1.   Ta uredba določa pravila o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Unije in pravila o prostem pretoku osebnih podatkov med njimi ali drugimi uporabniki, ustanovljenimi v Uniji.

2.   Ta uredba varuje temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov.

3.   Evropski nadzornik za varstvo podatkov spremlja uporabo določb te uredbe pri vseh dejanjih obdelave, ki jih izvede institucija ali organ Unije.

1.   Ta uredba se uporablja za obdelavo osebnih podatkov v vseh institucijah in organih Unije.

2.   Za obdelavo operativnih osebnih podatkov v organih, uradih in agencijah Unije pri opravljanju dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, se uporabljata samo člen 3 in poglavje IX te uredbe.

3.   Ta uredba se ne uporablja za obdelavo operativnih osebnih podatkov v Europolu in Evropskem javnem tožilstvu, dokler se Uredba (EU) 2016/794 Evropskega parlamenta in Sveta (15) in Uredba Sveta (EU) 2017/1939 (16) ne prilagodita v skladu s členom 98 te uredbe.

4.   Ta uredba se ne uporablja za obdelavo osebnih podatkov v okviru misij iz členov 42(1), 43 in 44 PEU.

5.   Ta uredba se uporablja za obdelavo osebnih podatkov, ki se v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se izvaja z avtomatiziranimi sredstvi.

1.   Osebni podatki morajo biti:

2.   Upravljavec je odgovoren za skladnost z odstavkom 1 in mora biti to skladnost zmožen dokazati („odgovornost“).

1.   Obdelava je zakonita le in kolikor je izpolnjen vsaj eden od naslednjih pogojev:

2.   Podlaga za obdelavo iz točk (a) in (b) odstavka 1 je določena v pravu Unije.

1.   Kadar obdelava temelji na privolitvi, mora biti upravljavec zmožen dokazati, da je posameznik, na katerega se nanašajo osebni podatki, privolil v obdelavo svojih osebnih podatkov.

2.   Če je privolitev posameznika, na katerega se nanašajo osebni podatki, dana v pisni izjavi, ki se nanaša tudi na druge zadeve, se zahteva za privolitev predloži na način, ki se jasno razlikuje od drugih zadev, v razumljivi in lahko dostopni obliki ter v jasnem in preprostem jeziku. Deli take izjave, ki predstavljajo kršitev te uredbe, niso zavezujoči.

3.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da svojo privolitev kadar koli prekliče. Preklic privolitve ne vpliva na zakonitost obdelave na podlagi privolitve pred njenim preklicem. O tem se pred privolitvijo obvesti posameznik, na katerega se nanašajo osebni podatki. Privolitev je enako enostavno preklicati kot dati.

4.   Pri ugotavljanju, ali je bila privolitev dana prostovoljno, se med drugim zlasti upošteva, ali je izvajanje pogodbe, vključno z zagotavljanjem storitve, pogojeno s privolitvijo v obdelavo osebnih podatkov, ki ni potrebna za izvedbo zadevne pogodbe.

1.   Kadar se uporablja točka (d) člena 5(1), je v zvezi s storitvami informacijske družbe, ki se ponujajo neposredno otroku, obdelava osebnih podatkov otroka zakonita, kadar ima otrok vsaj 13 let. Kadar je otrok mlajši od 13 let, je takšna obdelava zakonita le, če in kolikor takšno privolitev da ali odobri nosilec starševske odgovornosti za otroka.

2.   Upravljavec ob upoštevanju razpoložljive tehnologije v takih primerih vloži razumen napor v preveritev, ali je nosilec starševske odgovornosti za otroka dal ali odobril privolitev.

3.   Odstavek 1 ne vpliva na splošno pogodbeno pravo držav članic, kot so pravila o veljavnosti, oblikovanju ali učinku pogodbe v zvezi z otrokom.

1.   Brez poseganja v člene 4 do 6 in 10 se osebni podatki prenesejo uporabnikom, ustanovljenim v Uniji, ki niso institucije in organi Unije, le če:

2.   Kadar se prenos podatkov na podlagi tega člena izvede na pobudo upravljavca, upravljavec z uporabo meril iz točke (a) ali (b) odstavka 1 dokaže, da je prenos osebnih podatkov potreben in sorazmeren z nameni prenosa.

3.   Institucije in organi Unije v skladu s pravom Unije uskladijo pravico do varstva osebnih podatkov s pravico do dostopa do dokumentov.

1.   Prepovedani sta obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, versko ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravjem ali podatkov v zvezi s posameznikovim spolnim življenjem ali spolno usmerjenostjo.

2.   Odstavek 1 se ne uporablja, če velja eno od naslednjega:

3.   Osebni podatki iz odstavka 1 se lahko obdelujejo za namene iz točke (h) odstavka 2, kadar jih obdeluje ali je za njihovo obdelavo odgovoren strokovnjak, za katerega velja obveznost varovanja poklicne skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi, ali druga oseba, za katero tudi velja obveznost varovanja skrivnosti v skladu s pravom Unije ali pravom države članice ali pravili, ki jih določijo pristojni nacionalni organi.

1.   Če upravljavec za namene, za katere obdeluje osebne podatke, ne potrebuje ali ne potrebuje več identifikacije posameznika, na katerega se nanašajo osebni podatki, upravljavec ni zavezan ohraniti, pridobiti ali obdelati dodatnih informacij, da bi identificiral posameznika, na katerega se nanašajo osebni podatki, samo zaradi zagotavljanja skladnosti s to uredbo.

2.   Kadar lahko upravljavec v primerih iz odstavka 1 tega člena dokaže, da ne more identificirati posameznika, na katerega se nanašajo osebni podatki, upravljavec o tem po možnosti ustrezno obvesti posameznika, na katerega se nanašajo osebni podatki. V takih primerih se členi 17 do 22 ne uporabljajo, razen kadar posameznik, na katerega se nanašajo osebni podatki, za uresničevanje svojih pravic na podlagi teh členov zagotovi dodatne informacije, s katerimi ga je mogoče identificirati.

1.   Upravljavec sprejme ustrezne ukrepe, s katerimi zagotovi posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz členov 15 in 16 ter sporočila iz členov 17 do 24 in 35, povezana z obdelavo, v jedrnati, pregledni, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku, kar velja zlasti za vse informacije, namenjene posebej otroku. Informacije se posredujejo v pisni obliki ali z drugimi sredstvi, vključno, kadar je ustrezno, z elektronskimi sredstvi. Na zahtevo posameznika, na katerega se nanašajo osebni podatki, se lahko informacije predložijo ustno, pod pogojem, da se identiteta posameznika, na katerega se nanašajo osebni podatki, dokaže z drugimi sredstvi.

2.   Upravljavec posamezniku, na katerega se nanašajo osebni podatki, olajša uresničevanje njegovih pravic iz členov 17 do 24. V primerih iz člena 12(2) upravljavec ne zavrne ukrepanja na zahtevo posameznika, na katerega se nanašajo osebni podatki, za uresničevanje njegovih pravic iz členov 17 do 24, razen če upravljavec dokaže, da ne more identificirati posameznika, na katerega se nanašajo osebni podatki.

3.   Upravljavec informacije o ukrepih, sprejetih na zahtevo v skladu s členi 17 do 24, posamezniku, na katerega se nanašajo osebni podatki, zagotovi brez nepotrebnega odlašanja in v vsakem primeru v enem mesecu po prejemu zahteve. Ta rok se lahko po potrebi podaljša za največ dva dodatna meseca ob upoštevanju kompleksnosti in števila zahtev. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o vsakem takem podaljšanju v enem mesecu po prejemu zahteve skupaj z razlogi za zamudo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi, se informacije, kadar je mogoče, zagotovijo z elektronskimi sredstvi, razen če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače.

4.   Če upravljavec ne ukrepa na zahtevo posameznika, na katerega se nanašajo osebni podatki, upravljavec takega posameznika brez odlašanja, najpozneje pa v enem mesecu po prejemu zahteve, obvesti o razlogih za neukrepanje ter o možnosti vložitve pritožbe pri Evropskem nadzorniku za varstvo podatkov in možnosti uveljavljanja pravnih sredstev.

5.   Informacije, zagotovljene na podlagi členov 15 in 16, ter vsa sporočila in ukrepi, sprejeti na podlagi členov 17 do 24 in 35, se zagotovijo brezplačno. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko upravljavec zavrne ukrepanje v zvezi z zahtevo. Upravljavec nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

6.   Brez poseganja v člen 12 lahko upravljavec, kadar ima upravičen dvom v zvezi z identiteto posameznika, ki predloži zahtevo iz členov 17 do 23, zahteva zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki.

7.   Informacije, ki se zagotovijo posameznikom, na katere se nanašajo osebni podatki, v skladu s členoma 15 in 16, se lahko navedejo skupaj z uporabo standardiziranih ikon, da se v jasno razvidni, razumljivi in berljivi obliki zagotovi smiseln pregled načrtovane obdelave. Kadar so ikone navedene v elektronski obliki, so strojno berljive.

8.   Kadar Komisija sprejme delegirane akte v skladu s členom 12(8) Uredbe (EU) 2016/679, s katerimi določi informacije, ki se navedejo v ikonah, in postopke za določitev standardiziranih ikon, institucije in organi Unije, kadar je primerno, skupaj s takimi standardiziranimi ikonami zagotovijo informacije v skladu s členoma 15 in 16 te uredbe.

1.   Kadar se osebni podatki v zvezi s posameznikom, na katerega se nanašajo osebni podatki, pridobijo od tega posameznika, upravljavec zadevnemu posamezniku takrat, ko pridobi osebne podatke, zagotovi vse naslednje informacije:

2.   Poleg informacij iz odstavka 1 upravljavec takrat, ko pridobi osebne podatke, posamezniku, na katerega se ti nanašajo, zagotovi naslednje dodatne informacije, ki so potrebne za zagotovitev poštene in pregledne obdelave:

3.   Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki zbrani, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo podatkov zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.

