(1)

Unutarnje tržište jedno je od najkonkretnijih postignuća Unije. Omogućivanjem slobodnog kretanja ljudi, robe, usluga i kapitala nastaju nove prilike za građane i poduzeća. Ova je Uredba ključni element Strategije jedinstvenog tržišta, uspostavljene Komunikacijom Komisije od 28. listopada 2015. pod naslovom „Poboljšanje jedinstvenog tržišta: više prilika za ljude i poduzeća”. Tom se Strategijom nastoji ostvariti puni potencijal unutarnjeg tržišta tako što će se građanima i poduzećima olakšati kretanje unutar Unije i trgovanje, poslovni nastan i širenje poslovanja preko granica.

(2)

U komunikaciji Komisije od 6. svibnja 2015. pod naslovom „Strategija jedinstvenog digitalnog tržišta za Europu” prepoznata je uloga interneta i digitalnih tehnologija u mijenjanju naših života, načina na koji građani i poduzeća pristupaju informacijama, stječu znanje, kupuju dobra i usluge, sudjeluju na tržištu i rade, stvarajući time prilike za inovacije, rast i radna mjesta. U toj komunikaciji i u nekoliko rezolucija koje je donio Europski parlament potvrđuje se da bi se potrebe građana i poduzeća u vlastitoj zemlji i prekogranično mogle bolje ispuniti proširenjem i integracijom postojećih europskih portala, internetskih-stranica, mreža, usluga i sustava te njihovim povezivanjem s različitim nacionalnim rješenjima, stvarajući time „jedinstveni digitalni pristupnik” koji funkcionira kao jedinstvena europska ulazna točka („pristupnik”). U komunikaciji Komisije od 19. travnja 2016. pod naslovom „Akcijski plan EU-a za e-upravu 2016. – 2020.: Ubrzavanje digitalne transformacije uprave” spominje se pristupnik kao jedna od mjera za 2017. U izvješću Komisije od 24. siječnja 2017. pod naslovom „Jačanje prava građana u Uniji demokratskih promjena – Izvješće o građanstvu EU-a za 2017.” pristupnik se spominje kao prioritet za prava građana Unije.

(3)

Europski parlament i Vijeće u više su navrata tražili sveobuhvatniji paket informacija i podrške koji je ujedno prilagođeniji korisnicima kako bi se građanima i poduzećima pomoglo u snalaženju na unutarnjem tržištu te kako bi se alati unutarnjeg tržišta ojačali i pojednostavnili, čime bi se bolje odgovorilo na potrebe građana i poduzeća u prekograničnim aktivnostima.

(4)

Ovom se Uredbom odgovara na te zahtjeve nudeći građanima i poduzećima jednostavan pristup informacijama, postupcima te uslugama podrške i rješavanja problema koji su im potrebni kako bi ostvarili svoja prava na unutarnjem tržištu. Pristupnikom bi se moglo doprinijeti većoj transparentnosti pravila i propisa koji se odnose na različite poslovne i životne događaje u područjima kao što su putovanja, umirovljenje, obrazovanje, zapošljavanje, zdravstvo, potrošačka prava i obiteljska prava. Osim toga, s pomoću njega bi se moglo doprinijeti jačanju povjerenja potrošača, riješiti problem nedovoljnog poznavanja pravila o zaštiti potrošača i unutarnjem tržištu te smanjiti troškove usklađivanja za poduzeća. Ovom se Uredbom uspostavlja interaktivan i korisnicima prilagođen pristupnik koji bi korisnike, u skladu s njihovim potrebama, trebao usmjeravati na najadekvatnije usluge. U tom bi kontekstu Komisija i države članice trebale imati važnu ulogu u ostvarenju tih ciljeva.

(5)

Pristupnik bi trebao olakšati interakciju između građana i poduzeća, s jedne strane, te nadležnih tijela, s druge strane, omogućivanjem pristupa internetskim rješenjima, olakšavajući svakodnevne aktivnosti građana i poduzeća te smanjujući prepreke s kojima se susreću na unutarnjem tržištu. Postojanje jedinstvenog digitalnog pristupnika koji omogućuje internetski pristup točnim i ažuriranim informacijama, postupcima i uslugama podrške i rješavanja problema moglo bi pomoći da se podigne svijest korisnika o postojanju različitih internetskih usluga te bi im pomoglo da uštede vrijeme i novac.

(6)

Ova Uredba ima tri cilja, i to smanjiti bilo kakvo dodatno administrativno opterećenje za građane i poduzeća koji ostvaruju svoja prava na unutarnjem tržištu ili ih žele ostvarivati, što obuhvaća i slobodno kretanje građana, potpuno poštujući nacionalna pravila i postupke, dokinuti diskriminaciju i osigurati funkcioniranja unutarnjeg tržišta u pogledu osiguravanja informacija, postupaka te usluga podrške i rješavanja problema. Budući da se njome obuhvaća slobodno kretanje građana, koje se ne može smatrati samo sporednim, ova Uredba treba se temeljiti na članku 21. stavku 2. i članku 114. stavku 1. Ugovora o funkcioniranju Europske unije (UFEU).

(7)

Kako bi građani i poduzeća iz Unije mogli uživati svoje pravo na slobodno kretanje na unutarnjem tržištu, Unija bi trebala donijeti posebne i nediskriminirajuće mjere kojima se građanima i poduzećima omogućuje lak pristup dovoljno sveobuhvatnim i pouzdanim informacijama o njihovim pravima koja proizlaze iz prava Unije te informacijama o primjenjivim nacionalnim pravilima i postupcima koje trebaju poštovati kada se presele, žive ili studiraju, odnosno ostvaruju poslovni nastan ili posluju u državi članici koja nije njihova. Informacije bi se trebale smatrati dovoljno sveobuhvatnima ako uključuju sve informacije koje su korisnicima potrebne da bi razumjeli koja su njihova prava i obveze i kojima se utvrđuju pravila koja se na njih primjenjuju u pogledu aktivnosti koje žele poduzeti kao prekogranični korisnici. Informacije trebaju biti navedene na jasan, jezgrovit i razumljiv način te trebaju biti operativne i dobro prilagođene ciljanoj grupi korisnika. Informacije o postupcima trebale bi obuhvaćati sve predvidive postupovne radnje relevantne za korisnike. Za građane i poduzeća koji su suočeni sa složenim regulatornim okruženjima, poput onih koji su aktivni u području e-trgovine i ekonomije suradnje, važno je da mogu lako naći primjenjiva pravila i informacije o tome kako se ona primjenjuju na njihove aktivnosti. Jednostavan i korisnicima prilagođen pristup informacijama znači omogućavanje korisnicima da lako pronađu informacije, lako utvrde koji su dijelovi informacija relevantni za njihovu specifičnu situaciju kao i da lako razumiju relevantne informacije. Informacije na nacionalnoj razini trebaju obuhvaćati ne samo nacionalna pravila kojima se provodi pravo Unije, već i sva ostala nacionalna pravila koja se primjenjuju i na neprekogranične i na prekogranične korisnike.

(8)

Pravila o pružanju informacija iz ove Uredbe ne bi se trebala odnositi na nacionalne pravosudne sustave jer se informacije iz tog područja koje su važne za prekogranične korisnike već nalaze na portalu e-pravosuđe. U nekim situacijama koje su obuhvaćene ovom Uredbom sudovi bi se trebali smatrati nadležnim tijelima, na primjer ako upravljaju poslovnim registrima. Osim toga, načelo nediskriminacije trebalo bi se primjenjivati i na internetske postupke kojima se omogućuje pristup sudskim postupcima.

(9)

Jasno je da građani i poduzeća iz drugih država članica mogu biti u nepovoljnijem položaju stoga što su im nacionalna pravila i administrativni postupci nepoznati, ne znaju jezik i geografski su udaljeni od nadležnih tijela države članice koja nije njihova matična država. Najučinkovitiji način da se smanje prepreke na unutarnjem tržištu jest omogućiti prekograničnim i neprekograničnim korisnicima pristup informacijama na internetu, na jeziku koji razumiju kako bi im se omogućilo da postupke za usklađivanje s nacionalnim pravilima obave u potpunosti na internetu te im ponuditi podršku kad pravila i postupci nisu dovoljno jasni ili kad naiđu na prepreke u ostvarivanju svojih prava.

(10)

Već postoje neka rješenja ostvarena različitim aktima Unije kojima su uspostavljeni sektorski sustavi „sve na jednom mjestu”, uključujući jedinstvene kontaktne točke uspostavljene Direktivom 2006/123/EZ Europskog parlamenta i Vijeća (3), koje na internetu nude informacije, usluge podrške i pristup postupcima koji su relevantni za pružanje usluga, kontaktne točke za proizvode uspostavljene Uredbom (EZ) br. 764/2008 Europskog parlamenta i Vijeća (4) i kontaktne točke za građevne proizvode uspostavljene Uredbom (EU) br. 305/2011 Europskog parlamenta i Vijeća (5) pružaju pristup tehničkim pravilima koja se odnose na pojedine proizvode, te nacionalni centri za pomoć u području stručnih kvalifikacija uspostavljeni Direktivom 2005/36/EZ Europskog parlamenta i Vijeća (6) koji pomažu stručnjacima koji se sele u drugu zemlju. Uspostavljene su i posebne mreže, npr. europski potrošački centri, čiji je cilj promicanje razumijevanja prava potrošača u Uniji i pomoć u rješavanju pritužbi na kupnje u drugoj državi članici koja je dio mreže, tijekom putovanja ili kupovine na internetu. Nadalje, svrha SOLVIT-a iz Preporuke Komisije 2013/461/EU (7) jest pronaći brza, djelotvorna i neformalna rješenja za pojedince i poduzeća iz kad im tijela javne vlasti uskrate njihova prava na unutarnjem tržištu. Konačno, uspostavljeno je i nekoliko informativnih portala, kao što je Vaša Europa, koji se odnosi na unutarnje tržište, ili portal e-pravosuđe o pitanjima pravosuđa, gdje korisnici mogu pronaći informacije o pravilima Unije i nacionalnim pravilima.

(11)

Zbog sektorske prirode tih akata Unije, postojeće pružanje informacija na internetu i usluga podrške i rješavanja problema zajedno s postupcima za građane i poduzeća na internetu i dalje je vrlo fragmentirano. Dostupnost informacija i postupaka na internetu neujednačena je, usluge su nedovoljno kvalitetne, te ne postoji osviještenost o tim informacijama i uslugama podrške i rješavanja problema. Prekogranični korisnici susreću se i s problemima pronalaska i pristupa tim uslugama.

(12)

Ovom bi se Uredbom trebao uspostaviti jedinstveni digitalni pristupnik kao jedinstvena ulazna točka putem koje građani i poduzeća mogu pristupati informacijama o pravilima i zahtjevima koje moraju ispuniti prema pravu Unije ili nacionalnom pravu. Pristupnikom bi se trebao pojednostavniti kontakt građana i poduzeća s uslugama podrške i rješavanja problema, bilo na razini Unije ili na nacionalnoj razini, te bi taj kontakt postao učinkovitiji. Pristupnikom bi se trebali olakšati pristup internetskim postupcima i njihovo dovršenje. Ova Uredba ni na koji način ne bi smjela utjecati na postojeća prava i obveze koji proizlaze iz prava Unije ili nacionalnog prava u tim područjima politika. Za postupke navedene u Prilogu II. ovoj Uredbi i postupke predviđene direktivama 2005/36/EZ i 2006/123/EZ te direktivama 2014/24/EU (8) i 2014/25/EU (9) Europskog parlamenta i Vijeća, ovom Uredbom trebalo bi se poticati načelo „samo jednom” te bi se trebalo u potpunosti poštovati temeljno pravo na zaštitu osobnih podataka pri razmjeni dokaza među nadležnim tijelima u različitim državama članicama.

(13)

Pristupnik i njegov sadržaj trebali bi biti usmjereni i prilagođeni korisnicima. Kada je riječ o pristupniku, cilj bi trebao biti da se izbjegnu preklapanja i osiguraju poveznice koje vode na postojeće usluge. Trebao bi omogućiti građanima i poduzećima interakciju s javnim tijelima na nacionalnoj razini i na razini Unije tako što će oni imati mogućnost dati povratne informacije i o uslugama u okviru pristupnika i o vlastitim iskustvima s funkcioniranjem unutarnjeg tržišta. U alatu za povratne informacije korisnik bi, na način koji mu osigurava anonimnost, trebao moći navesti uočene probleme, nedostatke i potrebe kako bi se potaklo stalno poboljšavanje kvalitete usluga.

(14)

Uspješnost pristupnika ovisit će o zajedničkim nastojanjima Komisije i država članica. Pristupnik bi trebao imati jedinstveno korisničko sučelje ugrađeno u postojeći portal Vaša Europa, kojim bi upravljala Komisija. U tom jedinstvenom korisničkom sučelju trebale bi se nalaziti poveznice na informacije, postupke te usluge podrške ili rješavanja problema koje već postoje na portalima kojima upravljaju nadležna tijela država članica i Komisija. Kako bi se olakšala upotreba pristupnika, jedinstveno korisničko sučelje trebalo bi biti dostupno na svim službenim jezicima institucija Unije („službeni jezici Unije”). Na postojećem portalu Vaša Europa i njegovoj glavnoj internetskoj stranici za pristup, koji će biti prilagođeni potrebama pristupnika, trebalo bi zadržati taj višejezični pristup dostupnim informacijama. Komisija će u bliskoj suradnji s državama članicama razviti tehničke alate koji bi trebali biti potpora funkcioniranju pristupnika.

(15)

U Povelji o elektroničkim jedinstvenim kontaktnim točkama u okviru Direktive 2006/123/EZ, koju je Vijeće podržalo 2013., države članice dobrovoljno su se obvezale da će se u pružanju informacija putem jedinstvenih kontaktnih točaka usmjeriti na korisnika, tako da budu pokrivena područja posebno bitna za poduzeća, uključujući zahtjeve u pogledu PDV-a, poreza na dohodak, socijalnog osiguranja ili radnog prava. Na temelju Povelje i iskustva s portalom Vaša Europa, te bi informacije trebale uključivati i opis usluga podrške i rješavanja problema. Građanima i poduzećima takve bi usluge trebale biti od pomoći kada imaju problema s razumijevanjem informacija, s primjenom tih informacija na svoju situaciju ili s dovršenjem postupka.

(16)

U ovoj bi Uredbi trebala biti navedena informacijska područja koja su relevantna za građane i poduzeća koji svoja prava ostvaruju i svoje obveze ispunjavaju na unutarnjem tržištu. Za ta bi se područja na nacionalnoj razini, uključujući regionalnu i lokalnu razinu, kao i na razini Unije trebale pružati dovoljno obuhvatne informacije kojima se objašnjavaju primjenjiva pravila i obveze te postupci koje građani i poduzeća trebaju dovršiti kako bi bili u skladu s tim pravilima i obvezama. Kako bi se zajamčila kvaliteta ponuđenih usluga, informacije koje se pružaju preko pristupnika trebale bi biti jasne, točne i ažurirane, uporaba složene terminologije trebala bi biti svedena na minimum, a uporaba akronima ograničena na one koji predstavljaju pojednostavljene i lako razumljive pojmove za koje nije potrebno prethodno znanje o određenom pitanju ili pravnom području. Te informacije trebalo bi pružiti tako da korisnici mogu lako razumjeti osnovna pravila i zahtjeve koji se u tim područjima primjenjuju na njihovu situaciju. Korisnike je isto tako potrebno obavijestiti o nepostojanju, u određenim državama članicama, nacionalnih pravila u informacijskim područjima iz Priloga I. ovoj Uredbi, posebno ako su ta područja u drugim državama članicama uređena nacionalnim pravilima. Te bi se informacije o nacionalnim pravilima mogle staviti na raspolaganje na portalu Vaša Europa.

(17)

Kada god je to moguće, informacijama koje je Komisija već prikupila od država članica u skladu s postojećim pravom Unije ili dobrovoljnim aranžmanima, poput informacija prikupljenih za portal EURES, uspostavljenog Uredbom (EU) 2016/589 Europskog parlamenta i Vijeća (10), portal e-pravosuđe, uspostavljenog Odlukom Vijeća 2001/470/EZ (11), ili bazu podataka o reguliranim profesijama, uspostavljene Direktivom 2005/36/EZ, trebalo bi obuhvatiti dio informacija koje u skladu s ovom Uredbom trebaju biti na raspolaganju građanima i poduzećima na razini Unije i na nacionalnoj razini. Od država članica ne bi se trebalo zahtijevati da na svojim nacionalnim internetskim mjestima pružaju informacije koje su već dostupne u relevantnim bazama podataka kojima upravlja Komisija. Ako države članice već imaju obvezu pružanja informacija na internetu u skladu s drugim aktima Unije, kao što je Direktiva 2014/67/EU Europskog parlamenta i Vijeća (12), trebalo bi biti dovoljno da države članice stave na raspolaganje poveznice na postojeće informacije na internetu. Ako su određena područja politika već u cijelosti usklađena s pravom Unije, primjerice prava potrošača, informacije koje se pružaju na razini Unije uglavnom bi trebale biti dovoljne korisnicima da shvate svoja relevantna prava ili obveze. U takvim slučajevima od država članica bi se trebalo zahtijevati da dostave samo dodatne informacije o svojim nacionalnim upravnim postupcima i uslugama podrške ili o bilo kojem drugom nacionalnom upravnom pravilu koje je relevantno za korisnike. Informacije o pravima potrošača ne bi, primjerice, trebale utjecati na ugovorno pravo, već bi se s pomoću njih samo trebalo obavijestiti korisnike o njihovim pravima u skladu s pravom Unije i nacionalnim pravom u kontekstu trgovačkih transakcija.

