Premisleki
Odlomek iz knjige Bruna DUMAYA: DEŠIFRIRANJE GDPR – Za vodje, strateške oddelke in zaposlene v podjetjih in organizacijah – Predgovor Gaëlle MONTEILLER
Nismo mogli zamuditi uvodnih izjav, vsaj tistih glavnih, ki so motivirale GDPR. Te tvorijo filozofijo, obnovljeno v končni uredbi in direktivi, dešifrirajo in usklajujejo v eni sami prizmi vse vidike posameznih zakonodaj držav članic v smislu zakonodaje o varstvu podatkov. Utelešajo evropsko raznolikost, hkrati pa tvorijo enoten korpus. Osvetljujejo naše razumevanje in dajejo pomen, pričajo o dejstvu, da se nekaj globokega dogaja, zagotovo in na prvi pogled, kot odgovor na GAFA, Google, Apple, Facebook, Amazon, Deezer, Instagram, Snapchat in druge, ki so oropali naše vedenje, naše želje in naša pričakovanja ... Akterji, katerih edino vprašanje za nas je naša denarnica!
Zdelo se mi je bistveno, da vam predstavim glavne premisleke in/ali najpomembnejše odlomke. Če želite iti še dlje, je spletna stran CNIL še posebej obsežna in vas vabim, da jo obiščete ...
(Uvodna izjava 1) Varstvo posameznikov pri obdelavi osebnih podatkov je temeljna pravica. … določajo, da ima vsakdo pravico do varstva osebnih podatkov, ki se ga nanašajo.
(Uvodna izjava 2) Načela in pravila, ki urejajo varstvo posameznikov pri obdelavi osebnih podatkov, ki se nanje nanašajo, bi morala ne glede na državljanstvo ali prebivališče teh posameznikov spoštovati njihove temeljne pravice in svoboščine, zlasti njihovo pravico do varstva osebnih podatkov. … prispevati k vzpostavitvi območja svobode, varnosti in pravice ter gospodarske unije, h gospodarskemu in socialnemu napredku, h konsolidaciji in konvergenci gospodarstev na notranjem trgu ter k blaginji posameznikov.
(Uvodna izjava 3) … Svet si prizadeva uskladiti varstvo temeljnih pravic in svoboščin posameznikov v zvezi z dejavnostmi obdelave in zagotoviti prosti pretok osebnih podatkov med državami članicami.
(Uvodna izjava 4) Obdelava osebnih podatkov bi morala biti zasnovana tako, da služi človeštvu. Pravica do varstva osebnih podatkov ni absolutna pravica; obravnavati jo je treba v povezavi z njeno funkcijo v družbi in jo uravnotežiti z drugimi temeljnimi pravicami v skladu z načelom sorazmernosti. … spoštovanje zasebnega in družinskega življenja, doma in komunikacij, varstvo osebnih podatkov, svoboda misli, vesti in veroizpovedi, svoboda izražanja in obveščanja, svoboda gospodarske pobude, pravica do učinkovitega pravnega sredstva in poštenega sojenja ter kulturna, verska in jezikovna raznolikost.
(Uvodna izjava 6) Hiter tehnološki razvoj in globalizacija sta ustvarila nove izzive za varstvo osebnih podatkov. Obseg zbiranja in deljenja osebnih podatkov se je znatno povečal. Tehnologija tako zasebnim podjetjem kot javnim organom omogoča uporabo osebnih podatkov pri svojih dejavnostih kot še nikoli prej. Posamezniki vse bolj javno in globalno objavljajo informacije o sebi. Tehnologija je spremenila tako gospodarske kot družbene odnose in bi morala še dodatno olajšati prosti pretok osebnih podatkov znotraj Unije ter njihov prenos v tretje države in mednarodne organizacije, hkrati pa zagotoviti visoko raven varstva osebnih podatkov.
(Uvodna izjava 7) ...pomembno je zgraditi zaupanje, ki bo omogočilo razcvet digitalnega gospodarstva na celotnem notranjem trgu. Posamezniki bi morali imeti nadzor nad svojimi osebnimi podatki. ...
(Uvodna izjava 9) … razdrobljenost izvajanja varstva podatkov v Uniji, pravna negotovost ali razširjeno javno prepričanje, da še vedno obstajajo znatna tveganja za varstvo posameznikov, zlasti v zvezi s spletnim okoljem. Razlike v ravni varstva pravic in svoboščin posameznikov, zlasti pravice do varstva osebnih podatkov, v zvezi z obdelavo osebnih podatkov v državah članicah lahko preprečijo prosti pretok takih podatkov po vsej Uniji. Takšne razlike lahko zato predstavljajo oviro za opravljanje gospodarskih dejavnosti na ravni Unije, izkrivljajo konkurenco in preprečujejo organom, da bi izpolnili svoje obveznosti v skladu s pravom Unije. …
(Uvodna izjava 10) Da bi zagotovili dosledno in visoko raven varstva posameznikov ter odpravili ovire za pretok osebnih podatkov znotraj Unije, bi morala biti raven varstva pravic in svoboščin posameznikov v zvezi z obdelavo takih podatkov enaka v vseh državah članicah. Zato je primerno zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov po vsej Uniji. …
(Uvodna izjava 11) Učinkovito varstvo osebnih podatkov po vsej Uniji zahteva okrepitev in pojasnitev pravic posameznikov, na katere se nanašajo osebni podatki, in obveznosti tistih, ki izvajajo in določajo obdelavo osebnih podatkov, ter zagotovitev enakovrednih pooblastil za nadzor in kontrolo skladnosti s pravili o varstvu osebnih podatkov v državah članicah in enakovrednih sankcij za kršitve.
(Uvodna izjava 13)
Da bi zagotovili dosledno raven varstva posameznikov po vsej Uniji in se izognili razlikam, ki ovirajo prosti pretok osebnih podatkov na notranjem trgu, je potrebna uredba, ki bo zagotovila pravno varnost in preglednost za gospodarske subjekte, vključno z mikro, malimi in srednje velikimi podjetji, da bi posameznikom v vseh državah članicah zagotovili enako raven izvršljivih pravic, obveznosti in odgovornosti za upravljavce in obdelovalce ter da bi zagotovili dosleden nadzor nad obdelavo osebnih podatkov in enakovredne kazni v vseh državah članicah, pa tudi učinkovito sodelovanje med nadzornimi organi različnih držav članic. Za pravilno delovanje notranjega trga je nujno, da prosti pretok osebnih podatkov v Uniji ni niti omejen niti prepovedan zaradi razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov. …
(Uvodna izjava 14) Zaščita, ki jo zagotavlja ta uredba, bi se morala uporabljati za fizične osebe, ne glede na njihovo državljanstvo ali kraj prebivališča, v zvezi z obdelavo njihovih osebnih podatkov. Ta uredba ne zajema obdelave osebnih podatkov v zvezi s pravnimi osebami, …
(Uvodna izjava 17) Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta se uporablja za obdelavo osebnih podatkov s strani institucij, organov, uradov in agencij Unije. …
(Uvodna izjava 19) Varstvo posameznikov pri obdelavi osebnih podatkov s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem ter prostim pretokom takih podatkov, je predmet posebnega pravnega akta Unije. …
(Uvodna izjava 22) Vsaka obdelava osebnih podatkov, ki poteka v okviru dejavnosti ustanovitve upravljavca ali obdelovalca na ozemlju Unije, bi se morala izvajati v skladu s to uredbo, ne glede na to, ali sama obdelava poteka v Uniji ali ne. Ustanovitev predpostavlja učinkovito in dejansko izvajanje dejavnosti prek stabilne ureditve. …
(Uvodna izjava 23) Da bi zagotovili, da posameznik ni izključen iz varstva, do katerega je upravičen v skladu s to uredbo, bi morala biti obdelava osebnih podatkov v zvezi s posamezniki, na katere se nanašajo osebni podatki in so v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, predmet te uredbe, kadar so dejavnosti obdelave povezane s ponujanjem blaga ali storitev tem posameznikom, na katere se nanašajo osebni podatki, ne glede na to, ali je potrebno plačilo ali ne. Da bi ugotovili, ali tak upravljavec ali obdelovalec ponuja blago ali storitve posameznikom, na katere se nanašajo osebni podatki in so v Uniji, bi bilo treba ugotoviti, ali je jasno, da namerava upravljavec ali obdelovalec ponujati storitve posameznikom, na katere se nanašajo osebni podatki, v eni ali več državah članicah Unije. …
(Uvodna izjava 24) Obdelava osebnih podatkov posameznikov, na katere se nanašajo osebni podatki in so v Uniji, s strani upravljavca ali obdelovalca, ki nima sedeža v Uniji, bi morala biti prav tako predmet te uredbe, kadar je taka obdelava povezana s spremljanjem vedenja teh posameznikov, na katere se nanašajo osebni podatki, kolikor se nanaša na njihovo vedenje v Uniji. Da bi ugotovili, ali se dejavnost obdelave lahko šteje za spremljanje vedenja posameznikov, na katere se nanašajo osebni podatki, bi bilo treba ugotoviti, ali se posameznikom sledi na internetu, kar vključuje morebitno poznejšo uporabo tehnik za obdelavo osebnih podatkov, ki vključujejo profiliranje posameznika, zlasti za sprejemanje odločitev v zvezi z njim ali za analizo ali napovedovanje njegovih preferenc, vedenja in stališč.
