danas je 28.3.2024

Nedostupan dokument, obavezna prijava
Input:

Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (Tekst značajan za EGP)

27.4.2016, Izvor: EUR-Lex (http://eur-lex.europa.eu)

UREDBA (EU2016/679 EUROPSKOG PARLAMENTA I VIJEĆA

od 27. travnja 2016.

o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka)

(Tekst značajan za EGP)

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 16.,

uzimajući u obzir prijedlog Europske komisije,

nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,

uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora (1),

uzimajući u obzir mišljenje Odbora regija (2),

u skladu s redovnim zakonodavnim postupkom (3),

budući da:

(1)

Zaštita pojedinaca s obzirom na obradu osobnih podataka temeljno je pravo. Člankom 8. stavkom 1. Povelje Europske unije o temeljnim pravima („Povelja”) te člankom 16. stavkom 1. Ugovora o funkcioniranju Europske unije (UFEU) utvrđuje se da svatko ima pravo na zaštitu svojih osobnih podataka.

(2)

Načela i pravila o zaštiti pojedinaca u vezi s obradom njihovih osobnih podataka trebala bi poštovati njihova temeljna prava i slobode, a posebno njihovo pravo na zaštitu osobnih podataka, bez obzira na nacionalnost ili boravište pojedinaca. Ovom Uredbom želi se doprinijeti uspostavi područja slobode, sigurnosti i pravde te gospodarske unije, gospodarskom i socijalnom napretku, jačanju i približavanju gospodarstava na unutarnjem tržištu te dobrobiti pojedinaca.

(3)

Direktivom 95/46/EZ Europskog parlamenta i Vijeća (4) nastoji se uskladiti zaštita temeljnih prava i sloboda pojedinaca u vezi s obradom podataka kao i osigurati slobodan protok osobnih podataka između država članica.

(4)

Obrada osobnih podataka trebala bi biti osmišljena tako da bude u službi čovječanstva. Pravo na zaštitu osobnih podataka nije apsolutno pravo; mora ga se razmatrati u vezi s njegovom funkcijom u društvu te ga treba ujednačiti s drugim temeljnim pravima u skladu s načelom proporcionalnosti. Ovom se Uredbom poštuju sva temeljna prava i uvažavaju slobode i načela priznata Poveljom koja su sadržana u Ugovorima, osobito poštovanje privatnog i obiteljskog života, doma i komuniciranja, zaštita osobnih podataka, sloboda mišljenja, savjesti i vjeroispovijedi, sloboda izražavanja i informiranja, sloboda poduzetništva, pravo na učinkoviti pravni lijek i pošteno suđenje te pravo na kulturnu, vjersku i jezičnu raznolikost.

(5)

Gospodarska i društvena integracija proizašla iz funkcioniranja unutarnjeg tržišta dovela je do znatnog povećanja prekograničnih protoka osobnih podataka. Povećala se razmjena osobnih podataka između javnih i privatnih sudionika, uključujući pojedince, udruženja i poduzetnike širom Unije. U skladu s pravom Unije nacionalna tijela država članica pozivaju se na suradnju i razmjenu osobnih podataka kako bi mogla izvršavati svoje dužnosti ili izvršavati zadaće u ime tijela u drugoj državi članici.

(6)

Zbog brzog tehnološkog razvoja i globalizacije pojavili su se novi izazovi u zaštiti osobnih podataka. Opseg prikupljanja i razmjene osobnih podataka značajno se povećava. Tehnologijom se privatnim društvima i tijelima javne vlasti omogućuje uporaba osobnih podataka u dosada nedosegnutom opsegu radi ostvarenja njihovih djelatnosti. Pojedinci svoje osobne informacije sve više čine dostupnima javno i globalno. Tehnologija je preobrazila i gospodarstvo i društveni život te bi trebala dalje olakšavati slobodan protok osobnih podataka u Uniji i prijenos trećim zemljama i međunarodnim organizacijama, osiguravajući pri tome visoku razinu zaštite osobnih podataka.

(7)

Za takav razvoj potreban je čvrst i usklađeniji okvir za zaštitu podataka u Uniji koji se temelji na odlučnoj provedbi s obzirom na važnost stvaranja povjerenja koje će omogućiti razvoj digitalne ekonomije na čitavom unutarnjem tržištu. Pojedinci bi trebali imati nadzor nad vlastitim osobnim podacima. Pravnu i praktičnu sigurnost pojedinaca, gospodarskih subjekata i tijela javne vlasti trebalo bi poboljšati.

(8)

Ako se ovom Uredbom predviđaju specifikacije ili ograničenja njezinih pravila pravom države članice, države članice mogu, u mjeri u kojoj je to potrebno radi usklađenosti i kako bi nacionalne odredbe bile razumljive osobama na koje se primjenjuju, elemente ove Uredbe uključiti u svoje nacionalno pravo.

(9)

Ciljevi i načela Direktive 95/46/EZ i dalje su utemeljeni, no njome nisu spriječeni rascjepkanost provedbe zaštite podataka u Uniji, pravna nesigurnost ili rasprostranjeno javno mišljenje da osobito kod internetskih aktivnosti postoje znatni rizici povezani sa zaštitom pojedinaca. Razlike u razini zaštite prava i sloboda pojedinaca, a posebno prava na zaštitu osobnih podataka, koje pružaju države članice u vezi s obradom osobnih podataka mogu spriječiti slobodni protok osobnih podataka u Uniji. Te razlike stoga mogu predstavljati prepreku obavljanju gospodarskih djelatnosti na razini Unije, narušiti tržišno natjecanje te spriječiti nadležna tijela u ispunjenju njihovih odgovornosti na temelju prava Unije. Do takve razlike u razinama zaštite došlo je zbog postojanja razlika u provedbi i primjeni Direktive 95/46/EZ.

(10)

Kako bi se osigurala postojana i visoka razina zaštite pojedinaca te uklonile prepreke protoku osobnih podataka unutar Unije, razina zaštite prava i sloboda pojedinaca u vezi s obradom takvih podataka trebala bi biti jednaka u svim državama članicama. U čitavoj Uniji trebalo bi osigurati postojanu i homogenu primjenu pravila za zaštitu temeljnih prava i sloboda pojedinaca u vezi s obradom osobnih podataka. U pogledu obrade osobnih podataka za usklađivanje s pravnom obvezom, za izvršavanje zadaće od javnog interesa ili pri obavljanju službene ovlasti dodijeljene voditelju obrade državama članicama trebalo bi dopustiti da zadrže ili uvedu nacionalne odredbe kako bi se dodatno odredila primjena pravila iz ove Uredbe. Zajedno s općim i horizontalnim zakonodavstvom o zaštiti podataka kojim se provodi Direktiva 95/46/EZ, države članice imaju nekoliko posebnih zakona za pojedine sektore u onim područjima u kojima su potrebne konkretnije odredbe. Ovom Uredbom također se državama članicama pruža prostor za djelovanje kako bi bolje odredile njezina pravila uključujući obradu posebnih kategorija osobnih podataka („osjetljivi podaci”). U tom smislu ovom se Uredbom ne isključuje pravo države članice kojim se utvrđuju okolnosti posebnih situacija obrade, što uključuje preciznije određivanje uvjeta pod kojima je obrada osobnih podataka zakonita.

(11)

Djelotvorna zaštita osobnih podataka širom Unije zahtijeva jačanje i detaljno određivanje prava ispitanika i obveza onih koji obrađuju i određuju obradu osobnih podataka, kao i jednake ovlasti praćenja i osiguravanja poštovanja pravila za zaštitu osobnih podataka i jednake sankcije za kršenja u državama članicama.

(12)

Člankom 16. stavkom 2. UFEU-a Europskom parlamentu i Vijeću nalaže se utvrđivanje pravila o zaštiti pojedinaca s obzirom na obradu osobnih podataka i pravila u vezi sa slobodnim kretanjem takvih podataka.

(13)

Kako bi se osigurala dosljedna razina zaštite pojedinaca širom Unije i spriječila razilaženja koja ometaju slobodno kretanje osobnih podataka na unutarnjem tržištu, potrebna je Uredba radi pružanja pravne sigurnosti i transparentnosti gospodarskim subjektima, uključujući mikropoduzeća, mala i srednja poduzeća, te pružanja pojedincima u svim državama članicama istu razinu pravno primjenjivih prava i obveza te odgovornosti za voditelje obrade i izvršitelje obrade kako bi se osiguralo postojano praćenje obrade osobnih podataka i jednake sankcije u svim državama članicama, kao i djelotvornu suradnju između nadzornih tijela različitih država članica. Za ispravno funkcioniranje unutarnjeg tržišta ne ograničava se niti zabranjuje slobodno kretanje osobnih podataka u Uniji zbog razloga povezanih sa zaštitom pojedinaca u vezi s obradom osobnih podataka. Ova Uredba sadržava odstupanja za organizacije u kojima je zaposleno manje od 250 osoba s obzirom na vođenje evidencije, radi uzimanja u obzir posebnih situacija mikropoduzeća, malih i srednjih poduzeća. Osim toga, institucije i tijela Unije te države članice i njihova nadzorna tijela potiču se da u primjeni ove Uredbe uzmu u obzir posebne potrebe mikropoduzeća, malih i srednjih poduzeća. Pojam mikropoduzeća, malih i srednjih poduzeća trebao bi se temeljiti na članku 2. Priloga Preporuci Komisije 2003/361/EZ (5).

(14)

Zaštita koja se pruža ovom Uredbom u vezi s obradom osobnih podataka trebala bi se odnositi na pojedince bez obzira na njihovu nacionalnost ili boravište. Ovom se Uredbom ne obuhvaća obrada osobnih podataka koji se tiču pravnih osoba, a osobito poduzetnika koji su ustanovljeni kao pravne osobe, uključujući ime i oblik pravne osobe i kontaktne podatke pravne osobe.

(15)

Radi sprečavanja stvaranja ozbiljnog rizika zaobilaženja propisa, zaštita pojedinaca trebala bi biti tehnološki neutralna i ne bi smjela ovisiti o upotrebljavanim tehnologijama. Zaštita pojedinaca trebala bi se primjenjivati na obradu osobnih podataka automatiziranim sredstvima, kao i na ručnu obradu, ako su osobni podaci pohranjeni ili ih se namjerava pohraniti u sustav pohrane. Dokumenti ili skupovi dokumenata, kao i njihove naslovne stranice, koji nisu strukturirani prema posebnim mjerilima ne bi trebali biti obuhvaćeni područjem primjene ove Uredbe.

(16)

Ova se Uredba ne primjenjuje na pitanja zaštite temeljnih prava i sloboda ili slobodnog protoka osobnih podataka u vezi s djelatnostima koje ne ulaze u područje primjene prava Unije, kao što su djelatnosti u vezi s nacionalnom sigurnošću. Ova se Uredba ne primjenjuje na obradu osobnih podataka od strane država članica pri obavljanju djelatnosti povezanih sa zajedničkom vanjskom i sigurnosnom politikom Unije.

(17)

Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća (6) primjenjuje se na obradu osobnih podataka koju obavljaju institucije, tijela, uredi i agencije Unije. Uredba (EZ) br. 45/2001 i drugi pravni akti Unije primjenjivi na takvu obradu osobnih podataka trebali bi se prilagoditi načelima i pravilima iz ove Uredbe i primjenjivati s obzirom na ovu Uredbu. Kako bi se osigurao čvrst i usklađen okvir za zaštitu podataka u Uniji, nakon donošenja ove Uredbe trebale bi uslijediti potrebne prilagodbe Uredbe (EZ) br. 45/2001 kako bi se omogućila istovremena primjena obiju uredaba.

