UREDBA (EU) 2016/679 EVROPSKOG PARLAMENTA I SAVETA
od 27. aprila 2016.
o zaštiti fizičkih lica u odnosu na obradu podataka o ličnosti i o slobodnom kretanju takvih podataka i o stavljanju Direktive 95/46/EZ van snage (Opšta uredba o zaštiti podataka)
(tekst od značaja za EEP) EVROPSKI PARLAMENT I SAVET EVROPSKE UNIJE, imajući u vidu Ugovor o funkcionisanju Evropske unije, a posebno član 16, imajući u vidu predlog Evropske komisije, nakon prosleđivanja nacrta zakonodavnog akta nacionalnim parlamentima, imajući u vidu mišljenje Evropskoga ekonomskog i socijalnog odbora (1), imajući u vidu mišljenje komiteta regiona (2), postupajući u skladu s uobičajenim zakonodavnim postupkom (3), s obzirom na to da: (1) je zaštita fizičkih lica u odnosu na obradu podataka o ličnosti osnovno pravo. Članom 8, stav 1. Povelje Evropske unije o osnovnim pravima (u daljem tekstu: Povelja) i članom 16, stav 1. Ugovora o funkcionisanju Evropske unije (UFEU) propisano je da svako ima pravo na zaštitu svojih podataka o ličnosti. (2) načela i pravila o zaštiti fizičkih lica u odnosu na obradu njihovih podataka o ličnosti moraju da poštuju njihova osnovna prava i slobode, a posebno njihovo pravo na zaštitu podataka o ličnosti, bez obzira na njihovo državljanstvo ili prebivalište. Ova uredba treba da doprinese uspostavljanju oblasti slobode, bezbednosti i pravde, kao i ekonomske unije, ekonomskom i socijalnom napretku, jačanju i približavanju privreda na unutrašnjem tržištu, kao i dobrobiti fizičkih lica. (3) Direktiva 95/46/EZ Evropskog parlamenta i Saveta (4) nastoji da uskladi zaštitu osnovnih prava i sloboda fizičkih lica u vezi sa aktivnostima obrade i da obezbedi slobodan protok podataka o ličnosti između država članica. (4) bi obrada podataka o ličnosti trebalo da bude osmišljena tako da bude u službi čovečanstva. Pravo na zaštitu podataka o ličnosti nije apsolutno pravo; mora da se posmatra u vezi s funkcijom koju ima u društvu i mora da bude uravnoteženo sa drugim osnovnim pravima, u skladu s načelom proporcionalnosti. Ova uredba poštuje sva osnovna prava i uvažava slobode i načela priznate Poveljom koja su sadržana u Ugovorima, a posebno poštovanje privatnog i porodičnog života, doma i komunikacija, zaštita podataka o ličnosti, sloboda mišljenja, savesti i veroispovesti, sloboda izražavanja i informisanja, sloboda poslovanja, pravo na delotvoran pravni lek i pošteno suđenje, kao i pravo na kulturnu, versku i jezičku različitost.
(5) je ekonomska i društvena integracija nastala iz funkcionisanja unutrašnjeg tržišta dovela je do znatnog povećanja prekograničnih protoka podataka o ličnosti. Povećala se razmena podataka o ličnosti između javnih i privatnih aktera, uključujući fizička lica, udruženja i preduzeća širom Unije. U skladu s pravom Unije, nacionalni organi država članica pozivaju se na saradnju i razmenu podataka o ličnosti da bi mogli da obavljaju svoje dužnosti ili izvršavaju poslove u ime organa u drugoj državi članici.
(6) su se zbog brzog tehnološkog razvoja i globalizacije pojavili novi izazovi u zaštiti podataka o ličnosti. Obim prikupljanja i razmene podataka o ličnosti značajno se povećao. Tehnologija omogućava kako privatnim društvima, tako i organima vlasti da koriste podatke o ličnosti u do sada nezabeleženom obimu za potrebe obavljanja svojih poslova. Fizička lica svoje lične informacije sve više čine javno i globalno dostupnima. Tehnologija je preobrazila i privredu i društveni život i trebalo bi dodatno da olakša slobodan protok podataka o ličnosti u Uniji i prenos trećim zemljama i međunarodnim organizacijama, uz obezbeđivanje visokog nivoa zaštite podataka o ličnosti.
(7) je za takav razvoj potreban čvrst i usklađeniji okvir za zaštitu podataka u Uniji koji je podržan doslednim izvršenjem, imajući u vidu značaj izgradnje poverenja koje će omogućiti razvoj digitalne ekonomije na čitavom unutrašnjem tržištu. Fizička lica moraju da imaju kontrolu nad svojim podacima o ličnosti. Treba poboljšati pravnu i praktičnu bezbednost fizičkih lica, privrednih subjekata i organa vlasti.
(8) kada ova uredba propisuje specifikacije ili ograničenja njenih pravila pravom države članice, države članice mogu, ako je to potrebno zbog usklađenosti i da bi nacionalne odredbe bile razumljive licima na koje se primenjuju, da uključe elemente ove uredbe u svoje nacionalno pravo.
(9) ciljevi i načela Direktive 95/46/EZ i dalje važe, ali ona nije sprečila fragmentaciju u sprovođenju zaštite podataka u Uniji, pravnu nesigurnost i rasprostranjeno javno mišljenje da postoje značajni rizici za zaštitu fizičkih lica, posebno u vezi s aktivnostima na internetu. Razlike u nivou zaštite prava i sloboda fizičkih lica, a posebno prava na zaštitu podataka o ličnosti, u odnosu na obradu podataka o ličnosti u državama članicama mogu da spreče slobodan protok podataka o ličnosti u Uniji. Te razlike zbog toga mogu da predstavljaju prepreku obavljanju privrednih delatnosti na nivou Unije, naruše konkurenciju i ometaju organe u ispunjavanju odgovornosti na osnovu prava Unije. Takve razlika u nivoima zaštite nastala je zbog postojanja razlika u sprovođenju i primeni Direktive 95/46/EZ.
(10) da bi se obezbedio dosledan i visok nivo zaštite fizičkih lica i da bi se uklonile prepreke za protok podataka o ličnosti unutar Unije, nivo zaštite prava i sloboda fizičkih lica u odnosu na obradu takvih podataka mora da bude isti u svim državama članicama. U čitavoj Uniji mora da se obezbedi dosledna i homogena primena pravila za zaštitu osnovnih prava i sloboda fizičkih lica u odnosu na obradu podataka o ličnosti. U pogledu obrade podataka o ličnosti radi poštovanja zakonske obaveze, za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodeljenih rukovaocu, državama članicama bi trebalo dozvoliti da zadrže ili uvedu nacionalne odredbe kako bi se dodatno odredila primena pravila ove uredbe. Zajedno s opštim i horizontalnim zakonodavstvom o zaštiti podataka za sprovođenje Direktive 95/46/EZ, države članice imaju nekoliko sektorskih zakona u oblastima u kojima su potrebne konkretnije odredbe. Ova uredbom takođe državama članicama obezbeđuje prostor za delovanje kako bi bolje odredile njena pravila, uključujući i pravila za obradu posebnih kategorija podataka o ličnosti („osetljivi podaci”). U tom smislu, ovom uredbom se ne isključuje pravo države članice kojim se propisuju okolnosti za posebne situacije obrade, što uključuje preciznije određivanje uslova pod kojima je obrada podataka o ličnosti zakonita.
(11) delotvorna zaštita podataka o ličnosti širom Unije zahteva jačanje i detaljno određivanje prava lica na koje se podaci odnose i obaveza onih koji obrađuju i određuju obradu podataka o ličnosti, kao i ista ovlašćenja za praćenje i obezbeđivanje poštovanja pravila za zaštitu podataka o ličnosti i iste sankcije za kršenja u državama članicama.
(12) član 16, stav 2. UFEU obavezuje Evropski parlament i Savet da propišu pravila o zaštiti fizičkih lica u odnosu na obradu podataka o ličnosti i pravila u vezi sa slobodnim kretanjem takvih podataka.
(13) je, kako bi se osigurao dosledan nivo zaštite fizičkih lica širom Unije i sprečila neslaganja koja ometaju slobodno kretanje podataka o ličnosti na unutrašnjem tržištu, potrebna uredba radi pružanja pravne bezbednosti i transparentnosti privrednim subjektima, uključujući i mikro, mala i srednja preduzeća, i pružanja fizičkim licima u svim državama članicama istog nivoa pravno primenljivih prava i obaveza i odgovornosti za rukovaoce podataka i obrađivače kako bi se osiguralo dosledno praćenje obrade podataka o ličnosti i iste sankcije u svim državama članicama, kao i efikasna saradnja između nadzornih organa različitih država članica. Za pravilno funkcionisanje unutrašnjeg tržišta je potrebno da se ne ograničava i ne zabranjuje slobodno kretanje podataka o ličnosti u Uniji iz razloga povezanih sa zaštitom fizičkih lica prilikom obrade podataka o ličnosti. Ova uredba sadrži izuzeća za organizacije sa manje od 250 zaposlenih u vezi sa vođenjem evidencije, da bi se uzela u obzir posebna situacija u kojoj se nalaze mikro, mala i srednja preduzeća. Pored toga, institucije i tela Unije i države članice i njihovi nadzorni organi podstiču se da prilikom primene ove uredbe uzmu u obzir posebne potrebe mikro, malih i srednjih preduzeća. Pojam mikro, malih i srednjih preduzeća mora da bude zasnovan na članu 2. Priloga Preporuke Komisije 2003/361/EZ (5).
(14) zaštita koja se pruža ovom uredbom mora da se primenjuje na fizička lica, bez obzira na njihovo državljanstvo ili prebivalište, u vezi s obradom podataka o ličnosti. Ova uredba ne obuhvata obradu podataka o ličnosti koji se tiču pravnih lica, a posebno društava koja su osnovana kao pravna lica, uključujući i naziv i oblik pravnog lica i podatke za kontakt pravnog lica.
(15) radi sprečavanja nastanka ozbiljnog rizika za izbegavanje propisa, zaštita fizičkih lica mora da bude tehnološki neutralna i ne sme da zavisi od tehnika koje se koriste. Zaštita fizičkih lica mora da se primenjuje na obradu podataka o ličnosti automatizovanim sredstvima, kao i na ručnu obradu, ako se podaci o ličnosti čuvaju ili su namenjeni za čuvanje u sistemu pohranjivanja. Zbirke ili skupovi zbirki, kao i njihove naslovne strane, koji nisu strukturirani prema posebnim kriterijumima ne treba da spadaju u područje primene ove uredbe.
(16) se ova uredba ne primenjuje na pitanja zaštite osnovnih prava i sloboda ili slobodni protok podataka o ličnosti u vezi s delatnostima koje ne spadaju u područje primene prava Unije, kao što su delatnosti u vezi s nacionalnom bezbednošću. Ova uredba se ne primenjuje na obradu podataka o ličnosti od strane država članica prilikom obavljanja aktivnosti povezanih sa zajedničkom inostranom i bezbednosnom politikom Unije.
(17) se Uredba (EZ) br. 45/2001 Evropskog parlamenta i Saveta (6) primenjuje na obradu podataka o ličnosti koju obavljaju institucije, tela, kancelarije i agencije Unije. Uredba (EZ) br. 45/2001 i drugi pravni akti Unije koji se primenjuju na takvu obradu podataka o ličnosti moraju da se prilagode načelima i pravilima iz ove uredbe i da se primenjuju u svetlu ove uredbu. Kako bi se osigurao jak i koherentan okvir za zaštitu podataka u Uniji, nakon usvajanja ove uredbe treba izvršiti neophodna prilagođavanja Uredbe (EZ) br. 45/2001 kako bi se omogućila istovremena primena obe uredbe.
(18) se ova uredba ne primenjuje na obradu podataka o ličnosti koju vrše fizičke lica u toku isključivo lične ili kućne aktivnosti i zbog toga nije povezana sa profesionalnom ili privrednom delatnošću. Lične ili kućne aktivnosti mogu da obuhvataju korespondenciju i posedovanje adresa ili društveno umrežavanje i aktivnosti na internetu koje se vrše u kontekstu takvih aktivnosti. Međutim, ova uredba se primenjuje na rukovaoce ili obrađivače koji pružaju sredstva za obradu podataka o ličnosti za takve lične ili kućne aktivnosti.
(19) se na zaštitu fizičkih lica u odnosu na obradu podataka o ličnosti koju vrše nadležni organi u svrhu sprečavanja, istrage, otkrivanja i gonjenja krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu od pretnji za javnu bezbednost i slobodno kretanje takvih podataka i njihovo sprečavanje, primenjuje poseban pravni akt Unije. Zbog toga ova uredba ne bi trebalo da se primenjuje na aktivnosti obrade u te svrhe. Međutim, podaci o ličnosti koje su obradili organi vlasti u skladu s ovom uredbom moraju, kada se upotrebljavaju u te svrhe, da budu uređeni konkretnijim posebnim pravnim aktom Unije i to Direktivom (EU) 2016/680 Evropskog parlamenta i Saveta (7). Države članice mogu da povere nadležnim organima u smislu Direktive (EU) 2016/680 poslove koji ne moraju da se obavljaju u svrhu sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu od pretnji za javnu bezbednost i njihovo sprečavanje, tako da je obrada podataka o ličnosti u te druge svrhe, ako spada u područje primene prava Unije, obuhvaćena područjem primene ove uredbe. U vezi sa obradom podataka o ličnosti koju obavljaju ti nadležni organi u svrhe koje su obuhvaćene područjem primene ove uredbe, države članice moraju da budu u mogućnosti da zadrže ili uvedu preciznije odredbe za prilagođavanje primene pravila ove uredbe. Te odredbe mogu detaljnije da određuju posebne zahteve za obradu podataka o ličnosti koju vrše ti nadležni organi u te druge svrhe, uzimajući u obzir ustavnu, organizacionu i administrativnu strukturu države članice koja je u pitanju. Kada obrada podataka o ličnosti koju vrše privatna tela spada u područje primene ove uredbe, ova uredba mora da predviđa mogućnost da države članice pod posebnim uslovom zakonom ograniče određene obaveze i prava kada takvo ograničenje predstavlja neophodnu i srazmernu meru u demokratskom društvu za zaštitu posebnih važnih interesa, uključujući i javnu bezbednost i sprečavanje, istragu, otkrivanje ili gonjenje krivičnih dela ili izvršenje krivičnih sankcija, uključujući i zaštitu od pretnji za javnu bezbednost i njihovo sprečavanje. To je na primer relevantno u okviru sprečavanja pranja novca ili aktivnosti forenzičkih laboratorija.
(20) iako se ova uredba između ostalog primenjuje na aktivnosti sudova i drugih pravosudnih organa, pravo Unije ili pravo države članice može da odredi radnje i postupke obrade u vezi s obradom podataka o ličnosti koju obavljaju sudovi i drugi pravosudni organi. Nadležnost nadzornih organa ne treba da obuhvata obradu podataka o ličnosti kada sudovi postupaju u sudskom svojstvu, kako bi se zaštitila nezavisnost pravosuđa u obavljanju sudskih zadataka, uključujući i donošenje odluka. Trebalo bi da bude moguće da se nadzor nad takvim radnjama obrade podataka poveri posebnim telima u okviru pravosudnog sistema države članice, koja posebno mora da obezbedi poštovanje pravila ove uredbe, poveća svest članova pravosuđa o njihovim obavezama iz ove uredbe i rešava pritužbe u vezi sa takvom obradom podataka o ličnosti.
(21) ova uredbom dovodi u pitanje primenu Direktive 2000/31/EZ Evropskog parlamenta i Saveta (8), a posebno pravila o odgovornosti posrednih pružalaca usluga iz člana 12. do 15. Ta direktiva nastoji da doprinese pravilnom funkcionisanju unutrašnjeg tržišta pomoću obezbeđivanja slobodnog kretanja usluga informacionog društva između država članica.
(22) bi svaka obrada podataka o ličnosti u Uniji u okviru aktivnosti osnivanja sedišta rukovaoca ili obrađivača trebalo da se vrši u skladu s ovom uredbom, bez obzira na to da li se sama obrada vrši u Uniji. Sedište podrazumeva efikasno i stvarno obavljanje delatnosti kroz stabilnih aranžmane. Pravni oblik takvih aranžmana, kroz podružnicu ili zavisno društvo sa statusom pravnog lica, nije odlučujući faktor u tom pogledu.
(23) kako bi se osiguralo da fizičkim licima ne bude uskraćena zaštita na koju imaju pravo na osnovu ove uredbe, na obradu podataka o ličnosti lica na koje se podaci odnose koji se nalaze u Uniji, a koju vrši rukovalac ili obrađivač bez sedišta u Uniji treba da se primenjuje ova uredba ako su aktivnosti obrade povezane sa nuđenjem robe ili usluga tim licima na koja se podaci odnose, bez obzira na to da li je ponuda povezana sa plaćanjem. Da bi se utvrdilo da li takav rukovalac ili obrađivač nudi robu ili usluge licima na koja se podaci odnose i koja se nalaze u Uniji, treba utvrditi da li je očigledno da rukovalac ili obrađivač namerava da ponudi usluge licima na koja se podaci odnose i koja se nalaze u jednoj ili više država članica Unije. Iako sama dostupnost internet strana rukovaoca, obrađivača ili posrednika u Uniji ili adrese elektronske pošte i drugih kontakt podataka ili korišćenje jezika koji je uopšteno u upotrebi u trećoj zemlji u kojoj rukovalac ima sedište nisu dovoljni za utvrđivanje takve namere, faktori kao što je korišćenje jezika ili valute koji su uopšteno u upotrebi u jednoj ili više država članica uz mogućnost naručivanja robe i usluga na tom drugom jeziku, ili spominjanje kupaca ili korisnika koji se nalaze u Uniji, mogu jasno da pokažu da rukovalac namerava da nudi robu ili usluge licima na koja se podaci odnose u Uniji.
(24) na obradu podataka o ličnosti lica na koje se podaci odnose i koja se nalaze u Uniji, a koju vrši rukovalac ili obrađivač bez sedišta u Uniji, takođe treba da primenjuje ova uredba kada se odnosi na praćenje ponašanja takvih lica na koje se podaci odnose ako se njihovo ponašanje odvija unutar Unije. Da bi se odredilo da li aktivnost obrade može da se smatra praćenjem ponašanja lica na koje se podaci odnose, treba utvrditi da li se fizička lica prate na internetu, uključujući i moguće naknadno korišćenje tehnika obrade podataka o ličnosti koje se sastoje od profilisanja fizičkog lica, posebno radi donošenja odluka koje se odnose na njega ili radi analize ili predviđanja njegovih ličnih sklonosti, ponašanja i stavova.
(25) kada se pravo države članice primenjuje na osnovu međunarodnog javnog prava, ova uredba treba da se primenjuje i na rukovaoce podataka koji nemaju sedište u Uniji, kao na primer u diplomatskom ili konzularnom predstavništvu države članice.
(26) načela zaštite podataka moraju da se primenjuju na sve informacije koje se odnose na fizičko lice čiji je identitet određen ili može da se odredi. Podaci o ličnosti koji su pseudonimizovani, a koji bi mogli da se pripišu nekom fizičkom licu pomoću dodatnih informacija moraju da se smatraju informacijama o fizičkom licu čiji identitet može da se odredi. Kako bi se odredilo da li identitet fizičkog lica može da se odredi, treba uzeti u obzir sva sredstva, kao što je izdvajanje, koja će rukovalac ili bilo koja druga osoba verovatno koristiti za neposredno ili posredno određivanje identiteta fizičkog lica. Da bi se utvrdilo da li će sredstva za određivanje identiteta fizičko lice verovatno da se koriste, treba uzeti u obzir sve objektivne faktore, kao što su troškovi i vreme potrebno za utvrđivanje identiteta, uzimajući u obzir tehnologiju dostupnu prilikom obrade i tehnološki razvoj. Načela zaštite podataka zbog toga ne treba primenjivati na anonimne informacije, odnosno informacije koje se ne odnose na fizičko lice čiji je identitet određen ili može da se odredi ili na podatke o ličnosti koji su učinjeni anonimnima tako da identitet lica na koje se podaci odnose ne može ili više ne može da se odredi. Ova uredba se zato ne odnosi na obradu takvih anonimnih informacija, između ostalog za statističke ili istraživačke svrhe.
(27) se ova uredba ne primenjuje na podatke o ličnosti preminulih osoba. Države članice mogu da propišu pravila u vezi sa obradom podataka o ličnosti preminulih osoba.
(28) primena pseudonimizacije na podatke o ličnosti može da smanji rizike za lica na koje se podaci odnose i da pomogne rukovaocima podataka i obrađivačima u ispunjavanju njihovih obaveza u vezi sa zaštitom podataka. Namera izričitog uvođenja „pseudonimizacije” u ovoj uredbi nije isključivanje bilo koje druge mere za zaštitu podataka.
(29) u cilju podsticanja primene pseudonimizacije prilikom obrade podataka o ličnosti treba omogućiti da isti rukovalac može da sprovodi mere pseudonimizacije i opštu analizu u slučajevima kada je taj rukovalac preduzeo tehničke i organizacione mere potrebne za obezbeđivanje, u konkretnoj obradi, sprovođenja ove uredbe, i odvojeno čuvanje dodatnih informacija za pripisivanje podataka o ličnosti određenom licu na koje se podaci odnose. Rukovalac koji obrađuje podatke o ličnosti mora da navede ovlašćena lica u tom istom rukovaocu podataka.
(30) fizička lica mogu da budu povezana sa mrežnim identifikatorima koje pružaju njihovi uređaji, aplikacije, alati i protokoli, kao što su adrese internet protokola, identifikatori kolačića ili drugi identifikatori kao što je oznaka za radiofrekvencijsku identifikaciju. To može da ostavi tragove koji, posebno u kombinaciji sa jedinstvenim identifikatorima i drugim informacijama koje primaju serveri, mogu da se koriste za profilisanje fizičkih lica i njihovu identifikaciju.
(31) organi vlasti kojima se podaci o ličnosti otkrivaju u skladu sa pravnom obavezom izvršavanja njihovih službenih zadataka, kao što su poreski i carinski organi, jedinice za finansijsko istraživanje, nezavisni upravni organi ili organi finansijskog tržišta, odgovorni za regulisanje i nadzor nad tržišta hartija od vrednosti, ne treba da se smatraju korisnicima ako prime podatke o ličnosti koji su neophodni za vršenje konkretne istrage u opštem interesu, u skladu sa pravom Unije ili pravom države članice. Zahtevi za otkrivanje koje šalju organi vlasti uvek moraju da budu u pisanom obliku, obrazloženi i povremeni i ne smeju da se odnose na čitav sistem pohranjivanja ili da dovedu do međusobne povezanosti sistema pohranjivanja. Obrada podataka o ličnosti koju vrše ti organi vlasti mora da bude u skladu sa važećim pravilima za zaštitu podataka u skladu sa svrhama obrade.
(32) pristanak mora da se daje jasnom potvrdnom radnjom kojom se izražava dobrovoljan, konkretan, informisan i nedvosmislen pristanak lica na koje se podaci odnose na obradu podataka o ličnosti koji se odnose na njega, kao što je pisana izjava, uključujući i elektronsku izjavu, ili usmena izjava. To može da obuhvata štikliranje polja prilikom posete internet stranama, biranje tehničkih podešavanja za usluge informacionog društva ili drugu izjavu ili radnju kojom se jasno pokazuje u tom kontekstu da lice na koje se podaci odnose prihvata predloženu obradu svojih podataka o ličnosti. Ćutanje, unapred štiklirano polje ili neizvršavanje aktivnosti zbog toga ne treba smatrati pristankom. Pristanak mora da obuhvata sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kada obrada ima višestruke svrhe, pristanak mora da se da za sve njih. Ako se pristanak lica na koje se podaci odnose daje nakon zahteva upućenog elektronskim putem, taj zahtev mora da bude jasan, sažet i ne sme nepotrebno da ometa korišćenje usluge za koju se upotrebljava.
(33) često nije moguće u potpunosti odrediti svrhu obrade podataka o ličnosti u naučne svrhe u trenutku prikupljanja podataka. Zbog toga licima na koja se podaci odnose treba omogućiti da svoju pristanak daju za određene oblasti naučnog istraživanja uz poštovanje priznatih etičkih standarda za naučno istraživanje. Lica na koja se podaci odnose moraju da imaju mogućnost da daju svoj pristanak samo za određene oblasti istraživanja ili delove istraživačkih projekata u meri u kojoj to dozvoljava nameravana svrha.
(34) genetski podaci moraju da se definišu kao podaci o ličnosti u vezi sa nasleđenim ili stečenim genetskim karakteristikama fizičkog lica koji nastaju iz analize biološkog uzorka fizičkog lica koje je u pitanju, a posebno analize hromozoma, dezoksiribonukleinske kiseline (DNK) ili ribonukleinske kiseline (RNK) ili iz analize drugog elementa koji omogućava dobijanje istih informacija.
(35) podaci o ličnosti koji se odnose na zdravlje moraju da obuhvataju sve podatke koji se odnose na zdravstveno stanje lica na koje se podaci odnose, a koji otkrivaju informacije u vezi sa prošlim, sadašnjim ili budućim fizičkim ili psihičkim zdravstvenim stanjem lica na koje se podaci odnose. To uključuje informacije o fizičkom licu prikupljene prilikom registracije za zdravstvene usluge ili prilikom pružanja zdravstvenih usluga tom fizičkom licu kako je navedeno u Direktivi 2011/24/EU Evropskog parlamenta i Saveta (9); broj, simbol ili oznaku koja je fizičkom licu dodeljena u svrhu njegove jedinstvene identifikacije za zdravstvene svrhe; informacije dobijene iz testiranja ili ispitivanja dela tela ili telesne supstance, između ostalog iz genetskih podataka i bioloških uzoraka; i bilo koju informaciju o, na primer, bolesti, invaliditetu, riziku od bolesti, istoriji bolesti, kliničkom lečenju ili fiziološkom ili biomedicinskom stanju lica na koje se podaci odnose nezavisno bez obzira na njihov izvor, na primer od lekara ili drugog zdravstvenog radnika, bolnice, medicinskog uređaja ili in vitro dijagnostičkog testa.
(36) glavno sedište rukovaoca u Uniji treba da bude mesto njegove centralne uprave u Uniji, osim ako se odluke o svrhama i načinima obrade podataka o ličnosti donose u drugom sedištu rukovaoca u Uniji, u kom slučaju to drugo sedište treba da se smatra glavnim sedištem. Glavno sedište rukovaoca u Uniji mora da bude određeno prema objektivnim kriterijumima i mora da podrazumeva efikasno i stvarno obavljanje upravljačkih aktivnosti kojima se utvrđuju glavne odluke u vezi sa svrhama i načinima obrade putem stabilnih aranžmana. Taj kriterijum ne sme da zavisi od toga da li se obrada podataka o ličnosti vrši na toj lokaciji. Postojanje i korišćenje tehničkih sredstava i tehnologija za obradu podataka o ličnosti ili aktivnosti obrade same po sebi ne predstavljaju glavno sedište i shodno tome nisu odlučujući kriterijum za glavno sedište. Glavno sedište obrađivača mora da bude mesto njegove centralne uprave u Uniji ili, ako nema centralnu upravu u Uniji, mesto u Uniji gde se odvijaju glavne aktivnosti obrade. U slučajevima koji uključuju i rukovaoca i obrađivača, nadležni vodeći nadzorni organ treba da ostane nadzorni organ države članice u kojoj rukovalac ima glavno sedište, ali nadzorni organ obrađivača treba smatrati zainteresovanim nadzornim organom i taj nadzorni organ treba da učestvuje u postupku saradnje koji je predviđen ovom uredbom. U svakom slučaju, nadzorni organi jedne države članice ili država članica u kojima obrađivač ima jedno ili više sedišta ne treba smatrati zainteresovanim nadzornim organima ako se nacrt odluke odnosi samo na rukovaoca. Kada obradu obavlja grupa povezanih društava, glavno sedište društva koje ostvaruje kontrolu treba smatrati glavnim sedištem grupe povezanih društava, osim kada svrhe i načine obrade određuje drugo društvo.
(37) grupa povezanih društava treba da obuhvata društvo koje ostvaruje kontrolu i društva koja su pod njegovom kontrolom, pri čemu društvo koje ostvaruje kontrolu mora da bude društvo koje može da ima dominantan uticaj nad drugim društvima na osnovu, na primer, vlasništva, finansijskog učešća ili pravila kojima je ono uređeno ili ovlašćenja za sprovođenje pravila o zaštiti podataka o ličnosti. Društvo koji nadzire obradu podataka o ličnosti kod društava koja su sa njim povezana treba zajedno sa tim društvima smatrati „grupom povezanih društava”.
(38) deca zaslužuju posebnu zaštitu u pogledu svojih podataka o ličnosti s obzirom na to sa mogu da budu manje svesna rizika, posledica i mera zaštite, kao i svojih prava u vezi sa obradom podataka o ličnosti. Takva posebna zaštita mora posebno da se primenjuje na korišćenje podataka o ličnosti dece u svrhu marketinga ili pravljenja ličnih ili korisničkih profila i prikupljanje podataka o ličnosti o deci prilikom korišćenja usluga koje se nude direktno detetu. Pristanak vršilaca roditeljskog prava ne treba da bude neophodan u kontekstu preventivnih ili savetodavnih usluga koje se nude direktno detetu.
(39) svaka obrada podataka o ličnosti mora da bude zakonita i pravična. Za fizička lica mora da bude transparentno da se podaci o ličnosti koji se odnose na njih prikupljaju, koriste, daju na uvid ili na drugi način obrađuju, kao i u kojoj meri se ti podaci o ličnosti obrađuju ili će se obrađivati. Načelo transparentnosti zahteva da svaka informacija i komunikacija u vezi sa obradom tih podataka o ličnosti bude lako dostupna i razumljiva i da se upotrebljava jasan i jednostavan jezik. To se načelo se posebno odnosi na informacije za lica na koje se podaci odnose o identitetu rukovaoca i svrhama obrade i dalje informacije za obezbeđenje pravičnosti i transparentnosti u odnosu na fizička lica i njihovo pravo da dobiju potvrdu i obaveštenje o podacima o ličnosti koji se obrađuju, a koji se odnose na njih. Fizička lica moraju da budu upoznata sa rizicima, pravilima, merama zaštite i pravima u vezi sa obradom podataka o ličnosti i načinom ostvarivanja svojih prava u vezi sa takvom obradom. Posebno, konkretne svrhe u koju se podaci o ličnosti obrađuju moraju da budu izričite i zakonite i određene prilikom prikupljanja podataka o ličnosti. Podaci o ličnosti moraju da budu primereni, relevantni i ograničeni na ono što je neophodno za svrhe u koje se podaci obrađuju. Zbog toga je posebno potrebno da se obezbedi da rok u kojem se podaci o ličnosti čuvaju bude ograničen na strogi minimum. Podatke o ličnosti treba obrađivati samo ako svrha obrade ne može na prihvatljiv način da se postigne drugim sredstvima. Da bi se obezbedilo da se podaci o ličnosti ne drže duže nego što je neophodno, rukovalac mora da odredi rok za brisanje ili periodično razmatranje. Treba preduzeti svaku prihvatljivu meru da se obezbedi da se netačni podaci o ličnosti isprave ili obrišu. Podaci o ličnosti moraju da se obrađuju uz odgovarajuće poštovanje bezbednosti i poverljivosti podataka o ličnosti, uključujući i sprečavanje neovlašćenog pristupa podacima o ličnosti i opremi koja se koristi za obradu ili njihovog neovlašćenog korišćenja.
(40) da bi obrada bila zakonita, podaci o ličnosti moraju da se obrađuju na osnovu pristanka lica na koje se podaci odnose ili na drugoj legitimnoj osnovi, koja je propisana ili u ovoj uredbi ili u drugom pravu Unije ili pravu države članice na koju ova uredba upućuje, uključujući i obavezu poštovanja pravne obaveze koja se primenjuje na rukovaoca ili obavezno izvršavanje ugovora u kojem je lice na koje se podaci odnose jedna od strana ili kako bi se preduzele mere na zahtev lica na koje se podaci odnose pre zaključenja ugovora.
