Les Considérants

Recitali

Ulomak iz knjige Bruna DUMAYA: DEŠIFRACIJA GDPR-a – Za menadžere, strateške odjele i zaposlenike tvrtki i organizacija – Predgovor Gaëlle MONTEILLER

Nismo mogli dopustiti da propustite recitate, barem one glavne koji su motivirali GDPR. Oni čine filozofiju obnovljenu u konačnoj uredbi i direktivi, dešifriraju i usklađuju u jednoj prizmi sva razmatranja svakog zakonodavstva država članica u smislu zakona o zaštiti podataka. Oni utjelovljuju europsku raznolikost dok istovremeno tvore jedinstveni korpus. Oni osvjetljavaju naše razumijevanje i daju smisao, svjedoče o činjenici da se nešto duboko događa, zasigurno i na prvi pogled, kao odgovor na GAFA-e, Google, Apple, Facebook, Amazon, Deezer, Instagram, Snapchat i druge, koji su opljačkali naša ponašanja, naše želje i naše htijenja... Akteri čija je jedina briga za nas ona našeg novčanika!

Činilo mi se bitnim pružiti vam glavna razmatranja i/ili najvažnije odlomke. Ako želite ići dalje, još jednom je web stranica CNIL-a posebno sveobuhvatna i pozivam vas da je posjetite...

(Uvodna izjava 1) Zaštita pojedinaca u vezi s obradom osobnih podataka temeljno je pravo. … propisuju da svatko ima pravo na zaštitu osobnih podataka koji se na njega odnose.

(Uvodna izjava 2) Načela i pravila koja uređuju zaštitu pojedinaca u vezi s obradom osobnih podataka koji se na njih odnose trebali bi, bez obzira na državljanstvo ili prebivalište tih pojedinaca, poštovati njihova temeljna prava i slobode, posebno njihovo pravo na zaštitu osobnih podataka. … doprinijeti stvaranju područja slobode, sigurnosti i pravde te ekonomske unije, gospodarskom i društvenom napretku, konsolidaciji i konvergenciji gospodarstava unutar unutarnjeg tržišta te dobrobiti pojedinaca.

(Uvodna izjava 3) ... Vijeće ima za cilj uskladiti zaštitu temeljnih prava i sloboda pojedinaca u vezi s aktivnostima obrade i osigurati slobodan protok osobnih podataka između država članica.

(Uvodna izjava 4) Obrada osobnih podataka trebala bi biti osmišljena u službi čovječanstva. Pravo na zaštitu osobnih podataka nije apsolutno pravo; mora se razmatrati u odnosu na njegovu funkciju u društvu i uravnotežiti s drugim temeljnim pravima, u skladu s načelom proporcionalnosti. ...poštovanje privatnog i obiteljskog života, doma i komunikacija, zaštita osobnih podataka, sloboda misli, savjesti i vjeroispovijesti, sloboda izražavanja i informiranja, sloboda poduzetništva, pravo na učinkovit pravni lijek i pravično suđenje te kulturna, vjerska i jezična raznolikost.

(Uvodna izjava 6) Brzi tehnološki razvoj i globalizacija stvorili su nove izazove za zaštitu osobnih podataka. Opseg prikupljanja i dijeljenja osobnih podataka značajno se povećao. Tehnologija omogućuje i privatnim tvrtkama i javnim tijelima korištenje osobnih podataka u svojim poslovnim aktivnostima kao nikada prije. Pojedinci sve više javno i globalno objavljuju informacije o sebi. Tehnologija je transformirala i ekonomske i društvene odnose te bi trebala dodatno olakšati slobodan protok osobnih podataka unutar Unije i njihov prijenos u treće zemlje i međunarodne organizacije, uz osiguranje visoke razine zaštite osobnih podataka.

(Uvodna izjava 7) ...važno je izgraditi povjerenje koje će omogućiti napredak digitalnog gospodarstva na cijelom unutarnjem tržištu. Pojedinci bi trebali imati kontrolu nad svojim osobnim podacima. ...

(Uvodna izjava 9) ... fragmentacija provedbe zaštite podataka u Uniji, pravna nesigurnost ili raširena javna percepcija da i dalje postoje značajni rizici za zaštitu pojedinaca, posebno u odnosu na online okruženje. Razlike u razini zaštite prava i sloboda pojedinaca, posebno prava na zaštitu osobnih podataka, u vezi s obradom osobnih podataka u državama članicama mogu spriječiti slobodan protok takvih podataka diljem Unije. Takve razlike stoga mogu predstavljati prepreku obavljanju gospodarskih aktivnosti na razini Unije, narušiti tržišno natjecanje i spriječiti nadležna tijela u ispunjavanju svojih obveza prema pravu Unije. ...

(Uvodna izjava 10) Kako bi se osigurala dosljedna i visoka razina zaštite pojedinaca i uklonile prepreke protoku osobnih podataka unutar Unije, razina zaštite prava i sloboda pojedinaca u vezi s obradom takvih podataka trebala bi biti jednaka u svim državama članicama. Stoga je primjereno osigurati dosljednu i ujednačenu primjenu pravila za zaštitu temeljnih prava i sloboda pojedinaca u vezi s obradom osobnih podataka diljem Unije. …

(Uvodna izjava 11) Učinkovita zaštita osobnih podataka u cijeloj Uniji zahtijeva jačanje i pojašnjenje prava ispitanika i obveza onih koji provode i određuju obradu osobnih podataka, kao i predviđanje, u državama članicama, jednakih ovlasti nadzora i kontrole poštivanja pravila o zaštiti osobnih podataka i jednakih sankcija za kršenje.

(Uvodna izjava 13)

Kako bi se osigurala dosljedna razina zaštite pojedinaca u cijeloj Uniji i izbjegle razlike koje ometaju slobodan protok osobnih podataka unutar unutarnjeg tržišta, potrebna je uredba kojom će se osigurati pravna sigurnost i transparentnost za gospodarske subjekte, uključujući mikro, mala i srednja poduzeća, kako bi se fizičkim osobama u svim državama članicama osigurala ista razina provedivih prava, obveza i odgovornosti za voditelje obrade i obrađivače te kako bi se osigurao dosljedan nadzor nad obradom osobnih podataka i ekvivalentne kazne u svim državama članicama, kao i učinkovita suradnja između nadzornih tijela različitih država članica. Da bi unutarnje tržište pravilno funkcioniralo, nužno je da slobodan protok osobnih podataka unutar Unije nije ni ograničen ni zabranjen iz razloga koji se odnose na zaštitu pojedinaca u vezi s obradom osobnih podataka. …

(Uvodna izjava 14) Zaštita koju pruža ova Uredba trebala bi se primjenjivati na fizičke osobe, bez obzira na njihovo državljanstvo ili mjesto prebivališta, u vezi s obradom njihovih osobnih podataka. Ova Uredba ne obuhvaća obradu osobnih podataka koji se odnose na pravne osobe, …

 (Uvodna izjava 17) Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća primjenjuje se na obradu osobnih podataka od strane institucija, tijela, ureda i agencija Unije. …

(Uvodna izjava 19) Zaštita pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhu sprječavanja, istrage, otkrivanja ili kaznenog progona kaznenih djela ili izvršenja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprječavanje te slobodno kretanje takvih podataka, predmet je posebnog pravnog akta Unije. …

(Uvodna izjava 22) Svaka obrada osobnih podataka koja se odvija u kontekstu aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade na teritoriju Unije trebala bi se provoditi u skladu s ovom Uredbom, bez obzira na to odvija li se sama obrada u Uniji ili ne. Poslovni nastan pretpostavlja učinkovito i stvarno obavljanje aktivnosti putem stabilnog aranžmana. …

(Uvodna izjava 23) Kako bi se osiguralo da fizička osoba ne bude isključena iz zaštite na koju ima pravo prema ovoj Uredbi, obrada osobnih podataka koji se odnose na ispitanike koji se nalaze u Uniji od strane voditelja obrade ili izvršitelja obrade koji nije osnovan u Uniji trebala bi podlijegati ovoj Uredbi ako su aktivnosti obrade povezane s ponudom robe ili usluga tim ispitanicima, bez obzira na to je li potrebno plaćanje ili ne. Kako bi se utvrdilo nudi li takav voditelj obrade ili izvršitelj obrade robu ili usluge ispitanicima koji se nalaze u Uniji, trebalo bi utvrditi je li jasno da voditelj obrade ili izvršitelj obrade namjerava ponuditi usluge ispitanicima u jednoj ili više država članica Unije. …

(Uvodna izjava 24) Obrada osobnih podataka ispitanika koji se nalaze u Uniji od strane kontrolora ili izvršitelja obrade koji nije nastanjen u Uniji također bi trebala biti predmet ove Uredbe ako je takva obrada povezana s praćenjem ponašanja tih ispitanika u mjeri u kojoj se odnosi na njihovo ponašanje unutar Unije. Kako bi se utvrdilo može li se aktivnost obrade smatrati praćenjem ponašanja ispitanika, trebalo bi utvrditi prate li se fizičke osobe na internetu, što uključuje moguću naknadnu upotrebu tehnika za obradu osobnih podataka koje se sastoje od profiliranja fizičke osobe, posebno radi donošenja odluka koje se odnose na nju ili radi analize ili predviđanja njezinih preferencija, ponašanja i stavova.