(18)

Ovom bi se Uredbom u internetskim postupcima trebao učvrstiti aspekt unutarnjeg tržišta, čime bi se doprinijelo njegovoj digitalizaciji, jer se podržava opće načelo nediskriminacije između ostalog u pogledu pristupa građana ili poduzeća internetskim postupcima koji su već uspostavljeni na nacionalnoj razini na temelju prava Unije ili nacionalnog prava, kao i postupcima koji bi u skladu s ovom Uredbom trebali u potpunosti biti dostupni na internetu. Ako korisnik koji se nalazi u situaciji koja je strogo ograničena na jednu državu članicu može pristupiti internetskom postupku i dovršiti ga u toj državi članici u području koje je obuhvaćeno ovom Uredbom, prekogranični korisnik također bi trebao moći pristupiti tom internetskom postupku i dovršiti ga, bilo s pomoću istog tehničkog rješenja ili s pomoću alternativnog, zasebnog tehničkog rješenja kojim će doći do jednakog ishoda, bez ikakvih diskriminirajućih prepreka. Takve prepreke mogle bi se sastojati od nacionalno osmišljenih rješenja kao što su polja u obrascima gdje su prihvatljivi samo nacionalni telefonski brojevi, pozivni brojevi država ili nacionalni poštanski brojevi, plaćanje naknada samo putem sustava u kojima prekogranično plaćanje nije moguće, nedostatak detaljnih objašnjenja na jeziku koji razumiju prekogranični korisnici, nemogućnost da tijela iz druge države članice dostave dokaze u elektroničkom obliku te neprihvaćanje sredstava elektroničke identifikacije izdanih u drugim državama članicama. Države članice trebale bi pružiti rješenja za takve prepreke.

(19)

Kada prekogranični korisnici dovršavaju postupke na internetu, trebalo bi im omogućiti da dobiju sva odgovarajuća objašnjenja na službenom jeziku Unije koji općenito razumije najveći mogući broj prekograničnih korisnika. Time se od država članica ne zahtijeva da na taj jezik prevode svoje administrativne obrasce povezane s postupkom niti ishod tog postupka. Međutim, države članice potiče se da upotrebljavaju tehnička rješenja kojima bi se korisnicima omogućilo da dovrše postupke, u najvećem mogućem broju slučajeva, na tom jeziku, pri čemu se poštuju propisi država članica o upotrebe jezika.

(20)

Nacionalni internetski postupci koji su bitni za prekogranične korisnike kako bi im se omogućilo ostvarivanje njihovih prava u vezi s unutarnjim tržištem ovise o tome imaju li oni boravište ili poslovni nastan u dotičnoj državi članici ili žele pristupiti postupcima te države članice, a imaju boravište ili poslovni nastan u drugoj državi članici. Ovom se Uredbom države članice ne bi smjelo sprečavati da od prekograničnih korisnika koji imaju boravište ili poslovni nastan na njihovom državnom području zahtijevaju da ishode nacionalni identifikacijski broj kako bi imali pristup nacionalnim internetskim postupcima, pod uvjetom da to nema za posljedicu neopravdano dodatno opterećenje ili trošak za te korisnike. Za prekogranične korisnike koji nemaju boravište ili poslovni nastan u dotičnoj državi članici, nacionalni internetski postupci koji nisu važni za ostvarivanje njihovih prava u vezi s unutarnjim tržištem, na primjer prijave za ostvarivanje lokalnih usluga, kao što su skupljanje otpada i parkirne dozvole, ne trebaju biti u potpunosti dostupni putem interneta.

(21)

Ova bi se Uredba trebala nadovezivati na Uredbu (EU) br. 910/2014 Europskog parlamenta i Vijeća (13), kojom se utvrđuju uvjeti pod kojima države članice priznaju određena sredstva elektroničke identifikacije fizičkih i pravnih osoba koja su podložna prijavljenom sustavu elektroničke identifikacije druge države članice. Uredbom (EU) br. 910/2014 utvrđuju se uvjeti na temelju kojih se korisnicima dozvoljava koristiti se svojim sredstvima elektroničke identifikacije i provjere za pristup javnim internetskim uslugama u prekograničnim slučajevima. Institucije, tijela, urede i agencije Unije potiče se da prihvaćaju sredstva elektroničke identifikacije i provjere za postupke za koje su nadležni.

(22)

U nizu sektorskih akata Unije kao što su direktive 2005/36/EZ, 2006/123/EZ, 2014/24/EU i 2014/25/EU zahtijeva se da postupci budu u potpunosti dostupni na internetu. Ovom bi se Uredbom, za potpunu dostupnost na internetu, trebalo zahtijevati i niz drugih postupaka koji su od ključne važnosti za većinu građana i poduzeća koji ostvaruju svoja prava i ispunjavaju svoje obveze prekogranično.

(23)

Kako bi se građanima i poduzećima omogućilo da izravno koriste prednosti unutarnjeg tržišta bez nepotrebnih dodatnih administrativnih opterećenja, ovom bi se Uredbom trebala zahtijevati potpuna digitalizacija korisničkog sučelja u pogledu određenih ključnih postupaka za prekogranične korisnike, koji su navedeni u Prilogu II. ovoj Uredbi,. Ovom bi se Uredbom također trebali utvrditi kriteriji na temelju kojih se utvrđuje kada se takvi postupci smatraju potpuno dostupnima na internetu. Obveza da se takvi postupci učine potpuno dostupni na internetu trebala bi se primjenjivati samo ako su u dotičnoj državi članici takvi postupci uspostavljeni. Ovom Uredbom nisu obuhvaćeni početna registracija poslovne djelatnosti, postupci osnivanja društava kao pravnih subjekata ni bilo kakvo buduće podnošenje dokumentacije tih društava jer je za takve postupke potreban sveobuhvatan pristup koji bi omogućavao digitalna rješenja tijekom cijelog životnog ciklusa društva. Kad poduzeće ostvari poslovni nastan u drugoj državi članici, mora se registrirati u sustav socijalne sigurnosti i osiguranja kako bi njegovi radnici bili prijavljeni te kako bi se za njih plaćali doprinosi u obama sustavima. Poduzeća će možda trebati prijaviti svoje poslovne djelatnosti, ishoditi dozvole ili prijaviti promjene u vezi sa svojom poslovnom djelatnosti. Ti su postupci uobičajeni za poduzeća u mnogim sektorima gospodarstva i stoga je primjereno tražiti da ti postupci budu dostupni na internetu.

(24)

Ovom bi se Uredbom trebalo pojasniti što se podrazumijeva kada je postupak u potpunosti dostupan na internetu. Postupak bi se trebao smatrati u potpunosti dostupnim na internetu ako korisnik sve korake, od pristupa postupku do dovršetka tog postupka, interakcije s nadležnim tijelom, „službom za korisnike”, može obaviti elektronički, na daljinu i putem internetske usluge. Ta bi internetska usluga trebala voditi korisnika kroz popis svih zahtjeva koje je potrebno ispuniti i svih popratnih dokaza koje je potrebno dostaviti, omogućiti korisniku da dostavi informacije i dokaze o usklađenosti sa svim takvim zahtjevima te bi korisnik putem nje trebao dobiti automatsku potvrdu o primitku, osim kada se rezultat postupka dostavlja odmah. To nadležna tijela ne bi smjelo spriječiti da izravno kontaktiraju s korisnicima ako su potrebna dodatna pojašnjenja vezana uz postupak. Kada je to moguće u skladu s mjerodavnim pravom Unije i nacionalnim pravom, nadležna tijela isto bi tako rezultat postupka trebala korisniku dostaviti elektroničkim putem, kao što je utvrđeno u ovoj Uredbi.

(25)

Ova Uredba ne bi smjela utjecati na suštinu postupaka navedenih u Prilogu II. koji su uspostavljeni na nacionalnoj, regionalnoj ili lokalnoj razini te ona ne propisuje materijalna ili postupovna pravila u područjima obuhvaćenima Prilogom II., uključujući područje oporezivanja. Svrha je ove Uredbe utvrditi tehničke zahtjeve kako bi se osiguralo da su takvi postupci, ako su uspostavljeni u dotičnoj državi članici, u potpunosti dostupni na internetu.

(26)

Ova Uredba ne bi smjela utjecati na nadležnosti nacionalnih tijela za bilo koji postupak, uključujući provjeru točnosti i valjanosti dostavljenih informacija ili dokaza, te provjeru autentičnosti ako je dokaz dostavljen kanalima koji nisu dio tehničkog sustava temeljenog na načelu „samo jednom”. Ovom Uredbom također se ne bi smjelo utjecati na tijek rada unutar njihovih nadležnih tijela i među njima („službe”), bili oni digitalizirani ili ne. Ako je to potrebno kao dio nekog od postupaka za evidentiranje promjene poslovnih djelatnosti, države članice bi trebale moći nastaviti zahtijevati sudjelovanje javnih bilježnika ili odvjetnika koji će se možda htjeti koristiti sredstvima provjere poput videokonferencije ili drugih internetskih sredstava koja pružaju audiovizualnu vezu u stvarnom vremenu. Međutim, takvo sudjelovanje ne bi smjelo spriječiti dovršetak postupaka za internetsko evidentiranje takvih promjena u njihovoj cijelosti.

(27)

U nekim slučajevima od korisnika se može zahtijevati da dostave dokaze kako bi potvrdili činjenice koje se ne mogu utvrditi preko interneta. Ti dokazi mogu uključivati liječničke potvrde, dokaz da je korisnik živ, dokaz o tehničkoj ispravnosti motornih vozila ili potvrdu brojeva šasije. Pod uvjetom da se takvi dokazi mogu predati u elektroničkom obliku, to ne bi predstavljalo iznimku od načela da bi postupak trebao biti u potpunosti dostupan na internetu. U drugim slučajevima i dalje može biti potrebno da se korisnik i u internetskom postupku osobno pojavi pred nadležnim tijelima. Takve iznimke, osim onih koje proizlaze iz prava Unije, trebaju biti ograničene na situacije koje su opravdane prevladavajućim razlogom od javnog interesa u području javne sigurnosti, javnog zdravlja ili borbe protiv prijevara. Kako bi se osigurala transparentnost, države članice trebale bi podijeliti s Komisijom i drugim državama članicama informacije o takvim iznimkama te razlozima na temelju kojih i okolnostima pod kojima ih mogu primijeniti. Od država članica ne bi se smjelo zahtijevati da izvješćuju o svakom pojedinačnom slučaju u kojem je fizička prisutnost iznimno bila potrebna, već bi one trebale priopćiti nacionalne propise kojima se predviđaju takvi slučajevi. U okviru koordinacijske skupine za pristupnik trebalo bi redovito raspravljati o najboljim praksama na nacionalnoj razini i o tehničkom razvoju kojim se omogućuje daljnja digitalizacija u tom pogledu.

(28)

Postupak za prijavu promjene adrese može se u prekograničnim situacijama sastojati od dvaju odvojenih postupaka, jednog u državi članici podrijetla kako bi se zatražila odjava sa stare adrese te drugoga u odredišnoj državi članici kako bi se zatražila prijava na novoj adresi. Oba postupka trebala bi biti obuhvaćena ovom Uredbom.

(29)

S obzirom na to da je digitalizacija uvjeta, postupaka i formalnosti koji se odnose na priznavanje stručnih kvalifikacija već obuhvaćena Direktivom 2005/36/EZ, ovom bi Uredbom trebalo obuhvatiti samo digitalizaciju postupka kojim se traži akademsko priznavanje diploma, svjedodžbi ili drugih dokaza o završenom obrazovnom programu za osobu koja se želi početi školovati ili nastaviti sa školovanjem, ili se želi služiti akademskim nazivom, ali ne i formalnosti koje se odnose na priznavanje stručnih kvalifikacija.

(30)

Ovom se Uredbom ne bi smjelo utjecati na pravila o koordinaciji sustava socijalne sigurnosti utvrđena u uredbama (EZ) br. 883/2004 (14) i (EZ) br. 987/2009 (15) Europskog parlamenta i Vijeća, kojima se definiraju prava i obveze osiguranih osoba i ustanova socijalne sigurnosti te postupci primjenjivi u području koordinacije socijalne sigurnosti.

(31)

Na razini Unije i na nacionalnoj razini uspostavljeno je nekoliko mreža i usluga za pomoć građanima i poduzećima u njihovim prekograničnim aktivnostima. Važno je da te usluge, uključujući postojeće usluge podrške ili rješavanja problema uspostavljene na razini Unije, kao što su europski potrošački centri, služba Vaša Europa – Savjeti, SOLVIT, služba za pomoć u području prava intelektualnoga vlasništva, informacijski centar Europe Direct i Europska poduzetnička mreža, budu dio pristupnika kako bi se osiguralo da ih svi potencijalni korisnici mogu pronaći. Usluge navedene u Prilogu III. uspostavljene su obvezujućim aktima Unije, a ostale usluge funkcioniraju na dobrovoljnoj osnovi. Za usluge uspostavljene obvezujućim aktima Unije trebali bi vrijediti zahtjevi u pogledu kvalitete utvrđeni ovom Uredbom Usluge koje funkcioniraju na dobrovoljnoj osnovi trebale bi ispunjavati zahtjeve u pogledu kvalitete ako ih se namjerava učiniti dostupnima putem pristupnika. Opseg i priroda tih usluga, njihovi upravljački mehanizmi, postojeći rokovi te dobrovoljna, ugovorna ili druga osnova na temelju koje djeluju ne bi se smjeli izmijeniti ovom Uredbom. Na primjer, ako je pomoć koju pružaju neformalne prirode, ovom se Uredbom takva pomoć ne bi smjela mijenjati u pravni savjet obvezujuće prirode.

(32)

Nadalje, države članice i Komisija trebale bi moći pristupniku dodati i druge nacionalne usluge podrške i rješavanja problema koje pružaju nadležna tijela ili privatni ili poluprivatni subjekti ili javna tijela, kao što su gospodarske komore ili nevladine usluge podrške za građane, pod uvjetima utvrđenima ovom Uredbom. U načelu, pomoć građanima i poduzećima sa svim upitima koje imaju u vezi s primjenjivim pravilima i postupcima koji se ne mogu potpuno riješiti na internetu trebala bi biti zadaća nadležnih tijela. Međutim, u vrlo specijaliziranim područjima i u slučaju kada usluga privatnih ili poluprivatnih tijela zadovoljava potrebe korisnika, države članice mogu predložiti Komisiji da se takve usluge uključe u pristupnik, pod uvjetom da te usluge ispunjavaju sve uvjete utvrđene ovom Uredbom i da se time ne udvostručavaju već uključene usluge podrške i rješavanja problema.

(33)

Kako bi se korisnicima pomoglo u pronalaženju odgovarajuće usluge, ovom bi se Uredbom trebao osigurati pretraživač usluga podrške koji korisnike automatski vodi do prave usluge.

(34)

Usklađenost s popisom minimalnih zahtjeva u pogledu kvalitete ključna je za uspjeh pristupnika jer je potrebno osigurati da pružanje informacija i usluga bude pouzdano zato što bi u protivnom vjerodostojnost pristupnika u cjelini bila narušena. Najvažniji cilj usklađenosti jest osigurati da su informacije ili usluga predstavljene na jasan način prilagođen korisnicima. Države članice imaju zadaću utvrditi način na koji se informacije predstavljaju tijekom korisničkog služenja njima kako bi se taj cilj ostvario. Primjerice, iako je korisno da prije započinjanja postupka korisnici budu obaviješteni o općenitim pravnim sredstvima koja su im dostupna u slučaju negativnog ishoda postupka, za korisnike je mnogo korisnije da im se konkretne informacije o mogućim koracima koje u tom slučaju treba poduzeti daju na kraju postupka.

(35)

Pristupačnost informacija prekograničnim korisnicima može se znatno unaprijediti ako su one dostupne na službenom jeziku Unije koji općenito razumije najveći mogući broj prekograničnih korisnika. Taj bi jezik u većini slučajeva trebao biti strani jezik koji korisnici diljem Unije najviše uče, ali u nekim posebnim slučajevima, posebno u slučaju informacija koje na lokalnoj razini pružaju male lokalne jedinice u blizini granice države članice, najprikladniji jezik može biti onaj kojim se prekogranični korisnici u susjednoj državi članici služe kao materinjim jezikom. Prijevod sa službenog/službenih jezika dotične države članice na taj drugi službeni jezik Unije treba točno prenijeti sadržaj informacija koje se pružaju na izvornom jeziku/izvornim jezicima. Prevođenje može biti ograničeno samo na informacije koje su korisnicima potrebne kako bi razumjeli temeljna pravila i zahtjeve koji se odnose na njihovu situaciju. Premda bi države članice trebalo poticati da prevedu što je moguće više informacija na službeni jezik Unije koji općenito razumije najveći mogući broj prekograničnih korisnika, opseg informacija koje treba prevesti u skladu s ovom Uredbom ovisit će o financijskim sredstvima dostupnima u tu svrhu, posebice u okviru proračuna Unije. Komisija bi trebala poduzeti odgovarajuće mjere kako bi se državama članicama osigurala učinkovita dostava prijevoda na njihov zahtjev. O pitanju službenog jezika ili službenih jezika Unije na koje takve informacije treba prevesti trebala bi raspraviti koordinacijska skupina za pristupnik te u vezi s time pružiti smjernice.

(36)

U skladu s Direktivom (EU) 2016/2102 Europskog parlamenta i Vijeća (16) države članice moraju osigurati da internetske stranice njihovih javnih tijela budu dostupne u skladu s načelima mogućnosti percepcije, operabilnosti, razumljivosti i stabilnosti te da budu u skladu sa zahtjevima utvrđenima u toj direktivi. Komisija i države članice trebale bi osigurati da se poštuje Konvencija Ujedinjenih naroda o pravima osoba s invaliditetom, osobito njezini članci 9. i 21., a kako bi se omogućio pristup informacijama za osobe s intelektualnim poteškoćama, trebalo bi u najvećoj mogućoj mjeri i u skladu s načelom proporcionalnosti osigurati alternativna rješenja na lako čitljivom jeziku. Države članice ratificiranjem i Unija zaključivanjem (17) te Konvencije, obvezale su se da će poduzimati odgovarajuće mjere za osiguravanje ravnopravnog pristupa osobama s invaliditetom novim informacijskim i komunikacijskim tehnologijama i sustavima, uključujući internet, na način da olakšaju pristup informacijama osobama s intelektualnim poteškoćama, pružaju alternative na lako čitljivom jeziku što je više moguće i na razmjeran način.