(18)

Ova se Uredba ne primjenjuje na obradu osobnih podataka koju fizičke osobe obavljaju u okviru isključivo osobne ili kućne aktivnosti te stoga nije povezana s profesionalnom ili komercijalnom djelatnošću. U osobne ili kućne aktivnosti može se ubrajati korespondencija i posjedovanje adresa ili društveno umrežavanje te internetske aktivnosti poduzete u kontekstu takvih aktivnosti. Međutim, ova se Uredba primjenjuje na voditelje obrade ili izvršitelje obrade koji pružaju sredstva za obradu osobnih podataka za takve osobne ili kućne aktivnosti.

(19)

Zaštita pojedinaca s obzirom na obradu osobnih podataka koju obavljaju nadležna tijela u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i slobodnom kretanju takvih podataka i njihovo sprečavanje, podliježe posebnom pravnom aktu Unije. Stoga se ova Uredba ne bi trebala primjenjivati na aktivnosti obrade u te svrhe. No, osobni podaci koje su obradila tijela javne vlasti u skladu s ovom Uredbom trebali bi, kada se upotrebljavaju u te svrhe, biti uređeni posebnim pravnim aktom Unije i to Direktivom (EU) 2016/680 Europskog parlamenta i Vijeća (7). Države članice mogu povjeriti nadležnim tijelima u smislu Direktive (EU) 2016/680 zadaće koje se ne provode nužno u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, tako da je obrada osobnih podataka za te druge svrhe, u mjeri u kojoj potpada pod područje primjene prava Unije, obuhvaćena područjem primjene ove Uredbe.

U vezi s obradom osobnih podataka koju obavljaju ta nadležna tijela u svrhe koje su obuhvaćene područjem primjene ove Uredbe, države članice trebale bi biti u mogućnosti zadržati ili uvesti preciznije odredbe kojima se prilagođava primjena pravila ove Uredbe. Tim se odredbama mogu detaljnije utvrditi posebni zahtjevi za obradu osobnih podataka koju obavljaju ta nadležna tijela u te druge svrhe, uzimajući u obzir ustavnu, organizacijsku i administrativnu strukturu dotične države članice. Kada osobne podatke obrađuju privatna tijela i takva obrada ulazi u područje primjene ove Uredbe, ova Uredba trebala bi predvidjeti mogućnost da države članice pod posebnim uvjetima zakonom ograniče određene obveze i prava kada takvo ograničenje predstavlja nužnu i proporcionalnu mjeru u demokratskom društvu za očuvanje posebnih važnih interesa, uključujući javnu sigurnost te sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje. To je, na primjer, relevantno u okviru borbe protiv pranja novca ili djelatnosti forenzičkih laboratorija.

(20)

Iako se ova Uredba primjenjuje, među ostalim, na aktivnosti sudova i drugih pravosudnih tijela, u pravu Unije ili pravu države članice moglo bi se odrediti radnje i postupke obrade u vezi s obradom osobnih podataka koju obavljaju sudovi i druga pravosudna tijela. Nadležnost nadzornih tijela ne bi smjela obuhvaćati obradu osobnih podataka kada sudovi djeluju u sudbenom svojstvu kako bi se zaštitila neovisnost pravosuđa u obavljanju njegovih sudskih zadaća, među ostalim u donošenju odluka. Trebalo bi biti moguće povjeriti nadzor takvih radnji obrade podataka posebnim tijelima u okviru pravosudnog sustava države članice, koja bi posebno trebala osigurati sukladnost s pravilima ove Uredbe, promicati svijest djelatnika u pravosuđu s o njihovim obvezama na temelju ove Uredbe i rješavati pritužbe u vezi s takvom obradom osobnih podataka.

(21)

Ovom se Uredbom ne dovodi u pitanje primjena Direktive 2000/31/EZ Europskog parlamenta i Vijeća (8), posebno pravila o odgovornosti posrednih davatelja usluga iz članaka od 12. do 15. Tom se Direktivom nastoji doprinijeti ispravnom funkcioniranju unutarnjeg tržišta putem osiguravanja slobodnog kretanja usluga informacijskog društva između država članica.

(22)

Svaka obrada osobnih podataka u Uniji s obzirom na djelatnosti poslovnog nastana voditelja obrade ili izvršitelja obrade trebala bi se obavljati u skladu s ovom Uredbom, neovisno o tome obavlja li se sama obrada u Uniji. Poslovni nastan podrazumijeva djelotvorno i stvarno obavljanje djelatnosti putem stabilnih aranžmana. Pravni oblik takvih aranžmana, bilo kroz podružnicu ili društvo kćer s pravnom osobnošću, nije odlučujući čimbenik u tom pogledu.

(23)

Kako bi se osiguralo da pojedincima nije uskraćena zaštita na koju imaju pravo na temelju ove Uredbe, na obradu osobnih podataka ispitanika koji se nalaze u Uniji, a koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji, trebala bi se primjenjivati ova Uredbaako su aktivnosti obrade povezane s ponudom robe ili usluga takvim ispitanicima, bez obzira na to ima li ta ponuda veze s plaćanjem. Kako bi se utvrdilo nudi li takav voditelj obrade ili izvršitelj obrade robu ili usluge ispitanicima koji se nalaze u Uniji, trebalo bi utvrditi je li očito da voditelj obrade ili izvršitelj obrade namjerava ponuditi usluge ispitanicima koji se nalaze u jednoj ili više država članica Unije. Iako su sama dostupnost internetskih stranica voditelja obrade, izvršitelja obrade ili posrednika u Uniji ili adrese elektroničke pošte i drugih kontaktnih podataka ili korištenje jezikom koji je općenito u uporabi u trećoj zemlji u kojoj voditelj obrade ima poslovni nastan nedovoljni za utvrđivanje takve namjere, čimbenici kao što je korištenje jezikom ili valutom koji su općenito u uporabi u jednoj ili više država članica s mogućnošću naručivanja robe i usluga na tom drugom jeziku, ili spominjanje kupaca ili korisnika koji se nalaze u Uniji, mogu jasno pokazati da voditelj obrade namjerava nuditi robu ili usluge ispitanicima u Uniji.

(24)

Na obradu osobnih podataka ispitanika koji se nalaze u Uniji, a koju obavlja voditelj obrade ili izvršitelj obrade bez poslovnog nastana u Uniji, također bi se trebala primjenjivati ova Uredba kada se odnosi na praćenje ponašanja takvih ispitanika ako se njihovo ponašanje odvija unutar Unije. Kako bi se odredilo može li se aktivnost obrade smatrati praćenjem ponašanja ispitanika, trebalo bi utvrditi prati li se pojedince na internetu među ostalim mogućom naknadnom upotrebom tehnika obrade osobnih podataka koje se sastoje od izrade profila pojedinca, osobito radi donošenja odluka koje se odnose na njega ili radi analize ili predviđanja njegovih osobnih sklonosti, ponašanja i stavova.

(25)

Kada se pravo države članice primjenjuje na temelju međunarodnog javnog prava, ova Uredba trebala bi se primjenjivati i na voditelje obrade koji nemaju poslovni nastan u Uniji, kao na primjer u diplomatskom ili konzularnom predstavništvu države članice.

(26)

Načela zaštite podataka trebala bi se primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Osobne podatke koji su pseudonimizirani, a koji bi se mogli pripisati nekom pojedincu uporabom dodatnih informacija trebalo bi smatrati informacijama o pojedincu čiji se identitet može utvrditi. Kako bi se odredilo može li se identitet pojedinca utvrditi, trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koja voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca. Kako bi se utvrdilo je li po svemu sudeći izgledno da se upotrebljavaju sredstva za utvrđivanje identiteta pojedinca, trebalo bi uzeti u obzir sve objektivne čimbenike, kao što su troškovi i vrijeme potrebno za utvrđivanje identiteta, uzimajući u obzir i tehnologiju dostupnu u vrijeme obrade i tehnološki razvoj. Načela zaštite podataka stoga se ne bi trebala primjenjivati na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su učinjeni anonimnima na način da se identitet ispitanika ne može ili više ne može utvrditi. Ova se Uredba stoga ne odnosi na obradu takvih anonimnih informacija, među ostalim za statističke ili istraživačke svrhe.

(27)

Ova se Uredba ne primjenjuje na osobne podatke preminulih osoba. Države članice mogu predvidjeti pravila u vezi s obradom osobnih podataka preminulih osoba.

(28)

Primjena pseudonimizacije na osobne podatke može smanjiti rizike za dotične ispitanike i pomoći voditeljima obrade i izvršiteljima obrade u ispunjavanju njihovih obveza u vezi sa zaštitom podataka. Izričitim uvođenjem „pseudonimizacije” ovom se Uredbom ne namjerava isključiti bilo koje druge mjere za zaštitu podataka.

(29)

Radi poticanja primjene pseudonimizacije prilikom obrade osobnih podataka trebalo bi omogućiti da isti voditelj obrade može provoditi mjere pseudonimizacije i opću analizu u slučajevima kada je taj voditelj obrade poduzeo tehničke i organizacijske mjere potrebne za osiguravanje, u dotičnoj obradi, provedbe ove Uredbe, te zasebno čuvanje dodatnih informacija za pripisivanje osobnih podataka određenom ispitaniku. Voditelj obrade koji obrađuje osobne podatke trebao bi navesti ovlaštene osobe u okviru istog voditelja obrade.

(30)

Pojedinci mogu biti pridruženi mrežnim identifikatorima koje pružaju njihovi uređaji, aplikacije, alati i protokoli, kao što su adrese internetskog protokola, identifikatori kolačića ili drugim identifikatorima poput oznaka za radiofrekvencijsku identifikaciju. Tako mogu ostati tragovi koji se, posebno u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje primaju poslužitelji, mogu upotrijebiti za izradu profila pojedinaca i njihovu identifikaciju.

(31)

Tijela javne vlasti kojima se otkrivaju osobni podaci u skladu s pravnom obvezom izvršavanja njihovih službenih zadaća, poput poreznih i carinskih tijela, jedinica za financijsku istragu, neovisnih upravnih tijela ili tijela za financijska tržišta, odgovorna za reguliranje i nadzor tržišta vrijednosnih papira, ne bi se smjela smatrati primateljima ako prime osobne podatke koji su potrebni za provedbu određene istrage u općem interesu, u skladu s pravom Unije ili pravom države članice. Zahtjevi za otkrivanje koje šalju tijela javne vlasti trebali bi uvijek biti u pisanom obliku, obrazloženi i povremeni i ne bi se trebali odnositi na čitav sustav pohrane ili dovesti do međupovezanosti sustavâ pohrane. Ta tijela javne vlasti trebala bi obrađivati takve osobne podatke u skladu s primjenjivim pravilima za zaštitu podataka ovisno o svrhama obrade.

(32)

Privola bi se trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave. To bi moglo obuhvaćati označivanje polja kvačicom pri posjetu internetskim stranicama, biranje tehničkih postavaka usluga informacijskog društva ili drugu izjavu ili ponašanje koje jasno pokazuje u tom kontekstu da ispitanik prihvaća predloženu obradu svojih osobnih podataka. Šutnja, unaprijed kvačicom označeno polje ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom. Privola bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za sve njih. Ako se privola ispitanika treba dati nakon zahtjeva upućenog elektroničkim putem, taj zahtjev mora biti jasan, jezgrovit i ne smije nepotrebno ometati upotrebu usluge za koju se upotrebljava.