(Uvodna izjava 25) Ako se pravo države članice primjenjuje na temelju međunarodnog javnog prava, ova Uredba trebala bi se primjenjivati i na kontrolora koji nije registriran u Uniji, …

(Uvodna izjava 26) Načela zaštite podataka trebala bi se primjenjivati na sve informacije koje se odnose na identificiranu ili prepoznatljivu fizičku osobu. Osobne podatke koji su pseudonimizirani i koji se mogu pripisati fizičkoj osobi putem dodatnih informacija treba smatrati informacijama koje se odnose na prepoznatljivu fizičku osobu. Prilikom utvrđivanja je li fizička osoba prepoznatljiva, treba uzeti u obzir sva sredstva za koja je razumno vjerojatno da će ih kontrolor koristiti…

(Uvodna izjava 27) Ova se Uredba ne primjenjuje na osobne podatke preminulih osoba. Države članice mogu propisati pravila o obradi osobnih podataka preminulih osoba.

(Uvodna izjava 28) Pseudonimizacija osobnih podataka može smanjiti rizike za ispitanike i pomoći kontrolorima i obrađivačima da ispune svoje obveze zaštite podataka. Izričito uvođenje pseudonimizacije u ovoj Uredbi nije namijenjeno isključivanju bilo kojih drugih mjera zaštite podataka.

(Uvodna izjava 29) Kako bi se potaknula pseudonimizacija u obradi osobnih podataka, mjere pseudonimizacije trebale bi biti moguće unutar istog voditelja obrade, uz omogućavanje opće analize, ako je voditelj obrade poduzeo potrebne tehničke i organizacijske mjere kako bi osigurao, za dotičnu obradu, da se ova Uredba provodi te da se dodatne informacije koje omogućuju pripisivanje osobnih podataka određenom ispitaniku čuvaju odvojeno. Voditelj obrade koji obrađuje osobne podatke trebao bi navesti osobe ovlaštene za tu svrhu unutar istog voditelja obrade.

(Uvodna izjava 30) Pojedinci mogu biti povezani, putem uređaja, aplikacija, alata i protokola koje koriste, s online identifikatorima kao što su IP adrese i kolačići ili drugi identifikatori, na primjer, oznake radiofrekvencijske identifikacije. Ti identifikatori mogu ostaviti tragove koji se, posebno u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje primaju poslužitelji, mogu koristiti za stvaranje profila pojedinaca i za identifikaciju tih pojedinaca.

(Uvodna izjava 31) Javna tijela kojima se otkrivaju osobni podaci na temelju zakonske obveze za obavljanje njihovih službenih funkcija, kao što su porezna i carinska tijela, jedinice za financijske istrage, neovisna upravna tijela ili tijela financijskog tržišta odgovorna za regulaciju i nadzor tržišta vrijednosnih papira, ne bi se trebala smatrati primateljima ako prime osobne podatke koji su potrebni za provođenje određene istrage u javnom interesu, …

(Uvodna izjava 32) Privola bi trebala biti dana jasnom potvrdom kojom ispitanik slobodno, na specifičan, informiran i nedvosmislen način, označava suglasnost s obradom osobnih podataka koji se na njega odnose, na primjer pisanom izjavom, uključujući elektroničkim putem, ili usmenom izjavom. To može biti, na primjer, označavanjem kućice prilikom posjeta web stranici, odabirom određenih tehničkih postavki za usluge informacijskog društva ili daljnjom izjavom ili ponašanjem koje u tom kontekstu jasno ukazuje da ispitanik pristaje na predloženu obradu svojih osobnih podataka. Stoga se ne može pretpostaviti da se privola temelji na šutnji, zadanim oznakama ili neaktivnosti. …

(Uvodna izjava 36) Glavni poslovni nastan voditelja obrade u Uniji trebao bi biti mjesto njegove središnje uprave u Uniji, osim ako se odluke o svrsi i sredstvima obrade osobnih podataka ne donose u drugom poslovnom nastanu voditelja obrade u Uniji, u kojem slučaju bi se taj drugi poslovni nastan trebao smatrati glavnim poslovnim nastanom. Glavni poslovni nastan voditelja obrade u Uniji trebao bi se odrediti na temelju objektivnih kriterija i trebao bi uključivati učinkovito i stvarno obavljanje upravljačkih aktivnosti kojima se određuju glavne odluke o svrsi i sredstvima obrade unutar stabilnog aranžmana. …

(Uvodna izjava 37) Grupa poduzeća trebala bi obuhvaćati kontrolirajuće poduzeće i njegova kontrolirana poduzeća, pri čemu je prvo ono koje može imati dominantan utjecaj na druga poduzeća na temelju, na primjer, vlasništva nad kapitalom, financijskog sudjelovanja ili pravila koja ga uređuju, ili ovlasti provođenja pravila o zaštiti osobnih podataka. Poduzeće koje kontrolira obradu osobnih podataka u poduzećima koja su s njim povezana trebalo bi se smatrati dijelom grupe poduzeća s tim poduzećima.

(Uvodna izjava 38) Djeca zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka jer mogu biti manje svjesna rizika, posljedica i zaštitnih mjera te svojih prava povezanih s obradom osobnih podataka. Ova posebna zaštita trebala bi se posebno primjenjivati na korištenje osobnih podataka koji se odnose na djecu u marketinške svrhe ili za izradu profila osobnosti ili korisničkih profila te na prikupljanje osobnih podataka koji se odnose na djecu prilikom korištenja usluga koje se izravno nude djetetu. Privola nositelja roditeljske odgovornosti ne bi trebala biti potrebna u kontekstu preventivnih ili savjetodavnih usluga koje se izravno nude djetetu.

(Uvodna izjava 39) Svaka obrada osobnih podataka treba biti zakonita i poštena. Činjenica da se osobni podaci koji se odnose na fizičke osobe prikupljaju, koriste, da im se pristupa ili da se na drugi način obrađuju te opseg u kojem se takvi podaci obrađuju ili će se obrađivati trebaju biti transparentni dotičnim fizičkim osobama. Načelo transparentnosti zahtijeva da sve informacije i komunikacija koje se odnose na obradu takvih osobnih podataka budu lako dostupne, lako razumljive te formulirane jasnim i jednostavnim jezikom. Ovo se načelo posebno odnosi na informacije koje se daju ispitanicima o identitetu voditelja obrade i svrsi obrade, kao i na druge informacije usmjerene na osiguranje poštene i transparentne obrade u odnosu na dotične fizičke osobe i njihovo pravo da dobiju potvrdu i obavijest o tome obrađuju li se njihovi osobni podaci. Fizičke osobe trebale bi biti obaviještene o rizicima, pravilima, zaštitnim mjerama i pravima povezanim s obradom osobnih podataka te o načinima ostvarivanja svojih prava u vezi s takvom obradom. …

(Uvodna izjava 40) Da bi bila zakonita, obrada osobnih podataka trebala bi se temeljiti na privoli ispitanika ili na bilo kojoj drugoj legitimnoj osnovi predviđenoj zakonom, …

(Uvodna izjava 42) Ako se obrada temelji na privoli ispitanika, voditelj obrade trebao bi biti u mogućnosti dokazati da je ispitanik pristao na obradu. …

(Uvodna izjava 43) Kako bi se osiguralo da je privola dana slobodno, ona ne bi trebala biti valjana pravna osnova za obradu osobnih podataka u određenom slučaju kada postoji očita neravnoteža između ispitanika i voditelja obrade, posebno kada je voditelj obrade javno tijelo i malo je vjerojatno da je privola dana slobodno u svim okolnostima te konkretne situacije. Smatra se da privola nije dana slobodno ako se zasebna privola ne može dati za različite postupke obrade osobnih podataka iako bi to bilo primjereno u pojedinačnom slučaju ili ako je izvršenje ugovora, uključujući pružanje usluge, uvjetovano privolom iako privola nije potrebna za takvo izvršenje.