(37)

Iako se Direktiva (EU) 2016/2102 ne primjenjuje na internetske stranice i mobilne aplikacije institucija, tijela, ureda i agencija Unije, Komisija bi trebala osigurati da su zajedničko sučelje i internetske stranice za koje je nadležna i koji će biti obuhvaćeni pristupnikom pristupačni osobama s invaliditetom, što znači da se mogu percipirati i da su operabilni, razumljivi i stabilni. Mogućnost percepcije znači da informacije i sastavni dijelovi zajedničkog korisničkog sučelja moraju biti predstavljeni korisnicima na način da ih oni mogu percipirati; operabilnost znači da se sastavnim dijelovima zajedničkog korisničkog sučelja i navigacijom mora moći upravljati; razumljivost znači da informacije i način rada zajedničkog korisničkog sučelja moraju biti razumljivi; a stabilnost znači da sadržaj mora biti dovoljno stabilan da ga može pouzdano tumačiti širok raspon korisničkih posrednika, uključujući pomoćne tehnologije. U pogledu pojmova mogućnost percepcije, operabilnost, razumljivost i stabilnost Komisiju se potiče da poštuje relevantne usklađene norme.

(38)

Kako bi se olakšalo plaćanje naknada koje se zahtijevaju u sklopu internetskih postupaka ili za pružanje usluga podrške ili rješavanja problema, prekogranični korisnici trebali bi biti u mogućnosti koristiti se kreditnim transferima ili izravnim terećenjima, kako je navedeno u Uredbi br. (EU) 260/2012 Europskog parlamenta i Vijeća (18), ili drugim općenito upotrebljavanim prekograničnim načinima plaćanja, uključujući debitne ili kreditne kartice.

(39)

Za korisnike je korisno da budu informirani o očekivanom trajanju određenog postupka. Korisnici bi, tako, trebali biti informirani o primjenjivim rokovima ili postupcima prešutnog odobrenja ili šutnje uprave ili, ako oni nisu primjenjivi, barem o prosječnom, očekivanom ili okvirnom vremenu koje je obično potrebno za taj postupak. Takve procjene ili naznake bi samo trebale pomoći korisnicima u planiranju aktivnosti ili bilo kojih naknadnih administrativnih koraka te ne bi smjele imati nikakav pravni učinak.

(40)

Ovom bi se Uredbom trebala omogućiti i provjera dokaza koje korisnici dostavljaju u elektroničkom obliku kad se ti dokazi dostavljaju bez elektroničkog pečata ili certificiranja nadležnog tijela koje ih izdaje ili kada ne postoji tehnički alat utvrđen ovom Uredbom ili drugim sustavom kojim bi se omogućila izravna razmjena ili provjera dokaza među nadležnim tijelima različitih država članica. U takvim slučajevima Uredbom bi se trebao predvidjeti djelotvoran mehanizam administrativne suradnje među nadležnim tijelima država članica na temelju Informacijskog sustava unutarnjeg tržišta (sustav IMI) koji je uspostavljen Uredbom (EU) br. 1024/2012 Europskog parlamenta i Vijeća (19). U takvim bi slučajevima odluka nadležnog tijela da se koristi sustavom IMI trebala biti dobrovoljna, ali nakon što je tijelo podnijelo zahtjev za informacijama ili suradnjom putem sustava IMI, nadležno tijelo kojem je upućen zahtjev trebalo bi biti dužno surađivati i pružiti odgovor. Zahtjev se putem sustava IMI može poslati ili nadležnom tijelu koje izdaje dokaz ili središnjem tijelu koje trebaju imenovati države članice u skladu sa svojim administrativnim pravilima. Kako bi se izbjeglo nepotrebno udvostručenje i budući da je Uredbom (EU) 2016/1191 Europskog parlamenta i Vijeća (20) obuhvaćen dio dokaza relevantnih za postupke obuhvaćene ovom Uredbom, mehanizmi suradnje za sustav IMI utvrđeni u Uredbi (EU) 2016/1191 mogu se upotrebljavati i u svrhu drugih dokaza koji se zahtijevaju u postupcima obuhvaćenima ovom Uredbom. Kako bi se tijelima, službama i agencijama Unije omogućilo sudjelovanje u sustavu IMI, potrebno je izmijeniti Uredbu (EU) br. 1024/2012.

(41)

Internetske usluge koje osiguravaju nadležna tijela ključne su za poboljšanje kvalitete i sigurnosti usluga namijenjenih građanima i poduzećima. Javne uprave u državama članicama nastoje ponovno upotrebljavati postojeće podatke, izostavljajući zahtjeve građanima i poduzećima za ponovnom dostavom istih informacija. Ponovna upotreba podataka trebala bi biti omogućena i prekograničnim korisnicima kako bi se izbjeglo dodatno opterećenje.

(42)

Kako bi se u cijeloj Uniji omogućila zakonita prekogranična razmjena dokaza i informacija primjenom načela „samo jednom”, ova bi se Uredba i to načelo trebali primjenjivati u skladu sa svim primjenjivim pravilima o zaštiti podataka, uključujući načela smanjenja količine podataka, točnosti, ograničenja pohrane, integriteta i povjerljivosti, nužnosti, proporcionalnosti i ograničenja svrhe. Njezina bi primjena osim toga trebala biti u potpunosti u skladu s načelima integrirane sigurnosti i integrirane privatnosti, uz poštovanje temeljnih prava pojedinaca, uključujući ona povezana s pravednosti i transparentnosti.

(43)

Države članice trebaju osigurati da se korisnicima postupaka pruže jasne informacije o tome kako će se osobni podatci koji se odnose na njih obrađivati u skladu s člancima 13. i 14. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća (21) i člancima 15. i 16. Uredbe (EU) 2018/1725 (22).

(44)

Kako bi se dodatno olakšala upotreba internetskih postupaka, ovom bi se Uredbom, u skladu s načelom „samo jednom”, trebao pružiti temelj za izradu i upotrebu potpuno operativnog, sigurnog i zaštićenog tehničkog sustava za automatiziranu prekograničnu razmjenu dokaza među sudionicima uključenima u postupak, kada to građani i poduzeća izričito zahtijevaju. Kada razmjena dokaza uključuje osobne podatke, zahtjev se treba smatrati izričitim ako sadrži dobrovoljno danu, određenu, informiranu i nedvosmislenu naznaku želje pojedinca za razmjenom relevantnih osobnih podataka ili u obliku izjave ili u obliku potvrdne radnje. Ako korisnik nije osoba na koju se podatci odnose, internetskim postupkom ne bi se smjela ugroziti njegova prava iz Uredbe (EU) 2016/679. Prekogranična primjena načela „samo jednom” trebala bi dovesti do toga da građani i poduzeća ne trebaju dostavljati iste podatke tijelima javne vlasti više od jedanput te da bi se ti podatci isto tako trebali moći upotrijebiti na zahtjev korisnika u svrhe dovršetka prekograničnih internetskih postupaka koji uključuju prekogranične korisnike. Obveza uporabe tehničkog sustava za automatiziranu razmjenu dokaza između različitih država članica treba se primjenjivati na nadležno tijelo izdavatelja samo ako ta tijela u vlastitoj državi članici zakonito izdaju dokaz u elektroničkom obliku kojim se omogućuje takva automatizirana razmjena.

(45)

Sve prekogranične razmjene dokaza trebale bi imati odgovarajuću pravnu osnovu, kao što su direktive 2005/36/EZ, 2006/123/EZ, 2014/24/EU ili 2014/25/EU ili, za postupke navedene u Prilogu II., drugo primjenjivo pravo Unije ili nacionalnom pravu.

(46)

Primjereno je da se ovom Uredbom, kao opće pravilo, utvrdi da se prekogranična automatizirana razmjena dokaza odvija na izričit zahtjev korisnika. Taj se zahtjev, međutim, ne bi trebao primjenjivati u slučajevima u kojima se relevantnim pravom Unije ili nacionalnim pravom dozvoljava automatska prekogranična razmjena podataka bez izričitog zahtjeva korisnika.

(47)

Uporaba tehničkog sustava uspostavljenog ovom Uredbom trebala bi biti dobrovoljna, a korisnik bi trebao moći podnijeti dokaze i drugim kanalima, izvan tehničkog sustava. Korisnik bi trebao imati mogućnost pretpregleda dokaza te pravo da odustane od razmjene dokaza u slučaju da, nakon pretpregleda dokaza koji se trebaju razmijeniti, otkrije da su informacije netočne, zastarjele ili izlaze izvan okvira onog što je potrebno za predmetni postupak. Podatci se za potrebe pretpregleda ne bi smjeli pohranjivati duže nego što je tehnički potrebno.

(48)

Sigurnim tehničkim sustavom koji se treba uspostaviti radi omogućivanja razmjene dokaza u skladu s ovom Uredbom ujedno se pruža sigurnost nadležnim tijelima podnositeljima zahtjeva da im je dokaze dostavilo pravo tijelo izdavatelj. Prije prihvaćanja informacija koje je u okviru postupka dostavio korisnik, u slučaju dvojbe nadležno bi tijelo trebalo biti u mogućnosti provjeriti te informacije i zaključiti da su točne.

(49)

Postoji niz sastavnica koje nude temeljne mogućnosti koje se mogu upotrijebiti za uspostavljanje tehničkog sustava, kao što su Instrument za povezivanje Europe uspostavljen Uredbom (EU) br. 1316/2013 Europskog parlamenta i Vijeća (23) te sastavnice e-dostava i elektronička osobna iskaznica koji su dio tog instrumenta. Te se sastavnice sastoje od tehničkih specifikacija, uzoraka softvera i pomoćnih usluga te se njima teži osigurati interoperabilnost među postojećim sustavima informacijske i komunikacijske tehnologije (IKT) u različitim državama članicama kako bi građani, poduzeća i javne uprave, gdje god se nalazili u Europi, mogli imati koristi od digitalnih javnih usluga bez prekida.

(50)

Tehnički sustav uspostavljen ovom Uredbom trebao bi biti dostupan uz ostale sustave u kojima postoje mehanizmi za suradnju nadležnih tijela, kao što je sustav IMI, što ne bi trebalo utjecati na ostale sustave, uključujući sustav predviđen u Uredbi (EZ) br. 987/2009, Europsku jedinstvenu dokumentaciju o nabavi iz Direktive 2014/24/EU, Informacijski sustav elektroničke razmjene podataka o socijalnoj sigurnosti u skladu s Uredbom (EZ) br. 987/2009, europsku strukovnu iskaznicu u skladu s Direktivom 2005/36/EZ, međusobno povezivanje nacionalnih registara i međusobno povezivanje središnjeg registra, trgovačkog registra i registra trgovačkih društava u skladu s Direktivom (EU) 2017/1132 Europskog parlamenta i Vijeća (24) te međusobno povezivanje registara nesolventnosti u skladu s Uredbom (EU) 2015/848 Europskog parlamenta i Vijeća (25).

(51)

Radi osiguranja jedinstvenih uvjeta primjene tehničkog sustava za automatiziranu razmjenu dokaza, provedbene ovlasti trebalo bi dodijeliti Komisiji koja će utvrditi posebno tehničke i operativne specifikacije sustava za obradu zahtjeva korisnika za razmjenu i prijenos tih dokaza, kao i utvrditi mjere za osiguranje cjelovitosti i povjerljivosti prijenosa. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (26).

(52)

S ciljem osiguranja da tehnički sustav pruža visoku razinu sigurnosti za prekograničnu primjenu načela „samo jednom”, Komisija bi pri donošenju provedbenih akata kojima se utvrđuju specifikacije za takav tehnički sustav trebala voditi računa o normama i tehničkim specifikacijama koje su izradile europske i međunarodne organizacije i tijela za normizaciju, osobito Europski odbor za normizaciju (CEN), Europski institut za telekomunikacijske norme (ETSI), Međunarodna organizacija za normizaciju (ISO) i Međunarodna telekomunikacijska unija (ITU), te o normama sigurnosti iz članka 32. Uredbe (EU) 2016/679 i članka 22. Uredbe (EU) 2018/1725.

(53)

Kad je to potrebno kako bi se zajamčili razvoj, dostupnost, održavanje, nadzor i praćenje dijelova tehničkog sustava za koje je ona odgovorna te upravljanje sigurnošću za njih, Komisija bi trebala zatražiti savjet europskog nadzornika za zaštitu podataka.

(54)

Nadležna tijela i Komisija trebali bi osigurati da su informacije, postupci i usluge za koje su odgovorni u skladu s kriterijem kvalitete. Nacionalni koordinatori koji su imenovani na temelju ove Uredbe trebali bi, na nacionalnoj razini, a Komisija na razini Unije, redovito nadzirati usklađenost s kriterijima kvalitete i sigurnosti i rješavati sve eventualne probleme. Nacionalni bi koordinatori usto trebali pomagati Komisiji u praćenju rada tehničkog sustava kojim se omogućuje prekogranična razmjena dokaza. Ovom bi Uredbom Komisija trebala dobiti niz načina kako rješavati eventualno snižavanje kvalitete usluga koje se nude putem pristupnika, ovisno o ozbiljnosti i trajanju pogoršanja kvalitete, uključenjem, prema potrebi, koordinacijske skupine za pristupnik. Time se ne dovodi u pitanje opća odgovornost Komisije u pogledu praćenja usklađenosti s ovom Uredbom.

(55)

U ovoj bi se Uredbi trebale navesti glavne funkcije tehničkih alata koji omogućuju rad pristupnika, osobito zajedničkog korisničkog sučelja, repozitorija za poveznice i zajedničkog alata za pretraživanje usluga podrške. Zajedničkim korisničkim sučeljem trebalo bi osigurati da korisnici mogu lako pronaći informacije, postupke i usluge podrške i rješavanja problema na nacionalnim internetskim mjestima i internetskim mjestima na razini Unije. Države članice i Komisija trebale bi težiti pružanju poveznica na jedinstven izvor informacija koji je potreban za pristupnik kako bi se izbjegle nedoumice među korisnicima uzrokovane različitim te u potpunosti ili djelomično udvostručenim izvorima istih informacija. To ne bi smjelo spriječiti stavljanje poveznica na iste informacije koje lokalna ili regionalna nadležna tijela nude u vezi s različitim geografskim područjima. Isto tako, ne bi smjelo spriječiti udvostručavanje informacija kada je to neizbježno ili poželjno, primjerice ako se ponavljaju ili opisuju neka prava, obveze i pravila Unije na nacionalnim internetskim stranicama kako bi se poboljšala prilagođenost korisnicima. Kako bi se ljudske intervencije u ažuriranju poveznica koje će se upotrebljavati preko zajedničkog korisničkog sučelja svele na najmanju moguću mjeru, trebalo bi, gdje je to tehnički moguće, uspostaviti izravnu vezu među relevantnim tehničkim sustavima država članica i repozitorija za poveznice. U okviru zajedničkih alata za IKT podršku može se koristiti Glosar temeljnih javnih usluga (CPSV) kako bi se olakšali interoperabilnost s nacionalnim katalozima usluga i semantika. Trebalo bi poticati države članice da se služe CPSV-om, iako one mogu odlučiti služiti se nacionalnim rješenjima. Informacije sadržane u repozitoriju za poveznice trebale bi biti javne i dostupne u strojno čitljivom i otvorenom formatu, na primjer preko sučelja za programiranje aplikacija (API), kako bi se omogućila njihova ponovna upotreba.

(56)

Korisnici bi pretraživanjem zajedničkog korisničkog sučelja trebali doći do informacija koje su im potrebne, bilo da se one nalaze na internetskim stranicama Unije bilo na nacionalnim stranicama. Osim toga, kao alternativan način za usmjeravanje korisnika prema korisnim informacijama, i dalje će biti korisno stvarati poveznice između postojećih i komplementarnih internetskih mjesta ili internetskih stranica, tako što će ih se što više pojednostavniti i grupirati, te stvarati poveznice između internetskih stranica na razini Unije i na nacionalnoj razini omogućujući pristup internetskim uslugama i informacijama.

(57)

Ovom Uredbom trebalo bi također utvrditi zahtjeve u pogledu kvalitete za zajedničko korisničko sučelje. Komisija bi trebala osigurati da zajedničko korisničko sučelje bude u skladu s tim zahtjevima te da sučelje osobito bude dostupno preko raznih kanala i lako za upotrebu.

(58)

Radi osiguranja jednakih uvjeta za primjenu tehničkih rješenja koji su potpora pristupniku, provedbene ovlasti trebalo bi dodijeliti Komisiji koja će po potrebi utvrditi primjenjive standarde i zahtjeve interoperabilnosti s ciljem lakšeg pronalaženja informacija o pravilima i obvezama, postupcima i uslugama podrške i rješavanja problema koje su u nadležnosti država članica i Komisije. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011.

(59)

Ovom bi se Uredbom trebalo jasno utvrditi za što će u pogledu razvoja, dostupnosti, održavanja i sigurnosti IKT aplikacija koje podržavaju pristupnik biti odgovorna Komisija, a za što države članice. Komisija i države članice trebale bi kao dio zadataka održavanja redovno pratiti ispravnost tih IKT aplikacija.

(60)

Kako bi se razvio puni potencijal različitih informacijskih područja, postupaka te usluga podrške i rješavanja problema koji trebaju biti uključeni u pristupnik, potrebno je u znatnoj mjeri unaprijediti svijest ciljne publike o njihovu postojanju i funkcioniranju. Kad se ta područja uključe u pristupnik, korisnicima bi trebalo biti puno lakše pronaći potrebne informacije, postupke te usluge podrške i rješavanja problema, čak i ako su im dotad bili nepoznati. Nadalje, bit će potreban koordiniran rad na promociji kako bi se građane i poduzeća diljem Unije upoznalo s postojanjem pristupnika i njegovim prednostima. Takve promotivne aktivnosti trebale bi uključivati optimizaciju tražilice i druge aktivnosti za podizanje razine svijesti na internetu s obzirom na to da su one troškovno najučinkovitije i imaju potencijal da dopru do najveće moguće ciljne publike. Za postizanje maksimalne učinkovitosti poželjno je da se te promotivne aktivnosti koordiniraju unutar okvira koordinacijske skupine za pristupnik, a države članice trebale bi prilagoditi svoje promotivne aktivnosti tako da se u svim relevantnim kontekstima spominje isti brend, uz mogućnost da se pristupnik objedini u brend s nacionalnim inicijativama.