(Uvodna izjava 25) Kadar se pravo države članice uporablja na podlagi mednarodnega javnega prava, bi se morala ta uredba uporabljati tudi za upravljavca, ki nima sedeža v Uniji, …
(Uvodna izjava 26) Načela varstva podatkov bi se morala uporabljati za vse informacije, ki se nanašajo na določeno ali določljivo fizično osebo. Osebni podatki, ki so bili psevdonimizirani in bi jih bilo mogoče z dodatnimi informacijami pripisati fizični osebi, bi se morali šteti za informacije, ki se nanašajo na določljivo fizično osebo. Pri ugotavljanju, ali je fizična oseba določljiva, bi bilo treba upoštevati vsa sredstva, za katera je razumno verjetno, da jih bo upravljavec uporabil …
(Uvodna izjava 27) Ta uredba se ne uporablja za osebne podatke umrlih oseb. Države članice lahko določijo pravila glede obdelave osebnih podatkov umrlih oseb.
(Uvodna izjava 28) Psevdonimizacija osebnih podatkov lahko zmanjša tveganja za posameznike, na katere se nanašajo osebni podatki, in pomaga upravljavcem in obdelovalcem pri izpolnjevanju njihovih obveznosti glede varstva podatkov. Izrecna uvedba psevdonimizacije v tej uredbi ni namenjena izključitvi drugih ukrepov za varstvo podatkov.
(Uvodna izjava 29) Da bi spodbudili psevdonimizacijo pri obdelavi osebnih podatkov, bi morali biti ukrepi psevdonimizacije mogoči znotraj istega upravljavca, hkrati pa bi morali omogočati splošno analizo, kadar je upravljavec sprejel potrebne tehnične in organizacijske ukrepe za zagotovitev, da se za zadevno obdelavo izvaja ta uredba, in da se dodatne informacije, ki omogočajo pripisovanje osebnih podatkov določenemu posamezniku, na katerega se nanašajo osebni podatki, hranijo ločeno. Upravljavec, ki obdeluje osebne podatke, bi moral navesti osebe, ki so za ta namen pooblaščene znotraj istega upravljavca.
(Uvodna izjava 30) Posamezniki so lahko prek naprav, aplikacij, orodij in protokolov, ki jih uporabljajo, povezani s spletnimi identifikatorji, kot so naslovi IP in piškotki, ali drugimi identifikatorji, na primer oznakami za radiofrekvenčno identifikacijo. Ti identifikatorji lahko pustijo sledi, ki se, zlasti v kombinaciji z enoličnimi identifikatorji in drugimi informacijami, ki jih prejmejo strežniki, lahko uporabijo za ustvarjanje profilov posameznikov in za identifikacijo teh posameznikov.
(Uvodna izjava 31) Javni organi, katerim se osebni podatki razkrijejo na podlagi zakonske obveznosti za opravljanje njihovih uradnih funkcij, kot so davčni in carinski organi, enote za finančne preiskave, neodvisni upravni organi ali organi finančnega trga, odgovorni za regulacijo in nadzor trgov vrednostnih papirjev, se ne bi smeli šteti za prejemnike, če prejmejo osebne podatke, ki so potrebni za izvedbo določene preiskave v javnem interesu, …
(Uvodna izjava 32) Privolitev bi morala biti podana z jasnim pritrdilnim dejanjem, s katerim posameznik, na katerega se nanašajo osebni podatki, prostovoljno, na specifičen, informiran in nedvoumen način izrazi soglasje za obdelavo osebnih podatkov, ki se nanj nanašajo, na primer s pisno izjavo, vključno z elektronsko, ali ustno izjavo. To je lahko na primer z označitvijo polja ob obisku spletnega mesta, z izbiro določenih tehničnih nastavitev za storitve informacijske družbe ali z nadaljnjo izjavo ali ravnanjem, ki v tem kontekstu jasno kaže, da se posameznik, na katerega se nanašajo osebni podatki, strinja s predlagano obdelavo njegovih osebnih podatkov. Zato ni mogoče domnevati, da privolitev temelji na molku, privzetih označbah ali neaktivnosti. …
(Uvodna izjava 36) Glavni sedež upravljavca v Uniji bi moral biti kraj njegove osrednje uprave v Uniji, razen če se odločitve o namenih in sredstvih obdelave osebnih podatkov sprejemajo v drugem sedežu upravljavca v Uniji, v tem primeru bi bilo treba ta drug sedež šteti za glavni sedež. Glavni sedež upravljavca v Uniji bi bilo treba določiti na podlagi objektivnih meril in bi moral vključevati učinkovito in dejansko izvajanje upravljavskih dejavnosti, ki določajo glavne odločitve o namenih in sredstvih obdelave znotraj stabilne ureditve. …
(Uvodna izjava 37) Skupina podjetij bi morala zajemati obvladujoče podjetje in njegova odvisna podjetja, pri čemer je prvo tisto, ki lahko izvaja prevladujoč vpliv nad drugimi podjetji na primer zaradi lastništva kapitala, finančne udeležbe ali pravil, ki ga urejajo, ali pooblastila za izvrševanje pravil o varstvu osebnih podatkov. Podjetje, ki nadzoruje obdelavo osebnih podatkov v podjetjih, ki so z njim povezana, bi bilo treba šteti za skupino podjetij, ki skupaj s temi podjetji tvori skupino podjetij.
(Uvodna izjava 38) Otroci si zaslužijo posebno varstvo v zvezi z osebnimi podatki, ker se morda manj zavedajo tveganj, posledic in zaščitnih ukrepov ter svojih pravic v zvezi z obdelavo osebnih podatkov. To posebno varstvo bi se moralo nanašati zlasti na uporabo osebnih podatkov v zvezi z otroki za namene trženja ali za ustvarjanje osebnih ali uporabniških profilov ter na zbiranje osebnih podatkov v zvezi z otroki pri uporabi storitev, ki se ponujajo neposredno otroku. Soglasje nosilca starševske odgovornosti ne bi smelo biti potrebno v okviru preventivnih ali svetovalnih storitev, ki se ponujajo neposredno otroku.
(Uvodna izjava 39) Vsaka obdelava osebnih podatkov mora biti zakonita in poštena. Dejstvo, da se osebni podatki o posameznikih zbirajo, uporabljajo, dostopajo do njih ali kako drugače obdelujejo, in obseg, v katerem se taki podatki obdelujejo ali se bodo obdelovali, mora biti za zadevne posameznike pregledno. Načelo preglednosti zahteva, da so vse informacije in sporočila v zvezi z obdelavo takšnih osebnih podatkov lahko dostopne, lahko razumljive ter oblikovane v jasnem in preprostem jeziku. To načelo velja zlasti za informacije, ki so posredovane posameznikom, na katere se nanašajo osebni podatki, o identiteti upravljavca in namenih obdelave, pa tudi za druge informacije, katerih namen je zagotoviti pošteno in pregledno obdelavo v zvezi z zadevnimi posamezniki in njihovo pravico do potrditve in sporočila o tem, ali se njihovi osebni podatki obdelujejo. Posameznike je treba obveščati o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo osebnih podatkov ter o načinih uveljavljanja njihovih pravic v zvezi s tako obdelavo. …
(Uvodna izjava 40) Da bi bila obdelava osebnih podatkov zakonita, mora temeljiti na privolitvi posameznika, na katerega se nanašajo osebni podatki, ali na kateri koli drugi zakoniti podlagi, določeni z zakonom, …
(Uvodna izjava 42) Kadar obdelava temelji na privolitvi posameznika, na katerega se nanašajo osebni podatki, bi moral upravljavec biti sposoben dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo. …
(Uvodna izjava 43) Da bi zagotovili, da je privolitev dana prostovoljno, ta ne bi smela biti veljavna pravna podlaga za obdelavo osebnih podatkov v posameznem primeru, ko obstaja očitno neravnovesje med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem, zlasti kadar je upravljavec javni organ in je malo verjetno, da je bila privolitev dana prostovoljno v vseh okoliščinah te posebne situacije. Šteje se, da privolitev ni bila dana prostovoljno, če ločene privolitve ni mogoče dati za različne postopke obdelave osebnih podatkov, čeprav bi bilo to v posameznem primeru primerno, ali če je izpolnitev pogodbe, vključno z opravljanjem storitve, pogojena s privolitvijo, čeprav privolitev za tako izpolnitev ni potrebna.