(33)

Često nije moguće u potpunosti identificirati svrhu obrade osobnih podataka u znanstvene svrhe u trenutku prikupljanja podataka. Stoga bi se ispitanicima trebalo omogućiti da svoju privolu daju za određena područja znanstvenog istraživanja uz pridržavanje priznatih etičkih normi za znanstveno istraživanje. Ispitanici bi trebali imati priliku dati svoju privolu samo za određena područja istraživanja ili dijelove istraživačkih projekata u mjeri u kojoj to dopušta željena namjena.

(34)

Genetski podaci trebali bi se definirati kao osobni podaci u vezi s naslijeđenim ili stečenim genetskim obilježjima pojedinca koji proizlaze iz analize biološkog uzorka pojedinca o kojemu je riječ, osobito analize kromosoma, deoksiribonukleinske kiseline (DNK) ili ribonukleinske kiseline (RNK) ili iz analize drugog elementa koji omogućuje dobivanje jednakovrijedne informacije.

(35)

Osobni podaci koji se odnose na zdravlje trebali bi obuhvaćati sve podatke koji se odnose na zdravstveno stanje ispitanika, a koji otkrivaju informacije u vezi s prijašnjim, trenutačnim ili budućim fizičkim ili mentalnim zdravstvenim stanjem ispitanika. To uključuje informacije o pojedincu prikupljene tijekom registracije za ili tijekom pružanja tom pojedincu zdravstvenih usluga kako je navedeno u Direktivi 2011/24/EUEuropskog parlamenta i Vijeća (9); broj, simbol ili oznaku koja je pojedincu dodijeljena u svrhu njegove jedinstvene identifikacije za zdravstvene svrhe; informacije izvedene iz testiranja ili ispitivanja dijela tijela ili tjelesne tvari, među ostalim iz genetskih podataka i bioloških uzoraka; i bilo kakvu informaciju o, na primjer, bolesti, invalidnosti, riziku od bolesti, medicinskoj povijesti, kliničkom tretmanu ili fiziološkom ili biomedicinskom stanju ispitanika neovisno o njegovu izvoru, kao na primjer od liječnika ili drugog zdravstvenog djelatnika, bolnice, medicinskog uređaja ili dijagnostičkog testa in vitro.

(36)

Glavni poslovni nastan voditelja obrade u Uniji trebalo bi biti mjesto njegove središnje uprave u Uniji, osim ako se odluke o svrhama i načinima obrade osobnih podataka donose u drugom poslovnom nastanu voditelja obrade u Uniji, u kojem slučaju taj drugi poslovni nastan trebao bi se smatrati glavnim poslovnim nastanom. Glavni poslovni nastan voditelja obrade u Uniji trebalo bi utvrditi prema objektivnim kriterijima, a pod time bi se trebalo podrazumijevati djelotvorno i stvarno obavljanje upravljačkih aktivnosti koje utvrđuju glavne odluke u vezi sa svrhama i načinima obrade putem stabilnih aranžmana. Taj kriterij ne bi smio ovisiti o tome obavljali se obrada osobnih podataka na toj lokaciji. Prisutnost i uporaba tehničkih sredstava i tehnologija za obradu osobnih podataka ili aktivnosti obrade same po sebi ne predstavljaju glavni poslovni nastan pa prema tome nisu odlučujući kriteriji za glavni poslovni nastan. Glavni poslovni nastan izvršitelja obrade trebalo bi biti mjesto njegove središnje uprave u Uniji ili, ako nema središnju upravu u Uniji, mjesto u Uniji u kojemu se odvijaju glavne aktivnosti obrade. U slučajevima koji uključuju i voditelja obrade i izvršitelja obrade, nadležno vodeće nadzorno tijelo trebalo bi ostati nadzorno tijelo države članice u kojoj voditelj obrade ima glavni poslovni nastan, ali nadzorno tijelo izvršitelja obrade trebalo bi smatrati predmetnim nadzornim tijelom te te bi to nadzorno tijelo trebalo sudjelovati u postupku suradnje koji je predviđen ovom Uredbom. U svakom slučaju, nadzorna tijela jedne države članice ili više njih u kojima izvršitelj obrade ima jedan ili više poslovnih nastana ne bi trebalo smatrati predmetnim nadzornim tijelima ako se nacrt odluke odnosi samo na voditelja obrade. Kada obradu obavlja grupa poduzetnika, glavni nastan poduzetnika u vladajućem položaju trebalo bi smatrati glavnim nastanom grupe poduzetnika, osim ako svrhe i načine obrade ne određuje drugi poduzetnik.

(37)

Grupa poduzetnika trebala bi obuhvaćati poduzetnika u vladajućem položaju i njemu podređene poduzetnike gdje bi poduzetnik u vladajućem položaju trebao biti poduzetnik koji može imati prevladavajući utjecaj nad drugim poduzetnicima na temelju, na primjer, vlasništva, financijskog sudjelovanja ili pravila kojima je ono uređeno ili ovlasti za provedbu pravila o zaštiti osobnih podataka. Poduzetnik koji nadzire obradu osobnih podataka kod poduzetnika koji su s njim povezani trebao bi se zajedno s njima smatrati „grupom poduzetnika”.

(38)

Djeca zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka budući mogu biti manje svjesna rizika, posljedica i predmetnih zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka. Takvo pravo na posebnu zaštitu trebalo bi se posebno odnositi na upotrebu osobnih podataka djece u svrhu marketinga ili stvaranja osobnih ili korisničkih profila te prikupljanje osobnih podataka o djeci prilikom upotrebe usluga koje se izravno nude djetetu. Privola nositelja roditeljske odgovornosti ne bi trebala biti nužna u kontekstu preventivnih usluga ili usluga savjetovanja koje su ponuđene izravno djetetu.

(39)

Svaka obrada osobnih podataka trebala bi biti zakonita i poštena. Za pojedince bi trebalo biti transparentno kako se osobni podaci koji se odnose na njih prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju, kao i do koje se mjere ti osobni podaci obrađuju ili će se obrađivati. Načelom transparentnosti traži se da svaka informacija i komunikacija u vezi s obradom tih osobnih podataka bude lako dostupna i razumljiva te da se upotrebljava jasan i jednostavan jezik. To se načelo osobito odnosi na informacije ispitaniku o identitetu voditelja obrade i svrhama obrade te daljnje informacije radi osiguravanja poštenosti i transparentnosti obrade s obzirom na pojedince o kojima je riječ i njihovo pravo da dobiju potvrdu i na obavijest o osobnim podacima koji se obrađuju, a koji se odnose na njih. Pojedinci bi trebali biti upoznati s rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom osobnih podataka i načinom ostvarenja svojih prava u vezi s obradom. Osobito,određena svrha u koju se osobni podaci obrađuju trebala bi biti izrijekom navedena i opravdana te određena u vrijeme prikupljanja osobnih podataka. Osobni podaci trebali bi biti primjereni, bitni i ograničeni na ono što je nužno za svrhe u koje se podaci obrađuju. Zbog toga je osobito potrebno osigurati da je razdoblje u kojem se osobni podaci pohranjuju ograničeno na strogi minimum. Osobni podaci trebali bi se obrađivati samo ako se svrha obrade opravdano ne bi mogla postići drugim sredstvima. Radi osiguravanja da se osobni podaci ne drže duže nego što je nužno, voditelj obrade trebao bi odrediti rok za brisanje ili periodično preispitivanje. Trebalo bi poduzeti svaki razumno opravdani korak radi osiguravanja da se netočni osobni podaci isprave ili izbrišu. Osobne podatke trebalo bi obrađivati uz odgovarajuće poštovanje sigurnosti i povjerljivosti osobnih podataka, što obuhvaća i sprečavanje neovlaštenog pristupa osobnim podacima i opremi kojom se koristi pri obradi podataka ili njihove neovlaštene upotrebe.

(40)

Kako bi obrada bila zakonita, osobne podatke trebalo bi obrađivati na temelju privole dotičnog ispitanika ili neke druge legitimne osnove, bilo propisane u ovoj Uredbi bilo u drugom pravu Unije ili pravu države članice na koji upućuje ova Uredba, uključujući obvezu poštovanja pravne obveze kojoj podliježe voditelj obrade ili obvezno izvršavanje ugovora u kojem je ispitanik jedna od stranaka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora.

(41)

Ako se ovom Uredbom upućuje na pravnu osnovu ili zakonodavnu mjeru, to ne znači nužno da parlament mora donijeti zakonodavni akt, ne dovodeći u pitanje zahtjeve u skladu s ustavnim poretkom dotične države članice. Međutim, takva pravna osnova ili zakonodavna mjera trebala bi biti jasna i precizna, a njezina primjena trebala bi biti predvidljiva osobama na koje se primjenjuje sukladno sudskoj praksi Suda Europske unije („Sud”) i Europskog suda za ljudska prava.

(42)

Ako se obrada temelji na privoli ispitanika, voditelj obrade trebao bi moći dokazati da je ispitanik dao privolu za postupak obrade. Zaštitnim mjerama, posebno u kontekstu pisane izjave o drugom pitanju, trebalo bi se osigurati da je ispitanik svjestan činjenice da daje privolu i do koje mjere se ona daje. U skladu s Direktivom Vijeća 93/13/EEZ (10) izjavu o privoli koju je unaprijed sastavio voditelj obrade trebalo bi ponuditi u razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te u njoj ne bi smjelo biti nepoštenih uvjeta. Da bi ispitanik mogao dati privolu informiran, trebao bi barem znati identitet voditelja obrade i svrhe obrade za koju se upotrebljavaju osobni podaci. Ne može se smatrati da je privola dana dobrovoljno ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica.

(43)

Kako bi se osiguralo da je privola dana dobrovoljno, ona ne bi smjela predstavljati valjanu pravnu osnovu za obradu osobnih podataka u određenom slučaju kada postoji jasna neravnoteža između ispitanika i voditelja obrade, posebno ako je voditelj obrade tijelo javne vlasti i stoga nije vjerojatno da je s obzirom na sve okolnostima te posebne situacije privola dana dobrovoljno. Smatra se da privola nije dana dobrovoljno ako se njome ne omogućuje davanje zasebne privole za različite postupke obrade podataka, unatoč tome što je primjerena pojedinačnom slučaju ili ako izvršenje ugovora, među ostalim i pružanje usluge, ovisi o privoli i ako takva privola nije nužna za takvo izvršenje.

(44)

Obrada bi se trebala smatrati zakonitom ako je potrebna u kontekstu ugovora ili namjere sklapanja ugovora.

