako raven varstva posameznikov pri prenosu njihovih osebnih podatkov v tretje države;

– države članice ne morejo same zmanjšati težav v trenutnih razmerah, zlasti tistih, ki so posledica razdrobljenosti v nacionalnih zakonodajah. Zato obstaja posebna potreba po vzpostavitvi usklajenega in skladnega okvira, ki omogoča nemoten čezmejni prenos osebnih podatkov v EU, obenem pa zagotavlja učinkovito varstvo za vse posameznike v EU;

– bodo predlagani zakonodajni ukrepi EU zaradi narave in obsega težav, ki niso omejene na eno državo članico ali več držav članic, učinkovitejši od podobnih ukrepov na ravni držav članic.

V skladu z načelom sorazmernosti mora biti vsako posredovanje ciljno usmerjeno in ne sme presegati okvirov, ki so potrebni za dosego ciljev. Na tem načelu je temeljila priprava tega predloga od opredelitve in ocenjevanja drugih možnosti politike do osnutka zakonodajnega predloga.

3.3. Povzetek vprašanj temeljnih pravic

Pravica do varstva osebnih podatkov je določena v členu 8 Listine in členu 16 PDEU ter v členu 8 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin. Kot je poudarilo Sodišče EU[27], pravica do varstva osebnih podatkov ni absolutna, temveč jo je treba obravnavati glede na vlogo, ki jo ima v družbi[28]. Varstvo podatkov je tesno povezano s spoštovanjem zasebnega in družinskega življenja, ki ga varuje člen 7 Listine. To odraža člen 1(1) Direktive 95/46/ES, ki določa, da države članice varujejo temeljne pravice in svoboščine fizičnih oseb in predvsem njihovo pravico do zasebnosti pri obdelavi osebnih podatkov.

Druge temeljne pravice iz Listine, na katere bo Uredba morda vplivala, so: svoboda izražanja (člen 11 Listine), svoboda gospodarske pobude (člen 16), lastninska pravica in zlasti varstvo intelektualne lastnine (člen 17(2)), prepoved vsakršne diskriminacije, med drugim na podlagi rase, etničnega porekla, genetskih značilnosti, vere ali prepričanja, političnega ali drugega mnenja, invalidnosti ali spolne usmerjenosti (člen 21), pravice otroka (člen 24), pravica do visoke ravni varovanja zdravja ljudi (člen 35), pravica dostopa do dokumentov (člen 42), pravica do učinkovitega pravnega sredstva in nepristranskega sodišča (člen 47).

3.4. Podrobna obrazložitev predloga 3.4.1. POGLAVJE I – SPLOŠNE DOLOČBE

Člen 1 določa vsebino Uredbe in, kakor v členu 1 Direktive 95/46/ES, dva cilja Uredbe.

Člen 2 določa stvarno področje uporabe Uredbe.

Člen 3 določa ozemeljsko področje uporabe Uredbe.

Člen 4 vsebuje opredelitve pojmov, ki se uporabljajo v tej uredbi. Medtem ko so nekatere opredelitve prevzete iz Direktive 95/46/ES, so druge spremenjene, dopolnjene z dodatnimi elementi ali pa so na novo uvedene („kršitev varnosti osebnih podatkov“ temelji na členu 2(h) Direktive o e-zasebnosti 2002/58/ES,[29] kakor je bila spremenjena z Direktivo 2009/136/ES[30], „genetski podatki“, „biometrični podatki“, „podatki o zdravstvenem stanju“, „glavni sedež“, „predstavnik“, „podjetje“, „povezane družbe“, „zavezujoča poslovna pravila“ in „otrok“, ki temelji na Konvenciji Združenih narodov o otrokovih pravicah[31], ter „nadzorni organ“).

Pri opredelitvi pojma privolitev je dodano merilo „izrecna“, da bi se izognili nejasni vzporednosti z „nedvoumno“ privolitvijo in da bi imeli eno samo in dosledno opredelitev pojma privolitev, s čimer je zagotovljeno zavedanje posameznika, na katerega se nanašajo osebni podatki, da daje privolitev in čemu jo daje.

3.4.2. POGLAVJE II – NAČELA

Člen 5 določa načela v zvezi z obdelavo osebnih podatkov, ki ustrezajo načelom iz člena 6 Direktive 95/46/ES. Dodatni novi elementi so zlasti načelo preglednosti, pojasnilo načela zmanjšanja količine podatkov ter uvedba celovite pristojnosti in odgovornosti upravljavca.

Člen 6, ki temelji na členu 7 Direktive 95/46/ES, določa merila zakonite obdelave, ki so nadalje opredeljena glede ravnovesja med merilom interesa ter skladnostjo s pravnimi obveznostmi in javnim interesom.

Člen 7 pojasnjuje pogoje, pod katerimi je privolitev veljavna kot pravna podlaga za zakonito obdelavo.

Člen 8 določa nadaljnje pogoje za zakonitost obdelave osebnih podatkov otrok v zvezi s storitvami informacijske družbe, ki se neposredno zagotavljajo otrokom.

Člen 9 določa splošno prepoved obdelave posebnih vrst osebnih podatkov in izjeme od tega splošnega pravila, pri čemer se opira na člen 8 Direktive 95/46/ES.

Člen 10 pojasnjuje, da upravljavec ni zavezan k pridobivanju dodatnih informacij, da bi določil posameznika, na katerega se nanašajo osebni podatki, samo zaradi skladnosti s katero koli določbo te uredbe.

3.4.3. POGLAVJE III – PRAVICE POSAMEZNIKA, NA KATEREGA SE NANAŠAJO OSEBNI PODATKI 3.4.3.1. Oddelek 1 – Preglednost in načini

Člen 11 uvaja obveznost za upravljavce, da zagotovijo pregledne in enostavno dostopne ter razumljive informacije, ki temelji zlasti na Madridski resoluciji o mednarodnih standardih varstva osebnih podatkov in zasebnosti[32].

Člen 12 upravljavca zavezuje, da zagotovi postopke in mehanizme za uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki, vključno s sredstvi za elektronske zahteve, za katere je potreben odgovor na zahtevo posameznika v določenem roku, in razlogi za zavrnitev.

Člen 13, ki temelji na členu 12(c) Direktive 95/46/ES, določa pravice glede prejemnikov, ki so razširjene na vse prejemnike, vključno s skupnimi upravljavci in obdelovalci.

3.4.3.2. Oddelek 2 – Informacije in dostop do podatkov

Člen 14 podrobneje določa obveznost upravljavca glede informiranja posameznika, na katerega se nanašajo osebni podatki, pri čemer se opira na člena 10 in 11 Direktive 95/46/ES, in sicer zagotavljanje dodatnih informacij posamezniku, vključno z obdobjem shranjevanja, pravico do vložitve pritožbe, informacijami glede mednarodnih prenosov in vira, od koder izhajajo podatki. Ohranja tudi morebitna odstopanja iz Direktive 95/46/ES, npr. te obveznosti ni, če je zbiranje oziroma posredovanje izrecno določeno z zakonom. To bi lahko veljalo na primer v postopkih organov za varstvo konkurence, davčnih ali carinskih uprav ali služb, pristojnih za zadeve na področju socialne varnosti.

Člen 15 določa pravico posameznika, na katerega se nanašajo osebni podatki, do dostopa do svojih osebnih podatkov, pri čemer temelji na členu 12(a) Direktive 95/46/ES, dodaja pa tudi nove elemente, npr. glede obveščanja posameznika, na katerega se nanašajo osebni podatki, o obdobju shranjevanja ter o pravici do popravka, izbrisa in vložitve pritožbe.

3.4.3.3. Oddelek 3 – Popravek in izbris

Člen 16 določa pravico posameznika, na katerega se nanašajo osebni podatki, do popravka, temelji pa na členu 12(b) Direktive 95/46/ES.

Člen 17 določa pravico posameznika, na katerega se nanašajo osebni podatki, biti pozabljen in pravico do izbrisa. Nadalje razširja in določa pravico do izbrisa iz člena 12(b) Direktive 95/46/ES in določa pogoje za pravico biti pozabljen, vključno z obveznostjo upravljavca, ki je osebne podatke objavil, da tretje osebe obvesti o zahtevi posameznika, na katerega se nanašajo osebni podatki, da izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije. Obsega tudi pravico do omejitve obdelave v določenih primerih, pri čemer se izogiba dvoumnemu pojmu „blokiranje“.

Člen 18 uvaja pravico posameznika, na katerega se nanašajo osebni podatki, do prenosljivosti podatkov, tj. da podatke prenese iz enega elektronskega sistema za obdelavo v drugega, ne da bi mu upravljavec to preprečil. Kot predpogoj in za nadaljnje izboljšanje dostopa posameznikov do njihovih osebnih podatkov določa pravico, da posameznik od upravljavca te podatke pridobi v strukturirani elektronski obliki v splošni rabi.

3.4.3.4. Oddelek 4 – Pravica do ugovora in oblikovanje profilov

Člen 19 določa pravice posameznika, na katerega se nanašajo osebni podatki, do ugovora. Temelji na členu 14 Direktive 95/46/ES, uvedene pa so bile nekatere spremembe, tudi glede dokaznega bremena in njegove uporabe za neposredno trženje.

Člen 20 se nanaša na pravico posameznika, na katerega se nanašajo osebni podatki, da ni predmet ukrepa na podlagi oblikovanja profilov. Opira se na člen 15(1) Direktive 95/46/ES o avtomatiziranih posamičnih odločitvah, v katerega so bile dodane spremembe in dodatni zaščitni ukrepi, upošteva pa tudi priporočilo Sveta Evrope o oblikovanju profilov[33].

3.4.3.5. Oddelek 5 – Omejitve

Člen 21 pojasnjuje pooblastilo Unije ali držav članic glede ohranjanja ali uvedbe omejitev načel iz člena 5 in pravic posameznika, na katerega se nanašajo osebni podatki, iz členov 11 do 20 in člena 32. Ta določba temelji na členu 13 Direktive 95/46/ES ter zahtevah iz Listine o temeljnih pravicah in Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin, kakor jih razlagata Sodišče EU in Evropsko sodišče za človekove pravice.

3.4.4. POGLAVJE IV – UPRAVLJAVEC IN OBDELOVALEC 3.4.4.1. Oddelek 1 – Splošne obveznosti

Člen 22 upošteva razpravo o „načelu odgovornosti“ in podrobno opisuje obveznost odgovornosti upravljavca, da deluje v skladu s to uredbo in to skladnost tudi dokaže, vključno s sprejetjem notranjih politik in mehanizmov za zagotavljanje take skladnosti.

Člen 23 določa obveznosti upravljavca, ki izhajajo iz načel vgrajenega varstva podatkov.

Člen 24 o skupnih upravljavcih pojasnjuje odgovornosti skupnih upravljavcev glede njihove notranje povezave in nasproti posamezniku, na katerega se nanašajo osebni podatki.

Člen 25 upravljavce, ki nimajo sedeža v Uniji, v primerih, v katerih se Uredba nanaša na njihove dejavnosti obdelave, pod določenimi pogoji obvezuje, da v Uniji določijo predstavnika.

Člen 26 pojasnjuje položaj in obveznost obdelovalcev, deloma pa temelji na členu 17(2) Direktive 95/46/ES ter dodaja nove elemente, vključno s tem, da se obdelovalec, ki podatke obdeluje na način, ki presega navodila upravljavca, šteje za skupnega upravljavca.

Člen 27 o obdelavi pod vodstvom upravljavca in obdelovalca temelji na členu 16 Direktive 95/46/ES.

Člen 28 uvaja obveznost upravljavcev in obdelovalcev, da ohranijo dokumentacijo postopkov obdelave pod njihovo odgovornostjo, namesto splošnega uradnega obveščanja nadzornega organa, ki ga zahtevata člen 18(1) in člen 19 Direktive 95/46/ES.

Člen 29 pojasnjuje obveznosti upravljavca in obdelovalca v zvezi s sodelovanjem z nadzornim organom.

3.4.4.2. Oddelek 2 – Varnost podatkov

Člen 30 obvezuje upravljavca in obdelovalca k izvajanju ustreznih ukrepov za varnost obdelave, kar temelji na členu 17(1) Direktive 95/46/ES, to obveznost pa razširja na obdelovalce, ne glede na pogodbo z upravljavcem.

Člena 31 in 32 uvajata dolžnost obveščanja o kršitvi varnosti osebnih podatkov, temeljita pa na obveščanju o kršitvi varnosti osebnih podatkov iz člena 4(3) Direktive o e-zasebnosti 2002/58/ES.

3.4.4.3. Oddelek 3 – Ocena učinka o varstvu podatkov in predhodna odobritev

Člen 33 uvaja obveznost upravljavcev in obdelovalcev glede izvedbe ocene učinka o varstvu podatkov pred tveganimi postopki obdelave.

Člen 34 se nanaša na primere, v katerih sta pred obdelavo obvezna odobritev s strani nadzornega organa in posvetovanje z njim, kar temelji na predhodnem preverjanju iz člena 20 Direktive 95/46/ES.

3.4.4.4. Oddelek 4 – Uradna oseba za varstvo podatkov

Člen 35 uvaja obveznost imenovanja uradne osebe za varstvo podatkov za javni sektor, v zasebnem sektorju pa za velika podjetja ali za primere, v katerih temeljne dejavnosti upravljavca ali obdelovalca obsegajo postopke obdelave, ki jih je treba redno in sistematično spremljati. To temelji na členu 18(2) Direktive 95/46/ES, ki državam članicam daje možnost, da tako zahtevo uvedejo namesto splošne zahteve po uradnem obveščanju.

Člen 36 določa položaj uradne osebe za varstvo podatkov.

Člen 37 določa temeljne naloge uradne osebe za varstvo podatkov.

3.4.4.5. Oddelek 5 – Pravila ravnanja in potrjevanje

Člen 38, ki temelji na členu 27(1) Direktive 95/46/ES, se nanaša na pravila ravnanja, pojasnjuje vsebino pravil ravnanja in postopke ter določa pooblastitev Komisije za odločanje o splošni veljavnosti pravil ravnanja.

Člen 39 uvaja možnost vzpostavitve mehanizmov potrjevanja ter pečatov in označb za varstvo podatkov.

3.4.5. POGLAVJE V – PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE ALI MEDNARODNE ORGANIZACIJE

Člen 40 kot splošno načelo določa, da je izpolnjevanje pogojev iz tega poglavja obvezno za vse prenose osebnih podatkov v tretje države ali mednarodne organizacije, vključno z nadaljnjimi prenosi.

Člen 41 določa merila, pogoje in postopke za sprejetje sklepa Komisije o ustreznosti, kar temelji na členu 25 Direktive 95/46/ES. Merila, ki se upoštevajo pri oceni Komisije glede ustrezne ali neustrezne ravni varstva, izrecno vključujejo pravno državo, sodno varstvo in neodvisni nadzor. Ta člen zdaj zagotavlja možnost Komisije, da oceni raven varstva, ki jo v tretji državi zagotavlja ozemeljska enota ali sektor za obdelavo.

Člen 42 glede prenosov v tretje države, pri katerih Komisija ni sprejela sklepa o ustreznosti, zahteva navedbo ustreznih zaščitnih ukrepov, zlasti standardnih določil o varstvu podatkov, zavezujočih poslovnih pravil in pogodbenih določil. Možnost uporabe standardnih določil Komisije o varstvu podatkov temelji na členu 26(4) Direktive 95/46/ES. Na novo je uvedena možnost, da taka standardna določila o varstvu podatkov sprejme nadzorni organ, Komisija pa jih nato razglasi za splošno veljavna. Zavezujoča poslovna pravila so zdaj v pravnem besedilu posebej navedena. Možnost uporabe pogodbenih določil upravljavcu ali obdelovalcu daje določeno prožnost, vendar jo morajo nadzorni organi prej odobriti.

Člen 43 podrobno opisuje pogoje za prenose na podlagi zavezujočih poslovnih pravil, ki temeljijo na veljavnih praksah in zahtevah nadzornih organov.

Člen 44 določa in pojasnjuje odstopanja od zahtev za prenos podatkov, temelji pa na veljavnih določbah člena 26 Direktive 95/46/ES. To velja zlasti za prenose podatkov, ki so zahtevani in potrebni za varstvo pomembnega javnega interesa, kot v primerih mednarodnih prenosov podatkov med organi za varstvo konkurence, davčnimi ali carinskimi upravami ali pa med službami, pristojnimi za zadeve na področju socialne varnosti ali upravljanje ribištva. Poleg tega je lahko prenos podatkov pod določenimi okoliščinami upravičen na podlagi pravnega interesa upravljavca ali obdelovalca, vendar šele po oceni in dokumentiranju okoliščin tega prenosa.

Člen 45 izrecno določa uvedbo mehanizmov mednarodnega sodelovanja za varstvo osebnih podatkov med Komisijo in nadzornimi organi tretjih držav, zlasti tistih mehanizmov, za katere se šteje, da zagotavljajo ustrezno raven varstva, pri čemer se upošteva Priporočilo Organizacije za gospodarsko sodelovanje in razvoj (OECD) o čezmejnem sodelovanju pri izvajanju predpisov o varstvu zasebnosti z dne 12. junija 2007.

3.4.6. POGLAVJE VI – NEODVISNI NADZORNI ORGANI 3.4.6.1. Oddelek 1– Status neodvisnosti

Člen 46 na podlagi člena 28(1) Direktive 95/46/ES države članice zavezuje, da ustanovijo nadzorne organe, nalogo nadzornih organov pa razširja na sodelovanje med njimi in s Komisijo.

Člen 47 pojasnjuje pogoje za neodvisnost nadzornih organov, ki izvajajo sodno prakso Sodišča Evropske unije[34], zgleduje pa se tudi po členu 44 Uredbe (ES) št. 45/2001[35].

Člen 48 določa splošne pogoje za člane nadzornega organa, ki izvajajo ustrezno sodno prakso[36], zgleduje pa se tudi po členu 42(2) do (6) Uredbe (ES) št. 45/2001.

Člen 49 določa, da morajo države članice z zakonom določiti pravila o ustanovitvi nadzornega organa.

Člen 50 o poklicni molčečnosti članov in uslužbencev nadzornega organa temelji na členu 28(7) Direktive 95/46/ES.

3.4.6.2. Oddelek 2 – Naloge in pooblastila

Člen 51 določa pristojnost nadzornih organov. Splošno pravilo na podlagi člena 28(6) Direktive 95/46/ES (pristojnost na ozemlju lastne države članice) je dopolnjeno z novo pristojnostjo nadzornega organa kot vodilnega organa, da v primeru, ko ima upravljavec ali obdelovalec sedež v več državah članicah, zagotovi enotnost uporabe („vse na enem mestu“). Sodišča so, kadar delujejo kot sodni organ, izvzeta iz spremljanja s strani nadzornega organa, vendar morajo uporabljati materialne določbe varstva podatkov.

Člen 52 določa naloge nadzornega organa, vključno z obravnavanjem in preiskovanjem pritožb ter spodbujanjem ozaveščenosti javnosti o tveganju, pravilih, zaščitnih ukrepih in pravicah.

Člen 53 določa pooblastila nadzornega organa, pri čemer deloma temelji na členu 28(3) Direktive 95/46/ES in členu 47 Uredbe (ES) št. 45/2001, dodaja pa tudi nekaj novih elementov, vključno s pooblastilom za kaznovanje upravnih kršitev.

Člen 54, ki temelji na členu 28(5) Direktive 95/46/ES, od nadzornih organov zahteva, da pripravijo letna poročila o dejavnostih.

3.4.7. POGLAVJE VII – SODELOVANJE IN SKLADNOST 3.4.7.1. Oddelek 1 – Sodelovanje

Člen 55 uvaja pravila o obvezni medsebojni pomoči, vključno s posledicami neizpolnjevanja zahteve drugega nadzornika, pri čemer temelji na drugem pododstavku člena 28(6) Direktive 95/46/ES.

Člen 56 uvaja pravila o skupnem ukrepanju, pri čemer se zgleduje po členu 17 Sklepa Sveta 2008/615/PNZ[37], vključno s pravico nadzornih organov, da sodelujejo pri takem ukrepanju.

3.4.7.2. Oddelek 2 – Skladnost

Člen 57 uvaja mehanizem za skladnost, ki zagotavlja enotnost uporabe glede obdelav, ki so lahko povezane s posamezniki, na katere se nanašajo osebni podatki, v več državah članicah.

Člen 58 določa postopke in pogoje za mnenje Evropskega odbora za varstvo podatkov.

Člen 59 se nanaša na mnenja Komisije o zadevah, ki se obravnavajo v okviru mehanizma za skladnost, s katerimi lahko Komisija bodisi potrdi mnenje Evropskega odbora za varstvo podatkov ali izrazi nestrinjanje s tem mnenjem, in na osnutek ukrepa nadzornega organa. Kadar na zadevo opozori Evropski odbor za varstvo podatkov na podlagi člena 58(3), se lahko pričakuje, da bo Komisija izvajala svojo diskrecijsko pravico in po potrebi podala mnenje.

Člen 60 se nanaša na sklepe Komisije, s katerimi od pristojnega organa zahteva, da osnutek ukrepa začasno prekliče, če je to potrebno zaradi zagotavljanja pravilne uporabe te uredbe.

Člen 61 določa možnost sprejetja začasnih ukrepov z nujnim postopkom.

Člen 62 določa zahteve za izvedbene akte Komisije v okviru mehanizma za skladnost.

Člen 63 določa obveznost izvrševanja ukrepov nadzornega organa v vseh zadevnih državah članicah, določa pa tudi, da je uvedba mehanizma za skladnost predpogoj za pravno veljavnost in izvajanje zadevnega ukrepa.

3.4.7.3. Oddelek 3 – Evropski odbor za varstvo podatkov

Člen 64 ustanavlja Evropski odbor za varstvo podatkov, ki ga sestavljajo vodje nadzornih organov vsake države članice in Evropski nadzornik za varstvo podatkov. Evropski odbor za varstvo podatkov nadomešča delovno skupino za varstvo posameznikov pri obdelavi osebnih podatkov iz člena 29 Direktive 95/46/ES. Pojasnjeno je, da Komisija ni članica Evropskega odbora za varstvo podatkov, vendar ima pravico do sodelovanja v dejavnostih in do zastopanosti.

Člen 65 poudarja in pojasnjuje neodvisnost Evropskega odbora za varstvo podatkov.

Člen 66, ki temelji na členu 30(1) Direktive 95/46/ES, opisuje naloge Evropskega odbora za varstvo podatkov in določa dodatne elemente, ki odražajo povečan obseg dejavnosti Evropskega odbora za varstvo podatkov, v Uniji in drugod. Da bi lahko Komisija v nujnih primerih ukrepala, ji zagotavlja možnost, da zaprosi za mnenje v določenem roku.

Člen 67 od Evropskega odbora za varstvo podatkov zahteva, da letno poroča o svojih dejavnostih, pri čemer se opira na člen 30(6) Direktive 95/46/ES.

Člen 68 določa postopke odločanja Evropskega odbora za varstvo podatkov, vključno z obveznostjo sprejetja poslovnika, ki mora obsegati tudi način delovanja.

Člen 69 vsebuje določbe o predsedniku in namestnikih predsednika Evropskega odbora za varstvo podatkov.

Člen 70 določa naloge predsednika.

Člen 71 določa, da sekretariat Evropskega odbora za varstvo podatkov zagotovi Evropski nadzornik za varstvo podatkov, in navaja naloge sekretariata.

Člen 72 določa pravila o zaupnosti.

3.4.8. POGLAVJE VIII – PRAVNA SREDSTVA, ODGOVORNOST IN SANKCIJE

Člen 73 določa pravico vsakega posameznika, na katerega se nanašajo osebni podatki, da pri nadzornem organu vloži pritožbo, kar temelji na členu 28(4) Direktive 95/46/ES. Določa tudi organe, organizacije ali združenja, ki lahko vložijo pritožbo v imenu posameznika, na katerega se nanašajo osebni podatki, in tudi neodvisno od pritožbe posameznika, na katerega se nanašajo osebni podatki, v primeru kršitve varnosti osebnih podatkov.

Člen 74 se nanaša na pravico do pravnega sredstva v sodnem postopku zoper nadzorni organ. Temelji na splošni določbi člena 28(3) Direktive 95/46/ES. Določa pravno sredstvo, na podlagi katerega je nadzorni organ zavezan k ukrepanju v zvezi s pritožbo, in pojasnjuje pristojnost sodišč držav članic, v katerih je nadzorni organ ustanovljen. Omogoča tudi možnost, da nadzorni organ države članice, v kateri je stalno prebivališče posameznika, na katerega se nanašajo osebni podatki, v imenu posameznika, na katerega se nanašajo osebni podatki, začne postopek pred sodiščem druge države članice, v kateri je sedež pristojnega nadzornega organa.

Člen 75 se nanaša na pravico do pravnega sredstva v sodnem postopku zoper upravljavca ali obdelovalca, pri čemer temelji na členu 22 Direktive 95/46/ES, in zagotavlja možnost sprožitve postopka pred sodiščem države članice, v kateri ima obtoženec sedež ali v kateri prebiva posameznik, na katerega se nanašajo osebni podatki. Če se postopki glede iste zadeve obravnavajo v mehanizmu za skladnost, lahko sodišče, razen v nujnem primeru, svoje postopke ustavi.

Člen 76 določa splošna pravila za sodne postopke, vključno s pravicami organov, organizacij ali združenj, da posameznike, na katere se nanašajo osebni podatki, zastopajo pred sodišči, pravico nadzornih organov, da sodelujejo v pravnem postopku, informacijami sodišč o vzporednih postopkih v drugi državi članici in možnostjo sodišč, da v takem primeru postopke ustavijo[38]. Države članice morajo zagotoviti hitro ukrepanje sodišča[39].

Člen 77 določa pravico do odškodnine in odgovornost. Temelji na členu 23 Direktive 95/46/ES, pri čemer razširja to pravico v primeru škode, ki jo povzročijo obdelovalci, ter pojasnjuje odgovornost skupnih upravljavcev in skupnih obdelovalcev.

Člen 78 države članice zavezuje, da določijo kazenske sankcije, sankcionirajo kršitve Uredbe in zagotovijo izvajanje določb Uredbe.

Člen 79 zavezuje vsak nadzorni organ, da kaznuje upravne kršitve, navedene v katalogih iz te določbe, in pri tem ob upoštevanju okoliščin vsakega posameznega primera določi kazni do najvišjega zneska.

3.4.9. POGLAVJE IX – DOLOČBE O POSEBNIH PRIMERIH OBDELAVE PODATKOV

Člen 80 države članice zavezuje, da sprejmejo izjeme in odstopanja od posebnih določb Uredbe, če je to potrebno zaradi uskladitve pravice do varstva osebnih podatkov s pravico do svobode izražanja. Temelji na členu 9 Direktive 95/46/ES, kot ga razlaga Sodišče EU[40].

Člen 81 države članice zavezuje, poleg pogojev za posebne vrste podatkov, da zagotovijo posebne zaščitne ukrepe za obdelavo v zdravstvene namene.

Člen 82 določa pooblastilo držav članic, da sprejmejo posebne zakone za obdelavo osebnih podatkov v okviru zaposlitve.

Člen 83 določa posebne pogoje za obdelavo osebnih podatkov v zgodovinske, statistične in znanstvenoraziskovalne namene.

Člen 84 države članice pooblašča, da sprejmejo posebne predpise o dostopu nadzornih organov do osebnih podatkov in prostorov v primerih, v katerih za upravljavce velja obveznost molčečnosti.

Člen 85 ob upoštevanju člena 17 Pogodbe o delovanju Evropske unije omogoča nadaljnjo uporabo veljavnih celovitih pravil cerkva o varstvu podatkov, če se uskladijo s to uredbo.

3.4.10. POGLAVJE X – DELEGIRANI IN IZVEDBENI AKTI

Člen 86 vsebuje standardne določbe o prenosu pooblastil v skladu s členom 290 PDEU. Zakonodajnemu organu to omogoča, da na Komisijo prenese pooblastilo za sprejemanje nezakonodajnih aktov, ki se splošno uporabljajo in dopolnjujejo ali spreminjajo nekatere nebistvene elemente zakonodajnega akta (kvazi zakonodajni akti).

Člen 87 vsebuje določbo o postopku v odboru, ki je potreben za prenos izvedbenih pooblastil na Komisijo, kadar so v skladu s členom 291 PDEU potrebni enotni pogoji za izvajanje pravno zavezujočih aktov Unije. Uporablja se postopek pregleda.

3.4.11. POGLAVJE XI – KONČNE DOLOČBE

Člen 88 razveljavlja Direktivo 95/46/ES.

Člen 89 pojasnjuje povezavo z Direktivo o e-zasebnosti 2002/58/ES in navedeno direktivo spreminja.

Člen 90 določa obveznost Komisije, da oceni izvajanje Uredbe in o tem poroča.

Člen 91 določa dan začetka veljavnosti Uredbe in prehodno obdobje glede dneva začetka uporabe.

4.           PRORAČUNSKE POSLEDICE

Posebne proračunske posledice predloga so povezane z nalogami Evropskega nadzornika za varstvo podatkov, kot so opredeljene v oceni finančnih posledic zakonodajnega predloga, ki je priložena temu predlogu. Te posledice zahtevajo spremembo razdelka 5 finančne perspektive.

Predlog nima posledic za odhodke iz poslovanja.

Ocena finančnih posledic zakonodajnega predloga, ki je priložena temu predlogu uredbe, obsega proračunske posledice te uredbe in direktive o varstvu podatkov na področjih policije in kazenskega pravosodja.

2012/0011 (COD)

Predlog

UREDBA EVROPSKEGA PARLAMENTA IN SVETA

o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov)

(Besedilo velja za EGP)

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije, zlasti členov 16(2) in 114(1) Pogodbe,

ob upoštevanju predloga Evropske komisije,

po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,

ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora[41],

po posvetovanju z Evropskim nadzornikom za varstvo podatkov[42],

v skladu z rednim zakonodajnim postopkom,

ob upoštevanju naslednjega:

(1) Varstvo fizičnih oseb pri obdelavi osebnih podatkov je temeljna pravica. Člen 8(1) Listine Evropske unije o temeljnih pravicah in člen 16(1) Pogodbe določata, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj.

(2) Obdelava osebnih podatkov je namenjena temu, da služi človeku; načela in predpisi o varstvu posameznikov pri obdelavi njihovih osebnih podatkov morajo ne glede na državljanstvo ali prebivališče fizičnih oseb spoštovati njihove temeljne pravice in svoboščine, predvsem pravico do varstva osebnih podatkov. Prispevati mora k oblikovanju območja svobode, varnosti in pravice ter gospodarske unije, h gospodarskemu in družbenemu napredku, krepitvi in uskladitvi gospodarstev na notranjem trgu ter blaginji posameznikov.

(3) Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov[43] je namenjena uskladitvi varstva temeljnih pravic in svoboščin fizičnih oseb pri dejavnostih obdelave in zagotavljanju prostega pretoka osebnih podatkov med državami članicami.

(4) Gospodarsko in socialno povezovanje, ki izhaja iz delovanja notranjega trga, je prineslo občutno povečanje čezmejnih prenosov. Izmenjava podatkov med gospodarskimi in družbenimi, javnimi in zasebnimi akterji v Uniji se je povečala. Nacionalni organi držav članic so na podlagi prava Unije pozvani k sodelovanju in izmenjavi osebnih podatkov, da bi lahko opravljali svoje dolžnosti ali izvajali naloge v imenu organa v drugi državi članici.

(5) Hiter tehnološki razvoj in globalizacija sta prinesla nove izzive za varstvo osebnih podatkov. Obseg izmenjave in zbiranja podatkov se je bistveno povečal. Tehnologija zasebnim podjetjem in javnim organom omogoča, da osebne podatke uporabljajo za izvajanje svojih dejavnosti v obsegu, kakršnega še ni bilo. Posamezniki vedno bolj dajejo osebne podatke na razpolago tako javno kot globalno. Tehnologija je spremenila gospodarstvo in družbeno življenje ter zahteva nadaljnje lajšanje prostega pretoka podatkov v Uniji ter prenosa v tretje države in mednarodne organizacije, pri čemer je treba zagotoviti visoko raven varstva osebnih podatkov.

(6) Zato je treba oblikovati trden in skladnejši okvir za varstvo podatkov v Uniji, podprt z doslednim izvajanjem; bistvenega pomena je, da se oblikuje zaupanje, ki bo digitalnemu gospodarstvu omogočilo razvoj na notranjem trgu. Posamezniki morajo imeti nadzor nad lastnimi osebnimi podatki, pravna in praktična varnost posameznikov, gospodarskih subjektov in javnih organov pa morata biti okrepljeni.

(7) Cilji in načela Direktive 95/46/ES še vedno veljajo, vendar to ni preprečilo razdrobljenosti na področju izvajanja varstva osebnih podatkov v Uniji, pravne negotovosti in razširjenega javnega mnenja, da so precejšnje nevarnosti za varstvo posameznikov povezane zlasti s spletno dejavnostjo. Različne ravni varstva pravic in svoboščin posameznikov, zlasti pravice do varstva osebnih podatkov pri obdelavi osebnih podatkov v državah članicah, lahko preprečijo prosti pretok osebnih podatkov v Uniji. Te razlike lahko predstavljajo oviro pri izvajanju gospodarskih dejavnosti na ravni Unije, izkrivljajo konkurenco in ovirajo organe pri izpolnjevanju njihovih obveznosti na podlagi prava Unije. Te različne ravni varstva izhajajo iz različnega izvajanja in uporabe Direktive 95/46/ES.

(8) Za zagotovitev dosledne in visoke ravni varstva posameznikov in odstranitev ovir za prenos osebnih podatkov bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov enaka v vseh državah članicah. V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin fizičnih oseb pri obdelavi osebnih podatkov.

(9) Za učinkovito varstvo osebnih podatkov v Uniji je treba okrepiti in podrobneje opredeliti pravice posameznikov, na katere se nanašajo osebni podatki, ter obveznosti tistih, ki obdelujejo osebne podatke in določajo postopke obdelave, pa tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili varstva osebnih podatkov ter enake sankcije za kršitelje v državah članicah.

(10) Člen 16(2) Pogodbe Evropski parlament in Svet pooblašča, da določita pravila o varstvu posameznikov pri obdelavi osebnih podatkov in pravila o prostem pretoku osebnih podatkov.

(11) Za zagotovitev skladne ravni varstva posameznikov v vsej Uniji in preprečitev, da bi razlike ovirale prosti pretok podatkov na notranjem trgu, je potrebna uredba, ki bo gospodarskim subjektom, vključno z mikro-, malimi in srednje velikimi podjetji, zagotovila pravno varnost in preglednost, posameznikom v vseh državah članicah zagotovila enako raven pravno izvršljivih pravic, določila enake obveznosti in odgovornosti upravljavcev in obdelovalcev ter zagotovila dosledno spremljanje obdelave osebnih podatkov, enakovredne sankcije v vseh državah članicah in učinkovito sodelovanje nadzornih organov različnih držav članic. Za upoštevanje posebnega položaja mikro-, malih in srednje velikih podjetij ta uredba vsebuje številna odstopanja. Poleg tega se institucije in organi Unije, države članice in njihovi nadzorni organi spodbujajo, da posebne potrebe mikro-, malih in srednje velikih podjetij upoštevajo pri uporabi te uredbe. Pojem mikro-, malih in srednje velikih podjetij bi moral temeljiti na Priporočilu Komisije 2003/361/ES z dne 6. maja 2003 o opredelitvi mikro-, malih in srednje velikih podjetij.

(12) Varstva, zagotovljenega s to uredbo, bi morale biti v zvezi z obdelavo osebnih podatkov deležne fizične osebe, ne glede na njihovo državljanstvo ali stalno prebivališče. Pravne osebe in zlasti podjetja, ustanovljena kot pravne osebe, katerih podatki, vključno z imenom in obliko ter kontaktnimi podatki pravne osebe, se obdelujejo, ne bi smele zahtevati varstva iz te uredbe. To bi moralo veljati tudi, kadar ime pravne osebe vsebuje ime ene ali več fizičnih oseb.