(Uvodna izjava 44) Obdelava bi se morala šteti za zakonito, kadar je potrebna za izpolnitev pogodbe ali namen sklenitve pogodbe.
(Uvodna izjava 45) Kadar se obdelava izvaja v skladu z zakonsko obveznostjo, ki velja za upravljavca, ali kadar je potrebna za opravljanje naloge, ki se izvaja v javnem interesu ali pri izvajanju javne oblasti, bi morala imeti obdelava podlago v pravu Unije ali pravu države članice. …
(Uvodna izjava 46) Obdelava osebnih podatkov bi morala biti zakonita tudi, kadar je potrebna za zaščito interesa, ki je bistvenega pomena za življenje posameznika, na katerega se nanašajo osebni podatki, ali življenja drugega posameznika. Obdelava osebnih podatkov na podlagi vitalnega interesa drugega posameznika bi se načeloma morala izvajati le, kadar obdelava očitno ne more temeljiti na drugi pravni podlagi. …
(Uvodna izjava 47) Pravna podlaga za obdelavo so lahko legitimni interesi upravljavca, vključno z interesi upravljavca, ki mu se lahko razkrijejo osebni podatki, ali tretje osebe, razen če prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, pri čemer se upoštevajo razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, ki temeljijo na njihovem razmerju z upravljavcem. …
(Uvodna izjava 48) Upravljavci, ki so del skupine podjetij ali obratov, povezanih s centralnim organom, imajo lahko legitimni interes za posredovanje osebnih podatkov znotraj skupine podjetij za interne administrativne namene, vključno z obdelavo osebnih podatkov v zvezi s strankami ali zaposlenimi. …
(Uvodna izjava 49) Obdelava osebnih podatkov v obsegu, ki je nujno potreben in sorazmeren za zagotavljanje varnosti omrežij in informacij, tj. sposobnosti omrežja ali informacijskega sistema, da na določeni ravni zaupanja prenese naključne dogodke ali nezakonita ali zlonamerna dejanja, ki ogrožajo razpoložljivost, pristnost, celovitost in zaupnost shranjenih ali posredovanih osebnih podatkov, pa tudi varnost povezanih storitev, ki jih ponujajo ali so dostopne prek takšnih omrežij in sistemov, s strani javnih organov, skupin za odzivanje na računalniške grožnje (CERT), skupin za odzivanje na računalniške varnostne incidente (CSIRT), ponudnikov elektronskih komunikacijskih omrežij in storitev ter ponudnikov varnostnih tehnologij in storitev, predstavlja legitimni interes zadevnega upravljavca. To bi lahko na primer vključevalo preprečevanje nepooblaščenega dostopa do elektronskih komunikacijskih omrežij in distribucije zlonamerne kode ter preprečevanje napadov zavrnitve storitve in škode na računalniških in elektronskih komunikacijskih sistemih.
(Uvodna izjava 50) Obdelava osebnih podatkov za namene, ki niso tisti, za katere so bili osebni podatki prvotno zbrani, bi morala biti dovoljena le, če je združljiva z nameni, za katere so bili osebni podatki prvotno zbrani. …
Kadar je posameznik, na katerega se nanašajo osebni podatki, dal privolitev ali obdelava temelji na pravu Unije ali pravu države članice, ki predstavlja potreben in sorazmeren ukrep v demokratični družbi za zagotavljanje zlasti pomembnih ciljev splošnega javnega interesa, bi moral imeti upravljavec možnost nadaljnje obdelave osebnih podatkov ne glede na združljivost namenov. …
(Uvodna izjava 51) Osebni podatki, ki so po svoji naravi še posebej občutljivi z vidika temeljnih pravic in svoboščin, si zaslužijo posebno zaščito, saj bi lahko kontekst, v katerem se obdelujejo, povzročil znatna tveganja za te pravice in svoboščine. Takšni osebni podatki bi morali vključevati osebne podatke, ki razkrivajo rasno ali etnično poreklo, pri čemer se razume, da uporaba izraza „rasno poreklo“ v tej uredbi ne pomeni, da Unija podpira teorije o obstoju različnih človeških ras. …
(Uvodna izjava 52) Od prepovedi obdelave posebnih kategorij osebnih podatkov bi morala biti dovoljena tudi, kadar tako določa pravo Unije ali držav članic, in ob upoštevanju ustreznih zaščitnih ukrepov, da se zaščitijo osebni podatki in druge temeljne pravice, kadar to zahteva javni interes, vključno z obdelavo osebnih podatkov na področju delovnega prava in prava socialnega varstva, vključno s pokojninami, ter za namene varnosti, zdravstvenega nadzora in opozarjanja, preprečevanja ali obvladovanja nalezljivih bolezni in drugih resnih groženj za zdravje. …
(Uvodna izjava 53) Posebne kategorije osebnih podatkov, ki si zaslužijo višje varstvo, bi se smele obdelovati le za zdravstvene namene, kadar je to potrebno za doseganje teh namenov v interesu posameznikov in družbe kot celote, zlasti v okviru upravljanja zdravstvenih ali socialnih storitev in sistemov, vključno z obdelavo takih podatkov s strani nacionalnih organov upravljanja in centralnih zdravstvenih organov, za namene nadzora kakovosti, obveščanja vodij in splošnega nadzora nad zdravstvenim ali socialnim sistemom na nacionalni in lokalni ravni ter za zagotavljanje kontinuitete zdravstvenega ali socialnega varstva in čezmejnega zdravstvenega varstva ali za namene zdravstvene varnosti, nadzora in opozarjanja ali za namene arhiviranja v javnem interesu, za namene znanstvenih ali zgodovinskih raziskav ali za statistične namene na podlagi prava Unije ali držav članic, ki mora izpolnjevati cilj javnega interesa, pa tudi za študije, ki se izvajajo v javnem interesu na področju javnega zdravja. …
(Uvodna izjava 54) Obdelava posebnih kategorij osebnih podatkov je lahko potrebna zaradi javnega interesa na področju javnega zdravja brez soglasja posameznika, na katerega se nanašajo osebni podatki. … Takšna obdelava podatkov o zdravju zaradi javnega interesa ne sme povzročiti, da tretje osebe, kot so delodajalci ali zavarovalnice in banke, obdelujejo osebne podatke za druge namene.
(Uvodna izjava 56) Kadar delovanje demokratičnega sistema v državi članici v okviru dejavnosti, povezanih z volitvami, od političnih strank zahteva zbiranje osebnih podatkov v zvezi s političnimi mnenji posameznikov, se obdelava takih podatkov lahko dovoli iz razlogov javnega interesa, če so zagotovljeni ustrezni zaščitni ukrepi.
(Uvodna izjava 57) Če osebni podatki, ki jih obdeluje, ne omogočajo identifikacije posameznika, upravljavec ne bi smel biti dolžan pridobiti dodatnih informacij za identifikacijo posameznika, na katerega se nanašajo osebni podatki, izključno zaradi skladnosti z določbo te uredbe. Vendar upravljavec ne bi smel zavrniti dodatnih informacij, ki jih posameznik, na katerega se nanašajo osebni podatki, posreduje, da bi mu olajšal uveljavljanje pravic. Identifikacija bi morala vključevati digitalno identifikacijo posameznika, na katerega se nanašajo osebni podatki, na primer z mehanizmom za preverjanje pristnosti, kot so iste poverilnice, ki jih posameznik, na katerega se nanašajo osebni podatki, uporablja za prijavo v spletno storitev, ki jo ponuja upravljavec.