(45)

Ako se obrada odvija u skladu s pravnim obvezama kojima podliježe voditelj obrade ili ako je obrada potrebna za izvršavanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti, obrada bi se trebala temeljiti na pravu Unije ili pravu države članice. Ovom se Uredbom ne zahtijeva potreba posebnog propisa za svaku pojedinačnu obradu. Jedan propis kao osnova za više postupaka obrade, koji se temelje na pravnoj obvezi kojoj podliježe voditelj obrade ili ako je obrada potrebna za izvršenje zadaće koja se provodi zbog javnog interesa ili pri izvršavanju službene ovlasti, može biti dovoljan. Pravom Unije ili pravom države članice također bi se trebala odrediti svrha obrade. Osim toga, tim bi se propisom mogli utvrditi opći uvjeti ove Uredbe kojima se uređuje zakonitost obrade osobnih podataka, utvrditi specifikacije za utvrđivanje voditelja obrade, vrste osobnih podataka koji podliježu obradi, dotičnih ispitanika, subjekata kojima se osobni podaci mogu otkriti, ograničenja svrhe, razdoblja pohrane i drugih mjera za osiguravanje zakonite i poštene obrade. Osim toga, pravom Unije ili pravom države članice trebalo bi odrediti bi li voditelj obrade koji obavlja zadaću u javnom interesu ili prilikom izvršavanja službene ovlasti trebao biti tijelo javne vlasti ili druga fizička ili pravna osoba koja posluje sukladno javnom pravu ili privatnom pravu, kao što je strukovno udruženje, u slučaju da je to opravdano javnim interesom, među ostalim u slučaju zdravstvenih svrha, kao što su javno zdravlje i socijalna zaštita te upravljanje službama za zdravstvenu skrb.

(46)

Obrada osobnih podataka trebala bi se također smatrati zakonitom ako je potrebna za zaštitu interesa koji je neophodan za očuvanje života ispitanika ili druge fizičke osobe. Obrada osobnih podataka na temelju životno važnih interesa druge fizičke osobe u načelu bi se smjela obavljati samo ako se obrada očito ne može temeljiti na drugoj pravnoj osnovi. Neke vrste obrade mogu poslužiti i za važne potrebe javnog interesa i životno važne interese ispitanika kao, na primjer, ako je obrada potrebna u humanitarne svrhe, među ostalim za praćenje epidemija i njihovog širenja ili u humanitarnim krizama, posebno u slučajevima prirodnih katastrofa i katastrofa uzrokovanih ljudskim djelovanjem.

(47)

Legitimni interesi voditelja obrade, među ostalim onih interesa voditelja obrade kojem se osobni podaci mogu otkriti ili treće strane, mogu predstavljati pravnu osnovu za obradu pod uvjetom da interesi ili temeljna prava i slobode ispitanika nemaju prednost, uzimajući u obzir razumna očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade. Takav legitiman interes mogao bi na primjer postojati u slučaju relevantnog i odgovarajućeg odnosa ispitanika i voditelja obrade u situacijama poput one kada je ispitanik klijent voditelja obrade ili u njegovoj službi. U svakom slučaju postojanje legitimnog interesa zahtijevalo bi pažljivu procjenu, među ostalim i toga može li ispitanik u vrijeme i u kontekstu prikupljanja osobnih podataka razumno očekivati obradu u dotičnu svrhu. Interesi i temeljna prava ispitanika posebno bi mogli nadvladati interes voditelja obrade ako se osobni podaci obrađuju u okolnostima u kojima ispitanici razumno ne očekuju daljnju obradu. Budući da je zakonodavac dužan zakonski odrediti pravnu osnovu za obradu osobnih podataka koju provode tijela javne vlasti, ta pravna osnova ne bi se smjela primjenjivati na obradu koju provode tijela javne vlasti pri izvršavanju svojih zadaća. Obrada osobnih podataka koja je nužna u svrhe sprečavanja prijevara također predstavlja legitiman interes dotičnog voditelja obrade podataka. Može se smatrati da postoji legitiman interes kod obrade osobnih podataka provedene za potrebe izravnog marketinga.

(48)

Voditelji obrade koji su dio grupe poduzetnika ili institucija povezanih sa središnjim tijelom mogu imati legitimni interes za prijenos osobnih podataka unutar grupe poduzetnika za unutarnje administrativne potrebe, među ostalim za obradu osobnih podataka klijenata ili zaposlenika. Opća načela za prijenos osobnih podataka unutar grupe poduzetnika određenom poduzetniku koje se nalazi u trećoj zemlji ostaju nepromijenjena.

(49)

Obrada osobnih podataka u mjeri koja je nužna i proporcionalna za potrebe osiguravanja sigurnosti mreže i informacija, odnosno sposobnosti mreže ili informacijskog sustava da se odupre, na danom stupnju povjerljivosti, slučajnim događajima ili nezakonitim ili zlonamjernim radnjama koje ugrožavaju dostupnost, autentičnost, integritet i povjerljivost pohranjenih ili prenesenih osobnih podataka te sigurnost povezanih usluga koje nude ili koje su dostupne putem tih mreža i sustava, koju provode tijela javne vlasti, jedinice za hitne računalne intervencije (CERT-ovi), jedinice za računalne sigurnosne incidente (CSIRT-ovi), pružatelji elektroničkih komunikacijskih mreža i usluga te davatelji sigurnosnih tehnologija i usluga smatra se legitimnim interesom dotičnog voditelja obrade podataka. To bi, na primjer, moglo uključivati sprečavanje neovlaštenog pristupa elektroničkim komunikacijskim mrežama i širenja zlonamjernih kodova te zaustavljanje napada „uskraćivanjem usluge” te sprečavanje štete na računalnim i elektroničkim komunikacijskim sustavima.

(50)

Obrada osobnih podataka u svrhe različite od svrha za koje su podaci prvotno prikupljeni smjela bi se dopustiti samo ako je obrada usklađena sa svrhama za koje su osobni podaci prvotno prikupljeni. U takvom slučaju nije potrebna pravna osnova zasebna od one kojom je dopušteno prikupljanje osobnih podataka. Ako je obrada potrebna za obavljanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti koju ima voditelj obrade, pravom Unije ili pravom države članice mogu se utvrditi i odrediti zadaće i svrhe za koje će se nastavak obrade smatrati usklađenim i zakonitim. Nastavak obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebalo bi smatrati usklađenom zakonitom obradom. Pravna osnova koja se predviđa pravom Unije ili pravom države članice za obradu osobnih podataka također može činiti pravnu osnovu za daljnju obradu. Radi utvrđivanja je li svrha nastavka obrade usklađena sa svrhom prvotnog prikupljanja osobnih podataka, voditelj obrade nakon ispunjavanja svih zahtjeva zakonitosti izvorne obrade trebao bi uzeti u obzir, među ostalim, svaku vezu između te svrhe i svrhe planiranog nastavka obrade, kontekst u kojem su prikupljeni osobni podaci posebno opravdana očekivanja ispitanika koja se temelje na njihovom odnosu s voditeljem obrade u pogledu daljnje uporabe podataka, prirodu osobnih podataka, posljedice planiranog nastavka obrade za ispitanike i postojanje primjerenih zaštitnih mjera u izvornoj i planiranoj daljnjoj obradi.

Ako je ispitanik dao privolu ili se obrada temelji na pravu Unije ili pravu države članice koje čini potrebnu i razmjernu mjeru u demokratskom društvu posebno za zaštitu važnih ciljeva od općeg javnog interesa, voditelju obrade trebalo bi dopustiti daljnju obradu osobnih podataka neovisno o usklađenosti svrha. U svakom slučaju trebalo bi osigurati primjenu načela iz ove Uredbe, a osobito informirati ispitanika o tim drugim svrhama te o njegovim pravima, među ostalim o pravu na prigovor. Ukazivanje voditelja obrade na moguća kaznena djela ili prijetnje javnoj sigurnosti i prijenos relevantnih osobnih podataka nadležnom tijelu u pojedinim slučajevima ili u više njih koji se odnose na isto kazneno djelo ili prijetnje javnoj sigurnosti trebalo bi smatrati legitimnim interesom voditelja obrade. Međutim, takav prijenos u legitimnom interesu voditelja obrade ili daljnju obradu osobnih podataka trebalo bi zabraniti ako obrada nije u skladu s pravnim, profesionalnim ili drugim prisilnim obvezama poštovanja tajnosti.

(51)

Osobni podaci koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode. Ti bi osobni podaci trebali obuhvatiti osobne podatke koji otkrivaju rasno ili etničko podrijetlo, pri čemu upotreba termina „rasno podrijetlo” u ovoj Uredbi ne podrazumijeva da Unija prihvaća teorije koje pokušavaju odrediti postojanje odvojenih ljudskih rasa. Obradu fotografija ne bi trebalo sustavno smatrati obradom posebnih kategorija osobnih podataka jer su one biti obuhvaćene samo definicijom biometrijskih podataka pri obradi posebnim tehničkim sredstvima kojima se omogućuje jedinstvena identifikacija ili autentifikacija pojedinca. Takvi osobni podaci ne bi se smjeli obrađivati osim ako je obrada dopuštena u posebnim slučajevima navedenima u ovoj Uredbi, uzimajući u obzir da pravom država članica mogu biti propisane posebne odredbe o zaštiti podataka kako bi se prilagodila primjena pravila iz ove Uredbe radi poštovanja pravne obveze ili za obavljanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti koju ima voditelj obrade. Osim posebnih zahtjeva za takvu obradu, trebala bi se primjenjivati opća načela i druga pravila iz ove Uredbe, posebno u pogledu uvjeta za zakonitu obradu. Odstupanja od opće zabrane obrade takvih posebnih kategorija osobnih podataka trebala bi biti izričito predviđena, među ostalim ako je ispitanik dao svoju izričitu privolu ili u vezi s posebnim potrebama, pogotovo ako se obrada provodi u sklopu legitimnih aktivnosti određenih udruženja ili zaklada čiji je cilj dopustiti ostvarivanje temeljnih sloboda.

(52)

Odstupanje od zabrane obrade posebnih kategorija osobnih podataka također bi se trebalo dopustiti kad god je to predviđeno pravom Unije ili pravom države članice i podložno odgovarajućim zaštitnim mjerama radi zaštite osobnih podataka i drugih temeljnih prava, ako je u javnom interesu da se to učini, posebno u slučaju obrade osobnih podataka u području radnog prava, prava u vezi socijalnom zaštitom, uključujući mirovine te u svrhu zdravstvene zaštite, praćenja i uzbunjivanja, sprečavanja ili kontrole zaraznih bolesti i drugih ozbiljnih opasnosti za zdravlje. Takvo se odstupanje može učiniti u zdravstvene svrhe, među ostalim za javno zdravlje i upravljanje uslugama zdravstvene skrbi, posebno kako bi se osigurala kvaliteta i isplativost postupaka koji se upotrebljavaju za rješavanje potraživanja za naknadama i uslugama u sustavu zdravstvenog osiguranja ili u svrhe arhiviranja u javnom interesu, u svrhe znanstvenih ili povijesnih istraživanja ili u statističke svrhe. Odstupanjem bi se također trebala omogućiti obrada takvih osobnih podataka ako su nužni za postavljanje, ostvarivanje ili obranu pravnih zahtjeva, neovisno je li to u sudskom ili upravnom postupku ili bilo kojem izvansudskom postupku.