(41) ako ova uredbom upućuje na pravnu osnovu ili zakonodavnu meru, to ne znači neophodno da parlament mora da donese zakonodavni akt, ne dovodeći u pitanje zahteve u skladu sa ustavnim poretkom države članice koja je u pitanju. Međutim, takva pravna osnova ili zakonodavna mera mora da bude jasna i precizna, a njena primena mora da bude za lica na koje se primenjuje u skladu sa sudskom praksom Suda pravde Evropske unije (u daljem tekstu: Sud pravde) i Evropskog suda za ljudska prava.
(42) ako je obrada zasnovana na pristanku lica na koje se podaci odnose, rukovalac mora da bude u mogućnosti da dokaže da je lice na koje se podaci odnose dalo pristanak za radnju obrade. Zaštitne mere, posebno u kontekstu pisane izjave o drugom pitanju, moraju da obezbede da je lice na koje se podaci odnose svesno činjenice da daje pristanak i u kojoj se pristanak daje. U skladu sa Direktivom Saveta 93/13/EEZ (10) izjava o pristanku koju je unapred sastavio rukovalac mora da bude obezbeđena u razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika i ne sme da sadrži nepravične uslove. Da bi pristanak bio informisan, lice na koje se podaci odnose mora najmanje da bude upoznat sa identitetom rukovaoca i svrhom obrade za koju su namenjeni podaci o ličnosti. Ne smatra se da je pristanak dat dobrovoljno ako lice na koje se podaci odnose nema istinski ili slobodan izbor ili ako nije u mogućnosti da odbije ili povuče pristanak bez posledica.
(43) da bi se osiguralo pristanak bude dat dobrovoljno, pristanak ne sme da obezbeđuje valjanu pravnu osnovu za obradu podataka o ličnosti u konkretnom slučaju kada postoji jasna neravnoteža između lica na koje se podaci odnose i rukovaoca, posebno ako je rukovalac organ vlasti i zbog toga pristanak verovatno nije dat dobrovoljno uzimajući u obzir sve okolnosti te konkretne situacije. Smatra se da pristanak nije dat dobrovoljno ako se njim ne omogućava davanje odvojenog pristanka za različite radnje obrade podataka, iako je primeren u pojedinačnom slučaju ili ako izvršenje ugovora, uključujući i pružanje usluge, zavisi od pristanka iako takav pristanak nije neophodan za takvo izvršenje.
(44) obrada treba da se smatra zakonitom ako je neophodna u kontekstu ugovora ili namere da se ugovor zaključi.
(45) ako se obrada vrši u skladu sa pravnim obavezama koje se primenjuju na rukovaoca ili ako je obrada potrebna za izvršavanje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja, obrada mora da se zasniva na pravu Unije ili pravu države članice. Ovom uredbom se ne zahteva zakon propis za svaku pojedinačnu obradu. Jedan zakon kao osnova za više radnji obrade, koje se zasnivaju na pravnoj obavezi koja se primenjuje na rukovaoca ili ako je obrada potrebna za izvršavanje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja, može da bude dovoljan. Pravom Unije ili pravom države članice takođe treba da se odredi svrha obrade. Pored toga, tim zakonom bi mogli da se utvrde opšti uslovi ove uredbe kojima se uređuje zakonitost obrade podataka o ličnosti, utvrde specifikacije za određivanje rukovaoca, vrste podataka o ličnosti koji mogu da se obrađuju, lica na koje se podaci odnose, subjekata kojima podaci o ličnosti mogu da se otkrivaju, ograničavanje svrhe, rok čuvanja i druge mere za obezbeđivanje zakonite i pravične obrade. Pravom Unije ili pravom države članice takođe treba odrediti da li rukovalac koji izvršava zadatak koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja treba da bude organ vlasti ili drugo fizičko ili pravno lice na koje se primenjuje javno pravo ili, u slučaju da je to u javnom interesu, između ostalog u zdravstvene svrhe kao što su javno zdravlje i socijalna zaštita i upravljanje službama za zdravstvenu zaštitu, privatno pravo, kao što je strukovno udruženje,.
(46) obrada podataka o ličnosti takođe mora da se smatra zakonitom ako je potrebna za zaštitu vitalnog interesa za očuvanje života lica na koje se podaci odnose ili drugog fizičkog lica. Obrada podataka o ličnosti zasnovana na vitalnim interesima drugog fizičkog lica u načelu sme da se vrši samo ako se obrada očigledno ne može da se zasniva na drugoj pravnoj osnovi. Neke vrste obrade mogu da služe kako za važne potrebe javnog interesa, tako i za vitalne interese lica na koje se podaci odnose kao, na primer, u slučaju kada je obrada potrebna za humanitarne svrhe, između ostalog za praćenje epidemija i njihovog širenja ili u humanitarnim krizama, a posebno u slučajevima prirodnih katastrofa i katastrofa uzrokovanih ljudskim delovanjem.
(47) legitimni interesi rukovaoca, uključujući i one interese rukovaoca kojem se podaci o ličnosti mogu otkriti, ili trećeg lica, mogu da predstavljaju pravnu osnovu za obradu, pod uslovom da interesi ili osnovna prava i slobode lica na koje se podaci odnose nisu preovlađujući, uzimajući u obzir razumna očekivanja lica na koje se podaci odnose zasnovana na njihovom odnosu sa rukovaocem podataka. Takav legitiman interes bi mogao na primer da postoji u slučaju relevantnog i odgovarajućeg odnosa između lica na koje se podaci odnosa i rukovaoca u situacijama kao što je situacija kada je lice na koje se podaci odnose klijent rukovaoca ili u njegovoj službi. U svakom slučaju postojanje legitimnog interesa bi zahtevalo pažljivu procenu, uključujući i procenu da li lice na koje se podaci odnose može prilikom i u kontekstu prikupljanja podataka o ličnosti razumno da očekuje obradu u tu svrhu. Interesi i osnovna prava lica na koje se podaci odnose mogu posebno da preovlađuju nad interesom rukovaoca ako se podaci o ličnosti obrađuju u okolnostima u kojima lica na koja se podaci odnose razumno ne očekuju dalju obradu. S obzirom na to da je zakonodavac dužan zakonski da odredi pravnu osnovu za obradu podataka o ličnosti koju vrše organi vlasti, ta pravna osnova ne treba da se primenjuje na obradu koju vrše organi vlasti prilikom izvršavanja svojih zadataka. Obrada podataka o ličnosti koja je strogo neophodna u svrhe sprečavanja prevara takođe predstavlja legitiman interes rukovaoca. Može da se smatra da postoji legitiman interes kod obrade podataka o ličnosti za potrebe direktnog marketinga.
(48) rukovaoci podataka koji su deo grupe povezanih društava ili institucija povezanih sa centralnim telom mogu da imaju legitimni interes u prenosu podataka o ličnosti unutar grupe povezanih društava za unutrašnje administrativne potrebe, uključujući i obradu podataka o ličnosti klijenata ili zaposlenih. Opšta načela za prenos podataka o ličnosti unutar grupe povezanih društava određenom društvu koje se nalazi u trećoj zemlji ostaju nepromenjena.
(49) obrada podataka o ličnosti u meri koja je strogo neophodna i srazmerna za potrebe obezbeđivanja bezbednosti mreže i informacija, odnosno sposobnosti mreže ili informacionog sistema da se na datom stepenu poverljivosti odupre slučajnim događajima ili nezakonitim ili malicioznim radnjama koje ugrožavaju dostupnost, autentičnost, integritet i poverljivost podataka o ličnosti koji se čuvaju ili prenose i bezbednost povezanih usluga koje nude te mreže i sistemi ili su dostupne preko njih, koju vrše organi vlasti, timovi za hitne računarske intervencije (CERT), timovi za odgovor na računarske bezbednosne incidente (CSIRT), pružaoci elektronskih komunikacionih mreža i usluga i pružaoci bezbednosnih tehnologija i usluga predstavlja legitimni interesom rukovaoca. To može, na primer, da uključuje sprečavanje neovlašćenog pristupa elektronskim komunikacionim mrežama i širenja malicioznih kodova i zaustavljanje napada „uskraćivanjem usluge” i sprečavanje štete na računarskim sistemima i elektronskim komunikacionim sistemima.
(50) obrada podataka o ličnosti u svrhe različite od svrha za koje su podaci prvobitno prikupljeni može da bude dozvoljena samo ako je obrada usklađena sa svrhama za koje su podaci o ličnosti prvobitno prikupljeni. U takvom slučaju nije potrebna pravna osnova odvojena od osnove kojom je dozvoljeno prikupljanje podataka o ličnosti. Ako je obrada neophodna za izvršavanje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodeljenih rukovaocu podataka, pravom Unije ili pravom države članice mogu da se utvrde i odrede zadaci i svrhe za koje će se dalja obrada smatrati usklađenom i zakonitom. Dalja obrade u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe treba smatrati usklađenim zakonitim radnjama obrade. Pravna osnova koja se predviđa pravom Unije ili pravom države članice za obradu podataka o ličnosti takođe može da predstavlja pravnu osnovu za dalju obradu. Da bi se utvrdilo da li je svrha dalje obrade usklađena sa svrhom u koju su podaci o ličnosti prvobitno prikupljeni, rukovalac nakon ispunjavanja svih zahteva za zakonitost prvobitne obrade treba, između ostalog, da uzme u obzir: svaku vezu između tih svrha i svrha nameravane dalje obrade; kontekst u kojem su podaci o ličnosti prikupljeni, posebno opravdana očekivanja lica na koje se podaci odnose zasnovana na njihovom odnosu sa rukovaocem podataka u pogledu daljeg korišćenja podataka; prirodu podataka o ličnosti; posledice nameravane dalje obrade za lica na koje se podaci odnose; i postojanje primerenih mera zaštite u radnjama kako prvobitne, tako i nameravane dalje obrade. Ako je lice na koje se podaci odnose dalo pristanak ili je obrada zasnovana na pravu Unije ili pravu države članice koje predstavlja neophodnu i srazmernu meru u demokratskom društvu, posebno za zaštitu važnih ciljeva od opšteg javnog interesa, rukovaocu podataka treba dozvoliti dalju obradu podataka o ličnosti bez obzira na usklađenost svrha. U svakom slučaju treba obezbediti primenu načela iz ove uredbe, a posebno informisati lice na koje se podaci odnose o tim drugim svrhama i o njegovim pravima, uključujući i pravo na prigovor. Ukazivanje rukovaoca na moguća krivična dela ili pretnje za javnu bezbednost i prenos relevantnih podataka o ličnosti nadležnom organu u pojedinačnim slučajevima ili u više slučajeva koji se odnose na isto krivično delo ili pretnje za javnu bezbednost treba smatrati legitimnim interesom rukovaoca. Međutim, takav prenos u legitimnom interesu rukovaoca ili dalju obradu podataka o ličnosti treba zabraniti ako obrada nije u skladu s pravnim, profesionalnim ili drugim obavezujućim dužnostima poštovanja tajnosti.
(51) podaci o ličnosti koji su po svojoj prirodi posebno osetljivi u pogledu osnovnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo da dođe do značajnih rizika za osnovna prava i slobode. Ti podaci o ličnosti moraju da obuhvataju podatke o ličnosti koji otkrivaju rasno ili etničko poreklo, pri čemu upotreba termina „rasno poreklo” u ovoj uredbi ne podrazumeva da Unija prihvata teorije koje pokušavaju da odrede postojanje odvojenih ljudskih rasa. Obradu fotografija ne treba sistematski smatrati obradom posebnih kategorija podataka o ličnosti jer su one obuhvaćene definicijom biometrijskih podataka samo prilikom obrade posebnim tehničkim sredstvima koja omogućavaju jedinstvenu identifikaciju ili autentifikaciju fizičkog lica. Takvi podaci o ličnosti ne smeju da se obrađuju, osim ako je obrada dozvoljena u posebnim slučajevima koji su propisani u ovoj uredbi, uzimajući u obzir da pravom država članica mogu da budu propisane posebne odredbe o zaštiti podataka kako bi se primena pravila iz ove uredbe prilagodila radi poštovanja zakonske obaveze ili za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodeljenih rukovaocu. Pored posebnih zahteva za takvu obradu, treba primenjivati opšta načela i druga pravila iz ove uredbe, posebno u vezi sa uslovima za zakonitu obradu. Odstupanja od opšte zabrane obrade takvih posebnih kategorija podataka o ličnosti mora da bude izričito propisana, između ostalog ako je lice na koje se podaci odnose dalo svoj izričit pristanak ili u vezi sa posebnim potrebama, posebno ako se obrada vrši u okviru legitimnih aktivnosti određenih udruženja ili fondacija čiji je cilj da se dozvoli ostvarivanje osnovnih sloboda.
(52) odstupanje od zabrane obrade posebnih kategorija podataka o ličnosti takođe treba da bude dozvoljena kada je to predviđeno pravom Unije ili pravom države članice i uz primenu odgovarajućih mera zaštite, radi zaštite podataka o ličnosti i drugih osnovnih prava, ako je u javnom interesu da se to učini, posebno u slučaju obrade podataka o ličnosti u oblasti prava zapošljavanja, prava socijalnog osiguranja, uključujući i penzije i za potrebe zdravstvene zaštite, praćenja i uzbunjivanja, sprečavanja ili kontrole zaraznih bolesti i drugih ozbiljnih pretnji za zdravlje. Takvo se odstupanje može da se napravi u zdravstvene svrhe, uključujući i javno zdravlje i upravljanje zdravstvenim uslugama, posebno kako bi se obezbedio kvalitet i isplativost postupaka koji se koriste za rešavanje zahteva za davanjima i uslugama u sistemu zdravstvenog osiguranja ili u svrhe arhiviranja u javnom interesu, u svrhe naučnih ili istorijskih istraživanja ili u statističke svrhe. Odstupanjem bi takođe trebalo omogućiti obradu takvih podataka o ličnosti ako je to neophodni za uspostavljanje, ostvarivanje ili odbranu pravnih zahteva, bez obzira na to da li je u pitanju sudski ili upravni postupak ili vansudski postupak.
(53) posebne kategorije podataka o ličnosti koje zaslužuju veći stepen zaštite treba obrađivati u zdravstvene samo ako je to neophodno za ostvarivanja tih svrha u korist fizičkih lica i društva u celini, a posebno u kontekstu upravljanja uslugama i sistemima zdravstvene ili socijalne zaštite, uključujući i obradu takvih podataka koju u svrhu kontrole kvaliteta, informacija o upravljanju i opšteg nacionalnog i lokalnog nadzora sistema zdravstvene ili socijalne zaštite vrše uprava i centralni nacionalni organi nadležni za zdravstvo, i u cilju obezbeđivanja kontinuiteta zdravstvene ili socijalne zaštite i prekogranične zdravstvene zaštite ili zdravstvene bezbednosti, nadzora i uzbunjivanja, ili u svrhe arhiviranja u javnom interesu, u svrhe naučnih ili istorijskih istraživanja ili u statističke svrhe zasnovane na pravu Unije ili pravu države članice i čime treba ostvariti cilj od javnog interesa, kao i za studije koje se vrše u javnom interesu u oblasti javnog zdravlja. Zbog toga ovom uredbom treba da se utvrde usklađeni uslovi za obradu posebnih kategorija podataka o ličnosti koji se odnose na zdravlje, za posebne potrebe, posebno kada obradu takvih podataka za određene zdravstvene svrhe vrše lica koje moraju da poštuju zakonsku obavezu čuvanja poslovne tajne. Pravo Unije ili pravo države članice treba da propisuje specifične i primerene mere za zaštitu osnovnih prava i podataka o ličnosti fizičkih lica. Državama članicama treba omogućiti da zadrže ili uvedu dodatne uslove, uključujući ograničenja, u vezi sa obradom genetskih podataka, biometrijskih podataka ili podataka o zdravstvenom stanju. Međutim, to ne sme da ometa slobodan protok podataka o ličnosti unutar Unije ako se ti uslovi primenjuju na prekograničnu obradu takvih podataka.
(54) obrada posebnih kategorija podataka o ličnosti može da bude neophodna zbog javnog interesa u oblasti javnog zdravlja bez pristanka lice na koje se podaci odnose. Na takvu obradu moraju da se primenjuju primerene i specifične mere da bi se zaštitila prava i slobode fizičkih lica. U tom kontekstu „javno zdravlje” treba tumačiti prema definiciji iz Uredbe (EZ) br. 1338/2008 Evropskog parlamenta i Saveta (11), što znači svi elementi povezani sa zdravljem, tj. zdravstvenim stanjem, uključujući morbiditet i invaliditet, determinante koje utiču na zdravstveno stanje, potrebe zdravstvene zaštite, sredstva dodeljena za zdravstvenu zaštitu, pružanje zdravstvene zaštite i opštu dostupnost zdravstvene zaštite, kao i troškovi i finansiranje zdravstvene zaštite i uzroci mortaliteta. Takva obrada podataka o zdravstvenom stanju za potrebe javnog interesa ne sme da prouzrokuje obradu podataka o ličnosti u druge od strane trećih lica kao što su poslodavci ili osiguravajuća društva i banke.
(55) se, pored toga, obrada podataka o ličnosti koju na osnovu odredaba ustavnog prava ili međunarodnog javnog prava vrše službeni organi radi ostvarivanja ciljeva zvanično priznatih verskih udruženja, vrši na osnovu javnog interesa.
(56) ako u toku izbornih aktivnosti delovanje demokratskog sistema u državi članici zahteva da političke stranke prikupljaju podatke o ličnosti o političkim mišljenjima ljudi, obrada takvih podataka može da bude dozvoljena iz razloga javnog interesa, pod uslovom da se uspostave odgovarajuće zaštitne mere.
(57) ako rukovalac ne može da odredi identitet fizičkog na osnovu podataka o ličnosti koje obrađuje, rukovalac ne treba da ima obavezu da prikuplja dodatne informacije kako bi odredio identitet lica na koje se podaci odnose isključivo radi poštovanja bilo koje odredbe ove uredbe. Međutim, rukovalac ne sme da odbije dodatne informacije koje je pružilo lice na koje se podaci odnose kako bi podržalo ostvarivanje svojih prava. Identifikacija treba da obuhvata digitalnu identifikaciju lica na koje se podaci odnose, na primer putem mehanizma autentifikacije kao što su isti podaci koje lice na koje se podaci odnose koristi da bi se prijavilo za onlajn usluge koje nudi rukovalac.
(58) načelo transparentnosti zahteva da svaka informacija namenjena javnosti ili licu na koje se podaci odnose bude sažeta, lako dostupna i razumljiva, da se upotrebljava jasan i jednostavan jezik i, pored toga, da se, prema potrebi, koristi vizualizacija. Takve informacije mogu da se daju u elektronskom obliku, na primer na internet stranama, kada su namenjene javnosti. To je od posebnog značaja u situacijama kada zbog velikog broja aktera i tehnološke složenosti prakse lice na koje se podaci odnose ne može lako da prepozna i razume da li se prikupljaju njegovi podaci o ličnosti, ko ih prikuplja i u koju svrhu, kao što je slučaj oglašavanja na internetu. Imajući u vidu da deca zaslužuju posebnu zaštitu, svaka informacija i komunikacija, u slučaju kada je obrada usmerena prema detetu, treba da bude na jasnom i jednostavnom jeziku koji dete može lako da razume.
(59) bi trebalo obezbediti modalitete kojima se olakšava ostvarivanje prava lica na koje se podaci odnose iz ove uredbe, uključujući i mehanizme za podnošenje zahteva i, ukoliko je primenljivo, posebno, besplatno ostvarivanje zahteva za pristup podacima o ličnosti, njihovo ispravljanje ili brisanje i ostvarivanje prava na prigovor. Rukovalac takođe mora da obezbedi sredstva za elektronsko podnošenje zahteva, posebno ako se podaci o ličnosti obrađuju elektronski. Rukovalac mora da ima obavezu da odgovori na zahtev lica na koje se podaci odnose bez nepotrebnog odlaganja, a najkasnije u roku od mesec dana i da iznese razloge ako rukovalac ne namerava da ispuni bilo koji takav zahtev.
(60) načela pravične i transparentne obrade zahtevaju da lice na koje se podaci odnose bude informisano o radnji obrade i njenim svrhama. Rukovalac mora da pruži licu na koje se podaci odnose da pruži sve dodatne informacije neophodne za obezbeđivanje pravične i transparentne obrade uzimajući u obzir konkretne okolnosti i kontekst obrade podataka o ličnosti. Pored toga, lice na koje se podaci odnose mora da bude informisano o postojanju profilisanja i posledicama takvog profilisanja. Kada se podaci o ličnosti prikupljaju od lica na koje se podaci odnose, lice na koje se podaci odnose takođe treba obavestiti o tome da li ima obavezu da pruži podatke o ličnosti i o posledicama ako ne pruži takve podatke. Ove informacije mogu da se pruže u kombinaciji sa standardizovanim ikonama kako bi se na lako vidljiv, razumljiv i jasno čitljiv način pružio sadržajan pregled nameravane obrade. Kada su ikone predstavljene elektronski, moraju da budu mašinski čitljive.
(61) licu na koje se podaci odnose prilikom prikupljanja podataka treba dati informacije o obradi podataka o ličnosti koji se odnose na njega, ili ako se podaci o ličnosti ne uzimaju od lica na koje se podaci odnose već su prikupljeni iz drugog izvora, u prihvatljivom roku u zavisnosti od okolnostima slučaja. Ako podaci o ličnosti mogu legitimno da se otkriju drugom korisniku, lice na koje se podaci odnose treba obavestiti kada se podaci o ličnosti prvi put otkrivaju korisniku. Ako rukovalac namerava da obrađuje podatke o ličnosti u svrhu koja je drugačija od svrhe u koju su prikupljeni, rukovalac mora pre te dalje obrade da pruži licu na koje se podaci odnose informacije o toj drugoj svrsi i druge potrebne informacije. Ako licu na koje se podaci odnose ne može da se otkrije poreklo podataka o ličnosti jer su korišćeni razni izvori, treba pružiti opšte informacije.
(62) obaveza pružanja informacija ipak nije neophodna ako lice na koje se podaci odnose već poseduje te informacije, ako je evidentiranje ili otkrivanje podataka o ličnosti izričito propisano zakonom ili ako je pružanje informaciju lice na koje se podaci odnose nemoguće ili bi zahtevalo nesrazmeran napor. Nemogućnost pružanja informacija ili zahtevanje nesrazmernog napora bi posebno moglo da javi ako se obrada vrši u svrhe arhiviranja u javnom interesu, u svrhe naučnih ili istorijskih istraživanja ili u statističke svrhe. U tom smislu treba razmotriti broj lica na koje se podaci odnose, starost podataka i bilo koje druge usvojene primerene zaštitne mere.
(63) lice na koje se podaci odnose mora da ima pravo pristupa prikupljenim podacima o ličnosti koji se na njega odnose i da ostvaruje to pravo lako i u prihvatljivim intervalima kako bi bilo svesno obrade i proverilo njenu zakonitost. To obuhvata pravo lica na koje se podaci odnose na pristup podacima o njegovom zdravstvenom stanju, na primer podacima u medicinskoj dokumentaciji koja sadrži informacije kao što su dijagnoze, rezultati pregleda, mišljenja lekara i svako lečenje ili intervencije. Svako lice na koje se podaci odnose zbog toga posebno mora da ima pravo da zna i dobije obaveštenje o svrhama obrade podataka o ličnosti, ako je moguće o periodu u kojem se podaci o ličnosti obrađuju, o korisnicima podataka o ličnosti, o logici automatske obrade podataka o ličnosti i, barem kada je obrada zasnovana na profilisanju, o posledicama takve obrade. Ukoliko je moguće, rukovalac mora da bude u mogućnosti da obezbedi pristup zaštićenom sistemu na daljinu koji bi licu na koje se podaci odnose omogućio neposredan pristup njegovim podacima o ličnosti. To pravo ne sme negativno da utiče na prava ili slobode drugih, uključujući i poslovne tajne ili intelektualnu svojinu, a posebno na autorsko pravo kojim je zaštićen softver. Međutim, rezultat tih razmatranja ne sme da bude odbijanje da se licu na koje se podaci odnose pruže sve informacije. Ako rukovalac obrađuje velike količine informacija u vezi sa licem na koje se podaci odnose, rukovalac mora da bude u mogućnosti da pre dostavljanja informacija zahteva od lica na koje se podaci odnose da navede informacije ili aktivnosti obrade na koje se zahtev odnosi.
(64) rukovalac mora da koristi sve prihvatljive mere da bi odredio identitet lica na koje se podaci odnose koje traži pristup, a posebno u okviru internet usluga i mrežnih identifikatora. Rukovalac ne sme da čuva podatke o ličnosti samo da bi mogao da odgovori na moguće zahteve.
(65) lice na koje se podaci odnose mora da ima pravo na ispravku podataka o ličnosti koji se na njega odnose i „pravo na zaborav” ako zadržavanje takvih podataka krši ovu uredbu ili pravo Unije ili pravo države članice koje se primenjuje na rukovaoca. Lica na koje se podaci odnose posebno moraju da imaju pravo da se njihovi podaci o ličnosti obrišu i više ne obrađuju ako ti podaci o ličnosti više nisu potrebni za svrhe u koju su prikupljeni ili na druge načine obrađivani, ako su lica na koje se podaci odnose povukla svoj pristanak ili ako daju prigovor na obradu podataka o ličnosti koji se odnose na njih ili ako obrada njihovih podataka o ličnosti na druge načine nije u skladu s ovom uredbom. Ovo pravo je posebno od značaja ako je lice na koje se podaci odnose dalo svoj pristanak dok je bilo dete i nije bio u potpunosti svesno rizika obrade, a kasnije želi da ukloni takve podatke o ličnosti, posebno na internetu. Lice na koje se podaci odnose treba da bude u mogućnosti da ostvari to pravo bez obzira na činjenicu da više nije dete. Međutim, dalje zadržavanje podataka o ličnosti treba da bude zakonito ako je neophodno za ostvarivanje prava na slobodu izražavanja i informisanja, radi poštovanja zakonskih obaveza, za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodeljenih rukovaocu podataka, na osnovu javnog interesa u oblasti javnog zdravlja, u svrhe arhiviranja od javnog interesa, u svrhe naučnih ili istorijskih istraživanja, u statističke svrhe ili za uspostavljanje, ostvarivanje ili odbranu pravnih zahteva.
(66) u cilju jačanja „prava na zaborav” u internetskom okruženju, pravo na brisanje takođe treba da bude prošireno tako da rukovalac koji je objavio podatke o ličnosti ima obavezu da obavesti rukovaoce podataka koji takve podatke o ličnosti obrađuju da obrišu sve linkove za te podatke o ličnosti ili kopije ili rekonstrukcije tih podataka o ličnosti. Tom prilikom rukovalac mora da preduzme prihvatljive mere, uzimajući u obzir dostupnu tehnologiju i sredstva dostupna rukovaocu podataka, uključujući i tehničke mere, da obavesti rukovaoce podataka koji obrađuju podatke o ličnosti o zahtevu lica na koje se podaci odnose.
(67) metodi kojima se ograničava obrada podataka o ličnosti mogu, između ostalog, da uključuju privremeno premeštanje odabranih podataka u drugi sistem obrade, činjenje odabranih podataka nedostupnim za korisnike ili privremeno uklanjanje objavljenih podataka sa internet strane. U automatizovanim sistemima pohranjivanja ograničavanje obrade u načelu bi trebalo obezbediti tehničkim sredstvima tako da podaci o ličnosti ne budu predmet daljih obrada i da ne mogu da se menjaju. Činjenicu da je obrada podataka o ličnosti ograničena treba jasno navesti u sistemu.
(68) u cilju dodatnog jačanja kontrole nad svojim podacima, kada se obrada o ličnosti vrši automatski, licu na koje se podaci odnose takođe treba dozvoliti da podatke o ličnosti koji se odnose na njega, a koje je dao rukovaocu podataka dobije u strukturiranim, uobičajenim, mašinski čitljivim i interoperabilnim formatima i da ih prenese drugom rukovaocu podataka. Rukovaoce podataka treba podsticati da razvijaju interoperabilne formate koji omogućavaju prenosivost podataka. To pravo treba primenjivati u slučajevima kad je lice na koje se podaci odnose podatke o ličnosti dalo na osnovu pristanka ili kad je obrada neophodna za izvršenje ugovora. To pravo ne sme da se primenjuje ako je obrada zasnovana na drugoj pravnoj osnovi koja nije pristanak ili ugovor. Po svojoj prirodi to pravo ne može da se ostvari u slučaju kada rukovaoci podataka obrađuju podatke o ličnosti u okviru svojih javnih dužnosti. Zbog toga ono ne bi smelo da se primenjuje ako je obrada podataka o ličnosti neophodna za poštovanje zakonske obaveze rukovaoca ili za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodeljenih rukovaocu. Pravo lica na koje se podaci odnose na prenos ili primanje podataka o ličnosti koji se odnose na njega ne treba da obavezuje rukovaoca da koristi ili održava tehnički kompatibilne sisteme za obradu. Ako se određeni skup podataka o ličnosti odnosi na više lica na koje se podaci odnose, pravo na primanje tih podataka o ličnosti ne sme da dovodi u pitanje prava i sloboda ostalih lice na koje se podaci odnose u skladu s ovom uredbom. Pored toga, to pravo takođe ne sme da dovodi u pitanje pravo lica na koje se podaci odnose na brisanje podataka o ličnosti, kao i ograničenja tog prava, kako je propisano u ovoj uredbi, a posebno ne sme da podrazumeva brisanje podataka o ličnosti lica na koje se podaci odnose, koje je to lice dostavilo u svrhu izvršavanja ugovora, ako i dok su ti podaci o ličnosti potrebni za izvršavanje tog ugovora. Ako je tehnički izvodljivo, lice na koje se podaci odnose treba da ima pravo da se njegovi podaci o ličnosti prenose neposredno od jednog rukovaoca do drugog.
(69) ako bi podaci o ličnosti mogli zakonito da se obrađuju jer je obrada neophodna za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodeljenih rukovaocu ili na osnovu legitimnih interesa rukovaoca ili trećeg lica, svako lice na koje se podaci odnose bi ipak trebalo da ima pravo na prigovor na obradu bilo kojih podataka o ličnosti u vezi sa njegovom konkretnom situacijom. Rukovalac mora da dokaže da njegovi uverljivi legitimni interesi preovlađuju nad interesima osnovnih prava i sloboda lica na koje se podaci odnose.
(70) ako se podaci o ličnosti obrađuju za potrebe direktnog marketinga, lice na koje se podaci odnose mora da ima pravo na prigovor na takvu obradu, uključujući i profilisanje ako je povezano sa takvim direktnim marketingom, u odnosu na početnu ili dalju obradu, u bilo kojem trenutku i besplatno. Lice na koje se podaci odnose mora da bude izričito upoznato s postojanjem tog prava i ono mora da mu bude predočeno jasno i odvojeno od svih drugih informacija.