(Uvodna izjava 58) Načelo preglednosti zahteva, da so vse informacije, naslovljene na javnost ali posameznika, na katerega se nanašajo osebni podatki, jedrnate, lahko dostopne in razumljive ter oblikovane v jasnih in preprostih izrazih ter po potrebi dodatno ponazorjene z vizualnimi elementi. Takšne informacije bi se lahko zagotovile v elektronski obliki, na primer prek spletnega mesta, kadar so naslovljene na javnost. … Ker si otroci zaslužijo posebno zaščito, bi morale biti vse informacije in komunikacija, kadar se obdelava nanaša nanje, napisane v jasnih in preprostih izrazih, ki jih otrok zlahka razume.
(Uvodna izjava 59) Zagotoviti bi bilo treba ureditve, ki bi posamezniku, na katerega se nanašajo osebni podatki, olajšale uveljavljanje njegovih pravic v skladu s to uredbo, vključno z možnostjo zahtevanja in, kjer je to primerno, brezplačne pridobitve zlasti dostopa do osebnih podatkov ter njihovega popravka ali izbrisa ter uveljavljanja pravice do ugovora. Upravljavec bi moral zagotoviti tudi možnosti za elektronsko oddajo zahtev, zlasti kadar se osebni podatki obdelujejo elektronsko. Upravljavec bi moral biti dolžan na zahteve posameznika, na katerega se nanašajo osebni podatki, odgovoriti brez nepotrebnega odlašanja in najpozneje v enem mesecu ter navesti razloge za svoj odgovor, kadar takim zahtevam ne namerava ugoditi.
(Uvodna izjava 60) Načelo poštene in pregledne obdelave zahteva, da je posameznik, na katerega se nanašajo osebni podatki, obveščen o obstoju obdelave in njenih namenih. Upravljavec bi moral posamezniku, na katerega se nanašajo osebni podatki, zagotoviti vse druge informacije, potrebne za zagotovitev poštene in pregledne obdelave, pri čemer bi moral upoštevati posebne okoliščine in kontekst, v katerem se osebni podatki obdelujejo. Poleg tega bi moral biti posameznik, na katerega se nanašajo osebni podatki, obveščen o obstoju profiliranja in o posledicah le-tega. Kadar se od posameznika, na katerega se nanašajo osebni podatki, zbirajo osebni podatki, je pomembno, da posameznik, na katerega se nanašajo osebni podatki, ve tudi, ali je dolžan posredovati osebne podatke in o posledicah, če jih ne posreduje. …
(Uvodna izjava 61) Informacije o obdelavi osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, bi mu morale biti posredovane v času, ko se od njega zberejo osebni podatki, ali, če se osebni podatki pridobijo iz drugega vira, v razumnem roku, odvisno od okoliščin posameznega primera. Kadar se osebni podatki lahko zakonito razkrijejo drugemu prejemniku, bi moral biti posameznik, na katerega se nanašajo osebni podatki, obveščen o času, ko so mu bili osebni podatki prvič razkriti. …
(Uvodna izjava 62) Vendar pa ni treba naložiti obveznosti zagotavljanja informacij, kadar posameznik, na katerega se nanašajo osebni podatki, te informacije že ima, kadar je beleženje ali razkritje osebnih podatkov izrecno določeno z zakonom ali kadar se zagotavljanje informacij posamezniku, na katerega se nanašajo osebni podatki, izkaže za nemogoče ali bi zahtevalo nesorazmeren napor. …
(Uvodna izjava 63) Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico do dostopa do zbranih osebnih podatkov o njem in to pravico uveljavljati enostavno in v razumnih časovnih presledkih, da se seznani z obdelavo in preveri njeno zakonitost. To vključuje pravico posameznikov, na katere se nanašajo osebni podatki, do dostopa do podatkov o njihovem zdravju, na primer podatkov iz njihovih zdravstvenih kartotek, ki vsebujejo informacije, kot so diagnoze, rezultati pregledov, mnenja lečečih zdravnikov in kakršno koli zdravljenje ali poseg, ki ga je izvedel. V skladu s tem bi moral imeti vsak posameznik, na katerega se nanašajo osebni podatki, pravico vedeti in biti obveščen zlasti o namenih obdelave osebnih podatkov, če je mogoče o trajanju obdelave teh osebnih podatkov, identiteti prejemnikov teh osebnih podatkov, logiki, ki je vključena v kakršno koli avtomatizirano obdelavo, in možnih posledicah takšne obdelave, vsaj v primeru profiliranja. …
(Uvodna izjava 64) Upravljavec bi moral sprejeti vse razumne ukrepe za preverjanje identitete posameznika, na katerega se nanašajo osebni podatki in ki zahteva dostop do podatkov, zlasti v okviru spletnih storitev in identifikatorjev. Upravljavec ne bi smel hraniti osebnih podatkov zgolj zato, da bi lahko odgovoril na morebitne zahteve.
(Uvodna izjava 65) Posamezniki, na katere se nanašajo osebni podatki, bi morali imeti pravico do popravka osebnih podatkov v zvezi z njimi in „pravico do pozabe“, kadar hramba teh podatkov krši to uredbo ali pravo Unije ali pravo države članice, ki velja za upravljavca. Posamezniki, na katere se nanašajo osebni podatki, bi morali imeti zlasti pravico do izbrisa svojih osebnih podatkov in njihove prepovedi obdelave, kadar taki osebni podatki niso več potrebni za namene, za katere so bili zbrani ali kako drugače obdelani, kadar so preklicali svojo privolitev v obdelavo ali ugovarjajo obdelavi osebnih podatkov v zvezi z njimi ali kadar je obdelava njihovih osebnih podatkov kako drugače v nasprotju s to uredbo. Ta pravica je pomembna zlasti, kadar je posameznik, na katerega se nanašajo osebni podatki, dal privolitev, ko je bil otrok in se ni v celoti zavedal tveganj, povezanih z obdelavo, nato pa želi, da se ti osebni podatki izbrišejo, zlasti na internetu. …
(Uvodna izjava 66) Da bi okrepili digitalno „pravico do pozabe“, bi bilo treba razširiti tudi pravico do izbrisa, tako da bi moral upravljavec, ki je osebne podatke objavil, upravljavce, ki obdelujejo te osebne podatke, obvestiti, da je treba izbrisati vse povezave do teh podatkov ali njihove kopije ali reprodukcije. …
(Uvodna izjava 67) Metode za omejitev obdelave osebnih podatkov bi lahko med drugim vključevale začasen prenos izbranih podatkov v drug sistem za obdelavo, onemogočanje dostopa do izbranih osebnih podatkov uporabnikom ali začasno odstranitev objavljenih podatkov s spletnega mesta. V avtomatiziranih sistemih za zbiranje podatkov bi morala biti omejitev obdelave načeloma zagotovljena s tehničnimi sredstvi tako, da osebni podatki niso predmet nadaljnjih postopkov obdelave in jih ni mogoče spremeniti. Dejstvo, da je obdelava osebnih podatkov omejena, bi moralo biti jasno navedeno v sistemu za zbiranje podatkov.
(Uvodna izjava 68) Da bi posamezniki, na katere se nanašajo osebni podatki, še bolj okrepili nadzor nad lastnimi podatki, bi morali imeti tudi pravico, kadar se osebni podatki obdelujejo avtomatizirano, da prejmejo osebne podatke, ki se nanašajo nanje in so jih posredovali upravljavcu, v strukturirani, splošno uporabljeni, strojno berljivi in interoperabilni obliki ter da te podatke posredujejo drugemu upravljavcu. Upravljavce bi bilo treba spodbujati k razvoju interoperabilnih oblik, ki omogočajo prenosljivost podatkov. …
(Uvodna izjava 69) Kadar bi se osebni podatki lahko zakonito obdelovali, ker je obdelava potrebna za opravljanje naloge, ki se izvaja v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu, ali zaradi legitimnih interesov upravljavca ali tretje osebe, bi morali imeti posamezniki, na katere se nanašajo osebni podatki, kljub temu pravico do ugovora obdelavi katerih koli osebnih podatkov v zvezi z njihovim posebnim položajem. Dokazno breme, da njegovi nujni legitimni interesi prevladajo nad interesi ali temeljnimi pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, bi moralo nositi upravljavec.