(13) Varstvo posameznikov bi moralo biti tehnološko nevtralno in neodvisno od uporabljenih metod, sicer bi to ustvarilo resno tveganje izogibanja izpolnjevanju obveznosti. Varstvo posameznikov bi moralo veljati za obdelavo osebnih podatkov s samodejnimi sredstvi in za ročno obdelavo, če podatki sestavljajo del zbirke ali so namenjeni oblikovanju dela zbirke. Zapisi ali nizi zapisov in njihove naslovnice, ki niso strukturirani v skladu s posebnimi merili, ne bi smeli spadati na področje uporabe te uredbe.

(14) Ta uredba ne obravnava vprašanj varstva temeljnih pravic in svoboščin ali prostega pretoka podatkov, povezanih z dejavnostmi, ki ne sodijo na področje uporabe prava Unije, prav tako pa ne zajema obdelave osebnih podatkov s strani institucij, organov, uradov in agencij Unije, za katere se uporablja Uredba (ES) št. 45/2001[44], ali obdelave osebnih podatkov s strani držav članic pri izvajanju dejavnosti v zvezi s skupno zunanjo in varnostno politiko Unije.

(15) Ta uredba se ne bi smela uporabljati za obdelavo osebnih podatkov s strani fizične osebe, ki so izključno osebni ali domači, kot sta korespondenca in seznam naslovov, in brez pridobitnega interesa ter s tem brez kakršne koli povezave s poklicno ali komercialno dejavnostjo. Ta izjema se prav tako ne bi smela uporabljati za upravljavce ali obdelovalce, ki zagotavljajo sredstva za obdelavo osebnih podatkov za take osebne ali domače dejavnosti.

(16) Za varstvo posameznikov pri obdelavi osebnih podatkov s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij in prosti pretok takih podatkov se uporablja posebni pravni akt na ravni Unije. Zato se ta uredba ne bi smela uporabljati za dejavnosti obdelave v te namene. Vendar mora obdelavo osebnih podatkov s strani javnih organov na podlagi te uredbe, kadar se uporablja za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, urejati bolj poseben pravni akt na ravni Unije (Direktiva XX/YYY).

(17) Ta uredba ne bi smela posegati v uporabo Direktive 2000/31/ES, zlasti predpisov o odgovornosti posrednih ponudnikov storitev iz členov 12 do 15 navedene direktive.

(18) Ta uredba omogoča upoštevanje načela dostopa javnosti do uradnih dokumentov pri uporabi določb iz te uredbe.

(19) Vsaka obdelava osebnih podatkov v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Uniji bi morala biti izvedena v skladu s to uredbo, ne glede na to, ali sama obdelava poteka v Uniji ali ne. Ustanovitev pomeni učinkovito in dejansko izvajanje dejavnosti prek ustaljenih režimov. Pravna oblika take ustanovitve, ki je bodisi izpostava ali podružnica, ki je pravna oseba, v tem pogledu ni odločujoči dejavnik.

(20) Za zagotovitev, da posamezniki niso prikrajšani za varstvo, do katerega so upravičeni na podlagi te uredbe, bi morala biti obdelava osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki stalno prebivajo v Uniji, s strani upravljavca, ki nima sedeža v Uniji, predmet te uredbe, kadar so postopki obdelave povezani z nudenjem blaga ali storitev takim posameznikom, na katere se nanašajo osebni podatki, ali spremljanjem vedenja takih posameznikov.

(21) Za ugotovitev, ali se za dejavnost obdelave lahko šteje, da „spremlja vedenje“ posameznikov, na katere se nanašajo osebni podatki, bi bilo treba preveriti, ali se posameznikom sledi na internetu s tehnikami obdelave podatkov, ki obsegajo določanje „profila“ posameznika, zlasti z namenom sprejemanja odločitev o zadevni osebi oziroma za analiziranje ali predvidevanje osebnega okusa in vedenja zadevne osebe.

(22) Kadar se zakonodaja države članice uporablja na podlagi mednarodnega javnega prava, bi morala ta uredba veljati tudi za upravljavca, ki nima sedeža v Uniji, na primer v diplomatskem ali konzularnem predstavništvu države članice.

(23) Načela varstva bi se morala uporabljati za katere koli informacije v zvezi z določeno ali določljivo osebo. Za odločitev, ali je oseba določljiva, je treba upoštevati vsa sredstva, za katera se pričakuje, da jih bo za določitev posameznika uporabil bodisi upravljavec bodisi katera koli druga oseba. Načela varstva podatkov se ne bi smela uporabljati za podatke, ki so anonimizirani na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni več določljiv.

(24) Pri uporabi spletnih storitev so lahko posamezniki povezani s spletnimi identifikatorji, ki jih zagotovijo njihove naprave, aplikacije, orodja in protokoli, kot so naslovi internetnega protokola ali identifikatorji piškotkov. To lahko pusti sledi, ki se lahko skupaj z edinstvenimi identifikatorji in drugimi informacijami, ki jih prejmejo strežniki, uporabijo za oblikovanje profilov posameznikov in njihovo identifikacijo. Iz tega sledi, da identifikacijskih številk, podatkov o lokaciji, spletnih identifikatorjev ali drugih posebnih dejavnikov ni treba vedno šteti za osebne podatke v vseh okoliščinah.

(25) Privolitev bi morala biti dana izrecno s katero koli ustrezno metodo, ki omogoča prostovoljno dano posebno in informirano izjavo volje posameznika, na katerega se nanašajo osebni podatki, tj. z izjavo ali jasnim pritrdilnim dejanjem takega posameznika, kar zagotavlja, da posamezniki vedo, da dajejo privolitev za obdelavo osebnih podatkov, vključno s tem, da ob obisku spletne strani na internetu označijo okence, ali katero koli drugo izjavo ali ravnanjem, ki s tem v zvezi jasno kaže privolitev takega posameznika v predlagano obdelavo njegovih osebnih podatkov. Molk ali nedejavnost zato ne bi smela pomeniti privolitve. Privolitev bi morala zajemati vse dejavnosti obdelave, izvedene v isti namen ali namene. Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana na podlagi elektronske zahteve, mora biti zahteva jasna in natančna, prav tako pa ne sme biti po nepotrebnem moteča za uporabo storitve, za katero se zagotavlja.

(26) Osebni podatki v zvezi z zdravjem bi morali obsegati zlasti vse podatke v zvezi z zdravstvenim stanjem posameznika, na katerega se nanašajo osebni podatki, informacije o registraciji posameznika za zagotavljanje zdravstvenih storitev, informacije o plačilih ali upravičenosti posameznika do zdravstvenega varstva, številko, znak ali posebno oznako, dodeljeno posamezniku za njegovo enolično identifikacijo v zdravstvene namene, vse informacije o posamezniku, zbrane med nudenjem zdravstvenih storitev posamezniku, informacije, pridobljene s testiranjem ali preiskavo dela telesa ali telesne snovi, vključno z biološkimi vzorci, istovetnost osebe, ki posamezniku nudi storitve zdravstvenega varstva, ali vse informacije, npr. o bolezni, invalidnosti, tveganju za nastanek bolezni, zdravstveni anamnezi, kliničnem zdravljenju ali o dejanskem fiziološkem ali biomedicinskem stanju posameznika, na katerega se nanašajo osebni podatki, ne glede na vir teh podatkov, kot je npr. zdravnik ali drug zdravstveni delavec, bolnišnica, medicinski pripomoček ali diagnostični preskus in vitro.

(27) Glavni sedež upravljavca v Uniji bi moral biti določen v skladu z objektivnimi merili ter bi moral pomeniti učinkovito in dejansko izvajanje dejavnosti upravljanja, ki glavne odločitve glede namenov, pogojev in sredstev za obdelavo določajo prek ustaljenih režimov. To merilo ne bi smelo biti odvisno od tega, ali se obdelava osebnih podatkov v tem kraju dejansko izvaja; prisotnost in uporaba tehničnih sredstev in tehnologij za obdelavo osebnih podatkov ali dejavnosti obdelave sami po sebi ne pomenijo glavnega sedeža in zato niso odločujoče merilo za matično podjetje. Glavni sedež obdelovalca bi moral biti kraj njegove osrednje uprave v Uniji.

(28) Povezana družba bi morala zajemati obvladujočo družbo in njene odvisne družbe, pri čemer mora biti obvladujoča družba družba, ki lahko izvršuje prevladujoč vpliv nad drugimi družbami z, na primer, lastništvom, finančnim deležem ali pravili, ki urejajo njeno delovanje, ali pooblastilom za izvajanje predpisov o varstvu osebnih podatkov.

(29) Otroci potrebujejo posebno varstvo njihovih osebnih podatkov, saj se morda manj zavedajo nevarnosti in posledic ter slabše poznajo zaščitne ukrepe in pravice v zvezi z obdelavo osebnih podatkov. Za določitev, kdaj je posameznik otrok, bi morala ta uredba uporabiti opredelitev iz Konvencije ZN o otrokovih pravicah.

(30) Vsaka obdelava osebnih podatkov bi morala biti zakonita, poštena in pregledna glede na zadevne posameznike. Zlasti posebni nameni, za katere se podatki obdelujejo, bi morali biti jasno določeni in zakoniti ter določeni v času zbiranja podatkov. Podatki bi morali biti primerni, ustrezni in omejeni na nujno potrebne za namene, za katere se obdelujejo; zato je treba zlasti zagotoviti, da zbrani podatki niso čezmerni in da je obdobje shranjevanja omejeno na najkrajše možno. Osebni podatki se lahko obdelujejo samo, če namena obdelave ni bilo mogoče doseči z drugimi sredstvi. Sprejeti bi se morali vsi smiselni ukrepi za popravek ali izbris netočnih osebnih podatkov. Za zagotovitev, da se podatki hranijo le toliko časa, kolikor je potrebno, bi moral upravljavec določiti roke za izbris ali občasno preverjanje.

(31) Da bi bila obdelava zakonita, morajo biti osebni podatki obdelani na podlagi privolitve zadevne osebe ali na kakršni koli drugi pravni podlagi, določeni z zakonom, bodisi v tej uredbi ali drugi zakonodaji Unije ali zakonodaji držav članic, kot je navedeno v tej uredbi.

(32) Kadar obdelava temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, bi moral upravljavec dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v postopek obdelave. Zlasti v okviru pisne izjave o drugi zadevi bi morali zaščitni ukrepi zagotoviti, da se posameznik, na katerega se nanašajo osebni podatki, zaveda, da daje privolitev in v kakšnem obsegu.

(33) Za zagotovitev prostovoljne privolitve bi bilo treba pojasniti, da privolitev ne pomeni veljavne pravne podlage, če posameznik nima dejanske in prostovoljne izbire in zato privolitve ne more zavrniti ali preklicati brez škode.

(34) Privolitev ne bi smela pomeniti veljavne pravne podlage za obdelavo osebnih podatkov, če obstaja očitno neravnovesje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem. To velja zlasti, kadar je posameznik, na katerega se nanašajo osebni podatki, odvisen od upravljavca, med drugim, kadar osebne podatke zaposlenega v okviru zaposlitve obdeluje delodajalec. Kadar je upravljavec javni organ, bi neravnovesje obstajalo samo v primeru posebnih postopkov obdelave podatkov, ko lahko javni organ s svojimi zadevnimi javnimi pooblastili uvede obveznost in se ob upoštevanju interesa posameznika, na katerega se nanašajo osebni podatki, za privolitev ne more šteti, da je dana prostovoljno.

(35) Obdelava bi morala biti zakonita, kadar je to potrebno na podlagi pogodbe ali predvidene sklenitve pogodbe.

(36) Kadar se obdelava izvaja v skladu z zakonsko obveznostjo, ki velja za upravljavca, ali če je obdelava potrebna za izvajanje naloge v javnem interesu ali pri izvajanju javne oblasti, mora biti pravna podlaga za obdelavo zakonodaja Unije ali zakonodaja držav članic, ki izpolnjuje zahteve Listine Evropske unije o temeljnih pravicah glede omejevanja pravic in svoboščin. Prav tako je naloga zakonodaje Unije ali zakonodaje držav članic, da določi, ali naj bo upravljavec, ki nalogo izvaja v javnem interesu ali pri izvajanju javne oblasti, državna uprava ali druga fizična ali pravna oseba, ki jo ureja javno pravo, ali pa fizična ali pravna oseba, ki jo ureja zasebno pravo, kot na primer poklicno združenje.

(37) Obdelava osebnih podatkov bi se morala prav tako šteti za zakonito, kadar je potrebna za zaščito interesa, ki je bistven za življenje posameznika, na katerega se nanašajo osebni podatki.

(38) Pravni interesi upravljavca lahko pomenijo pravno podlago za obdelavo, če ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki. Glede tega bi bila skrbna ocena potrebna zlasti, če je tak posameznik otrok, saj otroci potrebujejo posebno varstvo. Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da brezplačno ugovarja obdelavi na podlagi razlogov, povezanih z njegovim posebnim položajem. Za zagotovitev preglednosti bi moral biti upravljavec zavezan, da posameznika, na katerega se nanašajo osebni podatki, izrecno obvesti o pravnih interesih, za katere si prizadeva, in o pravici do ugovora, prav tako pa bi moral te pravne interese dokumentirati. Glede na to, da mora zakonodajalec z zakonom določiti pravno podlago za obdelavo podatkov s strani javnih organov, ta pravna podlaga ne bi smela veljati za obdelavo s strani javnih organov pri izvajanju njihovih nalog.

(39) Obdelava podatkov v obsegu, nujno potrebnem za zagotovitev varnosti omrežja in informacij, tj. zmožnosti omrežja ali informacijskega sistema, da na dani ravni zaupanja prepreči slučajne dogodke ali nezakonita ali zlonamerna dejanja, ki ogrožajo dostopnost, avtentičnost, celovitost in zaupnost shranjenih ali prenesenih podatkov ter varnost s tem povezanih storitev, ki jih ponujajo ali so dostopne preko teh omrežij in sistemov, s strani javnih organov, skupin za odzivanje na računalniške grožnje (CERT), skupin za odzivanje na računalniške varnostne incidente (CSIRT), ponudnikov elektronskih komunikacijskih omrežij in storitev ter ponudnikov varnostnih tehnologij in storitev pomeni pravni interes zadevnega upravljavca podatkov. To bi lahko vključevalo na primer preprečevanje nepooblaščenega dostopa do elektronskih komunikacijskih omrežij, širjenja zlonamernih kod, napadov, ki povzročajo zavrnitev storitve, ter škode na računalniških in elektronskih komunikacijskih sistemih.

(40) Obdelava osebnih podatkov v druge namene bi morala biti dovoljena le, če je skladna s tistimi nameni, za katere so bili podatki prvotno zbrani, zlasti kadar je obdelava potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene. Če ta drugi namen ni skladen s prvotnim namenom, za katerega so podatki zbrani, bi moral upravljavec za ta drugi namen pridobiti privolitev posameznika, na katerega se nanašajo osebni podatki, ali pa bi moral obdelavo utemeljiti na drugi zakoniti podlagi za zakonito obdelavo, zlasti kadar to določa zakonodaja Unije ali zakonodaja držav članic, ki velja za upravljavca. V vsakem primeru bi morala biti zagotovljena uporaba načel iz te uredbe in zlasti obveščanje posameznika, na katerega se nanašajo osebni podatki, o teh drugih namenih.

(41) Osebne podatke, ki so po svoji naravi še zlasti občutljivi in ranljivi glede temeljnih pravic ali zasebnosti, je treba še posebej varovati. Taki podatki se brez izrecne privolitve posameznika, na katerega se nanašajo osebni podatki, ne smejo obdelovati. Vendar morajo biti odstopanja od te prepovedi izrecno predvidena glede posebnih potreb, zlasti kadar se obdelava izvaja v okviru zakonitih dejavnosti nekaterih združenj ali ustanov, katerih namen je omogočati uveljavljanje temeljnih svoboščin.

(42) Odstopanje od prepovedi obdelave občutljivih vrst podatkov bi moralo biti dovoljeno tudi, če to določa zakon, in ob upoštevanju ustreznih zaščitnih ukrepov, da se zaščitijo osebni podatki in druge temeljne pravice, kadar to upravičuje javni interes in zlasti v zdravstvene namene, vključno z javnim zdravjem in socialnim varstvom ter upravljanjem storitev zdravstvenega varstva, predvsem za zagotavljanje kakovosti in stroškovne učinkovitosti postopkov, ki se uporabljajo za reševanje zahtevkov za dajatve in storitve v sistemu zdravstvenega zavarovanja, ali v zgodovinske, statistične in znanstvenoraziskovalne namene.

(43) Poleg tega se obdelava osebnih podatkov uradno priznanih verskih skupnosti s strani državnih organov za doseganje ciljev, ki so določeni v ustavnem pravu ali mednarodnem javnem pravu, izvaja zaradi javnega interesa.

(44) Kadar med volilnimi dejavnostmi delovanje demokratičnega sistema v državi članici zahteva, da politične stranke zberejo podatke o političnem prepričanju ljudi, se lahko obdelava takih podatkov dovoli zaradi javnega interesa, če so vzpostavljeni ustrezni zaščitni ukrepi.

(45) Če podatki, ki jih upravljavec obdeluje, upravljavcu ne omogočajo identifikacije fizične osebe, upravljavec podatkov ne bi smel biti zavezan k pridobivanju dodatnih informacij, da bi ugotovil istovetnost posameznika, na katerega se nanašajo osebni podatki, samo zaradi skladnosti s katero koli določbo te uredbe. V primeru zahteve po dostopu bi moral upravljavec imeti pravico, da od posameznika, na katerega se nanašajo osebni podatki, zahteva dodatne informacije, ki bodo upravljavcu podatkov omogočile, da najde osebne podatke, ki jih ta oseba išče.

(46) Načelo preglednosti zahteva, da so vse informacije, ki se nanašajo na javnost ali posameznika, na katerega se nanašajo osebni podatki, lahko dostopne in razumljive ter izražene v jasnem in preprostem jeziku. To je še zlasti pomembno, kadar v primerih, kot je spletno oglaševanje, posameznik, na katerega se nanašajo osebni podatki, zaradi velikega števila akterjev in tehnološke zapletenosti težko ve in razume, ali se zbirajo osebni podatki, kdo jih zbira in v kakšen namen. Glede na to, da otroci potrebujejo posebno varstvo, bi morale biti vse informacije in vsa komunikacija, pri katerih se obdelava nanaša posebej na otroka, v tako jasnem in preprostem jeziku, da ga lahko otrok zlahka razume.

(47) Zagotoviti bi bilo treba načine za olajšanje uveljavljanja pravic posameznika, na katerega se nanašajo osebni podatki, ki jih zagotavlja ta uredba, vključno z mehanizmi, s katerimi se brezplačno zahtevajo zlasti dostop do podatkov, popravek, izbris in uveljavljanje pravice do ugovora. Upravljavec bi moral biti zavezan, da na zahtevo posameznika, na katerega se nanašajo osebni podatki, odgovori v določenem roku in da v primeru neizpolnitve zahteve posameznika navede razloge za to.

(48) Načeli poštene in pregledne obdelave zahtevata, da je treba posameznika, na katerega se nanašajo osebni podatki, obvestiti zlasti o obstoju postopka obdelave in njegovih namenih, o času trajanja shranjevanja podatkov, o obstoju pravice do dostopa, popravka ali izbrisa in o pravici do vložitve pritožbe. Kadar se podatki zberejo od posameznika, na katerega se nanašajo osebni podatki, ga je treba obvestiti tudi o tem, ali je dolžan predložiti podatke, in o posledicah, če takih podatkov ne predloži.

(49) Posameznikom, na katere se nanašajo osebni podatki, bi bilo treba informacije v zvezi z obdelavo osebnih podatkov, ki se nanje nanašajo, posredovati ob zbiranju podatkov ali, kadar se podatki ne pridobijo od posameznika, v primernem roku in odvisno od okoliščin primera. Kadar se lahko podatki zakonito posredujejo drugemu prejemniku, bi moral biti posameznik, na katerega se nanašajo osebni podatki, obveščen, ko se podatki prvič posredujejo prejemniku.

(50) Vendar pa izvajanje te obveznosti ni nujno, če ima posameznik, na katerega se nanašajo osebni podatki, te informacije že na voljo ali če je beleženje ali posredovanje izrecno določeno z zakonom ali če bi se zagotavljanje informacij posamezniku, na katerega se nanašajo osebni podatki, izkazalo za nemogoče ali bi vključevalo nesorazmeren napor. Do slednjega bi lahko prišlo zlasti, kadar se obdelava izvaja v zgodovinske, statistične ali znanstvenoraziskovalne namene; v zvezi s tem se lahko upošteva število posameznikov, na katere se nanašajo osebni podatki, starost podatkov in vsi sprejeti nadomestni ukrepi.

(51) Vsaka oseba bi morala imeti pravico dostopa do podatkov, ki so bili zbrani v zvezi z njo, in do enostavnega uveljavljanja te pravice, da bi se seznanila z obdelavo in preverila njeno zakonitost. Zato bi moral vsak posameznik, na katerega se nanašajo osebni podatki, imeti pravico do seznanitve s sporočilom in njegove pridobitve, zlasti o namenih obdelave podatkov, obdobju obdelave, prejemnikih podatkov, logiki podatkov, ki se obdelujejo, in možnih posledicah obdelave, vsaj v primerih, kadar podatki temeljijo na oblikovanju profilov. Ta pravica ne bi smela škodljivo vplivati na pravice in svoboščine drugih, vključno s poslovnimi skrivnostmi ali intelektualno lastnino, in predvsem na avtorske pravice, ki ščitijo programsko opremo. Vendar pa to ne sme povzročiti, da se posamezniku, na katerega se nanašajo osebni podatki, zavrnejo vse informacije.

(52) Upravljavec bi moral uporabiti vse primerne ukrepe za preverjanje istovetnosti posameznika, na katerega se nanašajo osebni podatki in ki zahteva dostop, zlasti v okviru spletnih storitev in spletnih identifikatorjev. Upravljavec ne bi smel hraniti osebnih podatkov samo zato, da se lahko odzove na morebitno zahtevo.

(53) Vsaka oseba bi morala imeti pravico do popravka osebnih podatkov v zvezi z njo in „pravico biti pozabljen“, kadar hramba takih podatkov ni v skladu s to uredbo. Posamezniki, na katere se nanašajo osebni podatki, bi morali imeti zlasti pravico do tega, da se njihovi osebni podatki izbrišejo in se več ne obdelujejo, kadar podatki niso več potrebni zaradi namenov, za katere so zbrani ali kako drugače obdelani, kadar so posamezniki preklicali svojo privolitev v obdelavo ali kadar nasprotujejo obdelavi osebnih podatkov, ki se nanje nanašajo, ali kadar obdelava njihovih osebnih podatkov kako drugače ni v skladu s to uredbo. Ta pravica je zlasti pomembna, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo privolitev kot otrok, ko se ni v celoti zavedal nevarnosti, povezanih z obdelavo, in želi pozneje take osebne podatke odstraniti, zlasti z interneta. Vendar pa bi morala biti nadaljnja hramba podatkov dovoljena, če je to potrebno v zgodovinske, statistične in znanstvenoraziskovalne namene, zaradi javnega interesa na področju javnega zdravja, za uveljavljanje pravice do svobode izražanja, kadar to zahteva zakon ali če obstaja razlog za omejitev obdelave podatkov namesto njihovega izbrisa.

(54) Za okrepitev „pravice biti pozabljen“ v spletnem okolju bi morala biti pravica do izbrisa razširjena tako, da mora upravljavec, ki je osebne podatke objavil, tretje osebe, ki take podatke obdelujejo, obvestiti, da posameznik, na katerega se nanašajo osebni podatki, zahteva izbris morebitnih povezav do teh osebnih podatkov ali kopij osebnih podatkov. Da bi upravljavec zagotovil te informacije, mora glede podatkov, za objavo katerih je odgovoren, sprejeti vse primerne ukrepe, vključno s tehničnimi. Glede objave osebnih podatkov s strani tretje osebe se upravljavec šteje za odgovornega, če je odobril objavo s strani tretje osebe.

(55) Za okrepitev nadzora nad lastnimi podatki in pravice do dostopa bi morali imeti posamezniki, na katere se nanašajo osebni podatki, pravico, da v primerih, kadar so osebni podatki obdelani z elektronskimi sredstvi in v strukturirani obliki v splošni rabi, pridobijo kopijo podatkov, ki se nanje nanašajo, tudi v elektronski obliki v splošni rabi. Posamezniku, na katerega se nanašajo osebni podatki, bi moralo biti dovoljeno tudi prenašanje podatkov, ki jih je predložil, iz ene avtomatizirane aplikacije, na primer družabnega omrežja, v drugo. To bi moralo veljati, kadar je posameznik, na katerega se nanašajo osebni podatki, na podlagi svoje privolitve ali pri izvajanju pogodbe zagotovil podatke avtomatiziranemu sistemu za obdelavo.

(56) V primerih, v katerih se lahko osebni podatki zakonito obdelujejo zaradi zaščite življenjskih interesov posameznika ali zaradi javnega interesa, izvajanja javne oblasti ali zaradi pravnih interesov upravljavca, bi moral imeti vsak posameznik, na katerega se nanašajo osebni podatki, pravico do ugovora glede obdelave vseh podatkov, ki so z njim povezani. Upravljavec bi moral dokazati, da njegovi pravni interesi prevladujejo nad interesi ali temeljnimi pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki.

(57) Kadar se osebni podatki obdelujejo zaradi neposrednega trženja, bi moral imeti posameznik, na katerega se nanašajo osebni podatki, pravico, da taki obdelavi ugovarja brezplačno in na način, ki ga je mogoče enostavno in učinkovito uveljavljati.

(58) Vsaka fizična oseba bi morala imeti pravico, da ni predmet ukrepa, ki temelji na oblikovanju profilov s samodejno obdelavo. Vendar bi moral biti tak ukrep dovoljen, kadar ga izrecno dovoljuje zakon, kadar je sprejet med sklepanjem ali izvrševanjem pogodbe ali kadar je posameznik, na katerega se nanašajo osebni podatki, dal privolitev. V vsakem primeru bi morali za take postopke veljati ustrezni zaščitni ukrepi, vključno s posebnim obveščanjem posameznika, na katerega se nanašajo osebni podatki, in pravico do človeškega posredovanja, veljati pa bi moralo tudi, da se tak ukrep ne sme nanašati na otroka.

(59) Omejitve posebnih načel in pravic do obveščenosti, dostopa, popravka in izbrisa ali pravice do prenosljivosti podatkov, pravice do ugovora, ukrepov, ki temeljijo na oblikovanju profilov, sporočanja o kršitvi varnosti osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki, in določenih s tem povezanih obveznosti upravljavcev se lahko uvedejo z zakonodajo Unije ali zakonodajo držav članic, če je to v demokratični družbi potrebno in sorazmerno zaradi zaščite javne varnosti, vključno z zaščito človeškega življenja, zlasti pri odzivu na naravne nesreče ali nesreče, ki jih povzroči človek, preprečevanja, preiskovanja in pregona kaznivih dejanj ali kršitev etike za zakonsko urejene poklice, drugih javnih interesov Unije ali države članice, vključno s pomembnim gospodarskim ali finančnim interesom, ali varstva posameznika, na katerega se nanašajo osebni podatki, oziroma pravic in svoboščin drugih. Te omejitve morajo biti skladne z zahtevami iz Listine Evropske unije o temeljnih pravicah in Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin.

(60) Uvesti bi bilo treba celovito pristojnost in odgovornost upravljavca glede vsake obdelave osebnih podatkov, ki jo izvede upravljavec ali je izvedena v njegovem imenu. Upravljavec bi moral zlasti zagotoviti in biti k temu zavezan, da dokaže skladnost vsakega postopka obdelave s to uredbo.

(61) Varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, pri obdelavi osebnih podatkov zahteva, da se sprejmejo ustrezni tehnični in organizacijski ukrepi, tako med načrtovanjem obdelave kot med samo obdelavo, in tako zagotovi, da so zahteve iz te uredbe izpolnjene. Za zagotovitev in dokaz skladnosti s to uredbo bi moral upravljavec sprejeti notranje politike in izvesti ustrezne ukrepe, ki izpolnjujejo zlasti načeli vgrajenega varstva podatkov.

(62) Varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, pa tudi pristojnost in odgovornost upravljavca in obdelovalca, tudi v povezavi s spremljanjem in ukrepi nadzornih organov, zahtevajo jasno razdelitev odgovornosti na podlagi te uredbe, tudi kadar upravljavec namene, pogoje in sredstva obdelave določi skupaj z drugimi upravljavci ali kadar je postopek obdelave izveden v imenu upravljavca.

(63) Kadar upravljavec, ki nima sedeža v Uniji, obdeluje osebne podatke posameznikov, na katere se nanašajo osebni podatki in ki stalno prebivajo v Uniji, ter se dejavnosti obdelave upravljavca nanašajo na nudenje blaga ali storitev takim posameznikom ali na spremljanje njihovega vedenja, bi moral upravljavec imenovati predstavnika, razen, če je sedež upravljavca v tretji državi, ki zagotavlja ustrezno raven varstva, oziroma je upravljavec malo ali srednje veliko podjetje ali javni organ, ali pa upravljavec takim posameznikom blago ali storitve nudi samo občasno. Predstavnik bi moral delovati v imenu upravljavca in nanj se lahko obrne kateri koli nadzorni organ.

(64) Za ugotovitev, ali upravljavec posameznikom, na katere se nanašajo osebni podatki, blago in storitve nudi samo občasno, bi bilo treba preveriti, ali je iz splošnih dejavnosti upravljavca razvidno, da je nudenje blaga in storitev takim posameznikom samo njegova postranska dejavnost.

(65) Za dokaz skladnosti s to uredbo bi moral upravljavec ali obdelovalec dokumentirati vsak postopek obdelave. Vsak upravljavec in obdelovalec bi moral biti zavezan k sodelovanju z nadzornimi organi in na zahtevo omogočiti dostop do te dokumentacije, da bi tako lahko služila spremljanju postopkov obdelave.

(66) Za ohranitev varnosti in preprečitev obdelave s kršitvijo te uredbe bi moral upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja. Ti ukrepi bi morali zagotoviti ustrezno raven varnosti ob upoštevanju najsodobnejše tehnologije in stroškov njihovega izvajanja glede na tveganja in na naravo osebnih podatkov, ki jih je treba varovati. Pri določanju tehničnih standardov in organizacijskih ukrepov za zagotavljanje varnosti obdelave bi morala Komisija spodbujati tehnološko nevtralnost, interoperabilnost in inovativnost ter po potrebi sodelovati s tretjimi državami.

(67) Kršitev varnosti osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnemu posamezniku povzroči veliko gospodarsko izgubo in družbeno škodo, vključno z zlorabo identitete. Zato bi moral upravljavec, ko ugotovi, da je prišlo do take kršitve, o tej kršitvi nemudoma, po možnosti v 24 urah, obvestiti nadzorni organ. Če tega ni mogoče storiti v 24 urah, je treba obvestilu priložiti pojasnilo razlogov za zamudo. Posameznike, pri katerih bi take kršitve lahko škodljivo vplivale na njihove osebne podatke, bi bilo treba o tem nemudoma obvestiti, da bi lahko sprejeli potrebne varnostne ukrepe. Za kršitev je treba domnevati, da škodljivo vpliva na osebne podatke ali zasebnost posameznika, na katerega se nanašajo osebni podatki, kadar lahko vodi na primer do kraje ali zlorabe identitete, fizične škode, hudega poniževanja ali okrnitve ugleda. Obvestilo bi moralo vsebovati opis narave kršitve varnosti osebnih podatkov in priporočila za zadevnega posameznika za ublažitev morebitnih škodljivih učinkov. Posamezniki, na katere se nanašajo osebni podatki, bi morali biti obveščeni, kakor hitro je to razumno mogoče, v tesnem sodelovanju z nadzornim organom in ob upoštevanju smernic, ki jih je podal nadzorni organ ali drugi ustrezni organi (npr. organi kazenskega pregona). Da bi lahko posamezniki, na katere se nanašajo osebni podatki, ublažili neposredno nevarnost nastanka škode, je treba take posameznike obvestiti nemudoma, potreba po izvajanju ustreznih ukrepov za preprečevanje nadaljnjih ali podobnih kršitev varnosti osebnih podatkov pa bi lahko upravičila daljšo zamudo.

(68) Za ugotovitev, ali sta nadzorni organ in posameznik, na katerega se nanašajo osebni podatki, obveščena nemudoma, bi bilo treba preveriti, ali je upravljavec izvedel in uporabil ustrezne ukrepe tehnološke zaščite in organizacijske ukrepe, s katerimi bi takoj ugotovil, ali je prišlo do kršitve varnosti osebnih podatkov, ter o tem nemudoma obvestil nadzorni organ in posameznika, na katerega se nanašajo osebni podatki, preden bi to škodovalo osebnim in gospodarskim interesom, ob upoštevanju zlasti narave in teže kršitve varnosti osebnih podatkov ter njenih posledic in škodljivih učinkov za posameznika, na katerega se nanašajo osebni podatki.

(69) Pri določanju podrobnih pravil o obliki zapisa in postopkih, ki se uporabljajo za obvestilo o kršitvi varnosti osebnih podatkov, bi bilo treba ustrezno upoštevati okoliščine kršitve, vključno s tem, ali so bili osebni podatki zaščiteni z ustreznimi tehničnimi zaščitnimi ukrepi, ki učinkovito zmanjšujejo verjetnost zlorabe identitete ali drugih oblik zlorabe. Poleg tega bi bilo treba pri takih pravilih in postopkih upoštevati pravni interes organov kazenskega pregona, če bi zgodnje razkritje lahko po nepotrebnem oviralo preiskavo okoliščin kršitve.

(70) Direktiva 95/46/ES je določala splošno obveznost glede obveščanja nadzornih organov o obdelavi osebnih podatkov. Ta obveznost je prinesla upravna in finančna bremena, ni pa v vseh primerih pripomogla k izboljšanju varstva osebnih podatkov. Zato bi bilo treba tako nerazlikovalno splošno obveznost obveščanja odpraviti ter nadomestiti z učinkovitimi postopki in mehanizmi, ki se namesto tega osredotočajo na tiste postopke obdelave, ki bodo zaradi svoje narave, obsega ali namenov verjetno predstavljali posebno nevarnost za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki. V takih primerih bi moral upravljavec ali obdelovalec pred obdelavo izvesti oceno učinka o varstvu podatkov, ki bi morala obsegati zlasti načrtovane ukrepe, zaščitne ukrepe in mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo.

(71) To bi moralo veljati zlasti za novoustanovljene obsežne zbirke, ki so namenjene obdelavi precejšnje količine osebnih podatkov na regionalni, nacionalni ali nadnacionalni ravni in ki bi lahko vplivale na številne posameznike, na katere se nanašajo osebni podatki.

(72) V nekaterih okoliščinah je razumno in gospodarno, da je predmet ocene učinka o varstvu podatkov obširnejši in ne obsega samo enega projekta, na primer kadar nameravajo javni organi vzpostaviti skupno platformo za uporabo ali obdelavo ali kadar namerava več upravljavcev uvesti skupno aplikacijo ali okolje za obdelavo v celotnem industrijskem sektorju ali njegovem delu ali za horizontalno dejavnost v široki rabi.

(73) Ocene učinka o varstvu podatkov mora izvajati javni organ, če taka ocena še ni bila izvedena v okviru sprejetja nacionalne zakonodaje, na kateri temelji opravljanje nalog javnega organa in ki ureja zadevne posebne postopke obdelave ali nize postopkov.