(Uvodna izjava 44) Obrada bi se trebala smatrati zakonitom kada je potrebna za izvršenje ugovora ili namjeru sklapanja ugovora.

(Uvodna izjava 45) Ako se obrada provodi u skladu sa zakonskom obvezom kojoj podliježe voditelj obrade ili ako je potrebna za obavljanje zadatka koji se obavlja u javnom interesu ili u izvršavanju službene ovlasti, obrada bi trebala imati osnovu u pravu Unije ili države članice. …

(Uvodna izjava 46) Obrada osobnih podataka trebala bi se smatrati zakonitom i kada je potrebna za zaštitu interesa ključnog za život ispitanika ili života druge fizičke osobe. Obrada osobnih podataka na temelju vitalnog interesa druge fizičke osobe u načelu bi se trebala odvijati samo kada se obrada očito ne može temeljiti na drugoj pravnoj osnovi. …

(Uvodna izjava 47) Legitimni interesi kontrolora, uključujući interese kontrolora kojem se osobni podaci mogu otkriti ili treće strane mogu predstavljati pravnu osnovu za obradu, osim ako prevladavaju interesi ili temeljna prava i slobode ispitanika, uzimajući u obzir razumna očekivanja ispitanika na temelju njihovog odnosa s kontrolorom. …

(Uvodna izjava 48) Kontrolori koji su dio grupe društava ili ustanova povezanih sa središnjim tijelom mogu imati legitimni interes za prijenos osobnih podataka unutar grupe društava u interne administrativne svrhe, uključujući obradu osobnih podataka koji se odnose na kupce ili zaposlenike. …

(Uvodna izjava 49) Obrada osobnih podataka u mjeri u kojoj je to strogo potrebno i proporcionalno radi osiguranja sigurnosti mreže i informacija, tj. sposobnosti mreže ili informacijskog sustava da se, na određenoj razini povjerenja, odupre slučajnim događajima ili nezakonitim ili zlonamjernim radnjama koje ugrožavaju dostupnost, autentičnost, integritet i povjerljivost pohranjenih ili prenesenih osobnih podataka, kao i sigurnost povezanih usluga koje se nude ili su dostupne putem takvih mreža i sustava, od strane javnih tijela, timova za odgovor na računalne hitne slučajeve (CERT), timova za odgovor na računalne sigurnosne incidente (CSIRT), pružatelja elektroničkih komunikacijskih mreža i usluga te pružatelja sigurnosnih tehnologija i usluga, predstavlja legitimni interes dotičnog kontrolora. To bi moglo uključivati, na primjer, sprječavanje neovlaštenog pristupa elektroničkim komunikacijskim mrežama i distribucije zlonamjernog koda te zaustavljanje napada "uskraćivanja usluge" i oštećenja računalnih i elektroničkih komunikacijskih sustava.

(Uvodna izjava 50) Obrada osobnih podataka u svrhe koje nisu one za koje su osobni podaci izvorno prikupljeni trebala bi biti dopuštena samo ako je kompatibilna sa svrhama za koje su osobni podaci izvorno prikupljeni. …

Ako je ispitanik dao privolu ili se obrada temelji na pravu Unije ili države članice koje predstavlja nužnu i razmjernu mjeru u demokratskom društvu radi osiguranja, posebno, važnih ciljeva od općeg javnog interesa, voditelju obrade trebalo bi dopustiti daljnju obradu osobnih podataka bez obzira na kompatibilnost svrha. …

(Uvodna izjava 51) Osobni podaci koji su po svojoj prirodi posebno osjetljivi s gledišta temeljnih prava i sloboda zaslužuju posebnu zaštitu, budući da kontekst u kojem se obrađuju može prouzročiti značajne rizike za ta prava i slobode. Takvi osobni podaci trebali bi uključivati osobne podatke koji otkrivaju rasno ili etničko podrijetlo, pri čemu se podrazumijeva da upotreba izraza „rasno podrijetlo“ u ovoj Uredbi ne podrazumijeva da Unija podržava teorije o postojanju različitih ljudskih rasa. …

(Uvodna izjava 52) Odstupanja od zabrane obrade posebnih kategorija osobnih podataka trebala bi biti dopuštena i tamo gdje je to predviđeno pravom Unije ili država članica, i uz odgovarajuće zaštitne mjere, kako bi se zaštitili osobni podaci i druga temeljna prava, kada to zahtijeva javni interes, uključujući obradu osobnih podataka u području radnog prava i prava socijalne zaštite, uključujući mirovine, te u svrhu sigurnosti, zdravstvenog nadzora i uzbunjivanja, sprječavanja ili suzbijanja zaraznih bolesti i drugih ozbiljnih prijetnji zdravlju. …

(Uvodna izjava 53) Posebne kategorije osobnih podataka koje zaslužuju veću zaštitu trebale bi se obrađivati samo u zdravstvene svrhe, gdje je to potrebno za postizanje tih svrha u interesu pojedinaca i društva u cjelini, posebno u kontekstu upravljanja zdravstvenim ili socijalnim uslugama i sustavima, uključujući obradu takvih podataka od strane nacionalnih tijela za upravljanje i središnjih zdravstvenih tijela, u svrhu kontrole kvalitete, informiranja upravitelja i općeg nadzora, na nacionalnoj i lokalnoj razini, nad zdravstvenim ili socijalnim sustavom te u svrhu osiguranja kontinuiteta zdravstvene ili socijalne skrbi i prekogranične zdravstvene skrbi ili u svrhu zdravstvene sigurnosti, nadzora i upozorenja, ili u svrhu arhiviranja u javnom interesu, u svrhu znanstvenih ili povijesnih istraživanja ili u statističke svrhe, na temelju prava Unije ili države članice koje mora ispunjavati cilj od javnog interesa, kao i za studije provedene u javnom interesu u području javnog zdravstva. …

(Uvodna izjava 54) Obrada posebnih kategorija osobnih podataka može biti potrebna iz razloga javnog interesa u područjima javnog zdravstva, bez privole ispitanika. … Takva obrada podataka o zdravlju iz razloga javnog interesa ne bi smjela rezultirati obradom osobnih podataka u druge svrhe od strane trećih strana, kao što su poslodavci ili osiguravajuća društva i banke.

(Uvodna izjava 56) U slučajevima kada, u kontekstu aktivnosti povezanih s izborima, funkcioniranje demokratskog sustava u državi članici zahtijeva od političkih stranaka prikupljanje osobnih podataka koji se odnose na politička mišljenja pojedinaca, obrada takvih podataka može se dopustiti iz razloga javnog interesa, pod uvjetom da su osigurane odgovarajuće zaštitne mjere.

(Uvodna izjava 57) Ako osobni podaci koje obrađuje ne dopuštaju identifikaciju fizičke osobe, voditelj obrade ne bi trebao biti obvezan pribaviti dodatne informacije za identifikaciju ispitanika isključivo u svrhu poštivanja odredbe ove Uredbe. Međutim, voditelj obrade ne bi trebao odbiti dodatne informacije koje je ispitanik dostavio kako bi olakšao ostvarivanje svojih prava. Identifikacija bi trebala uključivati digitalnu identifikaciju ispitanika, na primjer putem mehanizma provjere autentičnosti kao što su isti podaci koje ispitanik koristi za prijavu na internetsku uslugu koju nudi voditelj obrade.