(Uvodna izjava 70) Kadar se osebni podatki obdelujejo za namene neposrednega trženja, bi moral imeti posameznik, na katerega se nanašajo osebni podatki, pravico, da kadar koli in brezplačno ugovarja takšni obdelavi, vključno s profiliranjem, če je povezano s takim neposrednim trženjem, bodisi za začetno obdelavo bodisi za nadaljnjo obdelavo. …
(Uvodna izjava 71) Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da ni predmet odločitve, ki lahko vključuje ukrep, ki vključuje oceno nekaterih osebnih vidikov v zvezi z njim, ki temelji izključno na avtomatizirani obdelavi in ki ima pravne učinke v zvezi z njim ali nanj podobno pomembno vpliva, kot je samodejna zavrnitev spletne vloge za kredit ali spletne prakse zaposlovanja brez kakršnega koli človeškega posredovanja. Ta vrsta obdelave vključuje „profiliranje“, ki je sestavljeno iz katere koli oblike avtomatizirane obdelave osebnih podatkov za oceno osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali napovedovanje vidikov v zvezi z uspešnostjo posameznika pri delu, ekonomskim položajem, zdravjem, osebnimi preferencami ali interesi, zanesljivostjo ali vedenjem ali lokacijo in gibanjem, če to ima pravne učinke v zvezi z posameznikom, na katerega se nanašajo osebni podatki, ali nanj podobno pomembno vpliva. …
(Uvodna izjava 73) Omejitve nekaterih posebnih načel, pa tudi pravice do obveščenosti, pravice do dostopa do osebnih podatkov, pravice do popravka ali izbrisa takih podatkov, pravice do prenosljivosti podatkov, pravice do ugovora, odločitve na podlagi profiliranja, pa tudi obveščanja posameznika, na katerega se nanašajo osebni podatki, o kršitvi varstva osebnih podatkov in nekaterih s tem povezanih obveznosti upravljavcev lahko določi pravo Unije ali države članice, …
(Uvodna izjava 74) Primerno je določiti odgovornost upravljavca za vsako obdelavo osebnih podatkov, ki jo izvaja upravljavec ali se izvaja v njegovem imenu. Zlasti je pomembno, da mora upravljavec izvajati ustrezne in učinkovite ukrepe ter da je sposoben dokazati skladnost dejavnosti obdelave s to uredbo, vključno z učinkovitostjo ukrepov. …
(Uvodna izjava 75) Tveganja za pravice in svoboščine posameznikov, katerih verjetnost in resnost se razlikujeta, lahko izhajajo iz obdelave osebnih podatkov, ki lahko povzroči fizično, materialno ali nepremoženjsko škodo, zlasti: kadar lahko obdelava povzroči diskriminacijo, krajo identitete ali goljufijo, finančno izgubo, škodo ugledu, izgubo zaupnosti podatkov, zaščitenih s poslovno skrivnostjo, nepooblaščen razveljavitev postopka psevdonimizacije ali katero koli drugo znatno ekonomsko ali socialno škodo; kadar so posamezniki, na katere se nanašajo osebni podatki, lahko prikrajšani za svoje pravice in svoboščine ali jim je preprečen nadzor nad njihovimi osebnimi podatki; kadar obdelava zadeva osebne podatke, ki razkrivajo rasno ali etnično poreklo, politična mnenja, vero ali filozofska prepričanja, članstvo v sindikatu, pa tudi genetske podatke, podatke o zdravju ali podatke o spolnem življenju ali podatke v zvezi s kazenskimi obsodbami in prekrški ali s tem povezane varnostne ukrepe; kadar se ocenjujejo osebni vidiki, zlasti v okviru analiziranja ali napovedovanja elementov v zvezi z delovno uspešnostjo, ekonomskim položajem, zdravjem, osebnimi preferencami ali interesi, zanesljivostjo ali vedenjem, lokacijo ali gibanjem, z namenom ustvarjanja ali uporabe individualnih profilov; kadar obdelava zadeva osebne podatke v zvezi z ranljivimi posamezniki, zlasti otroki; ali kadar obdelava zadeva veliko količino osebnih podatkov in vpliva na veliko število posameznikov, na katere se nanašajo osebni podatki.
(Uvodna izjava 76) Verjetnost in resnost tveganja za pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, je treba določiti glede na naravo, obseg, kontekst in namene obdelave. …
(Uvodna izjava 78) Varstvo pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov zahteva sprejetje ustreznih tehničnih in organizacijskih ukrepov za zagotovitev izpolnjevanja zahtev te uredbe. Da bi lahko upravljavec dokazal skladnost s to uredbo, bi moral sprejeti notranja pravila in izvajati ukrepe, ki spoštujejo zlasti načela vgrajenega varstva podatkov in privzetega varstva podatkov. Takšni ukrepi bi lahko med drugim vključevali zmanjšanje obdelave osebnih podatkov, psevdonimizacijo osebnih podatkov, kjer je to mogoče, zagotavljanje preglednosti glede funkcij in obdelave osebnih podatkov, omogočanje posamezniku, na katerega se nanašajo osebni podatki, nadzor nad obdelavo podatkov, omogočanje upravljavcu, da izvaja ali izboljšuje varnostne funkcije. Pri razvoju, načrtovanju, izbiri in uporabi aplikacij, storitev in izdelkov, ki se zanašajo na obdelavo osebnih podatkov ali obdelujejo osebne podatke za opravljanje svojih funkcij, bi bilo treba proizvajalce izdelkov, ponudnike storitev in proizvajalce aplikacij spodbujati, da pri razvoju in načrtovanju takšnih izdelkov, storitev in aplikacij upoštevajo pravico do varstva podatkov ter ob upoštevanju najsodobnejše tehnologije zagotovijo, da lahko upravljavci in obdelovalci izpolnjujejo svoje obveznosti glede varstva podatkov. Načela vgrajenega varstva podatkov in privzetega varstva podatkov bi bilo treba upoštevati tudi pri javnem naročanju.
(Uvodna izjava 79) Zaščita pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, ter odgovornost upravljavcev in obdelovalcev, vključno v okviru nadzora nadzornih organov in ukrepov, ki jih ti sprejmejo, zahteva jasno razdelitev odgovornosti v skladu s to uredbo, …
(Uvodna izjava 80) Kadar upravljavec ali obdelovalec, ki nima sedeža v Uniji, obdeluje osebne podatke posameznikov, na katere se nanašajo osebni podatki in so v Uniji, in so njegove dejavnosti obdelave povezane s ponujanjem blaga ali storitev tem posameznikom v Uniji, ne glede na to, ali je potrebno plačilo ali ne, ali s spremljanjem njihovega vedenja, kolikor se to dogaja v Uniji, bi moral upravljavec ali obdelovalec imenovati predstavnika, razen če je obdelava občasna, ne vključuje obdelave posebnih kategorij osebnih podatkov v velikem obsegu ali obdelave osebnih podatkov v zvezi s kazenskimi obsodbami in prekrški ter ni verjetno, da bi povzročila tveganje za pravice in svoboščine posameznikov, ob upoštevanju narave, konteksta, obsega in namenov obdelave, ali pa je upravljavec javni organ ali telo. Predstavnik bi moral delovati v imenu upravljavca ali obdelovalca in z njim se lahko obrne kateri koli nadzorni organ. Predstavnika bi moral upravljavec ali obdelovalec izrecno imenovati s pisnim pooblastilom, da deluje v njegovem imenu v zvezi z njegovimi obveznostmi iz te uredbe. Imenovanje tega predstavnika ne posega v odgovornosti upravljavca ali obdelovalca v skladu s to uredbo. …
(Uvodna izjava 81) Da bi zagotovili izpolnjevanje zahtev te uredbe v okviru obdelave, ki jo izvaja obdelovalec v imenu upravljavca, bi moral upravljavec, kadar slednji obdelovalcu zaupa dejavnosti obdelave, uporabljati le obdelovalce, ki zagotavljajo zadostna jamstva, zlasti glede strokovnega znanja, zanesljivosti in virov, za izvajanje tehničnih in organizacijskih ukrepov, ki bodo izpolnjevali zahteve te uredbe, vključno z varnostjo obdelave. …
(Uvodna izjava 82) Da bi upravljavec ali obdelovalec dokazal skladnost s to uredbo, bi moral voditi evidence o dejavnostih obdelave, za katere je odgovoren. …
(Uvodna izjava 83) Za zagotovitev varnosti in preprečevanje obdelave, ki krši to uredbo, je pomembno, da upravljavec ali obdelovalec oceni tveganja, povezana z obdelavo, in izvede ukrepe za njihovo ublažitev, kot je šifriranje. Ti ukrepi bi morali zagotoviti ustrezno raven varnosti, vključno z zaupnostjo, ob upoštevanju najsodobnejše tehnologije in stroškov izvajanja v povezavi s tveganji in naravo osebnih podatkov, ki jih je treba zaščititi. …
(Uvodna izjava 84) Da bi bolje zagotovili skladnost s to uredbo, kadar je verjetno, da bodo postopki obdelave povzročili veliko tveganje za pravice in svoboščine posameznikov, bi moral biti upravljavec odgovoren za izvedbo ocene učinka na varstvo podatkov, da se oceni zlasti izvor, narava, specifičnost in resnost tega tveganja. Izid te ocene bi bilo treba upoštevati pri določanju ustreznih ukrepov za dokazovanje, da je obdelava osebnih podatkov skladna s to uredbo. Kadar ocena učinka na varstvo podatkov pokaže, da postopki obdelave podatkov vključujejo veliko tveganje, ki ga upravljavec ne more ublažiti z ustreznimi ukrepi, pri čemer se upoštevajo razpoložljive tehnike in stroški, povezani z njihovim izvajanjem, se je treba pred obdelavo posvetovati z nadzornim organom.