(61)

Sve institucije, tijela i agencije Unije trebalo bi poticati da promiču upotrebu pristupnika tako što će njegov logotip i poveznice na njega dodati na sve relevantne internetske stranice za koje su odgovorni.

(62)

Ime pod kojim pristupnik u javnosti treba biti poznat i pod kojim ga treba promovirati jest „Your Europe”. Zajedničko korisničko sučelje trebalo bi biti vidljivo i trebalo bi ga moći jednostavno naći, posebno na relevantnim internetskim stranicama Unije i nacionalnim internetskim stranicama. Logotip pristupnika trebao bi biti vidljiv na relevantnim internetskim mjestima Unije i nacionalnim internetskim mjestima.

(63)

Kako bi se dobile prikladne informacije za mjerenje i poboljšanje uspješnosti pristupnika, ovom Uredbom trebalo bi od nadležnih tijela i Komisije zahtijevati da prikupljaju i analiziraju podatke o upotrebi različitih informacijskih područja, postupaka te usluga koji se nude putem pristupnika. Prikupljanjem statističkih podataka o korisnicima, kao što su podatci koji se odnose na broj posjeta određenim internetskim stranicama, broj korisnika unutar neke države članice u usporedbi s brojem korisnika iz druge države članice, pojmovi korišteni za pretraživanje, najposjećenije stranice, preporučene internetske stranice ili broj, podrijetlo i tematika zahtjeva za podršku, trebalo bi se poboljšati rad pristupnika jer će to doprinijeti identificiranju publike, razvoju promotivnih aktivnosti i poboljšanju kvalitete ponuđenih usluga. Kako bi se izbjeglo svako udvostručivanje, prikupljanjem podataka trebalo bi uzimati u obzir godišnje ocjenjivanje e-uprave prema referentnim vrijednostima, koje provodi Komisija.

(64)

Radi osiguranja jedinstvenih uvjeta za provedbu ove Uredbe, provedbene ovlasti trebalo bi dodijeliti Komisiji kako bi utvrdila ujednačena pravila o metodi prikupljanja i razmjene statističkih podataka o korisnicima. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011.

(65)

Kvaliteta pristupnika ovisi o kvaliteti usluga Unije i nacionalnih usluga koje se pružaju putem pristupnika. Stoga bi kvalitetu informacija, postupaka te usluga podrške i rješavanja problema koji su dostupni putem pristupnika također trebalo redovito pratiti putem alata za povratne informacije, u kojem se od korisnika traži da procijene i daju povratne informacije o pokrivenosti i kvaliteti informacija, postupaka te usluga podrške i rješavanja problema kojima su se koristili. Te bi se povratne informacije prikupljale na jednom mjestu, a pristup tom zajedničkom alatu trebali bi imati Komisija, nadležna tijela i nacionalni koordinatori. Radi osiguranja jednakih uvjeta za primjenu ove Uredbe u pogledu zajedničkih funkcija alata za povratne informacije korisnika i detaljnog uređenja prikupljanja i razmjene tih povratnih informacija korisnika, provedbene ovlasti trebalo bi dodijeliti Komisiji. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011. Komisija bi na internetu trebala objaviti anoniman sažeti pregled problema na temelju informacija, statističkih podataka o glavnim korisnicima i povratnih informacija glavnih korisnika prikupljenih u skladu s ovom Uredbom.

(66)

Nadalje, alat za povratne informacije kojim se korisnicima omogućuje da, ako to žele i anonimno, prijave sve probleme i poteškoće na koje naiđu pri ostvarivanju svojih prava povezanih s unutarnjim tržištem trebao bi biti dio pristupnika. S obzirom na to da taj alat ne omogućuje personalizirani odgovor korisniku, on bi se trebao smatrati tek dodatkom mehanizmu za rješavanje pritužbi. Tako primljene informacije trebale bi se kombinirati sa zbirnim informacijama o slučajevima koji su se rješavali u okviru usluga podrške i rješavanja problema, te bi se tako dobio pregled unutarnjeg tržišta kako ga doživljavaju korisnici i utvrdila problematična područja u kojima bi ubuduće trebalo djelovati kako bi se unaprijedilo funkcioniranje unutarnjeg tržišta. Taj bi pregled trebao biti povezan s postojećim alatima za izvješćivanje kao što je pregled stanja na jedinstvenom tržištu.

(67)

Ova Uredba ne bi smjela utjecati na pravo država članica da odlučuju tko bi trebao obavljati ulogu nacionalnog koordinatora. Države članice trebale bi moći prilagoditi funkcije i odgovornosti svojih nacionalnih koordinatora u vezi s pristupnikom svojim internim upravnim strukturama. Države članice trebale bi moći imenovati dodatne nacionalne koordinatore za obavljanje zadaća u skladu s ovom Uredbom, samostalno ili s drugim koordinatorima, s odgovornošću za upravne raspodjele ili zemljopisna područja ili u skladu s nekim drugim kriterijem. Države članice trebaju obavijestiti Komisiju o identitetu jedinstvenog nacionalnog koordinatora kojeg su imenovale za kontakt s Komisijom.

(68)

Trebalo bi osnovati koordinacijsku skupinu za pristupnik čiji su članovi nacionalni koordinatori i kojom predsjeda Komisija kako bi se olakšala primjena ove Uredbe, osobito razmjenom najboljih praksi i zajedničkim radom na unapređenju ujednačenosti načina prezentacije informacija, što je jedan od zahtjeva ove Uredbe. Pri radu koordinacijske skupine za pristupnik trebalo bi uzimati u obzir ciljeve utvrđene u godišnjem programu rada, koje bi joj Komisija trebala dostaviti na razmatranje. Godišnji program rada trebao bi biti u obliku smjernica ili preporuka koje su neobvezujuće za države članice. Komisija, na zahtjev Europskog parlamenta, može uputiti poziv Parlamentu da pošalje stručnjake koji će sudjelovati na sastancima koordinacijske skupine za pristupnik.

(69)

Ovom Uredbom trebalo bi pojasniti koji će se dijelovi pristupnika financirati iz proračuna Unije, a koji su dijelovi u nadležnosti država članica. Komisija bi trebala pomagati državama članicama oko pronalaženja IKT sastavnica koje se mogu višekratno upotrebljavati i oko financiranja dostupnog preko raznih fondova i programa na razini Unije kojima se može doprinijeti pokrivanju troškova za IKT prilagodbe i razvoja potrebnih da bi na nacionalnoj razini bili u skladu s ovom Uredbom. Proračun za provedbu ove Uredbe trebao bi biti u skladu s važećim višegodišnjim financijskim okvirom.

(70)

Države članice potiče se na snažniju međusobnu koordinaciju, razmjenu i suradnju s ciljem povećanja njihovih strateških, operativnih, istraživačkih i razvojnih kapaciteta u području kibersigurnosti, osobito provedbom mrežne i informacijske sigurnosti iz Direktive (EU) 2016/1148 Europskog parlamenta i Vijeća (27), radi jačanja sigurnosti i otpornosti svoje javne uprave i usluga. Države članice potiče se da povećaju sigurnost transakcija i osiguraju dovoljnu razinu povjerenja u elektronička sredstva upotrebom okvira za eIDAS utvrđenog Uredbom (EU) br. 910/2014 i, posebice, odgovarajućih razina sigurnosti. Radi očuvanja kibersigurnosti i sprečavanja zlouporabe identiteta ili drugih oblika prijevare države članice mogu poduzimati mjere u skladu s pravom Unije.

(71)

Kada primjena ove Uredbe uključuje obradu osobnih podataka, trebala bi se provoditi u skladu s pravom Unije o zaštiti osobnih podataka, osobito s Uredbom (EU) 2016/679 i Uredbom (EU) 2018/1725. U kontekstu ove Uredbe također se primjenjuje Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća (28). Države članice mogu u skladu s Uredbom (EU) 2016/679 zadržati postojeće ili uvesti dodatne uvjete, uključujući ograničenja, u pogledu obrade zdravstvenih podataka, i mogu predvidjeti detaljnija pravila za obradu osobnih podataka zaposlenika u kontekstu zapošljavanja.

(72)

Ovom Uredbom trebalo bi promicati i olakšati pojednostavnjenje mehanizama upravljanja za usluge obuhvaćene pristupnikom. U tu bi svrhu Komisija trebala, u bliskoj suradnji s državama članicama, preispitati postojeće mehanizme upravljanja i po potrebi ih prilagoditi kako bi se izbjeglo udvostručavanje i neučinkovitost.

(73)

Cilj je ove Uredbe osigurati da korisnici koji su aktivni u drugim državama članicama imaju putem interneta pristup sveobuhvatnim, pouzdanim, pristupačnim i razumljivim informacijama o pravima, obvezama i pravilima na razini Unije i na nacionalnoj razini, pristup postupcima koji se u potpunosti mogu obavljati prekogranično te uslugama podrške i rješavanja problema. S obzirom na to da taj cilj ne mogu dostatno ostvariti države članice, nego se zbog opsega ili učinaka djelovanja on na bolji način može ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti utvrđenim u tom članku ova Uredba ne prelazi ono što je potrebno za ostvarivanje tog cilja.

(74)

Kako bi Komisija i države članice razvile i primijenile alate potrebne za provedbu ove Uredbe, neke njezine odredbe trebale bi se početi primjenjivati dvije godine nakon njezina stupanja na snagu. Lokalna bi tijela nakon stupanja na snagu ove Uredbe trebala imati maksimalno četiri godine za provedbu zahtjeva o pružanju informacija o pravilima, postupcima te uslugama podrške i rješavanja problema u okviru svoje nadležnosti. Odredbe ove Uredbe o postupcima koji će se u potpunosti nuditi na internetu, prekograničnom pristupu internetskim postupcima i tehničkom sustavu za prekograničnu automatiziranu razmjenu dokaza u skladu s načelom „samo jednom” trebale bi se provesti najkasnije pet godina nakon stupanja na snagu ove Uredbe.

(75)

Ovom se Uredbom poštuju temeljna prava i načela priznata posebno u Povelji Europske unije o temeljnim pravima i njezinom bi se provedbom trebala poštovati ta prava i načela.

(76)

Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 28. stavkom 2. Uredbe (EZ) br. 45/2001 Europskog parlamenta i Vijeća (29), koji je dao mišljenje 1. kolovoza 2017. (30),

(1)

Zaštita pojedinaca s obzirom na obradu osobnih podataka temeljno je pravo. Člankom 8. stavkom 1. Povelje Europske unije o temeljnim pravima („Povelja”) te člankom 16. stavkom 1. Ugovora o funkcioniranju Europske unije (UFEU) utvrđuje se da svatko ima pravo na zaštitu svojih osobnih podataka. To je pravo zajamčeno i člankom 8. Europske konvencije za zaštitu ljudskih prava i temeljnih sloboda.

(2)

Uredbom (EZ) br. 45/2001 Europskog parlamenta i Vijeća (3) pojedincima se osigurava prava koja su zakonito ostvariva, utvrđuju dužnosti voditelja obrade pri obradi podataka u institucijama i tijelima Zajednice te uspostavlja neovisno nadzorno tijelo, Europski nadzornik za zaštitu podataka, odgovorno za praćenje obrade osobnih podataka u institucijama i tijelima Unije. No ta se Uredba ne primjenjuje na obradu osobnih podataka u institucijama i tijelima Unije tijekom djelatnosti koja je izvan područja primjene prava Unije.

(3)

Uredba (EU) 2016/679 Europskog parlamenta i Vijeća (4) i Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća (5) donesene su 27. travnja 2016. Dok se Uredbom utvrđuju opća pravila za zaštitu pojedinaca u vezi s obradom osobnih podataka i za osiguravanje slobodnog kretanja osobnih podataka u Uniji, Direktivom se utvrđuju posebna pravila za zaštitu pojedinaca u vezi s obradom osobnih podataka te za osiguravanje slobodnog kretanja osobnih podataka u Uniji u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje.

(4)

Uredbom (EU) 2016/679 uređuju se prilagodbe Uredbe (EZ) br. 45/2001 kako bi se osigurao čvrst i usklađen okvir za zaštitu podataka u Uniji te kako bi se mogla primjenjivati usporedno s Uredbom (EU) 2016/679.

(5)

Radi usklađenog pristupa zaštiti osobnih podataka u cijeloj Uniji te slobodnog kretanja osobnih podataka unutar Unije potrebno je pravila o zaštiti osobnih podataka koja vrijede za institucije, tijela, urede i agencije Unije što bolje uskladiti s pravilima o zaštiti osobnih podataka donesenima za javni sektor u državama članicama. Kad god se odredbe ove Uredbe temelje na istim načelima kao i odredbe Uredbe (EU) 2016/679, te bi skupove odredbi, u skladu s ustaljenom sudskom praksom Suda Europske unije („Sud”) trebalo tumačiti ujednačeno, posebno zato što bi strukturu ove Uredbe trebalo shvatiti kao istovjetnu strukturi Uredbe (EU) 2016/679.

(6)

Trebalo bi zaštititi osobe čije osobne podatke obrađuju institucije i tijela Unije u bilo kojemu kontekstu, primjerice zato što su te osobe zaposlene u tim institucijama ili tijelima. Ova se Uredba ne bi trebala primjenjivati na obradu osobnih podataka preminulih osoba. Ova Uredba ne obuhvaća obradu osobnih podataka koji se tiču pravnih osoba, a osobito poduzetnika koji su ustanovljeni kao pravne osobe, uključujući ime i oblik pravne osobe i podatke za kontakt pravne osobe.

(7)

Radi sprečavanja stvaranja ozbiljnog rizika zaobilaženja propisa, zaštita pojedinaca trebala bi biti tehnološki neutralna i ne bi smjela ovisiti o upotrebljavanim tehnologijama.

(8)

Ova bi se Uredba trebala primjenjivati na obradu osobnih podataka koju obavljaju sve institucije, tijela, uredi i agencije Unije. Trebala bi se primjenjivati na obradu osobnih podataka koja se u cijelosti ili djelomično obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane. Dokumenti ili skupovi dokumenata te njihove naslovne stranice koji nisu strukturirani prema posebnim mjerilima ne bi trebali biti obuhvaćeni područjem primjene ove Uredbe.

(9)

U Izjavi br. 21 o zaštiti osobnih podataka u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje, priloženoj završnom aktu međuvladine konferencije na kojoj je donesen Ugovor iz Lisabona, na konferenciji je potvrđeno da bi se određena pravila o zaštiti osobnih podataka i slobodnom kretanju osobnih podataka u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje na temelju članka 16. UFEU-a mogla pokazati neophodnima zbog specifične prirode tih područja. Zasebno poglavlje ove Uredbe koje sadrži opća pravila stoga bi trebalo primjenjivati na obradu operativnih osobnih podataka kao što su osobni podaci koji se obrađuju za potrebe kaznenih istraga koje provode tijela, uredi ili agencije Unije pri obavljanju aktivnosti u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje.

(10)

Direktivom (EU) 2016/680 utvrđuju se usklađena pravila za zaštitu i slobodno kretanje osobnih podataka obrađenih u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje. Kako bi se pojedincima osigurala jednaka razina zaštite s pomoću prava koja su zakonito ostvariva u cijeloj Uniji te spriječila odstupanja koja ometaju razmjenu osobnih podataka između tijela, ureda ili agencija Unije pri obavljanju aktivnosti obuhvaćenih područjem primjene poglavlja 4. ili poglavlja 5. glave V. trećeg dijela UFEU-a i nadležnih tijela, pravila o zaštiti i slobodnom kretanju operativnih osobnih podataka koje obrađuju ta tijela, uredi ili agencije Unije trebala bi biti u skladu s Direktivom (EU) 2016/680.

(11)

Opća pravila poglavlja ove Uredbe o obradi operativnih osobnih podataka trebala bi se primjenjivati ne dovodeći u pitanje posebna pravila koja se primjenjuju na obradu operativnih osobnih podataka u tijelima, uredima i agencijama Unije pri izvršavanju aktivnosti obuhvaćenih područjem primjene poglavlja 4. ili poglavlja 5. glave V. trećeg dijela UFEU-a. Ta posebna pravila trebalo bi smatrati za lex specialis u odnosu na odredbe u poglavlju ove Uredbe u vezi s obradom operativnih osobnih podataka (lex specialis derogat legi generali). Kako bi se smanjila pravna rascjepkanost, posebna pravila o zaštiti podataka koja se primjenjuju na obradu operativnih osobnih podataka u tijelima, uredima ili agencijama Unije pri obavljanju aktivnosti obuhvaćenih područjem primjene poglavlja 4. ili poglavlja 5. glave V. trećeg dijela UFEU-a trebala bi biti u skladu s načelima na kojima se temelji poglavlje ove Uredbe u vezi s obradom operativnih osobnih podataka, kao i s odredbama ove Uredbe koje se odnose na neovisan nadzor, pravna sredstva, odgovornost i sankcije.

(12)

Poglavlje ove Uredbe o obradi operativnih osobnih podataka trebalo bi se primjenjivati na tijela, urede i agencije Unije kada obavljaju aktivnosti obuhvaćene područjem primjene glave V. poglavlja 4. i 5. trećeg dijela UFEU-a, bez obzira na to obavljaju li te aktivnosti kao glavne ili dodatne zadaće, za potrebe sprečavanja, otkrivanja, istrage ili progona kaznenih djela. Međutim, ono se ne bi smjelo primjenjivati na Europol ili na Ured europskog javnog tužitelja sve dok se pravni akti o osnivanju Europola i Ureda europskog javnog tužitelja ne izmijene s ciljem da se poglavlje ove Uredbe u vezi s obradom operativnih osobnih podataka, kako je prilagođeno, primjenjuje i na njih.