(74) Kadar ocena učinka o varstvu podatkov pokaže, da je s postopki obdelave povezana visoka raven posebnih tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, na primer izključevanje posameznikov iz pravice, ali na podlagi uporabe posebnih novih tehnologij, bi moralo biti pred začetkom postopka opravljeno posvetovanje z nadzornim organom o tvegani obdelavi, ki morda ni v skladu s to uredbo, s strani nadzornega organa pa podani predlogi za ureditev takega položaja. Tako posvetovanje bi moralo prav tako potekati med pripravo bodisi ukrepa nacionalnega parlamenta bodisi ukrepa, temelječega na takem zakonodajnem ukrepu, ki opredeljuje naravo obdelave in predpisuje ustrezne zaščitne ukrepe.

(75) Kadar se obdelava izvaja v javnem sektorju ali kadar v zasebnem sektorju obdelavo izvaja velika družba ali kadar njene temeljne dejavnosti, ne glede na velikost družbe, obsegajo postopke obdelave, ki jih je treba redno in sistematično spremljati, bi moral upravljavcu ali obdelovalcu nekdo pomagati pri spremljanju notranje skladnosti s to uredbo. Taka uradna oseba za varstvo podatkov bi morala svoje dolžnosti in naloge izvajati neodvisno, ne glede na to, ali je pri upravljavcu zaposlena ali ne.

(76) Združenja ali druge organe, ki predstavljajo vrste upravljavcev, bi bilo treba spodbujati, da v okviru omejitev iz te uredbe in ob upoštevanju posebnih značilnosti obdelave, ki se izvaja na nekaterih področjih, pripravijo pravila ravnanja za pospeševanje učinkovite uporabe te uredbe.

(77) Za povečanje preglednosti in skladnosti s to uredbo bi bilo treba spodbujati uvedbo mehanizmov potrjevanja ter pečatov in označb za varstvo podatkov, ki bi posameznikom, na katere se nanašajo osebni podatki, omogočili, da hitro ocenijo raven varstva podatkov zadevnih proizvodov in storitev.

(78) Čezmejni prenosi osebnih podatkov so potrebni za razvoj mednarodne trgovine in mednarodnega sodelovanja. Povečanje teh prenosov je prineslo nove izzive in zaskrbljenost glede varstva osebnih podatkov. Vendar pa v primeru, ko se osebni podatki prenašajo iz Unije v tretje države ali mednarodne organizacije, raven varstva posameznikov, ki jo v Uniji zagotavlja ta uredba, ne bi smela biti ogrožena. V vsakem primeru se lahko prenosi v tretje države izvajajo samo v popolni skladnosti s to uredbo.

(79) Ta uredba ne posega v mednarodne sporazume, ki so sklenjeni med Unijo in tretjimi državami ter urejajo prenos osebnih podatkov, vključno z ustreznimi zaščitnimi ukrepi za posameznike, na katere se nanašajo osebni podatki.

(80) Komisija lahko sprejme sklep, da določena tretja država ali ozemeljska enota ali sektor za obdelavo v tretji državi ali mednarodna organizacija nudi ustrezno raven varstva podatkov, s čimer zagotavlja pravno varnost in enotnost v Uniji v zvezi s tretjimi državami ali mednarodnimi organizacijami, za katere se šteje, da zagotavljajo tako raven varstva, pri čemer tak sklep Komisije velja za celotno Unijo. V teh primerih za prenose osebnih podatkov v te države dodatno pooblastilo ni potrebno.

(81) Komisija bi morala v skladu s temeljnimi vrednotami, na katerih temelji Unija, zlasti z varstvom človekovih pravic, v svoji oceni tretje države upoštevati, v kolikšni meri tretja država spoštuje načelo pravne države, dostop do pravnega varstva ter mednarodna pravila in standarde človekovih pravic.

(82) Komisija lahko tudi ugotovi, da tretja država ali ozemeljska enota ali sektor za obdelavo v tretji državi ali mednarodna organizacija ne nudi ustrezne ravni varstva podatkov. Posledično bi moral biti prenos osebnih podatkov v navedeno tretjo državo prepovedan. V takem primeru bi moralo biti predvideno posvetovanje med Komisijo in takimi tretjimi državami ali mednarodnimi organizacijami.

(83) Če sklep o ustreznosti ni sprejet, bi moral upravljavec ali obdelovalec sprejeti ukrepe, ki bodo pomanjkanje varstva podatkov v tretji državi nadomestili z ustreznimi zaščitnimi ukrepi za posameznika, na katerega se nanašajo osebni podatki. Taki ustrezni zaščitni ukrepi so lahko sestavljeni iz uporabe zavezujočih poslovnih pravil, standardnih določil Komisije o varstvu podatkov, standardnih določil nadzornega organa o varstvu podatkov ali pogodbenih določil, ki jih je odobril nadzorni organ, ali drugih ustreznih in sorazmernih ukrepov, ki so ob upoštevanju vseh okoliščin postopka za prenos podatkov ali niza postopkov za prenos podatkov upravičeni in jih odobri nadzorni organ.

(84) Možnost, ki jo ima upravljavec ali obdelovalec glede uporabe standardnih določil Komisije ali nadzornega organa o varstvu podatkov, upravljavcu ali obdelovalcu ne bi smela preprečiti, da standardne določbe o varstvu podatkov vključi v obsežnejšo pogodbo ali doda druge določbe, če le-te neposredno ali posredno ne nasprotujejo standardnim določilom Komisije ali nadzornega organa o varstvu podatkov ali posegajo v temeljne pravice ali svoboščine posameznikov, na katere se nanašajo osebni podatki.

(85) Skupina podjetij bi morala imeti možnost, da za svoje mednarodne prenose iz Unije v organizacije znotraj iste skupine podjetij uporabi odobrena zavezujoča poslovna pravila, če ta poslovna pravila obsegajo bistvena načela in izvršljive pravice za zagotavljanje ustreznih zaščitnih ukrepov za prenos ali niz prenosov osebnih podatkov.

(86) Predvidena bi morala biti možnost prenosov v določenih okoliščinah, kadar je posameznik, na katerega se nanašajo osebni podatki, dal svojo privolitev, kadar je prenos potreben zaradi pogodbe ali pravnega zahtevka, kadar to zahtevajo pomembni javni interesi, določeni z zakonodajo Unije ali zakonodajo držav članic, ali kadar je prenos izveden iz registra, vzpostavljenega z zakonodajo, ki je namenjen za uporabo s strani javnosti ali oseb s pravnim interesom. V slednjem primeru tak prenos ne bi smel vključevati celotnih podatkov ali celotnih vrst podatkov, ki jih vsebuje register, in kadar je register namenjen vpogledu oseb, ki imajo pravni interes, bi bilo treba prenos opraviti samo na zahtevo teh oseb ali če bodo te osebe prejemniki.

(87) Ta odstopanja bi morala veljati zlasti za prenose podatkov, ki so zahtevani in potrebni za varstvo pomembnega javnega interesa, kot v primerih mednarodnih prenosov podatkov med organi za varstvo konkurence, davčnimi ali carinskimi upravami, finančnimi nadzornimi organi, med službami, pristojnimi za zadeve na področju socialne varnosti, ali organi, pristojnimi za preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj.

(88) Prenosi, ki jih ni mogoče šteti za pogoste ali množične, bi lahko bili po oceni vseh okoliščin, povezanih s prenosom podatkov, mogoči tudi zaradi pravnih interesov upravljavca ali obdelovalca. Pri obdelavi v zgodovinske, statistične in znanstvenoraziskovalne namene bi bilo treba upoštevati legitimna pričakovanja družbe po večjem znanju.

(89) V vsakem primeru bi moral upravljavec ali obdelovalec, če Komisija ni sprejela sklepa o ustrezni ravni varstva podatkov v tretji državi, uporabiti rešitve, ki posameznikom, na katere se nanašajo osebni podatki, zagotavljajo, da zanje po prenosu teh podatkov še vedno veljajo temeljne pravice in zaščitni ukrepi glede obdelave njihovih podatkov v Uniji.

(90) Nekatere tretje države sprejemajo zakone, predpise in druge zakonodajne akte, ki neposredno urejajo dejavnosti obdelave podatkov fizičnih in pravnih oseb, ki so pod sodno pristojnostjo držav članic. Zunajozemeljska uporaba teh zakonov, predpisov in drugih zakonodajnih aktov lahko krši mednarodno pravo in ovira doseganje varstva posameznikov, ki ga v Uniji zagotavlja ta uredba. Prenosi bi smeli biti dovoljeni samo, kadar so pogoji te uredbe za prenos v tretje države izpolnjeni. To je lahko med drugim v primerih, kadar je razkritje potrebno zaradi pomembnega javnega interesa, priznanega v zakonodaji Unije ali zakonodaji držav članic, ki velja za upravljavca. Pogoje, pod katerimi obstaja pomemben javni interes, bi morala Komisija natančneje določiti z delegiranim aktom.

(91) Pri čezmejnem prenosu osebnih podatkov se lahko poveča tveganje v zvezi z zmožnostjo posameznikov pri uveljavljanju pravic do varstva podatkov, da se zaščitijo pred nezakonito uporabo ali razkritjem navedenih podatkov. Hkrati lahko nadzorni organi ugotovijo, da ne morejo obravnavati pritožb ali izvesti preiskav v zvezi z dejavnostmi zunaj svojih meja. Njihova prizadevanja za čezmejno sodelovanje lahko ovirajo tudi nezadostna pooblastila za preprečevanje kršitev ali njihovo odpravo, neskladne pravne ureditve in praktične ovire, na primer omejitev sredstev. Zato obstaja potreba po spodbujanju tesnejšega sodelovanja med nadzornimi organi za varstvo podatkov za pomoč pri izmenjavi informacij in izvajanju preiskav s tujimi nadzornimi organi za varstvo podatkov.

(92) Ustanovitev nadzornih organov v državah članicah, ki popolnoma neodvisno opravljajo svoje naloge, je bistveni del varstva posameznikov pri obdelavi njihovih osebnih podatkov. Državam članicam bi morala biti omogočena ustanovitev več kot enega nadzornega organa zaradi umestitve v njihovo ustavno, organizacijsko in upravno strukturo.

(93) Če država članica ustanovi več nadzornih organov, bi morala z zakonom vzpostaviti mehanizme za zagotavljanje učinkovitega sodelovanja teh nadzornih organov v mehanizmu za skladnost. Za zagotovitev hitrega in neoviranega sodelovanja z ostalimi nadzornimi organi, Evropskim odborom za varstvo podatkov in Komisijo bi morala ta država članica imenovati zlasti nadzorni organ, ki deluje kot enotna kontaktna točka za učinkovito sodelovanje teh organov v mehanizmu.

(94) Vsakemu nadzornemu organu bi bilo treba zagotoviti zadostne finančne in človeške vire, prostore in infrastrukturo, ki so potrebni za učinkovito opravljanje njihovih nalog, vključno z nalogami v zvezi z medsebojno pomočjo in sodelovanjem z drugimi nadzornimi organi v vsej Uniji.

(95) Vsaka država članica bi morala predpisati splošne pogoje za člane nadzornega organa, ki bi morali zlasti določati, da te člane imenuje parlament ali vlada države članice, ter vsebovati pravila o osebnih kvalifikacijah in položaju teh članov.

(96) Nadzorni organi bi morali spremljati uporabo določb v skladu s to uredbo in prispevati k njeni dosledni uporabi v vsej Uniji, da bi varovali fizične osebe pri obdelavi njihovih osebnih podatkov in olajšali prosti pretok osebnih podatkov na notranjem trgu. Zato bi morali nadzorni organi sodelovati med seboj in s Komisijo.

(97) Kadar obdelava osebnih podatkov v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Uniji poteka v več kot eni državi članici, bi moral biti en sam nadzorni organ pristojen za spremljanje dejavnosti upravljavca ali obdelovalca v vsej Uniji in sprejemati s tem povezane odločitve, da bi povečal doslednost uporabe, zagotovil pravno varnost in za take upravljavce in obdelovalce zmanjšal upravno breme.

(98) Pristojni organ, ki zagotavlja „vse na enem mestu“, bi moral biti nadzorni organ države članice, v kateri ima upravljavec ali obdelovalec glavni sedež.

(99) Čeprav se ta uredba uporablja tudi za dejavnosti nacionalnih sodišč, pa pristojnost nadzornih organov ne bi smela obsegati obdelave osebnih podatkov, kadar sodišča delujejo kot sodni organ, da se zaščiti neodvisnost sodnikov pri opravljanju njihovih sodnih nalog. Vendar bi morala biti ta izjema omejena na dejanska sodna opravila v sodnih postopkih in se ne bi smela uporabljati za druge dejavnosti, v katere bi lahko bili vključeni sodniki v skladu z nacionalno zakonodajo.

(100) Za zagotovitev doslednega spremljanja in izvajanja te uredbe v vsej Uniji bi morali biti naloge in učinkovita pooblastila nadzornih organov v vseh državah članicah enaki, vključno s pooblastili za preiskovanje, pravno zavezujoče posredovanje, izdajo odločb in naložitev sankcij, zlasti v primerih pritožb posameznikov, ter za sodelovanje v sodnem postopku. Preiskovalna pooblastila nadzornih organov glede dostopa v prostore bi bilo treba izvajati v skladu z zakonodajo Unije in nacionalno zakonodajo. To se nanaša zlasti na zahtevo glede predhodnega sodnega dovoljenja.

(101) Vsak nadzorni organ bi moral obravnavati pritožbe, ki jih vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, in preiskati zadevo. Preiskavo na podlagi pritožbe bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen, saj je lahko odločba nadzornega organa predmet sodne presoje. Nadzorni organ bi moral posameznika, na katerega se nanašajo osebni podatki, v primernem roku obvestiti o stanju zadeve in odločitvi o pritožbi. Če mora nadzorni organ zadevo podrobneje proučiti ali se uskladiti z drugim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo osebni podatki, posredovati informacije o stanju zadeve med postopkom.

(102) Dejavnosti nadzornih organov, ki so namenjene ozaveščanju javnosti, bi morale obsegati posebne ukrepe, usmerjene na upravljavce in obdelovalce, vključno z mikro-, malimi in srednje velikimi podjetji, pa tudi posameznike, na katere se nanašajo osebni podatki.

(103) Nadzorni organi bi si morali medsebojno pomagati pri opravljanju svojih dolžnosti in zagotoviti medsebojno pomoč, da se zagotovita dosledna uporaba in izvajanje te uredbe na notranjem trgu.

(104) Vsak nadzorni organ bi moral imeti pravico do sodelovanja pri skupnem ukrepanju nadzornih organov. Zaprošeni nadzorni organ bi moral na zahtevo odgovoriti v določenem roku.

(105) Za zagotovitev dosledne uporabe te uredbe v vsej Uniji bi bilo treba vzpostaviti mehanizem za skladnost za sodelovanje med nadzornimi organi in s Komisijo. Ta mehanizem bi se moral uporabljati zlasti v primerih, ko namerava nadzorni organ ukrepati glede postopkov obdelave, ki so povezani z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, v več državah članicah ali s spremljanjem takih posameznikov, ali pa v primerih, ki bi lahko znatno vplivali na prosti pretok osebnih podatkov. Uporabljati bi se moral tudi, kadar nadzorni organ ali Komisija zahteva, da se zadeva obravnava v mehanizmu za skladnost. Ta mehanizem ne bi smel posegati v noben ukrep, ki ga lahko Komisija sprejme pri izvajanju svojih pooblastil na podlagi Pogodb.

(106) Pri uporabi mehanizma za skladnost bi moral Evropski odbor za varstvo podatkov v določenem roku podati mnenje, če tako odloči navadna večina članov ali če to zahteva kateri koli nadzorni organ ali Komisija.

(107) Za zagotovitev skladnosti s to uredbo lahko Komisija o tem sprejme mnenje ali sklep, ki od nadzornega organa zahteva, da svoj osnutek ukrepa začasno prekliče.

(108) Lahko se pojavi nujna potreba po ukrepanju za zaščito interesov posameznikov, na katere se nanašajo osebni podatki, zlasti kadar obstaja nevarnost, da bi lahko bilo uveljavljanje pravice posameznika, na katerega se nanašajo osebni podatki, močno ovirano. Zato bi moral nadzorni organ imeti možnost, da pri uporabi mehanizma za skladnost sprejme začasne ukrepe z določenim obdobjem veljavnosti.

(109) Uporaba tega mehanizma bi morala biti pogoj za pravno veljavnost in izvajanje zadevne odločitve nadzornega organa. V drugih primerih čezmejnega pomena se lahko medsebojna pomoč in skupno ukrepanje med zadevnimi nadzornimi organi izvajata na dvostranski ali večstranski podlagi, ne da bi pri tem sprožili mehanizem za skladnost.

(110) Na ravni Unije bi bilo treba ustanoviti Evropski odbor za varstvo podatkov. Moral bi nadomestiti delovno skupino o varstvu posameznikov pri obdelavi osebnih podatkov, ustanovljeno z Direktivo 95/46/ES. Sestavljati bi ga morali vodje nadzornega organa vsake države članice in Evropski nadzornik za varstvo podatkov. Komisija bi morala sodelovati pri dejavnostih odbora. Evropski odbor za varstvo podatkov bi moral prispevati k dosledni uporabi te uredbe v vsej Uniji, vključno s svetovanjem Komisiji in spodbujanjem sodelovanja nadzornih organov v vsej Uniji. Evropski odbor za varstvo podatkov mora pri opravljanju svojih nalog delovati neodvisno.

(111) Vsak posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico do vložitve pritožbe pri nadzornem organu v kateri koli državi članici in pravico do pravnega sredstva v sodnem postopku, če meni, da so njegove pravice iz te uredbe kršene, ali če nadzorni organ ne obravnava pritožbe ali ne ukrepa, kadar je tak ukrep potreben za zaščito pravic posameznika, na katerega se nanašajo osebni podatki.

(112) Vsak organ, organizacija ali združenje, katerega namen je varstvo pravic in interesov posameznikov, na katere se nanašajo osebni podatki, v zvezi z varstvom njihovih podatkov in ki je ustanovljen v skladu z nacionalno zakonodajo države članice, bi moral imeti pravico do vložitve pritožbe pri nadzornem organu ali uveljavitve pravice do pravnega sredstva v sodnem postopku v imenu posameznikov, na katere se nanašajo osebni podatki, ali do vložitve lastne pritožbe, neodvisno od pritožbe posameznika, na katerega se nanašajo osebni podatki, če meni, da je prišlo do kršitve varnosti osebnih podatkov.

(113) Vsaka fizična ali pravna oseba bi morala imeti pravico do pravnega sredstva v sodnem postopku zoper odločbo nadzornega organa v zvezi z njo. Za postopke zoper nadzorni organ bi morala biti pristojna sodišča države članice, v kateri ima nadzorni organ sedež.

(114) Za okrepitev sodnega varstva posameznika, na katerega se nanašajo osebni podatki, kadar je pristojni nadzorni organ ustanovljen v drugi državi članici kot tisti, v kateri prebiva posameznik, na katerega se nanašajo osebni podatki, lahko tak posameznik od katerega koli organa, organizacije ali združenja, katerega namen je varstvo pravic in interesov posameznikov pri obdelavi njihovih podatkov, zahteva, da v njegovem imenu pred pristojnim sodiščem v drugi državi članici začne postopek zoper navedeni nadzorni organ.

(115) V primerih, kadar se pristojni nadzorni organ s sedežem v drugi državi članici ne odzove ali ne sprejme zadostnih ukrepov v zvezi s pritožbo, lahko posameznik, na katerega se nanašajo osebni podatki, od nadzornega organa države članice njegovega običajnega prebivališča zahteva, da pred pristojnim sodiščem v drugi državi članici začne postopek zoper navedeni nadzorni organ. Zaprošeni nadzorni organ se lahko odloči, ali je primerno ugoditi zahtevi; odločitev je lahko predmet sodne presoje.

(116) V postopkih zoper upravljavca ali obdelovalca bi moral imeti tožnik možnost, da postopek začne pred sodiščem države članice, v kateri ima upravljavec ali obdelovalec sedež, ali pred sodiščem države članice, v kateri prebiva posameznik, na katerega se nanašajo osebni podatki, razen če je upravljavec javni organ, ki izvaja svoja javna pooblastila.

(117) Kadar obstajajo dokazi, da pred sodišči v različnih državah članicah potekajo vzporedni postopki, bi morala biti sodišča zavezana, da med seboj navežejo stik. Sodišča bi morala imeti možnost, da v primeru, ko je v drugi državi članici v obravnavi vzporedna zadeva, postopek ustavijo. Države članice bi morale zagotoviti učinkovite sodne postopke z možnostjo hitrega sprejetja ukrepov za odpravo ali preprečevanje kršitev te uredbe.

(118) Vso škodo, ki jo oseba lahko utrpi zaradi nezakonite obdelave, bi moral povrniti upravljavec ali obdelovalec, vendar mu tega ni treba storiti, če dokaže, da ni odgovoren za škodo, predvsem kadar ugotovi napako na strani posameznika, na katerega se nanašajo osebni podatki, ali v primeru višje sile.

(119) Kaznovati bi bilo treba vsako osebo, za katero velja zasebno ali javno pravo in ki ne ravna v skladu s to uredbo. Države članice bi morale zagotoviti, da so kazenske sankcije učinkovite, sorazmerne in odvračilne, ter sprejeti vse ukrepe za izvršitev kazenskih sankcij.

(120) Za okrepitev in uskladitev upravnih sankcij za kršitve te uredbe bi moral imeti vsak nadzorni organ pooblastila za kaznovanje upravnih kršitev. Ta uredba bi morala navajati te kršitve in zgornjo mejo s tem povezanih upravnih kazni, ki bi morale biti v vsakem posameznem primeru določene sorazmerno s posebnimi okoliščinami in ob upoštevanju zlasti narave, teže in trajanja kršitve. Mehanizem za skladnost se lahko uporabi tudi za kritje razlik pri uporabi upravnih sankcij.

(121) Za obdelavo osebnih podatkov, ki se izvaja zgolj v novinarske namene ali zaradi umetniškega ali literarnega izražanja, bi morala veljati izjema od zahtev nekaterih določb te uredbe, da se uskladi pravica do varstva osebnih podatkov s pravico do svobode izražanja in predvsem pravico do sprejemanja in širjenja informacij, kot je zagotovljeno zlasti v členu 11 Listine Evropske unije o temeljnih pravicah. To bi moralo veljati zlasti za obdelavo osebnih podatkov na avdiovizualnem področju ter v arhivih novic in medijskih arhivih. Zato bi morale države članice sprejeti zakonodajne ukrepe, ki bi morali določati izjeme in odstopanja, potrebne za uravnoteženje teh temeljnih pravic. Take izjeme in odstopanja bi države članice morale sprejeti glede splošnih načel, pravic posameznika, na katerega se nanašajo osebni podatki, upravljavca in obdelovalca, prenosa podatkov v tretje države ali mednarodne organizacije, neodvisnih nadzornih organov ter sodelovanja in skladnosti. Vendar pa države članice ne bi smele določati izjem od drugih določb te uredbe. Za upoštevanje pomena pravice do svobode izražanja v vsaki demokratični družbi je treba pojme, povezane s to svobodo, kot je na primer novinarstvo, razlagati v širokem smislu. Zato bi morale države članice opredeliti dejavnosti kot „novinarske“ za namene izjem in odstopanj na podlagi te uredbe, če je predmet teh dejavnosti razkritje informacij, mnenj ali idej javnosti, ne glede na medij, s katerim se prenašajo. Ne bi smele biti omejene na medijske družbe, opravljajo pa se lahko v profitne ali neprofitne namene.

(122) Obdelava osebnih podatkov v zvezi z zdravjem kot posebne vrste podatkov, ki jih je treba bolje varovati, je pogosto lahko upravičena zaradi številnih zakonitih razlogov v korist posameznikov in družbe kot celote, zlasti v okviru zagotavljanja neprekinjenosti čezmejnega zdravstvenega varstva. Zato bi morala ta uredba določiti usklajene pogoje za obdelavo osebnih podatkov v zvezi z zdravjem, za katere veljajo posebni in ustrezni zaščitni ukrepi, ki varujejo temeljne pravice in osebne podatke posameznikov. To vključuje pravico posameznikov, da imajo dostop do lastnih osebnih podatkov v zvezi z zdravjem, na primer podatkov v njihovi zdravstveni kartoteki, ki vključuje informacije, kot so diagnoza, rezultati preiskav, ocene lečečih zdravnikov in druga zdravljenja ali posege.

(123) Obdelava osebnih podatkov v zvezi z zdravjem je lahko potrebna zaradi javnega interesa na področju javnega zdravja, brez privolitve posameznika, na katerega se nanašajo osebni podatki. V zvezi s tem je treba pojem „javno zdravje“ razlagati, kakor je opredeljeno v Uredbi (ES) št. 1338/2008 Evropskega parlamenta in Sveta z dne 16. decembra 2008 o statističnih podatkih Skupnosti v zvezi z javnim zdravjem ter zdravjem in varnostjo pri delu, kjer pomeni vse elemente, povezane z zdravjem, in sicer zdravstveno stanje, vključno z obolevnostjo in invalidnostjo, determinante, ki vplivajo na zdravstveno stanje, potrebe zdravstvenega varstva, vire, namenjene zdravstvenemu varstvu, zagotavljanje in splošni dostop do zdravstvenega varstva, pa tudi izdatke in financiranje zdravstvenega varstva ter vzroke smrtnosti. Zaradi take obdelave osebnih podatkov v zvezi z zdravjem zaradi javnega interesa tretje osebe, kot so delodajalci ter zavarovalne in bančne družbe, ne bi smele obdelovati osebnih podatkov v druge namene.

(124) Splošna načela o varstvu posameznikov pri obdelavi osebnih podatkov bi morala veljati tudi glede zaposlitve. Za ureditev obdelave osebnih podatkov zaposlenega v okviru zaposlitve bi morale države članice imeti možnost, da v mejah te uredbe sprejmejo posebno zakonodajo o obdelavi osebnih podatkov v sektorju zaposlovanja.

(125) Da bi bila obdelava osebnih podatkov v zgodovinske, statistične in znanstvenoraziskovalne namene zakonita, bi morala spoštovati tudi drugo ustrezno zakonodajo, na primer zakonodajo o kliničnem preskušanju.

(126) Znanstvene raziskave za namene te uredbe bi morale obsegati temeljne raziskave, uporabne raziskave in zasebno financirane raziskave, obenem pa bi morale upoštevati cilj Unije iz člena 179(1) Pogodbe o delovanju Evropske unije glede oblikovanja evropskega raziskovalnega območja.

(127) Glede pooblastil nadzornih organov, da od upravljavca ali obdelovalca dobijo dostop do osebnih podatkov in njegovih prostorov, lahko države članice v mejah te uredbe sprejmejo posebno zakonodajo glede varovanja poklicne ali druge enakovredne obveznosti molčečnosti, v kolikor je to potrebno zaradi uskladitve pravice do varstva osebnih podatkov z obveznostjo poklicne molčečnosti.

(128) Ta uredba spoštuje in ne vpliva na status cerkva in verskih združenj ali skupnosti, ki ga imajo na podlagi nacionalne zakonodaje v državah članicah, kot je priznan v členu 17 Pogodbe o delovanju Evropske unije. Zato bi se morala, če cerkev v državi članici v času začetka veljavnosti te uredbe uporablja celovita pravila v zvezi z varstvom posameznikov pri obdelavi osebnih podatkov, ta veljavna pravila uporabljati še naprej, če se uskladijo s to uredbo. Od cerkva in verskih združenj bi bilo treba zahtevati, da zagotovijo ustanovitev popolnoma neodvisnega nadzornega organa.

(129) Da se dosežejo cilji te uredbe, in sicer da se zaščitijo temeljne pravice in svoboščine fizičnih oseb in zlasti njihova pravica do varstva osebnih podatkov, ter da se zagotovi prosti pretok osebnih podatkov v Uniji, bi bilo treba na Komisijo prenesti pooblastilo za sprejemanje aktov v skladu s členom 290 Pogodbe o delovanju Evropske unije. Delegirane akte bi bilo treba sprejeti zlasti glede zakonitosti obdelave; določanja meril in pogojev v zvezi s privolitvijo otroka; obdelave posebnih vrst podatkov; določanja meril in pogojev za očitno čezmerne zahteve in pristojbin za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki; meril in zahtev po obveščanju posameznika, na katerega se nanašajo osebni podatki, in v zvezi s pravico do dostopa; pravice biti pozabljen in do izbrisa; ukrepov, ki temeljijo na oblikovanju profilov; meril in zahtev glede odgovornosti upravljavca ter glede vgrajenega varstva podatkov; obdelovalca; meril in zahtev za beleženje in varnost obdelave; meril in zahtev za ugotavljanje kršitve varnosti osebnih podatkov in za obveščanje nadzornega organa o kršitvi ter o okoliščinah, v katerih bo kršitev verjetno škodljivo vplivala na posameznika, na katerega se nanašajo osebni podatki; meril in pogojev za postopke obdelave, pri katerih je potrebna ocena učinka o varstvu podatkov; meril in zahtev za določanje visoke ravni posebnih tveganj, zaradi katerih je potrebno predhodno posvetovanje; imenovanja in nalog uradne osebe za varstvo podatkov; pravil ravnanja; meril in zahtev za mehanizme za potrjevanje; meril in zahtev za prenose na podlagi zavezujočih poslovnih pravil; odstopanj za prenose; upravnih sankcij; obdelave v zdravstvene namene; obdelave v okviru zaposlitve ter obdelave v zgodovinske, statistične in znanstvenoraziskovalne namene. Zlasti je pomembno, da Komisija pri svojem pripravljalnem delu opravi ustrezna posvetovanja, vključno na ravni strokovnjakov. Komisija bi morala pri pripravi in oblikovanju delegiranih aktov zagotoviti, da so ustrezni dokumenti Evropskemu parlamentu in Svetu predloženi istočasno, pravočasno in na ustrezen način.

(130) Za zagotovitev enotnih pogojev za izvajanje te uredbe bi bilo treba na Komisijo prenesti izvedbena pooblastila za: določitev standardnih obrazcev v zvezi z obdelavo osebnih podatkov otroka; standardne postopke in obrazce za uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki; standardne obrazce za obveščanje posameznikov, na katere se nanašajo osebni podatki; standardne obrazce in postopke v zvezi s pravico do dostopa; pravico do prenosljivosti podatkov; standardne obrazce v zvezi z odgovornostjo upravljavca podatkov glede vgrajenega varstva podatkov in dokumentacije; posebne zahteve glede varnosti obdelave; standardne oblike zapisa in postopke za obveščanje nadzornega organa o kršitvi varnosti osebnih podatkov ter sporočanje posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov; standarde in postopke za oceno učinka o varstvu podatkov; obrazce in postopke za predhodno odobritev in predhodno posvetovanje; tehnične standarde in mehanizme za potrjevanje; ustrezno raven varstva, ki jo zagotavlja tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija; razkritja, ki jih pravo Unije ne dovoljuje; medsebojno pomoč; skupno ukrepanje; odločitve v okviru mehanizma za skladnost. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije[45]. V zvezi s tem bi morala Komisija sprejeti posebne ukrepe za mikro-, mala in srednje velika podjetja.

(131) Za sprejetje standardnih obrazcev v zvezi s privolitvijo otroka; standardnih postopkov in obrazcev za uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki; standardnih obrazcev za obveščanje posameznikov, na katere se nanašajo osebni podatki; standardnih obrazcev in postopkov v zvezi s pravico do dostopa; pravice do prenosljivosti podatkov; standardnih obrazcev v zvezi z odgovornostjo upravljavca podatkov glede vgrajenega varstva podatkov in dokumentacije; posebnih zahtev glede varnosti obdelave; standardnih oblik zapisa in postopkov za obveščanje nadzornega organa o kršitvi varnosti osebnih podatkov ter sporočanje posamezniku, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov; standardov in postopkov za oceno učinka o varstvu podatkov; obrazcev in postopkov za predhodno odobritev in predhodno posvetovanje; tehničnih standardov in mehanizmov za potrjevanje; ustrezne ravni varstva, ki jo zagotavlja tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija; razkritij, ki jih pravo Unije ne dovoljuje; medsebojne pomoči; skupnega ukrepanja; odločitev v okviru mehanizma za skladnost bi bilo treba uporabiti postopek pregleda, saj se ti akti splošno uporabljajo.

(132) Komisija bi morala sprejeti izvedbene akte, ki se začnejo takoj uporabljati, na podlagi ustrezno utemeljenih nujnih primerov v zvezi s tretjo državo, ozemeljsko enoto, sektorjem za obdelavo v navedeni tretji državi ali mednarodno organizacijo, ki ne zagotavlja ustrezne ravni varstva, in v zvezi z zadevami, o katerih Komisijo v okviru mehanizma za skladnost obvestijo nadzorni organi.

(133) Ker države članice ne morejo zadovoljivo doseči ciljev te uredbe, tj. zagotoviti enako raven varstva posameznikov in prosti pretok podatkov v vsej Uniji, in se lahko zato zaradi obsega ali učinkov ukrepov lažje dosežeta na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenega cilja.

(134) S to uredbo bi bilo treba razveljaviti Direktivo 95/46/ES. Sklepi, ki jih je na podlagi Direktive 95/46/ES sprejela Komisija, in odobritve s strani nadzornih organov bi morali ostati v veljavi.

(135) Ta uredba bi se morala uporabljati za vse zadeve, povezane z varstvom temeljnih pravic in svoboščin pri obdelavi osebnih podatkov, za katere ne veljajo posebne obveznosti z istim ciljem iz Direktive 2002/58/ES, vključno z obveznostmi za upravljavce in pravicami posameznikov. Za pojasnitev povezave med to uredbo in Direktivo 2002/58/ES bi bilo treba slednjo ustrezno spremeniti.

(136) Kar zadeva Islandijo in Norveško, ta uredba pomeni razvoj določb schengenskega pravnega reda, kolikor se uporablja za obdelavo osebnih podatkov s strani organov, ki sodelujejo pri izvajanju tega pravnega reda v smislu Sporazuma, sklenjenega med Svetom Evropske unije in Republiko Islandijo ter Kraljevino Norveško, v zvezi s pridružitvijo teh dveh držav k izvajanju, uporabi in razvoju schengenskega pravnega reda[46].

(137) Kar zadeva Švico, ta uredba pomeni razvoj določb schengenskega pravnega reda, kolikor se uporablja za obdelavo osebnih podatkov s strani organov, ki sodelujejo pri izvajanju tega pravnega reda v smislu Sporazuma med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda[47].

(138) Kar zadeva Lihtenštajn, ta uredba pomeni razvoj določb schengenskega pravnega reda, kolikor se uporablja za obdelavo osebnih podatkov s strani organov, ki sodelujejo pri izvajanju tega pravnega reda v smislu Protokola med Evropsko unijo, Evropsko skupnostjo, Švicarsko konfederacijo in Kneževino Lihtenštajn o pristopu Kneževine Lihtenštajn k Sporazumu med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda[48].

(139) Ob upoštevanju dejstva, kot ga je poudarilo Sodišče Evropske unije, da pravica do varstva osebnih podatkov ni absolutna pravica, temveč jo je treba obravnavati glede na vlogo, ki jo ima v družbi, in v skladu z načelom sorazmernosti uskladiti z drugimi temeljnimi pravicami, ta uredba spoštuje vse temeljne pravice in upošteva načela, priznana z Listino Evropske unije o temeljnih pravicah, kot so zajeta v Pogodbah, zlasti pravico do spoštovanja zasebnega in družinskega življenja, stanovanja ter komunikacij, pravico do varstva osebnih podatkov, svobodo misli, vesti in vere, svobodo izražanja in obveščanja, svobodo gospodarske pobude, pravico do učinkovitega pravnega sredstva in nepristranskega sodišča ter kulturno, versko in jezikovno raznolikost –

SPREJELA NASLEDNJO UREDBO:

POGLAVJE I

SPLOŠNE DOLOČBE

Člen 1 Vsebina in cilji

1.           Ta uredba določa pravila o varstvu posameznikov pri obdelavi osebnih podatkov in pravila o prostem pretoku osebnih podatkov.