(Uvodna izjava 85) Kršitev varnosti osebnih podatkov lahko, če se ne sprejmejo pravočasni in ustrezni ukrepi, povzroči fizično, materialno ali moralno škodo zadevnim posameznikom, kot so izguba nadzora nad njihovimi osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja ali goljufija identitete, finančna izguba, nepooblaščen razveljavitev postopka psevdonimizacije, škoda ugledu, izguba zaupnosti osebnih podatkov, zaščitenih s poslovno skrivnostjo, ali druga znatna gospodarska ali družbena škoda. Zato mora upravljavec takoj, ko izve za kršitev varnosti osebnih podatkov, o tem brez nepotrebnega odlašanja in, kjer je mogoče, najpozneje v 72 urah po tem, ko je zanjo izvedel, obvestiti nadzorni organ, razen če lahko v skladu z načelom odgovornosti dokaže, da zadevna kršitev verjetno ne bo povzročila tveganja za pravice in svoboščine posameznikov. Če takšnega obvestila ni mogoče podati v 72 urah, je treba obvestilu priložiti razloge za zamudo, informacije pa se lahko posredujejo postopno brez nadaljnjega nepotrebnega odlašanja.
(Uvodna izjava 86) Upravljavec bi moral posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja obvestiti o kršitvi varstva osebnih podatkov, kadar je verjetno, da bo kršitev povzročila veliko tveganje za pravice in svoboščine posameznika, da lahko posameznik, na katerega se nanašajo osebni podatki, sprejme ustrezne previdnostne ukrepe. …
(Uvodna izjava 87) Preveriti je treba, ali so bili uvedeni vsi ustrezni tehnični in organizacijski zaščitni ukrepi, da se takoj ugotovi, ali je prišlo do kršitve varnosti osebnih podatkov, in da se o tem nemudoma obvesti nadzorni organ in posameznik, na katerega se nanašajo osebni podatki. …
(Uvodna izjava 91) To bi moralo veljati zlasti za obsežne postopke obdelave, katerih cilj je obdelava znatne količine osebnih podatkov na regionalni, nacionalni ali nadnacionalni ravni, ki lahko vplivajo na veliko število posameznikov, na katere se nanašajo osebni podatki, in ki bodo verjetno povzročili veliko tveganje, na primer zaradi njihove občutljivosti, kadar se v skladu z najsodobnejšo tehnologijo v velikem obsegu uporablja nova tehnika, pa tudi za druge postopke obdelave, ki povzročajo veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zlasti kadar je zaradi takšnih postopkov posameznikom, na katere se nanašajo osebni podatki, težje uveljavljati svoje pravice. Oceno učinka na varstvo podatkov bi bilo treba izvesti tudi, kadar se osebni podatki obdelujejo za namene sprejemanja odločitev v zvezi z določenimi posamezniki po sistematični in poglobljeni oceni osebnih vidikov, značilnih za posameznike, na podlagi profiliranja teh podatkov, ali po obdelavi posebnih kategorij osebnih podatkov, biometričnih podatkov ali podatkov v zvezi s kazenskimi obsodbami in prekrški ali s tem povezanih varnostnih ukrepov. …
(Uvodna izjava 92) Obstajajo primeri, v katerih je lahko smiselno in stroškovno učinkovito razširiti obseg ocene učinka na varstvo podatkov preko enega samega projekta, na primer kadar javni organi ali javna telesa nameravajo uvesti skupno platformo za aplikacije ali obdelavo ali kadar več upravljavcev namerava ustvariti skupno okolje za aplikacije ali obdelavo v celotnem sektorju ali poklicnem segmentu ali za široko uporabljeno medfunkcijsko dejavnost.
(Uvodna izjava 94) Kadar ocena učinka na varstvo podatkov pokaže, da bi obdelava brez zaščitnih ukrepov, varnostnih ukrepov in mehanizmov za zmanjševanje tveganja povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pa meni, da tveganja ni mogoče ublažiti z razumnimi sredstvi ob upoštevanju razpoložljive tehnologije in stroškov izvedbe, se je treba pred začetkom obdelave posvetovati z nadzornim organom. …
(Uvodna izjava 97) Kadar obdelavo izvaja javni organ, z izjemo sodišč ali neodvisnih sodnih organov, ki delujejo v svoji sodni pristojnosti, kadar v zasebnem sektorju obdelavo izvaja upravljavec, katerega osnovne dejavnosti so postopki obdelave, ki zahtevajo redno in sistematično spremljanje posameznikov, na katere se nanašajo osebni podatki, v velikem obsegu, ali kadar osnovne dejavnosti upravljavca ali obdelovalca so obsežna obdelava posebnih kategorij osebnih podatkov in podatkov v zvezi s kazenskimi obsodbami in prekrški, bi morala upravljavcu ali obdelovalcu pri preverjanju notranje skladnosti s to uredbo pomagati oseba s strokovnim znanjem o pravu in praksi varstva podatkov. …
(Uvodna izjava 98) Združenja ali druge organe, ki zastopajo kategorije upravljavcev ali obdelovalcev, bi bilo treba spodbujati k pripravi kodeksov ravnanja v okviru te uredbe, da bi olajšali njeno pravilno uporabo, pri čemer je treba upoštevati posebnosti obdelave, ki se izvaja v nekaterih sektorjih, in posebne potrebe mikro, malih in srednje velikih podjetij. …
(Uvodna izjava 101) Tokovi osebnih podatkov v države zunaj Unije in mednarodne organizacije ter iz njih so nujni za razvoj mednarodne trgovine in mednarodnega sodelovanja. Povečanje takšnih tokov je ustvarilo nove izzive in pomisleke glede varstva osebnih podatkov. Vendar je pomembno, da se pri prenosu osebnih podatkov iz Unije upravljavcem, obdelovalcem ali drugim prejemnikom v tretjih državah ali mednarodnim organizacijam raven varstva posameznikov, ki jo v Uniji zagotavlja ta uredba, ne ogroža, vključno s primeri nadaljnjih prenosov osebnih podatkov iz tretje države ali mednarodne organizacije upravljavcem ali obdelovalcem v isti ali drugi tretji državi ali drugi mednarodni organizaciji. V vsakem primeru se prenosi v tretje države in mednarodne organizacije lahko izvajajo le v popolnem skladu s to uredbo. …
(Uvodna izjava 103) Komisija lahko odloči, z učinkom za celotno Unijo, da tretja država, ozemlje ali določen sektor v tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov, s čimer se zagotovi pravna varnost in enotnost po vsej Uniji v zvezi s tretjo državo ali mednarodno organizacijo, za katero se šteje, da zagotavlja takšno raven varstva. V tem primeru se lahko prenosi osebnih podatkov v to tretjo državo ali mednarodno organizacijo izvedejo brez potrebe po pridobitvi nadaljnjega dovoljenja. …
(Uvodna izjava 104) Ob upoštevanju temeljnih vrednot, na katerih temelji Unija, zlasti varstva človekovih pravic, bi morala Komisija pri svoji oceni tretje države, ozemlja ali določenega sektorja v tretji državi upoštevati način, kako določena tretja država spoštuje pravno državo, zagotavlja dostop do sodnega varstva ter upošteva mednarodna pravila in standarde na področju človekovih pravic, pa tudi svojo splošno in sektorsko zakonodajo, vključno z zakonodajo o javni varnosti, obrambi in nacionalni varnosti ter javnem redu in kazenskem pravu. …
(Uvodna izjava 105) Poleg mednarodnih obveznosti, ki jih je prevzela tretja država ali mednarodna organizacija, bi morala Komisija upoštevati obveznosti, ki izhajajo iz sodelovanja tretje države ali mednarodne organizacije v večstranskih ali regionalnih sistemih, zlasti glede varstva osebnih podatkov, in izpolnjevanja teh obveznosti. Zlasti bi bilo treba upoštevati pristop tretje države h Konvenciji Sveta Evrope z dne 28. januarja 1981 o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov in njenemu Dodatnemu protokolu. …
(Uvodna izjava 108) Če sklepa o ustreznosti ni, bi moral upravljavec ali obdelovalec sprejeti ukrepe za izravnavo neustreznosti varstva podatkov v tretji državi z ustreznimi zaščitnimi ukrepi za posameznika, na katerega se nanašajo osebni podatki. …
(Uvodna izjava 109) Možnost, da upravljavci in obdelovalci uporabijo standardne klavzule o varstvu podatkov, ki jih sprejme Komisija ali nadzorni organ, jim ne bi smela preprečiti, da te klavzule vključijo v širšo pogodbo, kot je pogodba med obdelovalcem in drugim obdelovalcem, ali da dodajo druge klavzule ali dodatne zaščitne ukrepe, če te klavzule neposredno ali posredno ne nasprotujejo standardnim pogodbenim klavzulam, ki jih sprejme Komisija ali nadzorni organ, in ne vplivajo negativno na temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki. …
(Uvodna izjava 110) Skupina podjetij ali skupina podjetij, ki opravlja skupno gospodarsko dejavnost, bi morala imeti možnost uporabljati odobrena zavezujoča poslovna pravila za svoje mednarodne prenose iz Unije subjektom v isti skupini podjetij ali v isti skupini podjetij, ki opravlja skupno gospodarsko dejavnost, pod pogojem, da ta poslovna pravila vključujejo vsa bistvena načela in izvršljive pravice za zagotovitev ustreznih zaščitnih ukrepov za prenose ali kategorije prenosov osebnih podatkov.