(13)

Komisija bi trebala provesti preispitivanje ove Uredbe, osobito poglavlja ove Uredbe o obradi operativnih osobnih podataka. Komisija bi trebala provesti preispitivanje i ostalih zakonodavnih akata usvojenih na osnovi Ugovora kojima s uređuje obrada operativnih osobnih podataka u tijelima, uredima ili agencijama Unije pri obavljanju aktivnosti obuhvaćenih područjem primjene poglavlja 4. i 5. glave V. trećeg dijela UFEU -a. Nakon tog preispitivanja, kako bi se zajamčila jedinstvena i dosljedna zaštita pojedinaca s obzirom na obradu osobnih podataka, Komisija bi trebala moći podnijeti odgovarajuće zakonodavne prijedloge, što podrazumijeva i, ako je potrebno, prilagodbu posebnog poglavlja ove Uredbe u vezi s obradom operativnih osobnih podataka, s ciljem njegove primjene na Europol i Ured europskog javnog tužitelja. Prilagodba bi trebala uzeti u obzir odredbe koje se odnose na neovisan nadzor, pravna sredstva, odgovornost i sankcije.

(14)

Ova bi Uredba trebala obuhvaćati obradu administrativnih osobnih podataka, kao što su podaci o osoblju, pri obavljanju aktivnosti obuhvaćenih područjem primjene poglavlja 4. i 5. glave V. trećeg dijela UFEU -a u tijelima, uredima ili agencijama Unije.

(15)

Ova Uredba trebala bi se primjenjivati na obradu osobnih podataka koju obavljaju institucije, tijela, uredi ili agencije Unije koje obavljaju aktivnosti obuhvaćene područjem primjene glave V. poglavlja 2. Ugovora o Europskoj uniji (UEU). Ova se Uredba ne bi trebala primjenjivati na obradu osobnih podataka koja se obavlja u misijama iz članka 42. stavka 1. te članaka 43. i 44. UEU-a, kojima se provodi zajednička sigurnosna i obrambena politika. Prema potrebi bi trebalo iznijeti odgovarajuće prijedloge radi dodatne regulacije obrade osobnih podataka u području zajedničke sigurnosne i obrambene politike.

(16)

Načela zaštite podataka trebala bi se primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Osobne podatke koji su pseudonimizirani, a koji bi se mogli pripisati pojedincu uporabom dodatnih informacija, trebalo bi smatrati informacijama o pojedincu čiji se identitet može utvrditi. Kako bi se odredilo može li se utvrditi identitet pojedinca, trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koja voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca. Kako bi se utvrdilo je li po svemu sudeći izgledno da se upotrebljavaju sredstva za utvrđivanje identiteta pojedinca, trebalo bi uzeti u obzir sve objektivne čimbenike, kao što su troškovi i vrijeme potrebno za utvrđivanje identiteta, uzimajući u obzir i tehnologiju dostupnu u vrijeme obrade i tehnološki razvoj. Načela zaštite podataka stoga se ne bi trebala primjenjivati na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su učinjeni anonimnima na način da se identitet ispitanika ne može ili više ne može utvrditi. Ova se Uredba stoga ne odnosi na obradu takvih anonimnih informacija, među ostalim za statističke ili istraživačke svrhe.

(17)

Primjena pseudonimizacije na osobne podatke može smanjiti rizike za dotične ispitanike i pomoći voditeljima obrade i izvršiteljima obrade u ispunjavanju njihovih obveza u vezi sa zaštitom podataka. Izričitim uvođenjem „pseudonimizacije” ovom se Uredbom ne namjeravaju isključiti bilo koje druge mjere za zaštitu podataka.

(18)

Pojedinci mogu biti pridruženi mrežnim identifikatorima koje pružaju njihovi uređaji, aplikacije, alati i protokoli, kao što su adrese internetskog protokola, identifikatori kolačića ili drugim identifikatorima poput oznaka za radiofrekvencijsku identifikaciju. Tako mogu ostati tragovi koji se, posebno u kombinaciji s jedinstvenim identifikatorima i drugim informacijama koje primaju poslužitelji, mogu upotrijebiti za izradu profila pojedinaca i njihovu identifikaciju.

(19)

Privola bi se trebala davati jasnom potvrdnom radnjom kojom se izražava dobrovoljan, poseban, informiran i nedvosmislen pristanak ispitanika na obradu osobnih podataka koji se odnose na njega, poput pisane izjave, uključujući elektroničku, ili usmene izjave. To bi moglo obuhvaćati označivanje polja kvačicom pri posjetu internetskim stranicama, biranje tehničkih postavki usluga informacijskog društva ili drugu izjavu ili ponašanje koje u tom kontekstu jasno pokazuje da ispitanik prihvaća predloženu obradu svojih osobnih podataka. Šutnja, polje unaprijed označeno kvačicom ili manjak aktivnosti stoga se ne bi smjeli smatrati privolom. Privola bi trebala obuhvatiti sve aktivnosti obrade koje se obavljaju u istu svrhu ili svrhe. Kada obrada ima višestruke svrhe, privolu bi trebalo dati za sve njih. Ako se privola ispitanika treba dati nakon zahtjeva upućenog elektroničkim putem, taj zahtjev mora biti jasan, jezgrovit i ne smije nepotrebno ometati upotrebu usluge za koju se upotrebljava. Isto tako, ispitanik bi trebao imati pravo u bilo kojem trenutku povući privolu, a da to ne utječe na zakonitost obrade na temelju privole prije njezina povlačenja. Kako bi se osiguralo da je privola dana dobrovoljno, ona ne bi smjela predstavljati valjanu pravnu osnovu za obradu osobnih podataka u određenom slučaju kada postoji jasna neravnoteža između ispitanika i voditelja obrade i kada stoga nije vjerojatno da je s obzirom na sve okolnosti te posebne situacije privola dana dobrovoljno. Često nije moguće u potpunosti identificirati svrhu obrade osobnih podataka u znanstvene svrhe u trenutku prikupljanja podataka. Stoga bi se ispitanicima trebalo omogućiti da svoju privolu daju za određena područja znanstvenog istraživanja uz pridržavanje priznatih etičkih normi za znanstveno istraživanje. Ispitanici bi trebali imati priliku dati svoju privolu samo za određena područja istraživanja ili dijelove istraživačkih projekata u mjeri u kojoj to dopušta željena namjena.

(20)

Svaka obrada osobnih podataka trebala bi biti zakonita i poštena. Za pojedince bi trebalo biti transparentno kako se osobni podaci koji se odnose na njih prikupljaju, upotrebljavaju, daju na uvid ili na drugi način obrađuju kao i do koje se mjere ti osobni podaci obrađuju ili će se obrađivati. Načelom transparentnosti traži se da svaka informacija i komunikacija u vezi s obradom tih osobnih podataka bude lako dostupna i razumljiva te da se upotrebljava jasan i jednostavan jezik. To se načelo osobito odnosi na informacije ispitaniku o identitetu voditelja obrade i svrhama obrade te daljnje informacije radi osiguravanja poštenosti i transparentnosti obrade s obzirom na pojedince o kojima je riječ i njihovo pravo da dobiju potvrdu i na obavijest o osobnim podacima koji se obrađuju, a koji se odnose na njih. Pojedinci bi trebali biti upoznati s rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom osobnih podataka i načinom ostvarenja svojih prava u vezi s obradom. Osobito, određene svrhe u koje se osobni podaci obrađuju trebale bi biti izrijekom navedene i opravdane te određene u vrijeme prikupljanja osobnih podataka. Osobni podaci trebali bi biti primjereni, bitni i ograničeni na ono što je nužno za svrhe u koje se obrađuju. Zbog toga je osobito potrebno osigurati da je razdoblje u kojem se osobni podaci pohranjuju ograničeno na strogi minimum. Osobni podaci trebali bi se obrađivati samo ako se svrha obrade opravdano ne bi mogla postići drugim sredstvima. Radi osiguravanja da se osobni podaci ne drže duže nego što je nužno, voditelj obrade trebao bi odrediti rok za brisanje ili periodično preispitivanje. Trebalo bi poduzeti svaki razumno opravdani korak radi osiguravanja da se netočni osobni podaci isprave ili izbrišu. Osobne podatke trebalo bi obrađivati uz odgovarajuće poštovanje sigurnosti i povjerljivosti osobnih podataka, što obuhvaća i sprečavanje neovlaštenog pristupa osobnim podacima i opremi kojom se koristi pri obradi podataka, neovlaštenog otkrivanja tijekom njihova prijenosa ili njihove neovlaštene upotrebe.

(21)

Ako institucije i tijela Unije prenose osobne podatke unutar iste institucije ili tijela Unije, a primatelj nije dio voditelja obrade, ili drugim institucijama ili tijelima Unije, trebali bi, u skladu s načelom odgovornosti, provjeriti jesu li ti osobni podaci nužni za zakonito izvršavanje zadaća koje su u nadležnosti primatelja. Konkretno, kad primatelj podnese zahtjev za prijenos podataka, voditelj obrade trebao bi provjeriti postoji li relevantna osnova za zakonitu obradu osobnih podataka i nadležnost primatelja. Voditelj obrade također bi trebao privremeno ocijeniti potrebu za prijenosom podataka. Ako se pojave dvojbe u vezi s potrebom za prijenosom, voditelj obrade trebao bi od primatelja zatražiti dodatne informacije. Primatelj bi trebao osigurati da se potreba za prijenosom podataka može naknadno provjeriti.

(22)

Kako bi obrada bila zakonita, osobne podatke trebalo bi obrađivati kada je to nužno za izvršavanje nekog zadatka koji institucije i tijela Unije obavljaju u javnom interesu ili pri izvršavanju službene ovlasti, za ispunjavanje pravne obveze kojoj podliježe voditelj obrade ili neke druge legitimne osnove u skladu s ovom Uredbom, uključujući privolu dotičnog ispitanika, ako je to nužno za izvršavanje ugovora u kojem je ispitanik jedna od stranaka ili kako bi se poduzele radnje na zahtjev ispitanika prije sklapanja ugovora. Obrada osobnih podataka radi izvršavanja zadataka koje institucije i tijela Unije obavljaju u javnom interesu uključuje i obradu osobnih podataka potrebnu za upravljanje tim institucijama i tijelima te za njihovo djelovanje. Obrada osobnih podataka trebala bi se također smatrati zakonitom ako je potrebna za zaštitu interesa koji je neophodan za očuvanje života ispitanika ili druge fizičke osobe. Obrada osobnih podataka na temelju životno važnih interesa druge fizičke osobe u načelu bi se smjela obavljati samo ako se obrada očito ne može temeljiti na drugoj pravnoj osnovi. Neke vrste obrade mogu poslužiti i za važne potrebe javnog interesa i životno važne interese ispitanika, primjerice ako je obrada potrebna u humanitarne svrhe, među ostalim za praćenje epidemija i njihova širenja ili u humanitarnim krizama, posebno u slučajevima prirodnih katastrofa i katastrofa uzrokovanih ljudskim djelovanjem.

(23)

Pravo Unije iz ove Uredbe trebalo bi biti jasno i precizno, a njegova bi primjena trebala biti predvidljiva osobama koje mu podliježu, u skladu sa zahtjevima utvrđenima u Povelji i Europskoj konvenciji za zaštitu ljudskih prava i temeljnih sloboda.

(24)

Interna pravila iz ove Uredbe trebala bi biti jasni i precizni akti opće primjene kojima se proizvode pravni učinci u odnosu na ispitanike. Ona bi trebala biti donesena na najvišoj rukovodećoj razini institucija i tijela Unije u okviru njihove nadležnosti i u pitanjima koja se odnose na njihovo djelovanje. Ona bi trebala biti objavljena u Službenom listu Europske unije. Primjena tih pravila trebala bi biti predvidljiva osobama koje im podliježu u skladu sa zahtjevima utvrđenima u Povelji i Europskoj konvenciji za zaštitu ljudskih prava i temeljnih sloboda. Interna pravila mogu biti u obliku odluka, posebno kada ih donose institucije Unije.

(25)

Obrada osobnih podataka u svrhe različite od svrha za koje su podaci prvotno prikupljeni smjela bi se dopustiti samo ako je obrada usklađena sa svrhama za koje su osobni podaci prvotno prikupljeni. U takvom slučaju nije potrebna pravna osnova zasebna od one kojom je dopušteno prikupljanje osobnih podataka. Ako je obrada potrebna za obavljanje zadaće koja se obavlja u javnom interesu ili pri izvršavanju službene ovlasti voditelja obrade, pravom Unije mogu se utvrditi i odrediti zadaće i svrhe za koje će se nastavak obrade smatrati usklađenim i zakonitim. Nastavak obrade u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebalo bi smatrati usklađenom zakonitom obradom. Pravna osnova koja se predviđa pravom Unije za obradu osobnih podataka također može činiti pravnu osnovu za daljnju obradu. Radi utvrđivanja je li svrha daljnje obrade usklađena sa svrhom prvotnog prikupljanja osobnih podataka, voditelj obrade nakon ispunjavanja svih zahtjeva zakonitosti izvorne obrade trebao bi uzeti u obzir, među ostalim: svaku vezu između te svrhe i svrhe planirane daljnje obrade; kontekst u kojem su osobni podaci prikupljeni, a posebno opravdana očekivanja ispitanikâ koja se temelje na njihovom odnosu s voditeljem obrade u pogledu daljnje uporabe podataka; prirodu osobnih podataka; posljedice planirane daljnje obrade za ispitanike te postojanje odgovarajućih zaštitnih mjera u izvornoj i planiranoj daljnjoj obradi.

(26)

Ako se obrada temelji na privoli ispitanika, voditelj obrade trebao bi moći dokazati da je ispitanik dao privolu za postupak obrade. Zaštitnim mjerama, posebno u kontekstu pisane izjave o drugom pitanju, trebalo bi se osigurati da je ispitanik svjestan činjenice da daje privolu i do koje mjere se ona daje. U skladu s Direktivom Vijeća 93/13/EEZ (6) izjavu o privoli koju je unaprijed sastavio voditelj obrade trebalo bi ponuditi u razumljivom i lako dostupnom obliku, uz upotrebu jasnog i jednostavnog jezika te u njoj ne bi smjelo biti nepoštenih uvjeta. Da bi ispitanik mogao dati privolu informiran, trebao bi barem znati identitet voditelja obrade i svrhe obrade za koju se upotrebljavaju osobni podaci. Ne može se smatrati da je privola dana dobrovoljno ako ispitanik nema istinski ili slobodan izbor ili ako nije u mogućnosti odbiti ili povući privolu bez posljedica.

(27)

Djeca zaslužuju posebnu zaštitu u pogledu svojih osobnih podataka jer mogu biti manje svjesna predmetnih rizika, posljedica i zaštitnih mjera te svojih prava u vezi s obradom osobnih podataka. Takvo pravo na posebnu zaštitu trebalo bi se posebno odnositi na stvaranje osobnih profila te prikupljanje osobnih podataka o djeci pri uslugama koje se izravno nude djetetu na internetskim stranicama institucija i tijela Unije, kao što su interpersonalne komunikacijske usluge ili internetska prodaja ulaznica te obrada osobnih podataka na temelju privole.

(28)

Kad primatelji s poslovnim nastanom u Uniji koji nisu institucije i tijela Unije žele da im institucije i tijela Unije prenesu osobne podatke, ti bi primatelji trebali dokazati da im je prijenos podataka potreban ili za izvršavanje svojih zadataka koje obavljaju u javnom interesu ili pri izvršavanju službene ovlasti koja im je dodijeljena. Osim toga, ti bi primatelji trebali dokazati da je prijenos potreban za posebnu svrhu u javnom interesu, a voditelj obrade trebao bi utvrditi postoji li razlog za pretpostavku da bi legitimni interesi ispitanika mogli biti dovedeni u pitanje. U takvim bi slučajevima voditelj obrade trebao odvagnuti različite suprotstavljene interese kako bi ocijenio proporcionalnost zatraženog prijenosa osobnih podataka. Posebna svrha u javnom interesu može se odnositi na transparentnost institucija i tijela Unije. Nadalje, institucije i tijela Unije trebali bi dokazati takvu potrebu kad na vlastitu inicijativu obavljaju prijenos, u skladu s načelom transparentnosti i dobre uprave. Uvjete utvrđene u ovoj Uredbi za prijenose primateljima s poslovnim nastanom u Uniji koji nisu institucije i tijela Unije trebalo bi smatrati dopunskima u odnosu na uvjete za zakonitu obradu.

(29)

Osobni podaci koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode. Takvi osobni podaci ne bi se smjeli obrađivati ako nisu ispunjeni posebni uvjeti utvrđeni ovom Uredbom. Ti osobni podaci trebali bi obuhvaćati osobne podatke koji otkrivaju rasno ili etničko podrijetlo, pri čemu upotreba termina „rasno podrijetlo” u ovoj Uredbi ne podrazumijeva da Unija prihvaća teorije koje pokušavaju dokazati postojanje odvojenih ljudskih rasa. Obradu fotografija ne bi trebalo sustavno smatrati obradom posebnih kategorija osobnih podataka jer su one obuhvaćene definicijom biometrijskih podataka samo pri obradi posebnim tehničkim sredstvima kojima se omogućuje jedinstvena identifikacija ili autentifikacija pojedinca. Osim posebnih zahtjeva za obradu osjetljivih podataka, trebala bi se primjenjivati opća načela i druga pravila iz ove Uredbe, posebno u pogledu uvjeta za zakonitu obradu. Odstupanja od opće zabrane obrade takvih posebnih kategorija osobnih podataka trebala bi biti izričito predviđena, među ostalim ako je ispitanik dao svoju izričitu privolu ili u vezi s posebnim potrebama, pogotovo ako se obrada provodi u sklopu legitimnih aktivnosti određenih udruženja ili zaklada koje se zalažu za ostvarivanje temeljnih sloboda.