2.           Ta uredba varuje temeljne pravice in svoboščine fizičnih oseb ter zlasti njihovo pravico do varstva osebnih podatkov.

3.           Prosti pretok osebnih podatkov v Uniji ne sme biti niti omejen niti prepovedan iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov.

Člen 2 Stvarno področje uporabe

1.           Ta uredba se uporablja za obdelavo osebnih podatkov v celoti ali delno s samodejnimi sredstvi in za drugačno obdelavo kakor s samodejnimi sredstvi za osebne podatke, ki sestavljajo del zbirke ali so namenjeni oblikovanju dela zbirke.

2.           Ta uredba se ne uporablja za obdelavo osebnih podatkov:

(a)     v okviru dejavnosti zunaj področja uporabe zakonodaje Unije, zlasti v zvezi z nacionalno varnostjo;

(b)     s strani institucij, organov, uradov in agencij Unije;

(c)     s strani držav članic, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 2 Pogodbe o Evropski uniji;

(d)     s strani fizične osebe brez kakršnega koli pridobitnega interesa v teku lastne izrecno osebne ali domače dejavnosti;

(e)     s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij.

3.           Ta uredba ne posega v uporabo Direktive 2000/31/ES, zlasti predpisov o odgovornosti posrednih ponudnikov storitev iz členov 12 do 15 navedene direktive.

Člen 3 Ozemeljsko področje uporabe

1.           Ta uredba se uporablja za obdelavo osebnih podatkov v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Uniji.

2.           Ta uredba se uporablja za obdelavo osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in ki stalno prebivajo v Uniji, s strani upravljavca, ki nima sedeža v Uniji, kadar so dejavnosti obdelave povezane z:

(a)     nudenjem blaga ali storitev takim posameznikom v Uniji ali

(b)     spremljanjem njihovega vedenja.

3.           Ta uredba se uporablja za obdelavo osebnih podatkov s strani upravljavca, ki nima sedeža v Uniji, temveč v kraju, kjer se nacionalna zakonodaja države članice uporablja na podlagi mednarodnega javnega prava.

Člen 4 Opredelitve pojmov

V tej uredbi:

(1) „posameznik, na katerega se nanašajo osebni podatki“ pomeni določeno fizično osebo ali fizično osebo, ki je neposredno ali posredno določljiva s sredstvi, za katera se razumno pričakuje, da jih bo uporabil upravljavec ali vsaka druga fizična ali pravna oseba, zlasti z navedbo identifikacijske številke, podatkov o lokaciji, spletnih identifikatorjev ali enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto navedene osebe;

(2) „osebni podatki“ pomenijo vsako informacijo v zvezi s posameznikom, na katerega se nanašajo osebni podatki;

(3) „obdelava“ pomeni vsak postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki ali nizi osebnih podatkov s samodejnimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali predelava, iskanje, vpogled, uporaba, razkritje s posredovanjem, širjenje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, izbris ali uničenje;

(4) „zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki je dostopen v skladu s posebnimi merili, in sicer centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(5) „upravljavec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali vsak drug organ, ki sam ali skupaj z drugimi določa namene, pogoje in sredstva obdelave osebnih podatkov; kadar namene, pogoje in sredstva obdelave določa zakonodaja Unije ali zakonodaja držav članic, lahko upravljavca ali posebna merila za njegovo imenovanje določi zakonodaja Unije ali zakonodaja držav članic;

(6) „obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali vsak drug organ, ki obdeluje osebne podatke v imenu upravljavca;

(7) „prejemnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali vsak drug organ, ki so mu bili osebni podatki razkriti;

(8) „privolitev posameznika, na katerega se nanašajo osebni podatki“, pomeni vsako prostovoljno dano posebno, informirano in izrecno izjavo volje posameznika, s katero posameznik, na katerega se nanašajo osebni podatki, z izjavo ali jasnim pritrdilnim dejanjem izrazi soglasje z obdelavo podatkov, ki se nanašajo nanj;

(9) „kršitev varnosti osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(10) „genetski podatki“ pomenijo vse podatke ne glede na njihovo vrsto v zvezi z značilnostmi posameznika, ki so podedovane ali pridobljene v zgodnjem prenatalnem obdobju;

(11) „biometrični podatki“ pomenijo vse podatke v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo njegovo edinstveno identifikacijo, kot so podobe obraza ali daktiloskopski podatki;

(12) „podatki o zdravstvenem stanju“ pomenijo vsako informacijo, ki se nanaša na telesno ali duševno zdravje posameznika ali na izvajanje zdravstvenih storitev za posameznika;

(13) „glavni sedež“ v zvezi z upravljavcem pomeni kraj ustanovitve v Uniji, kjer se sprejemajo glavne odločitve glede namenov, pogojev in sredstev obdelave osebnih podatkov; če se odločitve glede namenov, pogojev in sredstev obdelave osebnih podatkov ne sprejemajo v Uniji, je glavni sedež kraj, v katerem se izvajajo glavni postopki obdelave v okviru dejavnosti ustanovitve upravljavca v Uniji. V zvezi z obdelovalcem „glavni sedež“ pomeni kraj njegove osrednje uprave v Uniji;

(14) „predstavnik“ pomeni vsako fizično ali pravno osebo, ustanovljeno v Uniji, ki jo je izrecno imenoval upravljavec in ki v Uniji deluje namesto upravljavca, nadzorni organi in drugi organi v Uniji pa se lahko namesto na upravljavca nanjo obrnejo v zvezi z obveznostmi upravljavca iz te uredbe;

(15) „podjetje“ pomeni vsak subjekt, ki opravlja gospodarsko dejavnost, ne glede na njegovo pravno obliko, in obsega zlasti fizične in pravne osebe, partnerstva ali združenja, ki redno opravljajo gospodarsko dejavnost;

(16) „povezane družbe“ pomenijo obvladujočo družbo in njene odvisne družbe;

(17) „zavezujoča poslovna pravila“ pomenijo politike na področju varstva osebnih podatkov, ki jih upravljavec ali obdelovalec, ustanovljen na ozemlju države članice Unije, upošteva pri prenosih ali nizih prenosov osebnih podatkov upravljavcu ali obdelovalcu povezane družbe v eni ali več tretjih državah;

(18) „otrok“ pomeni osebo, mlajšo od 18 let;

(19) „nadzorni organ“ pomeni javni organ, ki ga v skladu s členom 46 ustanovi država članica.

POGLAVJE II NAČELA

Člen 5 Načela v zvezi z obdelavo osebnih podatkov

Osebni podatki morajo biti:

(a)     obdelani zakonito, pošteno in na pregleden način v zvezi s posameznikom, na katerega se nanašajo osebni podatki;

(b)     zbrani za določene, jasne in zakonite namene ter se ne smejo naprej obdelovati na način, ki je nezdružljiv s temi nameni;

(c)     primerni, ustrezni in omejeni na nujno potrebne za namene, za katere se obdelujejo; obdelujejo se lahko samo in kolikor namenov ni bilo mogoče doseči z obdelavo informacij, ki niso osebni podatki;

(d)     točni in posodobljeni; sprejeti je treba vse primerne ukrepe za zagotovitev, da se netočni osebni podatki nemudoma izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo;

(e)     shranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; osebni podatki so lahko shranjeni dalj časa, če bodo podatki obdelani v zgodovinske, statistične ali znanstvenoraziskovalne namene v skladu s pravili in pogoji iz člena 83 in če se redno preverja potreba po nadaljnjem shranjevanju podatkov;

(f)      obdelani v okviru pristojnosti in odgovornosti upravljavca, ki za vsak postopek obdelave zagotovi in dokaže skladnost z določbami te uredbe.

Člen 6 Zakonitost obdelave

1.           Obdelava osebnih podatkov je zakonita le, če je izpolnjen vsaj eden od naslednjih pogojev:

(a)     posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)     obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali pa za izvajanje ukrepov na zahtevo posameznika, na katerega se nanašajo osebni podatki, pred sklenitvijo pogodbe;

(c)     obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)     obdelava je potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki;

(e)     obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)      obdelava je potrebna zaradi pravnih interesov, za katere si prizadeva upravljavec, razen kadar nad takimi interesi prevladajo temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok. To ne velja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

2.           Obdelava osebnih podatkov, ki je potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene, je zakonita pod pogoji in v skladu z zaščitnimi ukrepi iz člena 83.

3.           Podlaga za obdelavo iz točk (c) in (e) odstavka 1 mora biti določena v:

(a)     zakonodaji Unije ali

(b)     zakonodaji države članice, ki se uporablja za upravljavca.

Zakonodaja države članice mora izpolnjevati cilj javnega interesa ali biti potrebna zaradi varstva pravic in svoboščin drugih, spoštovati bistveno vsebino pravice do varstva osebnih podatkov in biti sorazmerna z zakonitim ciljem, za katerega si prizadeva.

4.           Če namen nadaljnje obdelave ni skladen z namenom, za katerega so bili osebni podatki zbrani, mora imeti obdelava pravno podlago v vsaj enem od razlogov iz točk (a) do (e) odstavka 1. To velja zlasti za vsako spremembo splošnih pogodbenih pogojev.

5.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi pogoje iz točke (f) odstavka 1 za različne sektorje in primere obdelave podatkov, vključno z obdelavo osebnih podatkov v zvezi z otrokom.

Člen 7 Pogoji za privolitev

1.           Upravljavec mora dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo njegovih osebnih podatkov v določene namene.

2.           Če bo privolitev posameznika, na katerega se nanašajo osebni podatki, podana v pisni izjavi, ki se nanaša tudi na drugo zadevo, se mora zahteva glede privolitve po videzu jasno razlikovati od te druge zadeve.

3.           Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem.

4.           Privolitev ne pomeni pravne podlage za obdelavo, če obstaja veliko neravnovesje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem.

Člen 8 Obdelava osebnih podatkov otroka

1.           Za namene te uredbe je v zvezi s storitvami informacijske družbe, ki se neposredno zagotavljajo otroku, obdelava osebnih podatkov otroka, mlajšega od 13 let, zakonita le, če in v obsegu, v katerem privolitev da ali odobri starš ali skrbnik otroka. Upravljavec si ob upoštevanju razpoložljive tehnologije razumno prizadeva za pridobitev privolitve, ki jo je mogoče preveriti.

2.           Odstavek 1 ne vpliva na splošno pogodbeno pravo držav članic, kot so pravila o veljavnosti, obliki ali učinku pogodbe v zvezi z otrokom.

3.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za metode za pridobitev privolitve, ki jo je mogoče preveriti, iz odstavka 1. Pri tem Komisija upošteva posebne ukrepe za mikro-, mala in srednje velika podjetja.

4.           Komisija lahko določi standardne obrazce za posebne metode za pridobitev privolitve, ki jo je mogoče preveriti, iz odstavka 1. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

Člen 9 Obdelava posebnih vrst osebnih podatkov

1.           Prepovedana je obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično prepričanje, vero ali prepričanje, članstvo v sindikatu, genetske podatke, podatke v zvezi z zdravjem ali spolnim življenjem, kazenskimi obsodbami ali s tem povezanimi varnostnimi ukrepi.

2.           Odstavek 1 se ne uporablja, kadar:

(a)     je posameznik, na katerega se nanašajo osebni podatki, pod pogoji iz členov 7 in 8 dal svojo privolitev k obdelavi navedenih osebnih podatkov, razen kadar zakonodaja Unije ali zakonodaja držav članic določa, da posameznik, na katerega se nanašajo osebni podatki, ne sme odstopiti od prepovedi iz odstavka 1, ali

(b)     je obdelava potrebna zaradi izpolnjevanja obveznosti in izvajanja posebnih pravic upravljavca na področju prava zaposlovanja, če to dovoljuje zakonodaja Unije ali zakonodaja držav članic, ki zagotavlja ustrezne zaščitne ukrepe, ali

(c)     je obdelava potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe, kadar je posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno nesposoben dati svojo privolitev, ali

(d)     obdelavo izvaja v okviru svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi ustanova, združenje ali kateri koli drug neprofitni organ s političnim, filozofskim, verskim ali sindikalnim ciljem in pod pogojem, da se obdelava nanaša samo na člane ali nekdanje člane organa ali na osebe, ki so v rednem stiku z njim v zvezi z njegovimi nameni, ter da se podatki ne posredujejo zunaj tega organa brez privolitve posameznikov, na katere se nanašajo osebni podatki, ali

(e)     je obdelava povezana z osebnimi podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, objavi, ali

(f)      je obdelava potrebna za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov, ali

(g)     je obdelava potrebna za opravljanje naloge, ki se izvaja v javnem interesu, na podlagi zakonodaje Unije ali zakonodaje držav članic, ki zagotavlja ustrezne ukrepe za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki, ali

(h)     je obdelava podatkov v zvezi z zdravjem potrebna v zdravstvene namene in je v skladu s pogoji in zaščitnimi ukrepi iz člena 81, ali

(i)      je obdelava potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene in je v skladu s pogoji in zaščitnimi ukrepi iz člena 83, ali

(j)      se obdelava podatkov v zvezi s kazenskimi obsodbami ali s tem povezanimi varnostnimi ukrepi izvaja pod nadzorom uradnega organa ali kadar je obdelava potrebna zaradi skladnosti z zakonsko ali regulativno obveznostjo, ki velja za upravljavca, ali zaradi opravljanja naloge, izvedene zaradi pomembnega javnega interesa, in če zakonodaja Unije ali zakonodaja držav članic zagotavlja ustrezne zaščitne ukrepe. Popoln register kazenskih obsodb se vodi samo pod nadzorom uradnega organa.

3.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila, pogoje in ustrezne zaščitne ukrepe za obdelavo posebnih vrst osebnih podatkov iz odstavka 1 ter izjeme iz odstavka 2.

Člen 10 Obdelava, ki ne omogoča identifikacije

Če podatki, ki jih upravljavec obdeluje, upravljavcu ne omogočajo identifikacije fizične osebe, upravljavec ni zavezan k pridobivanju dodatnih informacij, da bi ugotovil istovetnost posameznika, na katerega se nanašajo osebni podatki, samo zaradi skladnosti s katero koli določbo te uredbe.

POGLAVJE III PRAVICE POSAMEZNIKA, NA KATEREGA SE NANAŠAJO OSEBNI PODATKI

ODDELEK 1 PREGLEDNOST IN NAČINI

Člen 11 Pregledne informacije in sporočila

1.           Upravljavec v zvezi z obdelavo osebnih podatkov in za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, uporablja pregledne in lahko dostopne politike.

2.           Upravljavec posamezniku, na katerega se nanašajo osebni podatki, vse informacije in sporočila, povezane z obdelavo osebnih podatkov, zagotovi v razumljivi obliki ter jasnem in razumljivem jeziku, prilagojenem posamezniku, na katerega se nanašajo osebni podatki, kar velja zlasti za informacije, posebej namenjene otroku.

Člen 12 Postopki in mehanizmi za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki

1.           Upravljavec določi postopke za zagotavljanje informacij iz člena 14 in za uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki, iz člena 13 in členov 15 do 19. Upravljavec zagotovi zlasti mehanizme za omogočanje zahtev za ukrepe iz člena 13 in členov 15 do 19. Kadar se osebni podatki obdelujejo s samodejnimi sredstvi, upravljavec zagotovi tudi sredstva za elektronsko vložitev zahtev.

2.           Upravljavec posameznika, na katerega se nanašajo osebni podatki, nemudoma in najpozneje v enem mesecu po prejemu zahteve obvesti, ali je bil sprejet kakšen ukrep v skladu s členom 13 in členi 15 do 19, ter zagotovi zahtevane informacije. Ta rok se lahko podaljša za dodaten mesec, če pravice izvršuje več posameznikov, na katere se nanašajo osebni podatki, in je njihovo sodelovanje v razumni meri potrebno za preprečitev nepotrebnega in nesorazmernega napora s strani upravljavca. Informacije se predložijo v pisni obliki. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži v elektronski obliki, se informacije zagotovijo v elektronski obliki, razen če posameznik, na katerega se nanašajo osebni podatki, informacije zahteva v drugačni obliki.

3.           Če upravljavec zavrne ukrepanje na zahtevo posameznika, na katerega se nanašajo osebni podatki, upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o razlogih za zavrnitev ter o možnosti vložitve pritožbe pri nadzornem organu in pravnih sredstvih.

4.           Informacije in ukrepi, sprejeti na podlagi zahtev iz odstavka 1, so brezplačni. Če so zahteve očitno čezmerne, zlasti zaradi njihove ponavljajoče se narave, lahko upravljavec zaračuna pristojbino za zagotavljanje informacij ali izvajanje zahtevanih ukrepov ali pa ne izvede zahtevanega ukrepa. V tem primeru nosi breme dokazovanja očitno čezmerne narave zahteve upravljavec.

5.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in pogoje za očitno čezmerne zahteve in pristojbine iz odstavka 4.

6.           Komisija lahko določi standardne obrazce in standardne postopke za sporočila iz odstavka 2, vključno z elektronsko obliko. Pri tem Komisija sprejme ustrezne ukrepe za mikro-, mala in srednje velika podjetja. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

Člen 13 Pravice v zvezi s prejemniki

Upravljavec vsakemu prejemniku, ki so mu podatki posredovani, sporoči morebitne popravke ali izbrise v skladu s členoma 16 in 17, razen če se to izkaže za nemogoče ali če vključuje nesorazmeren napor.

ODDELEK 2 INFORMACIJE IN DOSTOP DO PODATKOV

Člen 14 Informacije, ki se zagotovijo posamezniku, na katerega se nanašajo osebni podatki

1.           Pri zbiranju osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, upravljavec posamezniku, na katerega se nanašajo osebni podatki, zagotovi vsaj naslednje:

(a)     informacije o identiteti upravljavca, njegovega predstavnika, če obstaja, in uradne osebe za varstvo podatkov ter njihove kontaktne podatke;

(b)     informacije o namenih obdelave osebnih podatkov, vključno s splošnimi pogodbenimi pogoji, če obdelava temelji na točki (b) člena 6(1), in pravnih interesih, za katere si prizadeva upravljavec, če obdelava temelji na točki (f) člena 6(1);

(c)     informacije o roku shranjevanja osebnih podatkov;

(d)     informacije o obstoju pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali pravice do ugovora obdelavi osebnih podatkov;

(e)     informacije o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;

(f)      informacije o prejemnikih ali vrstah prejemnikov osebnih podatkov;

(g)     kjer je primerno, informacije o tem, da namerava upravljavec prenesti podatke v tretjo državo ali mednarodno organizacijo, in o ravni varstva, ki jo nudi ta tretja država ali mednarodna organizacija s sklicem na sklep Komisije o ustreznosti;

(h)     vse nadaljnje informacije, potrebne za zagotovitev poštene obdelave glede na posameznika, na katerega se nanašajo osebni podatki, pri čemer se upoštevajo posebne okoliščine, v katerih se zbirajo osebni podatki.

2.           Če se osebni podatki zbirajo od posameznika, na katerega se nanašajo osebni podatki, upravljavec posameznika, na katerega se nanašajo osebni podatki, poleg informacij iz odstavka 1 obvesti o tem, ali je zagotovitev osebnih podatkov obvezna ali prostovoljna in o možnih posledicah, če se taki podatki ne zagotovijo.

3.           Če se osebni podatki ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, upravljavec posameznika, na katerega se nanašajo osebni podatki, poleg informacij iz odstavka 1 obvesti o tem, od kod ti osebni podatki izvirajo.

4.           Upravljavec zagotovi informacije iz odstavkov 1, 2 in 3:

(a)     ob pridobitvi osebnih podatkov od posameznika, na katerega se nanašajo osebni podatki; ali

(b)     kadar se osebni podatki ne zberejo od posameznika, na katerega se nanašajo osebni podatki, med beleženjem ali v primernem roku po zbiranju ali, če je predvideno razkritje drugemu prejemniku, najpozneje takrat, ko so podatki prvič razkriti, ob upoštevanju posebnih okoliščin, v katerih se podatki zbirajo ali kako drugače obdelajo.

5.           Odstavki 1 do 4 se ne uporabljajo, kadar:

(a)     posameznik, na katerega se nanašajo osebni podatki, že ima informacije iz odstavkov 1, 2 in 3, ali

(b)     se podatki ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, in se zagotavljanje takih informacij izkaže za nemogoče ali bi vključevalo nesorazmeren napor, ali

(c)     se podatki ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, in je beleženje ali razkritje izrecno določeno z zakonom, ali

(d)     se podatki ne zbirajo od posameznika, na katerega se nanašajo osebni podatki, ter zagotavljanje takih informacij škoduje pravicam in svoboščinam drugih, kot je določeno v zakonodaji Unije ali zakonodaji držav članic v skladu s členom 21.

6.           V primeru iz točke (b) odstavka 5 upravljavec zagotovi ustrezne ukrepe za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki.

7.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila glede vrst prejemnikov iz točke (f) odstavka 1, zahteve glede obvestila o morebitnem dostopu iz točke (g) odstavka 1, merila za nadaljnje informacije iz točke (h) odstavka 1, potrebne za določene sektorje in primere, ter pogoje in ustrezne zaščitne ukrepe za izjeme iz točke (b) odstavka 5. Pri tem Komisija sprejme ustrezne ukrepe za mikro-, mala in srednje velika podjetja.

8.           Komisija lahko določi standardne obrazce za zagotavljanje informacij iz odstavkov 1 do 3, pri čemer po potrebi upošteva posebne značilnosti in potrebe različnih sektorjev in primerov obdelave podatkov. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

Člen 15 Pravica do dostopa za posameznika, na katerega se nanašajo osebni podatki

1.           Posameznik, na katerega se nanašajo osebni podatki, lahko od upravljavca na zahtevo kadar koli pridobi potrditev, ali se v zvezi z njim obdelujejo osebni podatki ali ne. Če se taki osebni podatki obdelujejo, upravljavec zagotovi naslednje:

(a)     informacije o namenih obdelave;

(b)     informacije o vrstah zadevnih osebnih podatkov;

(c)     informacije o prejemnikih ali vrstah prejemnikov, ki jim bodo ali so jim bili posredovani osebni podatki, zlasti prejemnikih v tretjih državah;

(d)     informacije o roku shranjevanja osebnih podatkov;

(e)     informacije o obstoju pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, ali pravice do ugovora obdelavi osebnih podatkov;

(f)      informacije o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;

(g)     sporočilo o osebnih podatkih, ki se obdelujejo, in o vseh dostopnih informacijah v zvezi z njihovim virom;

(h)     informacije o pomenu in predvidenih posledicah take obdelave, vsaj v primeru ukrepov iz člena 20.

2.           Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca pridobiti sporočilo o osebnih podatkih, ki se obdelujejo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži v elektronski obliki, se informacije zagotovijo v elektronski obliki, razen če posameznik, na katerega se nanašajo osebni podatki, informacije zahteva v drugačni obliki.

3.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za obveščanje posameznika, na katerega se nanašajo osebni podatki, o vsebini osebnih podatkov iz točke (g) odstavka 1.

4.           Komisija lahko določi standardne obrazce in postopke za zahtevanje informacij in omogočanje dostopa do informacij iz odstavka 1, tudi za preverjanje istovetnosti posameznika, na katerega se nanašajo osebni podatki, in za sporočanje osebnih podatkov posamezniku, na katerega se nanašajo osebni podatki, pri čemer upošteva posebne značilnosti in potrebe različnih sektorjev in primerov obdelave podatkov. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

ODDELEK 3

POPRAVEK IN IZBRIS

Člen 16 Pravica do popravka

Posameznik, na katerega se nanašajo osebni podatki, ima pravico pri upravljavcu doseči popravek netočnih osebnih podatkov v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima pravico do dopolnitve nepopolnih osebnih podatkov, vključno z izjavo o popravku.

Člen 17 Pravica biti pozabljen in pravica do izbrisa

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico pri upravljavcu doseči izbris osebnih podatkov v zvezi z njim in opustitev nadaljnjega razširjanja takih podatkov, zlasti v zvezi z osebnimi podatki, ki so bili dani na voljo, ko je bil posameznik, na katerega se nanašajo osebni podatki, še otrok, če velja eden od naslednjih razlogov:

(a)     podatki niso več potrebni zaradi namenov, za katere so bili zbrani ali kako drugače obdelani;

(b)     posameznik, na katerega se nanašajo osebni podatki, prekliče privolitev, na podlagi katere poteka obdelava v skladu s točko (a) člena 6(1), ali pa se je rok shranjevanja, v katerega je posameznik privolil, iztekel, in kadar ni nobenega pravnega razloga za obdelavo podatkov;

(c)     posameznik, na katerega se nanašajo osebni podatki, obdelavi osebnih podatkov ugovarja v skladu s členom 19;

(d)     obdelava podatkov ni v skladu s to uredbo iz drugih razlogov.

2.           Če upravljavec iz odstavka 1 objavi osebne podatke, sprejme v zvezi s podatki, za objavo katerih je odgovoren, vse primerne ukrepe, vključno s tehničnimi, da tretje osebe, ki te podatke obdelujejo, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, da izbrišejo morebitne povezave do teh osebnih podatkov ali kopije osebnih podatkov. Če upravljavec odobri objavo osebnih podatkov s strani tretje osebe, se šteje za odgovornega za to objavo.

3.           Upravljavec izvede izbris nemudoma, razen če je hramba osebnih podatkov potrebna:

(a) zaradi uveljavljanja pravice do svobode izražanja v skladu s členom 80;

(b) zaradi javnega interesa na področju javnega zdravja v skladu s členom 81;

(c) v zgodovinske, statistične in znanstvenoraziskovalne namene v skladu s členom 83;

(d) zaradi skladnosti s pravno obveznostjo glede hrambe osebnih podatkov na podlagi zakonodaje Unije ali zakonodaje držav članic, ki velja za upravljavca; zakonodaje držav članic izpolnjujejo cilj javnega interesa, spoštujejo bistveno vsebino pravice do varstva osebnih podatkov in so sorazmerne z zakonitim ciljem, za katerega si prizadevajo;

(e) v primerih iz odstavka 4.

4.           Upravljavec namesto izbrisa obdelavo osebnih podatkov omeji, kadar:

(a)     posameznik, na katerega se nanašajo osebni podatki, oporeka njihovi točnosti, in sicer za čas, ki upravljavcu omogoča preveriti točnost podatkov;

(b)     upravljavec osebnih podatkov ne potrebuje več za izpolnitev svoje naloge, vendar jih je treba ohraniti za namene dokazovanja;

(c)     je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje njihovemu izbrisu in namesto tega zahteva omejitev njihove uporabe;

(d)     posameznik, na katerega se nanašajo osebni podatki, zahteva prenos osebnih podatkov v drug sistem za samodejno obdelavo v skladu s členom 18(2).

5.           Osebni podatki iz odstavka 4 se razen hrambe lahko obdelujejo samo za namene dokazovanja ali s privolitvijo posameznika, na katerega se nanašajo osebni podatki, ali zaradi varstva pravic druge fizične ali pravne osebe ali zaradi cilja v javnem interesu.

6.           Če je obdelava osebnih podatkov omejena v skladu z odstavkom 4, upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o preklicu omejitve obdelave.

7.           Upravljavec uvede mehanizme, s katerimi zagotovi, da se upoštevajo roki, določeni za izbris osebnih podatkov in/ali redno preverjanje potrebe po shranjevanju podatkov.

8.           Kadar se opravi izbris, upravljavec takih osebnih podatkov ne obdeluje na druge načine.

9.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi:

(a)     merila in zahteve za uporabo odstavka 1 za določene sektorje in v posebnih primerih obdelave podatkov;

(b)     pogoje za izbris povezav do osebnih podatkov ali kopij osebnih podatkov iz javnosti dostopnih komunikacijskih storitev iz odstavka 2;

(c)     merila in pogoje za omejitev obdelave osebnih podatkov iz odstavka 4.

Člen 18 Pravica do prenosljivosti podatkov

1.           Posameznik, na katerega se nanašajo osebni podatki, ima v primeru, ko se osebni podatki obdelujejo z elektronskimi sredstvi in v strukturirani obliki v splošni rabi, pravico, da od upravljavca zahteva kopijo podatkov, ki se obdelujejo, v elektronski in strukturirani obliki v splošni rabi, ki omogoča nadaljnjo uporabo s strani posameznika, na katerega se nanašajo osebni podatki.

2.           Kadar je posameznik, na katerega se nanašajo osebni podatki, zagotovil osebne podatke, obdelava pa poteka na podlagi privolitve ali pogodbe, ima ta posameznik pravico, da te osebne podatke in morebitne druge informacije, ki jih je zagotovil posameznik in shranil avtomatiziran sistem za obdelavo, v elektronski obliki v splošni rabi prenese v drug tak sistem, ne da bi ga pri tem oviral upravljavec, od katerega so osebni podatki pridobljeni.

3.           Komisija lahko določi elektronsko obliko iz odstavka 1 ter tehnične standarde, načine in postopke za prenos osebnih podatkov v skladu z odstavkom 2. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

ODDELEK 4

PRAVICA DO UGOVORA IN OBLIKOVANJA PROFILOV

Člen 19 Pravica do ugovora

1.           Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov, ki temelji na točkah (d), (e) in (f) člena 6(1), razen če upravljavec dokaže obstoj zakonitih in nujnih razlogov za obdelavo, ki prevladajo nad interesi ali temeljnimi pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki.

2.           Če se osebni podatki obdelujejo zaradi neposrednega trženja, ima posameznik, na katerega se nanašajo osebni podatki, pravico, da brezplačno ugovarja obdelavi njegovih osebnih podatkov za tako trženje. Posameznika, na katerega se nanašajo osebni podatki, je treba o tej pravici izrecno poučiti na razumljiv način, ki se jasno razlikuje od drugih informacij.

3.           Če je podan ugovor v skladu z odstavkoma 1 in 2, upravljavec zadevnih osebnih podatkov ne sme več uporabljati ali kako drugače obdelovati.

Člen 20 Ukrepi na podlagi oblikovanja profilov

1.           Vsaka fizična oseba ima pravico, da ni predmet ukrepa, ki ima pravne učinke v zvezi s to fizično osebo ali nanjo znatno vpliva in ki temelji zgolj na samodejni obdelavi za namene ocene nekaterih osebnih vidikov v zvezi s to fizično osebo ali analiziranja ali predvidevanja zlasti uspešnosti pri delu, ekonomskega položaja, lokacije, zdravja, osebnega okusa, zanesljivosti ali vedenja fizične osebe.

2. V skladu z drugimi določbami te uredbe je lahko oseba predmet ukrepa iz odstavka 1 samo, če je obdelava:

(a)     izvedena med sklepanjem ali izvajanjem pogodbe, kadar je zahteva po sklenitvi ali izvajanju pogodbe, ki jo vloži posameznik, na katerega se nanašajo osebni podatki, izpolnjena ali kadar obstajajo ustrezni ukrepi za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki, kot je pravica do človeškega posredovanja; ali

(b)     izrecno dovoljena z zakonodajo Unije ali zakonodajo držav članic, ki določa tudi ustrezne ukrepe za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki; ali

(c)     utemeljena s privolitvijo posameznika, na katerega se nanašajo osebni podatki, v skladu s pogoji iz člena 7 in ustreznimi zaščitnimi ukrepi.

3. Samodejna obdelava osebnih podatkov za namene ocene nekaterih osebnih vidikov v zvezi s fizično osebo ne sme temeljiti zgolj na posebnih vrstah osebnih podatkov iz člena 9.

4.           V primerih iz odstavka 2 informacije, ki jih zagotovi upravljavec v skladu s členom 14, obsegajo informacije o obstoju obdelave zaradi ukrepa iz odstavka 1 in predvidenih učinkih take obdelave na posameznika, na katerega se nanašajo osebni podatki.

5.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in pogoje za ustrezne ukrepe za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki, navedenih v odstavku 2.

ODDELEK 5 OMEJITVE

Člen 21 Omejitve

1.           Zakonodaja Unije ali zakonodaja držav članic lahko z zakonodajnim ukrepom omeji obseg obveznosti in pravic iz točk (a) do (e) člena 5, členov 11 do 20 in člena 32, če je taka omejitev nujen in sorazmeren ukrep v demokratični družbi:

(a)     za zaščito javne varnosti;

(b)     za preprečevanje, preiskovanje, odkrivanje in pregon kaznivih dejanj;

(c)     za zaščito drugih javnih interesov Unije ali države članice, zlasti pomembnega gospodarskega ali finančnega interesa Unije ali države članice, vključno z denarnimi, proračunskimi in davčnimi zadevami ter zaščito stabilnosti in celovitosti trga;

(d)     za preprečevanje, preiskovanje, odkrivanje in pregon kršitev etike za zakonsko urejene poklice;

(e)     za spremljanje, pregledovanje ali urejanje, povezano, četudi občasno, z izvajanjem javne oblasti v primerih iz točk (a), (b) (c) in (d);

(f)      za zaščito posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.

2.           Vsak zakonodajni ukrep iz odstavka 1 vsebuje posebne določbe vsaj glede ciljev, za katere si je treba prizadevati pri obdelavi, in določitve upravljavca.

POGLAVJE IV

UPRAVLJAVEC IN OBDELOVALEC

ODDELEK 1 SPLOŠNE OBVEZNOSTI

Člen 22 Pristojnost upravljavca

1.           Upravljavec sprejme politike in izvede ustrezne ukrepe, s katerimi zagotovi in lahko dokaže, da se obdelava osebnih podatkov izvaja v skladu s to uredbo.

2.           Ukrepi iz odstavka 1 obsegajo zlasti:

(a) hranjenje dokumentacije v skladu s členom 28;

(b) izvajanje zahtev za varnost podatkov iz člena 30;

(c) izvajanje ocene učinka o varstvu podatkov iz člena 33;

(d) skladnost z zahtevami za predhodno odobritev ali predhodno posvetovanje z nadzornim organom v skladu s členom 34(1) in (2);

(e) imenovanje uradne osebe za varstvo podatkov v skladu s členom 35(1).

3.           Upravljavec uporabi mehanizme za zagotovitev preverjanja učinkovitosti ukrepov iz odstavkov 1 in 2. Če je to preverjanje sorazmerno, ga izvedejo neodvisni notranji ali zunanji revizorji.

4.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi dodatna merila in zahteve za ustrezne ukrepe iz odstavka 1, ki niso ukrepi, že navedeni v odstavku 2, pogoje glede mehanizmov za preverjanje in revizijo iz odstavka 3 ter glede meril za sorazmernost iz odstavka 3, ter posebne ukrepe za mikro-, mala in srednje velika podjetja.

Člen 23 Vgrajeno varstvo podatkov

1.           Upravljavec ob upoštevanju doseženega razvoja tehnologije in stroškov izvajanja v času določanja sredstev za obdelavo in v času same obdelave izvede ustrezne tehnične in organizacijske ukrepe in postopke na tak način, da obdelava ustreza zahtevam te uredbe in zagotavlja zaščito pravic posameznika, na katerega se nanašajo osebni podatki.

2.           Upravljavec uporabi mehanizme za zagotovitev, da se privzeto obdelajo samo tisti osebni podatki, ki so potrebni za vsak poseben namen obdelave, zlasti pa se ne smejo zbirati ali hraniti v večjem obsegu ali dalj časa, kot je za te namene nujno potrebno, kar velja tako za količino podatkov kot trajanje njihove hrambe. Ti mehanizmi zagotovijo zlasti, da osebni podatki privzeto niso dostopni nedoločenemu številu posameznikov.

3.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi določi dodatna merila in zahteve za ustrezne ukrepe in mehanizme iz odstavkov 1 in 2, zlasti zahteve glede vgrajenega varstva podatkov, ki veljajo za sektorje, proizvode in storitve.

4.           Komisija lahko za zahteve iz odstavkov 1 in 2 določi tehnične standarde. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

Člen 24 Skupni upravljavci

Kadar upravljavec določi namene, pogoje in sredstva obdelave osebnih podatkov skupaj z drugimi, skupni upravljavci z medsebojnim dogovorom določijo svoje naloge za izpolnitev obveznosti v skladu s to uredbo, zlasti v zvezi s postopki in mehanizmi za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki.