(71) lice na koje se podaci odnose mora da ima pravo da se na njega ne odnosi odluka, što može da obuhvata meru, kojom se procenjuju lični aspekti u vezi sa njim i koja je zasnovana isključivo na automatskoj obradi i proizvodi pravne efekte koji se odnose na njega ili na sličan način značajno utiče na njega, kao što je automatsko odbijanje zahteva za kredit putem interneta ili prakse zapošljavanja putem interneta bez bilo kakve ljudske intervencije. Takva obrada uključuje „profilisanje” koje se sastoji od svakog oblika automatske obrade podataka o ličnosti kojom se procenjuju lični aspekti u vezi sa fizičkim licem, posebno za analizu ili predviđanje aspekata učinka lica na koje se podaci odnose na poslu, njegovog ekonomskog stanja, zdravlja, ličnih sklonosti ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja ako proizvodi pravne efekte koji se odnose na lice na koje se podaci odnose ili na sličan način značajno utiče na njega. Međutim, donošenje odluka zasnovano na takvoj obradi, uključujući i profilisanje, treba da bude dozvoljeno ako je izričito odobreno pravom Unije ili pravom države članice koje se primenjuje na rukovaoca, između ostalog u svrhe praćenja i sprečavanja prevare i utaje poreza koje se obavlja u skladu sa propisima, standardima i preporukama institucija Unije ili nacionalnih nadzornih organa i obezbeđivanja bezbednosti i pouzdanosti usluge koju pruža rukovalac ili ako je neophodno za zaključivanje ili izvršavanje ugovora između lica na koje se podaci odnosa i rukovaoca ili kada je lice na koje se podaci odnose izričito dalo svoj pristanak. U svakom slučaju, na takve obrade moraju da se primenjuju odgovarajuće zaštitne mere, koje bi trebale da obuhvataju davanje određenih informacija licu na koje se podaci odnose i pravo na ljudsku intervenciju, pravo na izražavanje svog mišljenja, na dobijanje pojašnjenja odluke donete nakon takve procene i pravo na osporavanje odluke. Takve mere ne smeju da se odnose na decu. U cilju obezbeđivanja pravične i transparentne obrade podataka u odnosu na lice na koje se podaci odnose, uzimajući u obzir konkretne okolnosti i kontekst u kojem se podaci o ličnosti obrađuju, rukovalac treba da koristi odgovarajuće matematičke i statističke postupke za profilisanje, da sprovodi odgovarajuće tehničke i organizacione mere kako bi se posebno osiguralo da budu ispravljeni faktori koji dovode do netačnosti u podacima o ličnosti i da rizik od pojave pogrešaka bude sveden na najmanju moguću meru, da obezbedi podatke o ličnosti tako što će uzeti u obzir potencijalne rizike za interese i prava lica na koje se podaci odnose i tako da se, između ostalog, spreče diskriminatorski efekti na fizička lica na osnovu rasnog ili etničkog porekla, političkog mišljenja, vere ili uverenja, članstva u sindikatu, genetskog ili zdravstvenog stanja ili seksualne orijentacije, ili na načina na osnovu kojeg se preduzimaju mere koje imaju takav efekat. Donošenje automatskih odluka i profilisanje na osnovu posebnih kategorija podataka o ličnosti može da bude dozvoljeno samo pod posebnim uslovima.
(72) se na profilisanje primenjuju pravila ove uredbe kojima se uređuje obrada podataka o ličnosti, kao što su pravna osnova obrade ili načela zaštite podataka. Evropski odbor za zaštitu podataka osnovan ovom uredbom („Odbor”) treba da ima mogućnost da izdaje smernice u tom kontekstu.
(73) pravom Unije ili pravom države članice mogu da se uvedu ograničenja u vezi sa posebnim načelima i pravom na informacije, pristup i ispravku ili brisanje podataka o ličnosti, pravom na prenosivost podataka, pravom na prigovor, odlukama zasnovanim na profilisanju, kao i obaveštavanjem lica na koje se podaci odnose o povredi bezbednosti podataka o ličnosti i određenim povezanim obavezama rukovaoca, ako je neophodno i srazmerno u demokratskom društvu kako bi se zaštitila javna bezbednost, uključujući i zaštitu ljudskog života posebno kao odgovor na prirodne katastrofe ili katastrofe koje je izazvao čovek i sprečavanje, istragu i gonjenje krivičnih dela ili izvršenje krivičnih sankcija, uključujući i zaštitu od pretnji za javnu bezbednost i njihovo sprečavanje ili povrede etike zakonski regulisanim profesijama, kako bi se zaštitili drugi važni ciljevi koji su od opšteg javnog interesa Unije ili države članice, a posebno značajni ekonomski ili finansijski interes Unije ili države članice, vođenje javnih registara u svrhu opšteg javnog interesa, dalja obrada arhiviranih podataka o ličnosti za potrebe pružanja posebnih informacija u vezi sa političkim ponašanjem za vreme bivših totalitarnih državnih režima ili zaštita lica na koje se podaci odnose ili prava i sloboda drugih, između ostalog u svrhu socijalne zaštite, javnog zdravlja i u humanitarne svrhe. Ta ograničenja moraju da budu u skladu sa zahtevima koji su utvrđeni u Povelji i Evropskoj konvenciji za zaštitu ljudskih prava i osnovnih sloboda.
(74) bi trebalo uspostaviti dužnosti i odgovornosti rukovaoca za svaku obradu podataka o ličnosti koju vrši sam rukovalac ili koja se vrši u ime rukovaoca. Posebno, rukovalac mora da ima obavezu sprovođenja odgovarajućih i delotvornih mera i da bude u mogućnosti da dokaže usklađenost aktivnosti obrade sa ovom uredbom, uključujući i delotvornost mera. Te mere moraju da uzimaju u obzir prirodu, obim, kontekst i svrhe obrade i rizik za prava i slobode fizičkih lica.
(75) rizik za prava i obaveze fizičkih lica, različite verovatnoće i ozbiljnosti, može da nastane iz obrade podataka o ličnosti koja bi mogla da prouzrokuje fizičku, materijalnu ili nematerijalnu štetu, a posebno: ako ta obrada može da dovede do diskriminacije, krađe identiteta ili prevare, finansijskog gubitka, štete za ugled, gubitka poverljivosti podataka o ličnosti zaštićenih poslovnom tajnom, neovlašćenog obrnutog postupka pseudonimizacije, ili bilo koje druge značajne ekonomske ili društvene štete; ako lica na koja se podaci odnose mogu da budu uskraćena za svoja prava i slobode ili sprečena u vršenju kontrole nad svojim podacima o ličnosti; ako se obrađuju podaci o ličnosti koji otkrivaju rasno ili etničko poreklo, politička mišljenja, verska ili filozofska uverenja, članstvo u sindikatu i ako je u pitanju o obrada genetičkih podataka, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili krivičnim osudama i krivičnim delima ili povezane mere bezbednosti; ako se procenjuju lični aspekti, a posebno analiza ili predviđanje aspekata u vezi sa učinkom na poslu, ekonomskim stanjem, zdravljem, ličnim sklonostima ili interesima, pouzdanošću ili ponašanjem, lokacijom ili kretanjem, kako bi se napravili ili koristili lični profili; ako se obrađuju podaci o ličnosti ugroženih fizičkih lica, a posebno dece; ili ako obrada obuhvata veliku količinu podataka o ličnosti i utiče na veliki broj lica na koje se podaci odnose.
(76) verovatnoću i ozbiljnost rizika za prava i slobode lica na koje se podaci odnose treba određivati u odnosu na prirodu, obim, kontekst i svrhe obrade. Rizik treba ocenjivati na osnovu objektivne procene kojom se utvrđuje da li postupci obrade podataka uključuju rizik ili veliki rizik.
(77) uputstvo za sprovođenje odgovarajućih mera i za dokazivanje poštovanja odredaba od strane rukovaoca ili obrađivača, posebno u pogledu utvrđivanja rizika povezanog sa obradom, njihove procene u pogledu porekla, prirode, verovatnoće i ozbiljnosti i utvrđivanje najboljih praksi za umanjivanje rizika, posebno može da se pruži putem odobrenih kodeksa ponašanja, odobrenih sertifikacija, smernica Odbora ili napomenama ovlašćenog lica za zaštitu podataka. Odbor takođe može da izda smernice o radnjama obrade za koje se smatra da verovatno neće dovesti do velikog rizika za prava i slobode fizičkih lica i da navede koje mere u takvim slučajevima mogu da budu dovoljne za rešavanje takvog rizika.
(78) zaštita prava i sloboda fizičkih lica u odnosu na obradu podataka o ličnosti zahteva preduzimanje odgovarajućih tehničkih i organizacionih mera da bi se obezbedilo poštovanje uslova iz ove uredbe. U cilju dokazivanja usklađenosti sa ovom uredbom, rukovalac mora da usvoji interne politike i da sprovodi mere koje posebno ispunjavaju načela ugrađene ili podrazumevane zaštite podataka. Takve mere bi mogle, između ostalog, da se sastoje od svođenja obrade podataka o ličnosti na najmanju moguću meru, pseudonimizacije podataka o ličnosti što je pre moguće, transparentnosti u vezi sa funkcijama i obradom podataka o ličnosti, omogućavanja licu na koje se podaci odnose da prati obradu podataka, omogućavanja rukovaocu podataka da stvara i unapređuje bezbednosne karakteristike. Prilikom razvijanja, osmišljavanja, biranja i korišćenja aplikacija, usluga i proizvoda koji su zasnovani na obradi podataka o ličnosti ili obrađuju podatke o ličnosti kako bi ispunili svoju zadatak, proizvođače proizvoda, usluga i aplikacija treba podsticati da uzmu u obzir pravo na zaštitu podataka prilikom razvijanja i osmišljavanja takvih proizvoda, usluga i aplikacija i da, uzimajući u obzir najnoviji tehnološki razvoj, obezbede da rukovaoci i obrađivači budu u mogućnosti da ispune svoje obaveze u vezi sa zaštitom podataka. Načela ugrađene i podrazumevane zaštite podataka takođe treba uzeti u obzir u kontekstu javnih poziva za dostavljanje ponuda.
(79) zaštita prava i sloboda lica na koje se podaci odnose, kao i dužnost i odgovornost rukovalaca podataka i obrađivača, takođe i u vezi sa praćenjem i merama koje preduzimaju nadzorni organi, zahteva jasno dodeljivanje dužnosti u skladu s ovom uredbom, uključujući i slučajeve kada rukovalac podataka određuje svrhe i sredstva obrade zajedno sa drugim rukovaocima podataka ili kada se postupak obrade vrši u ime rukovaoca podataka.
(80) ako rukovalac ili obrađivač koji nema sedište u Uniji obrađuje podatke o ličnosti lica na koje se podaci odnose u Uniji, a njegove aktivnosti obrade su povezane sa nuđenjem robe ili usluga, bez obzira na to da li se od lica na koje se podaci odnose zahteva plaćanje, za takva lica na koje se podaci odnose u Uniji, ili za praćenje njihovog ponašanja ako se ono odvija u Uniji, rukovalac ili obrađivač moraju da imenuju predstavnika, osim ako se obrada vrši povremeno, ne uključuje obimnu obradu posebnih kategorija podataka o ličnosti ili obradu podataka o ličnosti koji se odnose na krivične osude i krivična dela i verovatno neće prouzrokovati rizik za prava i slobode fizičkih lica, uzimajući u obzir prirodu, kontekst, obuhvat i svrhe obrade ili ako je rukovalac podataka organ ili telo. Predstavnik treba da postupa u ime rukovaoca ili obrađivača i može da mu se obrati svaki nadzorni organ. Rukovalac ili obrađivač treba izričito putem pisanog ovlašćenja da imenuje predstavnika da postupa u njegovo ime u vezi sa obavezama rukovaoca podataka i obrađivača iz ove uredbe. Imenovanje takvog predstavnika ne utiče na dužnost ili odgovornost rukovaoca ili obrađivača iz ove uredbe. Takav predstavnik svoje zadatke mora da obavlja u skladu sa ovlašćenjem dobijenim od rukovaoca ili obrađivača, uključujući i saradnju sa nadležnim nadzornim organima u vezi sa svakom radnjom preduzetom radi obezbeđivanja poštovanja ove uredbe. Na imenovanog predstavnika treba primeniti postupak obezbeđivanja izvršenja zakonodavstva u slučaju da rukovalac ili obrađivač ne poštuju propise.
(81) u cilju obezbeđivanja poštovanja zahteva iz ove uredbe u vezi sa obradom koju vrši obrađivač u ime rukovaoca podataka, kada se obrađivaču poveravaju aktivnosti obrade, rukovalac podataka treba da angažuje samo obrađivače koji pružaju dovoljne garancije, posebno u pogledu stručnog znanja, pouzdanosti i resursa, za sprovođenje tehničkih i organizacionih mera koje će ispunjavati zahteve ove uredbe, uključujući i zahteve u vezi sa bezbednošću obrade. Poštovanje odobrenog kodeksa ponašanja ili odobrenog mehanizma sertifkacije od strane obrađivača može se koristi kao element za dokazivanje poštovanja obaveza rukovaoca podataka. Vršenje obrade od strane obrađivača treba da bude uređeno ugovorom ili drugim pravnim aktom u skladu sa pravom Unije ili pravom države članice, koji obrađivača obavezuje prema rukovaocu podataka, a u kojem su određeni predmet i trajanje obrade, priroda i svrhe obrade, vrsta podataka o ličnosti i kategorije lica na koje se podaci odnose, uzimajući u obzir konkretne zadatke i odgovornosti obrađivača u kontekstu obrade koja treba da se vrši i rizika za prava i slobode lica na koje se podaci odnose. Rukovalac podataka i obrađivač mogu da izaberu da koriste pojedinačni ugovor ili standardne ugovorne klauzule koje je ili neposredno usvojila Komisija ili ih je usvojio nadzorni organ u skladu s mehanizmom doslednosti, a zatim ih je usvojila Komisija. Nakon završetka obrade u ime rukovaoca podataka, obrađivač bi trebao, u zavisnosti od toga šta rukovalac podataka odluči, da vrati ili da obriše podatke o ličnosti, osim ako postoji obaveza čuvanja podataka o ličnosti u skladu sa pravom Unije ili pravom države članice koje se primenjuje na obrađivača.
82) u cilju dokazivanja usklađenosti sa ovom uredbom, rukovalac ili obrađivač treba da vodi evidenciju o aktivnostima obrade pod njegovom odgovornošću. Svaki rukovalac podataka i obrađivač mora da imaju obavezu da sarađuje sa nadzornim organom i da mu na zahtev omogući uvid u tu evidenciju da bi mogla da služi za praćenje tih postupaka obrade.
(83) u cilju očuvanja bezbednosti i sprečavanja obrade kojom se krši ova uredba, rukovalac ili obrađivač mora da proceni rizike povezane sa obradom i sprovede mere za umanjivanje tih rizika, kao što je enkripcija. Te mere moraju da obezbeđuju odgovarajući nivo bezbednosti, uključujući i poverljivost, uzimajući u obzir najnovija dostignuća i troškove realizacije u odnosu na rizike i prirodu podataka o ličnosti koje treba zaštititi. Prilikom procene rizika za bezbednost podataka treba razmotriti rizike koje predstavlja obrada podataka o ličnosti, kao što je slučajno ili nezakonito uništavanje, gubitak, izmena, neovlašćeno otkrivanje ili pristup podacima o ličnosti koji su preneti, koji se čuvaju ili su na drugi način obrađivani, što posebno može da dovede do fizičke, materijalne ili nematerijalne štete.
(84) u cilju poboljšanja usklađenosti sa ovom uredbom kada radnje obrade verovatno mogu da dovedu do velikog rizika za prava i slobode fizičkih lica, rukovalac podataka treba da bude odgovoran za vršenje procene uticaja na zaštitu podataka kako bi se posebno procenili izvor, priroda, specifičnost i ozbiljnost tog rizika. Ishod procene treba uzeti u obzir prilikom određivanja odgovarajućih mera koje treba preduzeti za dokazivanje da je obrada podataka o ličnosti u skladu s ovom uredbom. Ako se u proceni uticaja na zaštitu podataka pokaže da radnje obrade uključuju veliki rizik koji rukovalac podataka ne može da ublaži odgovarajućim merama u pogledu dostupne tehnologije i troškova sprovođenja, pre obrade mora da se konsultuje nadzorni organ.
(85) povreda podataka o ličnosti, ako se ne rešava na odgovarajući način i blagovremeno, može da prouzrokuje fizičku, materijalnu ili nematerijalnu štetu za fizička lica, kao što su gubitak kontrole nad njihovim podacima o ličnosti ili ograničavanje njihovih prava, diskriminacija, krađa identiteta ili prevara, finansijski gubici, neovlašćeni obrnuti postupak pseudonimizacije, narušavanje ugleda, gubitak poverljivosti podataka o ličnosti zaštićenih poslovnom tajnom ili drugu značajnu ekonomsku ili društvenu štetu za to fizičko lice. Zbog toga, čim rukovalac podataka sazna da je došlo do povrede podataka o ličnosti, mora o tome da obavesti nadzorni organ bez nepotrebnog odlaganja i, ako je izvodljivo, najkasnije 72 časa nakon saznanja o toj povredi podataka o ličnosti, osim ako rukovalac podataka može da dokaže, u skladu sa načelom odgovornosti, da povreda podataka o ličnosti verovatno neće prouzrokovati rizik za prava i slobode fizičkih lica. Ako takvo obaveštavanje ne može da se dostavi u roku od 72 časa, uz obaveštenje treba dostaviti razloge kašnjenja, a informacije mogu da se pruže u fazama bez nepotrebnog daljeg odlaganja.
(86) rukovalac podataka mora bez nepotrebnog odlaganja da obavesti lice na koje se podaci odnose o povredi podataka o ličnosti ako će povreda podataka o ličnosti verovatno prouzrokovati veliki rizik za prava i slobode fizičkog lica, kako bi fizičko lice moglo da preduzme neophodne mere opreza. Obaveštenje mora da opisuje prirodu povrede podataka o ličnosti, kao i preporuke da bi fizičko lice moglo da ublaži potencijalne negativne posledice. Takvo obaveštenje treba da se pruži licima na koja se podaci odnose što je pre moguće i u bliskoj saradnji sa nadzornim organom, uz poštovanje njegovih uputstava ili uputstava drugih relevantnih organa, kao što su organi gonjenja. Na primer, o potrebi za ublažavanjem neposrednog rizika od štete treba odmah obavestiti lica na koje se podaci odnose, dok u slučaju potrebe za sprovođenjem odgovarajućih mera protiv dalje ili slične povrede podataka o ličnosti može da bude opravdan duži rok za obaveštavanje.
(87) treba proveriti da li su preduzete sve odgovarajuće mere tehnološke zaštite i organizacione mere da bi se odmah utvrdilo da li je došlo do povrede podataka o ličnosti i da bi se odmah obavestio nadzorni organ i lice na koje se podaci odnose. Treba utvrditi činjenicu da li je obaveštenje dato bez nepotrebnog odlaganja posebno uzimajući u obzir prirodu i ozbiljnost povrede podataka o ličnosti i njene posledice i negativne efekte za lice na koje se podaci odnose. Takvo obaveštenje može da dovede do intervencije nadzornog organa u skladu sa njegovim zadacima i ovlašćenjima propisanim ovom uredbom.
(88) prilikom određivanja detaljnih pravila o formatu i postupcima koji se primenjuju na obaveštavanje o povredi podataka o ličnosti treba razmotriti okolnosti te povrede, između ostalog i da li su podaci o ličnosti bili zaštićeni odgovarajućim merama tehničke zaštite, koje efikasno ograničavaju verovatnoću zloupotrebe identiteta ili druge oblike zloupotrebe. Pored toga, takva pravila i postupci moraju da uzimaju u obzir legitimne interese organa gonjenja ako rano otkrivanje može nepotrebno da ometa istragu okolnosti povrede podataka o ličnosti.
(89) Direktiva 95/46/EZ predviđa opštu obavezu obaveštavanja nadzornih organa o obradi podataka o ličnosti. Ta obaveza stvara administrativno i finansijsko opterećenje, a ona nije u svim slučajevima doprinela poboljšanju zaštite podataka o ličnosti. Zbog toga bi trebalo ukinuti takve sveobuhvatne obaveze opšteg obaveštavanja i zameniti ih efikasnim postupcima i mehanizmima koji se umesto toga usredsređuju na one vrste radnje obrade koje verovatno mogu da prouzrokuju veliki rizik za prava i slobode fizičkih lica zbog svoje prirode, obuhvata, konteksta i svrha. Takve vrste radnji obrade mogu da budu posebno one koje uključuju korišćenje novih tehnologija ili koje predstavljaju nove vrste radnji obrade i kod kojih rukovalac podataka još nije izvršio procenu uticaja na zaštitu podataka ili koje postanu neophodne s obzirom na vreme koje je prošlo od prvobitne obrade.
(90) u takvim slučajevima, rukovalac podataka mora da izvrši procenu uticaja na zaštitu podataka pre obrade radi procene konkretne verovatnoće i ozbiljnosti velikog rizika, uzimajući u obzir prirodu, obim, kontekst i svrhe obrade i izvore rizika. Ta procena uticaja mora posebno da obuhvata mere, mere zaštite i mehanizme predviđene za ublažavanje tog rizika, za obezbeđivanje zaštite podataka o ličnosti i dokazivanje usklađenosti sa ovom uredbom.
(91) to posebno treba primenjivati na radnje obrade velikog obima čiji je cilj obrada značajnih količina podataka o ličnosti na regionalnom, nacionalnom ili nadnacionalnom nivou i koje bi mogle da utiču na veliki broj lica na koje se podaci odnose i koje će verovatno prouzrokovati veliki rizik, na primer zbog osetljivosti, kod kojih se u skladu sa dostignutim nivoom tehnološkog znanja nova tehnologija koristi u velikom obimu, kao i na druge radnje obrade koji prouzrokuju veliki rizik za prava i slobode lica na koje se podaci odnose, a posebno ako te radnje otežavaju ostvarivanje prava lica na koja se podaci odnose. Procenu uticaja na zaštitu podataka takođe treba vršiti kada se podaci o ličnosti obrađuju radi donošenja odluka o konkretnim fizičkim licima nakon bilo kakve sistematske i temeljne procene ličnih aspekata u vezi sa fizičkim licima na osnovu profilisanja tih podataka ili nakon obrade posebnih kategorija podataka o ličnosti, biometrijskih podataka ili podataka o krivičnim osudama i krivičnim delima ili povezanim bezbednosnim merama. Procena uticaja na zaštitu podataka je u istoj meri potrebna za obimno praćenje javno dostupnih područja, posebno ako se koriste optičko-elektronski uređaji, ili za bilo koje druge radnje ako nadležni nadzorni organ smatra će obrada verovatno prouzrokovati veliki rizik za prava i slobode lica na koje se podaci odnose, posebno zato što se njima lice na koje se podaci odnose sprečava u ostvarivanju prava ili korišćenju usluga ili ugovora, ili zato što se vrše sistematski i temeljno. Obradu podataka o ličnosti ne treba smatrati temeljnom ako se odnosi na podatke o ličnosti pacijenata ili klijenata pojedinačnih lekara, drugog zdravstvenog radnika ili advokata. U takvim slučajevima procena uticaja na zaštitu podataka ne mora da bude obavezna.
(92) pod nekim okolnostima može da bude prihvatljivo i ekonomično da procena učinka na zaštitu podataka obuhvata više od jednog projekta, na primer ako organi vlasti ili državna tela nameravaju da uspostave zajedničku aplikaciju ili platformu za obradu ili ako nekoliko rukovalaca podataka planiraju da uvedu zajedničku aplikaciju ili okruženje za obradu za čitav sektor ili segment privrede ili za horizontalnu aktivnost široke upotrebe.
(93) u kontekstu usvajanja zakonodavstva države članice na kojem se zasniva izvršavanje zadataka organa vlasti ili državnog tela i kojim se uređuju konkretne radnje obrade ili skup radnji, države članice mogu da smatraju da je neophodno da izvrše takvu procenu pre aktivnosti obrade.
(94) ako se u proceni uticaja na zaštitu podataka pokaže da bi obrada, ukoliko ne postoje mere zaštite, bezbednosne mere i mehanizmi za ublažavanje rizika, prouzrokovala veliki rizik za prava i slobode fizičkih lica, a rukovalac podataka smatra da se taj rizik ne može ublažiti prihvatljivim sredstvima u pogledu dostupnih tehnologija i troškova sprovođenja, pre početka aktivnosti obrade treba konsultovati nadzorni organ. Takav veliki rizik će verovatno nastati iz određenih vrsta obrade i obima i učestalosti obrade, što takođe može da prouzrokuje štetu ili ometanje prava i sloboda lica na koje se podaci odnose. Nadzorni organ mora da odgovori na zahtev za konsultacije u određenom vremenskom roku. Međutim, izostanak odgovora nadzornog organa u tom roku ne sme da utiče na bilo koju intervenciju nadzornog organa u skladu sa njegovim zadacima i ovlašćenjima iz ove uredbe, uključujući i ovlašćenje da zabrani radnje obrade. Kao deo procesa konsultacije, nadzornom organu može da se dostavi ishod procene uticaja na zaštitu podataka koja je izvršena u vezi sa tom obradom, a posebno mere predviđene za ublažavanje rizika za prava i slobode fizičkih lica.
(95) obrađivač mora da pomaže rukovaocu podataka, prema potrebi i na zahtev, u obezbeđivanju poštovanja obaveza koje proističu iz vršenja procene uticaja na zaštitu podataka i iz prethodne konsultacije sa nadzornim organom.
(96) konsultovanje nadležnog organa takođe treba da se obavlja u toku izrade zakonodavne ili regulatorne mere koja uređuje obradu podataka o ličnosti radi obezbeđivanja usklađenosti nameravane obrade sa ovom uredbom, a posebno radi ublažavanja rizika za lice na koje se podaci odnose.
(97) ako obradu vrše organi vlasti, osim sudova i nezavisnih pravosudnih organa kada postupaju u svom sudskom svojstvu, ako, u privatnom sektoru, obradu vrši rukovalac podataka čije se osnovne aktivnosti sastoje od radnji obrade koje zahtevaju obimno redovno i sistematsko praćenje lica na koje se podaci odnose, ili ako se osnovne aktivnosti rukovaoca ili obrađivača sastoje od obimne obrade posebnih kategorija podataka o ličnosti i podataka koji se odnose na krivične osude i krivična dela, lica sa stručnim znanjem iz oblasti prava i prakse zaštite podataka moraju da pomognu rukovaocu ili obrađivaču u praćenju unutrašnje usklađenosti sa ovom uredbom. U privatnom sektoru, osnovne aktivnosti rukovaoca podataka odnose se na njegove primarne aktivnosti i ne odnose se na obradu podataka o ličnosti kao dodatne aktivnosti. Neophodni nivo stručnog znanja mora da bude utvrđen posebno u odnosu na radnje obrade podataka koje se vrše i na zaštitu potrebnu za podatke o ličnosti koje obrađuje rukovalac ili obrađivač. Takva odgovorna lica za zaštitu podataka, bez obzira na to da li su zaposlena kod rukovaoca podataka, moraju da budu u mogućnosti da nezavisno obavljaju svoje dužnosti i zadatke.
(98) udruženja ili druga tela koja predstavljaju kategorije rukovalaca ili obrađivača treba podsticati da izrade kodekse ponašanja, u okvirima ove uredbe, kako bi se olakšala efikasna primena ove uredbe, uzimajući u obzir posebne karakteristike obrade koja se vrši u određenim sektorima i posebne potrebe mikro, malih i srednjih preduzeća. Posebno, takvim kodeksima ponašanja bi mogle da se definišu obaveze rukovaoca podataka i obrađivača, uzimajući u obzir rizik koji će verovatno nastati iz obrade za prava i slobode fizičkih lica.
(99) prilikom izrade kodeksa ponašanja, ili kada se menja ili proširuje takav kodeks, udruženja i druga tela koja predstavljaju kategorije rukovalaca ili obrađivača moraju da konsultuju relevantne interesne grupe, uključujući i lica na koje se podaci odnose ako je izvodljivo, i da uzimaju u obzir primljene podneske i izražena mišljenja kao odgovore na takve konsultacije.
(100) u cilju unapređenja transparentnosti i usklađenosti sa ovom uredbom, treba podsticati uvođenje mehanizama sertifikacije i pečata i oznaka za zaštitu podataka, što bi licima na koja se podaci odnose omogućilo brzu procenu nivoa zaštite podataka za relevantne proizvode i usluge.
(101) su tokovi podataka o ličnosti u zemlje izvan Unije i međunarodne organizacije i iz njih neophodni za širenje međunarodne trgovine i međunarodne saradnje. Povećanje takvih tokova dovelo je do novih izazova i zabrinutosti u vezi sa zaštitom podataka o ličnosti. Međutim, kada se podaci o ličnosti prenose iz Unije rukovaocima podataka, obrađivačima ili drugim korisnicima u trećim zemljama ili međunarodnim organizacijama, ne sme da bude umanjen nivo zaštite fizičkih lica obezbeđen ovom uredbom u Uniji, uključujući i slučajeve daljih prenosa podataka o ličnosti iz treće zemlje ili međunarodne organizacije rukovaocima, obrađivačima u istoj ili nekoj drugoj trećoj zemlji ili međunarodnoj organizaciji. U svakom slučaju, prenosi podataka u treće zemlje i međunarodne organizacije mogu da se vrše isključivo uz puno poštovanje ove uredbe. Prenos podataka može da se obavlja isključivo ako, u skladu sa drugim odredbama ove uredbe, rukovalac ili obrađivač ispunjavaju uslove propisane odredbama ove uredbe u vezi sa prenosom podataka o ličnosti trećim zemljama ili međunarodnim organizacijama.
(102) ova uredba ne dovodi u pitanje međunarodne sporazume zaključene između Unije i trećih zemalja kojima se uređuje prenos podataka o ličnosti, uključujući i odgovarajuće mere zaštite za lica na koje se podaci odnose. Države članice mogu da zaključuju međunarodne sporazume koji obuhvataju prenos podataka o ličnosti u treće zemlje ili međunarodne organizacije ako takvi sporazumi ne utiču na ovu uredbu ili bilo koje druge odredbe prava Unije i ako uključuju odgovarajući nivo zaštite osnovnih prava lica na koje se podaci odnose.
(103) Komisija može da donese odluku sa dejstvom u čitavoj Uniji da treća zemlja, teritorija ili određeni sektor u trećoj zemlji, ili međunarodna organizacija pruža odgovarajući nivo zaštite podataka i na taj način obezbeđuje pravnu sigurnost i jednoobraznost u čitavoj Uniji kad je reč o trećoj zemlji ili međunarodnoj organizaciji za koju se smatra da pruža takav nivo zaštite. U takvim slučajevima prenosi podataka o ličnosti u tu treću zemlju ili međunarodnu organizaciju mogu da se obavljaju bez potrebe za dobijanjem bilo kakvog dodatnog odobrenja. Komisija takođe može da odluči da povuče takvu odluku, nakon što trećoj zemlji ili međunarodnoj organizaciji dostavi obaveštenje i kompletnu izjavu u kojoj se navode razlozi.
(104) u skladu sa osnovnim vrednostima na kojima se zasniva Unija, a posebno zaštitom ljudskih prava, Komisija bi prilikom procene treće zemlje ili teritorije ili određenog sektora u trećoj zemlji trebalo da uzme u obzir kako ta treća zemlja poštuje vladavinu prava, pristup pravdi, kao i međunarodne norme i standarde ljudskih prava i njihove opšte i sektorske zakone, uključujući zakonodavstvo o javnoj bezbednosti, odbrani i nacionalnoj bezbednosti, kao i javnom redu i krivično pravo. Prilikom donošenja odluke o adekvatnosti u vezi sa teritorijom ili određenim sektorom u trećoj zemlji treba uzeti u obzir jasne i objektivne kriterijume, kao što su konkretne aktivnosti obrade i područje primene važećih zakonskih normi i zakonodavstva koji su na snazi u trećoj zemlji. Treća zemlja treba da ponudi garancije kojima se obezbeđuje odgovarajući nivo zaštite koji je suštinski isti kao nivo zaštite obezbeđen u Uniji, a posebno kada se podaci o ličnosti obrađuju u jednom ili više konkretnih sektora. Konkretno, treća zemlja mora da obezbedi efikasan nezavisan nadzor nad zaštitom podataka i mehanizme saradnje sa organima za zaštitu podataka država članica, a lica na koja se podaci odnose moraju da imaju efikasna i ostvariva prava i efikasnu upravnu i sudsku zaštitu.
(105) pored međunarodnih obaveza koje je treća zemlja ili međunarodna organizacija preuzela, Komisija treba da uzme u obzir obaveze koje proizilaze iz učešća treće zemlje ili međunarodne organizacije u multilateralnim ili regionalnim sistemima, posebno u vezi sa zaštitom podataka o ličnosti, kao i sprovođenje takvih obaveza. Posebno treba uzeti u obzir pristupanje treće zemlje Konvenciji Saveta Evrope od 28. januara 1981. o zaštiti pojedinaca u odnosu na automatsku obradu podataka o ličnosti i njen Dodatni protokol. Komisija mora da konsultuje Odbor prilikom procene nivoa zaštite u trećim zemljama ili međunarodnim organizacijama.