(Uvodna izjava 58) Načelo transparentnosti zahtijeva da sve informacije upućene javnosti ili ispitaniku budu sažete, lako dostupne i razumljive te formulirane jasnim i jednostavnim riječima te, uz to, gdje je to primjereno, ilustrirane vizualnim elementima. Takve se informacije mogu pružiti u elektroničkom obliku, na primjer putem web stranice kada su upućene javnosti. … Budući da djeca zaslužuju posebnu zaštitu, sve informacije i komunikacija, kada se obrada odnosi na njih, trebaju biti sastavljene jasnim i jednostavnim riječima koje dijete može lako razumjeti.

(Uvodna izjava 59) Trebalo bi osigurati aranžmane kako bi se olakšalo ostvarivanje prava ispitanika prema ovoj Uredbi, uključujući načine za podnošenje zahtjeva i, gdje je primjenjivo, besplatno dobivanje, posebno pristupa osobnim podacima, ispravka ili brisanja istih te ostvarivanje prava na prigovor. Voditelj obrade također bi trebao osigurati načine za podnošenje zahtjeva elektroničkim putem, posebno kada se osobni podaci obrađuju elektronički. Od voditelja obrade trebalo bi se tražiti da odgovori na zahtjeve ispitanika bez nepotrebnog odgađanja, a najkasnije u roku od mjesec dana, te da obrazloži svoj odgovor ako ne namjerava udovoljiti takvim zahtjevima.

(Uvodna izjava 60) Načelo poštene i transparentne obrade zahtijeva da ispitanik bude obaviješten o postojanju postupka obrade i njegovim svrhama. Voditelj obrade trebao bi ispitaniku pružiti sve ostale informacije potrebne za osiguranje poštene i transparentne obrade, uzimajući u obzir specifične okolnosti i kontekst u kojem se osobni podaci obrađuju. Osim toga, ispitanik treba biti obaviješten o postojanju profiliranja i njegovim posljedicama. U slučajevima prikupljanja osobnih podataka od ispitanika, važno je da ispitanik zna i je li dužan dati osobne podatke te o posljedicama ako ih ne da. …

(Uvodna izjava 61) Informacije o obradi osobnih podataka koji se odnose na ispitanika trebale bi mu se dostaviti u trenutku kada se osobni podaci prikupljaju od njega ili nje ili, ako se osobni podaci dobivaju iz drugog izvora, u razumnom roku ovisno o okolnostima svakog slučaja. U slučajevima kada se osobni podaci mogu zakonito otkriti drugom primatelju, ispitanika treba obavijestiti o vremenu kada su osobni podaci prvi put otkriveni tom primatelju. …

(Uvodna izjava 62) Međutim, nije potrebno nametnuti obvezu pružanja informacija kada ispitanik već ima te informacije, kada je bilježenje ili otkrivanje osobnih podataka izričito propisano zakonom ili kada se pružanje informacija ispitaniku pokaže nemogućim ili bi zahtijevalo nerazmjeran napor. …

(Uvodna izjava 63) Ispitanik bi trebao imati pravo pristupa osobnim podacima prikupljenim o njemu te lako i u razumnim intervalima ostvarivati to pravo kako bi bio svjestan obrade i provjerio njezinu zakonitost. To uključuje pravo ispitanika na pristup podacima koji se odnose na njegovo zdravlje, na primjer podacima iz njegove medicinske dokumentacije koji sadrže informacije poput dijagnoza, rezultata pregleda, mišljenja liječnika koji ga liječe te bilo kakvog provedenog liječenja ili intervencije. Sukladno tome, svaki ispitanik bi trebao imati pravo znati i biti obaviješten, posebno, o svrhama obrade osobnih podataka, ako je moguće o trajanju obrade tih osobnih podataka, identitetu primatelja tih osobnih podataka, logici uključenoj u bilo kakvu automatiziranu obradu i mogućim posljedicama takve obrade, barem u slučaju profiliranja. …

(Uvodna izjava 64) Voditelj obrade trebao bi poduzeti sve razumne korake kako bi provjerio identitet ispitanika koji traži pristup podacima, posebno u kontekstu online usluga i identifikatora. Voditelj obrade ne bi trebao zadržati osobne podatke isključivo radi mogućnosti odgovaranja na potencijalne zahtjeve.

(Uvodna izjava 65) Ispitanici bi trebali imati pravo na ispravak osobnih podataka koji se na njih odnose te bi trebali imati „pravo na zaborav“ ako zadržavanje tih podataka krši ovu Uredbu ili pravo Unije ili države članice kojem podliježe voditelj obrade. Posebno bi ispitanici trebali imati pravo na brisanje svojih osobnih podataka i na prestanak njihove obrade, ako takvi osobni podaci više nisu potrebni u odnosu na svrhe za koje su prikupljeni ili na drugi način obrađeni, ako su ispitanici povukli svoju privolu za obradu ili prigovaraju na obradu osobnih podataka koji se na njih odnose ili ako je obrada njihovih osobnih podataka na neki drugi način u suprotnosti s ovom Uredbom. Ovo je pravo relevantno, posebno, kada je ispitanik dao privolu kada je bio dijete i nije bio u potpunosti svjestan rizika povezanih s obradom, a potom želi da se ti osobni podaci izbrišu, posebno na internetu. …

(Uvodna izjava 66) Kako bi se ojačalo digitalno „pravo na zaborav“, pravo na brisanje trebalo bi proširiti tako da kontrolor koji je javno objavio osobne podatke bude dužan obavijestiti kontrolore koji obrađuju te osobne podatke da treba izbrisati sve poveznice na te podatke ili kopije ili reprodukcije tih podataka. …

(Uvodna izjava 67) Metode za ograničavanje obrade osobnih podataka mogle bi uključivati, između ostalog, privremeno premještanje odabranih podataka u drugi sustav obrade, onemogućavanje korisnicima pristupa odabranim osobnim podacima ili privremeno uklanjanje objavljenih podataka s web stranice. U automatiziranim sustavima arhiviranja, ograničenje obrade u načelu bi trebalo biti osigurano tehničkim sredstvima na način da osobni podaci ne podliježu daljnjim operacijama obrade i da se ne mogu mijenjati. Činjenica da je obrada osobnih podataka ograničena trebala bi biti jasno naznačena u sustavu arhiviranja.

(Uvodna izjava 68) Kako bi dodatno ojačali kontrolu nad vlastitim podacima, ispitanici bi također trebali imati pravo, kada se osobni podaci obrađuju automatiziranim sredstvima, primiti osobne podatke koji se na njih odnose, a koje su dali kontroloru, u strukturiranom, uobičajeno korištenom, strojno čitljivom i interoperabilnom formatu te prenijeti te podatke drugom kontroloru. Kontrolore treba poticati na razvoj interoperabilnih formata koji omogućuju prenosivost podataka. …

(Uvodna izjava 69) U slučajevima kada se osobni podaci mogu zakonito obrađivati jer je obrada potrebna za obavljanje zadatka koji se provodi u javnom interesu ili u izvršavanju službene ovlasti dodijeljene voditelju obrade ili zbog legitimnih interesa voditelja obrade ili treće strane, ispitanici bi ipak trebali imati pravo prigovoriti na obradu bilo kojih osobnih podataka koji se odnose na njihovu konkretnu situaciju. Teret dokazivanja da njegovi uvjerljivi legitimni interesi nadjačavaju interese ili temeljna prava i slobode ispitanika trebao bi biti na voditelju obrade.