Člen 25 Predstavniki upravljavcev, ki nimajo sedeža v Uniji

1.           V primeru iz člena 3(2) upravljavec določi predstavnika v Uniji.

2.           Ta obveznost ne velja za:

(a)     upravljavca s sedežem v tretji državi, če Komisija sprejme sklep, da tretja država zagotavlja ustrezno raven varstva v skladu s členom 41; ali

(b)     podjetje, ki zaposluje manj kot 250 oseb; ali

(c)     javni organ; ali

(d)     upravljavca, ki samo občasno nudi blago ali storitve posameznikom, na katere se nanašajo osebni podatki in ki stalno prebivajo v Uniji.

3.           Predstavnik ima sedež v eni od držav članic, v kateri stalno prebivajo posamezniki, na katere se nanašajo osebni podatki, ki se obdelujejo v zvezi z nudenjem blaga ali storitev tem posameznikom, ali katerih vedenje se spremlja.

4.           Določitev predstavnika s strani upravljavca ne vpliva na pravne ukrepe, ki bi lahko bili uvedeni zoper samega upravljavca.

Člen 26 Obdelovalec

1.           Kadar se postopek obdelave izvaja v imenu upravljavca, upravljavec izbere obdelovalca, ki zagotovi zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov in postopkov na tak način, da obdelava ustreza zahtevam te uredbe in zagotovi zaščito pravic posameznika, na katerega se nanašajo osebni podatki, zlasti glede tehničnih varnostnih ukrepov in organizacijskih ukrepov, ki urejajo obdelavo, ki jo je treba izvesti, ter zagotovi skladnost s temi ukrepi.

2.           Izvajanje obdelave s strani obdelovalca ureja pogodba ali pravni akt, ki določa obveznosti obdelovalca do upravljavca, predvsem da obdelovalec:

(a)     deluje samo po navodilih upravljavca, zlasti kadar je prenos uporabljenih osebnih podatkov prepovedan;

(b)     zaposluje samo osebje, ki se je zavezalo k zaupnosti ali ga k zaupnosti zavezuje zakon;

(c)     izvede vse potrebne ukrepe iz člena 30;

(d)     zaposli drugega obdelovalca samo s predhodnim dovoljenjem upravljavca;

(e)     kolikor je to mogoče zaradi narave obdelave, v dogovoru z upravljavcem oblikuje potrebne tehnične in organizacijske zahteve za izpolnitev obveznosti upravljavca glede odgovarjanja na zahteve za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;

(f)      upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 30 do 34;

(g)     po končani obdelavi upravljavcu preda vse rezultate in ne obdeluje osebnih podatkov na druge načine;

(h)     da upravljavcu in nadzornemu organu na voljo vse informacije, potrebne za nadzor nad izpolnjevanjem obveznosti iz tega člena.

3.           Upravljavec in obdelovalec pisno dokumentirata navodila upravljavca in obveznosti obdelovalca iz odstavka 2.

4.           Če obdelovalec obdela osebne podatke, katerih obdelave upravljavec od njega ni zahteval, se obdelovalec v zvezi s to obdelavo obravnava kot upravljavec in zanj veljajo pravila o skupnih upravljavcih iz člena 24.

5.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za odgovornosti, dolžnosti in naloge v zvezi z obdelovalcem v skladu z odstavkom 1 ter pogoje, ki zlasti za namene nadzora in poročanja omogočajo olajšanje obdelave osebnih podatkov v povezanem podjetju.

Člen 27 Obdelava pod vodstvom upravljavca in obdelovalca

Obdelovalec in vsaka oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca, ki ima dostop do osebnih podatkov, osebnih podatkov ne sme obdelati brez navodil upravljavca, razen če to zahteva zakonodaja Unije ali zakonodaja držav članic.

Člen 28 Dokumentacija

1.           Vsak upravljavec, obdelovalec in predstavnik upravljavca, če obstaja, ohrani dokumentacijo vseh postopkov obdelave v okviru svoje pristojnosti.

2.           Dokumentacija vsebuje vsaj naslednje informacije o:

(a)     imenu upravljavca ali katerega koli skupnega upravljavca ali obdelovalca in predstavnika, če ta obstaja, in njihove kontaktne podatke;

(b)     imenu uradnika za varstvo podatkov, če ta obstaja, in njegove kontaktne podatke;

(c)     namenih obdelave, vključno s pravnimi interesi, za katere si prizadeva upravljavec, če obdelava temelji na točki (f) člena 6(1);

(d)     opisu vrst posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov v zvezi z njimi;

(e)     prejemnikih ali vrstah prejemnikov osebnih podatkov, vključno z upravljavci, ki se jim osebni podatki razkrijejo zaradi pravnih interesov, za katere si prizadevajo;

(f)      po potrebi o prenosih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz točke (h) člena 44(1) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih;

(g)     splošni navedbi rokov za izbris različnih vrst podatkov;

(h)     opisu mehanizmov iz člena 22(3).

3.           Upravljavec, obdelovalec in predstavnik upravljavca, če obstaja, nadzornemu organu na zahtevo omogočijo dostop do dokumentacije.

4.           Obveznosti iz odstavkov 1 in 2 ne veljajo za naslednje upravljavce in obdelovalce:

(a)     fizično osebo, ki osebne podatke obdeluje brez komercialnega interesa, ali

(b)     podjetje ali organizacijo, ki zaposluje manj kot 250 oseb in v katerem/kateri je obdelava osebnih podatkov samo postranska dejavnost.

5.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za dokumentacijo iz odstavka 1, ki upoštevajo zlasti pristojnosti upravljavca, obdelovalca in predstavnika upravljavca, če ta obstaja.

6.           Komisija lahko določi standardne obrazce za dokumentacijo iz odstavka 1. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

Člen 29 Sodelovanje z nadzornim organom

1.           Upravljavec, obdelovalec in predstavnik upravljavca, če ta obstaja, pri opravljanju svojih nalog na zahtevo sodelujejo z nadzornim organom, zlasti z zagotavljanjem informacij iz točke (a) člena 53(2) in omogočanjem dostopa, kakor je določeno v točki (b) navedenega člena.

2.           Kot odziv na izvajanje pooblastil nadzornega organa iz člena 53(2) upravljavec in obdelovalec nadzornemu organu odgovorita v primernem roku, ki ga določi nadzorni organ. Odgovor vsebuje opis sprejetih ukrepov in doseženih rezultatov kot odziv na pripombe nadzornega organa.

ODDELEK 2 VARNOST PODATKOV

Člen 30 Varnost obdelave

1.           Upravljavec in obdelovalec izvedeta ustrezne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti, ustrezne tveganjem, ki jih pomenita obdelava in narava osebnih podatkov, ki jih je treba varovati, pri čemer se upoštevajo doseženi razvoj tehnologije in stroški za njihovo izvajanje.

2.           Upravljavec in obdelovalec po oceni tveganj izvedeta ukrepe iz odstavka 1, da bi osebne podatke zaščitila pred naključnim ali nezakonitim uničenjem ali naključno izgubo ter preprečila morebitne nezakonite oblike obdelave, zlasti nepooblaščeno razkritje, širjenje ali dostop do osebnih podatkov oziroma njihovo predelavo.

3.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi vključno z opredelitvijo pojma „doseženi razvoj tehnologije“ podrobneje določi merila in pogoje za tehnične in organizacijske ukrepe iz odstavkov 1 in 2 za določene sektorje in v posebnih primerih obdelave podatkov, zlasti ob upoštevanju razvoja tehnologije in rešitev za vgrajeno zasebnost in vgrajeno varstvo podatkov, razen če velja odstavek 4.

4.           Komisija lahko po potrebi sprejme izvedbene akte, s katerimi podrobneje določi zahteve iz odstavkov 1 in 2 za določene primere, zlasti da:

(a)     prepreči morebiten nepooblaščen dostop do osebnih podatkov;

(b)     prepreči morebitno nepooblaščeno razkritje, branje, kopiranje, spreminjanje, izbris ali odstranitev osebnih podatkov;

(c)     zagotovi preverjanje zakonitosti postopkov obdelave.

Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

Člen 31 Obveščanje nadzornega organa o kršitvi varnosti osebnih podatkov

1.           Upravljavec v primeru kršitve varnosti osebnih podatkov o kršitvi nemudoma, po možnosti najpozneje v 24 urah po odkritju kršitve, obvesti nadzorni organ. Upravljavec nadzornemu organu predloži primerno utemeljitev v primerih, kadar nadzorni organ ni bil obveščen v 24 urah.

2.           Obdelovalec v skladu s točko (f) člena 26(2) takoj po odkritju kršitve varnosti osebnih podatkov na to opozori in o tem obvesti upravljavca.

3.           Obvestilo iz odstavka 1 vsebuje vsaj:

(a)     opis kršitve varnosti osebnih podatkov, vključno z vrstami in številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrstami in številom zadevnih evidenc podatkov;

(b)     sporočilo o istovetnosti in kontaktnih podatkih uradne osebe za varstvo podatkov ali druge kontaktne točke, pri katerih je mogoče pridobiti več informacij;

(c)     priporočene ukrepe za ublažitev morebitnih škodljivih učinkov kršitve varnosti osebnih podatkov;

(d)     opis posledic kršitve varnosti osebnih podatkov;

(e)     opis ukrepov, ki jih upravljavec predlaga ali sprejme za obravnavanje kršitve varnosti osebnih podatkov.

4.           Upravljavec dokumentira vsako kršitev varnosti osebnih podatkov, kar vključuje dejstva v zvezi s kršitvijo, njene učinke in sprejete popravne ukrepe. Ta dokumentacija mora nadzornemu organu omogočati, da preveri skladnost s tem členom. Dokumentacija vključuje samo informacije, potrebne za ta namen.

5.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za ugotavljanje kršitve varnosti osebnih podatkov iz odstavkov 1 in 2 ter za posebne okoliščine, v katerih se od upravljavca in obdelovalca zahteva, da predložita obvestilo o kršitvi varnosti osebnih podatkov.

6.           Komisija lahko določi standardno obliko takega obvestila nadzornemu organu, postopke, ki se uporabljajo za zahtevo po obvestilu, ter obliko in načine dokumentiranja iz odstavka 4, vključno z roki za izbris informacij iz dokumentacije. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

Člen 32 Obveščanje posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov

1.           Če je verjetno, da kršitev varnosti osebnih podatkov škodljivo vpliva na varstvo osebnih podatkov ali zasebnost posameznika, na katerega se nanašajo osebni podatki, upravljavec po predložitvi obvestila iz člena 31 posamezniku, na katerega se nanašajo osebni podatki, nemudoma pošlje sporočilo o kršitvi varnosti osebnih podatkov.

2.           Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 opisuje kršitev varnosti osebnih podatkov ter vsebuje vsaj informacije in priporočila iz točk (b) in (c) člena 31(3).

3.           Posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov ni treba obvestiti, če upravljavec nadzornemu organu zadovoljivo dokaže, da je izvedel ustrezne tehnološke zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila kršena varnost. Zaradi takih tehnoloških zaščitnih ukrepov bi morali biti podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih.

4.           Brez poseganja v obveznost upravljavca, da o kršitvi varnosti osebnih podatkov obvesti posameznika, na katerega se nanašajo osebni podatki, lahko v primeru, če upravljavec posameznika, na katerega se nanašajo osebni podatki, ni obvestil o kršitvi varnosti osebnih podatkov, to od njega zahteva nadzorni organ po proučitvi morebitnih škodljivih učinkov kršitve.

5.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve glede okoliščin, v katerih je verjetno, da kršitev varnosti osebnih podatkov škodljivo vpliva na osebne podatke iz odstavka 1.

6.           Komisija lahko določi obliko sporočila posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 in postopke, ki se uporabljajo za to sporočilo. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

ODDELEK 3 OCENA UČINKA O VARSTVU PODATKOV IN PREDHODNA ODOBRITEV

Člen 33 Ocena učinka o varstvu podatkov

1.           Kadar postopki obdelave zaradi svoje narave, obsega ali namenov predstavljajo posebne nevarnosti za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, upravljavec ali obdelovalec v imenu upravljavca izvede oceno učinka predvidenih postopkov obdelave na varstvo osebnih podatkov.

2.           Posebne nevarnosti iz odstavka 1 predstavljajo zlasti naslednji postopki obdelave:

(a)     sistematično in obsežno vrednotenje osebnih vidikov v zvezi s fizično osebo ali za analiziranje oziroma predvidevanje zlasti ekonomskega položaja, lokacije, zdravja, osebnega okusa, zanesljivosti ali vedenja fizične osebe, ki temelji na samodejni obdelavi in na katerem temeljijo ukrepi, ki imajo pravne učinke v zvezi s posameznikom ali nanj znatno vplivajo;

(b)     informacije o spolnem življenju, zdravju, rasnem in etničnem izvoru ali zaradi nudenja zdravstvene oskrbe, epidemiološke raziskave ali študije o duševnih ali nalezljivih boleznih, kadar se podatki obdelujejo zaradi sprejemanja ukrepov ali odločitev glede določenih posameznikov v velikem obsegu;

(c)     spremljanje javno dostopnih območij, zlasti z uporabo optično-elektronskih naprav (video nadzor) v velikem obsegu;

(d)     osebni podatki v obsežnih zbirkah, ki se nanašajo na otroke, genetske podatke ali biometrične podatke;

(e)     drugi postopki obdelave, za katere se zahteva posvetovanje z nadzornim organom v skladu s točko (b) člena 34(2).

3.           Ocena obsega vsaj splošni opis predvidenih postopkov obdelave, oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zaščitne ukrepe, varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti s to uredbo, ob upoštevanju pravic in pravnih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih zadevnih oseb.

4.           Upravljavec glede predvidene obdelave zaprosi za mnenje posameznikov, na katere se nanašajo osebni podatki, ali njihovih predstavnikov, brez poseganja v zaščito komercialnega ali javnega interesa ali varnost postopkov obdelave.

5.           Kadar je upravljavec javni organ in kadar obdelava izhaja iz pravne obveznosti v skladu s točko (c) člena 6(1), ki določa pravila in postopke v zvezi z dejavnostmi obdelave, ki jih ureja pravo Unije, se odstavki 1 do 4 ne uporabljajo, razen če država članica meni, da je treba tako oceno izvesti pred začetkom postopkov obdelave.

6.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in pogoje za postopke obdelave, ki bodo verjetno predstavljali posebne nevarnosti iz odstavkov 1 in 2, ter zahteve za oceno iz odstavka 3, vključno s pogoji za nadgradljivost, preverjanje in možnost revizije. Pri tem Komisija upošteva posebne ukrepe za mikro-, mala in srednje velika podjetja.

7.           Komisija lahko določi standarde in postopke za izvajanje, preverjanje in revizijo ocene iz odstavka 3. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

Člen 34 Predhodna odobritev in predhodno posvetovanje

1.           Upravljavec oziroma obdelovalec pred obdelavo osebnih podatkov od nadzornega organa pridobita odobritev, da zagotovita skladnost predvidene obdelave s to uredbo in zlasti ublažita nevarnosti za posameznike, na katere se nanašajo osebni podatki, kadar upravljavec ali obdelovalec sprejme pogodbene določbe iz točke (d) člena 42(2) ali ne zagotovi ustreznih zaščitnih ukrepov v pravno zavezujočem aktu iz člena 42(5) za prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo.

2.           Upravljavec ali obdelovalec, ki deluje v imenu upravljavca, se pred obdelavo osebnih podatkov posvetuje z nadzornim organom, da zagotovi skladnost predvidene obdelave s to uredbo in zlasti ublaži nevarnosti za posameznike, na katere se nanašajo osebni podatki, kadar:

(a)     ocena učinka o varstvu podatkov iz člena 33 kaže, da zaradi svoje narave, obsega ali namenov postopki obdelave verjetno predstavljajo visoko raven posebnih nevarnosti; ali

(b)     je po mnenju nadzornega organa potrebno predhodno posvetovanje o postopkih obdelave, ki bodo zaradi svoje narave, obsega in/ali namenov verjetno predstavljali posebne nevarnosti za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in postopkih obdelave, določenih v skladu z odstavkom 4.

3.           Kadar nadzorni organ meni, da predvidena obdelava ni v skladu s to uredbo, zlasti kadar nevarnosti niso ustrezno opredeljene ali ublažene, predvideno obdelavo prepove in poda ustrezne predloge za ureditev take neskladnosti.

4.           Nadzorni organ določi in javno objavi seznam postopkov obdelave, za katere je treba opraviti predhodno posvetovanje v skladu s točko (b) odstavka 2. Nadzorni organ te sezname posreduje Evropskemu odboru za varstvo podatkov.

5.           Kadar seznam iz odstavka 4 obsega postopke obdelave, ki so povezani z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, v več državah članicah ali s spremljanjem njihovega vedenja ali ki lahko znatno vplivajo na prosti pretok osebnih podatkov v Uniji, nadzorni organ pred sprejetjem seznama uporabi mehanizem za skladnost iz člena 57.

6.           Upravljavec ali obdelovalec nadzornemu organu predloži oceno učinka o varstvu podatkov iz člena 33, na zahtevo pa tudi druge informacije, ki bodo nadzornemu organu omogočile, da oceni skladnost obdelave in zlasti tveganja za varstvo osebnih podatkov posameznika, na katerega se nanašajo osebni podatki, ter s tem povezane zaščitne ukrepe.

7.           Države članice se pri pripravi zakonodajnega ukrepa, ki bo sprejet v nacionalnem parlamentu, ali ukrepa na podlagi takega zakonodajnega ukrepa, ki določa naravo obdelave, posvetujejo z nadzornim organom in tako zagotovijo skladnost predvidene obdelave s to uredbo ter zlasti ublažijo nevarnosti za posameznike, na katere se nanašajo osebni podatki.

8.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za določanje visoke ravni posebnih nevarnosti iz točke (a) odstavka 2.

9.           Komisija lahko določi standardne obrazce in postopke za predhodne odobritve in posvetovanja iz odstavkov 1 in 2 ter standardne obrazce in postopke za obveščanje nadzornih organov v skladu s členom 6. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

ODDELEK 4 URADNA OSEBA ZA VARSTVO PODATKOV

Člen 35 Imenovanje uradne osebe za varstvo podatkov

1.           Upravljavec in obdelovalec imenujeta uradno osebo za varstvo podatkov v vsakem primeru, kadar:

(a)     obdelavo izvaja javni organ; ali

(b)     obdelavo izvaja podjetje, ki zaposluje 250 oseb ali več; ali

(c)     temeljne dejavnosti upravljavca ali obdelovalca obsegajo postopke obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike, na katere se nanašajo osebni podatki, redno in sistematično spremljati.

2.           V primeru iz točke (b) odstavka 1 lahko povezana družba imenuje eno samo uradno osebo za varstvo podatkov.

3.           Kadar je upravljavec ali obdelovalec javni organ, je lahko uradna oseba za varstvo podatkov ob upoštevanju organizacijske strukture javnega organa imenovana za več njegovih subjektov.

4.           V primerih, ki niso navedeni v odstavku 1, lahko upravljavec ali obdelovalec ali združenja in drugi organi, ki predstavljajo vrste upravljavcev ali obdelovalcev, imenujejo uradno osebo za varstvo podatkov.

5.           Upravljavec ali obdelovalec uradno osebo za varstvo podatkov imenuje na podlagi strokovnih odlik in zlasti strokovnega znanja o zakonodaji in praksah varstva podatkov ter zmožnosti za opravljanje nalog iz člena 37. Stopnja potrebnega strokovnega znanja se določi zlasti v skladu z izvedeno obdelavo podatkov in varstvom, ki ga zahtevajo osebni podatki, obdelani s strani upravljavca ali obdelovalca.

6.           Upravljavec ali obdelovalec zagotovi, da so vse ostale poklicne dolžnosti uradne osebe za varstvo podatkov združljive z nalogami in dolžnostmi osebe kot uradne osebe za varstvo podatkov ter da zaradi tega ne pride do konflikta interesov.

7.           Upravljavec ali obdelovalec uradno osebo za varstvo podatkov imenuje za obdobje vsaj dveh let. Uradna oseba za varstvo podatkov se lahko ponovno imenuje za nadaljnja obdobja. Med mandatom je lahko uradna oseba za varstvo podatkov razrešena samo, če več ne izpolnjuje pogojev, zahtevanih za opravljanje njegovih nalog.

8.           Uradna oseba za varstvo podatkov je lahko zaposlena pri upravljavcu ali obdelovalcu, ali pa svoje naloge opravlja na podlagi pogodbe o storitvah.

9.           Upravljavec ali obdelovalec sporoči ime in kontaktne podatke uradne osebe za varstvo podatkov nadzornemu organu in javnosti.

10.         Posamezniki, na katere se nanašajo osebni podatki, lahko z uradno osebo za varstvo podatkov stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov, in zahtevajo uveljavljanje pravic na podlagi te uredbe.

11.         Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za temeljne dejavnosti upravljavca ali obdelovalca iz točke (c) odstavka 1 ter merila za strokovne odlike uradne osebe za varstvo podatkov iz odstavka 5.

Člen 36 Položaj uradne osebe za varstvo podatkov

1.           Upravljavec ali obdelovalec zagotovi, da je uradna oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.

2.           Upravljavec ali obdelovalec zagotovi, da uradna oseba za varstvo podatkov dolžnosti in naloge opravlja neodvisno in ne prejema nobenih navodil v zvezi z opravljanjem funkcije. Uradna oseba za varstvo podatkov neposredno poroča upravi upravljavca ali obdelovalca.

3.           Upravljavec ali obdelovalec uradni osebi za varstvo podatkov pomaga pri opravljanju njenih nalog ter zagotovi osebje, prostore, opremo in vsa druga sredstva, ki jih potrebuje za opravljanje dolžnosti in nalog iz člena 37.

Člen 37 Naloge uradne osebe za varstvo podatkov

1.           Upravljavec ali obdelovalec uradni osebi za varstvo podatkov zaupa vsaj naslednje naloge:

(a)     obveščanje upravljavca ali obdelovalca in svetovanje upravljavcu ali obdelovalcu v zvezi z njegovimi obveznostmi v skladu s to uredbo ter dokumentiranje te dejavnosti in prejetih odgovorov;

(b)     spremljanje izvajanja in uporabe politik upravljavca ali obdelovalca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, usposabljanjem uslužbencev, vključenih v postopke obdelave, in s tem povezanimi revizijami;

(c)     spremljanje izvajanja in uporabe te uredbe, zlasti v zvezi z zahtevami, povezanimi z vgrajenim varstvom podatkov in varnostjo podatkov, ter v zvezi z informacijami posameznikov, na katere se nanašajo osebni podatki, in njihovimi zahtevami pri uveljavljanju pravic na podlagi te uredbe;

(d)     zagotavljanje ohranjanja dokumentacije iz člena 28;

(e)     spremljanje dokumentiranja, obveščanja in posredovanja sporočil o kršitvah varnosti osebnih podatkov iz členov 31 in 32;

(f)      spremljanje izvajanja ocene učinka o varstvu podatkov s strani upravljavca ali obdelovalca in uporabe predhodne odobritve ali predhodnega posvetovanja, če se to zahteva v skladu s členoma 33 in 34;

(g)     spremljanje odgovora na zahteve nadzornega organa in sodelovanje, v okviru pristojnosti uradne osebe za varstvo podatkov, z nadzornim organom na zahtevo slednjega ali na pobudo uradne osebe za varstvo podatkov;

(h)     delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo in posvetovanje z nadzornim organom na pobudo uradne osebe za varstvo podatkov, če je to primerno.

2.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve glede nalog, potrjevanja, položaja, pooblastil in sredstev uradne osebe za varstvo podatkov iz odstavka 1.

ODDELEK 5 PRAVILA RAVNANJA IN POTRJEVANJE

Člen 38 Pravila ravnanja

1.           Države članice, nadzorni organi in Komisija spodbujajo pripravljanje pravil ravnanja, katerih namen je prispevati k pravilni uporabi te uredbe, ob upoštevanju posebnih značilnosti različnih sektorjev za obdelavo podatkov, zlasti v zvezi s:

(a)     pošteno in pregledno obdelavo podatkov;

(b)     zbiranjem podatkov;

(c)     obveščanjem javnosti in posameznikov, na katere se nanašajo osebni podatki;

(d)     zahtevami posameznikov, na katere se nanašajo osebni podatki, pri uveljavljanju njihovih pravic;

(e)     obveščanjem in zaščito otrok;

(f)      prenosi podatkov v tretje države ali mednarodne organizacije;

(g)     mehanizmi za spremljanje in zagotavljanje skladnosti s pravili s strani upravljavcev, za katere ta pravila veljajo;

(h)     izvensodnimi postopki in drugimi postopki reševanja sporov za reševanje sporov med upravljavci in posamezniki, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov, brez poseganja v pravice posameznikov, na katere se nanašajo osebni podatki, v skladu s členoma 73 in 75.

2.           Združenja in drugi organi, ki predstavljajo vrste upravljavcev ali obdelovalcev v eni državi članici in nameravajo pripraviti pravila ravnanja oziroma spremeniti ali razširiti veljavna pravila ravnanja, lahko ta pravila predložijo v presojo nadzornemu organu v tej državi članici. Nadzorni organ lahko poda mnenje, ali je osnutek pravil ravnanja ali sprememba teh pravil v skladu s to uredbo. Nadzorni organ za mnenje o teh osnutkih zaprosi posameznike, na katere se nanašajo osebni podatki, ali njihove predstavnike.

3.           Združenja in drugi organi, ki predstavljajo vrste upravljavcev v več državah članicah, lahko osnutke pravil ravnanja in spremembe ali razširitve veljavnih pravil ravnanja predložijo Komisiji.

4.           Komisija lahko sprejme izvedbene akte, s katerimi sklene, da so pravila ravnanja in spremembe ali razširitve veljavnih pravil ravnanja, ki so ji bile predložene v skladu z odstavkom 3, v Uniji splošno veljavne. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

5.           Komisija zagotovi ustrezno objavo pravil ravnanja, za katera je v skladu z odstavkom 4 sklenila, da so splošno veljavna.

Člen 39 Potrjevanje

1.           Države članice in Komisija zlasti na evropski ravni spodbujajo vzpostavitev mehanizmov potrjevanja za varstvo podatkov ter pečatov in označb za varstvo podatkov, ki posameznikom, na katere se nanašajo osebni podatki, omogočijo, da hitro ocenijo raven varstva podatkov, ki jo zagotavljajo upravljavci in obdelovalci. Mehanizmi potrjevanja za varstvo podatkov prispevajo k pravilni uporabi te uredbe, ob upoštevanju posebnih značilnosti različnih sektorjev in postopkov obdelave.

2.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za mehanizme potrjevanja za varstvo podatkov iz odstavka 1, vključno s pogoji za dodelitev in odvzem potrditve ter zahtevami za priznanje v Uniji in v tretjih državah.

3.           Komisija lahko določi tehnične standarde za mehanizme potrjevanja ter pečate in označbe za varstvo podatkov, ki bodo spodbujali uporabo mehanizmov potrjevanja ter pečatov in označb za varstvo podatkov ter jih priznali. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

POGLAVJE V PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE ALI MEDNARODNE ORGANIZACIJE

Člen 40 Splošna načela za prenose

Vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, se lahko, v skladu z drugimi določbami te uredbe, izvede samo, če upravljavec in obdelovalec ravnata v skladu s pogoji iz tega poglavja, kar velja tudi za nadaljnje prenose osebnih podatkov iz tretje države ali mednarodne organizacije v drugo tretjo državo ali drugo mednarodno organizacijo.

Člen 41 Prenosi s sklepom o ustreznosti

1.           Prenos se lahko izvede, če je Komisija sprejela sklep, da zadevna tretja država, zadevna ozemeljska enota, zadevni sektor za obdelavo v tretji državi ali zadevna mednarodna organizacija zagotavlja ustrezno raven varstva podatkov. Za tak prenos ni potrebno nobeno dodatno pooblastilo.

2.           Pri ocenjevanju ustreznosti ravni varstva Komisija upošteva naslednje elemente:

(a)     načelo pravne države, ustrezno veljavno zakonodajo, tako splošno kot sektorsko, tudi glede javne varnosti, obrambe, nacionalne varnosti in kazenskega prava, poklicnih pravil in varnostnih ukrepov, ki se upoštevajo v navedeni državi ali mednarodni organizaciji, prav tako učinkovite in izvršljive pravice, vključno z učinkovitim upravnim in sodnim varstvom za posameznike, na katere se nanašajo osebni podatki, zlasti za tiste posameznike, na katere se nanašajo osebni podatki, ki imajo stalno prebivališče v Uniji in katerih osebni podatki se prenašajo;

(b)     obstoj in učinkovito delovanje enega ali več neodvisnih nadzornih organov v zadevni tretji državi ali zadevni mednarodni organizaciji, ki so pristojni za zagotavljanje skladnosti s predpisi o varstvu podatkov, za pomoč in svetovanje posamezniku, na katerega se nanašajo osebni podatki, pri uveljavljanju njegovih pravic ter za sodelovanje z nadzornimi organi Unije in držav članic; ter

(c)     mednarodne obveznosti, ki jih je prevzela zadevna tretja država ali zadevna mednarodna organizacija.

3.           Komisija lahko sprejme sklep, da tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva v smislu odstavka 2. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

4.           V izvedbenih aktih se določi njihova ozemeljska in sektorska uporaba, po potrebi pa se opredeli nadzorni organ iz točke (b) odstavka 2.

5.           Komisija lahko sprejme sklep, da tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija ne zagotavlja ustrezne ravni varstva v smislu odstavka 2 tega člena, zlasti kadar ustrezna zakonodaja, tako splošna kot sektorska, ki velja v tretji državi ali mednarodni organizaciji, ne zagotavlja učinkovitih in izvršljivih pravic, vključno z učinkovitim upravnim in sodnim varstvom za posameznike, na katere se nanašajo osebni podatki, zlasti za tiste posameznike, na katere se nanašajo osebni podatki, ki imajo stalno prebivališče v Uniji in katerih osebni podatki se prenašajo. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2) ali v izjemno nujnih primerih za posameznike glede na njihovo pravico do varstva osebnih podatkov v skladu s postopkom iz člena 87(3).

6.           Če Komisija sprejme sklep v skladu z odstavkom 5, je vsak prenos osebnih podatkov v zadevno tretjo državo, v zadevno ozemeljsko enoto, v zadevni sektor za obdelavo v navedeni tretji državi ali v zadevno mednarodno organizacijo prepovedan, brez poseganja v člene 42 do 44. Komisija v primernem roku začne izvajati posvetovanja s tretjo državo ali mednarodno organizacijo v zvezi z urejanjem položaja, ki je posledica sklepa iz odstavka 5 tega člena.

7.           Komisija v Uradnem listu Evropske unije objavi seznam navedenih tretjih držav, ozemeljskih enot, sektorjev za obdelavo v tretji državi in mednarodnih organizacij, v zvezi s katerimi je sprejela sklep, da zagotavljajo ustrezno raven varstva oziroma je ne zagotavljajo.

8.           Sklepi, ki jih je Komisija sprejela na podlagi člena 25(6) ali člena 26(4) Direktive 95/46/ES, ostanejo veljavni, dokler jih Komisija ne spremeni, nadomesti ali razveljavi.

Člen 42 Prenosi z ustreznimi zaščitnimi ukrepi

1.           Če Komisija ni sprejela nobenega sklepa v skladu s členom 41, lahko upravljavec ali obdelovalec osebne podatke prenese v tretjo državo ali mednarodno organizacijo samo, če je v zvezi z varstvom osebnih podatkov v pravno zavezujočem aktu navedel ustrezne zaščitne ukrepe.

2.           Ustrezni zaščitni ukrepi iz odstavka 1 se zagotovijo zlasti z:

(a)     zavezujočimi poslovnimi pravili v skladu s členom 43; ali

(b)     standardnimi določili Komisije o varstvu podatkov. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2); ali

(c)     standardnimi določili o varstvu podatkov, ki jih je sprejel nadzorni organ v skladu z mehanizmom za skladnost iz člena 57, ko jih Komisija v skladu s točko (b) člena 62(1) razglasi za splošno veljavna; ali

(d)     pogodbenimi določbami med upravljavcem ali obdelovalcem in prejemnikom podatkov, ki jih je odobril nadzorni organ v skladu z odstavkom 4.

3.           Za prenos, ki temelji na standardnih določilih o varstvu podatkov ali zavezujočih poslovnih pravilih iz točk (a), (b) ali (c) odstavka 2, dodatno pooblastilo ni potrebno.

4.           Kadar prenos temelji na pogodbenih določbah iz točke (d) odstavka 2 tega člena, upravljavec ali obdelovalec od nadzornega organa pridobi predhodno odobritev pogodbenih določb v skladu s točko (a) člena 34(1). Če je prenos povezan s postopki obdelave v zvezi s posamezniki, na katere se nanašajo osebni podatki, v drugi državi članici ali drugih državah članicah ali znatno vpliva na prosti pretok osebnih podatkov v Uniji, nadzorni organ uporabi mehanizem za skladnost iz člena 57.

5.           Kadar ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov niso zagotovljeni v pravno zavezujočem aktu, upravljavec ali obdelovalec za prenos ali niz prenosov ali določbe, ki bodo vstavljene v upravne dogovore, ki določajo podlago za tak prenos, pridobi predhodno odobritev. Taka odobritev s strani nadzornega organa je v skladu s točko (a) člena 34(1). Če je prenos povezan s postopki obdelave v zvezi s posamezniki, na katere se nanašajo osebni podatki, v drugi državi članici ali drugih državah članicah ali znatno vpliva na prosti pretok osebnih podatkov v Uniji, nadzorni organ uporabi mehanizem za skladnost iz člena 57. Odobritve s strani nadzornega organa na podlagi člena 26(2) Direktive 95/46/ES ostanejo veljavne, dokler jih ta nadzorni organ ne spremeni, nadomesti ali razveljavi.

Člen 43 Prenosi z zavezujočimi poslovnimi pravili

1.           Nadzorni organ v skladu z mehanizmom za skladnost iz člena 58 zavezujoča poslovna pravila odobri, če:

(a)     so pravno zavezujoča, veljajo za vsakega člana povezane družbe upravljavca ali obdelovalca, jih izvajajo vsi člani te družbe in obsegajo tudi zaposlene v tej družbi;

(b)     izrecno podeljujejo izvršljive pravice posameznikom, na katere se nanašajo osebni podatki;

(c)     izpolnjujejo zahteve iz odstavka 2.