(30)

Posebne kategorije osobnih podataka koje zaslužuju veći stupanj zaštite trebale bi se obrađivati u svrhe povezane sa zdravljem samo ako je to potrebno radi ostvarivanja tih svrhâ u korist pojedinaca i društva u cjelini, pogotovo u kontekstu upravljanja uslugama i sustavima zdravstvene ili socijalne skrbi. Stoga bi se ovom Uredbom trebali utvrditi usklađeni uvjeti za obradu posebnih kategorija osobnih podataka koji se odnose na zdravlje, za posebne potrebe, osobito kada obradu takvih podataka za određene zdravstvene svrhe provode osobe koje podliježu zakonskoj obvezi čuvanja profesionalne tajne. Pravom Unije trebalo bi predvidjeti specifične i primjerene mjere za zaštitu temeljnih prava i osobnih podataka pojedinaca.

(31)

Obrada posebnih kategorija osobnih podataka bez privole ispitanika može biti potrebna zbog javnog interesa u područjima javnog zdravlja. Takva bi obrada trebala podlijegati primjerenim i specifičnim mjerama kako bi se zaštitila prava i slobode pojedinaca. U tom bi kontekstu „javno zdravlje” trebalo tumačiti u skladu s definicijom iz Uredbe (EZ) br. 1338/2008 Europskog parlamenta i Vijeća (7), što znači svi elementi povezani sa zdravljem, tj. zdravstvenim stanjem, uključujući morbiditet i invaliditet, determinante koje utječu na to zdravstveno stanje, potrebe zdravstvene zaštite, sredstva dodijeljena zdravstvenoj zaštiti, pružanje zdravstvene zaštite i opća dostupnost zdravstvene zaštite, kao i troškovi i financiranje zdravstvene zaštite te uzroci smrtnosti. Takva obrada podataka koji se odnose na zdravlje za potrebe javnog interesa ne bi smjela dovesti do obrade osobnih podataka u druge svrhe.

(32)

Ako voditelj obrade ne može utvrditi identitet pojedinca na temelju osobnih podataka koje obrađuje, on ne bi smio biti obvezan prikupiti dodatne informacije kako bi utvrdio identitet ispitanika isključivo radi pridržavanja bilo koje odredbe iz ove Uredbe. Međutim, voditelj obrade ne bi smio odbiti dodatne informacije koje je ispitanik pružio radi ostvarivanja svojih prava. Identifikacija bi trebala uključivati digitalnu identifikaciju ispitanika, primjerice putem mehanizma autentifikacije, kao što su isti pristupni podaci kojima se ispitanik koristi da bi se prijavio za internetske usluge koje nudi voditelj obrade.

(33)

Obrada osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe trebala bi podlijegati odgovarajućim zaštitnim mjerama za prava i slobode ispitanika u skladu s ovom Uredbom. Tim zaštitnim mjerama trebalo bi osigurati da su tehničke i organizacijske mjere na snazi kako bi se osobito zajamčilo načelo smanjenja količine podataka. Daljnja obrada osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe provodi se kada voditelj obrade procijeni izvedivost ispunjavanja tih svrha obradom osobnih podataka koji ne omogućuju ili više ne omogućuju identifikaciju ispitanikâ, pod uvjetom da postoje odgovarajuće zaštitne mjere (kao što je, primjerice, pseudonimizacija osobnih podataka). Institucije i tijela Unije trebali bi pravom Unije, koje može uključivati i interna pravila koja su institucije i tijela Unije donijeli u pitanjima koja se odnose na njihovo djelovanje, predvidjeti odgovarajuće zaštitne mjere za obradu osobnih podataka u svrhe arhiviranja u javnom interesu, u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe.

(34)

Trebalo bi predvidjeti modalitete kojima se olakšava ostvarivanje prava ispitanika iz ove Uredbe, uključujući mehanizme za podnošenje zahtjeva te, ako je primjenjivo, besplatno ostvarivanje, osobito pristupa osobnim podacima, njihovo ispravljanje ili brisanje i ostvarivanje prava na prigovor. Voditelj obrade trebao bi pružiti i sredstva za elektroničku predaju zahtjeva, posebno ako se osobni podaci obrađuju elektronički. Voditelj obrade trebao bi biti dužan odgovoriti na zahtjev ispitanika bez nepotrebne odgode i najkasnije u roku od mjesec dana te iznijeti razloge ako nema namjeru ispuniti bilo koji takav zahtjev.

(35)

Načelima poštene i transparentne obrade zahtijeva se da je ispitanik informiran o postupku obrade i njegovim svrhama. Voditelj obrade trebao bi ispitaniku pružiti sve dodatne informacije neophodne za osiguravanje poštene i transparentne obrade uzimajući u obzir posebne okolnosti i kontekst obrade osobnih podataka. Osim toga ispitanik bi trebao biti informiran o postupku izrade profila i posljedicama takve izrade profila. Kada se prikupljaju osobni podaci od ispitanika, trebalo bi ga također obavijestiti o tome je li obvezan pružiti osobne podatke te o posljedicama ako takve podatke ne pruži. Ova se informacija može pružiti u kombinaciji sa standardiziranim ikonama kako bi se na lako vidljiv, razumljiv i jasno čitljiv način pružio smislen pregled planirane obrade. Kad su ikone predstavljene elektroničkim putem, trebale bi biti strojno čitljive.

(36)

Ispitaniku bi tijekom prikupljanja podataka trebalo dati informacije o obradi osobnih podataka koji se odnose na njega ili, ako se osobni podaci ne uzimaju od ispitanika već su prikupljeni iz drugog izvora, u razumnom roku ovisno o okolnostima slučaja. Ako se osobni podaci legitimno mogu otkriti drugom primatelju, ispitanika bi trebalo informirati kada se osobni podaci prvi put otkrivaju primatelju. Ako voditelj obrade namjerava obrađivati osobne podatke u svrhu koja je različita od one za koju su prikupljeni, voditelj obrade bi prije te daljnje obrade trebao ispitaniku pružiti informacije o toj drugoj svrsi i druge potrebne informacije. Ako se izvor osobnih podataka ne može dati ispitaniku jer su upotrebljavani razni izvori, trebalo bi dati opće informacije.

(37)

Ispitanik bi trebao imati pravo pristupa prikupljenim osobnim podacima koji se na njega odnose te ostvarivati to pravo lako i u razumnim intervalima kako bi bio svjestan obrade i provjerio njezinu zakonitost. To uključuje pravo ispitanika na pristup podacima o njegovom zdravstvenom stanju, na primjer podacima u medicinskoj dokumentaciji koja sadržava informacije kao što su dijagnoze, rezultati pretraga, liječnička mišljenja, liječenja ili zahvati. Svaki ispitanik stoga bi osobito trebao imati pravo znati i dobiti obavijest o svrhama obrade osobnih podataka, ako je moguće i o tome za koje se razdoblje osobni podaci obrađuju, o primateljima osobnih podataka, o logici automatske obrade osobnih podataka i o posljedicama takve obrade, barem kad se temelji na izradi profila. To pravo ne bi smjelo negativno utjecati na prava ili slobode drugih, uključujući i poslovne tajne ili intelektualno vlasništvo, a posebno na autorsko pravo kojim je zaštićen računalni program. Rezultat tih razmatranja ipak ne bi smjelo biti odbijanje pružanja svih informacija ispitaniku. Ako voditelj obrade obrađuje velike količine informacija koje se odnose na ispitanika, voditelj obrade trebao bi imati mogućnost prije dostave informacija zahtijevati od ispitanika da navede informacije ili aktivnosti obrade na koje se zahtjev odnosi.

(38)

Ispitanik bi trebao imati pravo na ispravak osobnih podataka koji se na njega odnose te „pravo na zaborav” ako se zadržavanjem takvih podataka krši ova Uredba ili pravo Unije koje se primjenjuje na voditelja obrade. Ispitanici bi trebali imati pravo na to da se njihovi osobni podaci izbrišu i više ne obrađuju ako ti osobni podaci više nisu potrebni s obzirom na svrhu u koju su prikupljeni ili na druge načine obrađivani, ako su ispitanici povukli svoju privolu ili ako podnesu prigovor na obradu osobnih podataka koji se odnose na njih ili ako obrada njihovih osobnih podataka na druge načine nije u skladu s ovom Uredbom. Ovo je pravo posebno važno ako je ispitanik dao privolu dok je bio dijete te nije bio u potpunosti svjestan rizika obrade, a kasnije želi ukloniti takve osobne podatke, posebno na internetu. Ispitanik bi trebao biti u mogućnosti ostvariti to pravo neovisno o činjenici da više nije dijete. No daljnja pohrana osobnih podataka trebala bi biti zakonita ako je nužna za ostvarivanje prava na slobodu izražavanja i na slobodu informiranja, radi ispunjavanja pravnih obveza, za izvršavanje zadaće od javnog interesa ili izvršavanje službene ovlasti voditelja obrade, na temelju javnog interesa u području javnog zdravlja, u svrhe arhiviranja od javnog interesa, u svrhe znanstvenih ili povijesnih istraživanja, u statističke svrhe ili za postavljanje, ostvarivanje ili obranu pravnih zahtjeva.

(39)

Kako bi se ojačalo „pravo na zaborav” u internetskom okruženju, pravo na brisanje također bi trebalo proširiti tako da voditelj obrade koji je objavio osobne podatke bude obvezan obavijestiti voditelje obrade koji takve osobne podatke obrađuju da izbrišu sve poveznice s tim osobnim podacima ili sve kopije ili replike tih osobnih podataka. Pritom bi voditelj obrade trebao poduzeti razumne mjere, uzimajući u obzir dostupnu tehnologiju i sredstva koja su mu dostupna, uključujući tehničke mjere, da o zahtjevu ispitanika obavijesti voditelje obrade koji obrađuju osobne podatke.

(40)

Metode kojima se ograničava obrada osobnih podataka mogle bi, među ostalim, uključivati privremeno premještanje odabranih podataka u drugi sustav obrade, onemogućavanje dostupnosti odabranih podataka korisnicima ili privremeno uklanjanje objavljenih podataka s internetske stranice. U automatiziranim sustavima pohrane ograničavanje obrade u načelu bi trebalo osigurati tehničkim sredstvima na način da osobni podaci nisu predmet daljnjih postupaka obrade i da se ne mogu mijenjati. Činjenicu da je obrada osobnih podataka ograničena trebalo bi jasno navesti u sustavu.

(41)

Radi dodatnog jačanja nadzora nad vlastitim podacima, kada se obrada osobnih podataka obavlja automatskim putem, ispitaniku bi također trebalo dopustiti i da osobne podatke koji se odnose na njega, a koje je dao voditelju obrade, dobije u strukturiranom, uobičajeno upotrebljavanom, strojno čitljivom i interoperabilnom formatu i da ih prenese drugom voditelju obrade. Voditelje obrade trebalo bi poticati na razvijanje interoperabilnih formata koji omogućuju prenosivost podataka. To bi se pravo trebalo primjenjivati u slučajevima kada je ispitanik osobne podatke dao na temelju svoje privole ili kad je obrada nužna za izvršenje ugovora. Stoga se ono ne bi smjelo primjenjivati ako je obrada osobnih podataka nužna za ispunjavanje pravne obveze kojoj podliježe voditelj obrade ili za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade. Pravo ispitanika na prijenos ili primanje osobnih podataka koji se odnose na njega ne bi trebalo obvezivati voditelja obrade da upotrebljava ili održava tehnički kompatibilne sustave za obradu. Ako se određeni skup osobnih podataka odnosi na više ispitanika, pravo na primanje tih osobnih podataka ne bi smjelo dovoditi u pitanje prava i slobode ostalih ispitanika u skladu s ovom Uredbom. Nadalje, to pravo ne bi smjelo dovoditi u pitanje pravo ispitanika na brisanje osobnih podataka, kao ni ograničenja tog prava kako je navedeno u ovoj Uredbi, a pogotovo ne bi smjelo podrazumijevati brisanje osobnih podataka koji se odnose na ispitanika, koje je on dostavio u svrhu izvršavanja ugovora, u mjeri u kojoj su ti osobni podaci potrebni za izvršavanje tog ugovora i sve dok su potrebni. Ako je to tehnički izvedivo, ispitanik bi trebao imati pravo na to da se osobni podaci prenose izravno između voditelja obrade.

(42)

Ako bi se osobni podaci mogli zakonito obrađivati jer je obrada potrebna za izvršavanje zadaće od javnog interesa ili pri izvršavanju službene ovlasti voditelja obrade, ispitanik bi ipak trebao imati pravo prigovora na obradu bilo kojih osobnih podataka povezanih s njegovom posebnom situacijom. Voditelj obrade trebao bi dokazati da njegovi uvjerljivi legitimni interesi imaju prednost pred interesima ili temeljnim pravima i slobodama ispitanika.

(43)

Ispitanik bi trebao imati pravo na to da se na njega ne odnosi odluka, što može obuhvaćati mjeru kojom se procjenjuju osobni aspekti u vezi s njim i koja se isključivo temelji na automatiziranoj obradi te proizvodi pravne učinke koji se odnose na njega ili na sličan način znatno utječu na njega, kao što je praksa zapošljavanja putem interneta bez ikakve ljudske intervencije. Takva obrada uključuje „izradu profila” koja se odnosi na svaki oblik automatizirane obrade osobnih podataka kojom se procjenjuju osobni aspekti u vezi s pojedincem, osobito analizu ili predviđanje aspekata ispitanikova učinka na poslu, ekonomskog stanja, zdravlja, osobnih preferencija ili interesa, pouzdanosti ili ponašanja, lokacije ili kretanja, kada ona proizvodi pravne učinke koji se odnose na ispitanika ili na sličan način znatno utječu na njega.

Međutim, donošenje odluka koje se temelji na takvoj obradi, što uključuje i izradu profila, trebalo bi se dopustiti ako se to izričito dopušta pravom Unije. U svakom slučaju na takve bi se obrade trebale primjenjivati odgovarajuće zaštitne mjere, koje bi trebale uključivati davanje određenih informacija ispitaniku i pravo na ljudsku intervenciju, pravo na izražavanje vlastitog stajališta, na dobivanje pojašnjenja odluke donesene nakon takve procjene i pravo na osporavanje odluke. Takve se mjere ne bi smjele odnositi na djecu. Kako bi se osigurala poštena i transparentna obrada podataka s obzirom na ispitanika, uzimajući u obzir posebne okolnosti i kontekst u kojem se osobni podaci obrađuju, voditelj obrade trebao bi poduzeti odgovarajuće matematičke i statističke postupke za izradu profila, provesti odgovarajuće tehničke i organizacijske mjere kako bi se posebno osiguralo da budu ispravljeni čimbenici koji dovode do netočnosti u osobnim podacima i da se rizici od pojave pogrešaka svedu na minimum, te osobne podatke osigurati na način kojim se uzima u obzir potencijalne rizike za interese i prava ispitanika i spriječiti, među ostalim, diskriminacijske učinke na pojedince na temelju rasnog ili etničkog podrijetla, političkog mišljenja, vjere ili uvjerenja, članstva u sindikatu, genetskog ili zdravstvenog stanja ili spolne orijentacije, ili obradu koja rezultira mjerama koje imaju takav učinak. Automatizirane odluke i izrada profila na temelju posebnih kategorija osobnih podataka smjele bi se dopustiti samo pod posebnim uvjetima.

(44)

Pravnim aktima donesenima na temelju Ugovorâ ili internim pravilima koje institucije i tijela Unije donose u pitanjima koja se odnose na njihovo djelovanje mogu se uvesti ograničenja s obzirom na posebna načela te na prava na informacije, pristup i ispravak ili brisanje osobnih podataka, pravo na prenosivost podataka, povjerljivost elektroničkih komunikacijskih podataka te obavješćivanje ispitanika o povredi osobnih podataka i ograničenja određenih povezanih obveza voditelja obrade, u mjeri u kojoj je to nužno i razmjerno u demokratskom društvu kako bi se zaštitila javna sigurnost te sprečavanje, istraga i progon kaznenih djela ili izvršavanje kaznenopravnih sankcija. To uključuje zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje te zaštitu ljudskog života, posebno kao odgovor na prirodne katastrofe ili one koje je izazvao čovjek, zaštitu unutarnje sigurnosti institucija i tijela Unije te zaštitu drugih važnih ciljeva koji su u općem javnom interesu Unije ili države članice, a posebno ciljeva zajedničke vanjske i sigurnosne politike Unije ili važnoga gospodarskog ili financijskog interesa Unije ili države članice, te vođenja javne evidencije u svrhu općeg javnog interesa ili zaštitu ispitanika ili prava i sloboda drugih osoba, među ostalim u svrhu socijalne zaštite, javnog zdravlja i u humanitarne svrhe.

(45)

Trebalo bi utvrditi dužnosti i odgovornosti voditelja obrade za svaku obradu osobnih podataka koju provede sam voditelj obrade ili netko drugi u ime voditelja obrade. Osobito, voditelj obrade trebao bi imati obvezu provođenja odgovarajućih i djelotvornih mjera te biti u mogućnosti dokazati usklađenost aktivnosti obrade s ovom Uredbom, uključujući i djelotvornost mjera. Tim bi mjerama u obzir trebalo uzeti prirodu, opseg, kontekst i svrhe obrade te rizik za prava i slobode pojedinaca.

(46)

Rizik za prava i slobode pojedinaca, različitih vjerojatnosti i ozbiljnosti, može proizaći iz obrade osobnih podataka koja bi mogla prouzročiti fizičku, materijalnu ili nematerijalnu štetu, posebno: ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, štete za ugled, gubitka povjerljivosti osobnih podataka zaštićenih profesionalnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije ili bilo koje druge znatne gospodarske ili društvene štete; ako ispitanici mogu biti uskraćeni za svoja prava i slobode ili spriječeni u obavljanju nadzora nad svojim osobnim podacima; ako se obrađuju osobni podaci koji odaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu i ako je riječ o obradi genetskih podataka, podataka koji se odnose na zdravlje ili spolni život ili kaznene osude i kažnjiva djela ili s tim povezane sigurnosne mjere; ako se procjenjuju osobni aspekti, posebno analiza ili predviđanje aspekata u vezi s učinkom na poslu, ekonomskim stanjem, zdravljem, osobnim preferencijama ili interesima, pouzdanošću ili ponašanjem, lokacijom ili kretanjem kako bi se izradili ili upotrebljavali osobni profili; ako se obrađuju osobni podaci osjetljivih pojedinaca, posebno djece; ili ako obrada uključuje veliku količinu osobnih podataka i utječe na velik broj ispitanika.