(106) Komisija treba da prati delovanje odluka o nivou zaštite u trećoj zemlji, teritoriji ili određenom sektoru u trećoj zemlji, ili u međunarodnoj organizaciji, i da prati delovanje odluka usvojenih na osnovu člana 25, stav 6. i člana 26, stav 4. Direktive 95/46/EZ. U svojim odlukama o adekvatnosti Komisija treba da predvidi mehanizam periodične provere njihovog funkcionisanja. Ta periodična provera treba da se vrši uz konsultovanje sa trećom zemljom ili međunarodnom organizacijom i treba da uzme u obzir sve relevantne događaje u trećoj zemlji ili međunarodnoj organizaciji. Za potrebe praćenja i vršenja periodičnih provera Komisija treba da uzme u obzir stavove i nalaze Evropskog parlamenta i Saveta, kao i drugih relevantnih tela i izvora. Komisija treba u prihvatljivom roku da oceni funkcionisanje potonjih odluka i da o svim relevantnim nalazima obavesti Odbor u smislu Uredbe (EU) br. 182/2011 Evropskog parlamenta i Saveta (12) koji je ustanovljen na osnovu ove uredbe, Evropski parlament i Savet.
(107) Komisija može da utvrdi da treća zemlja, teritorija ili određeni sektor u trećoj zemlji ili međunarodna organizacija više ne obezbeđuju odgovarajući nivo zaštite podataka. Shodno tome treba zabraniti prenos podataka o ličnosti u tu treću zemlju ili međunarodnu organizaciju, osim ako su ispunjeni uslovi iz ove uredbe u vezi sa prenosima na koje se primenjuju odgovarajuće zaštitne mere, uključujući obavezujuća korporativna pravila, i odstupanja za posebne situacije. U tom slučaju treba predvideti konsultacije između Komisije i takvih trećih zemalja ili međunarodnih organizacija. Komisija mora blagovremeno da obavesti treću zemlju ili međunarodnu organizaciju o razlozima i započne konsultacije sa njom kako bi se situacija rešila.
(108) ako nije doneta odluka o adekvatnosti, rukovalac ili obrađivač moraju da preduzmu mere kojima će se nadoknaditi nedostatak zaštite podataka u trećoj zemlji putem odgovarajućih mera zaštite za lice na koje se podaci odnose. Takve odgovarajuće mere zaštite mogu da se sastoje od upotrebe obavezujućih korporativnih pravila, standardnih klauzula o zaštiti podataka koje je usvojila Komisija, standardnih klauzule o zaštiti podataka koje je usvojio nadzorni organ ili ugovornih klauzula koje je odobrio nadzorni organ. Te mere zaštite moraju da obezbeđuju usklađenost sa zahtevima u vezi sa zaštitom podataka i prava lica na koja se podaci odnose primerena obradi unutar Unije, uključujući dostupnost ostvarivih prava lica na koje se podaci odnose i efikasnih pravnih lekova, između ostalog za dobijanje efikasne upravne ili sudske zaštite i traženje naknade, u Uniji ili u trećoj zemlji. One posebno moraju da se odnose na usklađivanje sa opštim načelima u vezi sa obradom podataka o ličnosti, načelima ugrađene i podrazumevane zaštite podataka. Prenose podataka takođe mogu da obavljaju organi vlasti ili tela sa javnim ovlašćenjima ili tela u trećim zemljama ili pri međunarodnim organizacijama sa odgovarajućim dužnostima ili funkcijama, između ostalog na osnovu odredaba koje se uključuju u administrativne aranžmane, kao što je memorandum o razumevanju, kojima se obezbeđuju ostvariva i efikasna prava za lica na koje se podaci odnose. Kada se mere zaštite predviđaju u administrativnim aranžmanima koji nisu pravno obavezujući, mora da se dobije odobrenje nadležnog nadzornog organa.
(109) mogućnost da rukovalac ili obrađivač koristi standardne klauzule o zaštiti podataka koje je usvojila Komisija ili nadzorni organ ne sme da sprečava rukovaoca ili obrađivača ni da uključe standardne klauzule o zaštiti podataka u širi ugovor, kao što je ugovor između obrađivača i drugog obrađivača, ni da dodaju druge klauzule ili dodatne mere zaštite pod uslovom da nisu neposredno ili posredno protivrečne standardnim ugovornim klauzulama koje je usvojila Komisija ili nadzorni organ ili ne dovode u pitanje osnovna prava ili slobode lica na koja se podaci odnose. Rukovaoce podataka i obrađivače treba podsticati da obezbede dodatne mere zaštite putem ugovornih obaveza koje dopunjuju standardne klauzule o zaštiti.
(110) grupa društava ili grupa preduzeća angažovanih u zajedničkoj privrednoj delatnosti mora da bude u mogućnosti da koristi odobrena obavezujuća korporativna pravila za svoje međunarodne prenose podataka iz Unije u organizacije unutar iste grupe društava ili grupe preduzeća angažovanih u zajedničkoj privrednoj delatnosti, pod uslovom da korporativna pravila obuhvataju sva osnovna načela i ostvariva prava za obezbeđivanje odgovarajućih mera zaštite za prenose ili kategorije prenosa podataka o ličnosti.
(111) bi trebalo propisati odredbe za mogućnost prenosa pod određenim okolnostima kada je lice na koje se podaci odnose dalo izričit pristanak, ako je prenos povremen i neophodan za ugovor ili pravni zahtev, bez obzira na to da li je reč o sudskom, upravnom ili bilo kojem vansudskom postupku, uključujući i postupke pred regulatornim organima. Takođe bi trebalo propisati odredbe za mogućnost prenosa u slučaju kada je to neophodno zbog važnih razloga od javnog interesa propisanih pravom Unije ili pravom države članice ili kada se prenos obavlja iz registra uspostavljenog zakonom koji je namenjen za uvid javnosti ili lica koje imaju legitiman interes. U potonjem slučaju takav prenos ne sme da uključuje celokupne podatke o ličnosti ili čitave kategorije podataka sadržane u registru i, ako je registar namenjen za uvid lica koja imaju legitimni interes, prenos treba vršiti samo na zahtev tih lica ili, ako su ta lica korisnici, u potpunosti uzimajući u obzir interese i osnovna prava lica na koja se podaci odnose.
(112) ta odstupanja posebno moraju da se primenjuju na prenose podataka koji se traže i neophodni su iz važnih razloga od javnog interesa, na primer u slučajevima međunarodne razmene podataka između organa za zaštitu konkurencije, poreskih i carinskih uprava, između finansijskih nadzornih organa, između službi nadležnih za pitanja socijalne zaštite ili za javno zdravlje, na primer u slučaju praćenja kontakata kod zaraznih bolesti ili da bi se smanjio i/ili eliminisao doping u sportu. Prenos podataka o ličnosti takođe treba smatrati zakonitim ako je neophodan za zaštitu interesa koji je od suštinskog značaja za vitalne interese lica na koje se podaci odnosa ili drugog lica, uključujući i fizički integritet ili život, ako lice na koje se podaci odnose nije u stanju da daje pristanak. Ako ne postoji odluka o adekvatnosti, pravo Unije ili pravo države članice može, iz važnih razloga od javnog interesa, izričito da odredi ograničenja za prenos određenih kategorija podataka trećoj zemlji ili međunarodnoj organizaciji. Države članice moraju da obaveste Komisiju o takvim odredbama. Svaki prenos podataka o ličnosti lica na koje se podaci odnose i koje fizički ili pravno nije u stanju da daje pristanak u međunarodnu humanitarnu organizaciju, u cilju izvršenja zadatka koji je obavezujući prema ženevskim konvencijama ili poštovanja međunarodnog humanitarnog prava koje se primenjuje u oružanim sukobima, može da se smatra neophodnim zbog važnog razloga od javnog interesa ili zbog toga što je od vitalnog interesa za lice na koje se podaci odnose.
(113) prenosi koji ne mogu da se okarakterišu kao ponavljajući i koji se odnose samo na ograničen broj lica na koja se podaci odnose takođe mogu da budu mogući za potrebe uverljivih legitimnih interesa rukovaoca podataka, ako nad tim interesima ne preovlađuju interesi ili prava i slobode lice na koje se podaci odnose i ako je rukovalac podataka procenio sve okolnosti prenosa podataka. Rukovalac podataka mora posebno da obrati pažnju na prirodu podataka o ličnosti, svrhu i trajanje predložene radnje ili predloženih radnji obrade, kao i na situaciju u zemlji porekla, trećoj zemlji i zemlji konačnog odredišta i mora da obezbedi odgovarajuće mere zaštite za osnovna prava i slobode fizičkih lica u odnosu na obradu njihovih podataka o ličnosti. Takvi prenosi bi trebali da budu mogući samo u preostalim slučajevima kada se nikakvi drugi razlozi za prenos ne primenjuju. Za potrebe obrade u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe treba uzeti u obzir legitimna očekivanja društva za povećanjem znanja. Rukovalac podataka mora da obavesti nadzorni organ i lice na koje se podaci odnose o prenosu.
(114) u svakom slučaju, ako Komisija nije donela odluku o odgovarajućem nivou zaštite podataka u trećoj zemlji, rukovalac ili obrađivač moraju da koriste rešenja koja licima na koja se podaci odnose obezbeđuju ostvariva i efikasna prava u vezi sa obradom njihovih podataka u Uniji nakon što se ti podaci prenesu tako da i dalje uživaju zaštitu koju nude osnovna prava i mere zaštite.
(115) neke treće zemlje usvajaju zakone, propise i druge pravne akte radi neposrednog regulisanja aktivnosti obrade fizičkih i pravnih lica pod nadležnošću država članica. To može da obuhvata presude sudova ili tribunala ili odluke upravnih organa u trećim zemljama kojima se od rukovaoca ili obrađivača zahteva prenos ili otkrivanje podataka o ličnosti i koje se ne zasnivaju na međunarodnom sporazumu, kao što je ugovor o uzajamnoj pravnoj pomoći, koji su na snazi između treće zemlje koja je podnela zahtev i Unije ili države članice. Primena tih zakona, propisa i drugih pravnih akata izvan teritorije može da predstavlja kršenje međunarodnog prava i može da ometa ostvarivanje zaštite fizičkih lica koja se ovom uredbom obezbeđuje u Uniji. Prenosi mogu da budu dozvoljeni samo ako su ispunjeni uslovi ove uredbe za prenos u treće zemlje. Ovo može, između ostalog, da bude slučaj kada je otkrivanje neophodno iz važnog razloga od javnog interesa priznatog pravom Unije ili pravom države članice koje se primenjuje na rukovaoca podataka.
(116) kada se podaci o ličnosti kreću preko granica izvan Unije, može da se poveća rizik za mogućnost fizičkih lica da ostvare prava na zaštitu podataka, a posebno zaštitu od nezakonite upotrebe ili otkrivanja tih informacija. Nadzorni organi mogu istovremeno da otkriju da nisu u mogućnosti da rešavaju pritužbe ili vode istrage u vezi sa aktivnostima izvan svojih granica. Njihove napore da rade zajedno u prekograničnom kontekstu takođe mogu da ometaju nedovoljna ovlašćenja za sprečavanje ili otklanjanje posledica, nedosledni pravni režimi i praktične prepreke kao što je ograničavanje resursa. Zbog toga je potrebno podsticanje bliske saradnje između nadzornih organa za zaštitu podataka da bi im se pomoglo u razmeni informacija i sprovođenju istraga sa međunarodnim partnerima. Za potrebe razvoja mehanizama međunarodne saradnje za olakšavanje i obezbeđivanje međunarodne međusobne pomoći u sprovođenju zakonodavstva o zaštiti podataka o ličnosti, Komisija i nadzorni organi moraju da razmenjuju informacije i sarađuju na aktivnostima u vezi sa izvršavanjem svojih ovlašćenja sa nadležnim organima trećih zemalja, na osnovu reciprociteta i u skladu s ovom uredbom.
(117) je osnivanje nadzornih organa u državama članicama, ovlašćenih da obavljaju zadatke i izvršavaju ovlašćenja potpuno nezavisno, ključna komponenta za zaštitu fizičkih lica u odnosu na obradu njihovih podataka o ličnosti. Države članice moraju da imaju mogućnost da osnuju više od jednog nadzornog organa da bi odrazile svoju ustavnu, organizacionu i administrativnu strukturu.
(118) nezavisnost nadzornih organa ne treba da znači da na nadzorne organe ne smeju da se primenjuju mehanizmi kontrole ili praćenja u vezi sa finansijskim rashodima ili sudsko preispitivanje.
(119) ako država članica osnuje nekoliko nadzornih organa, mora zakonom da uspostavi mehanizme za obezbeđivanje efikasnog učešća tih nadzornih organa u mehanizmu doslednosti. Ta država članica posebno mora da imenuje nadzorno organ koji funkcioniše kao jedinstvena kontakt tačka za efikasno učešće tih organa u mehanizmu, kako bi se obezbedila brza i neometana saradnja sa drugim nadzornim organima, Odborom i Komisijom.
(120) svakom nadzornom organu moraju da budu obezbeđeni finansijski i ljudski resursi, prostorije i infrastruktura neophodni za efikasno izvršavanje zadataka, uključujući i zadatke u vezi sa uzajamnom pomoći i saradnjom s drugim nadzornim organima u Uniji. Svaki nadzorni organ mora da ima odvojeni, javni godišnji budžet koji može da bude deo ukupnog državnog ili nacionalnog budžeta.
(121) opšti uslovi za člana ili članove nadzornog organa moraju da budu propisani zakonom u svakoj državi članici i moraju posebno da obezbeđuju da te članove u transparentnom postupku imenuje parlament, vlada ili šef države članice na osnovu predloga vlade, člana vlade, parlamenta ili doma parlamenta, ili nezavisno telo kojem je to povereno pravom države članice. U cilju obezbeđenja nezavisnosti nadzornog organa, član ili članovi moraju da postupaju s integritetom, da se suzdržavaju od svake radnje koja nije u skladu sa njihovim dužnostima i ne smeju u toku mandata da obavljaju bilo koji posao koji nije u skladu sa tom funkcijom, bez obzira na to da li ga obavljaju uz naknadu ili ne. Nadzorni organ mora da ima svoje osoblje, koje je izabrao nadzorni organ ili nezavisno telo osnovano pravom države članice, koje mora da bude pod isključivim vođstvom člana ili članova nadzornog organa.
(122) svaki nadzorni organ mora da bude nadležan na teritoriji svoje države članice za izvršavanje ovlašćenja i obavljanje zadataka koji su mu povereni u skladu s ovom uredbom. To posebno mora da obuhvata obradu u kontekstu aktivnosti sedišta rukovaoca ili obrađivača na teritoriji njegove države članice, obradu podataka o ličnosti koju obavljaju organi vlasti ili privatna tela koja postupaju u javnom interesu, obradu koja utiče na lica na koje se podaci odnose na njegovoj teritoriji ili obradu koju vrši rukovalac ili obrađivač koji nema sedište u Uniji kada ciljna lica na koja se podaci odnose imaju boravište na njegovoj teritoriji. To treba da obuhvata rešavanje pritužbi koje je podnelo lice na koje se podaci odnose, vršenje istraga o primeni ove uredbe i povećanje svesti javnosti o rizicima, pravilima, merama zaštite i pravima u vezi sa obradom podataka o ličnosti.
(123) nadzorni organi moraju da prate primenu odredaba u skladu s ovom uredbom i da doprinose njenoj doslednoj primeni u čitavoj Uniji da bi se fizička lica zaštitila u odnosu na obradu njihovih podataka o ličnosti i da bi se olakšao slobodan protok podataka o ličnosti na unutrašnjem tržištu. U tu svrhu nadzorni organi moraju da sarađuju međusobno i sa Komisijom, bez potrebe za bilo kakvim dogovorom između država članica o pružanju uzajamne pomoći ili o takvoj saradnji.
(124) ako se obrada podataka o ličnosti vrši u kontekstu aktivnosti sedišta rukovaoca ili obrađivača u Uniji, a rukovalac ili obrađivač imaju sedište u više od jedne države članice ili ako obrada koja se vrši u kontekstu aktivnosti jedinog sedišta rukovaoca ili obrađivača u Uniji značajno utiče ili će verovatno značajno da utiče na lica na koja se podaci odnose u više od jedne države članice, nadzorni organ za glavno sedište rukovaoca ili obrađivača ili za jedino sedište rukovaoca ili obrađivača mora da postupa kao vodeći organ. Taj organ mora da sarađuje sa drugim zainteresovanim organima zato što rukovalac ili obrađivač ima sedište na teritoriji njihove države članice, zato što to značajno utiče na lica na koje se podaci odnose koja imaju boravište na njihovoj teritoriji ili zato što im je podneta pritužba. Takođe, ako je pritužbu podnelo lice na koje se podaci odnose koji nema boravište u toj državi članici, nadzorni organ kojem je takva pritužba podneta takođe treba da bude zainteresovani nadzorni organ. U okviru zadataka za izdavanje smernica o bilo kojem pitanju koje obuhvata primenu ove uredbe, Odbor mora da bude u mogućnosti da izda smernice posebno o kriterijumima koje treba uzeti u obzir kako bi se utvrdilo da li predmetna obrada značajno utiče na lica na koje se podaci odnose u više od jedne države članice i o tome šta predstavlja relevantan i obrazložen prigovor.
(125) vodeći organ mora da bude nadležan za donošenje obavezujućih odluka o merama kojima se primenjuju ovlašćenja koja su mu dodeljena u skladu s ovom uredbom. U svojstvu vodećeg organa nadzorni organ treba u velikoj meri da uključuje i koordiniše zainteresovane nadzorne organe u postupku donošenja odluka. Ako se donese odluka da se pritužba lica na koje se podaci odnose odbije u celini ili delimično, tu odluku mora da donese nadzorni organ kojem je pritužba podneta.
(126) o odluci moraju zajednički da se dogovore vodeći nadzorni organ i zainteresovani nadzorni organ i odluka mora da bude usmerena na glavno ili jedino sedište rukovaoca ili obrađivača i mora da bude obavezujuća za rukovaoca podataka i obrađivača. Rukovalac ili obrađivač mora da preduzme neophodne mere za obezbeđivanje usklađenosti sa ovom uredbom i sprovođenje odluke o kojoj je vodeći organ obavestio glavno sedište rukovaoca ili obrađivača u vezi sa aktivnostima obrade u Uniji.
(127) svaki nadzorni organ koji ne postupa kao vodeći nadzorni organ treba da bude nadležan za rešavanje lokalnih slučajeva ako rukovalac ili obrađivač ima sedište u više od jedne države članice, ali se predmet konkretne obrade odnosi samo na obradu obavljenu u jednoj državi članici i uključuje samo lica na koja se podaci odnose u toj jednoj državi članici, na primer, ako se predmet odnosi na obradu podataka o ličnosti o zaposlenima u posebnom kontekstu zapošljavanja države članice. U takvim slučajevima nadzorni organ mora da obavesti vodeći nadzorni organ bez odlaganja o tom pitanju. Nakon što primi obaveštenje, vodeći nadzorni organ treba da odluči o da li će predmet rešavati u skladu sa odredbama o saradnji između vodećeg nadzornog organa i drugih zainteresovanih nadzornih organa („jednošalterski mehanizam”) ili treba na lokalom nivou da ga rešava nadzorni organ koji mu je uputio obaveštenje. Prilikom donošenja odluke o tome da li će rešavati predmet, vodeći nadzorni organ treba da uzme u obzir činjenicu da li rukovalac ili obrađivač ima sedište u državi članici nadzornog organa koji je uputio obaveštenje, kako bi se obezbedila efikasna primena odluke u odnosu na rukovaoca ili obrađivača. Kada vodeći nadzorni organ odluči da rešava predmet, nadzorni organ koji mu je uputio obaveštenje mora da ima mogućnost da dostavi nacrt odluke, koji vodeći nadzorni organ treba da uzme u obzir u najvećoj mogućoj meri prilikom izrade svog nacrta odluke u tom jednošalterskom mehanizmu.
(128) pravila o vodećem nadzornom organu i jednošalterskom mehanizmu ne smeju da se primenjuju ako obradu vrše organi vlasti ili privatna tela u javnom interesu. U takvim slučajevima jedini nadzorni organ nadležan za izvršavanje ovlašćenja koja su mu dodeljena u skladu s ovom uredbom treba da bude nadzorni organ države članice u kojoj je organ vlasti ili privatno telo osnovano.
(129) u cilju obezbeđivanja doslednog praćenja i primene ove uredbe u čitavoj Uniji, nadzorni organi moraju u svakoj državi članici da imaju iste zadatke i efikasna ovlašćenja, uključujući i ovlašćenja za vođenje istrage, korektivna ovlašćenja i sankcije i ovlašćenja za davanje odobrenja i savetodavna ovlašćenja, posebno u slučajevima pritužbi fizičkih lica, i ne dovodeći u pitanje ovlašćenja organa krivičnog gonjenja u skladu sa pravom države članice, za upozoravanje pravosudnih organa na kršenja ove uredbe i učestvovanje u pravnim postupcima. Takva ovlašćenja takođe moraju da obuhvataju ovlašćenje za izricanje privremenog ili konačnog ograničavanja obrade, uključujući i zabranu. Države članice mogu da odrede druge zadatke u vezi sa zaštitom podataka o ličnosti u skladu s ovom uredbom. Ovlašćenja nadzornih organa moraju da se izvršavaju u skladu sa odgovarajućim procesnim merama zaštite propisanim u pravu Unije i pravu države članice, nepristrano, pravično i u razumnom roku. Konkretno, svaka mera mora da bude primerena, neophodna i srazmerna u cilju obezbeđivanja usklađenosti sa ovom uredbom, uzimajući u obzir okolnosti svakog pojedinačnog slučaja, poštovanje prava svakog lica da bude saslušano pre preduzimanja bilo koje pojedinačne mere koja bi štetno uticala na njega i izbegavanje nepotrebnih troškova i preteranih neugodnosti za lica koja su u pitanju. Ovlašćenja za vođenje istrage u pogledu pristupa prostorijama moraju da se izvršavaju u skladu sa posebnim zahtevima procesnog prava države članice, kao što je zahtev za dobijanje prethodnog sudskog ovlašćenja. Svaka pravno obavezujuća mera nadzornog organa treba da bude u pisanom obliku, jasna i nedvosmislena, u njoj treba da se navede nadzorni organ koji je izdao meru, datum izdavanja mere, mora da ima potpis predsednika ili člana nadzornog organa kojeg je on ovlastio, u njoj moraju da se navedu razlozi za tu meru i mora da upućuje na pravo na delotvorno pravno sredstvo. To ne sme da isključuje dodatne zahteve u skladu sa procesnim pravom države članice. Usvajanje pravno obavezujuće odluke podrazumeva da to može da dovede do sudske provere u državi članici nadzornog organa koji je usvojio odluku.
(130) ako nadzorni organ kojem je pritužba podneta nije vodeći nadzorni organ, vodeći nadzorni organ mora tesno da sarađuje sa nadzornim organom kojem je pritužba podneta u skladu sa odredbama o saradnji i doslednosti propisanim u ovoj uredbi. U takvim slučajevima vodeći nadzorni organ bi, prilikom preduzimanja mera koje proizvode pravne efekte, uključujući i izricanje upravnih novčanih kazni, posebno trebao da vodi računa o mišljenju nadzornog organa kojem je pritužba podneta i koji treba da ostane nadležan za vršenje istrage na teritoriji svoje države članice u saradnji sa nadležnim nadzornim organom.
(131) ako drugi nadzorni organ treba da postupa kao vodeći nadzorni organ za aktivnosti obrade rukovaoca ili obrađivača, ali se konkretan predmet pritužbe ili moguća povreda odnosi samo na aktivnosti obrade rukovaoca ili obrađivača u državi članici u kojoj je podneta pritužba ili otkrivena moguća povreda i predmet ne utiče značajno ili verovatno neće značajno uticati na lica na koja se podaci odnose u drugim državama članicama, nadzorni organ koje primi pritužbu ili otkrije situacije koje uključuju moguća kršenja ove uredbe ili je o njima na drugi način obavešten treba da teži sporazumnom rešenju sa rukovaocem podataka i, ako se to pokaže kao neuspešno, primeni sva svoja ovlašćenja. To treba da obuhvata: posebnu obradu koja se vrši na teritoriji države članice nadzornog organa ili u vezi sa licima na koje se podaci odnose na teritoriji te države članice; obradu koja se vrši u kontekstu nuđenja robe ili usluga posebno namenjenih licima na koja se podaci odnose na teritoriji države članice nadzornog organa; ili obradu koja treba da se proceni uzimajući u obzir relevantne zakonske obaveze u skladu sa pravom države članice.
(132) aktivnosti nadzornih organa za povećanje svesti javnosti moraju da obuhvataju posebne mere usmerene na rukovaoce podataka i obrađivače, uključujući i mikro, mala i srednja preduzeća, kao i fizička lica, posebno u kontekstu obrazovanja.
(133) nadzorni organi treba da pomažu jedni drugima u izvršavanju zadataka i da pružaju uzajamnu pomoć radi obezbeđivanja dosledne primene i sprovođenja ove uredbe na unutrašnjem tržištu. Nadzorni organ koje zatraži uzajamnu pomoć može da donese privremenu meru ako ne primi odgovor na zahtev za uzajamnu pomoć u roku od jednog meseca od prijema tog zahteva od strane drugog nadzornog organa.
(134) svaki nadzorni organ treba prema potrebi da učestvuje u zajedničkim operacijama sa drugim nadzornim organima. Nadzorni organ koje primi zahtev mora da ima obavezu da odgovori na zahtev u određenom roku.
(135) u cilju obezbeđivanja dosledne primene ove uredbe u čitavoj Uniji treba uspostaviti mehanizam doslednosti za saradnju između nadzornih organa. Taj mehanizam posebno mora da se primenjuje ako nadzorni organ namerava da donese meru kojom se proizvode pravni efekti u vezi sa radnjama obrade koji značajno utiču na veliki broj lica na koja se podaci odnose u više država članica. Takođe treba da se primenjuje kada bilo koji zainteresovani nadzorni organ ili Komisija traži da se takva pitanja rešavaju mehanizmom doslednosti. Taj mehanizam ne sme da dovodi u pitanje bilo koje mere koje Komisija može da preduzme za izvršavanje svojih ovlašćenja prema Ugovorima.
(136) prilikom primene mehanizma doslednosti, Odbor treba u određenom vremenskom roku da da mišljenje, ako većina njegovih članova tako odluči ili ako to zatraži bilo koji zainteresovani nadzorni organ ili Komisija. Odbor takođe treba da bude ovlašćen za donošenje pravno obavezujućih odluka u slučaju sporova između nadzornih organa. U tu svrhu treba da donese, u načelu dvotrećinskom većinom svojih članova, pravno obavezujuće odluke u jasno određenim slučajevima u kojima postoje suprotstavljeni stavovi među nadzornim organima, posebno u mehanizmu za saradnju između vodećeg nadzornog organa i zainteresovanog nadzornog organa o meritumu predmeta, a posebno o tome da li je došlo do kršenja ove uredbe.
(137) može da dođe do hitne potrebe za delovanjem kako bi se zaštitila prava i slobode lica na koja se podaci odnose, a posebno ako postoji opasnost da bi obezbeđivanje prava lica na koje se podaci odnose moglo u značajnoj meri da se ometa. Nadzorni organ zbog toga mora da bude u mogućnosti da donese opravdane privremene mere na svojoj teritoriji sa utvrđenim rokom važenja koje ne sme da bude duži od tri meseca.
(138) bi primena takvog mehanizma trebalo da bude uslov za zakonitost mere nadzornog tela koja treba da proizvede pravne efekte u slučajevima kada je njena primena obavezna. U ostalim slučajevima od prekograničnog značaja treba primeniti mehanizam za saradnju između vodećeg nadzornog organa i zainteresovanih nadzornih organa i među zainteresovanim nadzornim organima bi mogla da se daje uzajamna pomoć i da se obavljaju zajedničke operacije na bilateralnoj ili multilateralnoj osnovi, bez aktiviranja mehanizma doslednosti.
(139) u cilju promovisanja dosledne primena ove uredbe, Odbor treba da bude osnovan kao nezavisno telo Unije. Kako bi ispunio svoje ciljeve, Odbor mora da ima status pravnog lica. Odbor treba da predstavlja njegov predsednik. On treba da zameni Radnu grupu za zaštitu lica u odnosu na obradu podataka o ličnosti osnovanu Direktivom 95/46/EZ. Treba da se sastoji od predsednika nadzornog organa svake države članice i Evropskog supervizora za zaštitu podataka ili njihovih zamenika. Komisija treba da učestvuje u aktivnostima Odbora bez prava glasa, a Evropski supervizor za zaštitu podataka treba da ima posebno pravo glasa. Odbor treba da doprinese doslednoj primeni ove uredbe u čitavoj Uniji, između ostalog putem savetovanja Komisije, posebno o nivou zaštite u trećim zemljama ili međunarodnim organizacijama, i podsticanjem saradnje nadzornih organa u čitavoj Uniji. Odbor treba da postupa nezavisno prilikom izvršavanja svojih zadataka.
(140) Odboru treba da pomaže sekretarijat koji obezbeđuje Evropski supervizor za zaštitu podataka. Osoblje Evropskog supervizora za zaštitu podataka koje učestvuje izvršavanju zadataka poverenih Odboru na osnovu ove uredbe treba da izvršava svoje zadatke isključivo prema uputstvima predsednika Odbora i da odgovara predsedniku Odbora.
(141) svako lice na koje se podaci odnose mora da ima pravo da podnese pritužbu jednom nadzornom organu, posebno u državi članici u kojoj ima uobičajeno boravište, i pravo na delotvorno pravno sredstvo u skladu sa članom 47. Povelje ako lice na koje se podaci odnose smatra da su prekršena njegova prava iz ove uredbe ili ako nadzorni organ ne postupi po pritužbi, delimično ili u celini odbije ili odbaci pritužbu ili ne preduzima nikakve radnje kada su takve radnje neophodne za zaštitu prava lica na koje se podaci odnose. Nakon pritužbe treba sprovesti istragu, uz mogućnost sudskog preispitivanja, ako je to primereno u konkretnom slučaju. Nadzorni organ mora u prihvatljivom roku da obavesti lice na koje se podaci odnose o napretku i ishodu pritužbe. Ako slučaj zahteva dodatnu istragu ili koordinaciju sa drugim nadzornim organom, licu na koje se podaci odnose treba dati privremene informacije. U cilju olakšavanja podnošenja pritužbi, svaki nadzorni organ treba da preduzima mere kao što je obezbeđivanje obrasca za podnošenje pritužbe koji takođe može da se popuni i elektronski, ne isključujući ostala sredstva komunikacije.
(142) ako lice na koje se podaci odnose smatra da su prekršena njegova prava iz ove uredbe, mora da ima pravo da ovlasti neprofitno telo, organizaciju ili udruženje koje je na odgovarajući način osnovano u skladu s pravom države članice, čija svrha osnivanja je ostvarivanje ciljeva od javnog interesa i koje je aktivno u oblasti zaštite prava i sloboda lica na koja se podaci odnose u vezi sa zaštitom podataka o ličnosti, da u njegovo ime nadzornom organu podnese pritužbu, da ostvari pravo na pravno sredstvo u ime lica na koja se podaci odnose ili da ostvari pravo na naknadu u ime lica na koja se podaci odnose ako je to predviđeno pravom države članice. Država članica može da propiše da takvo telo, organizacija ili udruženje ima pravo, nezavisno od ovlašćenja lica na koje se podaci odnose, da podnese pritužbu u toj državi članici i da ima pravo na delotvorno pravno sredstvo ako ima razloga da smatra da je do kršenja prava lica na koje se podaci odnose došlo zbog obrade podataka o ličnosti kojom se krši ova uredba. Tom telu, organizaciji ili udruženju ne sme da bude dozvoljeno da traži naknadu u ime lica na koje se podaci odnose nezavisno od ovlašćenja lica na koje se podaci odnose.