(Uvodna izjava 70) Ako se osobni podaci obrađuju u svrhu izravnog marketinga, ispitanik bi trebao imati pravo u bilo kojem trenutku i besplatno prigovoriti takvoj obradi, uključujući profiliranje u mjeri u kojoj je povezano s takvim izravnim marketingom, bilo za početnu obradu ili za daljnju obradu. …

(Uvodna izjava 71) Ispitanik bi trebao imati pravo da ne bude predmet odluke, koja može uključivati mjeru, koja uključuje procjenu određenih osobnih aspekata koji se na njega odnose, a koja se temelji isključivo na automatiziranoj obradi i koja proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno utječe na njega, kao što je automatsko odbijanje online prijave za kredit ili online prakse zapošljavanja bez ikakve ljudske intervencije. Ova vrsta obrade uključuje „profiliranje“ koje se sastoji od bilo kojeg oblika automatizirane obrade osobnih podataka radi procjene osobnih aspekata koji se odnose na fizičku osobu, posebno radi analize ili predviđanja aspekata koji se odnose na radni učinak ispitanika, ekonomsku situaciju, zdravlje, osobne preferencije ili interese, pouzdanost ili ponašanje ili lokaciju i kretanje, sve dok to proizvodi pravne učinke koji se na njega odnose ili na sličan način značajno utječe na njega. …

(Uvodna izjava 73) Ograničenja određenih specifičnih načela, kao i prava na informiranje, prava na pristup osobnim podacima, prava na ispravak ili brisanje takvih podataka, prava na prenosivost podataka, prava na prigovor, prava na odluke na temelju profiliranja, kao i obavještavanja ispitanika o povredi osobnih podataka i određenih povezanih obveza kontrolora mogu biti propisana pravom Unije ili pravom države članice, …

(Uvodna izjava 74) Primjereno je utvrditi odgovornost kontrolora za svaku obradu osobnih podataka koju provodi kontrolor ili se provodi u njegovo ime. Posebno je važno da je kontrolor dužan provesti odgovarajuće i učinkovite mjere te da je u mogućnosti dokazati usklađenost aktivnosti obrade s ovom Uredbom, uključujući učinkovitost mjera. …

(Uvodna izjava 75) Rizici za prava i slobode pojedinaca, čija se vjerojatnost i ozbiljnost razlikuju, mogu proizaći iz obrade osobnih podataka koja će vjerojatno rezultirati fizičkom, materijalnom ili nematerijalnom štetom, posebno: kada obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, narušavanja ugleda, gubitka povjerljivosti podataka zaštićenih profesionalnom tajnom, neovlaštenog poništavanja postupka pseudonimizacije ili bilo koje druge značajne ekonomske ili društvene štete; kada ispitanici mogu biti lišeni svojih prava i sloboda ili im se može spriječiti da vrše kontrolu nad svojim osobnim podacima; kada se obrada odnosi na osobne podatke koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, religiju ili filozofska uvjerenja, članstvo u sindikatu, kao i genetske podatke, podatke o zdravlju ili podatke o spolnom životu ili podatke koji se odnose na kaznene osude i prekršaje ili povezane sigurnosne mjere; kada se procjenjuju osobni aspekti, posebno u kontekstu analize ili predviđanja elemenata koji se odnose na radni učinak, ekonomsku situaciju, zdravlje, osobne preferencije ili interese, pouzdanost ili ponašanje, lokaciju ili kretanje, s ciljem stvaranja ili korištenja pojedinačnih profila; kada se obrada odnosi na osobne podatke koji se odnose na ranjive fizičke osobe, posebno djecu; ili kada se obrada odnosi na veliku količinu osobnih podataka i utječe na veliki broj ispitanika.

(Uvodna izjava 76) Vjerojatnost i ozbiljnost rizika za prava i slobode ispitanika trebale bi se utvrditi s obzirom na prirodu, opseg, kontekst i svrhe obrade. …

(Uvodna izjava 78) Zaštita prava i sloboda pojedinaca u vezi s obradom osobnih podataka zahtijeva donošenje odgovarajućih tehničkih i organizacijskih mjera kako bi se osiguralo poštivanje zahtjeva ove Uredbe. Kako bi se mogla dokazati usklađenost s ovom Uredbom, voditelj obrade trebao bi donijeti interna pravila i provesti mjere koje posebno poštuju načela zaštite podataka po načelu dizajna i zaštite podataka po zadanim postavkama. Takve mjere mogle bi uključivati, između ostalog, minimiziranje obrade osobnih podataka, pseudonimizaciju osobnih podataka gdje je to moguće, osiguravanje transparentnosti u pogledu funkcija i obrade osobnih podataka, omogućavanje ispitaniku da kontrolira obradu podataka, omogućavanje voditelju obrade da implementira ili poboljša sigurnosne značajke. Prilikom razvoja, dizajniranja, odabira i korištenja aplikacija, usluga i proizvoda koji se oslanjaju na obradu osobnih podataka ili obrađuju osobne podatke za obavljanje svojih funkcija, proizvođače proizvoda, pružatelje usluga i proizvođače aplikacija trebalo bi poticati da uzmu u obzir pravo na zaštitu podataka prilikom razvoja i dizajniranja takvih proizvoda, usluga i aplikacija te, uz dužno poštovanje najnovijih dostignuća, osiguraju da voditelji obrade i obrađivači mogu ispuniti svoje obveze zaštite podataka. Načela zaštite podataka po načelu dizajna i zaštite podataka po zadanim postavkama također bi trebalo uzeti u obzir pri javnoj nabavi.

(Uvodna izjava 79) Zaštita prava i sloboda ispitanika, kao i odgovornost kontrolora i obrađivača, uključujući i u kontekstu nadzora nadzornih tijela i mjera koje poduzimaju, zahtijeva jasnu raspodjelu odgovornosti prema ovoj Uredbi, …

(Uvodna izjava 80) Ako voditelj obrade ili izvršitelj obrade koji nije nastanjen u Uniji obrađuje osobne podatke ispitanika koji se nalaze u Uniji i njegove aktivnosti obrade povezane su s ponudom robe ili usluga tim ispitanicima u Uniji, bez obzira na to je li potrebno plaćanje ili s praćenjem njihovog ponašanja, u mjeri u kojoj se odvija unutar Unije, voditelj obrade ili izvršitelj obrade trebao bi imenovati predstavnika, osim ako je obrada povremena, ne uključuje obradu posebnih kategorija osobnih podataka u velikim razmjerima ili obradu osobnih podataka koji se odnose na kaznene osude i prekršaje te vjerojatno neće rezultirati rizikom za prava i slobode pojedinaca, uzimajući u obzir prirodu, kontekst, opseg i svrhe obrade, ili je voditelj obrade javno tijelo ili tijelo. Predstavnik bi trebao djelovati u ime voditelja obrade ili izvršitelja obrade i može ga kontaktirati bilo koje nadzorno tijelo. Predstavnika bi trebao izričito imenovati pisanim mandatom voditelja obrade ili izvršitelja obrade da djeluje u njegovo ime u vezi s njegovim obvezama prema ovoj Uredbi. Imenovanje tog predstavnika ne dovodi u pitanje odgovornosti voditelja obrade ili izvršitelja obrade prema ovoj Uredbi. …

(Uvodna izjava 81) Kako bi se osiguralo ispunjavanje zahtjeva ove Uredbe u kontekstu obrade koju provodi izvršitelj obrade u ime voditelja obrade, kada potonji povjerava aktivnosti obrade izvršitelju obrade, voditelj obrade trebao bi koristiti samo izvršitelje obrade koji pružaju dovoljna jamstva, posebno u smislu stručnog znanja, pouzdanosti i resursa, za provedbu tehničkih i organizacijskih mjera koje će ispunjavati zahtjeve ove Uredbe, uključujući sigurnost obrade. …

(Uvodna izjava 82) Kako bi dokazao usklađenost s ovom Uredbom, voditelj obrade ili obrađivač trebao bi voditi evidenciju o aktivnostima obrade za koje je odgovoran. …

(Uvodna izjava 83) Kako bi se osigurala sigurnost i spriječila obrada koja krši ovu Uredbu, važno je da voditelj obrade ili obrađivač procijeni rizike svojstvene obradi i provede mjere za njihovo ublažavanje, poput šifriranja. Te mjere trebale bi osigurati odgovarajuću razinu sigurnosti, uključujući povjerljivost, uzimajući u obzir najnovija dostignuća i troškove provedbe u odnosu na rizike i prirodu osobnih podataka koje treba zaštititi. …

(Uvodna izjava 84) Kako bi se bolje osigurala usklađenost s ovom Uredbom u slučajevima kada je vjerojatno da će postupci obrade rezultirati visokim rizikom za prava i slobode pojedinaca, voditelj obrade trebao bi biti odgovoran za provođenje procjene učinka na zaštitu podataka kako bi se posebno procijenilo podrijetlo, priroda, specifičnost i ozbiljnost tog rizika. Ishod te procjene trebalo bi uzeti u obzir pri određivanju odgovarajućih mjera kojima se dokazuje da je obrada osobnih podataka u skladu s ovom Uredbom. U slučajevima kada procjena učinka na zaštitu podataka pokaže da postupci obrade podataka uključuju visok rizik koji voditelj obrade ne može ublažiti poduzimanjem odgovarajućih mjera, uzimajući u obzir dostupne tehnike i troškove povezane s njihovom provedbom, prije obrade treba se konzultirati s nadzornim tijelom.