(47)

Vjerojatnost i ozbiljnost rizika za prava i slobode ispitanika trebala bi se određivati s obzirom na prirodu, opseg, kontekst i svrhe obrade. Rizik bi trebalo procjenjivati na temelju objektivne procjene kojom se utvrđuje uključuju li postupci obrade podataka rizik ili visoki rizik.

(48)

Zaštita prava i sloboda pojedinaca s obzirom na obradu osobnih podataka zahtijeva da se poduzmu odgovarajuće tehničke i organizacijske mjere radi osiguravanja poštovanja uvjeta ove Uredbe. Radi dokazivanja usklađenosti s ovom Uredbom voditelj obrade trebao bi uvesti interne politike i provesti mjere koje osobito ispunjavaju načela tehničke zaštite podataka i integrirane zaštite podataka. Takve mjere mogle bi se, među ostalim, sastojati od smanjenja količine obrade osobnih podataka, pseudonimizacije osobnih podataka što je prije moguće, transparentnosti u vezi s funkcijama i obradom osobnih podataka, omogućavanja ispitaniku da prati obradu podataka te omogućavanja voditelju obrade da stvara i poboljšava sigurnosne značajke. Načela tehničke i integrirane zaštite podataka trebalo bi također uzeti u obzir u kontekstu javnih natječaja.

(49)

Uredbom (EU) 2016/679 propisuje se da voditelji obrade dokazuju poštovanje odobrenih mehanizama certificiranja. Isto tako, institucije i tijela Unije trebali bi moći dokazati usklađenost s ovom Uredbom u pogledu certificiranja u skladu s člankom 42. Uredbe (EU) 2016/679.

(50)

Zaštita prava i sloboda ispitanikâ, kao i dužnost i odgovornost voditeljâ obrade i izvršiteljâ obrade zahtijevaju jasno utvrđivanje dužnosti u skladu s ovom Uredbom, među ostalim u slučajevima u kojima voditelj obrade određuje svrhe i sredstva obrade zajedno s drugim voditeljima obrade ili kada se postupak obrade provodi u ime voditelja obrade.

(51)

Kako bi se osiguralo poštovanje zahtjeva iz ove Uredbe u vezi s obradom koju provodi izvršitelj obrade u ime voditelja obrade, pri povjeravanju aktivnosti obrade izvršitelju obrade, voditelj obrade trebao bi angažirati samo izvršitelje obrade koji u zadovoljavajućoj mjeri jamče, osobito u pogledu stručnog znanja, pouzdanosti i resursa, provedbu tehničkih i organizacijskih mjera koje udovoljavaju zahtjevima iz ove Uredbe, među ostalim u pogledu sigurnosti obrade. Poštovanje odobrenog kodeksa ponašanja ili odobrenog mehanizma certificiranja od strane izvršitelja obrade koji nisu institucije i tijela Unije može se upotrijebiti kao element u dokazivanju poštovanja obveza voditelja obrade. Provođenje obrade od strane izvršitelja obrade koji nije institucija ili tijelo Unije trebalo bi biti uređeno ugovorom ili, ako je riječ o institucijama ili tijelima Unije koji djeluju kao izvršitelji obrade, ugovorom ili drugim pravnim aktom u skladu s pravom Unije koji izvršitelja obrade obvezuje prema voditelju obrade, a u kojemu su navedeni predmet i trajanje obrade, priroda i svrhe obrade, vrsta osobnih podataka te kategorije ispitanika, uzimajući u obzir posebne zadaće i odgovornosti izvršitelja obrade u kontekstu obrade koju treba provesti te rizika za prava i slobode ispitanika. Voditelj obrade i izvršitelj obrade trebali bi biti u mogućnosti izabrati pojedinačni ugovor ili standardne ugovorne klauzule koje je ili izravno donijela Komisija ili ih je donio Europski nadzornik za zaštitu podataka, a potom ih je donijela Komisija. Nakon što završi obradu u ime voditelja obrade, izvršitelj obrade trebao bi, prema izboru voditelja obrade, vratiti ili izbrisati osobne podatke, osim ako postoji obveza pohrane osobnih podataka sukladno pravu Unije ili pravu države članice kojem izvršitelj obrade podliježe.

(52)

Kako bi dokazali usklađenost s ovom Uredbom, voditelji obrade trebali bi voditi evidenciju o aktivnostima obrade za koje su odgovorni, a izvršitelji obrade trebali bi voditi evidenciju o kategorijama aktivnosti obrade za koje su odgovorni. Institucije i tijela Unije trebali bi biti obvezni surađivati s Europskim nadzornikom za zaštitu podataka i omogućiti mu uvid u svoje evidencije na zahtjev, kako bi mu mogle poslužiti za praćenje postupaka obrade. Osim ako to zbog veličine institucije ili tijela Unije nije primjereno, institucije i tijela Unije trebali bi biti u mogućnosti uspostaviti središnji registar evidencija o svojim aktivnostima obrade. Radi transparentnosti trebali bi biti u mogućnosti takav registar i objaviti.

(53)

Kako bi se očuvala sigurnost i spriječila obrada kojom se krši ova Uredba, voditelj obrade ili izvršitelj obrade trebao bi procijeniti rizike povezane s obradom i provesti mjere za njihovo umanjivanje, kao što je enkripcija. Tim bi se mjerama trebala osigurati odgovarajuća razina zaštite, uključujući povjerljivost, uzimajući u obzir najnovija dostignuća i troškove provedbe u odnosu na rizike i prirodu osobnih podataka koji se trebaju zaštititi. Pri procjeni rizika za sigurnost podataka u obzir bi trebalo uzeti rizike koje predstavlja obrada osobnih podataka, kao što su slučajno ili nezakonito uništenje, gubitak, izmjene, neovlašteno otkrivanje osobnih podataka ili neovlašten pristup osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani, a što posebno može dovesti do fizičke, materijalne ili nematerijalne štete.

(54)

Institucije i tijela Unije trebali bi osigurati povjerljivost elektroničkih komunikacija predviđenu člankom 7. Povelje. Institucije i tijela Unije trebali bi posebno jamčiti sigurnost svojih elektroničkih komunikacijskih mreža. Oni bi trebali štititi informacije koje se odnose na terminalnu opremu korisnika koji pristupaju njihovim javno dostupnim internetskim stranicama i mobilnim aplikacijama, u skladu s Direktivom 2002/58/EZ Europskog parlamenta i Vijeća (8). Oni bi također trebali štititi osobne podatke pohranjene u imenicima korisnika.

(55)

Ako se povreda osobnih podataka ne rješava na odgovarajući način i pravodobno, ona može prouzročiti fizičku, materijalnu ili nematerijalnu štetu pojedincima. Stoga, čim voditelj obrade primijeti da je došlo do povrede osobnih podataka, trebao bi o tome obavijestiti Europskog nadzornika za zaštitu podataka bez nepotrebnog odgađanja i to, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi osobnih podataka, osim ako voditelj obrade može dokazati, u skladu s načelom odgovornosti, da povreda osobnih podataka vjerojatno neće prouzročiti rizik za prava i slobode pojedinaca. Ako se takvo obavješćivanje ne može postići u roku od 72 sata, u obavijesti bi trebalo navesti razloge za kašnjenje, a informacije se mogu pružati postupno, bez nepotrebnog daljnjeg odgađanja. Ako je kašnjenje opravdano, umjesto da se obavijest šalje tek kad se incident u cijelosti riješi, manje osjetljive ili općenitije informacije o povredi trebalo bi poslati što prije.

(56)

Voditelj obrade trebao bi bez nepotrebne odgode obavijestiti ispitanika o povredi osobnih podataka ako je vjerojatno da će povreda osobnih podataka prouzročiti visoki rizik za prava i slobode tog pojedinca, kako bi on mogao poduzeti potrebne mjere opreza. U obavijesti bi trebalo opisati prirodu povrede osobnih podataka kao i preporuke kako bi dotični pojedinac mogao ublažiti moguće štetne posljedice. Takva bi se obavijest ispitanicima trebala pružiti što je prije izvedivo, u razumnim granicama, i u bliskoj suradnji s Europskim nadzornikom za zaštitu podataka, poštujući njegove upute ili upute drugih relevantnih tijela vlasti, kao što su tijela nadležna za izvršavanje zakonodavstva.

(57)

Uredbom (EZ) br. 45/2001 predviđena je opća obveza voditelja obrade da o obradi osobnih podataka obavijesti službenika za zaštitu podataka. Osim ako to zbog veličine institucije ili tijela Unije nije primjereno, službenik za zaštitu podataka vodi evidenciju o postupcima obrade o kojima je obaviješten. Osim te opće obveze, potrebno je uspostaviti djelotvorne postupke i mehanizme za nadzor postupaka obrade koji vjerojatno mogu prouzročiti visoki rizik za prava i slobode pojedinaca zbog svoje prirode, opsega, konteksta i svrha. Takve postupke također je potrebno uspostaviti posebno u slučaju postupaka obrade koji uključuju upotrebu novih tehnologija ili onih koji su nove vrste s obzirom na koje voditelj obrade još nije proveo procjenu učinka na zaštitu podataka ili koje su postale potrebne zbog vremena koje je proteklo od prvotne obrade. U takvim slučajevima voditelj obrade trebao bi prije obrade provesti procjenu učinka na zaštitu podataka radi procjene osobite vjerojatnosti i ozbiljnosti visokog rizika, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade te izvore rizika. Ta bi procjena učinka trebala posebno uključivati mjere, zaštitne mjere i mehanizme predviđene za umanjivanje tog rizika, za osiguravanje zaštite osobnih podataka i dokazivanje usklađenosti s ovom Uredbom.

(58)

Ako se u procjeni učinka na zaštitu podataka pokaže da bi obrada u nedostatku zaštitnih mjera, sigurnosnih mjera i mehanizama za umanjivanje rizika dovela do visokog rizika za prava i slobode pojedinaca, a voditelj obrade smatra da se taj rizik ne može umanjiti razumnim mjerama u pogledu dostupne tehnologije i troškova provedbe, prije početka obrade trebalo bi se savjetovati s Europskim nadzornikom za zaštitu podataka. Takav visok rizik vjerojatno će proizaći iz određenih vrsta obrade te opsega i učestalosti obrade, što može isto tako prouzročiti štetu ili ometanje prava i slobode ispitanika. Europski nadzornik za zaštitu podataka trebao bi odgovoriti na zahtjev za savjetovanje u određenom vremenskom roku. Međutim, izostanak reakcije Europskog nadzornika za zaštitu podataka u tom roku ne bi smio utjecati na bilo koju intervenciju Europskog nadzornika za zaštitu podataka u skladu s njegovim zadaćama i ovlastima iz ove Uredbe, uključujući ovlast da zabrani postupke obrade. U okviru tog postupka savjetovanja trebalo bi biti moguće dostaviti Europskom nadzorniku za zaštitu podataka rezultat procjene učinka na zaštitu podataka koja je provedena u vezi s predmetnom obradom, a posebno mjere predviđene za umanjivanje rizika za prava i slobode pojedinaca.

(59)

Radi osiguravanja usklađenosti planirane obrade s ovom Uredbom te posebno radi umanjivanja rizika za ispitanika, Europskog nadzornika za zaštitu podataka trebalo bi obavijestiti o upravnim mjerama i s njime se savjetovati o internim pravilima koja su institucije i tijela Unije donijeli u pitanjima koja se odnose na njihovo djelovanje, kada se njima predviđa obrada osobnih podataka, utvrđuju uvjeti za ograničavanje prava ispitanika ili osiguravaju odgovarajuće mjere zaštite prava ispitanika.

(60)

Uredbom (EU) 2016/679 osnovan je Europski odbor za zaštitu podataka kao neovisno tijelo Unije koje ima pravnu osobnost. Odbor bi trebao doprinositi dosljednoj primjeni Uredbe (EU) 2016/679 i Direktive (EU) 2016/680 u cijeloj Uniji, među ostalim i savjetovanjem Komisije. Istodobno bi Europski nadzornik za zaštitu podataka trebao i dalje izvršavati svoje nadzorne i savjetodavne funkcije u pogledu svih institucija i tijela Unije, na vlastitu inicijativu ili na zahtjev. Kako bi se osigurala usklađenost pravila o zaštiti podataka u cijeloj Uniji, pri pripremi prijedloga ili preporuka Komisija bi trebala nastojati savjetovati se s Europskim nadzornikom za zaštitu podataka. Komisija bi se obvezno trebala savjetovati nakon donošenja zakonodavnih akata ili tijekom pripreme delegiranih akata i provedbenih akata kako je utvrđeno u člancima 289., 290. i 291. UFEU-a te nakon donošenja preporuka i prijedloga povezanih sa sporazumima s trećim zemljama i međunarodnim organizacijama, kako je predviđeno u članku 218. UFEU-a, koji utječu na pravo na zaštitu osobnih podataka. U takvim bi slučajevima Komisija trebala biti obvezna savjetovati se s Europskim nadzornikom za zaštitu podataka, osim u slučajevima kada je Uredbom (EU) 2016/679 predviđeno obvezno savjetovanje s Europskim odborom za zaštitu podataka, na primjer o odlukama o primjerenosti ili delegiranim aktima o standardiziranim ikonama te zahtjevima u pogledu mehanizama certificiranja. Ako je predmetni akt posebno važan za zaštitu prava i sloboda pojedinaca u pogledu obrade osobnih podataka, Komisija bi trebala biti u mogućnosti savjetovati se i s Europskim odborom za zaštitu podataka. U tim bi slučajevima Europski nadzornik za zaštitu podataka, kao član Europskog odbora za zaštitu podataka, trebao s njim koordinirati svoj rad u cilju donošenja zajedničkog mišljenja. Europski nadzornik za zaštitu podataka i, kad je to primjenjivo, Europski odbor za zaštitu podataka trebali bi dati savjet pisanim putem u roku od osam tjedana. Taj bi rok trebao biti kraći u hitnim slučajevima ili kad je to inače primjereno, na primjer kad Komisija priprema delegirane i provedbene akte.

(61)

U skladu s člankom 75. Uredbe (EU) 2016/679 Europski nadzornik za zaštitu podataka trebao bi pružati usluge tajništva Europskog odbora za zaštitu podataka.

(62)

U svim bi institucijama i tijelima Unije službenik za zaštitu podataka trebao bi osigurati da se primjenjuju odredbe ove Uredbe te savjetovati voditelje obrade i izvršitelje obrade o ispunjavanju njihovih obveza. Taj službenik bi trebao biti osoba sa stručnim znanjem o pravu i praksama u području zaštite podataka, pri čemu bi se razina tog znanja trebala utvrditi posebno u odnosu na postupke obrade podataka koje provode voditelj obrade i izvršitelj obrade te na zaštitu koja se zahtijeva za osobne podatke o kojima je riječ. Takvi službenici za zaštitu podataka trebali bi moći obavljati svoje dužnosti i zadaće na neovisan način.

(63)

Kad se osobni podaci prenose iz institucija i tijela Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, trebala bi biti zajamčena razina zaštite pojedinaca osigurana ovom Uredbom u Uniji. Ista jamstva trebala bi se primjenjivati u slučajevima daljnjih prijenosa osobnih podataka iz treće zemlje ili međunarodne organizacije voditeljima obrade, izvršiteljima obrade u istoj ili nekoj drugoj trećoj zemlji ili međunarodnoj organizaciji. U svakom slučaju, prijenosi u treće zemlje i međunarodne organizacije mogu se obavljati isključivo uz puno poštovanje ove Uredbe i temeljnih prava i sloboda sadržanih u Povelji. Prijenos bi se smio obavljati samo ako, u skladu s drugim odredbama ove Uredbe, voditelj obrade ili izvršitelj obrade ispunjavaju uvjete utvrđene u odredbama ove Uredbe koji se odnose na prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama.

(64)

U skladu s člankom 45. Uredbe (EU) 2016/679 ili člankom 36. Direktive (EU) 2016/680, Komisija može odlučiti da treća zemlja, područje, posebni sektor treće zemlje ili međunarodna organizacija pruža odgovarajuću razinu zaštite podataka. U takvim slučajevima institucija ili tijelo Unije može izvršiti prijenos osobnih podataka toj trećoj zemlji ili međunarodnoj organizaciji bez dodatnog odobrenja.

(65)

Ako nije donesena odluka o primjerenosti, voditelj obrade ili izvršitelj obrade trebali bi poduzeti mjere kojima će se nadomjestiti nedostatak zaštite podataka u trećoj zemlji putem odgovarajućih zaštitnih mjera za ispitanika. Takve odgovarajuće zaštitne mjere mogu obuhvaćati upotrebu standardnih klauzula o zaštiti podataka koje je donijela Komisija ili koje je donio Europski nadzornik za zaštitu podataka ili ugovornih klauzula koje je odobrio Europski nadzornik za zaštitu podataka. Ako izvršitelj obrade nije institucija ili tijelo Unije, te se odgovarajuće zaštitne mjere mogu sastojati i od obvezujućih korporativnih pravila, kodeksa ponašanja i mehanizama certificiranja koji se upotrebljavaju za međunarodne prijenose u skladu s Uredbom (EU) 2016/679. Te bi zaštitne mjere trebale osigurati usklađenost sa zahtjevima zaštite podataka i prava ispitanika primjereno obradi unutar Unije, uključujući dostupnost provedivih prava ispitanika i učinkovitih pravnih lijekova, među ostalim onih za dobivanje učinkovite upravne ili sudske zaštite i traženje naknade, u Uniji ili u trećoj zemlji. One bi se trebale posebno odnositi na usklađivanje s općim načelima koja se odnose na obradu osobnih podataka te načelima tehničke i integrirane zaštite podataka. Institucije i tijela Unije mogu isto tako obavljati prijenose tijelima javne vlasti ili tijelima s javnim ovlastima u trećim zemljama ili međunarodnim organizacijama s odgovarajućim dužnostima ili ovlastima, među ostalim na temelju odredaba koje se uključuju u administrativne aranžmane, kao što su memorandumi o razumijevanju, kojima se ispitanicima osiguravaju ostvariva i učinkovita prava. Kada se zaštitne mjere predviđaju u administrativnim aranžmanima koji nisu pravno obvezujući, trebalo bi ishoditi odobrenje Europskog nadzornika za zaštitu podataka.