4.   Odstavki 1, 2 in 3 se ne uporabljajo, kadar in kolikor posameznik, na katerega se nanašajo osebni podatki, že ima informacije.

1.   Kadar osebni podatki niso bili pridobljeni od posameznika, na katerega se nanašajo, upravljavec, posamezniku, na katerega se nanašajo osebni podatki zagotovi naslednje informacije:

2.   Upravljavec poleg informacij iz odstavka 1 posamezniku, na katerega se nanašajo osebni podatki, zagotovi naslednje dodatne informacije, ki so potrebne za zagotavljanje poštene in pregledne obdelave v zvezi s posameznikom, na katerega se nanašajo osebni podatki:

3.   Upravljavec zagotovi informacije iz odstavkov 1 in 2:

4.   Kadar namerava upravljavec nadalje obdelovati osebne podatke za namen, ki ni namen, za katerega so bili osebni podatki pridobljeni, upravljavec posamezniku, na katerega se nanašajo osebni podatki, pred tako nadaljnjo obdelavo zagotovi informacije o tem drugem namenu in vse nadaljnje relevantne informacije iz odstavka 2.

5.   Odstavki 1 do 4 se ne uporabljajo, kadar in kolikor:

6.   V primerih iz točke (b) odstavka 5 upravljavec sprejme ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, tudi tako, da informacije dajo na voljo javnosti.

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije:

2.   Kadar se osebni podatki prenesejo v tretjo državo ali mednarodno organizacijo, ima posameznik, na katerega se nanašajo osebni podatki, pravico biti obveščen o ustreznih zaščitnih ukrepih v skladu s členom 48 v zvezi s prenosom.

3.   Upravljavec zagotovi kopijo osebnih podatkov, ki se obdelujejo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži z elektronskimi sredstvi in če posameznik, na katerega se nanašajo osebni podatki, ne zahteva drugače, se informacije zagotovijo v elektronski obliki, ki je splošno uporabljana.

4.   Pravica do pridobitve kopije iz odstavka 3 ne vpliva negativno na pravice in svoboščine drugih.

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec brez nepotrebnega odlašanja izbriše osebne podatke v zvezi z njim, upravljavec pa ima obveznost osebne podatke brez nepotrebnega odlašanja izbrisati, kadar velja eden od naslednjih razlogov:

2.   Kadar upravljavec objavi osebne podatke in je v skladu z odstavkom 1 osebne podatke obvezan izbrisati, ob upoštevanju razpoložljive tehnologije in stroškov izvajanja sprejme razumne ukrepe, vključno s tehničnimi, da upravljavce ali upravljavce, ki niso institucije in organi Unije, ki obdelujejo osebne podatke, obvesti, da posameznik, na katerega se nanašajo osebni podatki, od njih zahteva, naj izbrišejo morebitne povezave do teh osebnih podatkov ali njihove kopije.

3.   Odstavka 1 in 2 se ne uporabljata, če je obdelava potrebna:

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da upravljavec omeji obdelavo, kadar velja en od naslednjih primerov:

2.   Kadar je bila obdelava osebnih podatkov omejena v skladu z odstavkom 1, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le s privolitvijo posameznika, na katerega se ti nanašajo, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov, ali zaradi varstva pravic druge fizične ali pravne osebe, ali zaradi pomembnega javnega interesa Unije ali države članice.

3.   Upravljavec pred preklicem omejitve obdelave o tem obvesti posameznika, na katerega se nanašajo osebni podatki in ki je dosegel omejitev obdelave v skladu z odstavkom 1.

4.   Pri avtomatiziranih zbirkah se omejitev obdelave načeloma zagotovi s tehničnimi sredstvi. Dejstvo, da so osebni podatki omejeni, se označi v sistemu na način, ki jasno pokaže, da se osebni podatki ne smejo uporabiti.

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da prejme osebne podatke v zvezi z njim, ki jih je posredoval upravljavcu, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravico, da te podatke posreduje drugemu upravljavcu, ne da bi ga upravljavec, ki so mu bili osebni podatki zagotovljeni, pri tem oviral, kadar:

2.   Pri uresničevanju pravice do prenosljivosti podatkov v skladu z odstavkom 1 ima posameznik, na katerega se nanašajo osebni podatki, pravico, da se osebni podatki neposredno prenesejo od enega upravljavca k drugemu ali upravljavcem, ki niso institucije in organi Unije, kadar je to tehnično izvedljivo.

3.   Uresničevanje pravice iz odstavka 1 tega člena ne posega v člen 19. Ta pravica se ne uporablja za obdelavo, potrebno za opravljanje naloge, ki se izvaja v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu.

4.   Pravica iz odstavka 1 ne vpliva negativno na pravice in svoboščine drugih.

1.   Posameznik, na katerega se nanašajo osebni podatki, ima na podlagi razlogov, povezanih z njegovim posebnim položajem, pravico, da kadar koli ugovarja obdelavi osebnih podatkov v zvezi z njim, ki temelji na točki (a) člena 5(1), vključno z oblikovanjem profilov na podlagi navedene določbe. Upravljavec preneha obdelovati osebne podatke, razen če dokaže nujne legitimne razloge za obdelavo, ki prevladajo nad interesi, pravicami in svoboščinami posameznika, na katerega se nanašajo osebni podatki, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov.

2.   Posameznika, na katerega se nanašajo osebni podatki, se na pravico iz odstavka 1 izrecno opozori najpozneje ob prvem komuniciranju z njim in se mu to pravico predstavi jasno in ločeno od vseh drugih informacij.

3.   V okviru uporabe storitev informacijske družbe in neglede na člena 36 in 37 lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja pravico do ugovora z avtomatiziranimi sredstvi z uporabo tehničnih specifikacij.

4.   Kadar se osebni podatki obdelujejo v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, ima posameznik, na katerega se ti podatki nanašajo, pravico, da iz razlogov, povezanih z njegovim posebnim položajem, ugovarja obdelavi osebnih podatkov v zvezi z njim, razen če je obdelava potrebna za opravljanje naloge, ki se izvaja zaradi razlogov javnega interesa.

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva.

2.   Odstavek 1 se ne uporablja, če je odločitev:

3.   V primerih, navedenih v točkah (a) in (c) odstavka 2, upravljavec podatkov izvede ustrezne ukrepe za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja upravljavca, do izražanja lastnega stališča in izpodbijanja odločitve.

4.   Odločitve iz odstavka 2 tega člena ne temeljijo na posebnih vrstah osebnih podatkov iz člena 10(1), razen če se uporablja točka (a) ali (g) člena 10(2) in se izvajajo ustrezni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

1.   Pravni akti, sprejeti na podlagi Pogodb ali, kadar se zadeve nanašajo na delovanje institucij in organov Unije, notranji predpisi, ki jih določijo te institucije in organi, lahko omejijo uporabo členov 14 do 22, 35 in 36, ko tudi člena 4, kolikor njegove določbe ustrezajo pravicam in obveznostim iz členov 14 do 22, če taka omejitev spoštuje bistvo temeljnih pravic in svoboščin ter je potreben in sorazmeren ukrep v demokratični družbi za zagotavljanje:

2.   Vsak zakonodajni ukrep ali notranji predpis iz odstavka 1 po potrebi vsebuje zlasti posebne določbe glede:

3.   Kadar se osebni podatki obdelujejo v znanstveno- ali zgodovinskoraziskovalne namene ali statistične namene, se lahko v pravu Unije, ki lahko vključuje notranje predpise, ki jih institucije in organi Unije sprejmejo v zvezi z zadevami, ki se nanašajo na njihovo delovanje, določijo odstopanja od pravic iz členov 17, 18, 20 in 23, za katere veljajo pogoji in zaščitni ukrepi iz člena 13, kolikor je verjetno, da bi takšne pravice onemogočile ali resno ovirale doseganje posebnih namenov, in kolikor so takšna odstopanja nujna za uresničitev teh namenov.

4.   Kadar se osebni podatki obdelujejo za namene arhiviranja v javnem interesu, se lahko v pravu Unije, ki lahko vključuje notranje predpise, ki jih institucije in organi Unije sprejmejo v zvezi z zadevami, ki se nanašajo na njihovo delovanje, določijo odstopanja od pravic iz členov 17, 18, 20, 21, 22 in 23, za katere veljajo pogoji in zaščitni ukrepi iz člena 13, kolikor je verjetno, da bi takšne pravice onemogočile ali resno ovirale doseganje posebnih namenov, in kolikor so takšna odstopanja nujna za uresničitev teh namenov.

5.   Notranji predpisi iz odstavkov 1, 3 in 4 morajo biti jasni in natančni splošno veljavni akti s pravnimi učinki za posameznike, na katere se nanašajo osebni podatki, ki se sprejmejo na najvišji ravni vodstva institucij in organov Unije in se objavijo v Uradnem listu Evropske unije.

6.   Če se naloži omejitev v skladu z odstavkom 1, se v skladu s pravom Unije posameznika, na katerega se nanašajo osebni podatki, obvesti o glavnih razlogih, na katerih temelji uporaba omejitve, in o njegovi pravici, da vloži pritožbo pri Evropskem nadzorniku za varstvo podatkov.

7.   Če se dostop posamezniku, na katerega se nanašajo osebni podatki, zavrne s sklicevanjem na omejitev, naloženo v skladu z odstavkom 1, Evropski nadzornik za varstvo podatkov pri preiskovanju pritožbe posameznika samo obvesti, ali so bili podatki pravilno obdelani, in če niso bili, ali so bili opravljeni morebitni potrebni popravki.

8.   Zagotavljanje informacij iz odstavkov 6 in 7 tega člena ter člena 45(2) se lahko preloži, opusti ali zavrne, če bi se s tem izničil učinek omejitve, naložene v skladu z odstavkom 1 tega člena.

1.   Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kadar je to potrebno.

2.   Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.