(Uvodna izjava 85) Povreda osobnih podataka može, ako se ne poduzmu pravovremene i odgovarajuće mjere, prouzročiti fizičku, materijalnu ili moralnu štetu dotičnim pojedincima, kao što su gubitak kontrole nad njihovim osobnim podacima ili ograničavanje njihovih prava, diskriminacija, krađa ili prijevara identiteta, financijski gubitak, neovlašteno poništavanje postupka pseudonimizacije, narušavanje ugleda, gubitak povjerljivosti osobnih podataka zaštićenih profesionalnom tajnom ili druga značajna ekonomska ili društvena šteta. Sukladno tome, čim voditelj obrade postane svjestan povrede osobnih podataka, trebao bi bez nepotrebnog odgađanja i, gdje je to moguće, najkasnije 72 sata nakon što je saznao za nju, osim ako, u skladu s načelom odgovornosti, ne može dokazati da je malo vjerojatno da će dotična povreda rezultirati rizikom za prava i slobode pojedinaca. Ako se takva obavijest ne može dati u roku od 72 sata, obavijest treba popratiti razlozima odgađanja, a informacije se mogu dostavljati u fazama bez daljnjeg nepotrebnog odgađanja.

(Uvodna izjava 86) Voditelj obrade trebao bi bez nepotrebnog odgađanja obavijestiti ispitanika o povredi osobnih podataka ako je vjerojatno da će povreda rezultirati visokim rizikom za prava i slobode pojedinca kako bi ispitanik mogao poduzeti odgovarajuće mjere opreza. …

(Uvodna izjava 87) Treba provjeriti jesu li provedene sve odgovarajuće tehničke i organizacijske zaštitne mjere kako bi se odmah utvrdilo je li došlo do povrede osobnih podataka i kako bi se odmah obavijestilo nadzorno tijelo i ispitanik. …

(Uvodna izjava 91) To bi se trebalo posebno primjenjivati na operacije obrade velikih razmjera kojima je cilj obrada znatne količine osobnih podataka na regionalnoj, nacionalnoj ili nadnacionalnoj razini, koje mogu utjecati na značajan broj ispitanika i koje će vjerojatno rezultirati visokim rizikom, na primjer, zbog njihove osjetljivosti, gdje se, u skladu s najsuvremenijim dostignućima, nova tehnika primjenjuje u velikim razmjerima, kao i na druge operacije obrade koje rezultiraju visokim rizikom za prava i slobode ispitanika, posebno tamo gdje je, kao rezultat takvih operacija, ispitanicima teže ostvariti svoja prava. Procjena učinka na zaštitu podataka također bi se trebala provesti kada se osobni podaci obrađuju u svrhu donošenja odluka koje se odnose na određene fizičke osobe nakon sustavne i detaljne procjene osobnih aspekata specifičnih za fizičke osobe na temelju profiliranja tih podataka ili nakon obrade posebnih kategorija osobnih podataka, biometrijskih podataka ili podataka koji se odnose na kaznene osude i prekršaje ili povezane sigurnosne mjere. …

(Uvodna izjava 92) Postoje slučajevi u kojima može biti razumno i isplativo proširiti opseg procjene učinka na zaštitu podataka izvan jednog projekta, na primjer kada javna tijela ili javna tijela namjeravaju implementirati zajedničku platformu za aplikacije ili obradu ili kada nekoliko kontrolora namjerava stvoriti zajedničko okruženje za aplikacije ili obradu u cijelom sektoru ili profesionalnom segmentu ili za široko korištenu međufunkcionalnu aktivnost.

(Uvodna izjava 94) Ako procjena učinka na zaštitu podataka pokaže da bi, u nedostatku zaštitnih mjera, sigurnosnih mjera i mehanizama za ublažavanje rizika, obrada rezultirala visokim rizikom za prava i slobode pojedinaca, a voditelj obrade smatra da se rizik ne može ublažiti razumnim sredstvima uzimajući u obzir dostupnu tehnologiju i troškove provedbe, prije početka obrade treba se konzultirati s nadzornim tijelom. …

(Uvodna izjava 97) Ako obradu provodi javno tijelo, s izuzetkom sudova ili neovisnih pravosudnih tijela koja djeluju u svojoj pravosudnoj ulozi, ako je u privatnom sektoru provodi voditelj obrade čije se temeljne aktivnosti sastoje od operacija obrade koje zahtijevaju redovito i sustavno praćenje ispitanika u velikim razmjerima ili ako se temeljne aktivnosti voditelja obrade ili izvršitelja obrade sastoje od obrade velikih razmjera posebnih kategorija osobnih podataka i podataka koji se odnose na kaznene osude i prekršaje, osoba sa stručnim znanjem o pravu i praksi zaštite podataka trebala bi pomoći voditelju obrade ili izvršitelju obrade u provjeri unutarnje usklađenosti s ovom Uredbom. …

(Uvodna izjava 98) Udruge ili druga tijela koja predstavljaju kategorije kontrolora ili obrađivača trebalo bi poticati na izradu kodeksa ponašanja, u granicama ove Uredbe, kako bi se olakšala njezina pravilna primjena, uzimajući u obzir specifičnosti obrade koja se provodi u određenim sektorima i specifične potrebe mikro, malih i srednjih poduzeća. …

(Uvodna izjava 101) Tokovi osobnih podataka u i iz zemalja izvan Unije i međunarodnih organizacija nužni su za razvoj međunarodne trgovine i međunarodne suradnje. Povećanje takvih tokova stvorilo je nove izazove i zabrinutost u vezi sa zaštitom osobnih podataka. Međutim, važno je da se, kada se osobni podaci prenose iz Unije kontrolorima, obrađivačima ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne naruši razina zaštite fizičkih osoba koju u Uniji jamči ova Uredba, uključujući i slučaj daljnjih prijenosa osobnih podataka iz treće zemlje ili međunarodne organizacije kontrolorima ili obrađivačima u istoj ili drugoj trećoj zemlji ili drugoj međunarodnoj organizaciji. U svakom slučaju, prijenosi u treće zemlje i međunarodne organizacije mogu se odvijati samo u potpunosti u skladu s ovom Uredbom. …

(Uvodna izjava 103) Komisija može odlučiti, s učinkom na cijeloj Uniji, da treća zemlja, teritorij ili određeni sektor unutar treće zemlje ili međunarodna organizacija nudi odgovarajuću razinu zaštite podataka, čime se osigurava pravna sigurnost i ujednačenost na cijeloj Uniji u odnosu na treću zemlju ili međunarodnu organizaciju za koju se smatra da nudi takvu razinu zaštite. U tom slučaju, prijenosi osobnih podataka u tu treću zemlju ili međunarodnu organizaciju mogu se odvijati bez potrebe za daljnjim odobrenjem. …

(Uvodna izjava 104) Uzimajući u obzir temeljne vrijednosti na kojima je Unija utemeljena, posebno zaštitu ljudskih prava, Komisija bi u svojoj procjeni treće zemlje, teritorija ili određenog sektora unutar treće zemlje trebala uzeti u obzir način na koji određena treća zemlja poštuje vladavinu prava, osigurava pristup pravosuđu i poštuje međunarodna pravila i standarde u području ljudskih prava, kao i svoje opće i sektorsko zakonodavstvo, uključujući zakonodavstvo o javnoj sigurnosti, obrani i nacionalnoj sigurnosti, kao i javnom redu i kaznenom pravu. …

(Uvodna izjava 105) Uz međunarodne obveze koje je preuzela treća zemlja ili međunarodna organizacija, Komisija bi trebala uzeti u obzir obveze koje proizlaze iz sudjelovanja treće zemlje ili međunarodne organizacije u multilateralnim ili regionalnim sustavima, posebno u pogledu zaštite osobnih podataka i provedbe tih obveza. Posebno treba uzeti u obzir pristupanje treće zemlje Konvenciji Vijeća Europe od 28. siječnja 1981. o zaštiti pojedinaca u vezi s automatskom obradom osobnih podataka i njezinom Dodatnom protokolu. …