(143) svako fizičko ili pravno lice ima pravo da pokrene postupak za poništavanje odluka Odbora pred Sudom pravde u skladu s uslovima iz člana 263. UFEU. Kao primaoci takvih odluka, zainteresovani nadzorni organi koji žele da ih ospore moraju da pokrenu postupak u roku od dva meseca od prijema obaveštenja o njima, u skladu sa članom 263. UFEU. Kada se odluke Odbora neposredno i pojedinačno odnose na rukovaoca podataka, obrađivača ili podnosioca pritužbe, to lice može da pokrene postupak za poništenje tih odluka u roku od dva meseca od njihove objave na veb sajtu Odbora, u skladu sa članom 263. UFEU. Ne dovodeći u pitanje ovo pravo iz člana 263. UFEU, svako fizičko ili pravno lice mora da ima delotvorno pravno sredstvo pred nadležnim nacionalnim sudom protiv odluke nadzornog organa koja proizvodi pravne efekte prema tom licu. Takva odluka se posebno odnosi na vršenje istražnih, korektivnih ovlašćenja i ovlašćenja za odobravanje nadzornog organa ili odbacivanje ili odbijanje pritužbi. Međutim, pravo na delotvorno pravno sredstvo ne obuhvata mere nadzornih organa koje nisu pravno obavezujuće, kao što su mišljenja ili saveti koje je dao nadzorni organ. Postupci protiv nadzornog organa moraju da se pokrenu pred sudovima države članice u kojoj nadzorni organ ima sedište i moraju da se vode u skladu sa procesnim pravom te države članice. Ti sudovi moraju da imaju punu nadležnost, koja treba da obuhvata nadležnost za ispitivanje svih činjeničnih i pravnih pitanja od značaja za spor pokrenut pred njima. Ako je nadzorni organ odbio ili odbacio pritužbu, pritužilac može da pokrene postupak pred sudovima iste države članice. U kontekstu pravnih lekova povezanih sa primenom ove uredbe, nacionalni sudovi koji smatraju da je odluka o određenom pitanju neophodna za donošenje presude, mogu, odnosno u slučaju iz člana 267. UFEU, moraju, da zatraže od Suda pravde da donese preliminarno rešenje o tumačenju prava Unije, uključujući i ovu uredbu. Pored toga, ako se odluka nadzornog organa o sprovođenju odluke Odbora osporava pred nacionalnim sudom i dovodi se u pitanje valjanost odluke Odbora, taj nacionalni sud nema ovlašćenje da proglasi odluku Odbora nevažećom, već kad odluku smatra nevažećom pitanje o valjanosti mora da uputi Sudu pravde u skladu sa članom 267. UFEU kako ga tumači Sud pravde. Međutim, nacionalni sud ne može da uputi pitanje o valjanosti odluke Odbora na zahtev fizičkog ili pravnog lica koje je imalo mogućnost da pokrene postupak za poništenje te odluke, posebno ako se odluka neposredno i pojedinačno odnosila na njega, ali to nije učinilo u roku koji je određen u članu 263. UFEU.
(144) ako sud pred kojim se vodi postupak protiv odluke nadzornog organa ima razloga da veruje da se postupak u vezi sa istom obradom, kao što je isti predmet u smislu aktivnosti obrade od strane istog rukovaoca ili obrađivača, ili istog razloga za pokretanje postupka, vodi pred nadležnim sudom u drugoj državi članici, treba da se obrati tom sudu kako bi potvrdio postojanje takvih povezanih postupaka. Ako se povezani postupci vode pred sudom druge države članice, svaki sud osim suda pred kojim je prvo pokrenut postupak može da obustavi postupak ili može, na zahtev jedne od strana, da se proglasi nenadležnim u korist suda pred kojim je prvo pokrenut postupak ako je taj sud nadležan za predmetne postupke, a njegovo pravo omogućava konsolidaciju takvih povezanih postupaka. Smatra se da su postupci povezani ako su toliko međusobno povezani da je korisno njihovo zajedničko saslušanje i zajedničko odlučivanje o njima kako bi se izbegao rizik od protivrečnih presuda nastalih u odvojenim postupcima.
(145) za postupke koji se vode protiv rukovaoca ili obrađivača, tužilac mora da ima mogućnost da pokrene spor pred sudovima država članica u kojima rukovalac ili obrađivač ima sedište ili u kojima lice na koje se podaci odnose ima boravište, osim u slučaju kada je rukovalac podataka organ vlasti koje postupa u izvršavanju svojih javnih ovlašćenja.
(146) rukovalac ili obrađivač mora da nadoknadi svaku štetu koju lice može da pretrpi zbog obrade kojom se krši ova uredba. Rukovalac ili obrađivač mora da bude izuzet od odgovornosti ako dokaže da ni na koji način nije odgovoran za štetu. Pojam štete treba široko tumačiti s obzirom na sudsku praksu Suda pravde tako da se u potpunosti odražavaju ciljevi ove uredbe. Time se ne dovode u pitanje zahtevi za naknadu štete nastale zbog kršenja drugih pravila prava Unije ili prava države članice. Obrada kojom se krši ova uredba takođe uključuje obradu kojom se krše delegirani akti i akti za sprovođenje doneti u skladu s ovom uredbom i pravom države članice kojim se propisuju pravila ove uredbe. Lica na koja se podaci odnose moraju da dobiju punu i efikasnu naknadu za štetu koju su pretrpela. Ako su rukovaoci ili obrađivači uključeni u istu obradu, svaki rukovalac ili obrađivač mora da se smatra odgovornim za celokupnu štetu. Međutim, ako su povezani u isti sudski postupak, u skladu sa pravom države članice, naknada može da se raspodeli u skladu sa odgovornošću svakog rukovaoca ili obrađivača za štetu prouzrokovanu obradom, pod uslovom da se obezbedi puna i efikasna naknada za lice na koje se podaci odnose koje je pretrpelo štetu. Svaki rukovalac ili obrađivač koji je platio punu naknadu može naknadno da pokrene postupak za regres protiv drugih rukovalaca ili obrađivača uključenih u istu obradu.
(147) ako su posebna pravila o nadležnosti sadržana u ovoj uredbi, posebno u vezi sa postupcima kojima se traži pravni lek, uključujući i naknadu, od rukovaoca ili obrađivača, opšta pravila o nadležnosti kao što su pravila iz Uredbe (EU) br. 1215/2012 Evropskog parlamenta i Saveta (13) ne smeju da dovode u pitanje primenu takvih posebnih pravila.
(148) u cilju jačanja primene pravila ove uredbe, za svako kršenje ove uredbe treba propisati sankcije, uključujući i upravne novčane kazne, pored odgovarajućih mera koje propisuje nadzorni organ u skladu s ovom uredbom ili umesto njih. U slučaju manjeg kršenja ili ako bi novčana kazna koja bi verovatno bila izrečena predstavljala nesrazmerno opterećenje za fizičko lice, umesto novčane kazne može da se uputi upozorenje. Međutim, treba uzeti u obzir prirodu, ozbiljnost i trajanje kršenja, postojanje elemenata namere kršenja, mere preduzete za ublažavanje pretrpljene štete, stepen odgovornosti ili sva relevantna prethodna kršenja, način na koji je nadzorni organ saznao za kršenje, poštovanje mera naloženih protiv rukovaoca ili obrađivača, poštovanje kodeksa ponašanja i druge otežavajuće ili olakšavajuće faktore. Na izricanje sankcija, uključujući i upravne novčane kazne, treba da se primenjuju odgovarajuće procesne mere zaštite u skladu sa opštim principima prava Unije i Povelje, uključujući i efikasnu sudsku zaštitu i pravilno postupanje.
(149) države članice moraju da imaju mogućnost da propišu pravila o krivičnim sankcijama za kršenja ove uredbe, uključujući i kršenja nacionalnih pravila usvojenih na osnovu ove uredbe i u okvirima ove uredbe. Te krivične sankcije takođe mogu da omogućavaju oduzimanje dobiti stečene kršenjem ove uredbe. Međutim, izricanje krivičnih sankcija za kršenje takvih nacionalnih pravila i upravnih sankcija ne sme da dovede do kršenja načela ne bis in idem, kako ga tumači Sud pravde.
(150) u cilju ojačavanja i usklađivanja administrativnih sankcija za kršenje ove uredbe, svaki nadzorni organ mora da ima ovlašćenje da izriče administrativne novčane kazne. U ovoj uredbi treba navesti kršenja i gornja granica i kriterijumi za određivanje povezanih administrativnih novčanih kazni, što u svakom pojedinačnom slučaju treba da odredi nadležni nadzorni organ, uzimajući u obzir sve relevantne okolnosti konkretne situacije, uzimajući u obzir posebno prirodu, težinu i trajanje kršenja i njegove posledice i mere preduzete za obezbeđivanje poštovanja obaveza iz ove uredbe i sprečavanje ili ublažavanje posledica kršenja. Kada se administrativne kazne izriču društvu, pojam društva treba tumačiti u skladu sa definicijom iz člana 101. i 102. UFEU za te svrhe. Ako su administrativne novčane kazne izrečene licima koja nisu društvo, nadzorni organ prilikom razmatranja odgovarajućeg iznosa novčane kazne treba da uzme u obzir opšti nivo prihoda u državi članici, kao i finansijsko stanje lica. Takođe može da se primeni mehanizam doslednosti radi promovisanja dosledne primene administrativnih novčanih kazni. Države članice moraju da odrede da li i u kojoj meri administrativne novčane kazne treba da se primenjuju na organe vlasti. Izricanje administrativne novčane kazne ili davanje upozorenja ne utiče na primenu drugih ovlašćenja nadzornih tela ili drugih sankcija na osnovu ove uredbe.
(151) pravni sistemi Danske i Estonije ne dozvoljavaju administrativne novčane kazne predviđene ovom uredbom. Pravila o upravnim novčanim kaznama mogu da se primenjuju tako da u Danskoj nadležni nacionalni sudovi izriču novčanu kaznu kao krivičnu sankciju, a u Estoniji nadzorni organ izriče novčanu kaznu u okviru prekršajnog postupka, pod uslovom da takva primena pravila u tim državama članicama ima isti efekat kao i administrativne novčane kazne koje izriču nadzorni organi. Zbog toga nadležni nacionalni sudovi moraju da uzmu u obzir preporuku nadzornog organa koji je pokrenuo postupak za izricanje novčane kazne. U svakom slučaju, izrečene novčane kazne moraju da budu delotvorne, srazmerne i odvraćajuće.
(152) ako ovom uredbom nisu usklađene administrativne novčane kazne ili ako je to potrebno u drugim slučajevima, na primer u slučajevima ozbiljnih kršenja ove uredbe, države članice moraju da uvedu sistem kojim se predviđaju delotvorne, srazmerne i odvraćajuće sankcije. Priroda tih sankcija, krivičnih ili upravnih, treba da bude određena pravom države članice.
(153) pravo država članica treba da uskladi pravila kojima se uređuje sloboda izražavanja i informisanja, uključujući i novinarsko, akademsko, umetničko i/ili književno izražavanje, sa pravom na zaštitu podataka o ličnosti u skladu s ovom uredbom. Na obradu podataka o ličnosti isključivo u novinarske svrhe ili u svrhe akademskog, umetničkog ili književnog izražavanja treba primenjivati odstupanja ili izuzeća od određenih odredaba ove uredbe ako je to neophodno radi usklađivanja prava na zaštitu podataka o ličnosti sa pravom na slobodu izražavanja i informisanja, kako je utvrđeno u članu 11. Povelje. To bi posebno trebalo da se primenjuje na obradu podataka o ličnosti u audio-vizuelnoj oblasti i u novinskim i medijskim arhivima. Zbog toga države članice moraju da donesu zakonodavne mere kojima se propisuju izuzeci i odstupanja neophodni radi uravnotežavanja tih osnovnih prava. Države članice moraju da usvoje takve izuzetke i odstupanja u vezi sa opštim načelima, pravima lica na koje se podaci odnose, rukovaocem podataka i obrađivačem, prenosom podataka o ličnosti u treće zemlje ili međunarodne organizacije, nezavisnim nadzornim organima, saradnjom i usklađenošću i posebnim slučajevima obrade podataka. Ako se ti izuzeci i odstupanja razlikuju od jedne države članice do druge, treba da se primenjuje pravo države članice koje se primenjuje na rukovaoca podataka. Da bi se uzeo u obzir značaj prava na slobodu izražavanja u svakom demokratskom društvu, potrebno je široko tumačiti pojmove u vezi sa tom slobodom, kao što je novinarstvo.
(154) ova uredba dozvoljava uzimanje u obzir načela javnog pristupa službenim dokumentima prilikom njene primene. Može da se smatra da je javni pristup službenim dokumentima u javnom interesu. Organ vlasti ili državno telo mora da ima mogućnost da javno otkrije podatke o ličnosti iz dokumenata koje takav organ vlasti ili državno telo poseduje ako je to otkrivanje predviđeno pravom Unije ili pravom države članice koje se primenjuje na taj organ vlasti ili državno telo. Takvim propisima treba da se uskladi javni pristup službenim dokumentima i ponovna upotreba informacija iz javnog sektora sa pravom na zaštitu podataka o ličnosti i zbog toga mogu da propisuju neophodno usklađivanje sa pravom na zaštitu podataka o ličnosti u skladu s ovom uredbom. Upućivanje na organe vlasti i državna tela u tom kontekstu treba da obuhvata sve organe ili druga tela obuhvaćena pravom države članice o javnom pristupu dokumentima. Direktiva 2003/98/EZ Evropskog parlamenta i Saveta (14) ne menja i ni na koji način ne utiče na nivo zaštite fizičkih lica u odnosu na obradu podataka o ličnosti na osnovu odredaba prava Unije i prava države članice, a posebno ne menja obaveze i prava propisane u ovoj uredbi. Ta direktiva posebno ne sme da se primenjuje na dokumente kojima je pristup izuzet ili ograničen režimima pristupa radi zaštite podataka o ličnosti i na delove dokumenata kojima se može pristupiti pomoću tih režima, a koji sadrže podatke o ličnosti čija je ponovna upotreba zakonom određena kao nekompatibilna sa pravom o zaštiti fizičkih lica u odnosu na obradu podataka o ličnosti.
(155) pravo države članice ili kolektivni ugovori, uključujući i „ugovore o radovima”, mogu da propisuju posebna pravila za obradu podataka o ličnosti zaposlenih u kontekstu zaposlenja, posebno za uslove pod kojima se podaci o ličnosti u kontekstu zaposlenja mogu obrađivati na osnovu pristanka zaposlenog, u svrhe zapošljavanja, izvršavanja ugovora o radu, uključujući i ispunjavanje obaveza propisanih zakonom ili kolektivnim ugovorima, za potrebe upravljanja radom i planiranja i organizacije rada, jednakosti i različitosti na radnom mestu, zdravlja i bezbednosti na radu i za potrebe ostvarivanja i uživanja prava i koristi iz radnog odnosa, na pojedinačnoj ili kolektivnoj osnovi, i za potrebe prekida radnog odnosa.
(156) na obradu podataka o ličnosti u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe moraju da se primenjuju odgovarajuće mere zaštite za prava i slobode lica na koje se podaci odnose u skladu s ovom uredbom. Te mere zaštite moraju da obezbede postojanje tehničkih i organizacionih mera da bi se posebno obezbedilo načelo korišćenja najmanje moguće količine podataka. Dalja obrada podataka o ličnosti u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe može da se vrši kada rukovalac podataka proceni izvodljivost ispunjavanja tih svrha obradom podataka koji ne omogućavaju ili više ne omogućavaju identifikaciju lica na koja se podaci odnose, pod uslovom da postoje odgovarajuće mere zaštite (kao što je na primer pseudonimizacija podataka). Države članice moraju da obezbede odgovarajuće mere zaštite za obradu podataka o ličnosti u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe. Države članice moraju da budu ovlašćene da pod posebnim uslovima i uz primenu odgovarajućih mera zaštite za lica na koja se podaci odnose propišu specifikacije i odstupanja u pogledu zahteva za informisanje i prava na ispravku, na brisanje, na zaborav, na ograničavanje obrade, na prenosivost podataka i na prigovor prilikom obrade podataka o ličnosti u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe. Ti uslovi i mere zaštite mogu da podrazumevaju posebne postupke za ostvarivanje prava lica na koja se podaci odnose ako je to primereno s obzirom na svrhu konkretne obrade, uz tehničke i organizacione mere usmerene na svođenje obrade podataka o ličnosti na najmanju moguću meru kako bi se poštovala načela srazmernosti i neophodnosti. Obrada podataka o ličnosti u naučne svrhe takođe mora da bude u skladu sa drugim relevantnim zakonodavstvom, kao što je zakonodavstvo o kliničkim ispitivanjima.
(157) povezivanjem informacija iz registara istraživači mogu da steknu novo znanje velike vrednosti u vezi sa rasprostranjenim zdravstvenim problemima kao što su kardio-vaskularne bolesti, rak i depresija. Na osnovu registara rezultati istraživanja mogu da se unaprede jer se zasnivaju na većem broju stanovnika. U okviru društvenih nauka, istraživanje na osnovu registara omogućava istraživačima da steknu ključno znanje o dugoročnoj povezanosti brojnih društvenih uslova, kao što su nezaposlenost i obrazovanje sa drugim uslovima života. Rezultati istraživanja dobijeni putem registara obezbeđuju pouzdano, visokokvalitetno znanje koje može da obezbedi osnovu za formulisanje i sprovođenje politike zasnovane na znanju, da poboljša kvalitet života velikog broja ljudi i da unapredi efikasnost društvenih usluga. U cilju olakšavanja naučnog istraživanja, podaci o ličnosti mogu da se obrađuju za potrebe naučnog istraživanja, ako se primenjuju odgovarajući uslovi i mere zaštite propisane u pravu Unije ili pravu države članice.
(158) ako se podaci o ličnosti obrađuju u svrhe arhiviranja, ova uredba takođe treba da se primenjuje na takvu obradu, imajući u vidu da ova uredba ne treba da se primenjuje na preminula lica. Organi vlasti ili javna ili privatna tela koja poseduju evidencije od javnog interesa moraju da budu službe koje, na osnovu prava Unije ili prava države članice, imaju zakonsku obavezu da prikupljaju, čuvaju, ocenjuju, uređuju, opisuju, saopštavaju, podstiču, šire i pružaju uvid u evidencije od trajne vrednosti za opšti javni interes. Države članice takođe moraju da budu ovlašćene da predvide dalju obradu podataka o ličnosti u svrhe arhiviranja, na primer u cilju pružanja posebnih informacija u vezi sa političkim ponašanjem za vreme bivših totalitarnih državnih režima, genocida, zločina protiv čovečnosti, a posebno holokausta, ili ratnih zločina.
(159) ako se podaci o ličnosti obrađuju u svrhe naučnog istraživanja, ova uredba takođe treba da se primenjuje na tu obradu. Za potrebe ove uredbe, obrada podataka o ličnosti u svrhe naučnog istraživanja treba široko da se tumači, uključujući na primer tehnološki razvoj i demonstrativne aktivnosti, osnovno istraživanje, primenjeno istraživanje i istraživanje koje se finansira iz privatnih izvora. Pored toga, treba da uzima u obzir cilj Unije iz člana 179, stav 1. UFEU u vezi sa uspostavljanjem evropskog istraživačkog prostora. Svrhe naučnog istraživanja takođe moraju da obuhvataju studije koje se obavljaju u javnom interesu u oblasti javnog zdravlja. U cilju poštovanja posebnosti obrade podataka o ličnosti u svrhe naučnog istraživanja, treba primenjivati posebne uslove, posebno u vezi sa objavljivanjem ili drugim načinima otkrivanja podataka o ličnosti u kontekstu svrha naučnog istraživanja. Ako su zbog rezultata naučnog istraživanja, posebno u kontekstu zdravlja, potrebne dodatne mere u interesu lica na koje se podaci odnose, opšta pravila ove uredbe se primenjuju u vezi sa tim merama.
(160) ako se podaci o ličnosti obrađuju u svrhe istorijskog istraživanja, ova uredba takođe treba da se primenjuje na tu obradu. To takođe treba da obuhvata istorijsko istraživanje i istraživanje u genealoške svrhe, imajući u vidu da ova uredba ne treba da se primenjuje na preminula lica.
(161) za potrebe pristanka za učešće u aktivnostima naučnog istraživanja u kliničkim ispitivanjima moraju da se primenjuju relevantne odredbe Uredbe (EU) br. 536/2014 Evropskog parlamenta i Saveta (15).
(162) ako se podaci o ličnosti obrađuju u statističke svrhe, ova uredba takođe treba da se primenjuje na tu obradu. Pravo Unije ili pravo država članica treba, u okvirima ove uredbe, da odredi statistički sadržaj, kontrolu pristupa, specifikacije za obradu podataka o ličnosti u statističke svrhe i primerene mere za zaštitu prava i sloboda lica na koje se podaci odnose i za obezbeđivanje statističke poverljivosti. Statističke svrhe su svako prikupljanje i obrada podataka o ličnosti neophodnih za statistička istraživanja ili za stvaranje statističkih rezultata. Ti statistički rezultati mogu dalje da se koriste u različite svrhe, uključujući i naučno istraživanje. Statistička svrha podrazumeva da rezultat obrade u statističke svrhe nisu podaci o ličnosti, već agregirani podaci i da se taj rezultat ili podaci ne koriste kao podrška za mere ili odluke u vezi sa konkretnim fizičkim licem.
(163) poverljive informacije koje statistička tela Unije i nacionalni statistički organi prikupljaju za sastavljanje službenih evropskih i nacionalnih statističkih podataka moraju da budu zaštićene. Evropske statističke podatke treba razvijati, izrađivati i širiti u skladu sa statističkim načelima propisanim u članu 338, stav 2. UFEU, dok nacionalni statistički podaci moraju da budu i u skladu sa pravom države članice. Uredba (EZ) br. 223/2009 Evropskog parlamenta i Saveta (16) propisuje dalje pojedinosti o statističkoj poverljivosti evropskih statističkih podataka.
(164) što se tiče ovlašćenja nadzornih organa za dobijanje pristupa podacima o ličnosti i prostorijama od rukovaoca ili obrađivača, države članice mogu zakonom, u okvirima ove uredbe, da usvoje posebna pravila radi zaštite profesionalnih ili drugih odgovarajućih obaveza čuvanja tajnosti podataka, ako je to neophodno zbog usklađivanja prava na zaštitu podataka o ličnosti sa obavezom čuvanja profesionalne tajne. To ne dovodi u pitanje postojeće obaveze država članica da usvoje pravila o čuvanju profesionalne tajne kada se to zahteva pravom Unije.
(165) ova uredba poštuje i ne dovodi u pitanje status crkava i verskih udruženja ili zajednica u državama članicama prema postojećem ustavnom pravu, kako je priznato članom 17. UFEU.
(166) kako bi se ostvarili ciljevi ove uredbe, odnosno zaštitila osnovna prava i slobode fizičkih lica, a posebno njihovo pravo na zaštitu podataka o ličnosti i obezbedilo slobodno kretanje podataka o ličnosti unutar Unije, Komisiji treba delegirati ovlašćenje za donošenje akata u skladu s članom 290. UFEU. Konkretno, treba usvojiti delegirane akte o kriterijumima i zahtevima za mehanizme sertifikacije, informacijama koje se prikazuju pomoću standardizovanih ikona i postupcima za utvrđivanje takvih ikona. Posebno je važno da Komisija obavi odgovarajuće konsultacije prilikom pripremnog rada, uključujući i konsultacije na ekspertskom nivou. Prilikom pripreme i izrade delegiranih akata, Komisija mora da obezbedi da se relevantni dokumenti Evropskom parlamentu i Savetu šalju istovremeno, blagovremeno i primereno.
(167) u cilju obezbeđivanja jedinstvenih uslova za sprovođenje ove uredbe, Komisiji treba dodeliti ovlašćenja za sprovođenje kada je to predviđeno ovom uredbom. Ta ovlašćenja moraju da se izvršavaju u skladu sa Uredbom (EU) br. 182/2011. U tom kontekstu, Komisija mora da razmotri posebne mere za mikro, mala i srednja preduzeća.
(168) postupak ispitivanja treba koristiti za donošenje akata za sprovođenje o standardnim ugovornim klauzulama između rukovaoca podataka i obrađivača i između obrađivača; kodeksima ponašanja; tehničkim standardima i mehanizmima sertifikacije; primerenom nivou zaštite koji obezbeđuje treća zemlja, teritorija ili određeni sektor u toj trećoj zemlji ili međunarodna organizacija; standardnim klauzulama o zaštiti; formatima i postupcima za razmenu informacija elektronskim putem između rukovalaca podataka, obrađivača i nadzornih organa za obavezujuća korporativna pravila; uzajamnoj pomoći; i rešenjima za razmenu informacija elektronskim putem između nadzornih organa i između nadzornih organa i Odbora.
(169) Komisija treba da usvoji akte za sprovođenje koji se odmah primenjuju kada se na osnovu raspoloživih dokaza otkrije da treća zemlja, teritorija ili određeni sektor u toj trećoj zemlji ili međunarodna organizacija ne obezbeđuje odgovarajući nivo zaštite, a krajnje hitni razlozi to zahtevaju.
(170) s obzirom na to da cilj ove uredbe, odnosno obezbeđivanje istog nivoa zaštite fizičkih lica i slobodnog protoka podataka o ličnosti širom Unije, države članice ne mogu da ostvare u dovoljnoj meri, već zbog obuhvata ili efekata radnji može bolje da se ostvari na nivou Unije, Unija može da usvoji mere u skladu sa načelom supsidijarnosti utvrđenom u članu 5. Ugovora o Evropskoj uniji (UEU). U skladu sa načelom srazmernosti utvrđenom u tom članu, ova uredba ne prevazilazi ono što je neophodno za ostvarivanje tih ciljeva.
(171) Direktiva 95/46/EZ treba ovom uredbom da se stavi van snage. Obrade koje su već u toku na dan početka primene ove uredbe treba uskladiti sa ovom uredbom u roku od dve godine nakon stupanja ove uredbe na snagu. Ako se obrada zasniva na pristanku u skladu sa Direktivom 95/46/EZ, nije neophodno da lice na koje se podaci odnose ponovo daje svoj pristanak ako je način na koji je pristanak dat u skladu sa uslovima ove uredbe, kako bi se rukovaocu podataka omogućilo da nastavi takvu obradu nakon dana početka primene ove Uredbe. Donete odluke Komisije i odobrenja nadzornih organa zasnovani na Direktivi 95/46/EZ ostaju na snazi dok ne budu izmenjeni, zamenjeni ili stavljeni van snage.
(172) je Evropski supervizor za zaštitu podataka konsultovan u skladu sa članom 28, stav 2. Uredbe (EZ) br. 45/2001 Evropskog parlamenta i Saveta i da je dostavio mišljenje 7. marta 2012. (17).
(173) ova uredba treba da se primenjuje na sva pitanja u vezi sa zaštitom osnovnih prava i sloboda u odnosu na obradu podataka o ličnosti na koja se ne primenjuju posebne obaveze sa istim ciljem koji je utvrđen u Direktivi 2002/58/EZ Evropskog parlamenta i Saveta (18), uključujući i obaveze rukovaoca podataka i prava fizičkih lica. Kako bi se pojasnio odnos između ove uredbe i Direktive 2002/58/EZ, ta direktiva treba da bude izmenjena shodno tome. Nakon usvajanja ove uredbe, Direktiva 2002/58/EZ treba da bude revidirana, posebno kako bi se osigurala doslednost sa ovom uredbom,
USVOJILI SU OVU UREDBU:
POGLAVLjE I Opšte odredbe
Član 1. Predmet i ciljevi 1. Ovom uredbom se propisuju pravila u vezi sa zaštitom fizičkih lica prilikom obrade podataka o ličnosti i pravila u vezi sa slobodnim kretanjem podataka o ličnosti. 2. Ovom uredbom se štite osnovna prava i slobode fizičkih lica, a posebno njihovo pravo na zaštitu podataka o ličnosti. 3. Slobodno kretanje podataka unutar Unije se ne sme ograničavati ili zabranjivati iz razloga koji se odnose na zaštitu fizičkih lica prilikom obrade podataka o ličnosti.
Član 2. Područje primene 1. Ova uredba se primenjuje na obradu podataka o ličnosti koja se u celosti ili delimično obavlja automatski i na neautomatizovanu obradu podataka o ličnosti koji čine deo sistema pohranjivanja ili su namenjeni da budu deo sistema pohranjivanja. 2. Ova uredba se ne primenjuje na obradu podataka o ličnosti: (a) u okviru delatnosti koja nije obuhvaćena područjem primene prava Unije; (b) koju vrše države članice prilikom obavljanja aktivnosti koje su obuhvaćene područjem primene naslova V poglavlja 2. UEU; (v) koju vrši fizičko lice prilikom isključivo lične ili kućne aktivnosti; (g) koju vrše nadležni organi u svrhu sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija, uključujući i zaštitu od pretnji za javnu bezbednost i njihovo sprečavanje. 3. Na obradu podataka o ličnosti koju vrše institucije, organi, kancelarije i agencije Unije primenjuje se Uredba (EZ) br. 45/2001. Uredba (EZ) br. 45/2001 i drugi pravni akti Unije koji se primenjuju na takvu obradu podataka o ličnosti moraju da se prilagode načelima i pravilima ove uredbe u skladu sa članom 98. 4. Ovom uredbom se ne dovodi u pitanje primena Direktive 2000/31/EZ, a posebno pravila o odgovornosti posrednih pružalaca usluga iz člana od 12. do 15. te direktive.
Član 3. Teritorijalno važenje 1. Ova uredba se primenjuje na obradu podataka o ličnosti u okviru aktivnosti osnivanja sedišta rukovaoca ili obrađivača u Uniji, nezavisno od toga da li se obrada vrši u Uniji ili ne. 2. Ova uredba se primenjuje na obradu podataka o ličnosti lica na koje se podaci odnose u Uniji koju vrši rukovalac ili obrađivač koji nema sedište u Uniji, ako su aktivnosti obrade povezane sa: (a) nuđenjem robe ili usluga takvim licima na koje se podaci odnose u Uniji, nezavisno od toga da li lice na koje se podaci odnose treba da izvrši plaćanje; ili (b) praćenjem njihovog ponašanja, pod uslovom da se njihovo ponašanje odvija unutar Unije.
- Ova uredba se primenjuje na obradu podataka o ličnosti koju vrši rukovalac koji nema sedište u Uniji, već u mestu gde se pravo države članice primenjuje na osnovu međunarodnog javnog prava.