(Uvodna izjava 114) V vsakem primeru, kadar Komisija ni zavzela stališča o ustreznosti ravni varstva podatkov v tretji državi, bi moral upravljavec ali obdelovalec sprejeti rešitve, ki posameznikom, na katere se nanašajo osebni podatki, zagotavljajo izvršljive in učinkovite pravice v zvezi z obdelavo njihovih podatkov v Uniji po tem, ko so ti podatki preneseni, da bi ti posamezniki še naprej uživali temeljne pravice in jamstva.
(Uvodna izjava 116) Ko osebni podatki prečkajo zunanje meje Unije, se lahko poveča tveganje, da posamezniki ne bodo mogli uveljavljati svojih pravic do varstva podatkov, zlasti da se zaščitijo pred nezakonito uporabo ali razkritjem teh informacij. … Zato je treba spodbujati tesnejše sodelovanje med nadzornimi organi za varstvo podatkov, da bi jim pomagali pri izmenjavi informacij in izvajanju preiskav z njihovimi mednarodnimi kolegi. …
(Uvodna izjava 121) Splošne pogoje, ki veljajo za člana(-e) nadzornega organa, bi morale v vsaki državi članici določiti zakonodaja, ki bi morala zlasti določati, da te člane imenuje parlament, vlada ali voditelj države te države članice v skladu s preglednim postopkom na predlog vlade ali člana vlade ali parlamenta ali parlamentarne zbornice ali neodvisnega organa, ki mu je ta naloga zaupana v skladu z zakonodajo države članice. …
(Uvodna izjava 122) Vsak nadzorni organ bi moral biti na ozemlju svoje države članice pristojen za izvajanje nalog in pooblastil, ki so mu podeljena v skladu s to uredbo. …
(Uvodna izjava 124) Kadar obdelava osebnih podatkov poteka v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v Uniji in ima ta upravljavec ali obdelovalec sedež v več kot eni državi članici, ali kadar obdelava, ki poteka v okviru dejavnosti ene same ustanovitve upravljavca ali obdelovalca v Uniji, bistveno vpliva ali bo verjetno bistveno vplivala na posameznike, na katere se nanašajo osebni podatki, v več kot eni državi članici, bi moral nadzorni organ, ki je pristojen za glavno ali edino ustanovitev upravljavca ali obdelovalca, delovati kot vodilni organ. …
(Uvodna izjava 125) Vodilni organ bi moral biti pristojen za sprejemanje zavezujočih odločitev o ukrepih za izvajanje pooblastil, ki so mu podeljena v skladu s to uredbo. Nadzorni organ bi moral v svoji vlogi vodilnega organa tesno vključiti ustrezne nadzorne organe v postopek odločanja in zagotoviti tesno usklajevanje v tem okviru. …
(Uvodna izjava 129) Da bi zagotovili dosledno izvrševanje in spremljanje te uredbe po vsej Uniji, bi morali imeti nadzorni organi v vsaki državi članici enake naloge in dejanska pooblastila, vključno s pooblastili za preiskave, pooblastilom za sprejemanje korektivnih ukrepov in nalaganje sankcij ter pooblastilom za odobritev in izdajo svetovalnih mnenj, zlasti v primeru pritožb, ki jih vložijo fizične osebe, in brez poseganja v pooblastila organov pregona v skladu s pravom držav članic pooblastilo, da o kršitvah te uredbe obvestijo sodne organe in sprožijo pravne postopke. Ta pooblastila bi morala vključevati tudi pooblastilo za uvedbo začasne ali trajne omejitve obdelave, vključno s prepovedjo. …
(Uvodna izjava 130) Kadar nadzorni organ, pri katerem je bila pritožba vložena, ni vodilni nadzorni organ, bi moral vodilni nadzorni organ tesno sodelovati z nadzornim organom, pri katerem je bila pritožba vložena, v skladu z določbami o sodelovanju in skladnosti iz te uredbe. …
(Uvodna izjava 137) Za zaščito pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, so lahko potrebni nujni ukrepi, zlasti kadar obstaja nevarnost, da bi bilo uveljavljanje pravice posameznika, na katerega se nanašajo osebni podatki, znatno ovirano. Nadzorni organ bi moral imeti zato možnost, da na svojem ozemlju sprejme začasne ukrepe, ki so ustrezno utemeljeni in imajo določeno obdobje veljavnosti, ki ne sme presegati treh mesecev.
(Uvodna izjava 138) Uporaba takega mehanizma bi morala pogojevati zakonitost ukrepa, namenjenega ustvarjanju pravnih učinkov, ki ga sprejme nadzorni organ v primerih, ko je taka uporaba obvezna. …
(Uvodna izjava 141) Vsak posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico do vložitve pritožbe pri enem samem nadzornem organu, zlasti v državi članici, v kateri ima običajno prebivališče, in pravico do učinkovitega sodnega varstva v skladu s členom 47 Listine, če meni, da so bile kršene njegove pravice iz te uredbe, ali če nadzorni organ ne ukrepa glede njegove pritožbe, jo v celoti ali delno zavrne ali zavrne, ali ne ukrepa, kadar je ukrepanje potrebno za zaščito pravic posameznika, na katerega se nanašajo osebni podatki. Preiskava po pritožbi bi morala potekati pod sodnim nadzorom v ustreznem obsegu, ki ga zahteva posamezni primer.
(Uvodna izjava 142) Kadar posameznik, na katerega se nanašajo osebni podatki, meni, da so bile kršene njegove pravice iz te uredbe, bi moral imeti pravico, da neprofitni organ, organizacijo ali združenje, ustanovljeno v skladu z zakonodajo države članice, katerega zakonski cilji so v javnem interesu in ki je dejavno na področju varstva osebnih podatkov, pooblasti, da v njegovem imenu vloži pritožbo pri nadzornem organu, da v imenu posameznikov, na katere se nanašajo osebni podatki, uveljavlja pravico do sodnega varstva ali, če tako določa zakonodaja države članice, da v imenu posameznikov, na katere se nanašajo osebni podatki, uveljavlja pravico do odškodnine. …
(Uvodna izjava 143) Vsaka fizična ali pravna oseba ima pravico vložiti tožbo za razveljavitev odločitev Odbora pri Sodišču pod pogoji iz člena 263 Pogodbe o delovanju Evropske unije. Po prejemu takšnih odločitev morajo zadevni nadzorni organi, ki jih želijo izpodbijati, to storiti v dveh mesecih od uradnega obvestila o njih v skladu s členom 263 Pogodbe o delovanju Evropske unije. …
Če nadzorni organ pritožbo zavrne ali odkloni, lahko pritožnik vloži tožbo pri sodiščih iste države članice. …
(Uvodna izjava 144) Kadar ima sodišče, ki vloži tožbo zoper odločitev nadzornega organa, razlog za domnevo, da se pred pristojnim sodiščem v drugi državi članici vlagajo tožbe v zvezi z isto obdelavo, na primer z isto vsebino, ki jo izvaja isti upravljavec ali obdelovalec, ali z isto podlago za tožbo, bi moralo stopiti v stik s tem drugim sodiščem, da bi potrdilo obstoj takšnih povezanih tožb. …
(Uvodna izjava 145) Glede tožb proti upravljavcu ali obdelovalcu bi moral imeti prosilec možnost, da se odloči, ali bo tožbo vložil pri sodiščih držav članic, v katerih ima upravljavec ali obdelovalec sedež, ali v državi članici, v kateri ima posameznik, na katerega se nanašajo osebni podatki, stalno prebivališče, razen če je upravljavec javni organ države članice, ki deluje pri izvajanju svojih javnih pooblastil.