3.   Izvajanje odobrenega mehanizma certificiranja iz člena 42 Uredbe (EU) 2016/679 se lahko uporabi kot element za izkazovanje izpolnjevanja obveznosti upravljavca.

1.   Ob upoštevanju najnovejšega tehnološkega razvoja, stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki so povezana z obdelavo in se razlikujejo po verjetnosti in resnosti, upravljavec tako v času določanja sredstev obdelave kot tudi v času same obdelave izvaja ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve te uredbe in zavarujejo pravice posameznikov, na katere se nanašajo osebni podatki.

2.   Upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se privzeto obdelajo samo osebni podatki, ki so potrebni za vsak poseben namen obdelave. Ta obveznost velja za količino zbranih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da osebni podatki niso samodejno dostopni nedoločenemu številu posameznikov brez posredovanja zadevnega posameznika.

3.   Odobreni mehanizem certificiranja v skladu s členom 42 Uredbe (EU) 2016/679 se lahko uporabi kot element za izkazovanje izpolnjevanja obveznosti iz odstavkov 1 in 2 tega člena.

1.   Kadar dva ali več upravljavcev, ali eden ali več upravljavcev hkrati z upravljavci, ki niso institucije ali organi Unije, skupaj določijo namene in načine obdelave, so skupni upravljavci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja njihovih obveznosti varstva podatkov, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz členov 15 in 16, razen če in kolikor so dolžnosti vsakega od skupnih upravljavcev določene s pravom Unije ali pravom države članice, ki velja za skupne upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki.

2.   Dogovor iz odstavka 1 ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznikov, na katere se nanašajo osebni podatki. Bistveno vsebino dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki.

3.   Posameznik, na katerega se nanašajo osebni podatki, lahko ne glede na pogoje dogovora iz odstavka 1 uresničuje svoje pravice v skladu s to uredbo glede vsakega od upravljavcev in proti vsakemu od njih.

1.   Kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te uredbe in zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

2.   Obdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

3.   Obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca in v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

V zvezi s točko (h) prvega pododstavka obdelovalec nemudoma obvesti upravljavca, če po njegovem mnenju navodilo krši to uredbo ali druge določbe Unije ali predpisov držav članic o varstvu podatkov.

4.   Kadar obdelovalec zadolži drugega obdelovalca za izvajanje specifičnih dejavnosti obdelave v imenu upravljavca, za tega drugega obdelovalca na podlagi pogodbe ali drugega pravnega akta v skladu s pravom Unije ali pravom države članice veljajo enake obveznosti varstva podatkov, kot so določene v pogodbi ali drugem pravnem aktu med upravljavcem in obdelovalcem iz odstavka 3, zlasti za zagotovitev zadostnih jamstev za izvajanje ustreznih tehničnih in organizacijskih ukrepov na tak način, da bo obdelava izpolnjevala zahteve iz te uredbe. Kadar ta drugi obdelovalec ne izpolni obveznosti varstva podatkov, prvi obdelovalec še naprej v celoti odgovarja upravljavcu za izpolnjevanje obveznosti drugega obdelovalca.

5.   Kadar obdelovalec ni institucija ali organ Unije, se lahko njegova zavezanost k odobrenemu kodeksu ravnanja iz člena 40(5) Uredbe (EU) 2016/679 ali izvajanje odobrenega mehanizma certificiranja iz člena 42 Uredbe (EU) 2016/679 uporabi kot element, s katerim se izkaže zagotavljanje zadostnih jamstev iz odstavkov 1 in 4 tega člena.

6.   Brez poseganja v katero koli individualno pogodbo med upravljavcem in obdelovalcem lahko pogodba ali drug pravni akt iz odstavkov 3 in 4 tega člena v celoti ali delno temelji na standardnih pogodbenih določilih iz odstavkov 7 in 8 tega člena, tudi ko so del certifikata, izdanega obdelovalcu, ki ni institucija ali organ Unije, v skladu s členom 42 Uredbe (EU) 2016/679.

7.   Komisija lahko določi standardna pogodbena določila za zadeve iz odstavkov 3 in 4 tega člena ter v skladu s postopkom pregleda iz člena 96(2).

8.   Evropski nadzornik za varstvo podatkov lahko sprejme standardna pogodbena določila za zadeve iz odstavkov 3 in 4.

9.   Pogodba ali drug pravni akt iz odstavkov 3 in 4 je v pisni obliki, vključno z elektronsko obliko.

10.   Brez poseganja v člena 65 in 66, če obdelovalec krši to uredbo s tem, ko določi namene in sredstva obdelave, se obdelovalec šteje za upravljavca v zvezi s to obdelavo.

1.   Vsak upravljavec vodi evidenco dejavnosti obdelave v okviru svoje odgovornosti. Ta evidenca vsebuje vse naslednje informacije:

2.   Vsak obdelovalec vodi evidenco vseh vrst dejavnosti obdelave, ki jih izvaja v imenu upravljavca, ki vsebuje:

3.   Evidence iz odstavkov 1 in 2 so v pisni obliki, vključno v elektronski obliki.

4.   Institucije in organi Unije Evropskemu nadzorniku za varstvo podatkov na zahtevo omogočijo dostop do evidenc.

5.   Institucije in organi Unije svoje evidence dejavnosti obdelave hranijo v centralnem registru, razen če glede na velikost institucije ali organa Unije to ni primerno. Poskrbijo, da je zadevni register javno dostopen.

1.   Ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskih ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:

2.   Pri določanju ustrezne ravni varnosti se upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.

3.   Upravljavec in obdelovalec zagotovita, da katera koli posameznik, ki ukrepa pod vodstvom upravljavca ali obdelovalca, ki ima dostop do osebnih podatkov, slednjih ne sme obdelati brez navodil upravljavca, razen če to od nje zahteva pravo Unije.

4.   Izvajanje odobrenega mehanizma certificiranja iz člena 42 Uredbe (EU) 2016/679 se lahko uporabi kot element, s katerim se izkaže izpolnjevanje zahtev iz odstavka 1 tega člena.

1.   V primeru kršitve varnosti osebnih podatkov upravljavec brez nepotrebnega odlašanja, po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo, o njej obvesti Evropskega nadzornika za varstvo podatkov, razen če ni verjetno, da bi bile s kršitvijo varnosti osebnih podatkov ogrožene pravice in svoboščine posameznikov. Kadar obvestilo Evropskemu nadzorniku za varstvo podatkov ni podano v 72 urah, se mu priloži navedba razlogov za zamudo.

2.   Obdelovalec po seznanitvi s kršitvijo varnosti osebnih podatkov brez nepotrebnega odlašanja obvesti upravljavca.

3.   Obvestilo iz odstavka 1 vsebuje vsaj:

4.   Kadar in kolikor informacij ni mogoče zagotoviti sočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.

5.   Upravljavec pooblaščeno osebo za varstvo podatkov obvesti o kršitvi varstva osebnih podatkov.

6.   Upravljavec dokumentira vsako kršitev varnosti osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varnosti osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija Evropskemu nadzorniku za varstvo podatkov omogoči, da preveri skladnost s tem členom.

1.   Kadar je verjetno, da kršitev varnosti osebnih podatkov povzroči veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varnosti osebnih podatkov.

2.   V sporočilu posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena je v jasnem in preprostem jeziku opisana vrsta kršitve varnosti osebnih podatkov ter so vsebovane vsaj informacije in ukrepi iz točk (b), (c) in (d) člena 34(3).

3.   Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 ni potrebno, če je izpolnjen kateri koli od naslednjih pogojev:

4.   Če upravljavec posameznika, na katerega se nanašajo osebni podatki, še ni obvestil o kršitvi varnosti osebnih podatkov, lahko Evropski nadzornik za varstvo podatkov to od njega zahteva po proučitvi verjetnosti, da bi kršitev varnosti osebnih podatkov povzročila veliko tveganje, ali pa lahko odloči, da je izpolnjen kateri koli od pogojev iz odstavka 3.

1.   Osebni podatki, ki jih vsebujejo imeniki uporabnikov omrežja ali opreme, in dostop do takih imenikov se omejijo na tisto, kar je nujno potrebno za posebne namene imenika.

2.   Institucije in organi Unije sprejmejo vse potrebne ukrepe, da preprečijo uporabo osebnih podatkov, ki jih taki imeniki vsebujejo, za namene neposrednega trženja, ne glede na to, ali so javnosti dostopni ali ne.

1.   Kadar je možno, da bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo osebnih podatkov. V eni oceni je lahko obravnavan niz podobnih dejanj obdelave, ki predstavljajo podobna velika tveganja.

2.   Upravljavec pri izvedbi ocene učinka v zvezi z varstvom podatkov za mnenje zaprosi pooblaščeno osebo za varstvo podatkov.

3.   Ocena učinka v zvezi z varstvom podatkov iz odstavka 1 se zahteva zlasti v primeru:

4.   Evropski nadzornik za varstvo podatkov določi in objavi seznam vrst dejanj obdelave, za katere velja zahteva po oceni učinka v zvezi z varstvom podatkov v skladu z odstavkom 1.

5.   Evropski nadzornik za varstvo podatkov lahko tudi določi in objavi seznam vrst dejanj obdelave, za katere ne velja zahteva po oceni učinka v zvezi z varstvom podatkov.

6.   Evropski nadzornik za varstvo podatkov pred sprejetjem seznamov iz odstavkov 4 in 5 tega člena zaprosi Evropski odbor za varstvo podatkov, ustanovljen s členom 68 Uredbe (EU) 2016/679, naj v skladu s točko (e) člena 70(1) navedene uredbe te sezname preuči, kadar se nanašajo na dejanja obdelave, ki jih upravljavec izvaja skupaj z enim ali več upravljavci, ki niso institucije in organi Unije.