Član 4. Definicije U tekstu ove uredbe: 1.„podaci o ličnosti” su svi podaci koji se odnose na fizičko lice čiji je identitet određen ili se može odrediti (u daljem tekstu: lice na koje se podaci odnose); fizičko lice čiji se identitet može odrediti je lice koja se može identifikovati posredno ili neposredno, posebno pomoću identifikatora kao što su ime, identifikacioni broj, podaci o lokaciji, mrežni identifikator ili pomoću jednog ili više faktora svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet tog fizičkog lica; 2. „obrada” je svaki postupak ili skup postupaka koji se vrši nad podacima o ličnosti ili nad skupovima podataka o ličnosti, automatski ili neautomatizovano, kao što su prikupljanje, evidentiranje, organizacija, strukturiranje, skladištenje, prilagođavanje ili izmena, pronalaženje, vršenje uvida, upotreba, otkrivanje prenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombinovanje, ograničavanje, brisanje ili uništavanje; 3. „ograničavanje obrade” je obeležavanje uskladištenih podataka o ličnosti u cilju ograničavanja njihove obrade u budućnosti; 4. „profilisanje” je svaki oblik automatske obrade podataka o ličnosti koji se sastoji od korišćenja podataka o ličnosti za procenu određenih ličnih aspekata u vezi sa fizičkim licem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, materijalnim stanjem, zdravljem, ličnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog fizičkog lica; 5. „pseudonimizacija” je obrada podataka o ličnosti na takav način da podaci o ličnosti više ne mogu da se povežu s konkretnim licem na koje se podaci odnose bez korišćenja dodatnih informacija, pod uslovom da se takve dodatne informacije čuvaju odvojeno i da se na njih primenjuju tehničke i organizacione mere da bi se obezbedilo da podaci o ličnosti ne mogu da se povežu s fizičkim licem čiji je identitet određen ili se može odrediti; 6. „sistem pohranjivanja” je svaki strukturirani skup podataka o ličnosti koji su dostupni u skladu sa posebnim kriterijumima, bez obzira na to da li su centralizovani, decentralizovani ili raspršeni na funkcionalnoj ili geografskoj osnovi; 7. „rukovalac” je fizičko ili pravno lice, organ vlasti, agencija ili drugo telo koje samo ili zajedno s drugim telima određuje svrhe i sredstva obrade podataka o ličnosti; kada su svrhe i sredstva takve obrade utvrđeni pravom Unije ili pravom države članice, rukovalac ili posebni kriterijumi za njegovo imenovanje mogu biti propisani pravom Unije ili pravom države članice; 8. „obrađivač” je fizičko ili pravno lice, organ vlasti, agencija ili drugo telo koje obrađuje podatke o ličnosti u ime rukovaoca; 9. „korisnik” je fizičko ili pravno lice, organ vlasti, agencija ili drugo telo kojem se otkrivaju podaci o ličnosti, nezavisno od toga da li je u pitanju treće lice ili ne. Međutim, organi vlasti koji mogu da prime podatke o ličnosti u okviru određene istrage u skladu s pravom Unije ili države članice ne smatraju se korisnicima; obrada tih podataka koju vrše ti organi vlasti mora da bude u skladu s važećim pravilima o zaštiti podataka prema svrhama obrade; 10. „treće lice” je fizičko ili pravno lice, organ vlasti, agencija ili drugo telo koje nije lice na koje se podaci odnose, rukovalac, obrađivač ni lica koja su ovlašćena za obradu podataka o ličnosti pod neposrednom nadležnošću rukovaoca ili obrađivača; 11.„pristanak” lica na koje se podaci odnose je svako dobrovoljno, izričito, informisano i nedvosmisleno izražavanje želja lica na koje se podaci odnose kojim on izjavom ili konkludentnom radnjom daje pristanak za obradu podataka o ličnosti koji se na njega odnose; 12. „povreda bezbednosti podataka o ličnosti” je kršenje bezbednosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja ili pristupa podacima o ličnosti koji su preneti, uskladišteni ili na drugi način obrađivani; 13. „genetski podaci” su podaci o ličnosti koji se odnose na nasleđene ili stečene genetske osobine fizičkog lica koje daju jedinstvene informacije o fiziologiji ili zdravlju tog fizičkog lica, i koji su dobijeni pre svega analizom biološkog uzorka tog fizičkog lica; 14. „biometrijski podaci” su podaci o ličnosti dobijeni posebnom tehničkom obradom u vezi s fizičkim osobinama, fiziološkim osobinama ili karakteristikama ponašanja fizičkog lica koja omogućavaju ili potvrđuju jedinstvenu identifikaciju tog fizičkog lica, kao što su fotografije lica ili daktiloskopski podaci; 15. „podaci o zdravstvenom stanju” su podaci o ličnosti u vezi sa fizičkim ili mentalnim zdravljem fizičkog lica, uključujući i pružanje zdravstvenih usluga, koji otkrivaju informacije o njegovom zdravstvenom stanju; 16. „glavno sedište” je:
(a) za rukovaoca sa sedištem u više od jedne države članice, mesto njegove centralne uprave u Uniji, osim ako se odluke o svrhama i sredstvima obrade podataka o ličnosti donose u drugom sedištu rukovaoca u Uniji i ako je to drugo sedište ovlašćeno da sprovodi takve odluke, u kom slučaju se sedište u kojem se donose takve odluke smatra glavnim sedištem;
(b) za obrađivača sa sedištem u više od jedne države članice, mesto njegove centralne uprave u Uniji, ili, ako obrađivač nema centralnu upravu u Uniji, sedište obrađivača u Uniji u kojem se odvijaju glavne aktivnosti obrade u okviru aktivnosti osnivanja sedišta obrađivača, ako se na obrađivača primenjuju posebne obaveze u skladu s ovom uredbom; 17. „predstavnik” je fizičko ili pravno lice sa sedištem u Uniji koje je rukovalac ili obrađivač pisanim putem imenovao u skladu sa članom 27. i koje predstavlja rukovaoca ili obrađivača u vezi s njegovim obavezama na osnovu ove uredbe; 18. „preduzeće” je fizičko ili pravno lice koja obavlja privrednu delatnost, bez obzira na njegov pravni oblik, uključujući partnerstva ili udruženja koja redovno obavljaju privrednu delatnost; 19. „grupa povezanih društava” su društvo koje ostvaruje kontrolu i društva koji su pod njegovom kontrolom; 20. „obavezujuća korporativna pravila” su politike zaštite podataka o ličnosti koje rukovalac i obrađivač sa sedištem na teritoriji države članice poštuju prilikom prenosa ili skupova prenosa podataka o ličnosti rukovaocu ili obrađivaču u jednoj ili više trećih zemalja u okviru grupe povezanih društava ili grupe preduzeća koja se bave zajedničkom privrednom delatnošću;
- „nadzorni organ” je nezavisni organ vlasti koji je osnovala država članica u skladu sačlanom 51; 22. „zainteresovani nadzorni organ” je nadzorni organ koji vrši obradu podataka o ličnosti zato što:
- (a) rukovalac ili obrađivač ima sedište na teritoriji države članice tog nadzornog organa; (b) obrada značajno utiče ili će verovatno značajno uticati na lica na koje se podaci odnose koja borave u državi članici tog nadzornog organa; ili (v) je podneta pritužba tom nadzornom organu. 23. „prekogranična obrada” je ili:
(a) obrada podataka o ličnosti koja se vrši u Uniji u okviru aktivnosti osnivanja sedišta u više od jedne države članice rukovaoca ili obrađivača, a rukovalac ili obrađivač ima sedište u više od jedne države članice; ili
(b) obrada podataka o ličnosti koja se vrši u Uniji u okviru aktivnosti jedinog sedišta rukovaoca ili obrađivača, ali koja značajno utiče ili će verovatno značajno uticati na lica na koja se podaci odnose u više od jedne države članice. 24. „relevantni i obrazloženi prigovor” je prigovor na nacrt odluke o tome da je li došlo do kršenja ove uredbe, ili da je li predviđeno delovanje u vezi sa rukovaocem ili obrađivačem u skladu s ovom uredbom, koji jasno pokazuje važnost rizika koje predstavlja nacrt odluke u pogledu osnovnih prava i sloboda lica na koje se podaci odnose i, ako se primenjuje, slobodnog protoka podataka o ličnosti unutar Unije; 25. „usluga informacionog društva” je usluga definisana članom 1, stav 1, tačka (b) Direktive (EU) 2015/1535 Evropskog parlamenta i Saveta (19); 26. „međunarodna organizacija” je organizacija sa svojim podređenim telima uređena međunarodnim javnim pravom ili bilo koje drugo telo koje su sporazumom ili na osnovu sporazuma osnovale dve ili više zemalja.
POGLAVLjE II Načela
Član 5. Načela obrade podataka o ličnosti 1. Podaci o ličnosti moraju da budu:
(a) obrađeni zakonito, pravično i transparentno u odnosu na lice na koje se podaci odnose („zakonitost, pravičnost i transparentnost”);
(b) prikupljeni u određene, izričite i zakonite svrhe i ne smeju dalje da se obrađuju na način koji nije u skladu s tim svrhama; dalja obrada u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe, u skladu sa članom 89, stav 1, ne smatra se neusklađenom sa prvobitnim svrhama („ograničavanje svrhe”); (v) primereni, relevantni i ograničeni na ono što je neophodno u svrhe u koje se obrađuju („korišćenje najmanjeg mogućeg obima podataka”); (g) tačni i prema potrebi ažurirani; potrebno je preduzeti sve prihvatljive mere kako bi se obezbedilo da podaci o ličnosti koji nisu tačni, imajući u vidu svrhe u koje se obrađuju, budu bez odlaganja obrisani ili ispravljeni („tačnost”); (d) čuvani u obliku koji omogućava identifikaciju lica na koje se podaci odnose i to ne duže nego što je neophodno u svrhe u koje se podaci obrađuju; podaci o ličnosti mogu da se čuvaju u dužem periodu ako će se podaci o ličnosti obrađivati isključivo u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe u skladu sa članom 89, stav 1, s tim da moraju da se preduzmu odgovarajuće tehničke i organizacione mere propisane ovom uredbom radi zaštite prava i sloboda lica na koja se podaci odnose („ograničenje čuvanja”); (đ) obrađeni na način kojim se obezbeđuje odgovarajuća bezbednost podataka o ličnosti, uključujući i zaštitu od neovlašćene ili nezakonite obrade i od slučajnog gubitka, uništenja ili oštećenja primenom odgovarajućih tehničkih ili organizacionih mera („integritet i poverljivost”); 2. Rukovalac je odgovoran za usklađenost sa stavom 1. i mora da bude u mogućnosti da dokaže tu usklađenost („odgovornost”).
Član 6. Zakonitost obrade 1. Obrada je zakonita samo ako je ispunjen i u meri u kojoj je ispunjen najmanje jedan od sledećih uslova: (a) lice na koje se podaci odnose je dalo svoj pristanak za obradu svojih podataka o ličnosti u jednu ili više konkretnih svrha; (b) obrada je potrebna radi izvršenja ugovora u kojem je lice na koje se podaci odnose ugovorna strana ili radi preduzimanja mera na zahtev lica na koje se podaci odnose pre zaključenja ugovora; (v) obrada je potrebna za izvršavanje zakonske obaveze koja se primenjuje na rukovaoca; (g) obrada je potrebna radi zaštite životnih interesa lica na koje se podaci odnose ili drugog fizičkog lica; (d) obrada je potrebna za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodeljenih rukovaocu; (đ) obrada je potrebna zbog legitimnih interesa čijem ostvarenju teži rukovalac ili treće lice, osim kada nad tim interesima preovlađuju interesi osnovni prava i sloboda lica na koje se podaci odnose koji zahtevaju zaštitu podataka o ličnosti, posebno ako je lice na koje se podaci odnose dete. Tačka (đ) prvog podstava se ne primenjuje na obradu koju vrše organi vlasti prilikom obavljanja svojih poslova. 2. Države članice mogu da zadrže ili da uvedu posebne odredbe kako bi se primena pravila iz ove uredbe o obradi prilagodila radi usklađivanja sa stavom 1, tačke (v) i (d) tako što će se preciznije odrediti posebni uslovi za obradu i druge mere za obezbeđivanje zakonite i pravične obrade, između ostalog i za druge posebne situacije obrade iz Poglavlja IX. 3. Osnov za obradu iz stava 1, tačke (v) i (d) propisuje se: (a) pravom Unije; ili (b) pravom države članice koje se primenjuje na rukovaoca. Svrha obrade određuje se tim pravnim osnovom ili je, u slučaju obrade iz stava 1, tačka (d), neophodna za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodeljenih rukovaocu podataka. Taj pravi osnov može da sadrži posebne odredbe za prilagođavanje primene pravila ove uredbe, između ostalog: opšte uslove kojima se uređuje zakonitost obrade koju vrši rukovalac; vrste podataka koji se obrađuju; lica na koje se podaci odnose; subjekte kojima podaci o ličnosti mogu da se otkrivaju i svrhe u koje podaci o ličnosti mogu da se otkrivaju; ograničavanje svrhe; rokove čuvanja; te radnje obrade i postupke obrade, uključujući i mere za obezbeđivanje zakonite i pravične obrade, kao što su mere za druge posebne situacije obrade iz Poglavlja IX. Pravom Unije ili pravom države članice mora da se ostvari cilj od javnog interesa i mora da bude srazmerno zakonitom cilju kojem se teži. 4. Ako obrada u svrhu koja je različita od svrhe u koju su podaci o ličnosti prikupljeni nije zasnovana na pristanku lica na koje se podaci odnose ili na pravu Unije ili pravu države članice koje predstavlja neophodnu i srazmernu meru u demokratskom društvu za zaštitu ciljeva iz člana 23, stav 1, rukovalac, u cilju utvrđivanja da li je obrada u drugu svrhu u skladu sa svrhom u koju su podaci o ličnosti prvobitno prikupljeni, između ostalog uzima u obzir: (a) svaku vezu između svrha u koje su podaci o ličnosti prikupljeni i svrha nameravane dalje obrade; (b) kontekst u kojem su podaci o ličnosti prikupljeni, posebno u pogledu odnosa između lica na koje se podaci odnose i rukovaoca; (v) prirodu podataka o ličnosti, posebno činjenicu da li se obrađuju posebne kategorije podataka o ličnosti u skladu sa članom 9 ili podaci o ličnosti koji se odnose na krivične osude i krivična dela u skladu sa članom 10; (g) moguće posledice nameravane dalje obrade za lica na koje se podaci odnose; (d) postojanje odgovarajućih mera zaštite, koje mogu da obuhvataju enkripciju ili pseudonimizaciju.
Član 7. Uslovi za pristanak 1. Kada je obrada zasnovana na pristanku, rukovalac mora da bude u mogućnosti da dokaže da je lice na koje se podaci odnose dalo pristanak za obradu svojih podataka o ličnosti. 2. Ako lice na koje se podaci odnose dâ pristanak u pisanoj izjavi koja se odnosi i na druga pitanja, zahtev za pristanak mora da bude prikazan tako da se jasno razlikuje od drugih pitanja, u razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika. Bilo koji deo takve izjave koji predstavlja kršenje ove uredbe nije obavezujući. 3. Lice na koje se podaci odnose ima pravo da u bilo kom trenutku povuče svoj pristanak. Povlačenje pristanka ne utiče na zakonitost obrade na osnovu pristanka pre povlačenja pristanka. O tome se pre davanja pristanka obaveštava lice na koje se podaci odnose. Povlačenje pristanka mora da bude podjednako jednostavno kao i davanje pristanka. 4. Kada se procenjuje da li je pristanak dat dobrovoljno, u najvećoj mogućoj meri se uzima u obzir da li je, između ostalog, izvršenje ugovora, uključujući i pružanje usluge, uslovljeno pristankom za obradu podataka o ličnosti koja nije neophodna za izvršenje tog ugovora.
Član 8. Uslovi koji se primenjuju na pristanak deteta u vezi sa uslugama informacionog društva 1. Kada se primenjuje član 6, stav 1, tačka (a), u pogledu neposrednog nuđenja usluga informacionog društva detetu, obrada podataka o ličnosti deteta je zakonita ako dete ima najmanje 16 godina. Ako je dete mlađe od 16 godina, takva obrada je zakonita samo ako i u meri u kojoj je pristanak dao ili odobrio vršilac roditeljskog prava nad detetom. Države članice mogu u ove svrhe zakonom da predvide nižu starosnu granicu, pod uslovom da takva niža starosna granica nije niža od 13 godina. 2. Rukovalac mora da učini sve što je u njegovoj moći da u takvim slučajevima proveri da li je pristanak dao ili odobrio vršilac roditeljskog prava nad detetom, uzimajući u obzir dostupnu tehnologiju. 3. Stav 1. ne utiče na opšte ugovorno pravo država članica kao što su pravila o važenju, zaključenju ili dejstvu ugovora u vezi s detetom.
Član 9. Obrada posebnih kategorija podataka o ličnosti 1. Zabranjena je obrada podataka o ličnosti koji otkrivaju rasno ili etničko poreklo, političko opredeljenje, verska ili filozofska ubeđenja ili pripadnost sindikatu, kao i obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije fizičkog lica, podataka o zdravstvenom stanju ili podataka o seksualnom životu ili seksualnoj orijentaciji fizičkog lica. 2. Stav 1. se ne primenjuje ako je ispunjen jedan od sledećih uslova: (a) lice na koje se podaci odnose je dalo izričit pristanak za obradu tih podataka o ličnosti za jednu ili više konkretnih svrha, izuzev kada pravo Unije ili pravo države članice propisuje da lice na koje se podaci odnose ne može odstupiti od zabrane iz stava 1; (b) obrada je potrebna radi izvršavanja dužnosti i posebnih prava rukovaoca ili lica na koje se podaci odnose u oblasti prava zapošljavanja i prava socijalnog osiguranja i socijalne zaštite, ako to dozvoljava pravo Unije ili države članice ili kolektivni ugovor u skladu sa pravom države članice koje propisuje odgovarajuće zaštitne mere za osnovna prava i interese lica na koje se podaci odnose; (v) obrada je potrebna radi zaštite životnih interesa lica na koje se podaci odnose ili drugog lica kada lice na koje se podaci odnose fizički ili pravno nije sposobno da dâ pristanak; (g) obradu u okviru svojih legitimnih aktivnosti, uz odgovarajuće garancije, vrši fondacija, udruženje ili bilo koje drugo neprofitno telo s političkim, filozofskim, verskim ili sindikalnim ciljem, i to pod uslovom da se obrada odnosi isključivo na članove tog tela ili na lica koja imaju redovne kontakte s njim u vezi s njegovom svrhom i da se podaci o ličnosti ne otkrivaju izvan tog tela bez pristanka lica na koja se podaci odnose;
(d) obrada se odnosi na podatke o ličnosti za koje je očigledno da ih je objavilo lice na koje se podaci odnose; (đ) obrada je neophodna za uspostavljanje, ostvarivanje ili odbranu pravnih zahteva ili kad sudovi postupaju u pravosudnom svojstvu; (e) obrada je neophodna za potrebe značajnog javnog interesa, na osnovu prava Unije ili prava države članice koje je srazmerno željenom cilju i kojim se poštuje suština prava na zaštitu podataka i obezbeđuju primerene i posebne mere za zaštitu osnovnih prava i interesa lica na koje se podaci odnose; (ž) obrada je neophodna za potrebe preventivne medicine ili medicine rada zbog procene radne sposobnosti zaposlenih, medicinske dijagnoze, pružanja zdravstvene ili socijalne zaštite ili lečenja ili upravljanja sistemima i uslugama zdravstvene ili socijalne zaštite na osnovu prava Unije ili prava države članice ili u skladu sa ugovorom sa zdravstvenim radnikom i shodno uslovima i merama zaštite iz stava 3; (z) obrada je neophodna iz razloga javnog interesa u oblasti javnog zdravlja, kao što je zaštita od ozbiljnih prekograničnih pretnji za zdravlje ili obezbeđivanje visokih standarda kvaliteta i bezbednosti zdravstvene zaštite i lekova i medicinskih sredstava, na osnovu prava Unije ili prava države članice kojim se propisuju odgovarajuće i posebne mere za zaštitu prava i sloboda lica na koje se podaci odnose, a posebno čuvanje profesionalne tajne; (i) obrada je neophodna za potrebe arhiviranja u javnom interesu, potrebe naučnog ili istorijskog istraživanja ili statističke potrebe u skladu sa članom 89, stav 1. na osnovu prava Unije ili prava države članice koje je srazmerno željenom cilju i kojim se poštuje suština prava na zaštitu podataka i obezbeđuju primerene i posebne mere za zaštitu osnovnih prava i interesa lica na koje se podaci odnose. 3. Podaci o ličnosti iz stava 1. mogu da se obrađuju u svrhe iz stava 2, tačka (ž) kada te podatke obrađuje stručnjak ili se podaci obrađuju pod odgovornošću stručnjaka na kojeg se primenjuje obaveza čuvanja poslovne tajne u skladu sa pravom Unije ili pravom države članice ili pravilima koja su utvrdila nadležna nacionalna tela ili drugo lice na koje se takođe primenjuje obaveza čuvanja tajne u skladu sa pravom Unije ili pravom države članice ili pravilima koja su utvrdila nadležna nacionalna tela. 4. Države članice mogu da zadrže ili da uvedu dodatne uslove, uključujući i ograničenja u odnosu na obradu genetskih podataka, biometrijskih podataka ili podataka o zdravstvenom stanju.
Član 10. Obrada podataka o ličnosti koji se odnose na krivičnu i prekršajnu osuđivanost Obrada podataka o ličnosti koji se odnose na krivičnu i prekršajnu osuđivanost ili s njima povezanim zaštitnim merama na osnovu člana 6, stav 1. može da se vrši samo pod kontrolom službenog organa ili kada je obrada odobrena pravom Unije ili pravom države članice kojim se propisuju odgovarajuće zaštitne mere za prava i slobode lica na koje se podaci odnose. Svaki sveobuhvatni registar o krivičnoj osuđivanosti vodi se samo pod kontrolom službenog organa.
Član 11. Obrada za koju nije potrebna identifikacija
- Ako za svrhe u koje rukovalac obrađuje podatke o ličnosti nije potrebno ili više nije potrebno da rukovalac identifikuje lice na koje se podaci odnose, rukovalac nema obavezu da čuva, uzima ili obrađuje dodatne informacije radi identifikacije lica na koje se podaci odnose isključivo za potrebe poštovanja ove uredbe. 2. Ako u slučajevima iz stava 1. ovog člana rukovalac može da dokaže da nije u mogućnosti da identifikuje lice na koje se podaci odnose, rukovalac o tome ako je moguće na odgovarajući način obaveštava lice na koje se podaci odnose. U takvim slučajevima se ne primenjuju članovi 15. do 20, osim u slučaju da lice na koje se podaci odnose u svrhu ostvarivanja svojih prava iz tih članova pruži dodatne informacije koje omogućavaju njegovu identifikaciju.
POGLAVLjE III Prava lica na koje se podaci odnose
Odeljak 1. Transparentnost i modaliteti
Član 12. Transparentne informacije, komunikacija i modaliteti za ostvarivanje prava lica na koje se podaci odnose 1. Rukovalac preduzima odgovarajuće mere kako bi se licu na koje se podaci odnose pružile sve informacije iz člana 13. i 14. i sva saopštenja iz člana 15. do 22. i člana 34. u vezi sa obradom u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika, što se posebno odnosi na sve informacije koje su izričito namenjena detetu. Informacije se pružaju u pisanom obliku ili na druge načine, uključujući i elektronski oblik kada je primereno. Ako lice na koje se podaci odnose to zatraži, informacije se mogu pružiti usmeno, pod uslovom da je identitet lica na koje se podaci odnose određen na druge načine. 2. Rukovalac olakšava ostvarivanje prava lica na koje se podaci odnose iz člana 15. do 22. U slučajevima iz člana 11, stav 1. rukovalac ne sme da odbije da postupi po zahtevu lica na koje se podaci odnose za ostvarivanje njegovih prava iz člana 15. do 22, osim ako rukovalac dokaže da nije u mogućnosti da odredi identitet lica na koje se podaci odnose. 3. Rukovalac na zahtev pruža licu na koje se podaci odnose informacije o preduzetim radnjama iz člana 15. do 22. bez nepotrebnog odlaganja, a u svakom slučaju najkasnije u roku od mesec dana od prijema zahteva. Taj rok može prema potrebi da se produži za dodatna dva meseca, uzimajući u obzir složenost i broj zahteva. Rukovalac obaveštava lice na koje se podaci odnose o svakom takvom produženju u roku od mesec dana od prijema zahteva, pri čemu navodi razloge za odlaganje. Ako lice na koje se podaci odnose podnese zahtev elektronskim putem, informacije se pružaju elektronskim putem ako je moguće, osim u slučaju kad lice na koje se podaci odnose zahteva drugačije. 4. Ako rukovalac ne postupi po zahtevu lica na koje se podaci odnose, rukovalac obaveštava lice na koje se podaci odnose odmah ili najkasnije mesec dana od prijem zahteva o razlozima zbog kojih nije postupio po zahtevu i o mogućnosti podnošenja pritužbe nadzornom organu i traženja pravnog leka. 5. Informacije koje se pružaju u skladu sa članovima 13. i 14. i sva komunikacija i preduzete mere iz člana 15. do 22. i člana 34. pružaju se bez naknade. Ako su zahtevi lica na koje se podaci odnose očigledno neosnovani ili preterani, posebno zbog toga što se često podnose, rukovalac može: (a) da naplati prihvatljivu naknadu uzimajući u obzir administrativne troškove pružanja informacija ili komunikacija ili postupanja po zahtevu; ili (b) da odbije da postupi po zahtevu. Teret dokazivanja očigledne neosnovanosti ili preteranosti zahteva je na rukovaocu. 6. Ne dovodeći u pitanje član 11, ako rukovalac ima opravdane sumnje u pogledu identiteta fizičkog lica koje podnosi zahtev iz člana 15. do 21, rukovalac može da traži dodatne informacije neophodne za potvrđivanje identiteta lica na koje se podaci odnose. 7. Informacije koje moraju da budu pružene licima na koje se podaci odnose u skladu sa članovima 13. i 14. mogu da se pruže u kombinaciji sa standardizovanim ikonama kako bi se na lako vidljiv, razumljiv i jasno čitljiv način pružio smislen pregled nameravane obrade. Ako su ikone prikazane elektronski, moraju da budu mašinski čitljive. 8. Komisija je ovlašćena da usvaja delegirane akte u skladu sa članom 92. radi određivanja informacija koje se prikazuju ikonama i postupaka za utvrđivanje standardizovanih ikona.
Odeljak 2. Informacije i pristup podacima o ličnosti
Član 13. Informacije koje se pružaju ako se podaci o ličnosti prikupljaju od lica na koje se podaci odnose 1. Ako su podaci o ličnosti lica na koje se podaci odnose prikupljeni od lica na koje se podaci odnose, rukovalac prilikom prikupljanja podataka o ličnosti tom licu pruža sve sledeće informacije: (a) identitet i podatke za kontakt rukovaoca i, ukoliko je primenljivo, predstavnika rukovaoca; (b) podatke za kontakt ovlašćenog lica za zaštitu podataka, ukoliko je primenljivo; (v) svrhe obrade za koje su podaci o ličnosti namenjeni, kao i pravni osnov za obradu; (g) ako je obrada zasnovana na članu 6, stav 1, tačka (đ), legitimne interese rukovaoca ili trećeg lica; (d) korisnike ili kategorije korisnika podataka o ličnosti, ukoliko postoje; (đ) ukoliko je primenljivo, činjenicu da rukovalac namerava da prenese podatke o ličnosti trećoj zemlji ili međunarodnoj organizaciji i postojanje ili nepostojanje odluke Komisije o adekvatnosti, odnosno, u slučaju prenosa iz člana 46. ili 47. ili člana 49, stav 1, drugi podstav, upućivanje na primerene ili odgovarajuće zaštitne mere i načine dobijanja njihove kopije ili mesto na kojem su stavljeni na raspolaganje. 2. Pored informacija iz stava 1, rukovalac prilikom prikupljanja podataka o ličnosti pruža licu na koje se podaci odnose sledeće dodatne informacije potrebne da bi se obezbedila pravična i transparentna obrada: (a) roku kojem će se podaci o ličnosti čuvati ili, ako to nije moguće, kriterijume koji su korišćeni za određivanje tog roka; (b) postojanje prava da se od rukovaoca zatraži pristup podacima o ličnosti i ispravka ili brisanje podataka o ličnosti ili ograničavanje obrade u vezi s licem na koje se podaci odnose ili prava na prigovor na obradu, kao i pravo na prenosivost podataka; (v) ako je obrada zasnovana na članu 6, stav 1, tačka (a) ili članu 9, stav 2, tačka (a), postojanje prava da se pristanak povuče u bilo kojem trenutku, bez uticaja na zakonitost obrade zasnovane na pristanku pre povlačenja pristanka; (g) pravo na podnošenje pritužbe nadzornom organu; (d) informaciju o tome da li je pružanje podataka o ličnosti zakonska ili ugovorna obaveza ili neophodan uslov za zaključenje ugovora, kao i da li lice na koje se podaci odnose ima obavezu da pruži podatke o ličnosti i koje su moguće posledice ako se takvi podaci ne pruže; (đ) postojanje automatizovanog donošenja odluka, uključujući i profilisanje iz člana 22, stav 1. i 4. i, barem u tim slučajevima, sadržajne informacije o logici koja se koristi, kao i značaj i predviđene posledice takve obrade za lice na koje se podaci odnose. 3. Ako rukovalac namerava dalje da obrađuje podatke o ličnosti u svrhu koja se razlikuje od svrhe za koju su podaci o ličnosti prikupljeni, rukovalac pre te dalje obrade pruža licu na koje se podaci odnose informacije o toj drugoj svrsi i sve dodatne relevantne informacije iz stava 2. 4. Stavovi 1, 2. i 3. se ne primenjuju ako i u meri u kojoj lice na koje se podaci odnose već raspolaže tim informacijama.
Član 14. Informacije koje se pružaju ako podaci o ličnosti nisu dobijeni od lica na koje se podaci odnose 1. Ako podaci o ličnosti nisu dobijeni od lica na koje se podaci odnose, rukovalac pruža sledeće informacije licu na koje se podaci odnose: (a) identitet i podatke za kontakt rukovaoca i, ukoliko je primenljivo, predstavnika rukovaoca; (b) podatke za kontakt ovlašćenog lica za zaštitu podataka, ukoliko je primenljivo; (v) svrhe obrade za koje su podaci o ličnosti namenjeni, kao i pravnu osnovu za obradu; (g) kategorije podataka o ličnosti koji su u pitanju; (d) korisnike ili kategorije korisnika podataka o ličnosti, ukoliko postoje; (đ) ukoliko je primenljivo, činjenicu da rukovalac namerava da prenese podatke o ličnosti trećoj zemlji ili međunarodnoj organizaciji i postojanje ili nepostojanje odluke Komisije o adekvatnosti, ili u slučaju prenosa iz člana 46. ili 47. ili člana 49, stav 1, drugi podstav, upućivanje na primerene ili odgovarajuće zaštitne mere i načine dobijanja njihove kopije ili mesto na kojem su stavljeni na raspolaganje; 2. Pored informacija iz stava 1, rukovalac pruža licu na koje se podaci odnose sledeće informacije potrebne da bi se obezbedila pravična i transparentna obrada u odnosu na lice na koje se podaci odnose: (a) roku kojem će se podaci o ličnosti čuvati ili, ako to nije moguće, kriterijume koji su korišćeni za određivanje tog roka; (b) ako je obrada zasnovana na članu 6, stav 1, tačka (đ), legitimne interese rukovaoca ili trećeg lica; (v) postojanje prava da se od rukovaoca zatraži pristup podacima o ličnosti i ispravka ili brisanje podataka o ličnosti ili ograničavanje obrade u vezi s licem na koje se podaci odnose i prava na prigovor na obradu, kao i pravo na prenosivost podataka; (g) ako je obrada zasnovana na članu 6, stav 1, tačka (a) ili članu 9, stav 2, tačka (a), postojanje prava da se pristanak povuče u bilo kom trenutku, bez uticaja na zakonitost obrade zasnovane na pristanku pre povlačenja pristanka; (d) pravo na podnošenje pritužbe nadzornom organu; (đ) izvor podataka o ličnosti i, prema potrebi, da li dolaze iz javno dostupnih izvora; (e) postojanje automatizovanog donošenja odluka, uključujući i profilisanje iz člana 22, stav 1. i 4. i, barem u tim slučajevima, sadržajne informacije logici koja se koristi, kao i značaj i predviđene posledice takve obrade za lice na koje se podaci odnose. 3. Rukovalac pruža informacije iz stava 1. i 2: (a) u razumnom roku nakon dobijanja podataka o ličnosti, a najkasnije u roku od jednog meseca, uzimajući u obzir posebne okolnosti obrade podataka o ličnosti; (b) ako se podaci o ličnosti koriste za komunikaciju sa licem na koje se podaci odnose, najkasnije prilikom prve komunikacije ostvarene sa tim licem na koje se podaci odnose; ili (v) ako je predviđeno otkrivanje podataka drugom korisniku, najkasnije kada se podaci o ličnosti prvi put otkriju. 4. Ako rukovalac namerava dalje da obrađuje podatke o ličnosti u svrhu koja se razlikuje od svrhe za koju su podaci o ličnosti prikupljeni, rukovalac pre te dalje obrade pruža licu na koje se podaci odnose informacije o toj drugoj svrsi i sve dodatne relevantne informacije iz stava 2. 5. Stavovi 1. do 4. se ne primenjuju ako i u meri u kojoj: (a) lice na koje se podaci odnose već poseduje te informacije; (b) je pružanje takvih informacija nemoguće ili bi zahtevalo nesrazmerne napore, posebno za obrade u svrhe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe, u skladu sa uslovima i merama zaštite iz člana 89, stav 1. ili u ako bi obaveza iz je stava 1. ovog člana verovatno onemogućila ili ozbiljno ugrozila ostvarivanje ciljeva te obrade. U takvim slučajevima, rukovalac preduzima odgovarajuće mere za zaštitu prava i sloboda i legitimnih interesa lica na koje se podaci odnose, uključujući i stavljanje informacija na raspolaganje javnosti; (v) je dobijanje ili otkrivanje podataka izričito propisano pravom Unije ili pravom države članice koje se primenjuje na rukovaoca, a koje predviđa odgovarajuće mere za zaštitu legitimnih interesa lica na koje se podaci odnose; ili (g) podaci o ličnosti moraju da ostanu poverljivi u skladu s obavezom čuvanja profesionalne tajne koju uređuje pravo Unije ili pravo države članice, uključujući i zakonsku obavezu čuvanja tajne.