(53)

Posebne kategorije osobnih podataka koje zaslužuju veći stupanj zaštite trebale bi se obrađivati samo u svrhe povezane sa zdravljem radi ostvarivanja tih svrhâ u korist pojedinaca i društva u cjelini, pogotovo u kontekstu upravljanja uslugama i sustavima zdravstvene ili socijalne skrbi, u što se ubraja i obrada takvih podataka koju u svrhu kontrole kvalitete, informacija o upravljanju i općeg nacionalnog i lokalnog nadzora sustava zdravstvene ili socijalne skrbi provode uprava i središnja nacionalna tijela nadležna za zdravlje i u svrhu osiguravanja kontinuiteta zdravstvene ili socijalne skrbi i prekogranične zdravstvene skrbi ili u svrhe zdravstvene zaštite, nadzora i uzbunjivanja, ili u svrhe arhiviranja u javnom interesu,u svrhe znanstvenih ili povijesnih istraživanja ili u statističke svrhe utemeljene na pravu Unije ili pravu države članice i čime treba ostvariti cilj od javnog interesa, kao i za studije koje se provode u javnom interesu u području javnog zdravlja. Stoga bi se ovom Uredbom trebali utvrditi usklađeni uvjeti za obradu posebnih kategorija osobnih podataka koji se odnose na zdravlje, za posebne potrebe, osobito kada obradu takvih podataka za određene zdravstvene svrhe provode osobe koje podliježu zakonskoj obvezi čuvanja poslovne tajne. Pravom Unije ili pravom države članice trebalo bi predvidjeti specifične i primjerene mjere za zaštitu temeljnih prava i osobnih podataka pojedinaca. Državama članicama trebalo bi omogućiti zadržavanje ili uvođenje dodatnih uvjeta, uključujući ograničenja, u vezi s obradom genetskih podataka, biometrijskih podataka ili podataka koji se odnose na zdravlje. Međutim, to ne bi trebalo spriječiti slobodan protok osobnih podataka unutar Unije ako se ti uvjeti primjenjuju na prekograničnu obradu takvih podataka.

(54)

Obrada posebnih kategorija osobnih podataka bez privole ispitanika može biti potrebna zbog javnog interesa u područjima javnog zdravlja. Takva bi obrada trebala podlijegati primjerenim i specifičnim mjerama kako bi se zaštitila prava i slobode pojedinaca. U tom bi kontekstu „javno zdravlje” trebalo tumačiti kako je definirano u Uredbi (EZ) br. 1338/2008 Europskog parlamenta i Vijeća (11), što znači svi elementi povezani sa zdravljem, tj. zdravstvenim stanjem, uključujući morbiditet i invaliditet, determinante koje utječu na to zdravstveno stanje, potrebe zdravstvene zaštite, sredstva dodijeljena zdravstvenoj zaštiti, pružanje zdravstvene zaštite i opća dostupnost zdravstvene zaštite, kao i troškovi i financiranje zdravstvene zaštite te uzroci smrtnosti. Takva obrada podataka koji se odnose na zdravlje za potrebe javnog interesa ne bi smjela prouzročiti obradu osobnih podataka u druge svrhe koju obavljaju treće strane kao što su poslodavci ili osiguravajuća društva i banke.

(55)

Osim toga, obrada osobnih podataka koju na temelju odredaba ustavnog prava ili međunarodnog javnog prava obavljaju službena tijela radi postizanja ciljeva službeno priznatih vjerskih udruženja, provodi se na temelju javnog interesa.

(56)

Ako tijekom izbornih aktivnosti djelovanje demokratskog sustava u državi članici zahtijeva da političke stranke prikupljaju osobne podatke o političkim mišljenjima ljudi, obrada takvih podataka može se dopustiti iz razloga javnog interesa, pod uvjetom da se uspostave odgovarajuće zaštitne mjere.

(57)

Ako voditelj obrade ne može utvrditi identitet pojedinca na temelju osobnih podataka koje obrađuje, on ne bi smio biti obvezan prikupiti dodatne informacije kako bi utvrdio identitet ispitanika isključivo radi pridržavanja bilo koje odredbe iz ove Uredbe. Međutim, voditelj obrade ne bi smio odbiti dodatne informacije koje je pružio ispitanik kako bi pružio potporu ostvarivanju svojih prava. Identifikacija bi trebala uključivati digitalnu identifikaciju ispitanika, primjerice putem mehanizma autentifikacije kao što su isti podaci kojima se ispitanik koristi da bi se prijavio za internetske usluge koje nudi voditelj obrade.

(58)

Načelom transparentnosti zahtijeva se da svaka informacija namijenjena javnosti ili ispitaniku bude sažeta, lako dostupna i razumljiva, da se upotrebljava jasan i jednostavan jezik te da se usto, prema potrebi, koristi vizualizacijom. Takva bi se informacija također mogla dati u elektroničkom obliku, na primjer na internetskim stranicama, kada je namijenjena javnosti. To je osobito bitno u situacijama u kojima zbog velikog broja sudionika i tehnološke složenosti prakse ispitaniku nije lako prepoznati i razumjeti prikupljaju li se osobni podaci o njemu, tko ih prikuplja i u koju svrhu, kao što je slučaj internetskog oglašavanja. Imajući u vidu da djeca zaslužuju posebnu zaštitu, svaka informacija i komunikacija, u slučaju da je obrada usmjerena prema djetetu, trebale bi biti na jasnom i jednostavnom jeziku koji dijete lako može razumjeti.

(59)

Trebalo bi predvidjeti modalitete kojima se olakšava ostvarivanje prava ispitanika iz ove Uredbe, uključujući mehanizme za podnošenje zahtjeva te, ako je primjenjivo, besplatno ostvarivanje, osobito zahtjeva za pristup osobnim podacima, njihovo ispravljanje ili brisanje i ostvarivanje prava na prigovor. Voditelj obrade trebao bi također pružiti sredstva za elektroničku predaju zahtjeva, osobito ako se osobni podaci obrađuju elektronički. Voditelj obrade trebao bi biti dužan odgovoriti na zahtjev ispitanika bez nepotrebnog odgađanja i najkasnije u roku od mjesec dana te iznijeti razloge ako voditelj obrade nema namjeru ispuniti bilo koji takav zahtjev.

(60)

Načelima poštene i transparentne obrade zahtijeva se da je ispitanik informiran o postupku obrade i njegovim svrhama. Voditelj obrade trebao bi ispitaniku pružiti sve dodatne informacije neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir posebne okolnosti i kontekst obrade osobnih podataka. Osim toga ispitanik bi trebao biti informiran o postupku izrade profila i posljedicama takve izrade profila. Kada se prikupljaju osobni podaci od ispitanika, trebalo bi ga također obavijestiti o tome je li obvezan pružiti osobne podatke te o posljedicama ako takve podatke ne pruži. Ova se informacija može pružiti u kombinaciji sa standardiziranim ikonama kako bi se na lako vidljiv, razumljiv i jasno čitljiv način pružio smislen pregled planirane obrade. Kada su ikone predstavljene elektroničkim putem, trebale bi biti strojno čitljive.

(61)

Ispitaniku bi tijekom prikupljanja podataka trebalo dati informacije o obradi osobnih podataka koji se odnose na njega, ili ako se osobni podaci ne uzimaju od ispitanika već su prikupljeni iz drugog izvora, u razumnom roku ovisno o okolnostima slučaja. Ako se osobni podaci legitimno mogu otkriti drugom primatelju, ispitanika bi trebalo informirati kada se osobni podaci prvi put otkrivaju primatelju. Ako voditelj obrade namjerava obrađivati osobne podatke u svrhu koja je različita od one za koju su prikupljeni, voditelj obrade bi prije te daljnje obrade ispitaniku trebao pružiti informacije o toj drugoj svrsi te druge potrebne informacije. Ako se izvor osobnih podataka ne može dati ispitaniku jer su upotrebljavani razni izvori, trebalo bi dati opće informacije.

(62)

Obvezu pružanja informacija ipak nije potrebno nametati ako ispitanik već posjeduje tu informaciju, ako je bilježenje ili otkrivanje osobnih podataka izrijekom propisano zakonom ili ako je pružanje informacije ispitaniku nemoguće ili bi zahtijevalo nerazmjeran napor. Primjer nemogućnosti pružanja informacija ili nerazmjernog napora posebno bi se mogao javiti ako se obrada obavlja u svrhe arhiviranja u javnom interesu, u svrhe znanstvenih ili povijesnih istraživanja ili u statističke svrhe. U tom smislu trebalo bi razmotriti broj ispitanika, starost podataka i bilo koje druge donesene prikladne zaštitne mjere.

(63)

Ispitanik bi trebao imati pravo pristupa prikupljenim osobnim podacima koji se na njega odnose te ostvarivati to pravo lako i u razumnim intervalima kako bi bio svjestan obrade i provjerio njezinu zakonitost. To uključuje pravo ispitanika na pristup podacima o njegovom zdravstvenom stanju, na primjer podacima u medicinskoj dokumentaciji koja sadržava informacije poput dijagnoza, rezultata pretraga, liječničkih mišljenja, liječenja ili zahvata. Svaki ispitanik stoga bi osobito trebao imati pravo znati i dobiti obavijest o svrhama obrade osobnih podataka, ako je moguće i za koje razdoblje se osobni podaci obrađuju, o primateljima osobnih podataka, o logici automatske obrade osobnih podataka i o posljedicama takve obrade, barem kad se temelji na izradi profila. Ako je moguće, voditelj obrade trebao bi imati mogućnost omogućiti daljinski pristup zaštićenom sustavu koji bi ispitaniku omogućio izravan pristup njegovim osobnim podacima. To pravo ne bi smjelo negativno utjecati na prava ili slobode drugih, uključujući i poslovne tajne ili intelektualno vlasništvo, a osobito na autorsko pravo kojima je zaštićen računalni program. Rezultat tih razmatranja ipak ne bi smjelo biti odbijanje pružanja svih informacija ispitaniku. Ako voditelj obrade obrađuje velike količine informacija koje se odnose na ispitanika, voditelj obrade trebao bi imati mogućnost prije dostave informacije zahtijevati od ispitanika da navede informacije ili aktivnosti obrade na koje se zahtjev odnosi.

(64)

Voditelj obrade trebao bi se koristiti svim razumnim mjerama kako bi utvrdio identitet ispitanika koji traži pristup, a osobito u okviru internetskih usluga i mrežnih identifikatora. Voditelj obrade ne bi smio pohraniti osobne podatke samo zato da bi mogao odgovoriti na moguće zahtjeve.

(65)

Ispitanik bi trebao imati pravo na ispravak osobnih podataka koji se na njega odnose te „pravo na zaborav” ako zadržavanje takvih podataka krši ovu Uredbu ili pravo Unije ili pravo države članice koje se primjenjuje na voditelja obrade. Ispitanici bi osobito trebali imati pravo da se njihovi osobni podaci brišu i više ne obrađuju ako ti osobni podaci više nisu potrebni s obzirom na svrhu u koju su prikupljeni ili na druge načine obrađivani, ako su ispitanici povukli svoju privolu ili ako daju prigovor na obradu osobnih podataka koji se odnose na njih ili ako obrada njihovih osobnih podataka na druge načine nije u skladu s ovom Uredbom. Ovo je pravo osobito bitno ako je ispitanik dao svoju privolu dok je bio dijete i nije bio u potpunosti svjestan rizika obrade, a kasnije želi ukloniti takve osobne podatke, osobito na internetu. Ispitanik bi trebao biti u mogućnosti ostvariti to pravo neovisno o činjenici da više nije dijete. No daljnja pohrana osobnih podataka trebala bi biti zakonita ako je nužna za ostvarivanje prava na slobodu izražavanja i na slobodu informiranja, radi poštovanja pravnih obveza, za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade, na temelju javnog interesa u području javnog zdravlja, u svrhe arhiviranja od javnog interesa, u svrhe znanstvenih ili povijesnih istraživanja, u statističke svrhe ili za postavljanje, ostvarivanje ili obranu pravnih zahtjeva.