(Uvodna izjava 108) U nedostatku odluke o adekvatnosti, voditelj obrade ili obrađivač trebali bi poduzeti mjere za kompenzaciju neadekvatnosti zaštite podataka u trećoj zemlji putem odgovarajućih zaštitnih mjera za ispitanika. …

(Uvodna izjava 109) Mogućnost da kontrolori i obrađivači koriste standardne klauzule o zaštiti podataka koje je usvojila Komisija ili nadzorno tijelo ne bi ih trebala spriječiti da te klauzule uključe u širi ugovor, kao što je ugovor između obrađivača i drugog obrađivača, ili da dodaju druge klauzule ili dodatne zaštitne mjere, pod uvjetom da one nisu u suprotnosti, izravno ili neizravno, sa standardnim ugovornim klauzulama koje je usvojila Komisija ili nadzorno tijelo i da ne utječu negativno na temeljna prava i slobode ispitanika. …

(Uvodna izjava 110) Grupa poduzeća ili grupa poduzeća koja se bavi zajedničkom gospodarskom aktivnošću trebala bi moći koristiti odobrena obvezujuća korporativna pravila za svoje međunarodne prijenose iz Unije subjektima u istoj grupi poduzeća ili u istoj grupi poduzeća koja se bave zajedničkom gospodarskom aktivnošću, pod uvjetom da ta korporativna pravila uključuju sva bitna načela i provediva prava kako bi se osigurale odgovarajuće zaštitne mjere za prijenose ili kategorije prijenosa osobnih podataka.

(Uvodna izjava 114) U svakom slučaju, ako Komisija nije zauzela stav o adekvatnosti razine zaštite podataka u trećoj zemlji, voditelj obrade ili obrađivač trebali bi usvojiti rješenja koja jamče ispitanicima provediva i učinkovita prava u vezi s obradom njihovih podataka u Uniji nakon što su ti podaci preneseni, kako bi ti ispitanici i dalje imali koristi od temeljnih prava i jamstava.

(Uvodna izjava 116) Kada osobni podaci prelaze vanjske granice Unije, to može povećati rizik da pojedinci neće moći ostvariti svoja prava na zaštitu podataka, posebno kako bi se zaštitili od nezakonite upotrebe ili otkrivanja tih informacija. … Sukladno tome, potrebno je poticati bližu suradnju između nadzornih tijela za zaštitu podataka, kako bi im se pomoglo u razmjeni informacija i provođenju istraga s njihovim međunarodnim kolegama. …

(Uvodna izjava 121) Opći uvjeti koji se primjenjuju na člana/članove nadzornog tijela trebali bi biti propisani zakonom u svakoj državi članici i trebali bi posebno predvidjeti da te članove imenuje, u skladu s transparentnim postupkom, parlament, vlada ili šef države te države članice, na prijedlog vlade ili člana vlade, ili parlamenta ili parlamentarnog doma, ili neovisno tijelo kojem je taj zadatak povjeren prema pravu države članice. …

(Uvodna izjava 122) Svako nadzorno tijelo trebalo bi biti nadležno na teritoriju svoje države članice za izvršavanje zadaća i ovlasti koje su mu dodijeljene u skladu s ovom Uredbom. …

(Uvodna izjava 124) Ako se obrada osobnih podataka odvija u kontekstu aktivnosti poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji, a taj voditelj obrade ili izvršitelj obrade ima poslovni nastan u više od jedne države članice, ili ako obrada koja se odvija u kontekstu aktivnosti jednog poslovnog nastana voditelja obrade ili izvršitelja obrade u Uniji značajno utječe ili će vjerojatno značajno utjecati na ispitanike u više od jedne države članice, nadzorno tijelo koje ima nadležnost nad glavnim ili jedinim poslovnim nastanom voditelja obrade ili izvršitelja obrade trebalo bi djelovati kao vodeće tijelo. …

(Uvodna izjava 125) Vodeće tijelo trebalo bi biti nadležno za donošenje obvezujućih odluka o mjerama za provedbu ovlasti koje su mu dodijeljene u skladu s ovom Uredbom. U svom svojstvu vodećeg tijela, nadzorno tijelo trebalo bi blisko uključiti relevantna nadzorna tijela u proces donošenja odluka i osigurati blisku koordinaciju u tom kontekstu. …

(Uvodna izjava 129) Kako bi se osigurala dosljedna provedba i praćenje ove Uredbe diljem Unije, nadzorna tijela trebala bi u svakoj državi članici imati iste zadaće i učinkovite ovlasti, uključujući ovlasti istrage, ovlast donošenja korektivnih mjera i izricanja sankcija, kao i ovlast odobravanja i izdavanja savjetodavnih mišljenja, posebno u slučaju pritužbi koje podnose fizičke osobe, te, ne dovodeći u pitanje ovlasti tijela za kazneni progon prema pravu države članice, ovlast skrenuti pozornost pravosudnih tijela na povrede ove Uredbe i poduzeti pravne mjere. Te ovlasti trebale bi uključivati i ovlast nametanja privremenog ili trajnog ograničenja obrade, uključujući zabranu. …

(Uvodna izjava 130) Ako nadzorno tijelo kojem je podnesena pritužba nije vodeće nadzorno tijelo, vodeće nadzorno tijelo trebalo bi blisko surađivati s nadzornim tijelom kojem je pritužba podnesena u skladu s odredbama o suradnji i dosljednosti utvrđenima u ovoj Uredbi. …

(Uvodna izjava 137) Hitne mjere mogu biti potrebne za zaštitu prava i sloboda ispitanika, posebno kada postoji opasnost da bi ostvarivanje prava ispitanika moglo biti značajno otežano. Sukladno tome, nadzorno tijelo trebalo bi moći donijeti, na svom teritoriju, privremene mjere koje su propisno opravdane i imaju određeno razdoblje važenja koje ne bi trebalo biti dulje od tri mjeseca.

(Uvodna izjava 138) Primjena takvog mehanizma trebala bi uvjetovati zakonitost mjere namijenjene proizvodnji pravnih učinaka koju poduzima nadzorno tijelo u slučajevima kada je takva primjena obvezna. …

(Uvodna izjava 141) Svaki subjekt podataka trebao bi imati pravo podnijeti pritužbu jedinstvenom nadzornom tijelu, posebno u državi članici u kojoj ima uobičajeno boravište, te pravo na učinkovit sudski lijek u skladu s člankom 47. Povelje ako smatra da su mu/joj prava prema ovoj Uredbi povrijeđena ili ako nadzorno tijelo ne postupi po njegovoj/njezinoj pritužbi, odbije je ili odbaci, u cijelosti ili djelomično, ili ne postupi kada je potrebno poduzeti mjere za zaštitu prava ispitanika. Istraga nakon pritužbe trebala bi se provoditi pod sudskim nadzorom u mjeri u kojoj to zahtijeva pojedinačni slučaj.

(Uvodna izjava 142) Ako ispitanik smatra da su mu/joj prava prema ovoj Uredbi povrijeđena, trebao bi imati pravo ovlastiti neprofitno tijelo, organizaciju ili udrugu, osnovanu u skladu sa zakonom države članice, čiji su zakonski ciljevi od javnog interesa i koja je aktivna u području zaštite osobnih podataka, da u njegovo/njezino ime podnese pritužbu nadzornom tijelu, da ostvari pravo na sudski lijek u ime ispitanika ili, ako je to predviđeno zakonom države članice, da ostvari pravo na odštetu u ime ispitanika. …

(Uvodna izjava 143) Svaka fizička ili pravna osoba ima pravo podnijeti tužbu za poništenje odluka Odbora pred Sudom pod uvjetima utvrđenim u članku 263. Ugovora o funkcioniranju Europske unije. Po primitku takvih odluka, dotična nadzorna tijela koja ih žele osporiti moraju to učiniti u roku od dva mjeseca od obavijesti o njima, u skladu s člankom 263. Ugovora o funkcioniranju Europske unije. …

Ako je nadzorno tijelo odbacilo ili odbilo pritužbu, podnositelj pritužbe može podnijeti tužbu sudovima iste države članice. …

(Uvodna izjava 144) Ako sud koji je pokrenuo postupak protiv odluke nadzornog tijela ima razloga vjerovati da se postupci koji se odnose na istu obradu, na primjer isti predmet, koju provodi isti voditelj obrade ili obrađivač, ili isti uzrok postupka, pokreću pred nadležnim sudom u drugoj državi članici, trebao bi kontaktirati taj drugi sud kako bi potvrdio postojanje takvih povezanih postupaka. …

(Uvodna izjava 145) Što se tiče postupaka protiv voditelja obrade ili obrađivača, podnositelj zahtjeva trebao bi imati mogućnost odlučiti hoće li postupak pokrenuti pred sudovima država članica u kojima voditelj obrade ili obrađivač ima poslovni nastan ili u državi članici u kojoj ispitanik ima prebivalište, osim ako je voditelj obrade javno tijelo države članice koje djeluje u izvršavanju svojih javnih ovlasti.