7.   Ocena zajema vsaj:

8.   Pri ocenjevanju učinka dejanj obdelave, ki jih izvajajo zadevni obdelovalci, ki niso institucije in organi Unije, opravljenem zlasti za namene ocene učinka v zvezi z varstvom podatkov, se upošteva, ali taki obdelovalci spoštujejo odobrene kodekse ravnanja iz člena 40 Uredbe (EU) 2016/679.

9.   Po potrebi upravljavec glede predvidene obdelave zaprosi za mnenje posameznikov, na katere se nanašajo osebni podatki, ali njihovih predstavnikov, brez poseganja v zaščito javnih interesov ali varnost dejanj obdelave.

10.   Kadar je pravna podlaga za obdelavo v skladu s točko (a) ali (b) člena 5(1) pravni akt, sprejet na podlagi Pogodb, ki ureja zadevno posebno dejanje obdelave ali niz zadevnih dejanj obdelave, in je bila ocena učinka v zvezi z varstvom podatkov že izvedena v okviru splošne ocene učinka med sprejemanjem te pravne podlage, se odstavki 1 do 6 tega člena ne uporabljajo, razen če navedeni pravni akt določa drugače.

11.   Upravljavec po potrebi opravi pregled, da bi ocenil, ali obdelava poteka v skladu z oceno učinka v zvezi z varstvom podatkov, vsaj takrat, ko se spremeni tveganje, ki ga predstavljajo dejanja obdelave.

1.   Upravljavec se pred obdelavo posvetuje z Evropskim nadzornikom za varstvo podatkov, kadar je iz ocene učinka v zvezi z varstvom podatkov iz člena 39 razvidno, da bi obdelava zaradi neobstoječih zaščitnih ukrepov, varnostnih ukrepov in mehanizmov za ublažitev tveganja povzročila veliko tveganje za pravice in svoboščine posameznikov, in upravljavec meni, da tveganja ni mogoče ublažiti z razumnimi sredstvi ob upoštevanju razpoložljivih tehnologij in stroškov izvajanja. Upravljavec glede potrebe po predhodnem posvetovanju za mnenje zaprosi pooblaščeno osebo za varstvo podatkov.

2.   Kadar Evropski nadzornik za varstvo podatkov meni, da bi predvidena obdelava iz odstavka 1 kršila to uredbo, zlasti kadar upravljavec ni ustrezno opredelil ali ublažil tveganja, Evropski nadzornik za varstvo podatkov v roku do osmih tednov po prejemu zahteve za posvetovanje pisno svetuje upravljavcu, kadar je ustrezno, pa tudi obdelovalcu, in lahko uporabi katero koli pooblastilo iz člena 58. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša za nadaljnjih šest tednov. Evropski nadzornik za varstvo podatkov o vsakem takem podaljšanju obvesti upravljavca in, kadar je potrebno, obdelovalca v enem mesecu po prejemu zahteve za posvetovanje, skupaj z razlogi za zamudo. Ta rok se lahko začasno odloži, dokler Evropski nadzornik za varstvo podatkov ne pridobi informacij, ki jih je zahteval za namene posvetovanja.

3.   Pri posvetovanju z Evropskim nadzornikom za varstvo podatkov v skladu z odstavkom 1, upravljavec Evropskemu nadzorniku za varstvo podatkov predloži:

4.   Komisija lahko z izvedbenim aktom določi seznam primerov, v katerih se upravljavci posvetujejo z Evropskim nadzornikom za varstvo podatkov in od njega pridobijo predhodno dovoljenje v zvezi z obdelavo osebnih podatkov z namenom opravljanja naloge, ki jo upravljavec izvaja v javnem interesu, vključno z obdelavo takih podatkov v zvezi s socialnim varstvom in javnim zdravjem.

1.   Institucije in organi Unije obvestijo Evropskega nadzornika za varstvo podatkov, kadar institucije in organi Unije pripravljajo upravne ukrepe in notranje predpise v zvezi z obdelavo osebnih podatkov bodisi sami ali skupaj z drugimi.

2.   Institucije in organi Unije se pri pripravi notranjih predpisov iz člena 25 posvetujejo z Evropskim nadzornikom za varstvo podatkov.

1.   Komisija se po sprejetju predloga zakonodajnega akta in priporočil ali predlogov Svetu v na podlagi člena 218 PDEU ali pri pripravi delegiranih aktov ali izvedbenih aktov, ki vplivajo na varstvo pravic in svoboščin posameznikov pri obdelavi osebnih podatkov, posvetuje z Evropskim nadzornikom za varstvo podatkov.

2.   Kadar je akt iz odstavka 1 zlasti pomemben za varstvo pravic in svoboščin posameznikov pri obdelavi osebnih podatkov, se Komisija lahko posvetuje tudi z Evropskim odborom za varstvo podatkov. V takih primerih Evropski nadzornik za varstvo podatkov in Evropski odbor za varstvo podatkov uskladita svoje delo, da izdata skupno mnenje.

3.   Mnenje iz odstavkov 1 in 2 se poda v pisni obliki v roku do osmih tednov po prejemu zahteve za posvetovanje iz odstavkov 1 in 2. Komisija lahko v nujnih primerih, ali če je drugače primerno, rok skrajša.

4.   Ta člen se ne uporablja, kadar se mora Komisija v skladu z Uredbo (EU) 2016/679 posvetovati z Evropskim odborom za varstvo podatkov.

1.   Vsaka institucija ali organ Unije imenuje pooblaščeno osebo za varstvo podatkov.

2.   Institucije in organi Unije lahko ob upoštevanju svoje organizacijske strukture in velikosti imenujejo eno pooblaščeno osebo za varstvo podatkov za več institucij ali organov.

3.   Pooblaščena oseba za varstvo podatkov se imenuje na podlagi poklicnih odlik in zlasti strokovnega znanja o zakonodaji in praksi na področju varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 45.

4.   Pooblaščena oseba za varstvo podatkov je član osebja institucije ali organa Unije. Ob upoštevanje svoje velikosti in če možnost iz odstavka 2 ni uporabljena, lahko institucije in organi Unije imenujejo pooblaščeno osebo za varstvo podatkov, ki svoje naloge opravlja na podlagi pogodbe o storitvah.

5.   Institucije in organi Unije objavijo kontaktne podatke pooblaščene osebe za varstvo podatkov in jih sporočijo Evropskemu nadzorniku za varstvo podatkov.

1.   Institucije in organi Unije zagotovijo, da je pooblaščena oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.

2.   Institucije in organi Unije pooblaščeni osebi za varstvo podatkov pomagajo pri opravljanju nalog iz člena 45, tako da zagotovijo sredstva, potrebna za opravljanje teh nalog, in dostop do osebnih podatkov in dejanj obdelave, ter ohranjanje njenega strokovnega znanja.

3.   Institucije in organi Unije zagotovijo, da pooblaščena oseba za varstvo podatkov pri opravljanju svojih nalog ne prejema nobenih navodil. Upravljavec ali obdelovalec ne sme razrešiti ali kaznovati pooblaščene osebe za varstvo podatkov zaradi opravljanja njenih nalog. Pooblaščena oseba za varstvo podatkov neposredno poroča najvišji upravni ravni upravljavca ali obdelovalca.

4.   Posamezniki, na katere se nanašajo osebni podatki, lahko s pooblaščeno osebo za varstvo podatkov stopijo v stik glede vseh vprašanj, povezanih z obdelavo njihovih osebnih podatkov in uresničevanjem njihovih pravic na podlagi te uredbe.

5.   Pooblaščena oseba za varstvo podatkov in njeno osebje sta pri opravljanju svojih nalog zavezana varovati skrivnost ali zaupnost v skladu s pravom Unije.

6.   Pooblaščena oseba za varstvo podatkov lahko opravlja druge naloge in dolžnosti. Upravljavec ali obdelovalec zagotovi, da zaradi vsakršnih takih nalog in dolžnosti ne pride do nasprotja interesov.

7.   S pooblaščeno osebo za varstvo podatkov se lahko upravljavec in obdelovalec, zadevni kadrovski odbor in kateri koli posameznik posvetujejo o vsaki zadevi v zvezi z razlago ali uporabo te uredbe, brez ukrepanja po uradni poti. Zaradi zadeve, predložene pooblaščeni osebi za varstvo podatkov z navedbo, da so bile kršene določbe te uredbe, nihče ne sme trpeti škode.

8.   Pooblaščena oseba za varstvo podatkov se imenuje za mandat treh do petih let in se lahko ponovno imenuje. Pooblaščeno osebo za varstvo podatkov lahko institucija ali organ Unije, ki jo je imenoval, razreši s položaja pooblaščene osebe za varstvo podatkov, če ne izpolnjuje več pogojev, potrebnih za opravljanje njenih dolžnosti in le s soglasjem Evropskega nadzornika za varstvo podatkov.

9.   Po njenem imenovanju institucija ali organ Unije, ki jo je imenoval, pooblaščeno osebo za varstvo podatkov vpiše pri Evropskem nadzorniku za varstvo podatkov.

1.   Pooblaščena oseba za varstvo podatkov ima naslednje naloge:

2.   Pooblaščena oseba za varstvo podatkov lahko upravljavcu in obdelovalcu poda priporočila glede praktičnega izboljšanja varstva podatkov in jima svetuje glede zadev v zvezi z uporabo določb o varstvu podatkov. Poleg tega lahko na lastno pobudo ali na zahtevo upravljavca ali obdelovalca, zadevnega kadrovskega odbora ali katerega koli posameznika preiskuje zadeve in dogodke, ki se neposredno nanašajo na njene naloge in za katere izve, ter poroča osebi, ki je naročila preiskavo, oziroma upravljavcu ali obdelovalcu.

3.   Nadaljnja izvedbena pravila v zvezi s pooblaščeno osebo za varstvo podatkov sprejme vsaka institucija ali organ Unije. Izvedbena pravila se nanašajo predvsem na naloge, dolžnosti in pooblastila pooblaščene osebe za varstvo podatkov.