(66)

Kako bi se ojačalo „pravo na zaborav” u internetskom okruženju, pravo na brisanje također bi trebalo proširiti tako da bi voditelj obrade koji je objavio osobne podatke bio obvezan obavijestiti voditelje obrade koji takve osobne podatke obrađuju da obrišu sve poveznice s tim osobnim podacima ili kopijama ili replikama tih osobnih podataka. Pritom bi voditelj obrade trebao poduzeti razumne mjere, uzimajući u obzir dostupnu tehnologiju i sredstva dostupna voditelju obrade, uključujući tehničke mjere da obavijesti voditelje obrade, koji obrađuju osobne podatke, o zahtjevu ispitanika.

(67)

Metode kojima se ograničava obrada osobnih podataka mogle bi, među ostalim, uključivati privremeno premještanje odabranih osobnih podataka u drugi sustav obrade, činjenje odabranih podataka nedostupnima za korisnike ili privremeno uklanjanje objavljenih podataka s internetske stranice. U automatiziranim sustavima pohrane ograničavanje obrade u načelu bi trebalo osigurati tehničkim sredstvima na način da osobni podaci nisu predmet daljnjih obrada i da se ne mogu mijenjati. Činjenicu da je obrada osobnih podataka ograničena trebalo bi jasno navesti u sustavu.

(68)

Radi dodatnog jačanja nadzora nad vlastitim podacima, kada se obrada obavlja automatskim putem, ispitaniku bi se također trebalo dopustiti da osobne podatke koji se odnose na njega, a koje je dao voditelju obrade dobije u strukturiranom, uobičajeno upotrebljavanom, strojno čitljivom i interoperabilnom formatu i da ih prenese drugom voditelju obrade. Voditelje obrade trebalo bi poticati na razvijanje interoperabilnih formata koji omogućuju prenosivost podataka. To bi se pravo trebalo primjenjivati u slučajevima kad je ispitanik osobne podatke da ona temelju svoje privole ili kad je obrada nužna za izvršenje ugovora. To se pravo ne bi smjelo primjenjivati ako se obrada temelji na drugoj pravnoj osnovi koja nije privola ili ugovor. Samom svojom prirodom to se pravo ne može ostvariti u slučaju da voditelji obrade osobne podatke obrađuju u okviru svojih javnih dužnosti. Stoga se ono ne bi smjelo primjenjivati ako je obrada osobnih podataka nužna kako bi se poštovala pravna obveza kojoj voditelj obrade podliježe ili za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade. Pravo ispitanika na prijenos ili primanje osobnih podataka koji se odnose na njega ne bi trebalo obvezivati voditelja obrade da upotrebljava ili održava tehnički kompatibilne sustave za obradu. Ako se određeni skup osobnih podataka odnosi na više ispitanika, pravo na primanje tih osobnih podataka ne bi smjelo dovoditi u pitanje prava i sloboda ostalih ispitanika u skladu s ovom Uredbom. Nadalje, tim pravom također se ne bi smjelo dovoditi u pitanje pravo ispitanika na brisanje osobnih podataka, kao i ograničenja tog prava, kako je navedeno u ovoj Uredbi, te ono osobito ne bi smjelo podrazumijevati brisanje osobnih podataka koji se odnose na ispitanika, koje je on dostavio u svrhu izvršavanja ugovora, u mjeri u kojoj su ti osobni podaci potrebni za izvršavanje tog ugovora i koliko god su potrebni. Ako je tehnički izvedivo, ispitanik bi trebao imati pravo na to se osobni podaci prenose izravno između voditelja obrade.

(69)

Ako bi se osobni podaci mogli zakonito obrađivati jer je obrada potrebna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade ili na temelju legitimnih interesa voditelja obrade ili treće strane, svaki bi ispitanik ipak trebao imati pravo prigovora na obradu bilo kojih osobnih podataka povezanih s njegovom posebnom situacijom. Voditelj obrade trebao bi pokazati da njegovi uvjerljivi legitimni interesi imaju prednost pred interesima temeljnih prava i sloboda ispitanika.

(70)

Ako se osobni podaci obrađuju u svrhu izravnog marketinga, ispitanik bi trebao imati pravo prigovora na takvu obradu, uključujući izradu profila u mjeri u kojoj je povezana s takvim izravnim marketingom, bilo u odnosu na početnu ili daljnju obradu, u bilo koje vrijeme i besplatno. To bi se pravo ispitaniku trebalo izričito dati na znanje i predstaviti mu se jasno i odvojeno od svih drugih informacija.

(71)

Ispitanik bi trebao imati pravo na to da se na njega ne odnosi odluka, što može obuhvaćati mjeru, kojom se procjenjuju osobni aspekti u vezi s njim koja se isključivo temelji na automatiziranoj obradi i koja proizvodi pravne učinke koji se odnose na njega ili slično na njega znatno utječu, poput automatskog odbijanja zahtjeva za kreditom putem interneta ili prakse zapošljavanja putem interneta bez ikakve ljudske intervencije. Takva obrada uključuje „izradu profila” koja se odnosi na svaki oblik automatizirane obrade osobnih podataka kojom se procjenjuju osobni aspekti u vezi s pojedincem, osobito analizu i predviđanje aspekata ispitanikovog učinka na poslu, ekonomskog stanja, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja kada ona proizvodi pravne učinke koji se odnose na ispitanika ili na njega snažno utječu. Međutim, donošenje odluka koje se temelji na takvoj obradi, što uključuje i izradu profila, trebalo bi se dopustiti ako se to izričito dopušta pravom Unije ili pravom države članice kojem podliježe voditelj obrade, među ostalim u svrhe praćenja i sprečavanja prijevare i porezne utaje, što se provodi u skladu s propisima, standardima i preporukama institucija Unije ili nacionalnih nadzornih tijela te osiguravanja sigurnosti i pouzdanosti usluge koju pruža voditelj obrade ili ako je nužno za sklapanje ili izvršavanje ugovora između ispitanika i voditelja obrade ili kada je ispitanik izričito dao svoju privolu. U svakom slučaju na takve bi se obrade trebale primjenjivati odgovarajuće zaštitne mjere, koje bi trebale uključivati davanje određenih informacija ispitaniku i pravo na ljudsku intervenciju, pravo na izražavanje vlastitog stajališta, na dobivanje pojašnjenja odluke donesene nakon takve procjene i pravo na osporavanje odluke. Takve se mjere ne bi smjele odnositi na djecu.

Kako bi se osigurala poštena i transparentna obrada podataka s obzirom na ispitanika, uzimajući u obzir posebne okolnosti i kontekst u kojem se osobni podaci obrađuju, voditelj obrade trebao bi poduzeti odgovarajuće matematičke i statističke postupke za izradu profila, provesti odgovarajuće tehničke i organizacijske mjere kako bi se posebno osiguralo da budu ispravljeni čimbenici koji dovode do netočnosti u osobnim podacima i da se rizici od pojave pogrešaka svedu na minimum, te osobne podatke osigurati na način kojim se uzima u obzir potencijalne rizike za interese i prava ispitanika i kojim se, među ostalim, sprečavaju diskriminacijski učinci na pojedince na temelju rasnog ili etničkog porijekla, političkog mišljenja, vjere ili uvjerenja, članstva u sindikatu, genetskog ili zdravstvenog stanja ili spolne orijentacije, ili koji rezultiraju mjerama koje imaju takav učinak. Automatizirane odluke i izrada profila na temelju posebnih kategorija osobnih podataka smjele bi se dopustiti samo pod posebnim uvjetima.

(72)

Izrada profila podliježe pravilima ove Uredbe kojima se uređuje obrada osobnih podataka, kao što su pravna osnova obrade ili načela zaštite podataka. Europski odbor za zaštitu podataka osnovan ovom Uredbom („Odbor”) trebao bi imati mogućnost izdati smjernice u tom kontekstu.

(73)

Pravom Unije ili pravom države članice mogu se uvesti ograničenja s obzirom na posebna načela te s obzirom na ograničenja prava na informacije, pristup i ispravak ili brisanje osobnih podataka te ograničenja prava na prenosivost podataka, prava na prigovor, odluka koje se temelje na izradi profila, kao i ograničenja obavješćivanja ispitanika o povredi osobnih podataka te ograničenja određenih povezanih obveza voditelja obrade, u mjeri u kojoj je to nužno i proporcionalno u demokratskom društvu kako bi se zaštitila javna sigurnost, među ostalim ljudski život posebno kao odgovor na prirodne katastrofe ili one koje je izazvao čovjek te sprečavanje, istraga i progon kaznenih djela ili izvršavanje kaznenopravnih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje ili kršenja etike zakonski uređenih djelatnosti, kako bi se zaštitili drugi važni ciljevi koji su u javnom interesu Unije ili države članice, a posebno važan gospodarski ili financijski interes Unije ili države članice, vođenje javne evidencije u svrhu općeg javnog interesa, daljnja obrada arhiviranih osobnih podataka za potrebe pružanja posebnih informacija u vezi s političkim ponašanjem za vrijeme bivših totalitarnih državnih režima ili zaštita ispitanika ili prava i sloboda drugih osoba, među ostalim u svrhu socijalne zaštite, javnog zdravlja i u humanitarne svrhe. Ta ograničenja trebala bi biti u skladu sa zahtjevima utvrđenima u Povelji i Europskoj konvenciji za zaštitu ljudskih prava i temeljnih sloboda.

(74)

Trebalo bi uspostaviti dužnosti i odgovornosti voditelja obrade za svaku obradu osobnih podataka koju provede sm voditelj obrade ili netko drugi u ime voditelja obrade. Osobito, voditelj obrade trebao bi imati obvezu provođenja odgovarajućih i djelotvornih mjera te biti u mogućnosti dokazati usklađenost aktivnosti obrade s ovom Uredbom uključujući i djelotvornost mjera. Tim bi mjerama u obzir trebalo uzeti prirodu, opseg, kontekst i svrhe obrade te rizik za prava i slobode pojedinaca.

(75)

Rizik za prava i obveze pojedinaca, različitih vjerojatnosti i ozbiljnosti, može proizaći iz obrade osobnih podataka koja bi mogla prouzročiti fizičku, materijalnu ili nematerijalnu štetu, posebno ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, štete za ugled, gubitka povjerljivosti osobnih podataka zaštićenih poslovnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije, ili bilo koje druge znatne gospodarske ili društvene štete; ili ako ispitanici mogu biti uskraćeni za svoja prava i slobode ili spriječeni u obavljanju nadzora nad svojim osobnim podacima; ako se obrađuju osobni podaci koji odaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu i ako je riječ o obradi genetičkih podataka, podataka koji se odnose na zdravlje ili spolni život ili kaznene osude i kažnjiva djela ili povezane sigurnosne mjere; ako se procjenjuju osobni aspekti, osobito analiza ili predviđanje aspekata u vezi s učinkom na poslu, ekonomskim stanjem, zdravljem, osobnim preferencijama ili interesima, pouzdanošću ili ponašanjem, lokacijom ili kretanjem kako bi se izradili ili upotrebljavali osobni profili; ako se obrađuju osobni podaci osjetljivih pojedinaca, osobito djece; ili ako obrada uključuje veliku količinu osobnih podataka i utječe na velik broj ispitanika.