2.           Zavezujoča poslovna pravila določajo vsaj:

(a)     strukturo in kontaktne podatke povezane družbe in njenih članov;

(b)     prenose podatkov ali nize prenosov, vključno z vrstami osebnih podatkov, vrsto obdelave in njenimi nameni, vrsto posameznikov, na katere se nanašajo osebni podatki in na katere ta pravila vplivajo, ter opredelitvijo zadevne tretje države ali držav;

(c)     njihovo pravno zavezujočo naravo, tako notranjo kot zunanjo;

(d)     splošna načela o varstvu podatkov, zlasti omejitev namena, kakovost podatkov, pravno podlago za obdelavo, obdelavo občutljivih osebnih podatkov, ukrepe za zagotavljanje varnosti podatkov in zahteve za nadaljnje prenose v organizacije, ki jih politike ne zavezujejo;

(e)     pravice posameznikov, na katere se nanašajo osebni podatki, in sredstva za uveljavljanje teh pravic, vključno s pravico, da posameznik ni predmet ukrepa na podlagi oblikovanja profilov v skladu s členom 20, pravico do vložitve pritožbe pri pristojnem nadzornem organu in pristojnih sodiščih držav članic v skladu s členom 75 ter do pridobitve varstva in po potrebi odškodnine za kršitev zavezujočih poslovnih pravil;

(f)      sprejemanje odgovornosti s strani upravljavca ali obdelovalca s sedežem na ozemlju države članice za morebitne kršitve zavezujočih poslovnih pravil s strani katerega koli člana povezane družbe, ki nima sedeža v Uniji; upravljavec ali obdelovalec je iz te odgovornosti lahko delno ali v celoti izvzet samo, če dokaže, da zadevni član ni odgovoren za dogodek, na podlagi katerega je škoda nastala;

(g)     načine, na katere se informacije o zavezujočih poslovnih pravilih, zlasti o določbah iz točk (d), (e) in (f) tega odstavka, zagotovijo posameznikom, na katere se nanašajo osebni podatki, v skladu s členom 11;

(h)     naloge uradne osebe za varstvo podatkov, imenovane v skladu s členom 35, vključno s spremljanjem skladnosti z zavezujočimi poslovnimi pravili znotraj povezane družbe, pa tudi spremljanjem usposabljanja in obravnavanja pritožb;

(i)      mehanizme v povezani družbi, ki so namenjeni zagotavljanju preverjanja skladnosti z zavezujočimi poslovnimi pravili;

(j)      mehanizme za poročanje in evidentiranje sprememb politik ter poročanje o teh spremembah nadzornemu organu;

(k)     mehanizem sodelovanja z nadzornim organom, da se zagotovi upoštevanje pravil s strani vsakega člana povezane družbe, zlasti z dajanjem rezultatov preverjanj ukrepov iz točke (i) tega odstavka na voljo nadzornemu organu.

3.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za zavezujoča poslovna pravila v smislu tega člena, zlasti glede meril za njihovo odobritev in uporabe točk (b), (d), (e) in (f) odstavka 2 za zavezujoča poslovna pravila, ki veljajo za obdelovalce, ter nadaljnjih zahtev, potrebnih za zagotavljanje varstva osebnih podatkov zadevnih posameznikov, na katere se nanašajo osebni podatki.

4.           Komisija lahko določi obliko zapisa in postopke za izmenjavo informacij z elektronskimi sredstvi med upravljavci, obdelovalci in nadzornimi organi za zavezujoča poslovna pravila v smislu tega člena. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

Člen 44 Odstopanja

1.           Če sklep o ustreznosti v skladu s členom 41 ali ustrezni zaščitni ukrepi v skladu s členom 42 niso bili sprejeti, se prenos ali niz prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo lahko izvede samo pod pogojem, da:

(a)     je posameznik, na katerega se nanašajo osebni podatki, po tem, ko je bil obveščen o nevarnostih takih prenosov zaradi nesprejetja sklepa o ustreznosti in ustreznih zaščitnih ukrepov, privolil v predlagani prenos; ali

(b)     je prenos potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali za izvajanje predpogodbenih ukrepov, sprejetih na zahtevo posameznika, na katerega se nanašajo osebni podatki; ali

(c)     je prenos potreben za sklenitev ali izvajanje pogodbe med upravljavcem in drugo fizično ali pravno osebo, ki je v interesu posameznika, na katerega se nanašajo osebni podatki; ali

(d)     je prenos potreben zaradi pomembnih javnih interesov; ali

(e)     je prenos potreben za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov; ali

(f)      je prenos potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe, kadar posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno ni sposoben dati privolitve; ali

(g)     se prenos opravi iz registra, ki je po zakonodaji Unije ali zakonodaji držav članic namenjen zagotavljanju informacij javnosti in je na voljo za vpogled bodisi javnosti na splošno bodisi kateri koli osebi, ki lahko izkaže pravni interes, v kolikor so v posameznem primeru izpolnjeni pogoji za tak vpogled, določeni v zakonodaji Unije ali zakonodaji držav članic; ali

(h)     je prenos potreben zaradi pravnih interesov, za katere si prizadeva upravljavec ali obdelovalec in ki jih ni mogoče šteti za pogoste ali množične, ter kadar je upravljavec ali obdelovalec ocenil vse okoliščine prenosa podatkov ali niza prenosov podatkov in na podlagi te ocene po potrebi predvidel ustrezne zaščitne ukrepe za varstvo osebnih podatkov.

2.           Prenos v skladu s točko (g) odstavka 1 ne vključuje vseh osebnih podatkov ali vseh vrst osebnih podatkov, ki jih vsebuje register. Kadar je register namenjen vpogledu oseb, ki imajo pravni interes, se prenos opravi samo na zahtevo teh oseb ali če bodo te osebe prejemniki.

3.           Kadar obdelava temelji na točki (h) odstavka 1, upravljavec ali obdelovalec posebno pozornost nameni naravi podatkov, namenu in trajanju predlaganega postopka ali postopkov obdelave ter razmeram v državi izvora, tretji državi in končni namembni državi ter po potrebi predvidi ustrezne zaščitne ukrepe za varstvo osebnih podatkov.

4.           Točke (b), (c) in (h) odstavka 1 ne veljajo za dejavnosti, ki jih opravljajo javni organi pri izvajanju svojih javnih pristojnosti.

5.           Javni interes iz točke (d) odstavka 1 mora biti priznan v zakonodaji Unije ali zakonodaji držav članic, ki velja za upravljavca.

6.           Upravljavec ali obdelovalec dokumentira oceno in predvidene ustrezne zaščitne ukrepe iz točke (h) odstavka 1 tega člena v dokumentaciji iz člena 28 in o prenosu obvesti nadzorni organ.

7.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi „pomembne javne interese“ v smislu točke (d) odstavka 1 ter merila in zahteve za ustrezne zaščitne ukrepe iz točke (h) odstavka 1.

Člen 45 Mednarodno sodelovanje za varstvo osebnih podatkov

1.           Komisija in nadzorni organi v zvezi s tretjimi državami in mednarodnimi organizacijami sprejmejo ustrezne ukrepe za:

(a)     oblikovanje učinkovitih mehanizmov mednarodnega sodelovanja za spodbujanje uveljavljanja zakonodaje o varstvu osebnih podatkov;

(b)     zagotavljanje mednarodne medsebojne pomoči pri uveljavljanju zakonodaje o varstvu osebnih podatkov, vključno z obveščanjem, posredovanjem pritožb, pomočjo pri preiskavah in izmenjavo informacij, v zvezi s čimer se uporabljajo ustrezni zaščitni ukrepi za varstvo osebnih podatkov ter drugih temeljnih pravic in svoboščin;

(c)     vključevanje ustreznih zainteresiranih strani v razpravo in dejavnosti, katerih cilj je pospeševanje mednarodnega sodelovanja pri uveljavljanju zakonodaje o varstvu osebnih podatkov;

(d)     spodbujanje izmenjave in dokumentiranja zakonodaje in prakse za varstvo osebnih podatkov.

2.           Komisija za namene iz odstavka 1 sprejme ustrezne ukrepe za spodbujanje odnosa s tretjimi državami in mednarodnimi organizacijami ter zlasti z njihovimi nadzornimi organi, če je Komisija sprejela sklep, da zagotavljajo ustrezno raven varstva v smislu člena 41(3).

POGLAVJE VI NEODVISNI NADZORNI ORGANI

ODDELEK 1 STATUS NEODVISNOSTI

Člen 46 Nadzorni organ

1.           Vsaka država članica določi, da je eden ali več javnih organov pristojnih za spremljanje uporabe te uredbe in za prispevanje k njeni dosledni uporabi v vsej Uniji za zaščito temeljnih pravic in svoboščin fizičnih oseb v zvezi z obdelavo njihovih osebnih podatkov ter za zagotovitev prostega pretoka osebnih podatkov v Uniji. V ta namen je potrebno medsebojno sodelovanje nadzornih organov in sodelovanje s Komisijo.

2.           Če je v državi članici ustanovljen več kot en nadzorni organ, ta država članica določi nadzorni organ, ki deluje kot enotna kontaktna točka za učinkovito udeležbo navedenih organov v Evropskem odboru za varstvo podatkov, in določi mehanizem za zagotavljanje, da drugi organi upoštevajo pravila v zvezi z mehanizmom za skladnost iz člena 57.

3.           Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu s tem poglavjem, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov.

Člen 47 Neodvisnost

1.           Nadzorni organ pri izvajanju svojih nalog in pooblastil, ki so mu bili zaupani, ravna popolnoma neodvisno.

2.           Člani nadzornega organa pri izvajanju svojih nalog nikogar ne prosijo za navodila in jih od nikogar ne sprejemajo.

3.           Člani nadzornega organa se vzdržijo vsakega delovanja, ki je nezdružljivo z njihovimi nalogami, in se v času svojega mandata ne ukvarjajo z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim.

4.           Člani nadzornega organa po prenehanju svojega mandata ravnajo neoporečno in preudarno glede sprejemanja imenovanj in ugodnosti.

5.           Vsaka država članica zagotovi, da so nadzornemu organu na voljo zadostni človeški, tehnični in finančni viri, prostori in infrastruktura, ki so potrebni za učinkovito izvajanje njegovih nalog in pooblastil, vključno s tistimi, ki se izvedejo v okviru medsebojne pomoči, sodelovanja in dejavne udeležbe v Evropskem odboru za varstvo podatkov.

6.           Vsaka država članica zagotovi, da ima nadzorni organ svoje osebje, člane katerega imenuje in usmerja vodja nadzornega organa.

7.           Države članice zagotovijo, da se izvaja finančni nadzor nadzornega organa, kar pa ne vpliva na njegovo neodvisnost. Države članice zagotovijo, da ima nadzorni organ ločene letne proračune. Proračuni se objavijo.

Člen 48 Splošni pogoji za člane nadzornega organa

1.           Države članice zagotovijo, da člane nadzornega organa imenuje parlament ali vlada zadevne države članice.

2.           Člani se izberejo izmed oseb, o neodvisnosti katerih ni nikakršnih dvomov in ki dokazujejo izkušnje in strokovnost, potrebne za opravljanje njihovih nalog, zlasti na področju varstva osebnih podatkov.

3.           Dolžnosti člana prenehajo v primeru prenehanja mandata, odstopa ali prisilne razrešitve v skladu z odstavkom 5.

4.           Pristojno nacionalno sodišče lahko razreši člana ali mu odvzame pravico do pokojnine ali do drugih podobnih ugodnosti, če član ne izpolnjuje več pogojev, ki se zahtevajo za opravljanje njegovih nalog, ali če je zagrešil hujšo kršitev.

5.           Če članu mandat preneha ali če član odstopi, še naprej opravlja svoje naloge, dokler ni imenovan nov član.

Člen 49 Pravila o ustanovitvi nadzornega organa

Vsaka država članica z zakonom v mejah te uredbe določi:

(a)     ustanovitev in status nadzornega organa;

(b)     kvalifikacije, izkušnje in strokovnost, ki se zahtevajo za opravljanje nalog članov nadzornega organa;

(c)     pravila in postopke za imenovanje članov nadzornega organa ter pravila o ukrepih ali delu, ki so nezdružljivi s funkcijo;

(d)     trajanje mandata članov nadzornega organa, ki ni krajši od štirih let, razen pri prvem imenovanju po začetku veljavnosti te uredbe, del katerega lahko traja krajše obdobje, če je to potrebno zaradi zaščite neodvisnosti nadzornega organa s postopnim postopkom imenovanja;

(e)     ali se lahko člani nadzornega organa ponovno imenujejo;

(f)      pravila in splošne pogoje, ki urejajo naloge članov in osebja nadzornega organa;

(g)     pravila in postopke o prenehanju dolžnosti članov nadzornega organa, tudi če ne izpolnjujejo več pogojev, ki se zahtevajo za opravljanje njihovih nalog, ali če so zagrešili hujšo kršitev.

Člen 50 Poklicna molčečnost

Člani in osebje nadzornega organa so tako v času svojega mandata kot po njegovem prenehanju dolžni varovati poklicno molčečnost v zvezi z vsemi zaupnimi informacijami, s katerimi so se seznanili v času opravljanja svojih uradnih dolžnosti.

ODDELEK 2 NALOGE IN POOBLASTILA

Člen 51 Pristojnost

1.           Vsak nadzorni organ na ozemlju svoje države članice izvaja pooblastila, ki so mu bila podeljena v skladu s to uredbo.

2.           Kadar se obdelava osebnih podatkov izvaja v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Uniji in ima upravljavec ali obdelovalec sedež v več kot eni državi članici, je nadzorni organ glavnega sedeža upravljavca ali obdelovalca brez poseganja v določbe poglavja VII te uredbe pristojen za nadzor postopkov obdelave upravljavca ali obdelovalca v vseh državah članicah.

3.           Nadzorni organ ni pristojen za nadzor postopkov obdelave sodišč, kadar delujejo kot sodni organ.

Člen 52 Naloge

1.           Nadzorni organ:

(a)     spremlja in zagotavlja uporabo te uredbe;

(b)     obravnava pritožbe, ki jih v skladu s členom 73 vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, ali združenje, ki zastopa posameznika, na katerega se nanašajo osebni podatki, v ustreznem obsegu prouči zadevo ter posameznika, na katerega se nanašajo osebni podatki, ali združenje v primernem roku obvesti o stanju zadeve in odločitvi o pritožbi, zlasti če je potrebna podrobnejša proučitev ali uskladitev z drugim nadzornim organom;

(c)     posreduje informacije in zagotavlja medsebojno pomoč drugim nadzornim organom ter doslednost pri uporabi in izvajanju te uredbe;

(d)     na lastno pobudo ali na podlagi pritožbe ali na zahtevo drugega nadzornega organa izvaja preiskave in o izidu v primernem roku obvesti posameznika, na katerega se nanašajo osebni podatki, če je vložil pritožbo;

(e)     spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij ter trgovinskih praks;

(f)      institucijam in organom držav članic svetuje o zakonodajnih in upravnih ukrepih, ki so povezani z varstvom pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov;

(g)     odobri postopke obdelave iz člena 34 in o njih svetuje;

(h)     poda mnenje o osnutkih pravil ravnanja v skladu s členom 38(2);

(i)      odobri zavezujoča poslovna pravila v skladu s členom 43;

(j)      sodeluje pri dejavnostih Evropskega odbora za varstvo podatkov.

2.           Vsak nadzorni organ spodbuja ozaveščenost javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo osebnih podatkov. Posebna pozornost se nameni dejavnostim, ki izrecno obravnavajo otroke.

3.           Nadzorni organ na zahtevo posamezniku, na katerega se nanašajo osebni podatki, svetuje pri uveljavljanju pravic na podlagi te uredbe in v zvezi s tem po potrebi sodeluje z nadzornimi organi v drugih državah članicah.

4.           Nadzorni organ za pritožbe iz točke (b) odstavka 1 zagotovi obrazec za vložitev pritožbe, ki se lahko izpolni elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

5.           Opravljanje nalog nadzornega organa je za posameznika, na katerega se nanašajo osebni podatki, brezplačno.

6.           Če so zahteve očitno čezmerne, zlasti zaradi njihove ponavljajoče se narave, lahko nadzorni organ zaračuna pristojbino ali ne izvede ukrepa, ki ga zahteva posameznik, na katerega se nanašajo osebni podatki. V tem primeru nosi breme dokazovanja očitno čezmerne narave zahteve nadzorni organ.

Člen 53 Pooblastila

1.           Vsak nadzorni organ je pooblaščen, da:

(a)     upravljavca ali obdelovalca obvesti o domnevni kršitvi predpisov, ki urejajo obdelavo osebnih podatkov, in po potrebi upravljavcu ali obdelovalcu odredi, da na določen način odpravi to kršitev in tako izboljša varstvo posameznika, na katerega se nanašajo osebni podatki;

(b)     upravljavcu ali obdelovalcu odredi, da ugodi zahtevi posameznika, na katerega se nanašajo osebni podatki, v zvezi z uveljavljanjem pravic iz te uredbe;

(c)     upravljavcu in obdelovalcu ter, kadar je to primerno, predstavniku odredi, da zagotovi vse informacije, potrebne za opravljanje njegovih nalog;

(d)     zagotovi skladnost s predhodnimi odobritvami in predhodnimi posvetovanji iz člena 34;

(e)     opozori ali opomni upravljavca ali obdelovalca;

(f)      odredi popravek, izbris ali uničenje vseh podatkov, ki so bili obdelani s kršitvijo določb te uredbe, in o takih ukrepih obvesti tretje osebe, ki so jim bili podatki posredovani;

(g)     začasno ali dokončno prepove obdelavo;

(h)     prekine prenose podatkov prejemniku v tretji državi ali mednarodni organizaciji;

(i)      poda mnenja o vseh vprašanjih, povezanih z varstvom osebnih podatkov;

(j)      nacionalni parlament, vlado ali druge politične institucije in javnost obvesti o vseh vprašanjih, povezanih z varstvom osebnih podatkov.

2.           Vsak nadzorni organ ima preiskovalna pooblastila, da od upravljavca ali obdelovalca pridobi:

(a)     dostop do vseh osebnih podatkov in vseh informacij, potrebnih za opravljanje njegovih nalog;

(b)     dostop do vseh njunih prostorov, vključno z vso opremo in sredstvi za obdelavo podatkov, kadar obstajajo utemeljeni razlogi za domnevo, da se tam izvaja dejavnost, ki krši to uredbo.

Pooblastila iz točke (b) se izvajajo v skladu z zakonodajo Unije in zakonodajo držav članic.

3.           Vsak nadzorni organ je pooblaščen, da pravosodne organe seznani s kršitvami te uredbe in sodeluje v sodnih postopkih, zlasti v skladu s členom 74(4) in členom 75(2).

4.           Vsak nadzorni organ je pooblaščen za kaznovanje upravnih kršitev, zlasti tistih iz člena 79(4), (5) in (6).

Člen 54 Poročilo o dejavnostih

Vsak nadzorni organ pripravi letno poročilo o svojih dejavnostih. Poročilo se predloži nacionalnemu parlamentu ter da na voljo javnosti, Komisiji in Evropskemu odboru za varstvo podatkov.

POGLAVJE VII

SODELOVANJE IN SKLADNOST

ODDELEK 1 SODELOVANJE

Člen 55 Medsebojna pomoč

1.           Nadzorni organi drug drugemu zagotovijo relevantne informacije in medsebojno pomoč ter tako na dosleden način izvajajo in uporabljajo to uredbo, in uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za izvedbo predhodnih odobritev in posvetovanj, pregledov in takojšnjega obveščanja o začetku postopkov in nadaljnjem razvoju, kadar je verjetno, da bodo postopki obdelave vplivali na posameznike, na katere se nanašajo osebni podatki, v več državah članicah.

2.           Vsak nadzorni organ sprejme vse ustrezne ukrepe, potrebne za odgovor na zahtevo drugega nadzornega organa, nemudoma in najpozneje en mesec po prejemu zahteve. Taki ukrepi vključujejo zlasti prenos relevantnih informacij o poteku preiskave ali ukrepe izvrševanja zaradi prenehanja ali prepovedi postopkov obdelave v nasprotju s to uredbo.

3.           Zahteva za pomoč vsebuje vse potrebne informacije, vključno z namenom in obrazložitvijo zahteve. Izmenjane informacije se uporabljajo samo v zvezi z zadevami, za katere so bile zahtevane.

4.           Nadzorni organ, ki prejme zahtevo za pomoč, te zahteve ne sme zavrniti, razen če:

(a)     za zahtevo ni pristojen; ali

(b)     bi bilo upoštevanje zahteve nezdružljivo z določbami te uredbe.

5.           Zaprošeni nadzorni organ obvesti nadzorni organ prosilec o rezultatih ali, odvisno od posameznega primera, o napredku ali sprejetih ukrepih, da se ugodi zahtevi nadzornega organa prosilca.

6.           Nadzorni organi informacije, za katere je zaprosil drug nadzorni organ, posredujejo z elektronskimi sredstvi, v najkrajšem možnem času in v standardizirani obliki.

7.           Za noben ukrep na podlagi zahteve za medsebojno pomoč se ne zaračuna pristojbina.

8.           Če nadzorni organ ne ukrepa v enem mesecu po prejemu zahteve drugega nadzornega organa, je nadzorni organ prosilec pristojen za sprejetje začasnih ukrepov na ozemlju svoje države članice v skladu s členom 51(1) in zadevo predloži Evropskemu odboru za varstvo podatkov v skladu s postopkom iz člena 57.

9.           Nadzorni organ določi obdobje veljavnosti takega začasnega ukrepa. To obdobje ni daljše od treh mesecev. Nadzorni organ o teh ukrepih z navedbo vseh razlogov nemudoma obvesti Evropski odbor za varstvo podatkov in Komisijo.

10.         Komisija lahko določi obliko zapisa in postopke za medsebojno pomoč iz tega člena ter ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in Evropskim odborom za varstvo podatkov, zlasti standardizirano obliko iz odstavka 6. Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

Člen 56 Skupno ukrepanje nadzornih organov

1.           Nadzorni organi za krepitev sodelovanja in medsebojne pomoči izvajajo skupne preiskovalne naloge, skupne ukrepe izvrševanja in druge skupne ukrepe, pri katerih sodelujejo imenovani člani ali osebje nadzornih organov drugih držav članic.

2.           Kadar obstaja verjetnost, da bodo postopki obdelave vplivali na posameznike, na katere se nanašajo osebni podatki, v več državah članicah, ima nadzorni organ vsake od teh držav članic pravico do sodelovanja pri skupnih preiskovalnih nalogah ali skupnem ukrepanju, kakor je primerno. Pristojni nadzorni organ k sodelovanju pri zadevnih skupnih preiskovalnih nalogah ali skupnem ukrepanju povabi nadzorni organ vsake od teh držav članic in se nemudoma odzove na zahtevo nadzornega organa glede sodelovanja pri ukrepih.

3.           Vsak nadzorni organ lahko kot nadzorni organ gostitelj v skladu z lastno nacionalno zakonodajo in s pooblastilom nadzornega organa druge države članice podeli izvršilna pooblastila, tudi za preiskovalne naloge, članom ali osebju nadzornega organa drugih držav članic, ki sodelujejo pri skupnem ukrepanju, ali, če je to po pravu nadzornega organa gostitelja dopustno, članom ali osebju nadzornega organa drugih držav članic dovoli izvajanje njihovih izvršilnih pooblastil v skladu z zakonodajo nadzornega organa druge države članice. Taka izvršilna pooblastila se lahko izvajajo samo pod vodstvom in praviloma v prisotnosti članov ali osebja nadzornega organa gostitelja. Za člane ali osebje nadzornega organa druge države članice velja nacionalna zakonodaja nadzornega organa gostitelja. Nadzorni organ gostitelj prevzame odgovornost za njihovo delovanje.

4.           Nadzorni organi določijo praktične vidike posebnih ukrepov sodelovanja.

5.           Če nadzorni organ v enem mesecu ne izpolni obveznosti iz odstavka 2, so drugi nadzorni organi pristojni za sprejetje začasnega ukrepa na ozemlju njegove države članice v skladu s členom 51(1).

6.           Nadzorni organ določi obdobje veljavnosti začasnega ukrepa iz odstavka 5. To obdobje ni daljše od treh mesecev. Nadzorni organ o teh ukrepih z navedbo vseh razlogov nemudoma obvesti Evropski odbor za varstvo podatkov in Komisijo ter zadevo predloži v mehanizem iz člena 57.

Oddelek 2 Skladnost

Člen 57 Mehanizem za skladnost

Za namene iz člena 46(1) nadzorni organi drug z drugim in s Komisijo sodelujejo prek mehanizma za skladnost, kot je določeno v tem oddelku.

Člen 58 Mnenje Evropskega odbora za varstvo podatkov

1.           Preden nadzorni organ sprejme ukrep iz odstavka 2, ta nadzorni organ osnutek ukrepa posreduje Evropskemu odboru za varstvo podatkov in Komisiji.

2.           Obveznost iz odstavka 1 velja za ukrep, katerega namen so pravni učinki in ki:

(a)     se nanaša na postopke obdelave, povezane z nudenjem blaga ali storitev posameznikom, na katere se nanašajo osebni podatki, v več državah članicah, ali s spremljanjem vedenja takih posameznikov; ali

(b)     lahko znatno vpliva na prosti pretok osebnih podatkov v Uniji; ali

(c)     je namenjen sprejetju seznama postopkov obdelave, za katere je treba opraviti predhodno posvetovanje v skladu s členom 34(5); ali

(d)     je namenjen določitvi standardnih določil o varstvu podatkov iz točke (c) člena 42(2); ali

(e)     je namenjen odobritvi pogodbenih določb iz točke (d) člena 42(2); ali

(f)      je namenjen odobritvi zavezujočih poslovnih pravil v smislu člena 43.

3.           Vsak nadzorni organ ali Evropski odbor za varstvo podatkov lahko zahteva, da se zadeva obravnava v mehanizmu za skladnost, zlasti če nadzorni organ ne predloži osnutka ukrepa iz odstavka 2 ali ne izpolni obveznosti glede medsebojne pomoči v skladu s členom 55 ali glede skupnega ukrepanja v skladu s členom 56.

4.           Za zagotovitev pravilne in dosledne uporabe te uredbe lahko Komisija zahteva, da se katera koli zadeva obravnava v mehanizmu za skladnost.

5.           Nadzorni organi in Komisija v standardizirani elektronski obliki sporočijo kakršne koli relevantne informacije, po potrebi vključno s povzetkom dejstev, osnutkom ukrepa in razlogi, zaradi katerih je sprejetje takega ukrepa potrebno.

6.           Predsednik Evropskega odbora za varstvo podatkov člane Evropskega odbora za varstvo podatkov in Komisijo v standardizirani elektronski obliki nemudoma obvesti o vseh relevantnih informacijah, ki jih je prejel. Predsednik Evropskega odbora za varstvo podatkov po potrebi zagotovi prevode relevantnih informacij.

7.           Evropski odbor za varstvo podatkov o zadevi poda mnenje, če tako odloči enostavna večina njegovih članov ali če to zahteva kateri koli nadzorni organ ali Komisija, in sicer v enem tednu po prejemu relevantnih informacij v skladu z odstavkom 5. Mnenje se sprejme v enem mesecu z navadno večino članov Evropskega odbora za varstvo podatkov. Predsednik Evropskega odbora za varstvo podatkov o mnenju nemudoma obvesti nadzorni organ iz odstavka 1 oziroma odstavka 3, Komisijo in nadzorni organ, pristojen na podlagi člena 51, ter ga objavi.

8.           Nadzorni organ iz odstavka 1 in nadzorni organ, pristojen na podlagi člena 51, upoštevata mnenje Evropskega odbora za varstvo podatkov in v dveh tednih po tem, ko ju predsednik Evropskega odbora za varstvo podatkov obvesti o mnenju, predsednika Evropskega odbora za varstvo podatkov in Komisijo v standardizirani elektronski obliki obvestita, ali bosta ohranila ali spremenila svoj osnutek ukrepa oziroma spremenjeni osnutek ukrepa, če obstaja.

Člen 59 Mnenje Komisije

1.           V desetih tednih po obravnavanju vprašanja iz člena 58 ali najpozneje v šestih tednih v primeru člena 61 lahko Komisija za zagotovitev pravilne in dosledne uporabe te uredbe sprejme mnenje glede vprašanj, ki se pojavijo v skladu s členom 58 ali 61.

2.           Če Komisija sprejme mnenje v skladu z odstavkom 1, zadevni nadzorni organ v največji možni meri upošteva mnenje Komisije ter Komisijo in Evropski odbor za varstvo podatkov obvesti, ali namerava svoj osnutek ukrepa ohraniti ali spremeniti.

3.           V roku iz odstavka 1 nadzorni organ ne sprejme osnutka ukrepa.

4.           Če zadevni nadzorni organ ne namerava upoštevati mnenja Komisije, Komisijo in Evropski odbor o varstvu podatkov o tem obvesti v roku iz odstavka 1 ter poda utemeljitev. V tem primeru se osnutek ukrepa ne sprejme še nadaljnji mesec.

Člen 60 Začasni preklic osnutka ukrepa

1.           Komisija lahko v enem mesecu po obvestilu iz člena 59(4), če ima resne pomisleke glede tega, ali bi osnutek ukrepa zagotovil pravilno uporabo te uredbe, ali meni, da bi kako drugače pripomogel k njeni nedosledni uporabi, sprejme obrazloženi sklep, v katerem od nadzornega organa zahteva, da začasno prekliče osnutek ukrepa, pri čemer upošteva mnenje Evropskega odbora za varstvo podatkov v skladu s členom 58(7) ali členom 61(2), če se to zdi potrebno zaradi:

(a)     uskladitve razhajajočih se stališč nadzornega organa in Evropskega odbora za varstvo podatkov, če se to še zdi mogoče; ali

(b)     sprejetja ukrepa v skladu s točko (a) člena 62(1).

2.           Komisija določi trajanje začasnega preklica, ki ni daljše od 12 mesecev.

3.           Nadzorni organ v roku iz odstavka 2 ne sme sprejeti osnutka ukrepa.

Člen 61 Nujni postopek

1.           V izjemnih okoliščinah, kadar nadzorni organ meni, da obstaja nujna potreba po ukrepanju zaradi varstva interesov posameznikov, na katere se nanašajo osebni podatki, zlasti kadar obstaja nevarnost, da bi bilo uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, zaradi spremembe obstoječega stanja ali preprečevanja negativnih učinkov ali iz drugih razlogov, znatno ovirano, lahko z odstopanjem od postopka iz člena 58 nemudoma sprejme začasne ukrepe z določenim obdobjem veljavnosti. Nadzorni organ o teh ukrepih z navedbo vseh razlogov nemudoma obvesti Evropski odbor za varstvo podatkov in Komisijo.

2.           Če je nadzorni organ sprejel ukrep v skladu z odstavkom 1 in meni, da morajo biti končni ukrepi nujno sprejeti, lahko zahteva nujno mnenje Evropskega odbora za varstvo podatkov, pri čemer navede razloge za tako zahtevo, tudi glede nujnosti končnih ukrepov.

3.           Če pristojni nadzorni organ ni sprejel ustreznega ukrepa v primeru, ko je ukrepanje nujno, lahko nujno mnenje zahteva kateri koli nadzorni organ, da bi zaščitil interese posameznikov, na katere se nanašajo osebni podatki, pri čemer navede razloge za tako zahtevo, tudi glede nujnosti ukrepanja.

4.           Z odstopanjem od člena 58(7) se nujno mnenje iz odstavkov 2 in 3 tega člena sprejme v dveh tednih z navadno večino članov Evropskega odbora za varstvo podatkov.

Člen 62 Izvedbeni akti

1.           Komisija lahko sprejme izvedbene akte, s katerimi:

(a)     sprejme sklep glede pravilne uporabe te uredbe v skladu z njenimi cilji in zahtevami glede zadev, o katerih jo obvestijo nadzorni organi v skladu s členom 58 ali 61, glede zadeve, v zvezi s katero je bil sprejet obrazloženi sklep v skladu s členom 60(1), ali glede zadeve, v zvezi s katero nadzorni organ ne predloži osnutka ukrepa in je ta nadzorni organ navedel, da ne namerava upoštevati mnenja Komisije, sprejetega v skladu s členom 59;

(b)     v roku iz člena 59(1) sprejme sklep, ali bo osnutke standardnih določil o varstvu podatkov iz točke (d) člena 58(2) razglasila za splošno veljavne;

(c)     določi oblike zapisa in postopke za uporabo mehanizma za skladnost iz tega oddelka;

(d)     določi ureditev za izmenjavo informacij z elektronskimi sredstvi med nadzornimi organi ter med nadzornimi organi in Evropskim odborom za varstvo podatkov, zlasti standardizirano obliko iz člena 58(5), (6) in (8).

Navedeni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 87(2).

2.           Komisija na podlagi ustrezno utemeljenih nujnih razlogov v zvezi z interesi posameznikov, na katere se nanašajo osebni podatki, v primerih iz točke (a) odstavka 1 sprejme izvedbene akte v skladu s postopkom iz člena 87(3), ki se začnejo uporabljati takoj. Ti akti ostanejo veljavni največ 12 mesecev.

3.           Nesprejetje ali sprejetje ukrepa na podlagi tega oddelka ne posega v noben drug ukrep Komisije na podlagi Pogodb.

Člen 63 Izvrševanje

1.           Za namene te uredbe se izvršilni ukrep nadzornega organa ene države članice izvrši v vseh zadevnih državah članicah.

2.           Če nadzorni organ ne predloži osnutka ukrepa v mehanizem za skladnost in krši člen 58(1) do (5), ukrep nadzornega organa ni pravno veljaven in izvršljiv.

Oddelek 3 Evropski odbor za varstvo podatkov

Člen 64 Evropski odbor za varstvo podatkov

1.           Ustanovi se Evropski odbor za varstvo podatkov.

2.           Evropski odbor za varstvo podatkov sestavljajo vodje enega nadzornega organa iz vsake države članice in Evropski nadzornik za varstvo podatkov.

3.           Če je v državi članici za spremljanje uporabe predpisov v skladu s to uredbo pristojnih več nadzornih organov, ti imenujejo vodjo teh nadzornih organov kot skupnega predstavnika.

4.           Komisija ima pravico, da sodeluje pri dejavnostih in na sestankih Evropskega odbora za varstvo podatkov, ter imenuje predstavnika. Predsednik Evropskega odbora za varstvo podatkov nemudoma obvešča Komisijo o vseh dejavnostih Evropskega odbora za varstvo podatkov.

Člen 65 Neodvisnost

1.           Evropski odbor za varstvo podatkov pri opravljanju svojih nalog v skladu s členoma 66 in 67 deluje neodvisno.

2.           Brez poseganja v zahteve Komisije iz točke (b) odstavka 1 in iz odstavka 2 člena 66 Evropski odbor za varstvo podatkov pri opravljanju svojih nalog nikogar ne prosi za navodila niti jih od nikogar ne sprejme.

Člen 66 Naloge Evropskega odbora za varstvo podatkov

1.           Evropski odbor za varstvo podatkov zagotovi dosledno uporabo te uredbe. V ta namen Evropski odbor za varstvo podatkov na lastno pobudo ali na zahtevo Komisije zlasti:

(a)     Komisiji svetuje o vseh vprašanjih v zvezi z varstvom osebnih podatkov v Uniji, tudi o vseh predlogih sprememb te uredbe;

(b)     na lastno pobudo, na pobudo katerega od svojih članov ali na zahtevo Komisije, prouči vsako vprašanje, ki se nanaša na uporabo te uredbe, ter izda smernice, priporočila in najboljše prakse, namenjene nadzornim organom za spodbuditev dosledne uporabe te uredbe;

(c)     pregleda praktično uporabo smernic, priporočil in najboljših praks iz točke (b) ter o tem redno poroča Komisiji;

(d)     poda mnenja o osnutkih odločitev nadzornih organov v skladu z mehanizmom za skladnost iz člena 57;

(e)     spodbuja sodelovanje ter učinkovito dvostransko in večstransko izmenjavo informacij in praks med nadzornimi organi;

(f)      spodbuja skupne programe usposabljanja ter pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi organi tretjih držav ali mednarodnih organizacij;

(g)     spodbuja izmenjavo znanja in dokumentacije o zakonodaji in praksi na področju varstva osebnih podatkov z nadzornimi organi za varstvo podatkov po svetu.

2.           Če Komisija od Evropskega odbora za varstvo podatkov zahteva nasvet, lahko določi rok, v katerem Evropski odbor za varstvo podatkov zagotovi tak nasvet, pri čemer se upošteva nujnost zadeve.

3.           Evropski odbor za varstvo podatkov Komisiji in odboru iz člena 87 posreduje svoja mnenja, smernice, priporočila in najboljše prakse ter jih objavi.

4.           Komisija Evropski odbor za varstvo podatkov obvesti o ukrepu, ki ga je sprejela na podlagi mnenj, smernic, priporočil in najboljših praks, ki jih je izdal Evropski odbor za varstvo podatkov.

Člen 67 Poročila

1.           Evropski odbor za varstvo podatkov Komisijo redno in pravočasno obvešča o rezultatih svojih dejavnosti. Pripravi letno poročilo o stanju glede varstva fizičnih oseb v zvezi z obdelavo osebnih podatkov v Uniji in tretjih državah.