1.   Prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo se lahko izvede, če Komisija v skladu s členom 45(3) Uredbe (EU) 2016/679 ali členom 36(3) Direktive (EU) 2016/680 odloči, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva podatkov, in kadar se osebni podatki prenesejo le, da se lahko izvedejo naloge v pristojnosti upravljavca.

2.   Institucije in organi Unije Komisijo in Evropskega nadzornika za varstvo podatkov obvestijo o primerih, za katere menijo, da zadevna tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija, kateri nameravajo prenesti osebne podatke, ne zagotavlja ustrezne ravni varstva v smislu odstavka 1.

3.   Institucije in organi Unije sprejmejo potrebne ukrepe za uskladitev z odločitvami, ki jih sprejme Komisija, ko v skladu s členom 45(3) ali (5) Uredbe (EU) 2016/679 ali členom 36(3) ali (5) Direktive (EU) 2016/680 ugotovi, da tretja država, ozemlje, eden ali več določenih sektorjev v tej tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva oziroma je več ne zagotavlja.

1.   Kadar sklep v skladu s členom 45(3) Uredbe (EU) 2016/679 ali členom 36(3) Direktive (EU) 2016/680 ni sprejet, lahko upravljavec ali obdelovalec osebne podatke prenese v tretjo državo ali mednarodno organizacijo le, če je upravljavec ali obdelovalec predvidel ustrezne zaščitne ukrepe, in pod pogojem, da imajo posamezniki, na katere se nanašajo osebni podatki, na voljo izvršljive pravice in učinkovita pravna sredstva.

2.   Ustrezni zaščitni ukrepi iz odstavka 1 se lahko, ne da bi bilo potrebno posebno dovoljenje Evropskega nadzornika za varstvo podatkov, zagotovijo s:

3.   Ustrezni zaščitni ukrepi iz odstavka 1 se lahko z dovoljenjem Evropskega nadzornika za varstvo podatkov zagotovijo tudi zlasti s:

4.   Dovoljenja Evropskega nadzornika za varstvo podatkov na podlagi člena 9(7) Uredbe (ES) št. 45/2001 ostanejo veljavna, dokler jih Evropski nadzornik za varstvo podatkov ne spremeni, nadomesti ali razveljavi, če je to potrebno.

5.   Institucije in organi Unije Evropskega nadzornika za varstvo podatkov obvestijo o kategorijah primerov, v katerih je bil uporabljen ta člen.

1.   Če sklep o ustreznosti v skladu s členom 45(3) Uredbe (EU) 2016/679 ali členom 36(3) Direktive (EU) 2016/680 ni sprejet ali pa niso sprejeti ustrezni zaščitni ukrepi v skladu s členom 48 te uredbe, se lahko prenos ali niz prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo izvede le pod enim izmed naslednjih pogojev:

2.   Točke (a), (b) in (c) odstavka 1 se ne uporabljajo za dejavnosti, ki jih institucije in organi Unije opravljajo pri izvajanju svojih javnih pooblastil.

3.   Javni interes iz točke (d) odstavka 1 je priznan v pravu Unije.

4.   Prenos v skladu s točko (g) odstavka 1 ne vključuje vseh osebnih podatkov ali celih vrst osebnih podatkov, ki jih vsebuje register, razen če to dovoljuje pravo Unije. Kadar je register namenjen vpogledu oseb, ki imajo zakoniti interes, se prenos opravi samo, če to zahtevajo te osebe ali če bodo te osebe uporabniki.

5.   Če sklepa o ustreznosti ni, se lahko v pravu Unije zaradi pomembnih razlogov javnega interesa izrecno določijo omejitve prenosa posebnih vrst osebnih podatkov v tretjo državo ali mednarodno organizacijo.

6.   Institucije in organi Unije Evropskega nadzornika za varstvo podatkov obvestijo o kategorijah primerov, v katerih je bil uporabljen ta člen.

1.   Ustanovi se Evropski nadzornik za varstvo podatkov.

2.   Evropski nadzornik za varstvo podatkov je v zvezi z obdelavo osebnih podatkov odgovoren za zagotovitev, da institucije in organi Unije spoštujejo temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva podatkov.

3.   Evropski nadzornik za varstvo podatkov je odgovoren za spremljanje in zagotavljanje uporabe določb te uredbe in vseh drugih aktov Unije v zvezi z varstvom temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov v instituciji ali organu Unije ter za svetovanje institucijam in organom Unije ter posameznikom, na katere se nanašajo osebni podatki, o vseh zadevah v zvezi z obdelavo osebnih podatkov. Evropski nadzornik za varstvo podatkov v ta namen izpolnjuje naloge iz člena 57 in izvaja pooblastila, dodeljena v členu 58.

4.   Uredba (ES) št. 1049/2001 se uporablja za dokumente, ki jih hrani Evropski nadzornik za varstvo podatkov. Evropski nadzornik za varstvo podatkov sprejme podrobna pravila za uporabo Uredbe (ES) št. 1049/2001 v zvezi s temi dokumenti.

1.   Evropski parlament in Svet s skupnim soglasjem imenujeta evropskega nadzornika za varstvo podatkov za petletni mandat na podlagi seznama, ki ga pripravi Komisija po javnem razpisu za kandidate. Ta razpis omogoči vsem zainteresiranim stranem po vsej Uniji, da predložijo svoje prijave. Seznam kandidatov, ki ga pripravi Komisija, je javen in vključuje vsaj tri kandidate. Pristojni odbor Evropskega parlamenta se lahko na podlagi seznama, ki ga pripravi Komisija, odloči za zaslišanje kandidatov in si zagotovi možnost, da izrazi svoje mnenje o tem, kateremu kandidatu daje prednost.

2.   Na seznamu kandidatov iz odstavka 1 so osebe, katerih neodvisnost je nedvomna in ki imajo priznano strokovno znanje na področju varstva podatkov, pa tudi izkušnje in strokovnost, potrebne za opravljanje dolžnosti evropskega nadzornika za varstvo podatkov.

3.   Mandat evropskega nadzornika za varstvo podatkov se lahko enkrat obnovi.

4.   Dolžnosti evropskega nadzornika za varstvo podatkov prenehajo v naslednjih okoliščinah:

5.   Sodišče lahko na zahtevo Evropskega parlamenta, Sveta ali Komisije razreši evropskega nadzornika za varstvo podatkov ali mu odvzame pravico do pokojnine ali do drugih ugodnosti na njegovem položaju, če ne izpolnjuje več pogojev, ki se zahtevajo za opravljanje njegovih dolžnosti, ali če je storil hujšo kršitev.

6.   V primeru normalne zamenjave ali prostovoljnega odstopa ostane evropski nadzornik za varstvo podatkov na svojem položaju vse do zamenjave.

7.   Za evropskega nadzornika za varstvo podatkov se uporabljajo členi 11 do 14 in 17 Protokola o privilegijih in imunitetah Evropske unije.

1.   Evropski nadzornik za varstvo podatkov se glede določitve plače, dodatkov, starostne pokojnine in vseh drugih nadomestil na podlagi plače šteje za enakovrednega sodniku Sodišča.

2.   Proračunski organ zagotovi, da je Evropski nadzornik za varstvo podatkov preskrbljen s človeškimi in finančnimi viri, potrebnimi za izvajanje njegovih nalog.

3.   Proračun Evropskega nadzornika za varstvo podatkov se prikaže v posebnem proračunskem naslovu v oddelku o upravnih odhodkih splošnega proračuna Unije.

4.   Evropskemu nadzorniku za varstvo podatkov pomaga sekretariat. Uradnike in druge člane osebja sekretariata imenuje evropski nadzornik za varstvo podatkov, ki je njihov nadrejeni. Podrejeni so le njegovemu vodstvu. Njihovo število se kot del proračunskega postopka določi vsako leto. Člen 75(2) Uredbe (EU) 2016/679 se uporablja za osebje Evropskega nadzornika za varstvo podatkov, ki sodeluje pri opravljanju nalog, ki so v skladu s pravom Unije dodeljene Evropskemu odboru za varstvo podatkov.

5.   Za uradnike in druge člane osebja sekretariata Evropskega nadzornika za varstvo podatkov veljajo pravila in predpisi, ki se uporabljajo za uradnike in druge uslužbence Unije.

6.   Sedež Evropskega nadzornika za varstvo podatkov je v Bruslju.

1.   Evropski nadzornik za varstvo podatkov pri opravljanju svojih nalog in izvajanju svojih pooblastil v skladu s to uredbo ravna popolnoma neodvisno.

2.   Evropski nadzornik za varstvo podatkov pri opravljanju svojih nalog in izvajanju pooblastil v skladu s to uredbo ni izpostavljen niti neposrednemu niti posrednemu zunanjemu vplivu in nikogar ne prosi za navodila niti jih od nikogar ne sprejema.

3.   Evropski nadzornik za varstvo podatkov se vzdrži vsakega delovanja, ki je nezdružljivo z njegovimi dolžnostmi, in se v času svojega mandata ne ukvarja z nobenim drugim delom, bodisi profitnim bodisi neprofitnim.

4.   Po izteku mandata Evropski nadzornik za varstvo podatkov pri sprejemanju imenovanj in ugodnosti ravna pošteno in diskretno.

1.   Brez poseganja v druge naloge, določene v tej uredbi, Evropski nadzornik za varstvo podatkov:

2.   Evropski nadzornik za varstvo podatkov olajša postopek vložitve pritožb iz točke (e) odstavka 1 z obrazcem za vložitev pritožbe, ki ga je mogoče izpolniti elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

3.   Opravljanje nalog Evropskega nadzornika za varstvo podatkov je za posameznika, na katerega se nanašajo osebni podatki, brezplačno.