(76)

Vjerojatnost i ozbiljnost rizika za prava i slobode ispitanika trebala bi se određivati s obzirom na prirodu, opseg, kontekst i svrhe obrade. Rizik bi trebalo procjenjivati na temelju objektivne procjene kojom se utvrđuje uključuju li postupci obrade podataka rizik ili visoki rizik.

(77)

Upute za provedbu odgovarajućih mjera i za dokazivanje poštovanja odredaba od strane voditelja obrade ili izvršitelja obrade, posebno u pogledu utvrđivanja rizika povezanog s obradom, njihove procjene s obzirom na podrijetlo, prirodu, vjerojatnost i težinu te utvrđivanje najboljih praksi za umanjivanje rizika, osobito bi se mogle pružiti putem odobrenih kodeksa ponašanja, odobrenih certifikata, smjernica koje pruža Odbor ili naznakama koje pruža službenik za zaštitu podataka. Odbor može također izdati smjernice o postupcima obrade za koje se smatra da nije vjerojatno da će dovesti do visokog rizika za prava i slobode pojedinaca i navesti koje mjere mogu u takvim slučajevima biti dovoljne za suočavanje s navedenim rizikom.

(78)

Zaštita prava i sloboda pojedinaca s obzirom na obradu osobnih podataka zahtijeva da se poduzmu odgovarajuće tehničke i organizacijske mjere radi osiguravanja poštovanja uvjeta ove Uredbe. Radi dokazivanja sukladnosti s ovom Uredbom voditelj obrade trebao bi uvesti interne politike i provesti mjere koje osobito ispunjavaju načela tehničke zaštite podataka i integrirane zaštite podataka. Takve mjere mogle bi se, među ostalim, sastojati od smanjenja količine obrade osobnih podataka, pseudonimizacije osobnih podataka što je prije moguće, transparentnosti u vezi s funkcijama i obradom osobnih podataka, omogućavanja ispitaniku da prati obradu podataka, omogućavanja voditelju obrade da stvara i poboljšava sigurnosne značajke. Prilikom razvijanja, osmišljavanja, odabira i upotrebe aplikacija, usluga i proizvoda koji se temelje na obradi osobnih podataka ili obrađuju osobne podatke kako bi ispunili svoju zadaću, proizvođače proizvoda, usluga i aplikacija trebalo bi poticati da uzmu u obzir pravo na zaštitu podataka prilikom razvijanja i osmišljavanja takvih proizvoda, usluga i aplikacija i da uzimajući u obzir najnovija dostignuća osiguraju da voditelji obrade i izvršitelji obrade mogu ispuniti svoje obveze u pogledu zaštite podataka. Načela tehničke i integrirane zaštite podataka trebalo bi također uzeti u obzir u kontekstu javnih natječaja.

(79)

Zaštita prava i sloboda ispitanikâ, kao i dužnost i odgovornost voditeljâ obrade i izvršiteljâ obrade, također u vezi s praćenjem i mjerama koje provode nadzorna tijela, zahtijevaju jasno utvrđivanje dužnosti u skladu s ovom Uredbom, među ostalim u slučajevima u kojima voditelj obrade određuje svrhe i sredstva obrade zajedno s drugim voditeljima obrade ili kada se postupak obrade provodi u ime voditelja obrade.

(80)

Ako voditelj obrade ili izvršitelj obrade koji nema poslovni nastan u Uniji obrađuje osobne podatke ispitanikâ u Uniji čije su aktivnosti obrade povezane s ponudom robe ili usluga, bez obzira na to je li potrebno plaćanje ispitanika, za takve bi ispitanike u Uniji, ili za praćenje njihova ponašanja dok se ono odvija unutar Unije, voditelj obrade ili izvršitelj obrade trebali bi imenovati predstavnika, osim ako se obrada obavlja povremeno, ne uključuje opsežnu obradu posebnih kategorija osobnih podataka ili je obrada osobnih podataka povezana s kaznenim presudama i kažnjivim djelima te vjerojatno neće dovesti do rizika za prava i slobode pojedinaca, uzimajući u obzir prirodu, kontekst, opseg i svrhe obrade ili ako je voditelj obrade tijelo javne vlasti ili javno tijelo. Predstavnik bi trebao djelovati u ime voditelja obrade ili izvršitelja obrade i može mu se obratiti svako nadzorno tijelo. Voditelj obrade ili izvršitelj obrade trebao bi izričito, pisanim ovlaštenjem imenovati predstavnika da djeluje u njegovo ime s obzirom na obveze voditelja obrade i izvršitelja obrade na temelju ove Uredbe. Imenovanje takvog predstavnika ne utječe na dužnost ili odgovornost voditelja obrade ili izvršitelja obrade na temelju ove Uredbe. Takav bi predstavnik svoje zadaće trebao obavljati u skladu s mandatom dobivenim od voditelja obrade ili izvršitelja obrade, uključujući suradnju s nadležnim nadzornim tijelima u vezi sa svakom radnjom poduzetom za osiguravanje poštovanja ove Uredbe. U slučaju da voditelj obrade ili izvršitelj obrade krši pravila, imenovani bi predstavnik trebao podlijegati postupku izvršavanja zakonodavstva.

(81)

Kako bi se osiguralo poštovanje zahtjeva iz ove Uredbe u vezi s obradom koju provodi izvršitelj obrade u ime voditelja obrade, pri povjeravanju aktivnosti obrade izvršitelju obrade, voditelj obrade trebao bi angažirati samo izvršitelje obrade koji u zadovoljavajućoj mjeri jamče, osobito u pogledu stručnog znanja, pouzdanosti i resursa, provedbu tehničkih i organizacijskih mjera koje udovoljavaju zahtjevima iz ove Uredbe, među ostalim u pogledu sigurnosti obrade. Poštovanje odobrenog kodeksa ponašanja ili mehanizma certificiranja odobrenog od strane izvršitelja obrade može se upotrijebiti kao element u dokazivanju poštovanja obveza voditelja obrade. Provođenje obrade od strane izvršitelja obrade trebalo bi biti uređeno ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice koji izvršitelja obrade obvezuje prema voditelju obrade, a u kojemu su navedeni predmet i trajanje obrade, priroda i svrhe obrade, vrsta osobnih podataka te kategorije ispitanika, uzimajući u obzir posebne zadaće i odgovornosti izvršitelja obrade u kontekstu obrade koju treba provesti te rizika za prava i slobode ispitanika. Voditelj obrade i izvršitelj obrade mogu izabrati pojedinačni ugovor ili standardne ugovorne klauzule koje je ili izravno donijela Komisija ili ih je donijelo nadzorno tijelo u skladu s mehanizmom konzistentnosti, a potom donijela Komisija. Nakon što završi obradu u ime voditelja obrade, izvršitelj obrade trebao bi, prema izboru voditelja obrade, vratiti ili izbrisati osobne podatke osim ako postoji obveza pohrane osobnih podataka sukladno pravu Unije ili pravu države članice kojem izvršitelj obrade podliježe.

(82)

Voditelj obrade ili izvršitelj obrade trebao bi voditi evidenciju o aktivnostima obrade pod svojom odgovornošću radi dokazivanja sukladnosti s ovom Uredbom. Svaki voditelj obrade i izvršitelj obrade trebao bi imati obvezu surađivati s nadzornim tijelom i omogućiti mu na zahtjev uvid u tu evidenciju kako bi mu mogla poslužiti za praćenje postupaka obrade.

(83)

Kako bi se očuvala sigurnost i spriječila obrada kojom se krši ova Uredba, voditelj obrade ili izvršitelj obrade trebali bi procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija. Tim bi se mjerama trebala osigurati odgovarajuća razina zaštite uključujući povjerljivost, uzimajući u obzir najnovija dostignuća i troškove provedbe u odnosu na rizike i prirodu osobnih podataka koji se trebaju zaštititi Prilikom procjene rizika za sigurnost podataka u obzir bi trebalo uzeti rizike koje predstavlja obrada osobnih podataka poput slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog odavanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani, a što osobito može dovesti do fizičke, materijalne ili nematerijalne štete.

(84)

Radi poboljšanja sukladnosti s ovom Uredbom kada postupci obrade vjerojatno mogu dovesti do visokog stupnja rizika za prava i slobode pojedinaca, voditelj obrade trebao bi biti odgovoran za provođenje procjene učinka na zaštitu podataka kako bi se osobito procijenili izvor, priroda, osobitost i ozbiljnost tog rizika. Ishod procjene trebao bi se uzeti u obzir pri utvrđivanju odgovarajućih mjera radi dokazivanja da je obrada osobnih podataka sukladna s ovom Uredbom. Ako se u procjeni učinka na zaštitu podataka pokaže da postupci obrade uključuju visok rizik koji voditelj obrade ne može umanjiti odgovarajućim mjerama u smislu dostupne tehnologije i troškova provedbe, prije obrade trebalo bi se savjetovati s nadzornim tijelom.

(85)

Ako se povreda osobnih podataka ne rješava na odgovarajući način i pravodobno, ona može prouzročiti fizičku, materijalnu ili nematerijalnu štetu pojedincima, kao što su gubitak nadzora nad osobnim podacima ili ograničavanje njihovih prava, diskriminacija, krađa identiteta ili prijevara, financijski gubici, neovlašteni obrnuti postupak pseudonimizacije, šteta za ugled, gubitak povjerljivosti osobnih podataka zaštićenih poslovnom tajnom ili bilo koju drugu ekonomsku ili društvenu štetu za dotičnog pojedinca. Stoga, čim voditelj obrade primijeti da je došlo do povrede osobnih podataka, trebao bi o tome izvijestiti nadležno nadzorno tijelo bez nepotrebnog odgađanja i to, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi osobnih podataka, osim ako voditelj obrade može dokazati, u skladu s načelom odgovornosti, da povreda osobnih podataka vjerojatno neće prouzročiti rizik za prava i slobode pojedinaca. Ako se takvo obavješćivanje ne može postići u roku od 72 sata, obavijest bi trebala biti popraćena razlozima kašnjenja, a informacije se mogu pružiti u fazama bez nepotrebnog daljnjeg odgađanja.

(86)

Voditelj obrade trebao bi bez nepotrebnog odlaganja obavijestiti ispitanika o povredi osobnih podataka ako je vjerojatno da će povreda osobnih podataka prouzročiti visoki rizik za prava i slobode pojedinca, kako bi on mogao poduzeti potrebne mjere opreza. U obavijesti bi trebalo opisati prirodu povrede osobnih podataka kao i preporuke kako bi dotični pojedinac mogao ublažiti potencijalne negativne učinke. Takva bi se obavijest ispitanicima trebala pružiti što je prije, u razumnim granicama, izvedivo i u bliskoj suradnji s nadzornim tijelom, poštujući njegove upute ili upute drugih relevantnih tijela vlasti,kao što su tijela za izvršavanje zakonodavstva. Na primjer, o potrebi za umanjivanjem neposrednog rizika od štete bilo bi potrebno odmah obavijestiti ispitanike, dok potreba za provedbom odgovarajućih mjera protiv daljnje ili slične povrede osobnih podataka može opravdati duži rok za obavijest.