(Uvodna izjava 146) Upravljavec ali obdelovalec bi moral povrniti vsako škodo, ki bi jo posameznik, na katerega se nanašajo osebni podatki, lahko utrpel zaradi obdelave, izvedene v nasprotju s to uredbo. Upravljavec ali obdelovalec bi moral biti oproščen odgovornosti, če dokaže, da škode nikakor ni mogoče pripisati njemu. … Vendar pa se lahko v primeru, ko so upravljavci in obdelovalci vpleteni v isti pravni postopek, v skladu s pravom države članice odškodnina razdeli glede na delež odgovornosti vsakega upravljavca ali obdelovalca za škodo, ki jo je povzročila obdelava, pod pogojem, da je škoda, ki jo je utrpel posameznik, na katerega se nanašajo osebni podatki, v celoti in učinkovito povrnjena. …
(Uvodna izjava 148) Za okrepitev izvrševanja pravil te uredbe bi bilo treba za vsako kršitev te uredbe naložiti sankcije, vključno z upravnimi globami, poleg ali namesto ustreznih ukrepov, ki jih nadzorni organ naloži v skladu s to uredbo. V primeru manjše kršitve ali če bi globa, ki bi se lahko naložila, za fizično osebo pomenila nesorazmerno breme, se lahko namesto globe izda opozorilo. Vendar bi bilo treba ustrezno upoštevati naravo, težo in trajanje kršitve, namerno naravo kršitve in ukrepe, sprejete za ublažitev nastale škode, stopnjo odgovornosti ali morebitne prejšnje relevantne kršitve, kako je nadzorni organ izvedel za kršitev, skladnost z ukrepi, odrejenimi zoper upravljavca ali obdelovalca, uporabo kodeksa ravnanja in vse druge oteževalne ali olajševalne okoliščine. Uporaba sankcij, vključno z upravnimi globami, bi morala biti predmet ustreznih postopkovnih jamstev v skladu s splošnimi načeli prava Unije in Listine, vključno s pravico do učinkovitega sodnega varstva in dolžnega pravnega postopka.
(Uvodna izjava 150) Za okrepitev in uskladitev upravnih kazni, ki se uporabljajo za kršitve te uredbe, bi moral imeti vsak nadzorni organ pooblastilo za nalaganje upravnih glob. Ta uredba bi morala opredeliti kršitve, najvišji znesek in merila za določitev upravnih glob, ki jim je treba naložiti, ki jih bi moral pristojni nadzorni organ določiti v vsakem posameznem primeru, pri čemer bi moral upoštevati vse posebne značilnosti vsakega primera in zlasti naravo, težo in trajanje kršitve ter njenih posledic, pa tudi ukrepe, sprejete za zagotovitev skladnosti z obveznostmi, ki izhajajo iz Uredbe, in za preprečevanje ali ublažitev posledic kršitve. …
(Uvodna izjava 152) Kadar ta uredba ne usklajuje upravnih sankcij ali, kjer je to potrebno v drugih okoliščinah, na primer v primerih hudih kršitev te uredbe, bi morale države članice uvesti sistem, ki zagotavlja učinkovite, sorazmerne in odvračilne sankcije. Naravo teh sankcij, bodisi kazenske bodisi upravne, bi moralo določati pravo držav članic.
(Uvodna izjava 153) Pravo držav članic bi moralo uskladiti pravila o svobodi izražanja in obveščanja, vključno z novinarskim, akademskim, umetniškim ali literarnim izražanjem, s pravico do varstva osebnih podatkov v skladu s to uredbo. V okviru obdelave osebnih podatkov izključno za novinarske namene ali za namene akademskega, umetniškega ali literarnega izražanja bi bilo treba določiti odstopanja ali izjeme od nekaterih določb te uredbe, če je to potrebno za uskladitev pravice do varstva osebnih podatkov s pravico do svobode izražanja in obveščanja, kot je določena v členu 11 Listine. …
(Uvodna izjava 154) Ta uredba omogoča upoštevanje načela dostopa javnosti do uradnih dokumentov pri njeni uporabi. Javni dostop do uradnih dokumentov se lahko šteje za javni interes. …
(Uvodna izjava 155) Zakonodaja držav članic ali kolektivne pogodbe, vključno s „podjetniškimi pogodbami“, lahko določajo posebna pravila o obdelavi osebnih podatkov zaposlenih v okviru delovnih razmerij, vključno s pogoji, pod katerimi se lahko osebni podatki v okviru delovnih razmerij obdelujejo na podlagi soglasja zaposlenega, za namene zaposlovanja, izvajanja pogodbe o zaposlitvi, vključno z izpolnjevanjem obveznosti, določenih z zakonom ali kolektivnimi pogodbami, vodenja, načrtovanja in organizacije dela, enakosti in raznolikosti na delovnem mestu, zdravja in varnosti pri delu ter za namene uveljavljanja in uživanja pravic in ugodnosti iz delovnega razmerja, individualno ali kolektivno, pa tudi za namene prenehanja delovnega razmerja.
(Uvodna izjava 162) Kadar se osebni podatki obdelujejo za statistične namene, bi se morala za to obdelavo uporabljati ta uredba. Pravo Unije ali države članice bi moralo v okviru te uredbe določiti statistično vsebino, opredeliti nadzor dostopa do podatkov ter določiti posebne določbe za obdelavo osebnih podatkov za statistične namene in ustrezne ukrepe za zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, ter za ohranjanje statistične zaupnosti. …
(Uvodna izjava 163) Zaupne informacije, ki jih statistični organi Unije in držav članic zbirajo za namene priprave uradne evropske in nacionalne statistike, bi bilo treba zaščititi. …
(Uvodna izjava 164) Kar zadeva pooblastila nadzornih organov, da od upravljavca ali obdelovalca pridobijo dostop do osebnih podatkov in dostop do svojih prostorov, lahko države članice v mejah te uredbe z zakonom sprejmejo posebna pravila za zagotovitev obveznosti varovanja poklicne molčečnosti ali drugih enakovrednih obveznosti varovanja molčečnosti, če je to potrebno za uskladitev pravice do varstva osebnih podatkov in obveznosti varovanja poklicne molčečnosti. …
(Uvodna izjava 166) Za dosego ciljev te uredbe, in sicer za zaščito temeljnih pravic in svoboščin posameznikov, zlasti njihove pravice do varstva osebnih podatkov, ter za zagotovitev prostega pretoka takih podatkov znotraj Unije, bi bilo treba na Komisijo prenesti pooblastilo za sprejemanje aktov v skladu s členom 290 Pogodbe o delovanju Evropske unije. Zlasti bi bilo treba sprejeti delegirane akte v zvezi z merili in zahtevami za mehanizme certificiranja, informacijami, ki jih je treba predstaviti v obliki standardiziranih ikon, in postopki za zagotavljanje takih ikon. …
(Uvodna izjava 168) Glede na splošno področje uporabe zadevnih aktov bi bilo treba za sprejetje izvedbenih aktov v zvezi s standardnimi pogodbenimi klavzulami med upravljavci in obdelovalci ter med obdelovalci; kodeksi ravnanja; tehničnimi standardi in mehanizmi certificiranja; … uporabiti postopek pregleda.
(Uvodna izjava 170) Ker cilja te uredbe, in sicer zagotavljanja enakovredne ravni varstva posameznikov in prostega pretoka osebnih podatkov po vsej Uniji, države članice ne morejo zadovoljivo doseči, temveč ga je zaradi obsega ali učinkov ukrepa lažje doseči na ravni Unije, lahko Unija sprejme ukrepe, …
SL 
FR 
EN 
DE 
ES 
EL 
IT 
HR 
PT 
NL 
DE_AT 
ET 
FI 
LV 
LT 
SK