Poročilo obsega pregled praktične uporabe smernic, priporočil in najboljših praks iz točke (c) člena 66(1).

2.           Poročilo objavi in posreduje Evropskemu parlamentu, Svetu in Komisiji.

Člen 68 Postopek

1.           Evropski odbor za varstvo podatkov odločitve sprejema z navadno večino članov.

2.           Evropski odbor za varstvo podatkov sprejme svoj poslovnik in določi svoj način delovanja. Zlasti zagotovi nadaljnje opravljanje nalog v primeru prenehanja mandata ali odstopa člana, ustanavljanje podskupin za posebna vprašanja ali sektorje in svoje postopke v zvezi z mehanizmom za skladnost iz člena 57.

Člen 69 Predsednik

1.           Evropski odbor za varstvo podatkov izmed svojih članov izvoli predsednika in dva namestnika predsednika. Eden od namestnikov predsednika je Evropski nadzornik za varstvo podatkov, razen če je bil izvoljen za predsednika.

2.           Mandat predsednika in namestnikov predsednika je pet let in se lahko podaljša.

Člen 70 Naloge predsednika

1.           Naloge predsednika so:

(a)     sklicevanje sestankov Evropskega odbora za varstvo podatkov in priprava dnevnega reda;

(b)     zagotavljanje pravočasne izpolnitve nalog Evropskega odbora za varstvo podatkov, zlasti v zvezi z mehanizmom za skladnost iz člena 57.

2.           Evropski odbor za varstvo podatkov razdelitev nalog med predsednikom in namestnikoma predsednika določi v svojem poslovniku.

Člen 71 Sekretariat

1.           Evropskemu odboru za varstvo podatkov pomaga sekretariat. Evropski nadzornik za varstvo podatkov zagotovi sekretariat.

2.           Sekretariat pod vodstvom predsednika zagotavlja analitično, upravno in logistično podporo Evropskemu odboru za varstvo podatkov.

3.           Sekretariat je odgovoren zlasti za:

(a)     vsakodnevno poslovanje Evropskega odbora za varstvo podatkov;

(b)     komunikacijo med člani Evropskega odbora za varstvo podatkov, njegovim predsednikom in Komisijo ter za komunikacijo z drugimi institucijami in javnostjo;

(c)     uporabo elektronskih sredstev za notranjo in zunanjo komunikacijo;

(d)     prevod relevantnih informacij;

(e)     pripravo in spremljanje sestankov Evropskega odbora za varstvo podatkov;

(f)      pripravo, osnutek in objavo mnenj in drugih besedil, ki jih sprejme Evropski odbor za varstvo podatkov.

Člen 72 Zaupnost

1.           Razprave Evropskega odbora za varstvo podatkov so zaupne.

2.           Dokumenti, predloženi članom Evropskega odbora za varstvo podatkov, strokovnjakom in predstavnikom tretjih oseb, so zaupni, razen če je dostop do teh dokumentov odobren v skladu z Uredbo (ES) št. 1049/2001 ali jih Evropski odbor za varstvo podatkov kako drugače objavi.

3.           Člani Evropskega odbora za varstvo podatkov, pa tudi strokovnjaki in predstavniki tretjih oseb, morajo spoštovati obveznosti v zvezi z zaupnostjo iz tega člena. Predsednik zagotovi, da so strokovnjaki in predstavniki tretjih oseb seznanjeni s svojimi obveznostmi v zvezi z zaupnostjo.

POGLAVJE VIII

PRAVNA SREDSTVA, ODGOVORNOST IN SANKCIJE

Člen 73 Pravica do vložitve pritožbe pri nadzornem organu

1.           Brez poseganja v vsako drugo pravno sredstvo v upravnem ali sodnem postopku ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da pri nadzornem organu v kateri koli državi članici vloži pritožbo, če meni, da obdelava osebnih podatkov v zvezi z njim ni skladna s to uredbo.

2.           Vsak organ, organizacija ali združenje, katerega cilj je zaščita pravic in interesov posameznikov, na katere se nanašajo osebni podatki, v zvezi z varstvom njihovih osebnih podatkov in ki je ustanovljen v skladu z zakonodajo države članice, ima pravico do vložitve pritožbe pri nadzornem organu v kateri koli državi članici v imenu enega ali več posameznikov, na katere se nanašajo osebni podatki, če meni, da so bile zaradi obdelave osebnih podatkov kršene pravice posameznika, na katerega se nanašajo osebni podatki, iz te uredbe.

3.           Vsak organ, organizacija ali združenje iz odstavka 2 ima neodvisno od pritožbe posameznika, na katerega se nanašajo osebni podatki, pravico, da pri nadzornem organu v kateri koli državi članici vloži pritožbo, če meni, da je prišlo do kršitve varnosti osebnih podatkov.

Člen 74 Pravica do pravnega sredstva v sodnem postopku zoper nadzorni organ

1.           Vsaka fizična ali pravna oseba ima pravico do pravnega sredstva v sodnem postopku zoper odločitve nadzornega organa v zvezi z njo.

2.           Vsak posameznik, na katerega se nanašajo osebni podatki, ima pravico do pravnega sredstva v sodnem postopku, s katerim zahteva ukrepanje nadzornega organa v zvezi s pritožbo, če ta ne odloči o potrebni zaščiti njegovih pravic, ali če nadzorni organ posameznika, na katerega se nanašajo osebni podatki, v treh mesecih ne obvesti o stanju zadeve ali odločitvi o pritožbi v skladu s točko (b) člena 52(1).

3.           Za postopke zoper nadzorni organ so pristojna sodišča države članice, v kateri ima nadzorni organ sedež.

4.           Posameznik, na katerega se nanašajo osebni podatki in odločitev nadzornega organa v državi članici, ki ni država članica, v kateri ima ta posameznik običajno prebivališče, lahko od nadzornega organa v državi članici, v kateri ima svoje običajno prebivališče, zahteva, da v njegovem imenu začne postopek zoper pristojni nadzorni organ v drugi državi članici.

5.           Države članice izvršijo pravnomočne odločbe sodišč iz tega člena.

Člen 75 Pravica do pravnega sredstva v sodnem postopku zoper upravljavca ali obdelovalca

1.           Brez poseganja v katero koli dostopno pravno sredstvo v upravnem postopku, vključno s pravico do vložitve pritožbe pri nadzornem organu v skladu s členom 73, ima vsaka fizična oseba pravico do pravnega sredstva v sodnem postopku, če meni, da so bile njene pravice iz te uredbe kršene zaradi obdelave njenih osebnih podatkov, ki ni bila skladna s to uredbo.

2.           Za postopke zoper upravljavca ali obdelovalca so pristojna sodišča države članice, v kateri je upravljavec ali obdelovalec ustanovljen. Alternativno so za take postopke pristojna sodišča države članice, v kateri ima posameznik, na katerega se nanašajo osebni podatki, svoje običajno prebivališče, razen če je upravljavec javni organ, ki izvaja svoja javna pooblastila.

3.           Če se postopki glede istega ukrepa, odločitve ali prakse obravnavajo v mehanizmu za skladnost iz člena 58, lahko sodišče svoj postopek ustavi, razen kadar nujnost zadeve za varstvo pravic posameznika, na katerega se nanašajo osebni podatki, ne dovoljuje čakanja na izid postopka v mehanizmu za skladnost.

4.           Države članice izvršijo pravnomočne odločbe sodišč iz tega člena.

Člen 76 Splošna pravila za postopke pred sodiščem

1.           Vsak organ, organizacija ali združenje iz člena 73(2) ima pravico do uveljavljanja pravic iz členov 74 in 75 v imenu enega ali več posameznikov, na katere se nanašajo osebni podatki.

2.           Vsak nadzorni organ ima pravico do sodelovanja v sodnih postopkih in vložitve tožbe pri sodišču za izvrševanje določb te uredbe ali za zagotovitev doslednosti varstva osebnih podatkov v Uniji.

3.           Če pristojno sodišče države članice utemeljeno domneva, da v drugi državi članici potekajo vzporedni postopki, naveže stik s pristojnim sodiščem druge države članice, da potrdi obstoj takih vzporednih postopkov.

4.           Če se taki vzporedni postopki v drugi državi članici nanašajo na isti ukrep, odločitev ali prakso, lahko sodišče postopek ustavi.

5.           Države članice zagotovijo, da sodno varstvo, ki ga določa nacionalna zakonodaja, omogoča hitro sprejetje ukrepov, vključno z začasnimi ukrepi, namenjenimi odpravi domnevne kršitve in preprečitvi nadaljnjega oškodovanja zadevnih interesov.

Člen 77 Pravica do odškodnine in odgovornost

1.           Vsak posameznik, ki je utrpel škodo zaradi nezakonitega postopka obdelave ali dejanja, ki je nezdružljivo s to uredbo, ima pravico od upravljavca ali obdelovalca dobiti odškodnino za nastalo škodo.

2.           Če je v obdelavo vključenih več upravljavcev ali obdelovalcev, je vsak upravljavec ali obdelovalec solidarno odgovoren za celoten znesek škode.

3.           Upravljavec ali obdelovalec je lahko v celoti ali delno prost te odgovornosti, če dokaže, da ni odgovoren za dogodek, ki je povzročil škodo.

Člen 78 Kazenske sankcije

1.           Države članice določijo pravila o kazenskih sankcijah, ki se uporabljajo za kršitve določb te uredbe, in sprejmejo vse ukrepe, potrebne za zagotovitev njihovega izvajanja, tudi kadar upravljavec ni izpolnil obveznosti glede imenovanja predstavnika. Določene kazenske sankcije morajo biti učinkovite, sorazmerne in odvračilne.

2.           Kadar upravljavec imenuje predstavnika, vse kazenske sankcije veljajo za predstavnika, brez poseganja v kazenske sankcije, ki se lahko izrečejo upravljavcu.

3.           Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu z odstavkom 1, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov.

Člen 79 Upravne sankcije

1.           Vsak nadzorni organ je pooblaščen za izrekanje upravnih sankcij v skladu s tem členom.

2.           Upravna sankcija mora biti v vsakem posameznem primeru učinkovita, sorazmerna in odvračilna. Znesek upravne kazni se določi glede na naravo, težo in trajanje kršitve, namerno ali malomarno naravo kršitve, stopnjo odgovornosti fizične ali pravne osebe in prejšnje kršitve te osebe, tehnične in organizacijske ukrepe ter postopke, uvedene v skladu s členom 23, in stopnjo sodelovanja z nadzornim organom pri odpravljanju kršitve.

3.           V primeru prve in nenamerne neskladnosti s to uredbo se lahko namesto sankcije izreče pisni opomin, kadar:

(a) fizična oseba osebne podatke obdeluje brez komercialnega interesa, ali

(b) podjetje ali organizacija, ki zaposluje manj kot 250 oseb, obdeluje osebne podatke samo kot postransko dejavnost.

4.           Nadzorni organ izreče denarno kazen v višini do 250 000 EUR, oziroma v primeru podjetja do 0,5 % njegovega skupnega letnega prometa, vsakomur, ki namerno ali malomarno:

(a) ne zagotovi mehanizmov za zahteve posameznikov, na katere se nanašajo osebni podatki, ali pa posameznikom, na katere se nanašajo osebni podatki, ne odgovori takoj ali v zahtevani obliki v skladu s členom 12(1) in (2);

(b) zaračuna pristojbino za informacije ali odgovore na zahteve posameznikov, na katere se nanašajo osebni podatki, in pri tem krši člen 12(4).

5.           Nadzorni organ izreče denarno kazen v višini do 500 000 EUR, oziroma v primeru podjetja do 1 % njegovega skupnega letnega prometa, vsakomur, ki namerno ali malomarno:

(a) posamezniku, na katerega se nanašajo osebni podatki, ne zagotovi informacij ali ne zagotovi popolnih informacij ali ne zagotovi informacij na dovolj pregleden način v skladu s členom 11, členom 12(3) in členom 14;

(b) posamezniku, na katerega se nanašajo osebni podatki, ne zagotovi dostopa ali ne popravi osebnih podatkov v skladu s členoma 15 in 16 ali relevantnih informacij ne sporoči prejemniku v skladu s členom 13;

(c) ne upošteva pravice biti pozabljen ali pravice do izbrisa ali ne vzpostavi mehanizmov, s katerimi bi zagotovil upoštevanje rokov, ali ne sprejme vseh potrebnih ukrepov za obveščanje tretjih oseb, da posameznik, na katerega se nanašajo osebni podatki, zahteva, da izbrišejo morebitne povezave do osebnih podatkov ali kopije osebnih podatkov v skladu s členom 17;

(d) ne zagotovi kopije osebnih podatkov v elektronski obliki ali posameznika, na katerega se nanašajo osebni podatki, ovira pri prenosu osebnih podatkov v drugo aplikacijo in pri tem krši člen 18;

(e) ne določi zadevnih odgovornosti z drugimi upravljavci v skladu s členom 24 ali jih ne določi v zadostni meri;

(f) ne ohrani dokumentacije v skladu s členom 28, členom 31(4) in členom 44(3);

(g) v primerih, kadar ne gre za obdelavo posebnih vrst podatkov, ne upošteva pravil glede svobode izražanja ali pravil o obdelavi v okviru zaposlitve ali pogojev glede obdelave v zgodovinske, statistične in znanstvenoraziskovalne namene v skladu s členi 80, 82 in 83.

6.           Nadzorni organ izreče denarno kazen v višini do 1 000 000 EUR, oziroma v primeru podjetja do 2 % njegovega skupnega letnega prometa, vsakomur, ki namerno ali malomarno:

(a) obdeluje osebne podatke brez kakršne koli ali nezadostne pravne podlage za obdelavo ali ne izpolnjuje pogojev glede privolitve v skladu s členi 6, 7 in 8;

(b) obdeluje posebne vrste podatkov ter pri tem krši člena 9 in 81;

(c) ne upošteva ugovora ali zahteve v skladu s členom 19;

(d) ne izpolnjuje pogojev v zvezi z ukrepi na podlagi oblikovanja profilov v skladu s členom 20;

(e) ne sprejme notranjih politik ali ne izvede ustreznih ukrepov za zagotavljanje in dokazovanje skladnosti v skladu s členi 22, 23 in 30;

(f) ne imenuje predstavnika v skladu s členom 25;

(g) obdeluje ali da navodilo za obdelavo osebnih podatkov in pri tem krši obveznosti v zvezi z obdelavo v imenu upravljavca v skladu s členoma 26 in 27;

(h) nadzornega organa ali posameznika, na katerega se nanašajo osebni podatki, ne opozori ali ne obvesti o kršitvi varnosti osebnih podatkov v skladu s členoma 31 in 32 oziroma to obvestilo ni pravočasno ali popolno;

(i) ne izvede ocene učinka o varstvu podatkov ali obdeluje osebne podatke brez predhodne odobritve ali predhodnega posvetovanja z nadzornim organom v skladu s členoma 33 in 34;

(j) ne imenuje uradne osebe za varstvo podatkov ali ne zagotovi pogojev za opravljanje nalog v skladu s členi 35, 36 in 37;

(k) zlorabi pečat ali označbo za varstvo podatkov v smislu člena 39;

(l) izvede ali naroči prenos podatkov v tretjo državo ali mednarodno organizacijo, ki ga ne dovoljuje noben sklep o ustreznosti ali ustrezni zaščitni ukrepi, ali z odstopanjem od členov 40 do 44;

(m) ne upošteva odredbe ali začasne ali dokončne prepovedi obdelave ali prekinitve prenosa podatkov s strani nadzornega organa v skladu s členom 53(1);

(n) ne izpolni obveznosti glede pomoči ali odgovora ali zagotavljanja relevantnih informacij ali odobritve dostopa v prostore nadzornemu organu v skladu s členom 28(3), členom 29, členom 34(6) in členom 53(2);

(o) ne upošteva pravil glede varovanja poklicne molčečnosti v skladu s členom 84.

7.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi ob upoštevanju meril iz odstavka 2 posodobi zneske upravnih kazni iz odstavkov 4, 5 in 6.

POGLAVJE IX DOLOČBE O POSEBNIH PRIMERIH OBDELAVE PODATKOV

Člen 80 Obdelava osebnih podatkov in svoboda izražanja

1.           Države članice določijo izjeme ali odstopanja od določb o splošnih načelih iz poglavja II, pravicah posameznikov, na katere se nanašajo osebni podatki, iz poglavja III, upravljavcu in obdelovalcu iz poglavja IV, prenosu osebnih podatkov v tretje države in mednarodne organizacije iz poglavja V, neodvisnih nadzornih organih iz poglavja VI ter sodelovanju in skladnosti iz poglavja VII za obdelavo osebnih podatkov, ki se izvaja zgolj v novinarske namene ali zaradi umetniškega ali literarnega izražanja, da bi uskladile pravico do varstva osebnih podatkov s pravili, ki urejajo pravico do svobode izražanja.

2.           Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu z odstavkom 1, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov.

Člen 81 Obdelava osebnih podatkov v zvezi z zdravjem

1.           V mejah te uredbe in v skladu s točko (h) člena 9(2) mora obdelava osebnih podatkov v zvezi z zdravjem potekati na podlagi zakonodaje Unije ali zakonodaje držav članic, ki zagotavlja ustrezne in posebne ukrepe za varovanje pravnih interesov posameznika, na katerega se nanašajo osebni podatki, in biti potrebna:

(a)     za namene preventivne ali poklicne medicine, zdravstvene diagnoze, za zagotovitev oskrbe ali zdravljenja ali upravljanje storitev zdravstvenega varstva in kadar te podatke obdeluje zdravstveni delavec, za katerega velja obveznost poklicne molčečnosti, ali druga oseba, za katero prav tako velja enaka obveznost molčečnosti na podlagi zakonodaje države članice ali pravil, ki jih sprejmejo pristojni nacionalni organi; ali

(b)     zaradi javnega interesa na področju javnega zdravja, na primer zaščite pred resnimi čezmejnimi nevarnostmi za zdravje ali zagotavljanja visokih standardov kakovosti in varnosti, med drugim zdravil ali medicinskih naprav; ali

(c)     iz drugih razlogov na področjih, kot je socialno varstvo, predvsem za zagotovitev kakovosti in stroškovne učinkovitosti postopkov, ki se uporabljajo za obravnavanje zahtevkov za dajatve in storitve v sistemu zdravstvenega zavarovanja.

2.           Za obdelavo osebnih podatkov v zvezi z zdravjem, ki je potrebna v zgodovinske, statistične ali znanstvenoraziskovalne namene, kot so registri pacientov, uvedeni zaradi izboljšanja diagnoz in za razlikovanje med podobnimi vrstami bolezni ter pripravo študij za terapije, veljajo pogoji in zaščitni ukrepi iz člena 83.

3.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi druge javne interese na področju javnega zdravja, kakor je navedeno v točki (b) odstavka 1, ter merila in zahteve za zaščitne ukrepe za obdelavo osebnih podatkov v namene iz odstavka 1.

Člen 82 Obdelava v okviru zaposlitve

1.           V mejah te uredbe lahko države članice z zakonom sprejmejo posebna pravila, ki urejajo obdelavo osebnih podatkov zaposlenih v okviru zaposlitve, zlasti za namene zaposlovanja, izvajanja pogodbe o zaposlitvi, vključno z izpolnjevanjem obveznosti, določenih z zakonom ali kolektivnimi pogodbami, upravljanja, načrtovanja in organizacije dela, zdravja in varnosti pri delu, za namene individualnega ali kolektivnega izvajanja in uživanja pravic in ugodnosti, povezanih z zaposlitvijo, ter za namene prekinitve delovnega razmerja.

2.           Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu z odstavkom 1, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov.

3.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve glede zaščitnih ukrepov za obdelavo osebnih podatkov za namene iz odstavka 1.

Člen 83 Obdelava v zgodovinske, statistične in znanstvenoraziskovalne namene

1.           V mejah te uredbe se lahko osebni podatki obdelujejo v zgodovinske, statistične ali znanstvenoraziskovalne namene samo, če:

(a)     teh namenov ni mogoče kako drugače uresničiti z obdelavo podatkov, ki ne omogoča ali več ne omogoča identifikacije posameznika, na katerega se nanašajo osebni podatki;

(b)     se podatki, ki omogočajo povezavo informacij z določenim ali določljivim posameznikom, na katerega se nanašajo osebni podatki, hranijo ločeno od drugih informacij, če se ti nameni lahko uresničijo na tak način.

2.           Organi, ki opravljajo zgodovinske, statistične ali znanstvene raziskave, lahko osebne podatke objavijo ali kako drugače javno razkrijejo samo, če je:

(a)     posameznik, na katerega se nanašajo osebni podatki, dal privolitev v skladu s pogoji iz člena 7;

(b)     objava osebnih podatkov potrebna zaradi predstavitve rezultatov raziskave ali olajšanja raziskave, če interesi ali temeljne pravice ali svoboščine posameznika, na katerega se nanašajo osebni podatki, ne prevladajo nad temi interesi; ali

(c)     posameznik podatke objavil.

3.           Komisija je v skladu s členom 86 pooblaščena za sprejemanje delegiranih aktov, s katerimi podrobneje določi merila in zahteve za obdelavo osebnih podatkov za namene iz odstavkov 1 in 2 ter morebitne potrebne omejitve glede pravic do obveščenosti posameznika, na katerega se nanašajo osebni podatki, in njegovega dostopa, ter podrobneje določi pogoje in zaščitne ukrepe za pravice posameznika, na katerega se nanašajo osebni podatki, v teh okoliščinah.

Člen 84 Obveznost molčečnosti

1.           V mejah te uredbe lahko države članice sprejmejo posebna pravila, s katerimi določijo preiskovalna pooblastila nadzornih organov iz člena 53(2) v zvezi z upravljavci ali obdelovalci, za katere velja nacionalna zakonodaja ali pravila, ki jih določijo pristojni nacionalni organi glede obveznosti poklicne molčečnosti ali druge enakovredne obveznosti molčečnosti, kadar je to potrebno in sorazmerno zaradi uskladitve pravice do varstva osebnih podatkov z obveznostjo poklicne molčečnosti. Ta pravila veljajo samo glede osebnih podatkov, ki jih je upravljavec ali obdelovalec prejel ali pridobil v okviru dejavnosti, zajete v tej obveznosti molčečnosti.

2.           Vsaka država članica Komisijo uradno obvesti o predpisih, ki jih sprejme v skladu z odstavkom 1, in sicer najpozneje do datuma iz člena 91(2), nemudoma pa tudi o vseh nadaljnjih spremembah teh predpisov.

Člen 85 Veljavna pravila o varstvu podatkov cerkva in verskih združenj

1.           Kadar v državi članici v času začetka veljavnosti te uredbe cerkve in verska združenja ali skupnosti uporabljajo celovita pravila v zvezi z varstvom posameznikov pri obdelavi osebnih podatkov, ta pravila lahko veljajo še naprej, če se uskladijo z določbami te uredbe.

2.           Cerkve in verska združenja, ki uporabljajo celovita pravila v skladu z odstavkom 1, zagotovijo ustanovitev neodvisnega nadzornega organa v skladu s poglavjem VI te uredbe.

POGLAVJE X DELEGIRANI IN IZVEDBENI AKTI

Člen 86 Prenos pooblastila

1.           Pooblastilo za sprejemanje delegiranih aktov se na Komisijo prenese pod pogoji iz tega člena.

2.           Pooblastilo iz člena 6(5), člena 8(3), člena 9(3), člena 12(5), člena 14(7), člena 15(3), člena 17(9), člena 20(6), člena 22(4), člena 23(3), člena 26(5), člena 28(5), člena 30(3), člena 31(5), člena 32(5), člena 33(6), člena 34(8), člena 35(11), člena 37(2), člena 39(2), člena 43(3), člena 44(7), člena 79(6), člena 81(3), člena 82(3) in člena 83(3) se na Komisijo prenese za nedoločen čas od dne začetka veljavnosti te uredbe.

3.           Evropski parlament ali Svet lahko kadar koli prekliče pooblastilo iz člena 6(5), člena 8(3), člena 9(3), člena 12(5), člena 14(7), člena 15(3), člena 17(9), člena 20(6), člena 22(4), člena 23(3), člena 26(5), člena 28(5), člena 30(3), člena 31(5), člena 32(5), člena 33(6), člena 34(8), člena 35(11), člena 37(2), člena 39(2), člena 43(3), člena 44(7), člena 79(6), člena 81(3), člena 82(3) in člena 83(3). S sklepom o preklicu preneha veljati pooblastilo iz navedenega sklepa. Preklic začne veljati dan po objavi sklepa v Uradnem listu Evropske unije ali na poznejši datum, ki je v njem naveden. Sklep ne vpliva na veljavnost že veljavnih delegiranih aktov.

4.           Komisija takoj po sprejetju delegiranega akta o tem hkrati obvesti Evropski parlament in Svet.

5.           Delegirani akt, sprejet v skladu s členom 6(5), členom 8(3), členom 9(3), členom 12(5), členom 14(7), členom 15(3), členom 17(9), členom 20(6), členom 22(4), členom 23(3), členom 26(5), členom 28(5), členom 30(3), členom 31(5), členom 32(5), členom 33(6), členom 34(8), členom 35(11), členom 37(2), členom 39(2), členom 43(3), členom 44(7), členom 79(6), členom 81(3), členom 82(3) in členom 83(3), začne veljati le, če mu Evropski parlament ali Svet v dveh mesecih od obvestila, ki sta ga prejela v zvezi z navedenim aktom, ne nasprotujeta ali če sta pred iztekom navedenega roka oba obvestila Komisijo, da mu ne bosta nasprotovala. Navedeni rok se na pobudo Evropskega parlamenta ali Sveta podaljša za dva meseca.

Člen 87 Postopek v odboru

1.           Komisiji pomaga odbor. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.

2.           Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.

3.           Pri sklicevanju na ta odstavek se uporablja člen 8 Uredbe (EU) št. 182/2011 v povezavi s členom 5 navedene uredbe.

POGLAVJE XI

KONČNE DOLOČBE

Člen 88 Razveljavitev Direktive 95/46/ES

1.           Direktiva 95/46/ES se razveljavi.

2.           Sklicevanja na razveljavljeno direktivo se štejejo kot sklicevanja na to uredbo. Sklicevanja na delovno skupino o varstvu posameznikov pri obdelavi osebnih podatkov, ustanovljeno s členom 29 Direktive 95/46/ES, se štejejo kot sklicevanja na Evropski odbor za varstvo podatkov, ustanovljen s to uredbo.

Člen 89 Povezava z Direktivo 2002/58/ES in njena sprememba

1.           Ta uredba ne uvaja dodatnih obveznosti za fizične ali pravne osebe v zvezi z obdelavo osebnih podatkov, povezano z zagotavljanjem javno dostopnih elektronskih komunikacijskih storitev v javnih komunikacijskih omrežjih v Uniji v povezavi z zadevami, za katere veljajo posebne obveznosti z istim ciljem iz Direktive 2002/58/ES.

2            Člen 1(2) Direktive 2002/58/ES se črta.

Člen 90 Ocena

Komisija Evropskemu parlamentu in Svetu redno predloži poročila o oceni in pregledu te uredbe. Prvo poročilo predloži najpozneje štiri leta po začetku veljavnosti te uredbe. Nadaljnja poročila nato predloži vsaka štiri leta. Komisija po potrebi predloži ustrezne predloge z namenom spremembe te uredbe in uskladitve drugih pravnih aktov, zlasti ob upoštevanju razvoja informacijske tehnologije in glede na stanje tehnologije v informacijski družbi. Poročila se objavijo.

Člen 91 Začetek veljavnosti in uporaba

1.           Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

2.           Uporabljati se začne [dve leti od datuma iz odstavka 1].

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju, 25.1.2012

Za Evropski parlament                                  Za Svet

Predsednik                                                     Predsednik

OCENA FINANČNIH POSLEDIC ZAKONODAJNEGA PREDLOGA

1.           OKVIR PREDLOGA/POBUDE

              1.1     Naslov predloga/pobude

              1.2     Zadevna področja ABM/ABB

              1.3     Vrsta predloga/pobude

              1.4     Cilji

              1.5     Utemeljitev predloga/pobude

              1.6     Trajanje ukrepa in finančnih posledic

              1.7     Načrtovani načini upravljanja

2.           UKREPI UPRAVLJANJA

              2.1     Določbe glede spremljanja in poročanja

              2.2     Sistem upravljanja in nadzora

              2.3     Ukrepi preprečevanja goljufij in nepravilnosti

3.           OCENA FINANČNIH POSLEDIC PREDLOGA/POBUDE

              3.1     Zadevni razdelki večletnega finančnega okvira in odhodkovne proračunske vrstice

              3.2     Ocenjeni učinek na odhodke

              3.2.1  Povzetek ocenjenega učinka na odhodke

              3.2.2  Ocenjeni učinek na odobritve za poslovanje

              3.2.3  Ocenjeni učinek na odobritve upravne narave

              3.2.4  Skladnost z veljavnim večletnim finančnim okvirom

              3.2.5  Udeležba tretjih oseb pri financiranju

              3.3     Ocenjeni učinek na prihodke

OCENA FINANČNIH POSLEDIC ZAKONODAJNEGA PREDLOGA

1. OKVIR PREDLOGA/POBUDE

Ta ocena finančnih posledic podrobneje navaja zahteve glede upravnih odhodkov, potrebnih za izvedbo reforme varstva podatkov, kakor je razloženo v ustrezni oceni učinka. Reforma obsega dva zakonodajna predloga: Splošno uredbo o varstvu podatkov ter Direktivo o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov. Ta ocena finančnih posledic obsega proračunske posledice obeh pravnih aktov.

Glede na razdelitev nalog sredstva potrebujeta Komisija in Evropski nadzornik za varstvo podatkov.

Kar zadeva Komisijo, so potrebna sredstva že vključena v predlagano finančno perspektivo za obdobje 2014–2020. Varstvo podatkov je eden od ciljev Programa za pravice in državljanstvo, ki bo podprl tudi ukrepe za izvedbo pravnega okvira. Odobritve upravne narave, vključno z zaposlitvenimi potrebami, so vključene v upravni proračun za GD JUST.

Kar zadeva Evropskega nadzornika za varstvo podatkov, bo treba potrebna sredstva upoštevati pri zadevnih letnih proračunih za Evropskega nadzornika za varstvo podatkov. Sredstva so podrobno razdeljena v prilogi k tej oceni finančnih posledic. Za zagotovitev sredstev, potrebnih za nove naloge Evropskega odbora za varstvo podatkov, za katerega bo Evropski nadzornik za varstvo podatkov zagotovil sekretariat, bo potrebna sprememba razdelka 5 finančne perspektive za obdobje 2014–2020.

1.1. Naslov predloga/pobude

Predlog uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov).

Predlog direktive Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov.

1.2. Zadevna področja ABM/ABB[49]

Pravosodje – varstvo osebnih podatkov

Proračunske posledice se nanašajo na Komisijo in Evropskega nadzornika za varstvo podatkov. Posledice za proračun Komisije so podrobneje opredeljene v preglednicah te ocene finančnih posledic. Odhodki iz poslovanja so del Programa za pravice in državljanstvo in so že upoštevani v oceni finančnih posledic za ta program, tako kot so upravni odhodki upoštevani v sredstvih za GD za pravosodje. Elementi, ki se nanašajo na Evropskega nadzornika za varstvo podatkov, so prikazani v prilogi.

1.3. Vrsta predloga/pobude

¨ Predlog/pobuda se nanaša na nov ukrep.

¨ Predlog/pobuda se nanaša na nov ukrep, ki je nadaljevanje pilotnega projekta/pripravljalnega ukrepa[50].

þ Predlog/pobuda je namenjen(-a) podaljšanju obstoječega ukrepa.

¨ Predlog/pobuda se nanaša na nadaljevanje obstoječega ukrepa z novo usmeritvijo.

1.4. Cilji 1.4.1. Večletni strateški cilji Komisije, ki naj bi bili doseženi s predlogom/pobudo

Reforma je namenjena izpolnitvi prvotnih ciljev, ob upoštevanju novih razvojnih dogodkov in izzivov, tj.:

– povečanje učinkovitosti temeljne pravice do varstva podatkov in zagotoviti posameznikom nadzor nad lastnimi podatki, zlasti v okviru tehnološkega razvoja in večje globalizacije;

– krepitev razsežnosti notranjega trga pri varstvu podatkov z zmanjšanjem razdrobljenosti, krepitvijo doslednosti in poenostavitvijo zakonodajnega okolja, s čimer bi odpravili nepotrebne stroške in zmanjšali upravno breme.

Poleg tega začetek veljavnosti Lizbonske pogodbe in zlasti uvedba nove pravne podlage (člen 16 PDEU) nudita priložnost za doseganje novega cilja, tj.

– vzpostavitev celovitega okvira za varstvo podatkov, ki obsega vsa področja.

1.4.2. Posebni cilji in zadevne dejavnosti ABM/ABB

Posebni cilj št. 1

Zagotoviti dosledno izvrševanje predpisov o varstvu podatkov

Posebni cilj št. 2

Racionalizacija veljavnega sistema upravljanja, kar bo pripomoglo k doslednejšemu izvrševanju

Zadevne dejavnosti ABM/ABB

[…]

1.4.3. Pričakovani izid in učinki

Navedite, kakšne posledice naj bi imel(-a) predlog/pobuda na upravičence/ciljne skupine.

Kar zadeva upravljavce podatkov, imajo tako javni kot zasebni subjekti korist od večje pravne varnosti zaradi usklajenih in pojasnjenih predpisov in postopkov EU za varstvo podatkov, ki zagotavljajo enake možnosti za vse in dosledno izvrševanje predpisov o varstvu podatkov, pa tudi precejšnje zmanjšanje upravnega bremena.

Posamezniki bodo imeli večji nadzor nad svojimi osebnimi podatki, bolj bodo zaupali digitalnemu okolju in ostali zaščiteni tudi v primeru obdelave njihovih osebnih podatkov v tujini. Prav tako bo okrepljena odgovornost tistih, ki osebne podatke obdelujejo.

Celovit sistem za varstvo podatkov bo obsegal tudi področji policije in pravosodja, vključno z nekdanjim tretjim stebrom in onkraj njega.

1.4.4. Kazalniki izida in učinkov

Navedite, s katerimi kazalniki se bo spremljalo izvajanje predloga/pobude.

(primerjaj oceno učinka, oddelek 8)

Kazalniki se ocenjujejo v rednih časovnih presledkih in vključujejo naslednje elemente:

•        čas in stroške, ki jih bodo porabili upravljavci podatkov pri usklajevanju z zakonodajo v „drugih državah članicah“;

•        sredstva, dodeljena organom za varstvo podatkov;

•        imenovane uradne osebe za varstvo podatkov v javnih in zasebnih organizacijah;

•        uporabo ocene učinka za varstvo podatkov;

•        število pritožb s strani posameznikov, na katere se nanašajo osebni podatki, in odškodnin, ki so jih taki posamezniki prejeli;

•        število primerov, v katerih je prišlo do pregona upravljavcev podatkov;

•        kazni, naložene upravljavcem podatkov, odgovornim za kršitve varnosti osebnih podatkov.

1.5. Utemeljitev predloga/pobude 1.5.1. Potrebe, ki jih je treba kratkoročno ali dolgoročno zadovoljiti

Trenutna razhajanja pri izvajanju, razlaganju in izvrševanju Direktive s strani držav članic ovirajo delovanje notranjega trga in sodelovanje med javnimi organi v zvezi s politikami EU. To je v nasprotju s temeljnim ciljem Direktive, tj. omogočanjem lažjega prostega pretoka osebnih podatkov na notranjem trgu. Hiter razvoj novih tehnologij in globalizacija to težavo še zaostrujeta.

Zaradi razdrobljenosti ter nedoslednega izvajanja in izvrševanja v različnih državah članicah imajo posamezniki različne pravice glede varstva podatkov. Poleg tega se posamezniki pogosto ne zavedajo, kaj se dogaja z njihovimi osebnimi podatki, in nad tem nimajo nadzora, zato svojih pravic ne morejo učinkovito uresničevati.