(87)

Trebalo bi se utvrditi jesu li provedene sve odgovarajuće mjere tehnološke zaštite i organizacijske mjere da bi se odmah utvrdilo je li došlo do povrede osobnih podataka i odmah obavijestilo nadzorno tijelo i ispitanika. Trebalo bi utvrditi činjenicu je li obavijest pružena bez nepotrebnog odgađanja posebno uzimajući u obzir prirodu i ozbiljnost povrede osobnih podataka i njezine posljedice i negativne učinke za ispitanika. Takva obavijest može dovesti do intervencije nadzornog tijela u skladu s njegovim zadaćama i ovlastima predviđenima ovom Uredbom.

(88)

Pri određivanju detaljnih pravila o formatu i postupcima primjenjivima na obavješćivanje o povredi osobnih podataka trebalo bi posvetiti dužnu pažnju okolnostima povrede, među ostalim jesu li osobni podaci bili zaštićeni odgovarajućim mjerama tehničke zaštite, djelotvorno ograničavajući vjerojatnost zlouporabe identiteta ili druge oblike zlouporabe. Osim toga takva pravila i postupci trebali bi uzeti u obzir legitimne interese tijelâ za izvršavanje zakonodavstva kada rano otkrivanje može nepotrebno naškoditi istrazi okolnosti povrede osobnih podataka.

(89)

Direktivom 95/46/EZ predviđena je opća obveza izvješćivanja nadzornih tijela o obradi osobnih podataka. Nametanjem te obveze stvara se administrativni i financijski teret, a ona nije u svim slučajevima dovela do poboljšanja zaštite osobnih podataka. Trebalo bi, stoga, ukinuti takve sveobuhvatne obveze općeg obavješćivanja i zamijeniti ih djelotvornim postupcima i mehanizmima koji se umjesto toga usredotočuju na one vrste postupaka obrade koji vjerojatno mogu prouzročiti visok rizik za prava i slobode pojedinaca zbog svoje prirode, opsega, konteksta i svrha. Takve vrste postupaka obrade mogu biti osobito one koje uključuju upotrebu novih tehnologija ili one koje su nove vrste i s obzirom na koje voditelj obrade još nije proveo procjenu učinka na zaštitu podataka ili za koje je procjena učinka na zaštitu podataka postala potrebna s obzirom na vrijeme koje je proteklo od prvotne obrade.

(90)

U takvim slučajevima, voditelj obrade trebao bi provesti procjenu učinka na zaštitu podataka prije obrade radi procjene osobite vjerojatnosti i ozbiljnosti visokog rizika, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade te izvore rizika. Ta bi procjena učinka trebala posebno uključivati mjere, zaštitne mjere i mehanizme predviđene za umanjivanje tog rizika, za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s ovom Uredbom.

(91)

To bi se osobito trebalo primjenjivati na postupke obrade velikog opsega kojima se nastoji obraditi znatna količina osobnih podataka na regionalnoj, nacionalnoj ili nadnacionalnoj razini i koji bi mogli utjecati na velik broj ispitanika i koji će vjerojatno dovesti do visokog rizika, primjerice zbog osjetljivosti, u kojima se u skladu s postignutom razinom tehnološkog znanja novom tehnologijom koristi u velikom opsegu, kao i na druge postupke obrade koji dovode do visokog rizika za prava i slobode ispitanika, osobito ako ti postupci ispitanicima otežavaju ostvarenje njihovih prava. Procjena učinka na zaštitu podataka osobito bi se trebala provoditi kada se osobni podaci obrađuju radi donošenja odluka o određenim pojedincima na temelju bilo kakve sustavne i opsežne procjene osobnih aspekata u vezi s pojedincima koja se temelji na izradi profila iz tih podataka ili na temelju obrade posebnih kategorija osobnih podataka, biometrijskih podataka ili podataka o kaznenim osudama i kažnjivim djelima ili povezanim mjerama sigurnosti. Procjena učinka na zaštitu podataka jednako je potrebna za opsežno praćenje javno dostupnih područja, posebno ako se upotrebljavaju optičko-elektronički uređaji, ili za bilo koje druge postupke za koje nadležno nadzorno tijelo smatra će obrada vjerojatno dovesti do visokog rizika za prava i slobode ispitanika, osobito zato što se njima ispitanike sprečava u ostvarivanju prava ili upotrebi usluge ili ugovora, ili zato što se opsežna obrada provodi sustavno. Obradu osobnih podataka ne bi trebalo smatrati opsežnom ako se odnosi na osobne podatke pacijenata ili klijenata pojedinih liječnika, zdravstvenih djelatnika ili odvjetnika. U takvim slučajevima procjena učinka na zaštitu podataka ne bi trebala biti obvezna.

(92)

U nekim okolnostima može biti razumno i ekonomično da procjena učinka na zaštitu podataka obuhvaća više od jednog projekta i tematski šire područje, na primjer ako tijela javne vlasti ili javna tijela namjeravaju uspostaviti zajedničku aplikaciju ili platformu za obradu ili ako nekoliko voditelja obrade namjerava uvesti zajedničku aplikaciju ili okruženje za obradu u cijeli jedan industrijski sektor ili segment ili za horizontalnu djelatnost široke uporabe.

(93)

U kontekstu donošenja zakonodavstva države članice na kojem se temelji izvršavanje zadaća tijela javne vlasti ili javnog tijela i kojim se uređuju dotični posebni postupci obrade ili skup postupaka, države članice mogu smatrati potrebnom provedbu takve procjene prije obrade.

(94)

Ako se u procjeni učinka na zaštitu podataka pokaže da bi obrada u nedostatku zaštitnih mjera, sigurnosnih mjera i mehanizama za umanjivanje rizika dovela do visokog rizika za prava i slobode pojedinaca, a voditelj obrade smatra da se taj rizik ne može umanjiti razumnim mjerama u pogledu dostupne tehnologije i troškova provedbe, prije početka obrade trebalo bi se savjetovati s nadzornim tijelom. Takav visok rizik vjerojatno će proizaći iz određenih vrsta obrade i opsega i učestalosti obrade, što može također prouzročiti štetu ili ometanje prava i slobode ispitanika. Nadzorno tijelo trebalo bi odgovoriti na zahtjev za savjetovanje u određenom vremenskom roku. Međutim, izostanak reakcije nadzornog tijela u tom roku ne bi smio utjecati na bilo koju intervenciju nadzornog tijela u skladu sa njegovim zadaćama i ovlastima iz ove Uredbe, uključujući ovlast da zabrani postupke obrade. Rezultat procjene učinka na zaštitu podataka koja je provedena u vezi s dotičnom obradom može se kao dio tog postupka savjetovanja dostaviti nadzornom tijelu, a osobito mjere predviđene za umanjivanje rizika za prava i slobode pojedinaca.

(95)

Prema potrebi i na zahtjev, izvršitelj obrade trebao bi pomagati voditelju obrade u osiguravanju usklađenosti s obvezama koje proizlaze iz provedbe procjene učinka na zaštitu podataka i iz prethodnog savjetovanja s nadzornim tijelom.

(96)

Savjetovanje s nadležnim tijelom također bi se trebalo održati tijekom izrade zakonodavne ili regulatorne mjere koja propisuje obradu osobnih podataka radi osiguravanja usklađenosti predviđene obrade s ovom Uredbom te osobito radi umanjivanja rizika za ispitanika.

(97)

Ako obradu provodi tijelo javne vlasti, uz iznimku sudova i neovisnih pravosudnih tijela kada djeluju u okviru svoje sudske nadležnosti, ako, u privatnom sektoru, obradu provodi voditelj obrade čije su osnovne djelatnosti postupci obrade koji zahtijevaju redovno i sustavno opsežno praćenje ispitanika, ili ako se osnovne djelatnosti voditelja obrade ili izvršitelja obrade sastoje od opsežne obrade posebnih kategorija osobnih podataka i podataka koji se odnose na kaznene osude i kažnjiva djela, osoba sa stručnim znanjem prava i prakse zaštite podataka trebala bi pomagati voditelju obrade ili izvršitelju obrade pri praćenju unutarnje usklađenosti s ovom Uredbom. U privatnom sektoru, osnovne djelatnosti voditelja obrade odnose se na njegove primarne djelatnosti i ne odnose se na obradu osobnih podataka kao dodatne djelatnosti. Nužna razina stručnog znanja trebala bi se utvrditi posebno u odnosu na postupke obrade podataka koji se provode te na zaštitu koju za obrađene osobne podatke zahtijeva voditelj obrade ili izvršitelj obrade. Takvi službenici za zaštitu podataka, bez obzira jesu li zaposlenici voditelja obrade, trebali bi moći obavljati svoje dužnosti i zadaće na neovisan način.

(98)

Udruženja ili druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade trebalo bi poticati da izrade kodekse ponašanja unutar granica ove Uredbe kako bi se olakšala djelotvorna primjena ove Uredbe, uzimajući u obzir posebna obilježja obrade koja se provodi u određenim sektorima i posebne potrebe mikropoduzeća, malih i srednjih poduzeća. Posebno, takvim bi se kodeksima ponašanja mogle definirati obveze voditelja obrade i izvršitelja obrade, uzimajući u obzir rizik za prava i slobode pojedinaca koji može proizaći iz obrade.

(99)

Prilikom izrade kodeksa ponašanja ili kada se mijenja ili proširuje takav kodeks, udruženja i druga tijela koja predstavljaju kategorije voditelja obrade ili izvršitelja obrade trebali bi se savjetovati s odgovarajućim dionicima, uključujući ispitanike ako je to izvedivo i uzimati u obzir primljene podneske i izražena mišljenja kao odgovore na takva savjetovanja.

(100)

Kako bi se povećala transparentnost i usklađenost s ovom Uredbom, trebalo bi se poticati uvođenje mehanizama certificiranja te pečata i oznaka za zaštitu podataka, što bi ispitanicima omogućilo brzu procjenu razine zaštite podataka za relevantne proizvode i usluge.

(101)

Tokovi osobnih podataka u zemlje izvan Unije i međunarodne organizacije i iz njih neophodni su za širenje međunarodne trgovine i međunarodne suradnje. Povećanje takvih tokova dovelo je do novih izazova i zabrinutosti u vezi sa zaštitom osobnih podataka. Međutim kada se osobni podaci prenose iz Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne bi smjela biti narušena razina zaštite pojedinaca osigurana ovom Uredbom u Uniji, među ostalim u slučajevima daljnjih prijenosa osobnih podataka iz treće zemlje ili međunarodne organizacije voditeljima obrade, izvršiteljima obrade u istoj ili nekoj drugoj trećoj zemlji ili međunarodnoj organizaciji. U svakom slučaju, prijenosi u treće zemlje i međunarodne organizacije mogu se obavljati isključivo uz puno poštovanje ove Uredbe. Prijenos bi se smio obavljati isključivo ako, u skladu s drugim odredbama ove Uredbe, voditelj obrade ili izvršitelj obrade ispunjavaju uvjete utvrđene u odredbama ove Uredbe vezanim za prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama.

(102)

Ovom Uredbom ne dovode se u pitanje međunarodni sporazumi sklopljeni između Unije i trećih zemalja kojima se uređuje prijenos osobnih podataka, uključujući odgovarajuće zaštitne mjere za ispitanike. Države članice mogu sklapati međunarodne sporazume koji uključuju prijenos osobnih podataka u treće zemlje ili međunarodne organizacije u onoj mjeri u kojoj takvi sporazumi ne utječu na ovu Uredbu ili bilo koje druge odredbe prava Unije i koji uključuju odgovarajuću razinu zaštite temeljnih prava ispitanikâ.