(Uvodna izjava 146) Voditelj obrade ili obrađivač trebali bi nadoknaditi svaku štetu koju ispitanik može pretrpjeti kao rezultat obrade provedene kršenjem ove Uredbe. Voditelj obrade ili obrađivač trebali bi biti oslobođeni odgovornosti ako dokažu da se šteta ni na koji način ne može pripisati njima. … Međutim, kada su voditelji obrade i obrađivači uključeni u isti pravni postupak, u skladu s pravom države članice, naknada se može raspodijeliti prema udjelu odgovornosti svakog voditelja obrade ili obrađivača za štetu uzrokovanu obradom, pod uvjetom da je šteta koju je pretrpio ispitanik u potpunosti i učinkovito nadoknađena. …

(Uvodna izjava 148) Radi jačanja provedbe pravila ove Uredbe, za svako kršenje ove Uredbe trebale bi se izreći sankcije, uključujući administrativne novčane kazne, uz ili umjesto odgovarajućih mjera koje je nadzorno tijelo nametnulo u skladu s ovom Uredbom. U slučaju manjeg kršenja ili ako bi novčana kazna koja se može izreći predstavljala nerazmjeran teret za fizičku osobu, umjesto novčane kazne može se izdati upozorenje. Međutim, treba uzeti u obzir prirodu, težinu i trajanje kršenja, namjernu prirodu kršenja i mjere poduzete za ublažavanje pretrpljene štete, stupanj odgovornosti ili bilo koje prethodne relevantne povrede, način na koji je nadzorno tijelo saznalo za kršenje, poštivanje mjera naloženih protiv voditelja obrade ili obrađivača, primjenu kodeksa ponašanja i sve druge otegotne ili olakotne okolnosti. Primjena sankcija, uključujući administrativne novčane kazne, trebala bi biti podložna odgovarajućim postupovnim jamstvima u skladu s općim načelima prava Unije i Povelje, uključujući pravo na učinkovitu sudsku zaštitu i pravičan postupak.

(Uvodna izjava 150) Kako bi se ojačale i uskladile administrativne kazne koje se primjenjuju na kršenje ove Uredbe, svako nadzorno tijelo trebalo bi imati ovlast izricanja administrativnih kazni. Ovom Uredbom trebalo bi se definirati kršenje propisa, maksimalni iznos i kriteriji za određivanje administrativnih kazni kojima podliježu, a koje bi nadležno nadzorno tijelo trebalo odrediti u svakom pojedinom slučaju, uzimajući u obzir sve specifične karakteristike svakog slučaja i uzimajući u obzir, posebno, prirodu, težinu i trajanje kršenja i njegove posljedice, kao i mjere poduzete radi osiguranja usklađenosti s obvezama koje proizlaze iz Uredbe te sprječavanja ili ublažavanja posljedica kršenja. …

(Uvodna izjava 152) U slučajevima kada ova Uredba ne usklađuje administrativne sankcije ili, gdje je to potrebno u drugim okolnostima, na primjer u slučajevima teških kršenja ove Uredbe, države članice trebale bi uvesti sustav koji predviđa učinkovite, proporcionalne i odvraćajuće sankcije. Priroda tih sankcija, bilo kaznenih ili administrativnih, trebala bi biti određena pravom država članica.

(Uvodna izjava 153) Pravo država članica trebalo bi uskladiti pravila koja uređuju slobodu izražavanja i informiranja, uključujući novinarsko, akademsko, umjetničko ili književno izražavanje, s pravom na zaštitu osobnih podataka prema ovoj Uredbi. U kontekstu obrade osobnih podataka isključivo u novinarske svrhe ili u svrhe akademskog, umjetničkog ili književnog izražavanja, trebalo bi predvidjeti odstupanja ili izuzeća od određenih odredbi ove Uredbe ako je to potrebno za usklađivanje prava na zaštitu osobnih podataka s pravom na slobodu izražavanja i informiranja, kako je utvrđeno u članku 11. Povelje. …

(Uvodna izjava 154) Ova Uredba omogućuje da se načelo javnog pristupa službenim dokumentima uzme u obzir u njezinoj primjeni. Javni pristup službenim dokumentima može se smatrati javnim interesom. …

(Uvodna izjava 155) Zakon države članice ili kolektivni ugovori, uključujući „ugovore poduzeća“, mogu predvidjeti posebna pravila o obradi osobnih podataka zaposlenika u kontekstu radnih odnosa, uključujući uvjete pod kojima se osobni podaci u kontekstu radnih odnosa mogu obrađivati na temelju privole zaposlenika, u svrhu zapošljavanja, izvršavanja ugovora o radu, uključujući poštivanje obveza utvrđenih zakonom ili kolektivnim ugovorima, upravljanja, planiranja i organizacije rada, jednakosti i raznolikosti na radnom mjestu, zdravlja i sigurnosti na radu, te u svrhu ostvarivanja i uživanja prava i pogodnosti iz radnog odnosa, pojedinačno ili kolektivno, kao i u svrhu prestanka radnog odnosa.

(Uvodna izjava 162) Tamo gdje se osobni podaci obrađuju u statističke svrhe, ova Uredba trebala bi se primjenjivati na tu obradu. Pravo Unije ili države članice trebalo bi, u granicama ove Uredbe, odrediti statistički sadržaj, definirati kontrolu pristupa podacima i propisati posebne odredbe za obradu osobnih podataka u statističke svrhe i odgovarajuće mjere za zaštitu prava i sloboda ispitanika i održavanje statističke povjerljivosti. …

(Uvodna izjava 163) Povjerljive informacije koje prikupljaju statistička tijela Unije i država članica u svrhu izrade službene europske i nacionalne statistike trebale bi biti zaštićene. …

(Uvodna izjava 164) Što se tiče ovlasti nadzornih tijela da od kontrolora ili obrađivača dobiju pristup osobnim podacima i pristup svojim prostorijama, države članice mogu, u granicama ove Uredbe, zakonom donijeti posebna pravila kako bi osigurale obvezu profesionalne tajne ili druge jednakovrijedne obveze tajne, u mjeri u kojoj je to potrebno za usklađivanje prava na zaštitu osobnih podataka i obveze profesionalne tajne. …

 (Uvodna izjava 166) Kako bi se postigli ciljevi ove Uredbe, odnosno zaštita temeljnih prava i sloboda pojedinaca, a posebno njihova prava na zaštitu osobnih podataka, te osiguranje slobodnog kretanja takvih podataka unutar Unije, ovlast donošenja akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije trebalo bi delegirati Komisiji. Posebno bi trebalo donijeti delegirane akte u vezi s kriterijima i zahtjevima za mehanizme certificiranja, informacijama koje se trebaju prikazati u obliku standardiziranih ikona i postupcima za pružanje takvih ikona. …

(Uvodna izjava 168) S obzirom na opći opseg dotičnih akata, postupak ispitivanja trebao bi se koristiti za donošenje provedbenih akata u vezi sa standardnim ugovornim klauzulama između voditelja obrade i obrađivača te između obrađivača; kodeksima ponašanja; tehničkim standardima i mehanizmima certificiranja; …

(Uvodna izjava 170) Budući da cilj ove Uredbe, naime osiguranje jednake razine zaštite pojedinaca i slobodnog protoka osobnih podataka diljem Unije, ne mogu u dovoljnoj mjeri postići države članice, već se, zbog opsega ili učinaka djelovanja, može bolje postići na razini Unije, Unija može donijeti mjere, …

Otkrijte Viqtor®
hrHR
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL hrHR