4.   Kadar so zahteve očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko Evropski nadzornik za varstvo podatkov zavrne ukrepanje v zvezi z zahtevo. Evropski nadzornik za varstvo podatkov nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

1.   Evropski nadzornik za varstvo podatkov ima naslednja preiskovalna pooblastila:

2.   Evropski nadzornik za varstvo podatkov ima naslednja popravljalna pooblastila:

3.   Evropski nadzornik za varstvo podatkov ima naslednja pooblastila v zvezi z dovoljenji in svetovalnimi pristojnostmi:

4.   Evropski nadzornik za varstvo podatkov ima pooblastila, da o zadevi obvesti Sodišče pod pogoji iz Pogodb in posreduje v tožbah, vloženih pri Sodišču.

5.   Evropski nadzornik za varstvo podatkov izvaja pooblastila, ki so mu dodeljena v skladu s tem členom, na podlagi ustreznih zaščitnih ukrepov, vključno z učinkovitimi pravnimi sredstvi in ustreznim pravnim postopkom, kot je določeno v pravu Unije.

1.   Evropski nadzornik za varstvo podatkov letno poročilo o svojih dejavnostih predloži Evropskemu parlamentu, Svetu in Komisiji in ga sočasno objavi.

2.   Evropski nadzornik za varstvo podatkov poročilo iz odstavka 1 posreduje drugim institucijam in organom Unije, ki lahko predložijo pripombe v zvezi z morebitno obravnavo poročila v Evropskem parlamentu.

1.   Kadar se akt Unije sklicuje na ta člen, Evropski nadzornik za varstvo podatkov in nacionalni nadzorni organi, vsak v mejah svoje pristojnosti, aktivno sodelujejo v okviru svojih odgovornosti, da zagotovijo učinkovit nadzor nad obsežnimi sistemi informacijske tehnologije in organi, uradi in agencijami Unije.

2.   Vsak v mejah svoje pristojnosti in v okviru svojih odgovornosti po potrebi izmenjujejo relevantne informacije, si pomagajo pri izvajanju revizij in pregledov, proučujejo težave pri razlagi ali uporabi te uredbe in drugih veljavnih aktov Unije, proučujejo težave, ki nastanejo pri izvajanju neodvisnega nadzora ali uresničevanju pravic posameznikov, na katere se nanašajo osebni podatki, pripravljajo harmonizirane predloge za rešitve morebitnih težav in spodbujajo ozaveščenost o pravicah glede varstva podatkov.

3.   Nacionalni nadzorni organi in Evropski nadzornik za varstvo podatkov se za namene iz odstavka 2 sestanejo vsaj dvakrat letno v okviru Evropskega odbora za varstvo podatkov. V te namene lahko Evropski odbor za varstvo podatkov po potrebi oblikuje nadaljnje delovne metode.

4.   Evropski odbor za varstvo podatkov vsaki dve leti Evropskemu parlamentu, Svetu in Komisiji predložijo skupno poročilo o dejavnostih usklajenega nadzora.

1.   Brez poseganja v katero koli pravno, upravno ali izvensodno sredstvo ima vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da vloži pritožbo pri Evropskem nadzorniku za varstvo podatkov, če meni, da obdelava osebnih podatkov v zvezi z njim krši to uredbo.

2.   Evropski nadzornik za varstvo podatkov obvesti pritožnika o stanju zadeve in odločitvi o pritožbi, vključno z možnostjo pravnega sredstva na podlagi člena 64.

3.   Če Evropski nadzornik za varstvo podatkov v treh mesecih pritožbe ne obravnava ali posameznika, na katerega se nanašajo osebni podatki, ne obvesti o stanju zadeve ali odločitvi o pritožbi, se šteje, da je Evropski nadzornik za varstvo podatkov sprejel negativno odločitev.

1.   Za obravnavanje vseh sporov v zvezi z določbami te uredbe, vključno z odškodninskimi zahtevki, je pristojno Sodišče.

2.   Tožbe zoper odločitve Evropskega nadzornika za varstvo podatkov, vključno z odločitvami iz člena 63(3), se vložijo pri Sodišču.

3.   Sodišče ima neomejeno pristojnost za sodni pregled upravnih glob iz člena 66. V okviru omejitev člena 66 te globe lahko prekliče, zmanjša ali poveča.

1.   Evropski nadzornik za varstvo podatkov lahko institucijam in organom Unije glede na okoliščine posameznega primera naloži upravne globe, kadar institucija ali organ Unije ne upoštevata odredbe Evropskega nadzornika za varstvo podatkov v skladu s točkami (d) do (h) in točko (j) člena 58(2). Pri odločanju o tem, ali se naloži upravna globa, in o višini upravne globe za vsak posamezen primer se ustrezno upošteva naslednje:

2.   Kadar institucija ali organ Unije kršita svoje obveznosti iz členov 8, 12, 27 do 35, 39, 40, 43, 44 in 45, se jima v skladu z odstavkom 1 tega člena naložijo upravne globe v višini do 25 000 EUR za posamezno kršitev in do največ 250 000 EUR letno.

3.   Kadar institucija ali organ Unije kršita naslednje določbe, se jima v skladu z odstavkom 1 naložijo upravne globe v višini do 50 000 EUR za posamezno kršitev in do največ 500 000 EUR letno:

4.   Če institucija ali organ Unije pri istem ali povezanem ali nadaljnjem dejanju obdelave kršita več določb te uredbe ali večkrat isto določbo te uredbe, skupni znesek upravne globe ne presega zneska, določenega za najhujšo kršitev.

5.   Evropski nadzornik za varstvo podatkov pred sprejetjem odločitev v skladu s tem členom instituciji ali organu Unije, zaradi katerih je začel postopek, omogoči, da podata izjavo o zadevah, ki jim Evropski nadzornik za varstvo podatkov ugovarja. Evropski nadzornik za varstvo podatkov svoje odločitve sprejme le na podlagi ugovorov, na katere so lahko zadevne strani podale pripombe. Pritožniki so tesno povezani s postopki.

6.   V postopkih se v celoti spoštuje pravica strank do obrambe. Strankam je zagotovljena pravica do vpogleda v spis Evropskega nadzornika za varstvo podatkov, ob upoštevanju zakonitega interesa posameznikov ali podjetij za varstvo njihovih osebnih podatkov ali poslovnih skrivnosti.

7.   Sredstva, zbrana z naložitvijo glob iz tega člena, so prihodek splošnega proračuna Unije.

1.   Operativni osebni podatki:

2.   Obdelava s strani istega ali drugega upravljavca za katerega koli od namenov iz pravnega akta o ustanovitvi organa, urada ali agencije Unije, ki ni namen, za katerega so bili operativni osebni podatki zbrani, je dovoljena, če:

3.   Obdelava podatkov s strani istega ali drugega upravljavca lahko vključuje arhiviranje v javnem interesu, znanstveno, statistično ali zgodovinsko uporabo za namene iz pravnega akta o ustanovitvi organa, urada ali agencije Unije, če je zagotovljena ustrezna zaščita pravic in svoboščin posameznikov, na katere se osebni podatki nanašajo.

4.   Upravljavec je odgovoren za skladnost z odstavki 1, 2 in 3 in je to skladnost tudi zmožen izkazati.

1.   Obdelava operativnih osebnih podatkov je zakonita le in kolikor je potrebna za opravljanje nalog organov, uradov ali agencij Unije pri izvajanju dejavnosti, ki spadajo na področje poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, ter če temelji na pravu Unije.

2.   Posebni pravni akti Unije, ki urejajo obdelavo v okviru področja uporabe tega poglavja, določijo vsaj cilje obdelave, katere operativne osebne podatke je treba obdelati, namene obdelave in roke za hrambo operativnih osebnih podatkov ali za redni pregled potrebe po nadaljnjem shranjevanju operativnih osebnih podatkov.

1.   Upravljavec razlikuje, v največji možni meri, med operativnimi osebnimi podatki, ki temeljijo na dejstvih, in operativnimi osebnimi podatki, ki temeljijo na osebnih ocenah.

2.   Upravljavec sprejme vse razumne ukrepe za zagotovitev, da se operativni osebni podatki, ki so netočnih, nepopolni ali neposodobljeni, ne posredujejo ali dajo na voljo. V ta namen nadzornik preveri kakovost operativnih osebnih podatkov, še preden se ti posredujejo ali dajo na voljo, če je to izvedljivo in kadar je ustrezno. Če je mogoče, upravljavec pri vsakem posredovanju operativnih osebnih podatkov doda potrebne informacije, ki uporabniku omogočijo, da oceni stopnjo točnosti, popolnosti, zanesljivosti in posodobljenosti operativnih osebnih podatkov.

3.   Če se izkaže, da so bili posredovani nepravilni operativni osebni podatki ali da so bili operativni osebni podatki posredovani nezakonito, je o tem treba takoj uradno obvestiti prejemnika. V takšnem primeru je treba popraviti ali izbrisati zadevne operativne osebne podatke ali omejiti njihovo obdelavo v skladu s členom 82.

1.   Kadar so v pravu Unije, ki se uporablja za upravljavca, ki posreduje podatke, določeni posebni pogoji za obdelavo, upravljavec obvesti uporabnika operativnih osebnih podatkov o takšnih pogojih in o obveznosti skladnosti s temi pogoji.

2.   Upravljavec mora spoštovati posebne pogoje za obdelavo, ki jih določi pristojni organ, ki posreduje podatke, v skladu s členom 9(3) in (4) Direktive (EU) 2016/680.

1.   Obdelava operativnih osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, vero ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, operativnih osebnih podatkov v zvezi z zdravstvenim ali spolnim življenjem in spolno usmerjenostjo je dovoljena le, če je nujno potrebna za operativne namene, v mejah pristojnosti zadevnega organa, urada ali agencije Unije in če je zagotovljena ustrezna zaščita pravic in svoboščin posameznika, na katerega se operativni osebni podatki nanašajo. Diskriminacija oseb na podlagi takšnih osebnih podatkov je prepovedana.