1.5.2. Dodana vrednost ukrepanja Evropske unije

Države članice same ne morejo zmanjšati težav na tem področju. To zlasti velja za težave, ki izhajajo iz razdrobljenosti v nacionalnih zakonodajah, ki izvajajo zakonodajni okvir EU za varstvo podatkov. Zato obstaja utemeljen razlog za uvedbo pravnega okvira za varstvo podatkov na ravni EU. Obstaja posebna potreba po oblikovanju usklajenega in skladnega okvira, ki omogoča nemoten čezmejni prenos osebnih podatkov v EU, obenem pa zagotavlja učinkovito varstvo vseh posameznikov v EU.

1.5.3. Glavna spoznanja iz podobnih izkušenj

Ta predloga temeljita na izkušnjah z Direktivo 95/46/ES in težavah, ki so se pojavile zaradi razdrobljenega prenosa in izvajanja navedene direktive ter so preprečile uspešno izpolnitev obeh njenih ciljev, tj. visoke ravni varstva podatkov in enotnega trga za varstvo podatkov.

1.5.4. Skladnost in možnosti dopolnjevanja z drugimi relevantnimi instrumenti

Ta sveženj za reformo varstva podatkov je namenjen vzpostavitvi trdnega, skladnega in sodobnega okvira za varstvo podatkov na ravni EU, ki je tehnološko nevtralen in primeren za uporabo v naslednjih desetletjih. Koristil bo posameznikom, saj bo okrepil njihove pravice glede varstva podatkov, zlasti v digitalnem okolju, ter poenostavil pravno okolje za podjetja in javni sektor, s čimer bo spodbudil razvoj digitalnega gospodarstva na notranjem trgu EU in zunaj njega, v skladu s cilji strategije Evropa 2020.

Jedro svežnja za reformo varstva podatkov sestavljata:

–        uredba, ki bo zamenjala Direktivo 95/46/ES,

–        Direktiva o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov.

Zakonodajnima predlogoma je priloženo poročilo o izvajanju trenutno glavnega pravnega akta EU za varstvo podatkov na področju policijskega in pravosodnega sodelovanja v kazenskih zadevah s strani držav članic, Okvirnega sklepa 2008/977/PNZ.

1.6. Trajanje ukrepa in finančnih posledic

¨ Časovno omejen(-a) predlog/pobuda:

1. ¨  trajanje predloga/pobude od [DD.MM.]LLLL do [DD.MM.]LLLL,

2. ¨  finančne posledice med letoma LLLL in LLLL.

þ Časovno neomejen(-a) predlog/pobuda:

1. izvedba z začetnim obdobjem postopne krepitve med letoma 2014 in 2016,

2. ki mu sledi polno delovanje.

1.7. Načrtovani načini upravljanja[51]

þ Neposredno centralizirano upravljanje – Komisija.

¨ Posredno centralizirano upravljanje – prenos izvrševanja na:

3. ¨  izvajalske agencije,

4. ¨  organe, ki jih ustanovita Skupnosti[52],

5. ¨  nacionalne javne organe/organe, ki opravljajo javne storitve,

3. ¨  osebe, ki se jim zaupa izvedba določenih ukrepov v skladu z naslovom V Pogodbe o Evropski uniji in so določene v relevantnem temeljnem aktu v smislu člena 49 finančne uredbe.

¨ Deljeno upravljanje z državami članicami.

¨ Decentralizirano upravljanje s tretjimi državami.

¨ Skupno upravljanje z mednarodnimi organizacijami (navedite).

Pri navedbi več kot enega načina upravljanja je treba to natančneje razložiti v oddelku „Opombe“.

Opombe

//

2. UKREPI UPRAVLJANJA 2.1. Določbe glede spremljanja in poročanja

Navedite pogostost in pogoje.

Prva ocena se izvede štiri leta po začetku veljavnosti pravnih aktov. Izrecna določba o pregledu, v skladu s katero bo Komisija ocenila izvajanje, je vključena v pravna akta. Komisija bo nato o svoji oceni poročala Evropskemu parlamentu in Svetu. Nadaljnja ocenjevanja bo Komisija izvajala vsaka štiri leta. Uporabljena bo metodologija Komisije za ocenjevanje. Ta ocenjevanja bodo izvedena s pomočjo usmerjenih študij o izvajanju pravnih aktov, vprašalnikov, namenjenih nacionalnim organom za varstvo podatkov, razprav strokovnjakov, delavnic, raziskav Eurobarometra itd.

2.2. Sistem upravljanja in nadzora 2.2.1. Ugotovljena tveganja

Izvedena je bila ocena učinka za reformo okvira o varstvu podatkov v EU, ki spremlja predloga uredbe in direktive.

Novi pravni akt bo uvedel mehanizem za skladnost, ki bo zagotovil, da neodvisni nadzorni organi v državah članicah okvir uporabljajo na skladen in dosleden način. Mehanizem bo deloval preko Evropskega odbora za varstvo podatkov, ki ga bodo sestavljali vodje nacionalnih nadzornih organov in Evropski nadzornik za varstvo podatkov, zamenjal pa bo delovno skupino iz člena 29. Evropski nadzornik za varstvo podatkov bo temu organu zagotovil sekretariat.

V primeru morebitnih različnih odločitev s strani organov držav članic bo z Evropskim odborom za varstvo podatkov opravljeno posvetovanje, odbor pa bo podal mnenje o zadevi. Če ta postopek ne bi bil uspešen ali bi nadzorni organ zavrnil upoštevanje mnenja, bi lahko Komisija, kadar bi imela resne pomisleke, da bi osnutek ukrepa zagotovil pravilno uporabo te uredbe ali kako drugače pripomogel k njeni nedosledni uporabi, da bi zagotovila pravilno in dosledno uporabo te uredbe, podala mnenje ali po potrebi sprejela sklep.

Za mehanizem za skladnost so potrebna dodatna sredstva za Evropskega nadzornika za varstvo podatkov (12 EPDČ ter zadostne upravne odobritve in odobritve za poslovanje, npr. za sisteme IT in delovanje) za zagotovitev sekretariata in za Komisijo (5 EPDČ ter povezane upravne odobritve in odobritve za poslovanje) za obravnavanje zadev v zvezi s skladnostjo.

2.2.2. Načrtovani načini nadzora

Veljavni načini nadzora, ki jih uporabljata Evropski nadzornik za varstvo podatkov in Komisija, bodo zajeli dodatne odobritve.

2.3. Ukrepi preprečevanja goljufij in nepravilnosti

Navedite obstoječe ali načrtovane preprečevalne in zaščitne ukrepe.

Veljavni ukrepi za preprečevanje goljufij, ki jih uporabljata Evropski nadzornik za varstvo podatkov in Komisija, bodo zajeli dodatne odobritve.

3. OCENA FINANČNIH POSLEDIC PREDLOGA/POBUDE 3.1. Zadevni razdelki večletnega finančnega okvira in odhodkovne proračunske vrstice

1. Obstoječe odhodkovne proračunske vrstice

Po vrsti, v skladu z razdelki večletnega finančnega okvira in proračunskimi vrsticami.

Razdelek večletnega finančnega okvira || Proračunska vrstica || Vrsta odhodkov || Prispevek

številka [opis………………………………...……….] || dif./nedif. ([53]) || držav Efte[54] || držav kandidatk[55] || tretjih držav || v smislu člena 18(1)(aa) finančne uredbe

|| || || || || ||

3.2. Ocenjeni učinek na odhodke 3.2.1. Povzetek ocenjenega učinka na odhodke

v milijonih EUR (na tri decimalna mesta natančno)

Razdelek večletnega finančnega okvira: || Številka ||

|| || || Leto N[56]= 2014 || Leto N+1 || Leto N+2 || Leto N+3 || ... vstavite ustrezno število let glede na trajanje učinka (glej točko 1.6) || SKUPAJ

Ÿ Odobritve za poslovanje || || || || || || || ||

Številka proračunske vrstice || prevzete obveznosti || (1) || || || || || || || ||

plačila || (2) || || || || || || || ||

Številka proračunske vrstice || prevzete obveznosti || (1a) || || || || || || || ||

plačila || (2a) || || || || || || || ||

Odobritve upravne narave, ki se financirajo iz sredstev nekaterih posebnih programov[57] || || || || || || || ||

Številka proračunske vrstice || || (3) || || || || || || || ||

Odobritve za GD SKUPAJ || prevzete obveznosti || =1+1a+3 || || || || || || || ||

plačila || =2+2a+3 || || || || || || || ||

Ÿ Odobritve za poslovanje SKUPAJ || prevzete obveznosti || (4) || || || || || || || ||

plačila || (5) || || || || || || || ||

Ÿ Odobritve upravne narave, ki se financirajo iz sredstev nekaterih posebnih programov, SKUPAJ || (6) || || || || || || || ||

Odobritve za RAZDELEK 3 večletnega finančnega okvira SKUPAJ || prevzete obveznosti || =4+6 || || || || || || || ||

plačila || =5+6 || || || || || || || ||

Če predlog/pobuda vpliva na več razdelkov:

Ÿ Odobritve za poslovanje SKUPAJ || prevzete obveznosti || (4) || || || || || || || ||

plačila || (5) || || || || || || || ||

Ÿ Odobritve upravne narave, ki se financirajo iz sredstev nekaterih posebnih programov, SKUPAJ || (6) || || || || || || || ||

Odobritve za RAZDELKE 1 do 4 večletnega finančnega okvira SKUPAJ (referenčni znesek) || prevzete obveznosti || =4+6 || || || || || || || ||

plačila || =5+6 || || || || || || || ||

Razdelek večletnega finančnega okvira: || 5 || „Upravni odhodki“

v milijonih EUR (na tri decimalna mesta natančno)

|| || || Leto N= 2014 || Leto 2015 || Leto 2016 || Leto 2017 || Leto 2018 || Leto 2019 || Leto 2020 || SKUPAJ

GD: JUST ||

Ÿ Človeški viri || || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454

Ÿ Drugi upravni odhodki || || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885

GD JUST SKUPAJ || || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Odobritve za RAZDELEK 5 večletnega finančnega okvira SKUPAJ || (prevzete obveznosti skupaj = plačila skupaj) || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

v milijonih EUR (na tri decimalna mesta natančno)

|| || || Leto N[58] || Leto N+1 || Leto N+2 || Leto N+3 || … vstavite ustrezno število let glede na trajanje učinka (glej točko 1.6) || SKUPAJ

Odobritve za RAZDELKE 1 do 5 večletnega finančnega okvira SKUPAJ || prevzete obveznosti || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

plačila || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

3.2.2. Ocenjeni učinek na odobritve za poslovanje

6. þ  Predlog/pobuda ne zahteva porabe odobritev za poslovanje.

Visoka raven varstva osebnih podatkov je tudi eden od ciljev Programa za pravice in državljanstvo.

7. ¨  Predlog/pobuda zahteva porabo odobritev za poslovanje, kot je pojasnjeno v nadaljevanju:

odobritve za prevzem obveznosti v milijonih EUR (na tri decimalna mesta natančno)

Navedba ciljev in realizacij ò || || || Leto N=2014 || Leto N+1 || Leto N+2 || Leto N+3 || … vstavite ustrezno število let glede na trajanje učinka (glej točko 1.6) || SKUPAJ

REALIZACIJE

vrsta realizacije[59] || povprečni stroški realizacije || število realizacij || stroški || število realizacij || stroški || število realizacij || stroški || število realizacij || stroški || število realizacij || stroški || število realizacij || stroški || število realizacij || stroški || število realizacij skupaj || stroški skupaj

POSEBNI CILJ št. 1 ||

– realizacija || zapisi[60] || || || || || || || || || || || || || || || || ||

Seštevek za posebni cilj št. 1 || || || || || || || || || || || || || || || ||

POSEBNI CILJ št. 2 ||

– realizacija || zadeve[61] || || || || || || || || || || || || || || || || ||

Seštevek za posebni cilj št. 2 || || || || || || || || || || || || || || || ||

STROŠKI SKUPAJ || || || || || || || || || || || || || || || ||

3.2.3. Ocenjeni učinek na odobritve upravne narave 3.2.3.1. Povzetek

8. ¨  Predlog/pobuda ne zahteva porabe odobritev za upravne zadeve.

9. þ  Predlog/pobuda zahteva porabo odobritev za upravne zadeve, kot je pojasnjeno v nadaljevanju:

v milijonih EUR (na tri decimalna mesta natančno)

|| Leto N [62] 2014 || Leto 2015 || Leto 2016 || Leto 2017 || Leto 2018 || Leto 2019 || Leto 2020 || SKUPAJ

RAZDELEK 5 večletnega finančnega okvira || || || || || || || ||

Človeški viri || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 2,922 || 20,454

Drugi upravni odhodki || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 0,555 || 3,885

Seštevek za RAZDELEK 5 večletnega finančnega okvira || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

Zunaj RAZDELKA 5[63] večletnega finančnega okvira || || || || || || || ||

Človeški viri || || || || || || || ||

Drugi odhodki upravne narave || || || || || || || ||

Seštevek zunaj RAZDELKA 5 večletnega finančnega okvira || || || || || || || ||

SKUPAJ || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 3,477 || 24,339

3.2.3.2.  Ocenjene potrebe po človeških virih

10. ¨         Predlog/pobuda ne zahteva porabe človeških virov.

11. þ         Predlog/pobuda zahteva porabo človeških virov, kot je pojasnjeno v nadaljevanju:

Ocena, izražena v ekvivalentu polnega delovnega časa (ali na največ eno decimalno mesto natančno)

|| Leto 2014 || Leto 2015 || Leto 2016 || Leto 2017 || Leto 2018 || Leto 2019 || Leto 2020

Ÿ Načrt delovnih mest (za uradnike in začasne uslužbence)

XX 01 01 01 (sedež in predstavništva Komisije) || 22 || 22 || 22 || 22 || 22 || 22 || 22

XX 01 01 02 (delegacije) || || || || || || ||

Ÿ Zunanje osebje (v ekvivalentu polnega delovnega časa: EPDČ)[64]

XX 01 02 01 (PU, ZU, NNS iz skupnih sredstev) || 2 || 2 || 2 || 2 || 2 || 2 || 2

XX 01 02 02 (PU, ZU, MSD, LU in NNS na delegacijah) || || || || || || ||

XX 01 04 yy [65] || – na sedežu[66] || || || || || || ||

– na delegacijah || || || || || || ||

XX 01 05 02 (PU, ZU, NNS za posredne raziskave) || || || || || || ||

10 01 05 02 (PU, ZU, NNS za neposredne raziskave) || || || || || || ||

Druge proračunske vrstice (navedite) || || || || || || ||

SKUPAJ || 24 || 24 || 24 || 24 || 24 || 24 || 24

XX je zadevno področje ali naslov.

Z reformo področja bo morala Komisija poleg nalog, ki jih že opravlja, opravljati nove naloge na področju varstva posameznikov pri obdelavi osebnih podatkov. Dodatne naloge se v glavnem nanašajo na izvajanje novega mehanizma za skladnost, ki bo zagotovil dosledno uporabo usklajene zakonodaje za varstvo podatkov, ocenjevanje ustreznosti tretjih držav, za kar je Komisija edina odgovorna, ter pripravo izvedbenih ukrepov in delegiranih aktov. Druge naloge, ki jih Komisija že opravlja (npr. razvoj politike, spremljanje prenosa, ozaveščanje, pritožbe itd.), bo opravljala še naprej.

Potrebe po človeških virih se krijejo z osebjem iz GD, že dodeljenim za upravljanje tega ukrepa in/ali prerazporejenim v GD, po potrebi dopolnjenim z dodatnimi viri, ki se lahko pristojnemu GD dodelijo v okviru postopka letne dodelitve virov glede na proračunske omejitve.

Opis nalog:

Uradniki in začasni uslužbenci || Uradniki, ki obravnavajo primere, upravljajo mehanizem za skladnost varstva podatkov, da bi zagotovili enotno uporabo predpisov EU o varstvu podatkov. Naloge obsegajo preiskovanje in raziskavo primerov, ki jih organi držav članic predložijo v odločitev, pogajanja z državami članicami in pripravo sklepov Komisije. Na podlagi trenutnih izkušenj bo uporaba mehanizma za skladnost potrebna za 5 do 10 primerov na leto. Za obravnavanje zahtev za priznanje ustreznosti je potreben neposreden stik z državo prosilko, morda upravljanje strokovnih študij o pogojih v državi, ocena pogojev, priprava zadevnih sklepov Komisije in postopka, vključno z odborom, ki pomaga Komisiji, in po potrebi drugimi strokovnimi organi. Na podlagi trenutnih izkušenj se lahko pričakujejo največ 4 zahteve za priznanje ustreznosti na leto. Postopek sprejemanja izvedbenih ukrepov obsega pripravljalne ukrepe, kot je objava študij, raziskav in javnih posvetovanj, pa tudi pripravo osnutka dejanskega instrumenta in upravljanje postopka pogajanj v zadevnih odborih in drugih skupinah ter stike z zainteresiranimi stranmi na splošno. Na področjih, na katerih je potrebno natančnejše usmerjanje, se lahko obravnavajo do trije izvedbeni ukrepi na leto, postopek pa lahko, odvisno od intenzivnosti posvetovanj, traja tudi do 24 mesecev.

Zunanje osebje || Upravna in tajniška pomoč

3.2.4. Skladnost z veljavnim večletnim finančnim okvirom

12. ¨         Predlog/pobuda je skladen(-na) z naslednjim večletnim finančnim okvirom.

13. þ         Predlog/pobuda bo pomenil(-a) spremembo ustreznega razdelka večletnega finančnega okvira.

V naslednji preglednici so navedeni zneski finančnih sredstev, ki jih poleg že načrtovanih letno potrebuje Evropski nadzornik za varstvo podatkov za svoje nove naloge zagotavljanja sekretariata Evropskega odbora za varstvo podatkov ter povezane postopke in orodja v obdobju naslednje finančne perspektive.

Leto || 2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Skupaj

Osebje itd. || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823

Delovanje || 0,850 || 1,500 || 1,900 || 1,900 || 1,500 || 1,200 || 1,400 || 10,250

Skupaj || 2,405 || 3,055 || 3,443 || 3,443 || 3,043 || 2,743 || 2,943 || 21,073

14. ¨         Predlog/pobuda zahteva uporabo instrumenta prilagodljivosti ali spremembe večletnega finančnega okvira[67].

3.2.5. Udeležba tretjih oseb pri financiranju

15. þV predlogu/pobudi ni načrtovano sofinanciranje tretjih oseb.

16. ¨V predlogu/pobudi je načrtovano sofinanciranje, kot je ocenjeno v nadaljevanju:

odobritve v milijonih EUR (na tri decimalna mesta natančno)

|| Leto N || Leto N+1 || Leto N+2 || Leto N+3 || … vstavite ustrezno število let glede na trajanje učinka (glej točko 1.6) || Skupaj

Navedite organ sofinanciranja || || || || || || || ||

Sofinancirane odobritve SKUPAJ || || || || || || || ||

3.3. Ocenjeni učinek na prihodke

17. þ         Predlog/pobuda nima finančnih posledic za prihodke.

18. ¨         Predlog/pobuda ima finančne posledice, kot je pojasnjeno v nadaljevanju:

· ¨         na lastna sredstva,

· ¨         na razne prihodke.

v milijonih EUR (na tri decimalna mesta natančno)

Proračunska vrstica prihodkov: || Odobritve na voljo za tekoče proračunsko leto || Učinek predloga/pobude[68]

Leto N || Leto N+1 || Leto N+2 || Leto N+3 || … vstavite ustrezno število stolpcev glede na trajanje učinka (glej točko 1.6)

|| || || || || || || ||

Za razne namenske prihodke navedite zadevne proračunske vrstice.

Navedite metodo izračuna učinka na prihodke.

Priloga k oceni finančnih posledic zakonodajnega predloga za uredbo Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov.

Uporabljena metodologija in glavne temeljne predpostavke

Stroški, ki so povezani z novimi nalogami Evropskega nadzornika za varstvo podatkov in izhajajo iz teh dveh predlogov, so bili za odhodke za osebje ocenjeni na podlagi stroškov, ki jih Komisija že ima s podobnimi nalogami.

Evropski nadzornik za varstvo podatkov bo vodil sekretariat Evropskega odbora za varstvo podatkov, ki bo zamenjal delovno skupino iz člena 29. Na podlagi trenutne delovne obremenitve Komisije s tem delom so zaradi tega potrebni trije dodatni EPDČ ter ustrezni upravni odhodki in odhodki iz poslovanja. Ta delovna obremenitev začne teči z začetkom veljavnosti Uredbe.

Poleg tega bo Evropski nadzornik za varstvo podatkov sodeloval v mehanizmu za skladnost, za katerega naj bi bilo po pričakovanjih potrebnih pet EPDČ, ter pri razvoju in upravljanju skupnega orodja IT za nacionalne organe za varstvo podatkov, za kar bosta potrebna dva dodatna člana osebja.

Izračun povečanja v zahtevanem proračunu za prvih sedem let je natančneje predstavljen v spodnji preglednici. V drugi preglednici je prikazan zahtevani proračun za poslovanje. To bo zajeto v proračunu EU v oddelku IX (Evropski nadzornik za varstvo podatkov).

Vrsta stroškov || Izračun || Znesek (v tisočih)

2014 || 2015 || 2016 || 2017 || 2018 || 2019 || 2020 || Skupaj

Plače in dodatki || || || || || || || || ||

– predsednika Evropskega odbora za varstvo podatkov || || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 0,300 || 2,100

– od tega uradnikov in začasnih uslužbencev || =7*0,127 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 0,889 || 6,223

– od tega NNS || =1*0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,073 || 0,511

– od tega pogodbenih uslužbencev || =2*0,064 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,128 || 0,896

Odhodki, povezani z zaposlovanjem || =10*0,005 || 0,025 || 0,025 || 0,013 || 0,013 || 0,013 || 0,013 || 0,013 || 0,113

Izdatki za službeno pot || || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,090 || 0,630

Drugi izdatki, usposabljanje || =10*0,005 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,050 || 0,350

Upravni odhodki skupaj || || 1,555 || 1,555 || 1,543 || 1,543 || 1,543 || 1,543 || 1,543 || 10,823

Opis nalog:

Uradniki in začasni uslužbenci || Uslužbenci, zadolženi za sekretariat Evropskega odbora za varstvo podatkov. Razen logistične podpore, vključno s proračunskimi in pogodbenimi vprašanji, to obsega pripravo dnevnih redov sestankov in vabil strokovnjakom, raziskave o temah na dnevnem redu skupine, upravljanje dokumentov v zvezi z delom skupine, vključno z zadevnim varstvom podatkov, zaupnostjo in zahtevami glede javnega dostopa. Vključno z vsemi podskupinami in strokovnimi skupinami je lahko letno organiziranih do 50 sestankov in postopkov odločanja. Uradniki, ki obravnavajo primere, upravljajo mehanizem za skladnost varstva podatkov, da bi zagotovili enotno uporabo predpisov EU o varstvu podatkov. Naloge obsegajo preiskovanje in raziskavo primerov, ki jih organi držav članic predložijo v odločitev, pogajanja z državami članicami in pripravo sklepov Komisije. Na podlagi trenutnih izkušenj bo mehanizem za skladnost treba uporabiti za 5 do 10 primerov na leto. Orodje IT bo poenostavilo vzajemno delovanje nacionalnih organov za varstvo podatkov in upravljavcev podatkov, ki morajo informacije posredovati javnim organom. Odgovorni člani osebja bodo zagotovili nadzor kakovosti, upravljanje projektov in proračunsko spremljanje postopkov IT pri zahtevah glede tehničnih ukrepov, izvajanja in delovanja sistemov.

Zunanje osebje || Upravna in tajniška pomoč

Odhodki za Evropskega nadzornika za varstvo podatkov, povezani s posebnimi nalogami

Navedba ciljev in realizacij ò || || || Leto N=2014 || Leto N+1 || Leto N+2 || Leto N+3 || vstavite ustrezno število let glede na trajanje učinka (glej točko 1.6) || SKUPAJ

REALIZACIJA

vrsta realizacije[69] || povprečni stroški realizacije || število realizacij || stroški || število realizacij || stroški || število realizacij || stroški || število realizacij || stroški || število realizacij || stroški || število realizacij || stroški || število realizacij || stroški || število realizacij skupaj || stroški skupaj

POSEBNI CILJ št. 1[70] || Sekretariat Evropskega odbora za varstvo podatkov

– realizacija || zadeve[71] || 0,010 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3,200

Seštevek za posebni cilj št. 1 || 30 || 0,300 || 40 || 0,400 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 50 || 0,500 || 320 || 3,200

POSEBNI CILJ št. 2 || Mehanizem za skladnost

– realizacija || zapisi[72] || 0,050 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2,950

Seštevek za posebni cilj št. 2 || 5 || 0,250 || 10 || 0,500 || 10 || 0,500 || 10 || 0,500 || 8 || 0,400 || 8 || 0,400 || 8 || 0,400 || 59 || 2,950

POSEBNI CILJ št. 3 || Skupno orodje IT za nacionalne organe za varstvo podatkov (Evropskega nadzornika za varstvo podatkov)

– realizacija || zadeve[73] || 0,100 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4,100

Seštevek za posebni cilj št. 3 || 3 || 0,300 || 6 || 0,600 || 9 || 0,900 || 9 || 0,900 || 6 || 0,600 || 3 || 0,300 || 5 || 0,500 || 41 || 4,100

STROŠKI SKUPAJ || 38 || 0,850 || 56 || 1,500 || 69 || 1,900 || 69 || 1,900 || 64 || 1,500 || 61 || 1,200 || 63 || 1,400 || 420 || 10,250

[1]               „Varovanje zasebnosti v povezanem svetu – Evropski okvir za varstvo podatkov za 21. stoletje“ COM(2012) 9 final.

[2]               COM(2012) 10 final.

[3]               Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov, UL L 281, 23.11.1995, str. 31.

[4]               Okvirni sklep Sveta 2008/977/PNZ z dne 27. novembra 2008 o varstvu osebnih podatkov, ki se obdelujejo v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah, UL L 350, 30.12.2008, str. 60 (v nadaljnjem besedilu: Okvirni sklep).

[5]               COM(2010) 245 final.

[6]               COM(2010) 2020 final.

[7]               „Stockholmski program – odprta in varna Evropa, ki služi državljanom in jih varuje“, UL C 115, 4.5.2010, str. 1.

[8]               Resolucija Evropskega parlamenta o Sporočilu Komisije Evropskemu parlamentu in Svetu: območje svobode, varnosti in pravice za državljane – Stockholmski program, sprejeta 25. novembra 2009 (P7_TA(2009)0090).

[9]               COM(2010) 171 final.

[10]             COM(2010) 609 final.

[11]             Posebna raziskava Eurobarometra 359, Stališča o varstvu podatkov in elektronski identiteti v Evropski uniji (Attitudes on Data Protection and Electronic Identity in the European Union), 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[12]             http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm.

[13]             Nezaupne različice prispevkov so na voljo na spletni strani Komisije: http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[14]             Nezaupne različice prispevkov so na voljo na spletni strani Komisije: http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[15]             http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm.

[16]             http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp.

[17]             Evropska agencija za varnost omrežij in informacij, ki rešuje varnostna vprašanja, povezana s komunikacijskimi omrežji in informacijskimi sistemi.

[18]             Glej http://www.enisa.europa.eu/act/it/data-breach-notification/.

[19]             Posebna raziskava Eurobarometra 359, Stališča o varstvu podatkov in elektronski identiteti v Evropski uniji, 2011: http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[20]             Glej Študijo o gospodarskih koristih tehnologij za boljše varovanje zasebnosti (Study on the economic benefits of privacy enhancing technologies) in Primerjalno študijo o različnih pristopih k novim izzivom na področju varovanja zasebnosti, zlasti na podlagi tehnološkega razvoja (Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments), januar 2010     (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[21]             Delovna skupina je bila ustanovljena leta 1996 (s členom 29 Direktive 95/46/ES) s svetovalnim statusom, sestavljajo pa jo predstavniki nacionalnih organov za varstvo podatkov, Evropski nadzornik za varstvo podatkov in Komisija. Za več informacij o dejavnostih delovne skupine glej http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[22]             Glej zlasti naslednja mnenja: o prihodnosti zasebnosti (2009, WP 168), o pojmih „upravljavec“ in „obdelovalec“ (1/2010, WP 169), o spletnem vedenjskem oglaševanju (2/2010, WP 171), o načelu zanesljivega izvajanja (3/2010, WP 173), o pravu, ki se uporablja (8/2010, WP 179), in o privolitvi (15/2011, WP 187). Na zahtevo Komisije je delovna skupina sprejela tudi tri svetovalne dokumente: o priglasitvah, o občutljivih podatkih in o praktičnem izvajanju člena 28(6) Direktive o varstvu podatkov. Vsi so na voljo na: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[23]             Na voljo na spletni strani Evropskega nadzornika za varstvo podatkov: http://www.edps.europa.eu/EDPSWEB/.

[24]             Resolucija Evropskega parlamenta z dne 6. julija 2011 o celovitem pristopu k varstvu osebnih podatkov v Evropski uniji (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2011-0323+0+DOC+XML+V0//SL (poročevalec: poslanec Axel Voss (EPP/DE).

[25]             SEC(2012) 72.

[26]             CESE 999/2011.

[27]             Sodba Sodišča EU z dne 9. novembra 2010 v združenih zadevah C-92/09 in C-93/09, Volker und Markus Schecke in Eifert, ZOdl. 2010, str. I-0000.

[28]             V skladu s členom 52(1) Listine se lahko omejitve uresničevanja pravice do varstva podatkov uvedejo samo, če so predpisane z zakonom, spoštujejo bistveno vsebino pravice in svoboščin ter so ob upoštevanju načela sorazmernosti potrebne in dejansko ustrezajo ciljem splošnega interesa, ki jih priznava Evropska unija, ali če so potrebne zaradi zaščite pravic in svoboščin drugih.

[29]             Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah), UL L 201, 31.7.2002, str. 37.

[30]             Direktiva 2009/136/ES Evropskega parlamenta in Sveta z dne 25. novembra 2009 o spremembah Direktive 2002/22/ES o univerzalnih storitvah in pravicah uporabnikov v zvezi z elektronskimi komunikacijskimi omrežji in storitvami, Direktive 2002/58/ES o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij in Uredbe (ES) št. 2006/2004 o sodelovanju med nacionalnimi organi, odgovornimi za izvrševanje zakonodaje o varstvu potrošnikov (Besedilo velja za EGP); UL L 337, 18.12.2009, str. 11.

[31]             Sprejeta ter odprta za podpis, ratifikacijo in pristop z resolucijo Generalne skupščine Združenih narodov št. 44/25 z dne 20. novembra 1989.

[32]             Sprejeta je bila na mednarodni konferenci pooblaščencev za varstvo osebnih podatkov in zasebnost 5. novembra 2009. Prim. tudi člen 13(3) predloga uredbe o skupnem evropskem prodajnem pravu (COM(2011) 635 final).

[33]             CM/Rec (2010)13.

[34]             Sodba Sodišča EU z dne 9. marca 2010 v zadevi Komisija proti Nemčiji, C-518/07, ZOdl. 2010, str. I-1885.

[35]             Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov, UL L 8, 12.1.2001, str. 1.

[36]             Glej opombo 34.

[37]             Sklep Sveta 2008/615/PNZ z dne 23. junija 2008 o poglobitvi čezmejnega sodelovanja, zlasti na področju boja proti terorizmu in čezmejnemu kriminalu, UL L 210, 6.8.2008, str. 1.

[38]             Na podlagi člena 5(1) Okvirnega sklepa Sveta 2009/948/PNZ z dne 30. novembra 2009 o preprečevanju in reševanju sporov o izvajanju pristojnosti v kazenskih postopkih, UL L 328, 15.12.2009, str. 42, in člena 13(1) Uredbe Sveta (ES) št. 1/2003 z dne 16. decembra 2002 o izvajanju pravil konkurence iz členov 81 in 82 Pogodbe, UL L 1, 4.1.2003, str. 1.

[39]             Na podlagi člena 18(1) Direktive 2000/31/ES Evropskega parlamenta in Sveta z dne 8. junija 2000 o nekaterih pravnih vidikih storitev informacijske družbe, zlasti elektronskega poslovanja na notranjem trgu (Direktiva o elektronskem poslovanju), UL L 178, 17.7.2000, str. 1.

[40]             Za razlago glej npr. sodbo Sodišča EU z dne 16. decembra 2008 v zadevi Satakunnan Markkinapörssi in Satamedia, C-73/07, ZOdl. 2008, str. I-9831.

[41]             UL C , , str. .

[42]             UL C , , str. .

[43]             UL L 281, 23.11.1995, str. 31.

[44]             UL L 8, 12.1.2001, str. 1.

[45]             Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije, UL L 55, 28.2.2011, str. 13.

[46]             UL L 176, 10.7.1999, str. 36.

[47]             UL L 53, 27.2.2008, str. 52.

[48]             UL L 160, 18.6.2011, str. 19.

[49]             ABM: upravljanje po dejavnostih (Activity-Based Management), ABB: oblikovanje proračuna po dejavnostih (Activity-Based Budgeting).

[50]             Pilotni projekti in pripravljalni ukrepi iz člena 49(6)(a) ali (b) finančne uredbe.

[51]             Pojasnitve načinov upravljanja in sklicevanje na finančno uredbo so na voljo na spletišču BudgWeb: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html.

[52]             Organi iz člena 185 finančne uredbe.

[53]             Dif. = diferencirana sredstva / nedif. = nediferencirana sredstva.

[54]             Efta: Evropsko združenje za prosto trgovino.

[55]             Države kandidatke in, če je primerno, potencialne države kandidatke Zahodnega Balkana.

[56]             Leto N je leto začetka izvajanja predloga/pobude.

[57]             Tehnična in/ali upravna pomoč ter odhodki za podporo izvajanja programov in/ali ukrepov EU (prej vrstice BA), posredne raziskave, neposredne raziskave.

[58]             Leto N je leto začetka izvajanja predloga/pobude.

[59]             Realizacije so proizvodi in storitve, ki bodo dobavljeni (npr.: število financiranih izmenjav študentov, število kilometrov novo zgrajenih cest itd.).

[60]             Mnenja, odločitve, postopki sestankov odbora.

[61]             Zadeve, obravnavane v okviru mehanizma za skladnost.

[62]             Leto N je leto začetka izvajanja predloga/pobude.

[63]             Tehnična in/ali upravna pomoč ter odhodki za podporo izvajanja programov in/ali ukrepov EU (prej vrstice BA), posredne raziskave, neposredne raziskave.

[64]             PU = pogodbeni uslužbenec; ZU = začasni uslužbenec; MSD = mlajši strokovnjak v delegaciji; LU = lokalni uslužbenec; NNS = napoteni nacionalni strokovnjak.

[65]             V okviru zgornje meje za zunanje sodelavce iz odobritev za poslovanje (prej vrstice BA).

[66]             Predvsem strukturni skladi, Evropski kmetijski sklad za razvoj podeželja (EKSRP) in Evropski sklad za ribištvo (ESR).

[67]             Glej točki 19 in 24 Medinstitucionalnega sporazuma.

[68]             Za tradicionalna lastna sredstva (carine, prelevmane za sladkor) morajo biti navedeni neto zneski, tj. bruto zneski po odbitku 25 % stroškov pobiranja.

[69]             Realizacije so proizvodi in storitve, ki bodo dobavljeni (npr.: število financiranih izmenjav študentov, število kilometrov novo zgrajenih cest itd.).

[70]             Kakor je opisano v oddelku 1.4.2 „Posebni cilji …“.

[71]             Zadeve, obravnavane v okviru mehanizma za skladnost.

[72]             Mnenja, odločitve, postopki sestankov odbora.

[73]             S skupnimi zneski za vsako leto so ocenjena prizadevanja za razvoj in delovanje orodij IT.