Član 15. Pravo lica na koje se podaci odnose na pristup 1. Lice na koje se podaci odnose ima pravo da dobije potvrdu od rukovaoca o tome da li se obrađuju njegovi podaci o ličnosti i, ako se takvi podaci o ličnosti obrađuju, ima pravo pristupa podacima o ličnosti i sledećim informacijama: (a) svrsi obrade; (b) kategorijama podataka o ličnosti koji u pitanju; (v) korisnicima ili kategorijama korisnika kojima su podaci o ličnosti otkriveni ili će im biti otkriveni, a posebno korisnicima u trećim zemljama ili međunarodnim organizacijama; (g) ukoliko je moguće, predviđenom roku u kojem će se podaci o ličnosti čuvati ili, ako to nije moguće, kriterijumima koji su korišćeni za određivanje tog roka; (d) postojanju prava da se od rukovaoca zatraži pristup podacima o ličnosti i ispravka ili brisanje podataka o ličnosti ili ograničavanje obrade u vezi s licem na koje se podaci odnose i prava na prigovor na obradu; (đ) pravu na podnošenje pritužbe nadzornom organu; (e) ako se podaci o ličnosti ne prikupljaju od lica na koje se podaci odnose, svakoj dostupnoj informaciji o njihovom izvoru; (ž) postojanju automatizovanog donošenja odluka, uključujući i profilisanje iz člana 22, stav 1. i 4. i, barem u tim slučajevima, sadržajne informacije logici koja se koristi, kao i značaj i predviđene posledice takve obrade za lice na koje se podaci odnose. 2. Ako se podaci o ličnosti prenose u treću zemlju ili međunarodnu organizaciju, lice na koje se podaci odnose ima pravo da bude informisano o odgovarajućim merama zaštite u skladu sa članom 46. koje se odnose na prenos. 3. Rukovalac obezbeđuje kopiju podataka o ličnosti koji se obrađuju. Za sve dodatne kopije koje zatraži lice na koje se podaci odnose rukovalac može naplatiti prihvatljivu naknadu na osnovu administrativnih troškova. Ako lice na koje se podaci odnose podnese zahtev elektronskim putem i ako lice na koje se podaci odnose ne zahteva drugačije, informacije se pružaju u uobičajenom elektronskom obliku. 4. Pravo na dobijanje kopije iz stava 3. ne sme negativno da utiče na prava i slobode drugih.
Odeljak 3. Ispravka i brisanje
Član 16. Pravo na ispravku Lice na koje se podaci odnose ima pravo da mu rukovalac bez nepotrebnog odlaganja omogući ispravku netačnih podataka o ličnosti koji se na njega odnose. Uzimajući u obzir svrhe obrade, lice na koje se podaci odnose ima pravo da dopuni nepotpune podatke o ličnosti, između ostalog davanjem dodatne izjave.
Član 17. Pravo na brisanje („pravo na zaborav”) 1. Lice na koje se podaci odnose ima pravo da mu rukovalac bez nepotrebnog odlaganja omogući brisanje podataka o ličnosti koji se na njega odnose, a rukovalac ima obavezu da obriše podatke o ličnosti bez nepotrebnog odlaganja, ako je ispunjen jedan od sledećih uslova: (a) podaci o ličnosti više nisu neophodni za svrhe u koje su prikupljeni ili na drugi način obrađeni; (b) lice na koje se podaci odnose je povuklo pristanak na kojem je obrada zasnovana u skladu sa članom 6, stav 1, tačka (a) ili članom 9, stav 2, tačka (a) i ako ne postoji druga pravna osnova za obradu; (v) lice na koje se podaci odnose je uložilo prigovor na obradu u skladu sa članom 21, stav 1. i ne postoje preovlađujući zakonski razlozi za obradu, ili je lice na koje se podaci odnose uložilo prigovor na obradu u skladu sa članom 21, stav 2; (g) podaci o ličnosti su nezakonito obrađeni; (d) podaci o ličnosti moraju da budu obrisani radi postupanja u skladu sa zakonskom obavezom prema pravu Unije ili pravu države članice koje se primenjuje na rukovaoca; (đ) podaci o ličnosti su prikupljeni u vezi s ponudom usluga informacionog društva iz člana 8, stav 1. 2. Ako je rukovalac javno objavio podatke o ličnosti i dužan je da u skladu sa stavom 1. te podatke o ličnosti obriše, uzimajući u obzir dostupnu tehnologiju i troškove sprovođenja, rukovalac preduzima prihvatljive mere, uključujući i tehničke mere, da bi obavestio rukovaoce podataka koji obrađuju podatke o ličnosti da je lice na koje se podaci odnose zatražilo od tih rukovalaca podataka da obrišu sve linkove do njih ili kopiju ili rekonstrukciju tih podataka o ličnosti. 3. Stavovi 1. i 2. se ne primenjuju ako je obrada neophodna: (a) radi ostvarivanja prava na slobodu izražavanja i informisanja; (b) radi poštovanja zakonske obaveze kojom se zahteva obrada u pravu Unije ili pravu države članice koje se primenjuje na rukovaoca ili radi izvršenja zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodeljenih rukovaocu podataka; (v) zbog javnog interesa u oblasti javnog zdravlja u skladu sa članom 9, stav 2, tačka (ž) i (z), kao i članom 9, stav 3; (g) za potrebe arhiviranja u javnom interesu, u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe u skladu sa članom 89, stav 1. ako bi pravo iz stava 1. verovatno onemogućilo ili ozbiljno ugrozilo ostvarivanje ciljeva te obrade; ili (d) radi uspostavljanja, ostvarivanja ili odbrane pravnih zahteva.
Član 18. Pravo na ograničavanje obrade 1. Lice na koje se podaci odnose ima pravo da obezbedi ograničenje obrade od strane rukovaoca ako je ispunjen jedan od sledećih uslova: (a) lice na koje se podaci odnose osporava tačnost podataka o ličnosti, u roku koji rukovaocu podataka omogućava da proveri tačnost podataka o ličnosti; (b) obrada je nezakonita, a lice na koje se podaci odnose se protivi brisanju podataka o ličnosti i umesto toga traži ograničavanje njihove upotrebe; (v) rukovaocu podataka više nisu potrebni podaci o ličnosti za potrebe obrade, ali ih lice na koje se podaci odnose traži uspostavljanja, ostvarivanja ili odbrane pravnih zahteva; (g) lice na koje se podaci odnose je uložilo prigovor na obradu u skladu sa članom 21, stav 1. i još nije potvrđeno da li legitimni razlozi rukovaoca preovlađuju nad razlozima lica na koje se podaci odnose. 2. Ako je obrada ograničena u skladu sa stavom 1, takvi podaci o ličnosti smeju da se obrađuju samo uz pristanak lica na koje se podaci odnose, izuzev čuvanja, ili za uspostavljanje, ostvarivanje ili odbranu pravnih zahteva ili zaštitu prava drugog fizičkog ili pravnog lica ili zbog važnog javnog interesa Unije ili države članice. 3. Lice na koje se podaci odnose koje je dobilo ograničenje obrade u skladu sa stavom 1. rukovalac obaveštava pre ukidanja ograničenja obrade.
Član 19. Obaveza obaveštavanja o ispravci ili brisanju podataka o ličnosti ili ograničavanju obrade Rukovalac obaveštava svakog korisnika kojem su podaci o ličnosti otkriveni o svakoj ispravci ili brisanju podataka o ličnosti ili ograničavanju obrade izvršenom u skladu sa članom 16, članom 17, stav 1. i članom 18, osim u slučaju da se ispostavi da je to nemoguće ili zahteva nesrazmeran napor. Rukovalac obaveštava lice na koje se podaci odnose o tim korisnicima ako lice na koje se podaci odnose to zahteva.
Član 20. Pravo na prenosivost podataka 1. Lice na koje se podaci odnose ima pravo da primi podatke o ličnosti koji se odnose na njega, a koje je pružilo rukovaocu podataka u strukturiranom, uobičajenom i mašinski čitljivom formatu i ima pravo da prenosi te podatke drugom rukovaocu podataka bez ometanja od strane rukovaoca kojem su podaci o ličnosti pruženi, ako: (a) je obrada zasnovana na pristanku u skladu sa članom 6, stav 1, tačka (a) ili članom 9, stav 2, tačka (a) ili na ugovoru u skladu sa članom 6, stav 1, tačka (b); i (b) se obrada vrši automatski. 2. Prilikom ostvarivanja svojih prava na prenosivost podataka u skladu sa stavom 1, lice na koje se podaci odnose ima pravo na neposredni prenos od jednog rukovaoca do drugog, ako je to tehnički izvodljivo.
- Ostvarivanje prava iz stava 1. ovog člana ne dovodi u pitanje član 17. To pravo se ne primenjuje na obradu neophodnu za izvršenje zadatka koji se obavlja u javnom interesu ili u okviru izvršavanja službenih ovlašćenja dodeljenih rukovaocu podataka. 4. Pravo iz stava 1. ne sme negativno da utiče na prava i slobode drugih.
Odeljak 4. Pravo na prigovor i donošenje automatizovanih pojedinačnih odluka
Član 21. Pravo na prigovor 1. Lice na koje se podaci odnose ima pravo da na osnovu razloga koji se odnose na njegov konkretan položaj u bilo kom trenutku uloži prigovor na obradu podataka o ličnosti koji se odnose na njega, u skladu sa članom 6, stav 1, tačka (d) ili (đ), uključujući profilisanje zasnovano na tim odredbama. Rukovalac ne sme više da obrađuje podatke o ličnosti, osim u slučaju da dokaže da postoje uverljivi legitimni razlozi za obradu koji preovlađuju nad interesima, pravima i slobodama lica na koje se podaci odnose ili radi uspostavljanja, ostvarivanja ili odbrane pravnih zahteva. 2. Ako se podaci o ličnosti obrađuju za potrebe direktnog marketinga, lice na koje se podaci odnose ima pravo da u bilo kom trenutku uloži prigovor na obradu podataka o ličnosti koji se odnose na njega za potrebe takvog marketinga, što uključuje profilisanje ako je povezano sa takvim direktnim marketingom. 3. Ako se lice na koje se podaci odnose uloži prigovor na obradu za potrebe direktnog marketinga, podaci o ličnosti više ne smeju da se obrađuju u takve svrhe. 4. Najkasnije prilikom prve komunikacije sa licem na koje se podaci odnose, licu na koje se podaci odnos se izričito skreće pažnja na pravo iz stava 1. i 2. koje mora da se prikaže jasno i odvojeno od svih drugih informacija. 5. U kontekstu korišćenja usluga informacionog društva i ne uzimajući u obzir Direktivu 2002/58/EZ, lice na koje se podaci odnose može da ostvari svoje pravo na prigovor automatskim putem pomoću tehničkih specifikacija. 6. Ako se podaci o ličnosti obrađuju u svrhe naučnog ili istorijskog istraživanja ili u statističke svrhe u skladu sa članom 89, stav 1, lice na koje se podaci odnose na osnovu razloga koji se odnose na njegov konkretan položaj ima pravo da uloži prigovor na obradu podataka o ličnosti koji se na njega odnose, osim ako je obrada neophodna za izvršenje zadatka koji se obavlja u javnom interesu.
Član 22. Donošenje automatizovanih pojedinačnih odluka, uključujući i profilisanje 1. Lice na koje se podaci odnose ima pravo da se na njega ne primenjuje odluka zasnovana isključivo na automatskoj obradi, uključujući i profilisanje, koja proizvodi pravne efekte koji se na njega odnose ili na sličan način značajno utiču na njega. 2. Stav 1. ne primenjuje se ako je odluka: (a) neophodna za zaključivanje ili izvršenje ugovora između lica na koje se podaci odnose i rukovaoca;
(b) dozvoljena pravom Unije ili pravom države članice koje se primenjuje na rukovaoca i koje takođe propisuje odgovarajuće zaštitne mere za prava i sloboda i legitimne interese lica na koje se podaci odnose; ili (v) zasnovana na izričitom pristanku lica na koje se podaci odnose. 3. U slučajevima iz stava 2, tač. (a) i (v), rukovalac preduzima odgovarajuće mere za zaštitu prava i sloboda i legitimnih interesa lica na koje se podaci odnose, najmanje prava na ljudsku intervenciju rukovaoca, prava izražavanja sopstvenog stava i prava na osporavanje odluke. 4. Odluke iz stava 2. ne smeju da budu zasnovane na posebnim kategorijama podataka o ličnosti iz člana 9, stav 1, osim ako se primenjuje član 9, stav 2, tačka (a) ili (e) i ako postoje odgovarajuće mere za zaštitu prava i sloboda i legitimnih interesa lica na koje se podaci odnose.
Odeljak 5. Ograničenja
Član 23. Ograničenja 1. Na osnovu prava Unije ili prava države članice koje se primenjuje na rukovaoca ili obrađivača, zakonskom merom može da se ograniči obim obaveza i prava iz člana 12. do 22. i člana 34, kao i člana 5, ako njegove odredbe odgovaraju pravima i obavezama iz članova 12. do 22, ukoliko se takvim ograničenjem poštuje suština osnovnih prava i sloboda i ako ono predstavlja neophodnu i srazmernu meru u demokratskom društvu za zaštitu:
(a) nacionalne bezbednosti; (b) odbrane; (v) javne bezbednosti; (g) sprečavanja, istrage, otkrivanja ili gonjenja krivičnih dela ili izvršenja krivičnih sankcija, i uključujući zaštitu od pretnji za javnu bezbednost i njihovo sprečavanje; (d) drugih važnih ciljeva od opšteg javnog interesa Unije ili države članice, a posebno važnog ekonomskog ili finansijskog interesa Unije ili države članice, što uključuje monetarna, budžetska i poreska pitanja, javno zdravlje i socijalnu zaštitu; (đ) zaštite nezavisnosti pravosuđa i sudskih postupaka; (e) sprečavanja, istrage, otkrivanja i gonjenja povrede etike u zakonski regulisanim profesijama; (ž) nadzorne, inspekcijske ili regulatorne funkcije koja je, makar i samo povremeno, povezana s ostvarivanjem službenih ovlašćenja u slučajevima iz tačaka (a) do (d) i tačke (e); (z) lica na koje se podaci odnose ili prava i sloboda drugih; (i) ostvarivanja potraživanja u građanskim sporovima. 2. Konkretno, svaka zakonodavna mera iz stava 1. u odgovarajućim slučajevima sadrži posebne odredbe najmanje o: (a) svrhama obrade ili kategorijama obrade, (b) kategorijama podataka o ličnosti, (v) obimu uvedenih ograničenja, (d) merama zaštite za sprečavanje zloupotrebe ili nezakonitog pristupa ili prenosa; (đ) određenju rukovaoca ili kategorija obrađivača, (e) roku čuvanja i merama zaštite koje se mogu primeniti uzimajući u obzir prirodu, obim i svrhe obrade ili kategorije obrade; (ž) rizicima za prava i slobode lica na koje se podaci odnose; i (z) pravu lica na koje se podaci odnose da budu obaveštena o ograničenju, osim ako to može da dovede u pitanje za svrhu tog ograničenja.
POGLAVLjE IV Rukovalac i obrađivač podataka
Odeljak 1. Opšte obaveze
Član 24. Odgovornost rukovaoca 1. Imajući u vidu prirodu, obim, okolnosti i svrhe obrade, kao i rizike različitih stepena verovatnoće i ozbiljnosti za prava i slobode fizičkih lica, rukovalac primenjuje odgovarajuće tehničke i organizacione mere kako bi obezbedio da se obrada vrši u skladu s ovom uredbom i kako bi to mogao da dokaže. Te mere se prema potrebi preispituju i ažuriraju. 2. Ukoliko je to srazmerno u odnosu na aktivnosti obrade, mere iz stava 1. uključuju primenu odgovarajućih politika zaštite podataka od strane rukovaoca. 3. Poštovanje odobrenih kodeksa ponašanja iz člana 40. ili odobrenih mehanizama sertifikacije iz člana 42. može da služi kao element za dokazivanje usklađenosti s obavezama rukovaoca.
Član 25. Ugrađena i podrazumevana zaštita podataka 1. Uzimajući u obzir najnoviji tehnološki razvoj, troškove sprovođenja i prirodu, obim, kontekst i svrhe obrade, kao i rizike različitih stepena verovatnoće i ozbiljnosti za prava i slobode fizičkih lica koji proizilaze iz obrade podataka, rukovalac prilikom određivanja sredstava obrade i prilikom same obrade primenjuje odgovarajuće tehničke i organizacione mere, poput pseudonimizacije, koje su osmišljene za delotvorno sprovođenje načela zaštite podataka, kao što je korišćenje najmanjeg mogućeg obima podataka, i u obradu uključuje zaštitne mere radi ispunjenja zahteva iz ove uredbe i zaštitila prava lica na koja se podaci odnose. 2. Rukovalac primenjuje odgovarajuće tehničke i organizacione mere kojima se obezbeđuje da se podrazumevana obrada vrši samo nad podacima o ličnosti koji su neophodni za konkretnu svrhu obrade. Ova obaveza se odnosi na količinu prikupljenih podataka o ličnosti, obim njihove obrade, rok njihovog čuvanja i njihovu dostupnost. Konkretno, tim merama se obezbeđuje da podaci o ličnosti ne budu automatski, bez intervencije lica, dostupni neograničenom broju fizičko lice. 3. Odobren mehanizam sertifikacije iz člana 42. može da služi kao element za dokazivanje usklađenosti sa zahtevima iz stavova 1. i 2. ovog člana.
Član 26. Zajednički rukovaoci podataka 1. Ako dva ili više rukovalaca podataka zajednički odrede svrhe i načine obrade, smatraju se zajedničkim rukovaocima podataka. Oni na transparentan način međusobnim dogovorom određuju odgovornosti svakoga od njih u cilju izvršavanja obaveza iz ove uredbe, posebno u vezi sa ostvarivanjem prava lica na koja se podaci odnose i dužnosti svakoga od njih u pogledu pružanja informacija iz čl. 13. i 14, osim u slučaju da su odgovornosti svakog od rukovalaca utvrđene pravom Unije ili pravom države članice koje se primenjuje na rukovaoce. Dogovorom se može odrediti kontaktna tačka za lica na koja se podaci odnose. 2. Dogovor iz stava 1. mora na odgovarajući način da odražava ulogu svakog rukovaoca o njegov odnos prema licima na koja se podaci odnose. Suština dogovora mora da bude dostupna licu na koje se podaci odnose. 3. Nezavisno od uslova dogovora iz stava 1, lice na koje se podaci odnose može da ostvaruje svoja prava u odnosu na svakog rukovaoca i protiv svakog od njih.
Član 27. Predstavnici rukovalaca ili obrađivača koji nemaju sedište u Uniji 1. Ako se primenjuje član 3, stav 2, rukovalac ili obrađivač pisanim putem imenuju predstavnika u Uniji. 2. Obaveza iz stava 1. ovog člana ne primenjuje se na: (a) obradu koja je povremena, ne podrazumeva u većoj meri obradu posebnih kategorija podataka iz člana 9, stava 1. ili obradu podataka o ličnosti koji se odnose na krivičnu i prekršajnu osuđivanost iz člana 10. i za koju nije verovatno da će prouzrokovati rizik za prava i slobode fizičkih lica uzimajući u obzir prirodu, okolnosti, obim i svrhe obrade; ili (b) javni organ ili telo. 3. Predstavnik mora da ima sedište u jednoj od država članica u kojoj se nalaze lica čiji se podaci o ličnosti obrađuju u vezi s robom ili uslugama koje im se nude ili čije se ponašanje prati. 4. Radi obezbeđivanja usklađenosti s ovom uredbom, rukovalac ili obrađivač ovlašćuje predstavnika da mu se nadzorni organi i lica na koja se podaci odnose obrađuju u vezi sa svim pitanjima koja se tiču obrade uz istovremeno obraćanje rukovaocu ili obrađivaču ili umesto obraćanja njima. 5. Imenovanje predstavnika rukovaoca ili obrađivača ne utiče na pravne radnje koje mogu da budu preduzete protiv samog rukovaoca ili obrađivača.
Član 28. Obrađivač
- Ako se obrada vrši u ime rukovaoca, rukovalac sarađuje isključivo sa obrađivačima koji u dovoljnoj meri garantuju primenu odgovarajućih tehničkih i organizacionih mera tako da obrada bude u skladu sa zahtevima iz ove uredbe i da obezbeđuje zaštitu prava lica na koja se podaci odnose. 2. Obrađivač ne sme da angažuje drugog obrađivača bez prethodnog posebnog ili opšteg pisanog odobrenja rukovaoca. U slučaju opšteg pisanog odobrenja, obrađivač obaveštava rukovaoca o svim planiranim izmenama u vezi s dodavanjem ili zamenom drugih obrađivača i time rukovaocu omogućava da uloži prigovor na te izmene. 3. Obrada od strane obrađivača uređuje se ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice koji je obavezujući za obrađivača u odnosu na rukovaoca, u kojem se navodi predmet i trajanje obrade, priroda i svrha obrade, vrsta podataka o ličnosti i kategorije lica na koja se podaci odnose, kao i obaveze i prava rukovaoca. Tim ugovorom ili drugim pravnim aktom se posebno određuje da obrađivač: (a) obrađuje podatke o ličnosti samo prema dokumentovanim uputstvima rukovaoca, između ostalog i u pogledu prenosa podataka o ličnosti trećoj zemlji ili međunarodnoj organizaciji, osim u slučaju da to od njega zahteva pravo Unije ili pravo države članice koje se primenjuje na obrađivača; u tom slučaju, obrađivač pre obrade obaveštava rukovaoca o postojanju tog pravnog zahteva, osim u slučaju da merodavno pravo zabranjuje takvo obaveštavanje zbog važnih razloga od javnog interesa; (b)obezbeđuje da se lica ovlašćena za obradu podataka o ličnosti obavežu na poštovanjepoverljivosti ili da ih na poštovanje poverljivosti obavezuje odgovarajući zakon; (v) preduzima sve potrebne mere u skladu sa članom 32; (g) poštuje uslove iz stavova 2. i 4. za angažiranje drugog obrađivača; (d)uzimajući u obzir prirodu obrade, pomaže rukovaocu putem odgovarajućih tehničkih i organizacionih mera, koliko je to moguće, u ispunjavanju obaveze rukovaoca da odgovori na zahteve za ostvarivanje prava lica na koja se podaci odnose iz poglavlja III; (đ)pomaže rukovaocu u obezbeđivanju usklađenosti s obavezama iz čl. 32. do 36, uzimajući uobzir prirodu obrade i informacije koje su dostupne obrađivaču; (e) po izboru rukovaoca, briše ili vraća rukovaocu sve podatke o ličnosti nakon završetka pružanja usluga vezanih za obradu i uništava postojeće kopije, osim u slučaju da pravo unije ili pravo države članice propisuje obavezu čuvanja podataka o ličnosti; (ž) rukovaocu stavlja na raspolaganje sve informacije koje su neophodne za dokazivanje poštovanja obaveza iz ovog člana i rukovaocu ili drugom revizoru kojeg ovlasti rukovalac omogućava vršenje revizije, uključujući i inspekcije, i pomaže u njihovom vršenju. U vezi s tačkom (ž) prvog podstava, obrađivač odmah obaveštava rukovaoca ako prema njegovom mišljenju određeno uputstvo krši ovu uredbu ili druge odredbe Unije ili države članice o zaštiti podataka. 4. Ako obrađivač angažuje drugog obrađivača za vršenje posebnih aktivnosti obrade u ime rukovaoca, za tog drugog obrađivača na osnovu ugovora ili drugog pravnog akta u skladu s pravom Unije ili pravom države članice važe iste obaveze zaštite podataka kao one koje su navedene u ugovoru ili drugom pravnom aktu između rukovaoca i obrađivača iz stava 3, a posebno obaveza davanja dovoljnih garancija za primenu odgovarajućih tehničkih i organizacionih mera na način kojim se obezbeđuje da obrada zadovoljava zahteve iz ove uredbe. Ako taj drugi obrađivač neispunjava obaveze zaštite podataka, prvi obrađivač ostaje u potpunosti odgovoran rukovaocu za izvršavanje obaveza tog drugog obrađivača. 5. Poštovanje odobrenih kodeksa ponašanja iz člana 40. ili odobrenog mehanizma sertifikacije iz člana 42. od strane obrađivača može da služi kao element za dokazivanje pružanja dovoljnih garancija iz stavova 1. i 4. ovog člana. 6. Ne dovodeći u pitanje pojedinačni ugovor između rukovaoca i obrađivača, ugovor ili drugi pravni akt iz stavova 3. i 4. ovog člana može u celini ili delimično da se zasniva na standardnim ugovornim klauzulama iz stavova 7. i 8. ovog člana, uključujući između ostalog i klauzule koje su deo sertifikata dodeljenog rukovaocu ili obrađivaču u skladu sa članovima 42. i 43. 7. Komisija može da utvrdi standardne ugovorne klauzule za pitanja iz stavova 3. i 4. ovog člana, a u skladu s postupkom pregleda iz člana 93, stav 2. 8. Nadzorni organ može da usvoji standardne ugovorne klauzule za pitanja iz stavova 3. i 4.ovog člana, a u skladu s mehanizmom za usklađivanje iz člana 63. 9. Ugovor ili drugi pravni akt iz stavova 3. i 4. je u pisanom obliku, što uključuje i elektronski oblik. 10. Ne dovodeći u pitanje članove 82, 83. i 84, ako obrađivač krši ovu uredbu time što određuje svrhu i načine obrade podataka, obrađivač se smatra rukovaocem u vezi s tom obradom.
Član 29. Obrada po ovlašćenju rukovaoca ili obrađivača Obrađivač i bilo koje lice koje postupa po ovlašćenju rukovaoca ili obrađivača, a ima pristup podacima o ličnosti, te podatke ne sme da obrađuje bez naloga rukovaoca, osim kada to od njega zahteva pravo Unije ili pravo države članice.
Član 30. Evidencija aktivnosti obrade 1. Svaki rukovalac i, ukoliko je primenljivo, predstavnik rukovaoca vodi evidenciju aktivnosti obrade za koje je odgovoran. Ta evidencija sadrži sve sledeće informacije: (a) ime i podatke za kontakt rukovaoca i, ukoliko je primenljivo, zajedničkog rukovaoca, predstavnika rukovaoca i ovlašćenog lica za zaštitu podataka; (b) svrhe obrade; (v) opis kategorija lica na koja se podaci odnose i kategorija podataka o ličnosti; (g) kategorije korisnika kojima su podaci o ličnosti otkriveni ili će im biti otkriveni, uključujući i korisnike u trećim zemljama ili međunarodne organizacije; (d) ukoliko je primenljivo, informacije o prenosu podataka o ličnosti u treću zemlju ili međunarodnu organizaciju, sa identifikacijom te treće zemlje ili međunarodne organizacije i, u slučaju prenosa iz člana 49, stav 1, drugi podstav, s dokumentacijom o odgovarajućim zaštitnim merama; (đ) ako je moguće, predviđene rokove za brisanje različitih kategorija podataka; (e) ako je moguće, opšti opis tehničkih i organizacionih bezbednosnih mera iz člana 32, stav 1.
- Svaki obrađivač i predstavnik obrađivača, ukoliko je primenljivo, vodi evidenciju o svim kategorijama aktivnosti obrade koje se vrše u ime, koja sadrži: (a) ime i podatke za kontakt jednog ili više obrađivača i svakog rukovaoca u čije ime obrađivač deluje, a u odgovarajućim slučajevima i predstavnika rukovaoca ili obrađivača i ovlašćenog lica za zaštitu podataka; (b) kategorije obrade koje se obavljaju u ime svakog rukovaoca; (v) ukoliko je primenljivo, informacije o prenosu podataka o ličnosti u treću zemlju ili međunarodnu organizaciju, sa identifikacijom te treće zemlje ili međunarodne organizacije i, u slučaju prenosa iz člana 49, stav 1, tačka (ž), dokumentaciju o odgovarajućim zaštitnim merama; (g) ako je moguće, opšti opis tehničkih i organizacionih bezbednosnih mera iz člana 32, stav 1. 3. Evidencija iz stavova 1. i 2. mora biti u pisanom obliku, što uključuje i elektronski oblik. 4. Rukovalac ili obrađivač, a u odgovarajućim slučajevima i predstavnik rukovaoca ili obrađivača, na zahtev omogućavaju nadzornom organu uvid u evidenciju. 5. Obaveze iz stavova 1. i 2. ne primenjuju se na preduzeće ili organizaciju u kojoj je zaposleno manje od 250 lica, osim kada postoji verovatnoća da će obrada koju vrši predstavljati visok stepen rizika za prava i slobode lica na koja se podaci odnose, ako obrada nije povremena ili ako obrada obuhvata posebne kategorije podataka iz člana 9, stav 1. ili su u pitanju podaci o ličnosti koji se odnose na krivičnu i prekršajnu osuđivanost iz člana 10.
Član 31. Saradnja s nadzornim organom Rukovalac i obrađivač, a u odgovarajućim slučajevima i njihovi predstavnici, na zahtev sarađuju s nadzornim organom u obavljanju njegovih zadataka.
Odeljak 2. Bezbednost podataka o ličnosti
Član 32. Bezbednost obrade 1. Uzimajući u obzir najnoviji tehnološki razvoj, troškove sprovođenja i prirodu, obim, kontekst i svrhe obrade, kao i rizike različitih stepena verovatnoće i ozbiljnosti za prava i slobode fizičkih lica koji proizilaze iz obrade podataka, rukovalac i obrađivač primenjuju odgovarajuće tehničke i organizacione mere kako bi postigli odgovarajući nivo bezbednosti shodno riziku, što prema potrebi podrazumeva: (a) pseudonimizaciju i enkripciju podataka o ličnosti; (b) mogućnost obezbeđivanja trajne poverljivosti, celovitosti, dostupnosti i otpornosti sistema i usluga obrade; (v) sposobnost blagovremenog ponovnog uspostavljanja dostupnosti podataka o ličnosti i pristupa njima u slučaju fizičkog ili tehničkog incidenta;
(g) postupak redovnog testiranja, ocenjivanja i procene delotvornosti tehničkih i organizacionih mera za postizanje bezbednosti obrade. 2. Prilikom procene odgovarajućeg nivoa bezbednosti, u obzir se uzimaju pre svega rizici koje obrada predstavlja, a posebno rizici od slučajnog ili nezakonitog uništenja, gubitka, izmene, neovlašćenog otkrivanja podataka o ličnosti ili neovlašćenog pristupa podacima o ličnosti koji su preneti, sačuvani ili na drugi način obrađivani. 3. Poštovanje odobrenog kodeksa ponašanja iz člana 40. ili odobrenog mehanizma sertifikacije iz člana 42. može da služi kao element za dokazivanje usklađenosti sa zahtevima iz stava 1. ovog člana. 4. Rukovalac i obrađivač preduzimaju mere kako bi obezbedili da svako fizičko lice koje deluje na osnovu ovlašćenja rukovaoca ili obrađivača i koje ima pristup podacima o ličnosti ne obrađuje te podatke bez naloga rukovaoca, osim u slučajevima kada ima obavezu da to čini u skladu s pravom Unije ili pravom države članice.