(66)

Mogućnost da se voditelj obrade ili izvršitelj obrade koristi standardnim klauzulama o zaštiti podataka koje je donijela Komisija ili Europski nadzornik za zaštitu podataka ne bi trebala sprečavati voditelja obrade ili izvršitelja obrade da uključe standardne klauzule o zaštiti podataka u širi ugovor, kao što je ugovor između izvršitelja obrade i drugog izvršitelja obrade, niti da dodaju druge klauzule ili dodatne zaštitne mjere pod uvjetom da one izravno ili neizravno ne proturječe standardnim ugovornim klauzulama koje je donijela Komisija ili Europski nadzornik za zaštitu podataka ili ne dovode u pitanje temeljna prava ili slobode ispitanika. Voditelje obrade i izvršitelje obrade trebalo bi poticati da osiguraju dodatne zaštitne mjere putem ugovornih obveza koje nadopunjuju standardne klauzule o zaštiti podataka.

(67)

Neke treće zemlje donose zakone, propise i druge pravne akte radi izravne regulacije aktivnosti obrade koje provode institucije i tijela Unije. To može uključivati presude sudova ili odluke upravnih tijela u trećim zemljama kojima se od voditelja obrade ili izvršitelja obrade traži prijenos ili otkrivanje osobnih podataka i koje se ne temelje na važećem međunarodnom sporazumu između treće zemlje koja je podnijela zahtjev i Unije. Izvanteritorijalna primjena tih zakona, propisa i drugih pravnih akata može predstavljati kršenje međunarodnog prava i može ometati postizanje zaštite pojedinaca koja se ovom Uredbom osigurava u Uniji. Prijenosi bi se smjeli dopustiti samo ako su ispunjeni uvjeti ove Uredbe za prijenos trećim zemljama. To može, među ostalim, biti slučaj kada je otkrivanje nužno iz važnih razloga od javnog interesa priznatog pravom Unije.

(68)

Trebalo bi predvidjeti mogućnost prijenosa u određenim okolnostima kada je ispitanik dao izričitu privolu, ako je prijenos povremen i nužan s obzirom na ugovor ili pravni zahtjev, neovisno o tome je li riječ o sudskom, upravnom ili bilo kojem izvansudskom postupku, uključujući i postupke pred regulatornim tijelima. Trebalo bi predvidjeti i mogućnost prijenosa kad to zahtijevaju važni razlozi od javnog interesa propisani pravom Unije ili kada se prijenos obavlja iz registra uspostavljenog zakonom i namijenjenog uvidu javnosti ili osoba koje imaju legitiman interes. U potonjem slučaju takav prijenos ne bi trebao uključivati cjelokupne osobne podatke ili cijele kategorije podataka sadržanih u registru, osim ako je to dopušteno pravom Unije, a ako je registar namijenjen uvidu osoba koje imaju legitiman interes, prijenos bi se trebao obaviti samo na zahtjev tih osoba ili, ako su te osobe primatelji, u potpunosti uzimajući u obzir interese i temeljna prava ispitanika.

(69)

Ta bi se odstupanja posebno trebala primjenjivati na prijenose podataka koji se traže i nužni su iz važnih razloga od javnog interesa, na primjer u slučajevima međunarodne razmjene podataka između institucija i tijela Unije i tijela nadležnih za tržišno natjecanje, poreznih ili carinskih uprava, financijskih nadzornih tijela te služba nadležnih za pitanja socijalne sigurnosti ili za javno zdravlje, na primjer u slučaju praćenja kontakata kod zaraznih bolesti ili kako bi se smanjio i/ili uklonio doping u sportu. Prijenos osobnih podataka trebalo bi isto tako smatrati zakonitim ako je nužan za zaštitu interesa koji je bitan za životno važne interese ispitanika ili druge osobe, uključujući tjelesni integritet ili život, ako ispitanik nije u stanju dati privolu. Ako ne postoji odluka o primjerenosti, pravom Unije mogu se, iz važnih razloga od javnog interesa, izričito odrediti ograničenja prijenosa određenih kategorija podataka trećoj zemlji ili međunarodnoj organizaciji. Svaki prijenos osobnih podataka ispitanika koji tjelesno ili pravno nije u stanju dati privolu u međunarodnu humanitarnu organizaciju, s ciljem izvršenja zadaće obuhvaćene ženevskim konvencijama ili poštovanja međunarodnog humanitarnog prava mjerodavnog u oružanim sukobima, mogao bi se smatrati nužnim iz važnog razloga od javnog interesa ili zbog toga što je od životno važnog interesa za ispitanika.

(70)

U svakom slučaju, ako Komisija nije donijela odluku o odgovarajućoj razini zaštite podataka u trećoj zemlji, voditelj obrade ili izvršitelj obrade trebali bi iskoristiti rješenja koja ispitanicima osiguravaju ostvariva i učinkovita prava u pogledu obrade njihovih podataka u Uniji nakon što su ti podaci preneseni tako da će i dalje uživati zaštitu koju nude temeljna prava i zaštitne mjere.

(71)

Kada se osobni podaci kreću preko granica izvan Unije, može se povećati rizik koji prijeti sposobnosti pojedinaca da ostvare svoja prava na zaštitu podataka, osobito da se zaštite od nezakonite uporabe ili otkrivanja tih informacija. Istodobno se može dogoditi da nacionalna nadzorna tijela i Europski nadzornik za zaštitu podataka, nisu u mogućnosti rješavati pritužbe ili voditi istrage u vezi s aktivnostima izvan svoje nadležnosti. Njihova zalaganja za prekograničnu suradnju mogu omesti i nedovoljne ovlasti za sprečavanje ili ispravljanje, nedosljedni pravni režimi i praktične prepreke poput ograničenih resursa. Stoga bi trebalo promicati blisku suradnju između Europskog nadzornika za zaštitu podataka i nacionalnih nadzornih tijela kako bi im se pomoglo u razmjeni informacija s njihovim međunarodnim partnerima.

(72)

Ključna je sastavnica zaštite pojedinaca s obzirom na obradu njihovih osobnih podataka uspostava Europskog nadzornika za zaštitu podataka Uredbom (EZ) br. 45/2001, koji je ovlašten da potpuno neovisno obavlja svoje zadaće i izvršava svoje ovlasti. Ova bi Uredba trebala dodatno ojačati i pojasniti njegovu ulogu i neovisnost. Europski nadzornik za zaštitu podataka trebala bi biti osoba čija je neovisnost neupitna i koja je priznata kao osoba s iskustvom i vještinama potrebnima za obavljanje dužnosti Europskog nadzornika za zaštitu podataka jer, primjerice, pripada ili je pripadala jednom od nadzornih tijela osnovanih u skladu s člankom 51. Uredbe (EU) 2016/679.

(73)

Kako bi se osiguralo dosljedno praćenje i provedba pravila o zaštiti podataka u cijeloj Uniji, Europski nadzornik za zaštitu podataka trebao bi imati iste zadaće i stvarne ovlasti kao i nacionalna nadzorna tijela, među ostalim ovlasti za vođenje istrage, korektivne ovlasti i sankcije te ovlasti za davanje odobrenja i savjetodavne ovlasti, posebno u slučajevima pritužbi pojedinaca, ovlasti za obavješćivanje Suda o kršenjima ove Uredbe i ovlasti za sudjelovanje u pravnim postupcima u skladu s primarnim pravom. U takve bi ovlasti trebala biti uključena i ovlast za izricanje privremenog ili konačnog ograničenja obrade, uključujući zabranu. Kako bi se izbjegli suvišni troškovi i prekomjerne neugodnosti za dotične osobe na koje bi to moglo negativno utjecati, svaka mjera Europskog nadzornika za zaštitu podataka trebala bi biti primjerena, potrebna i razmjerna cilju osiguravanja usklađenosti s ovom Uredbom, a pritom bi trebalo uzeti u obzir okolnosti svakog pojedinačnog slučaja i poštovati pravo svake osobe da bude saslušana prije poduzimanja bilo koje pojedinačne mjere. Svaka pravno obvezujuća mjera Europskog nadzornika za zaštitu podataka trebala bi biti u pisanom obliku, jasna i jednoznačna te sadržavati datum izdavanja mjere, potpis Europskog nadzornika za zaštitu podataka i razloge za mjeru te upućivati na pravo na učinkovit pravni lijek.

(74)

Da bi se zaštitila neovisnost Suda u obavljanju njegovih sudskih zadaća, među ostalim u donošenju odluka, nadležnost za nadzor koju ima Europski nadzornik za zaštitu podataka ne bi trebala obuhvaćati obradu osobnih podataka koju Sud provodi kada djeluje u svom sudbenom svojstvu. Za takve postupke obrade Sud bi trebao ustanoviti neovisan nadzor, u skladu s člankom 8. stavkom 3. Povelje, primjerice putem internog mehanizma.

(75)

Odluke Europskog nadzornika za zaštitu podataka o izuzećima, jamstvima, odobrenjima i uvjetima u vezi s postupcima obrade podataka, kako je određeno u ovoj Uredbi, trebale bi se objaviti u izvješću o aktivnostima. Neovisno o objavljivanju godišnjeg izvješća o aktivnostima, Europski nadzornik za zaštitu podataka može objaviti izvješća o posebnim temama.

(76)

Europski nadzornik za zaštitu podataka trebao bi se pridržavati Uredbe (EZ) br. 1049/2001 Europskog parlamenta i Vijeća (9).

(77)

Nacionalna nadzorna tijela prate primjenu Uredbe (EU) 2016/679 i doprinose njezinoj dosljednoj primjeni u cijeloj Uniji kako bi zaštitila pojedince s obzirom na obradu njihovih osobnih podataka i olakšala slobodni protok osobnih podataka na unutarnjem tržištu. Radi povećanja usklađenosti primjene pravila o zaštiti podataka koja se primjenjuju u državama članicama i pravila o zaštiti podataka koja se primjenjuju na institucije i tijela Unije, Europski nadzornik za zaštitu podataka trebao bi učinkovito surađivati s nacionalnim nadzornim tijelima.

(78)

U određenim se slučajevima pravom Unije predviđa model koordiniranog nadzora koji provode Europski nadzornik za zaštitu podataka i nacionalna nadzorna tijela. Europski nadzornik za zaštitu podataka također je nadzorno tijelo Europola te je za te svrhe uspostavljen poseban model suradnje s nacionalnim nadzornim tijelima u okviru odbora za suradnju sa savjetodavnom funkcijom. Radi poboljšanja djelotvornog nadzora i provedbe materijalnih pravila o zaštiti podataka u Uniji, trebalo bi uvesti jedinstven, dosljedan model koordiniranog nadzora. Komisija bi stoga trebala podnositi zakonodavne prijedloge kada je to potrebno u cilju izmjene pravnih akata Unije kojima se predviđa model koordiniranog nadzora kako bi se uskladili s modelom koordiniranog nadzora iz ove Uredbe. Europski odbor za zaštitu podataka trebao bi služiti kao jedinstveni forum za osiguravanje djelotvornog koordiniranog nadzora u svim područjima.

(79)

Svaki bi ispitanik trebao imati pravo podnijeti pritužbu Europskom nadzorniku za zaštitu podataka te pravo na učinkovit pravni lijek pred Sudom u skladu s Ugovorima ako ispitanik smatra da su prekršena njegova prava iz ove Uredbe ili ako Europski nadzornik za zaštitu podataka ne postupi po pritužbi, djelomično ili u potpunosti odbaci ili odbije pritužbu ili ne djeluje kad je takvo djelovanje nužno radi zaštite prava ispitanika. Istragu pokrenutu na temelju pritužbe trebalo bi provesti, podložno sudskom preispitivanju, u mjeri koja je primjerena za određeni slučaj. Europski nadzornik za zaštitu podataka trebao bi u razumnom roku obavijestiti ispitanika o tijeku i ishodu pritužbe. Ako slučaj zahtijeva dodatnu koordinaciju s nacionalnim nadzornim tijelom, ispitaniku bi trebalo dati privremene informacije. Kako bi se olakšalo podnošenje pritužbi, Europski nadzornik za zaštitu podataka trebao bi poduzeti mjere kao što su osiguravanje obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući druga sredstva komunikacije.

(80)

Svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog kršenja ove Uredbe trebala bi imati pravo na naknadu od voditelja obrade ili izvršitelja obrade za pretrpljenu štetu, podložno uvjetima predviđenima Ugovorima.

(81)

Kako bi se ojačala nadzorna uloga Europskog nadzornika za zaštitu podataka te učinkovita provedba ove Uredbe, Europski nadzornik za zaštitu podataka trebao bi imati ovlast za izricanje upravnih novčanih kazni, i to kao krajnje sankcije. Svrha novčanih kazni trebala bi biti sankcioniranje institucije ili tijela Unije, a ne pojedinaca, zbog neusklađenosti s ovom Uredbom kako bi se spriječila buduća kršenja ove Uredbe te poticala kultura zaštite osobnih podataka u institucijama i tijelima Unije. U ovoj bi Uredbi trebalo navesti kršenja podložna upravnim novčanim kaznama te gornje granice i kriterije za određivanje novčanih kazni povezanih s tim kršenjima. Europski nadzornik za zaštitu podataka trebao bi za svaki pojedinačni slučaj odrediti iznos novčane kazne uzimajući u obzir sve bitne okolnosti konkretne situacije, vodeći računa o prirodi, težini i trajanju kršenja, njegovim posljedicama te mjerama poduzetima da bi se osiguralo poštovanje obveza iz ove Uredbe i spriječile ili ublažile posljedice kršenja. Pri izricanju upravne novčane kazne instituciji ili tijelu Unije, Europski nadzornik za zaštitu podataka trebao bi razmotriti razmjernost iznosa novčane kazne. Upravnim postupkom za izricanje novčanih kazni institucijama i tijelima Unije trebala bi se poštovati opća načela prava Unije kako ih tumači Sud.

(82)

Ako ispitanik smatra da su prekršena njegova prava iz ove Uredbe, trebao bi imati pravo ovlastiti neprofitno tijelo, organizaciju ili udruženje osnovano u skladu s pravom Unije ili pravom države članice, u čijem se statutu navode ciljevi od javnog interesa i koje je aktivno u području zaštite osobnih podataka, da Europskom nadzorniku za zaštitu podataka podnese pritužbu u njegovo ime. Takvo tijelo, organizacija ili udruženje trebalo bi isto tako moći ostvariti pravo na pravni lijek u ime ispitanikâ ili ostvariti pravo na naknadu u ime ispitanikâ.

(83)

Dužnosnik ili neki drugi službenik Unije koji ne ispuni obveze iz ove Uredbe trebao bi podlijegati stegovnom ili drugom postupku u skladu s pravilima i postupcima koji su utvrđeni Pravilnikom o osoblju za dužnosnike Europske Unije i Uvjetima zaposlenja ostalih službenika Unije utvrđenima Uredbom Vijeća (EEZ, Euratom, EZUČ) br. 259/68 (10) („Pravilnik o osoblju”).

(84)

Radi osiguravanja jedinstvenih uvjeta za provedbu ove Uredbe, Komisiji bi trebalo dodijeliti provedbene ovlasti. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (11). Postupak ispitivanja trebalo bi primjenjivati za donošenje standardnih ugovornih klauzula između voditelja obrade i izvršitelja obrade te među izvršiteljima obrade, za donošenje popisa postupaka obrade za koje voditelji obrade koji obrađuju osobne podatke zahtijevaju prethodno savjetovanje s Europskim nadzornikom za zaštitu podataka radi izvršavanja zadaće u interesu javnosti te za donošenje standardnih ugovornih klauzula kojima se osiguravaju odgovarajuće zaštitne mjere za međunarodne prijenose.

(85)

Trebalo bi zaštititi povjerljive informacije koje statistička tijela Unije i nacionalna statistička tijela prikupljaju za potrebe sastavljanja službene europske i nacionalne statistike. Europsku statistiku trebalo bi razvijati, sastavljati i širiti u skladu sa statističkim načelima iz članka 338. stavka 2. UFEU-a. U Uredbi (EZ) br. 223/2009 Europskog parlamenta i Vijeća (12) predviđaju se daljnje pojedinosti u pogledu statističke povjerljivosti europske statistike.

(86)

Uredbu (EZ) br. 45/2001 i Odluku br. 1247/2002/EZ Europskog parlamenta, Vijeća i Komisije (13) trebalo bi staviti izvan snage. Upućivanja na Uredbu i Odluku koje su stavljene izvan snage trebala bi se tumačiti kao upućivanja na ovu Uredbu.

(87)

Kako bi se zaštitila potpuna neovisnost članova neovisnog nadzornog tijela, ova Uredba ne bi trebala utjecati na mandat sadašnjeg Europskog nadzornika za zaštitu podataka i sadašnjeg pomoćnika nadzornika. Sadašnji pomoćnik nadzornika trebao bi ostati na dužnosti do isteka mandata, osim ako se ispuni neki od uvjeta za prijevremeni prekid mandata Europskog nadzornika za zaštitu podataka koji je utvrđen ovom Uredbom. Odgovarajuće odredbe ove Uredbe trebale bi se primjenjivati na pomoćnika nadzornika do isteka njegova mandata.

(88)

U skladu s načelom proporcionalnosti za postizanje temeljnog cilja osiguravanja jednakovrijedne razine zaštite pojedinaca u pogledu obrade osobnih podataka i slobodnog kretanja osobnih podataka u Uniji potrebno je i primjereno utvrditi pravila o obradi osobnih podataka u institucijama i tijelima Unije. Ova Uredba ne prelazi ono što je potrebno za ostvarivanje ciljeva u skladu s člankom 5. stavkom 4. UEU-a.

(89)

Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 28. stavkom 2. Uredbe (EZ) br. 45/2001, koji je dao mišljenje 15. ožujka 2017. (14),