2.   O uporabi tega člena se nemudoma obvesti pooblaščena oseba za varstvo podatkov.

1.   Sprejemanje odločitev izključno na podlagi avtomatizirane obdelave, vključno z oblikovanjem profilov, ki ima lahko negativen pravni učinek za posameznika, na katerega se nanašajo osebni podatki, ali ga zelo prizadene, je prepovedano, razen če to dovoljuje pravo Unije ali države članice, ki se uporablja za upravljavca in ki zagotavlja ustrezno zaščito pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, vsaj pravice do osebnega posredovanja s strani upravljavca.

2.   Odločitve iz odstavka 1 tega člena ne temeljijo na posebnih vrstah operativnih osebnih podatkov iz člena 76, razen če so vzpostavljeni ustrezni ukrepi za zaščito pravic in svoboščin ter zakonitih interesov posameznika, na katerega se nanašajo osebni podatki.

3.   Oblikovanje profilov, ki ima za posledico diskriminacijo posameznikov na podlagi posebnih vrst operativnih osebnih podatkov iz člena 76, je v skladu s pravom Unije prepovedano.

1.   Upravljavec sprejme razumne ukrepe, s katerimi zagotovi, da se posamezniku, na katerega se nanašajo osebni podatki, vse informacije iz člena 79 ter vsa sporočila iz členov 80 do 84 ter 92, povezana z obdelavo, posredujejo v jedrnati, razumljivi in lahko dostopni obliki ter jasnem in preprostem jeziku. Informacije se posredujejo na vse ustrezne načine, tudi v elektronski obliki. Upravljavec praviloma zagotovi informacije v taki obliki, kot jo je imela zahteva.

2.   Upravljavec olajša uresničevanje pravic posameznika, na katerega se nanašajo osebni podatki, iz členov 79 do 84.

3.   Upravljavec posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja pisno obvesti o nadaljnjih ukrepih v zvezi z njegovo zahtevo, v vsakem primeru pa najpozneje v treh mesecih po prejetju zahteve posameznika, na katerega se nanašajo osebni podatki.

4.   Upravljavec informacije iz člena 79 ter morebitna sporočila in ukrepe, sprejete na podlagi členov 80 do 84 ter 92, posreduje brezplačno. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko upravljavec zavrne ukrepanje v zvezi z zahtevo. Upravljavec nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.

5.   Kadar upravljavec upravičeno dvomi o identiteti posameznika, ki predloži zahtevo iz členov 80 ali 82, lahko zahteva zagotovitev dodatnih informacij, ki so potrebne za potrditev identitete posameznika, na katerega se nanašajo osebni podatki.

1.   Upravljavec posamezniku, na katerega se nanašajo osebni podatki, da na voljo vsaj naslednje informacije:

2.   Upravljavec posamezniku, na katerega se nanašajo osebni podatki, v posebnih primerih, določenih s pravom Unije, poleg informacij iz odstavka 1 da tudi naslednje informacije, s čimer omogoči uresničevanje njegovih pravic:

3.   Upravljavec lahko zadrži, omeji ali opusti zagotavljanje informacij posamezniku, na katerega se nanašajo osebni podatki, na podlagi odstavka 2, če in dokler je takšen ukrep, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

1.   Upravljavec lahko posamezniku, na katerega se nanašajo osebni podatki, popolnoma ali delno omeji pravico do dostopa, in sicer če in dokler je taka delna ali popolna omejitev, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

2.   Upravljavec v primerih iz odstavka 1 posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja pisno obvesti o vsaki zavrnitvi ali omejitvi dostopa in razlogih zanju. Te informacije se lahko izpustijo, če bi njihova zagotovitev ogrozila namen iz odstavka 1. Upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o možnosti za vložitev pritožbe pri Evropskem nadzorniku za varstvo podatkov ali o obstoju pravnega sredstva pred Sodiščem. Upravljavec dokumentira dejansko stanje ali pravne razloge, na katerih temelji odločitev. Te informacije se dajo na voljo Evropskemu nadzorniku za varstvo podatkov na njegovo zahtevo.

1.   Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči, da pri upravljavcu brez nepotrebnega odlašanja doseže popravek netočnih operativnih osebnih podatkov v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima ob upoštevanju namenov obdelave pravico do dopolnitve nepopolnih operativnih osebnih podatkov, vključno s predložitvijo dopolnilne izjave.

2.   Upravljavec brez nepotrebnega odlašanja izbriše operativne osebne podatke, posameznik, na katerega se nanašajo osebni podatki, pa ima pravico, da pri upravljavcu brez nepotrebnega odlašanja doseže izbris operativnih osebnih podatkov v zvezi z njim, če obdelava krši člen 71, 72(1) ali 76, ali če je treba operativne osebne podatke izbrisati za izpolnitev pravne obveznosti, ki velja za upravljavca.

3.   Upravljavec namesto izbrisa omeji obdelavo, kadar:

Kadar je obdelava omejena v skladu s točko (a) prvega pododstavka, upravljavec pred preklicem omejitve obdelave obvesti posameznika, na katerega se nanašajo osebni podatki.

Podatki, za katere velja omejitev, se obdelajo le za namen, zaradi katerega niso bili izbrisani.

4.   Upravljavec posameznika, na katerega se nanašajo osebni podatki, pisno obvesti o vsaki zavrnitvi popravka ali izbrisa operativnih osebnih podatkov ali omejitvi obdelave ter o razlogih za zavrnitev. Upravljavec lahko popolnoma ali delno omeji zagotavljanje teh informacij, kolikor je taka omejitev, ki mora spoštovati temeljne pravice in zakonite interese zadevnega posameznika, nujen in sorazmeren ukrep v demokratični družbi za:

Upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o možnosti za vložitev pritožbe pri Evropskem nadzorniku za varstvo podatkov ali obstoju pravnega sredstva pred Sodišču.

5.   Upravljavec o popravku netočnih operativnih osebnih podatkov obvesti pristojni organ, ki je posredoval netočne operativne osebne podatke.

6.   Če so bili operativni osebni podatki na podlagi odstavka 1, 2 ali 3 popravljeni ali izbrisani ali je bila njihova obdelava omejena, upravljavec o tem uradno obvesti uporabnike ter da uporabniki popravijo ali izbrišejo operativne osebne podatke ali omejiti obdelavo operativnih osebnih podatkov za katere so odgovorni.

1.   V primerih iz členov 79(3), 81 in 82(4) lahko posameznik, na katerega se nanašajo osebni podatki, svoje pravice uveljavlja tudi prek Evropskega nadzornika za varstvo podatkov.

2.   Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, da lahko svoje pravice uresničuje prek Evropskega nadzornika za varstvo podatkov v skladu z odstavkom 1.

3.   Kadar posameznik, na katerega se nanašajo osebni podatki, uresničuje pravico iz odstavka 1, ga Evropski nadzornik za varstvo podatkov obvesti vsaj o tem, da je izvedel vsa potrebna preverjanja oziroma pregled. Evropski nadzornik za varstvo podatkov tudi obvesti posameznika, na katerega se nanašajo osebni podatki, o njegovi pravici do uporabe pravnega sredstva pred Sodiščem.

1.   Upravljavec ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, tako v času določanja sredstev obdelave kot v času same obdelave, izvede ustrezne tehnične in organizacijske ukrepe, kot je psevdonimizacija, ki so oblikovani za učinkovito izvajanje načel varstva podatkov, kot je načelo najmanjšega obsega podatkov, ter v obdelavo vključi potrebne zaščitne ukrepe, da se izpolnijo zahteve iz te uredbe in pravnega akta o njegovi ustanovitvi ter zaščitijo pravice posameznikov, na katere se nanašajo osebni podatki.

2.   Upravljavec izvede ustrezne tehnične in organizacijske ukrepe, s katerimi zagotovi, da se samodejno obdelajo samo operativni osebni podatki, ki so ustrezni, relevantni in ne pretirani glede na namene, za katere se obdelujejo. Ta obveznost velja za količino zbranih operativnih osebnih podatkov, obseg njihove obdelave, obdobje njihove hrambe in njihovo dostopnost. S takšnimi ukrepi se zagotovi zlasti, da operativni osebni podatki niso samodejno dostopni nedoločenemu številu fizičnih oseb brez posredovanja zadevnega posameznika.

1.   Kadar dva ali več upravljavcev ali eden ali več upravljavcev ali upravljavci, ki niso institucije in organi Unije, skupaj določijo namene in načine obdelave, so skupni upravljavci. Skupni upravljavci na pregleden način z medsebojnim dogovorom določijo dolžnosti vsakega od njih z namenom izpolnjevanja njihovih obveznosti varstva podatkov, zlasti v zvezi z uresničevanjem pravic posameznika, na katerega se nanašajo osebni podatki, in nalogami vsakega od njih glede zagotavljanja informacij iz člena 79, razen če in kolikor so dolžnosti vsakega od skupnih upravljavcev določene s pravom Unije ali pravom države članice, ki velja za skupne upravljavce. Z dogovorom se lahko določi kontaktna točka za posameznike, na katere se nanašajo osebni podatki.

2.   Dogovor iz odstavka 1 ustrezno odraža vlogo vsakega od skupnih upravljavcev in njegovo razmerje do posameznika, na katerega se nanašajo osebni podatki. Bistveno vsebino dogovora se da na voljo posamezniku, na katerega se nanašajo osebni podatki.

3.   Posameznik, na katerega se nanašajo osebni podatki, lahko ne glede na pogoje dogovora iz odstavka 1 uresničuje svoje pravice v skladu s to uredbo glede vsakega od upravljavcev in proti vsakemu od njih.

1.   Kadar se obdelava izvaja v imenu upravljavca, ta sodeluje zgolj z obdelovalci, ki zagotovijo zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov na tak način, da obdelava izpolnjuje zahteve iz te uredbe in pravnega akta o ustanovitvi upravljavca ter zagotavlja varstvo pravic posameznika, na katerega se nanašajo osebni podatki.