Član 33. Zvanično obaveštavanje nadzornog organa o povredi bezbednosti podataka o ličnosti 1. U slučaju povrede bezbednosti podataka o ličnosti, rukovalac bez nepotrebnog odlaganja i, ukoliko je moguće, najkasnije 72 sata nakon saznanja o toj povredi zvanično obaveštava nadzorni organ nadležan u skladu sa članom 55, osim u slučaju da nije verovatno da će povredom bezbednosti podataka o ličnosti biti ugrožena prava i slobode fizičkih lica. Ako zvanično obaveštavanje nije izvršeno u roku 72 sata, navodi se obrazloženje za kašnjenje. 2. Obrađivač po saznanju za povredu bezbednosti podataka o ličnosti bez nepotrebnog odlaganja o tome zvanično obaveštava rukovaoca. 3. Zvanično obaveštenje iz stava 1. sadrži najmanje sledeće: (a) opis prirode povrede bezbednosti podataka o ličnosti, ako je moguće sa navedenim kategorijama i približnim brojem lica na koja se podaci odnose, kao i kategorijama i približnim brojem zbirki evidencija podataka o ličnosti; (b) ime i podatke za kontakt ovlašćenog lica za zaštitu podataka ili druge kontaktne tačke od koje se može dobiti još informacija; (v) opis verovatne posledice povrede bezbednosti podataka o ličnosti; (g) opis mera koje je rukovalac preduzeo ili čije preduzimanje predlaže radi otklanjanja povrede bezbednosti podataka o ličnosti, uključujući prema potrebi i mere za ublažavanje njenih štetnih posledica. 4. Ako nije moguće i u meri u kojoj nije moguće istovremeno pružiti informacije, informacije se mogu dostavljati u delovima, bez nepotrebnog dodatnog odlaganja. 5. Rukovalac dokumentuje sve povrede bezbednosti podataka o ličnosti, uključujući i činjenice u vezi s povredom bezbednosti podataka o ličnosti, njene posledice i mere preduzete za otklanjanje štete. Ta dokumentacija nadzornom organu omogućava da proveri poštovanje ovog člana.
Član 34. Obaveštavanje lica na koja se podaci odnose o povredi bezbednosti podataka o ličnosti
- Kada je verovatno da će povreda bezbednosti podataka o ličnosti prouzrokovati veliki rizik za prava i slobode fizičkih lica, rukovalac bez nepotrebnog odlaganja obaveštava lica na koja se podaci odnose da je došlo do povrede bezbednosti podataka o ličnosti. 2. U obaveštenju licu na koja se podaci odnose iz stava 1. ovog člana se jasnim i jednostavnim jezikom opisuje priroda povrede bezbednosti podataka o ličnosti i ono sadrži najmanje informacije i mere iz člana 33, stava 3, tačaka (b), (v) i (g). 3. Obaveštavanje lica na koja se podaci odnose iz stava 1. nije obavezno ako je ispunjen bilo koji od sledećih uslova: (a) ako je rukovalac preduzeo odgovarajuće tehničke i organizacione zaštitne mere i te mere su primenjene na podatke o ličnosti u vezi s kojima je došlo do povrede bezbednosti podataka o ličnosti, a pre svega mere koje podatke o ličnosti čine nerazumljivima licu koje nije ovlašćeno da im pristupi, kao što je enkripcija; (b) ako je rukovalac preduzeo naknadne mere kojima se obezbeđuje da više nije verovatno da ćedoći do visokog rizika za prava i slobode lica na koja se podaci odnose iz stava 1; (v) ako bi to zahtevalo nesrazmeran napor. U takvom slučaju se objavljuje javno obaveštenje ili se preduzima slična mera kojom se lica na koja se podaci odnose obaveštavaju na jednako delotvoran način. 4. Ako rukovalac još uvek nije obavestio lica na koja se podaci odnose o povredi bezbednosti podataka o ličnosti, nadzorni organ nakon razmatranja stepena verovatnoće da će povreda bezbednosti podataka o ličnosti prouzrokovati veliki rizik može od njega da zahteva da to učini ili može da zaključi da je ispunjen neki od uslova iz stava 3.
Odeljak 3. Procena uticaja u vezi sa zaštitom podataka i prethodne konsultacije
Član 35. Procena uticaja u vezi sa zaštitom podataka 1. Ako je verovatno da će neka vrsta obrade, posebno primenom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhe obrade, prouzrokovati veliki rizik za prava i slobode fizičkih lica, rukovalac pre obrade vrši procenu uticaja predviđenih postupaka obrade na zaštitu podataka o ličnosti. Jedna procena može da se odnosi na više sličnih postupaka obrade koji predstavljaju slične velike rizike. 2. Pri provođenju procene uticaja u vezi sa zaštitom podataka, rukovalac se obraća za mišljenje ovlašćenom licu za zaštitu podataka, ako je imenovano. 3. Procena uticaja na zaštitu podataka iz stava 1. obavezna je posebno u slučaju: (a) sistematske i obimne procene ličnih aspekata u vezi s fizičkim licima koja se zasniva na automatizovanoj obradi, uključujući i izradu profila, i koja je osnov za donošenje odluka koje proizvode pravno dejstvo u odnosu na fizičko lice ili na sličan način značajno utiču na fizičko lice;
(b) masovne obrade posebnih kategorija podataka o ličnosti iz člana 9, stav 1. ili podataka koji se odnose na krivičnu i prekršajnu osuđivanost iz člana 10; ili (v) obimnog sistematskog praćenja javno dostupnog prostora. 4. Nadzorni organ uspostavlja i javno objavljuje spisak vrsta postupaka obrade na koje se primenjuje obaveza vršenja procene uticaja u vezi sa zaštitom podataka u skladu sa stavom 1. Nadzorni organ te spiskove dostavlja Odboru iz člana 68. 5. Nadzorni organ takođe može da uspostavi i javno objavi spisak vrsta postupaka obrade za koje nije potrebna procena uticaja u vezi sa zaštitom podataka. Nadzorni organ te spiskove dostavlja Odboru. 6. Pre usvajanja spiskova iz stavova 4. i 5, nadležni nadzorni organ primenjuje mehanizam konzistentnosti iz člana 63. ako ti spiskovi obuhvataju aktivnosti obrade koje su povezane s nuđenjem robe ili usluga licima na koja se podaci odnose ili s praćenjem njihovog ponašanja u nekoliko država članica ili koje mogu znatno da utiču na slobodno kretanje podataka o ličnosti unutar Unije. 7. Procena obuhvata najmanje: (a) sistematski opis predviđenih postupaka obrade i svrha obrade, uključujući u odgovarajućim slučajevima i legitiman interes rukovaoca; (b) procenu neophodnosti i proporcionalnosti postupaka obrade u odnosu na njihove svrhe; (v) procenu rizika za prava i slobode lica na koja se podaci odnose iz stava 1; i (g) predviđene mere za otklanjanje rizika, što uključuje zaštitne mere, bezbednosne mere i mehanizme za obezbeđivanje zaštite podataka o ličnosti i dokazivanje usklađenosti s ovom uredbom, uzimajući u obzir prava i legitimne interese lica na koja se podaci odnose i drugih zainteresovanih lica. 8. Poštovanje odobrenih kodeksa ponašanja iz člana 40. od strane relevantnih rukovalaca ili obrađivača uzima se u obzir prilikom procene uticaja postupaka obrade koje primenjuju ti rukovaoci podataka ili obrađivači, posebno u svrhe procene uticaja u vezi sa zaštitom podataka. 9. Rukovalac prema potrebi od lica na koja se podaci odnose ili njihovih predstavnika traži mišljenje o nameravanoj obradi, ne dovodeći u pitanje zaštitu komercijalnih ili javnih interesa ili bezbednost radnji obrade. 10. Ako je obrada u skladu sa članom 6, stav 1, tačka (v) ili (d) pravno utemeljena u pravu Unije ili pravu države članice koje se primenjuje na rukovaoca, ako su tim pravom uređeni posebni postupci obrade ili skup predmetnih radnji i ako je procena uticaja u vezi sa zaštitom podataka već obavljena kao deo opšte procene uticaja u okviru donošenja pravnog osnova, stavovi 1. do 7. se ne primenjuju, osim u slučaju da države članice smatraju da je pre radnji obrade potrebno izvršiti takvu procenu. 11. Rukovalac prema potrebi vrši pregled da bi procenio da li je obrada izvršena u skladu s procenom uticaja u vezi sa zaštitom podataka, i to barem kada dođe do promene u nivou rizika koji predstavljaju postupci obrade.
Član 36. Prethodne konsultacije
- Rukovalac se konsultuje s nadzornim organom pre obrade ako je procena uticaja u vezi sa zaštitom podataka iz člana 35. pokazala da bi obrada prouzrokovala veliki rizik u slučaju da rukovalac ne primeni mere za ublažavanje rizika. 2. Ako nadzorni organ smatra da bi se nameravanom obradom iz stava 1. kršila ova uredba, posebno ako rukovalac nije u dovoljnoj meri identifikovao ili umanjio rizik, nadzorni organ u roku od najviše osam nedelja od prijema zahteva za konsultacije pisanim putem savetuje rukovaoca, a prema potrebi i obrađivača, i pri tom može da koristi bilo koje od svojih ovlašćenja iz člana 58. Taj rok može prema potrebi da se produži za šest nedelja, u zavisnosti od složenosti nameravane obrade. Nadzorni organ u roku od mesec dana od prijema zahteva obaveštava rukovaoca, a prema potrebi i obrađivača, o svakom takvom produženju i o razlozima odlaganja. Proticanje ovih rokova može privremeno da bude obustavljeno dok nadzorni organ ne dobije informacije koje je zahtevao za potrebe konsultacije. 3. Prilikom konsultacija s nadzornim organom u skladu sa stavom 1, rukovalac nadzornom organu dostavlja: (a) ukoliko je primenljivo, odgovarajuće odgovornosti rukovaoca, zajedničkih rukovalaca i obrađivača koji učestvuju u obradi, posebno u slučaju obrade unutar grupe povezanih društava; (b) svrhu i sredstva nameravane obrade; (v) zaštitne mere i druge mere za zaštitu prava i sloboda lica na koja se podaci odnose u skladu s ovom uredbom; (g) ukoliko je primenljivo, podatke za kontakt ovlašćenog lica za zaštitu podataka; (d) procenu uticaja u vezi sa zaštitom podataka iz člana 35; i (đ) sve druge informacije koje nadzorni organ zatraži. 4. Države članice se konsultuju s nadzornim organom prilikom izrade predloga zakonodavne mere koju donosi nacionalni parlament ili podzakonske mere koja se zasniva na takvoj zakonodavnoj meri, a koja se odnosi na obradu. 5. Nezavisno od stava 2, pravo države članice može od rukovalaca da zahteva da se konsultuju s nadzornim organom i da od njega pribave prethodno odobrenje u vezi s obradom koju rukovalac vrši u cilju obavljanja zadataka koje rukovalac vrši u javnom interesu, uključujući i obradu u vezi sa socijalnom zaštitom i javnim zdravljem.
- Odeljak 4.
Ovlašćeno lice za zaštitu podataka
Član 37. Imenovanje ovlašćenog lica za zaštitu podataka 1. Rukovalac i obrađivač imenuju ovlašćeno lice za zaštitu podataka uvek kada:
(a) obradu vrši organ javne vlasti ili javno telo, osim sudova koji postupaju u okviru svoje sudske nadležnosti,
(b) se osnovne delatnosti rukovaoca ili obrađivača sastoje iz radnji obrade koje zbog svoje prirode, obima i/ili svrha zahtevaju redovno i sistematsko masovno praćenje lica na koja se podaci odnose, ili (v) se osnovne delatnosti rukovaoca ili obrađivača sastoje iz masovne obrade posebnih kategorija podataka na osnovu člana 9. i podataka o ličnosti koji se odnose na krivičnu i prekršajnu osuđivanost iz člana 10. 2. Grupa povezanih društava može da imenuje jedno ovlašćeno lice za zaštitu podataka pod uslovom da je ovlašćeno lice za zaštitu podataka lako dostupno iz svake poslovne jedinice. 3. Ako je rukovalac ili obrađivač organ javne vlasti ili javno telo, za više takvih organa ili tela može se imenovati jedno ovlašćeno lice za zaštitu podataka, uzimajući u obzir njihovu organizacionu strukturu i veličinu. 4. U slučajevima koji nisu navedeni u stavu 1, rukovalac ili obrađivač ili udruženja i druga tela koji predstavljaju kategoriju rukovalaca ili obrađivača mogu, odnosno, u slučajevima kada to nalaže pravo Unije ili pravo države članice, moraju da imenuju ovlašćeno lice za zaštitu podataka. Ovlašćeno lice za zaštitu podataka može da obavlja poslove u ime takvih udruženja i drugih tela koji predstavljaju rukovaoce ili obrađivače. 5. Ovlašćeno lice za zaštitu podataka imenuje se na osnovu stručnih kvalifikacija, a posebno stručnog znanja o zakonodavstvu i praksi u oblasti zaštite podataka i sposobnosti obavljanja zadataka iz člana 39. 6. Ovlašćeno lice za zaštitu podataka može da bude član osoblja rukovaoca ili obrađivača ili može da obavlja poslove na osnovu ugovora o delu. 7. Rukovalac ili obrađivač objavljuje podatke za kontakt ovlašćenog lica za zaštitu podataka i saopštava ih nadzornom organu.
Član 38. Položaj ovlašćenog lica za zaštitu podataka 1. Rukovalac i obrađivač obezbeđuju da ovlašćeno lice za zaštitu podataka bude na odgovarajući način i blagovremeno uključeno u sva pitanja koja se tiču zaštite podataka o ličnosti. 2. Rukovalac i obrađivač podržavaju ovlašćeno lice za zaštitu podataka u izvršavanju zadataka iz člana 39. pružajući mu potrebna sredstva za izvršavanje tih zadataka i ostvarivanje pristupa podacima o ličnosti i postupcima obrade, kao i za održavanje njegovog stručnog znanja. 3. Rukovalac i obrađivač obezbeđuju da ovlašćeno lice za zaštitu podataka ne prima nikakve instrukcije prilikom obavljanja tih zadataka. Rukovalac ili obrađivač ne smeju da ga razreše dužnosti ili kazne zbog toga što obavlja svoje zadatke. Ovlašćeno lice za zaštitu podataka odgovara neposredno najvišem nivou rukovodstva rukovaoca ili obrađivača. 4. Lica na koja se podaci odnose mogu da se obrate ovlašćenom licu za sva pitanja koja se tiču obrade njihovih podataka o ličnosti i ostvarivanja njihovih prava iz ove uredbe. 5. Ovlašćeno lice za zaštitu podataka obavezano je tajnošću ili poverljivošću u vezi s obavljanjem svojih zadataka, u skladu s pravom Unije ili pravom države članice. 6. Ovlašćeno lice za zaštitu podataka može da obavlja i druge zadatke i dužnosti. Rukovalac ili obrađivač obezbeđuje da ti zadaci i dužnosti ne dovedu do sukoba interesa.
Član 39. Zadaci ovlašćenog lica za zaštitu podataka 1. Ovlašćeno lice za zaštitu podataka obavlja najmanje sledeće zadatke: (a) informisanje i savetovanje rukovaoca ili obrađivača i zaposlenih koji vrše obradu o njihovim obavezama u skladu s ovom uredbom i drugim odredbama prava Unije ili prava države članice o zaštiti podataka; (b) praćenje usklađenosti s ovom uredbom i drugim odredbama prava Unije ili prava države članice o zaštiti podataka, kao i politikama rukovaoca ili obrađivača u vezi sa zaštitom podataka o ličnosti, uključujući i podelu odgovornosti, podizanje svesti i osposobljavanje osoblja koje učestvuje u radnjama obrade, kao i s tim povezane revizije; (v) pružanje saveta, kada je to zatraženo, u pogledu procene uticaja u vezi sa zaštitom podataka i praćenje njena izvršavanja u skladu sa članom 35; (g) saradnja s nadzornim organom; (d) delovanje kao kontaktna tačka za nadzorni organ o pitanjima koja se tiču obrade, što uključuje i prethodne konsultacije iz člana 36, a u odgovarajućim slučajevima i savetovanje o drugim pitanjima. 2. Ovlašćeno lice za zaštitu podataka prilikom obavljanja svojih zadataka vodi računa o rizicima vezanim za radnje obrade i uzima u obzir prirodu, obim, okolnosti i svrhe obrade.
Odeljak 5. Kodeksi ponašanja i sertifikacija
Član 40. Kodeksi ponašanja 1. Države članice, nadzorni organi, Odbor i Komisija podstiču izradu kodeksa čija svrha je da doprinesu pravilnoj primeni ove uredbe, uzimajući u obzir specifičnost različitih sektora obrade i posebne potrebe mikro, malih i srednjih preduzeća. 2. Udruženja i druga tela koja predstavljaju kategorije rukovalaca ili obrađivača mogu da izrade kodekse ponašanja, odnosno da izmene i prošire takve kodekse, radi preciziranja primene ove uredbe, na primer u delu koji se odnosi na: (a) pravičnu i transparentnu obradu; (b) legitimne interese rukovalaca u posebnim kontekstima; (v) prikupljanje podataka o ličnosti; (g) pseudonimizaciju podataka o ličnosti; (d) informisanje javnosti i lica na koja se podaci odnose; (đ) ostvarivanje prava lica na koja se podaci odnose; (e) informisanje i zaštite dece i način pribavljanja pristanka vršilaca roditeljskog prava nad detetom; (ž) mere i postupke iz članova 24. i 25, kao i mere za postizanje bezbednosti obrade iz člana 32; (z) zvanično obaveštavanje nadzornih organa o povredama bezbednosti podataka o ličnosti i obaveštavanje lica na koja se podaci odnose o takvim povredama; (i) prenos podataka o ličnosti trećim zemljama ili međunarodnim organizacijama; ili (j) vansudske postupke i druge postupke za rešavanje sporova između rukovalaca i lica na koja se podaci odnose u vezi s obradom, ne dovodeći u pitanje prava koja lica na koja se podaci odnose imaju na osnovu članova 77. i 79. 3. Pored toga što obavezuju rukovaoce i obrađivače na koje se primenjuje ova uredba, kodekse ponašanja koji su odobreni u skladu sa stavom 5. ovog člana i koji imaju opšte važenje u skladu sa stavom 4. ovog člana mogu da poštuju i rukovaoci ili obrađivači na koje se ova uredba u skladu sa članom 3. ne primenjuje, kako bi obezbedili odgovarajuće zaštitne mere u okviru prenosa podataka o ličnosti trećim zemljama ili međunarodnim organizacijama, i skladu sa uslovima iz člana 46, stav 2, tačka (d). Takvi rukovaoci ili obrađivači putem ugovornih ili drugih pravno obavezujućih instrumenata preuzimaju obavezujuće i izvršive obaveze primene odgovarajućih zaštitnih mera, uključujući i mere vezane za prava lica na koja se podaci odnose. 4. Kodeks ponašanja iz stava 2. ovog člana sadrži mehanizme koji organu iz člana 41, stav 1. omogućavaju da primenjuje obavezno praćenje usklađenosti rukovalaca ili obrađivača koji su se obavezali na njegovu primenu, ne dovodeći u pitanje zadatke i ovlašćenja nadzornih organa koji su nadležni na osnovu člana 55. ili člana 56. 5. Udruženja i druga tela iz stava 2. ovog člana koja nameravaju da izrade kodeks ponašanja ili da izmene i prošire kodeks nacrt kodeksa, odnosno izmenu ili proširenje postojećeg kodeksa dostavljaju nadzornom organu koji je nadležan na osnovu člana 55. Nadzorni organ daje mišljenje o tome da li je nacrt kodeksa, odnosno izmena ili proširenje kodeksa u skladu s ovom uredbom i odobrava nacrt kodeksa, odnosno izmenu ili proširenje kodeksa ako oceni da obezbeđuje dovoljne adekvatne zaštitne mere. 6. Ako se nacrt kodeksa ponašanja, odnosno izmena ili proširenje kodeksa odobri u skladu sa stavom 5. i ako se predmetni kodeks ponašanja ne odnosi na aktivnosti obrade u više država članica, nadzorni organ registruje i objavljuje kodeks. 7. Ako se nacrt kodeksa ponašanja odnosi na aktivnosti obrade u više država članica, nadzorni organ nadležan na osnovu člana 55. pre davanja odobrenja predaje nacrt kodeksa, odnosno izmenu ili proširenje kodeksa u postupak iz člana 63. Odboru, koji daje mišljenje o tome da li je nacrt kodeksa, odnosno izmena ili proširenje kodeksa u skladu s ovom uredbom ili, u situaciji iz stava 3, da li obezbeđuje odgovarajuće zaštitne mere. 8. Ako se mišljenjem iz stava 7. potvrdi da je nacrt kodeksa, odnosno izmena ili proširenje kodeksa u skladu s ovom uredbom ili d, u situaciji iz stava 3. ovog člana, obezbeđuje odgovarajuće zaštitne mere, Odbor dostavlja svoje mišljenje Komisiji. 9. Komisija može aktima za sprovođenje da odredi da odobreni kodeks, odnosno izmene ili proširenja koja su joj dostavljena u skladu sa stavom 8. ovog člana, imaju opšte važenje unutar Unije. Ti akti za sprovođenje se donose u skladu s postupkom pregleda iz člana 93, stava 2. 10. Komisija obezbeđuje odgovarajuće objavljivanje odobrenih kodeksa za koje je u skladu sa stavom 9 odlučeno da imaju opšte važenje. 11. Odbor unosi sve odobrene kodekse ponašanja, odnosno izmene i proširenja kodeksa ponašanja u evidenciju i objavljuje ih na odgovarajuće načine.
Član 41. Praćenje odobrenih kodeksa ponašanja 1. Ne dovodeći u pitanje zadatke i ovlašćenja nadležnog nadzornog organa iz članova 57. i 58, praćenje usklađenosti s kodeksom ponašanja u skladu sa članom 40. može vršiti organ s odgovarajućim stepenom stručnosti za predmet kodeksa koji je u tu svrhu akreditovao nadležni nadzorni organ. 2. Organ iz stava 1. može biti akreditovan za praćenje usklađenosti s kodeksom ponašanja ako je taj organ: (a) nadležnom nadzornom organu na zadovoljavajući način dokazao svoju nezavisnost i stručnost za predmet kodeksa; (b) uspostavio postupke koji mu omogućavaju da ocenjuje kvalifikovanost rukovaoca i obrađivača za primenu kodeksa, da prati njihovo poštovanje odredbi kodeksa i da periodično preispituje njegovo funkcionisanje; (v) uspostavio postupke i strukture za rešavanje pritužbi na kršenja kodeksa ili na način na koji rukovalac ili obrađivač primenjuju ili su primenili kodeks i učinio te postupke i strukture transparentnima licima na koja se podaci odnose i javnosti; i (g) nadležnom nadzornom organu način koji on smatra zadovoljavajućim dokazao da njegovi zadaci i dužnosti ne dovode do sukoba interesa. 3. Nadležni nadzorni organ dostavlja nacrt kriterijuma za akreditaciju tela iz stava 1. ovog člana Odboru u skladu s mehanizmom konzistentnosti iz člana 63. 4. Ne dovodeći u pitanje zadatke i ovlašćenja nadležnog nadzornog organa i odredbe poglavlja VIII, organ iz stava 1. ovog člana, uz primenu odgovarajućih zaštitnih mera, preduzima odgovarajuće radnje u slučajevima kršenja kodeksa od strane rukovaoca ili obrađivača, što uključuje i privremenu ili trajnu zabranu tom rukovaocu ili obrađivaču da primenjuje kodeks. O tim radnjama i razlozima za njihovo preduzimanje obaveštava nadležni nadzorni organ. 5. Nadležni nadzorni organ oduzima akreditaciju organu iz stava 1. ako se uslovi za akreditaciju ispune ili više nisu ispunjeni ili ako radnje koje organ sprovodi predstavljaju kršenje ove uredbe. 6. Ovaj član se ne primenjuje na obradu obavljaju organi javne vlasti i javna tela.
Član 42. Sertifikacija 1. Države članice, nadzorni organi, Odbor i Komisija podstiču, posebno na nivou Unije, uspostavljanje mehanizama sertifikacije zaštite podataka te pečata i oznaka za zaštitu podataka u svrhu dokazivanja da su radnje obrade koje primenjuju rukovalac i obrađivač u skladu s ovom uredbom. U obzir se uzimaju posebne potrebe mikro, malih i srednjih preduzeća. 2. Pored toga što se mehanizmi sertifikacije zaštite podataka, pečati ili oznake odobreni na osnovu stava 5. ovog člana primenjuju na rukovaoce ili obrađivače na koje se primenjuje ova uredba, oni mogu da budu uspostavljeni radi dokazivanja postojanja odgovarajućih zaštitnih mera koje rukovaoci i obrađivači na koje se ova uredba u skladu sa članom 3. ne primenjuje obezbeđuju u okviru prenosa podataka o ličnosti trećim zemljama ili međunarodnim organizacijama pod uslovima iz člana 46, stav 2, tačka (đ). Takvi rukovaoci ili obrađivači putem ugovornih ili drugih pravno obavezujućih instrumenata preuzimaju obavezujuće i izvršive obaveze primene odgovarajućih zaštitnih mera, uključujući i mere vezane za prava lica na koja se podaci odnose. 3. Sertifikacija je dobrovoljna i dostupna putem procesa koji je transparentan. 4. Sertifikacija u skladu s ovim članom ne umanjuje odgovornost rukovaoca ili obrađivača za poštovanje ove uredbe i ne dovodi u pitanje zadatke i ovlašćenja nadzornih organa koji su nadležni u skladu sa članom 55. ili 56. 5. Sertifikacija u skladu s ovim članom izdaju sertifikaciona tela iz člana 43. ili nadležni nadzorni organ, na osnovu kriterijuma koje je odobrio taj nadležni nadzorni organ na osnovu člana 58, stava 3. ili Odbor na osnovu člana 63. Ako je kriterijume odobrio Odbor, rezultat toga može da bude zajednička sertifikacija – evropski pečat za zaštitu podataka. 6. Rukovalac ili obrađivač koji svoje obrade predaje mehanizmu sertifikacije pruža sve informacije i omogućava pristup svojim aktivnostima obrade koje su potrebne za vođenje postupka sertifikacije sertifikacionom telu iz člana 43. ili nadležnom nadzornom organu, u zavisnosti od slučaja. 7. Sertifikat se rukovaocu ili obrađivaču izdaje na najviše tri godine i može se obnoviti pod istim uslovima ako su i dalje ispunjeni relevantni zahtevi. Sertifikaciona tela iz člana 43. ili nadležni nadzorni organ, u zavisnosti od slučaja, oduzimaju sertifikat ako se zahtevi za sertifikaciju ne ispune ili ako više nisu ispunjeni. 8. Odbor sve mehanizme sertifikacije, pečate i oznake za zaštitu podataka unosi u registar i objavljuje ih na bilo koji odgovarajući način.
Član 43. Sertifikaciona tela 1. Ne dovodeći u pitanje zadatke i ovlašćenja nadležnog nadzornog organa iz članova 57. i 58, sertifikaciju izdaju i obnavljaju sertifikaciona tela s odgovarajućim stepenom stručnosti iz oblasti zaštite podataka, nakon što o tome obaveste nadležni organ kako bi prema potrebi mogao da izvršava svoja ovlašćenja iz člana 58, stav 2, tačke (ž). Države članice obezbeđuju da je ta sertifikaciona tela akreditovalo jedno ili oba sledeća tela: (a) nadzorni organ koji je nadležan u skladu sa članom 55. ili 56; (b) nacionalno akreditaciono telo imenovano u skladu s Uredbom (EZ) br. 765/2008 Evropskog parlamenta i Saveta (20) u skladu s EN-ISO/IEC 17065/2012 i dodatnim zahtevima koje odredi nadzorni organ koji je nadležan u skladu sa članom 55. ili 56. 2. Sertifikaciona tela iz stava 1. akreditovana su u skladu s tim stavom samo ako su: (a) nadležnom nadzornom organu na zadovoljavajući način dokazala svoju nezavisnost i stručnost u predmetu sertifikacije; (b) se obavezala da će poštovati kriterijume iz člana 42, stav 5. koje je odobrio nadzorni organ nadležan na osnovu člana 55. ili člana 56. ili Odbor na osnovu člana 63; (v) uspostavila postupke za izdavanje, periodično preispitivanje i povlačenje sertifikacije, pečata i oznaka za zaštitu podataka; (g) uspostavila postupke i strukture za rešavanje pritužbi na kršenja sertifikacije ili način na koji rukovalac ili obrađivač primenjuju ili su primenili sertifikaciju i učinila te postupke i strukture transparentnima licima na koja se podaci odnose i javnosti; i
(d) nadležnom nadzornom organu na zadovoljavajući način dokazala da njegove zadaci i dužnosti ne dovode do sukoba interesa. 3. Sertifikaciona tela iz stavova 1. i 2. ovog člana se akredituju na osnovu kriterijuma koje je odobrio nadzorni organ nadležan na osnovu člana 55. ili 56. ili Odbor na osnovu člana 63. U slučaju akreditacije u skladu sa stavom 1, tačka (b) ovog člana, ti zahtevi dopunjuju zahteve iz Uredbe (EZ) br. 765/2008 i tehnička pravila koja opisuju metode i postupke sertifikacionih tela. 4. Sertifikaciona tela iz stava 1. odgovorna su za pravilnu procenu koja dovodi do sertifikacije ili oduzimanja sertifikata, ne dovodeći u pitanje odgovornost rukovaoca ili obrađivača za usklađenost s ovom uredbom. Akreditacija se izdaje na najviše pet godina i može se obnoviti pod istim uslovima ako sertifikaciono telo i dalje ispunjava relevantne zahteve iz ovog člana. 5. Sertifikaciona tela iz stava 1. nadležnim nadzornim organima navode razloge za dodelu ili oduzimanje zatraženog sertifikata. 6. Nadzorni organ u lako dostupnom obliku objavljuje zahteve iz stava 3. ovog člana i kriterijume iz člana 42, stav 5. Nadzorni organi te zahteve i kriterijume prosleđuju Odboru. Odbor sve mehanizme sertifikacije i pečate za zaštitu podataka unosi u registar i javno ih objavljuje na bilo koji odgovarajući način. 7. Ne dovodeći u pitanje poglavlje VIII, nadležni nadzorni organ ili nacionalno akreditaciono telo povlači akreditaciju sertifikacionog tela na osnovu stava 1. ovog člana ako se uslovi za akreditaciju ne ispune ili više nisu ispunjeni, ili ako se radnjama koje preduzima sertifikaciono telo krši ova uredba. 8. Komisija ima ovlašćenja za donošenje delegiranih akata u skladu sa članom 92. radi preciziranja zahteva koje je potrebno uzeti u obzir za mehanizme sertifikacije zaštite podataka iz člana 42, stav 1. 9. Komisija može da usvoji akte za sprovođenje kojima propisuje tehničke standarde za mehanizme sertifikacije, pečate i oznake za zaštitu podataka i mehanizme za promovisanje i priznavanje tih mehanizama sertifikacije, pečata i oznaka. Ti akti za sprovođenje donose se u skladu s postupkom pregleda iz člana 93, stav 2.
POGLAVLjE V Prenosi podataka o ličnosti trećim zemljama ili međunarodnim organizacijama
Član 44. Opšta načela prenosa
Nema komentara