2.   Obdelovalec ne zaposli drugega obdelovalca brez predhodnega posebnega ali splošnega pisnega dovoljenja upravljavca. V primeru splošnega pisnega dovoljenja obdelovalec upravljavca obvesti o vseh nameravanih spremembah glede zaposlitve dodatnih obdelovalcev ali njihove zamenjave, s čimer se upravljavcu omogoči, da nasprotuje tem spremembam.

3.   Obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca in v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta operativnih osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:

4.   Pogodba ali drug pravni akt iz odstavka 3 je v pisni obliki, vključno z elektronsko obliko.

5.   Če obdelovalec z določitvijo namenov in načinov obdelave krši to uredbo ali pravni akt o ustanovitvi upravljavca, obdelovalec šteje za upravljavca v zvezi s to obdelavo.

1.   Upravljavec vodi dnevnike o vseh naslednjih postopkih dejanjih obdelave v sistemih za avtomatizirano obdelavo: zbiranje, predelava, dostop, vpogled, razkritje, vključno s prenosi, kombiniranje in izbris operativnih osebnih podatkov. Dnevniki vpogleda in razkritja omogočajo, da se take dejavnosti utemeljijo, da se opredeli datum in čas takih dejavnosti ter identificirajo osebe, ki so vpogledale v operativne osebne podatke ali jih razkrile, ter da se, kolikor je to mogoče, identificirajo uporabniki takih operativnih osebnih podatkov.

2.   Dnevniki se uporabljajo zgolj za preverjanje zakonitosti obdelave, notranje spremljanje, zagotavljanje celovitosti in varnosti operativnih osebnih podatkov ter v kazenskih postopkih. Taki dnevniki se izbrišejo po treh letih, razen če so potrebni za tekoči nadzor.

3.   Upravljavec svoji pooblaščeni osebi za varstvo podatkov in Evropskemu nadzorniku za varstvo podatkov na zahtevo omogoči dostop do dnevnikov.

1.   Kadar bi lahko vrsta obdelave, zlasti z uporabo novih tehnologij, ob upoštevanju narave, obsega, okoliščin in namenov obdelave povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec pred obdelavo opravi oceno učinka predvidenih dejanj obdelave na varstvo operativnih osebnih podatkov.

2.   Ocena iz odstavka 1 obsega vsaj splošni opis predvidenih dejanj obdelave, oceno tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, ukrepe, namenjene obvladovanju teh tveganj, zaščitne ukrepe, varnostne ukrepe ter mehanizme za zagotavljanje varstva operativnih osebnih podatkov in za dokazovanje skladnosti s predpisi za varstvo osebnih podatkov, pri čemer se upoštevajo pravice in zakoniti interesi posameznikov, na katere se nanašajo osebni podatki, ter drugih zadevnih oseb.

1.   Upravljavec se pred obdelavo osebnih podatkov, ki bodo del nove zbirke, posvetuje z Evropskim nadzornikom za varstvo podatkov, kadar:

2.   Evropski nadzornik za varstvo podatkov lahko pripravi seznam dejavnosti obdelave, za katere je treba v skladu z odstavkom 1 opraviti predhodno posvetovanje.

3.   Upravljavec Evropskemu nadzorniku za varstvo podatkov predloži oceno učinka na varstvo podatkov iz člena 89, na zahtevo pa tudi vse druge informacije, ki bodo Evropskemu nadzorniku za varstvo podatkov omogočile, da oceni skladnost obdelave in zlasti tveganja za varstvo operativnih osebnih podatkov posameznika, na katerega se nanašajo osebni podatki, ter s tem povezane zaščitne ukrepe.

4.   Kadar Evropski nadzornik za varstvo podatkov meni, da bi predvidena obdelava iz odstavka 1 kršila to uredbo ali pravni akt o ustanovitvi organa, urada ali agencije Unije, zlasti kadar upravljavec ni zadostno opredelil ali ublažil tveganja, Evropski nadzornik za varstvo podatkov v roku do šestih tednov po prejemu zahteve za posvetovanje pisno svetuje upravljavcu. To obdobje se lahko ob upoštevanju kompleksnosti predvidene obdelave podaljša za en mesec. Evropski nadzornik za varstvo podatkov o vsakem takem podaljšanju obvesti upravljavca v enem mesecu po prejemu zahteve za posvetovanje, skupaj z razlogi za zamudo.

1.   Upravljavec in obdelovalec ob upoštevanju tehnološkega razvoja, stroškov izvajanja in narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z ustreznimi tehničnimi in organizacijskimi ukrepi zagotovi ustrezno raven varnosti glede na tveganje, zlasti kar zadeva obdelavo posebnih vrst operativnih osebnih podatkov.

2.   Upravljavec in obdelovalec v zvezi z avtomatizirano obdelavo po oceni tveganj izvedeta ukrepe, katerih namen je:

1.   V primeru kršitve varnosti operativnih osebnih podatkov upravljavec brez nepotrebnega odlašanja in po možnosti pa najpozneje v 72 urah po seznanitvi s kršitvijo o njej obvesti Evropskega nadzornika o varstvu podatkov, razen če ni verjetno, da bi bilo s kršitvijo varnosti operativnih osebnih podatkov povzročeno tveganje za pravice in svoboščine posameznikov. Kadar obvestilo Evropskemu nadzorniku za varstvo podatkov ni podano v 72 urah, se mu priložijo razlogi za zamudo.

2.   Obvestilo iz odstavka 1 vsebuje vsaj:

3.   Kadar in kolikor informacij iz odstavka 2 ni mogoče zagotoviti istočasno, se lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.

4.   Upravljavec dokumentira vsako kršitev varstva osebnih podatkov iz odstavka 1, vključno z dejstvi v zvezi s kršitvijo varnosti osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija Evropskemu nadzorniku za varstvo podatkov omogoči, da preveri skladnost s tem členom.

5.   V primeru, da kršitev varstva osebnih podatkov vključuje operativne osebne podatke, ki jih je pristojni organ druge države članice poslal ali so mu bili poslani, upravljavec brez nepotrebnega odlašanja sporoči informacije iz odstavka 2 zadevnemu pristojnemu organu.

1.   Kadar je verjetno, da bi kršitev varnosti osebnih podatkov povzročila veliko tveganje za pravice in svoboščine posameznikov, upravljavec brez nepotrebnega odlašanja sporoči posamezniku, na katerega se nanašajo osebni podatki, da je prišlo do kršitve varnosti osebnih podatkov.

2.   V sporočilu posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena je v jasnem in preprostem jeziku opisana vrsta kršitve varnosti osebnih podatkov ter so vsebovane vsaj informacije in priporočila iz točk (b), (c) in (d) člena 92(2).

3.   Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 ni potrebno, če je izpolnjen kateri koli izmed naslednjih pogojev:

4.   Če upravljavec posameznika, na katerega se nanašajo osebni podatki, še ni obvestil o kršitvi varnosti osebnih podatkov, lahko Evropski nadzornik za varstvo podatkov to od njega zahteva po proučitvi verjetnosti, da bi kršitev varnosti osebnih podatkov povzročila veliko tveganje, ali pa lahko odloči, da je izpolnjen kateri koli od pogojev iz odstavka 3.

5.   Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 tega člena se lahko pod pogoji in iz razlogov iz člena 79(3) zadrži, omeji ali opusti.

1.   Upravljavec lahko, ob upoštevanju omejitev in pogojev, določenih v pravnih aktih o ustanovitvi organa, urada ali agencije Unije, prenese operativne osebne podatke organu v tretje države ali mednarodne organizacije, kolikor je tak prenos potreben za izvajanje nalog upravljavca in le kadar so izpolnjeni pogoji iz tega člena, in sicer:

2.   Pravni akti o ustanovitvi organov, uradov in agencij Unije lahko ohranijo ali sprejmejo bolj specifične določbe o pogojih za mednarodni prenos operativnih osebnih podatkov, zlasti v zvezi s prenosi z ustreznimi zaščitnimi ukrepi in odstopanji za posebne okoliščine.

3.   Upravljavec na svojem spletnem mestu objavi in posodablja seznam sklepov o ustreznosti iz točke (a), sporazumov, upravnih dogovorov in drugih instrumentov, povezanih s prenosom operativnih osebnih podatkov v skladu z odstavkom 1.

4.   Upravljavec hrani natančne evidence vseh prenosov, izvedenih na podlagi tega člena.

1.   Komisiji pomaga odbor, ustanovljen s členom 93 Uredbe (EU) 2016/679. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.

2.   Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.

1.   Komisija do 30. aprila 2022 pregleda pravne akte, sprejete na podlagi Pogodb, ki urejajo obdelavo operativnih osebnih podatkov s strani organov, uradov ali agencij Unije, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, da bi:

2.   Da bi se zagotovilo enotno in skladno varstvo posameznikov pri obdelavi, lahko Komisija na podlagi takega pregleda predloži ustrezne zakonodajne predloge zlasti za zagotovitev, da se poglavje IX te uredbe uporablja za Europol in Evropsko javno tožilstvo, vključno s prilagoditvami poglavja IX te uredbe, če je potrebno.

1.   Ta uredba ne vpliva na Sklep 2014/886/EU Evropskega parlamenta in Sveta (20) ter sedanji mandat evropskega nadzornika za varstvo podatkov in pomočnika nadzornika.

2.   Pomočnik nadzornika se glede določitve plače, dodatkov, starostne pokojnine in vseh drugih nadomestil na podlagi plače šteje za enakovrednega sodnemu tajniku Sodišča.

3.   Člen 53(4), (5) in (7) ter člena 55 in 56 te uredbe se za sedanjega pomočnika nadzornika uporabljajo do konca njegovega mandata.

4.   Pomočnik nadzornika evropskemu nadzorniku za varstvo podatkov do konca svojega mandata pomaga pri vseh njegovih dolžnostih in ga nadomešča, kadar je evropski nadzornik za varstvo podatkov odsoten ali če ne more poskrbeti zanje.

1.   Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

2.   Ta uredba se uporablja za obdelavo osebnih podatkov, ki jo opravlja Eurojust, od 12. decembra 2019.