Procedura : 2012/0011(COD)
Przebieg prac nad dokumentem podczas sesji
Dokument w ramach procedury : A7-0402/2013

Teksty złożone :

A7-0402/2013

Debaty :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13
PV 13/04/2016 - 15
CRE 13/04/2016 - 15

Głosowanie :

PV 12/03/2014 - 8.5
CRE 12/03/2014 - 8.5

Teksty przyjęte :

P7_TA(2014)0212

SPRAWOZDANIE     ***I
PDF 3505kWORD 4813k
22 listopada 2013
PE 501.927v05-00 A7-0402/2013

w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Sprawozdawca: Jan Philipp Albrecht

POPRAWKI
PROJEKT REZOLUCJI USTAWODAWCZEJ PARLAMENTU EUROPEJSKIEGO
 UZASADNIENIE
 OPINIA Komisji Zatrudnienia i Spraw Socjalnych
 OPINIA Komisji Przemysłu, Badań Naukowych i Energii
 OPINIA Komisji Rynku Wewnętrznego i Ochrony Konsumentów
 OPINIA Komisji Prawnej
 PROCEDURA

PROJEKT REZOLUCJI USTAWODAWCZEJ PARLAMENTU EUROPEJSKIEGO

w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych)

(COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))

(Zwykła procedura ustawodawcza: pierwsze czytanie)

Parlament Europejski,

–   uwzględniając wniosek Komisji przedstawiony Parlamentowi Europejskiemu i Radzie (COM(2012)0011),

–   uwzględniając art. 294 ust. 2, art. 16 ust. 2 oraz art. 114 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej, zgodnie z którymi Komisja przedstawiła wniosek Parlamentowi (C7-),

–   uwzględniając art. 294 ust. 3 Traktatu o funkcjonowaniu Unii Europejskiej,

–   uwzględniając uzasadnione opinie przedstawione – na mocy protokołu (nr 2) w sprawie stosowania zasad pomocniczości i proporcjonalności – przez belgijską Izbę Reprezentantów, niemiecką Radę Federalną, francuski Senat, włoską Izbę Deputowanych oraz szwedzki Parlament, w których stwierdzono, że projekt aktu ustawodawczego jest niezgodny z zasadą pomocniczości,

–   uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego z dnia 23 maja 2012 r.(1),

–   uwzględniając opinię Komitetu Regionów,

–   uwzględniając opinię Europejskiego Inspektora Ochrony Danych z dnia 7 marca 2012 r.,

–   uwzględniając opinię Agencji Praw Podstawowych Unii Europejskiej z dnia 1 października 2012 r.,

–   uwzględniając art. 55 Regulaminu,

–   uwzględniając sprawozdanie Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych oraz opinie Komisji Zatrudnienia i Spraw Socjalnych, Komisji Przemysłu, Badań Naukowych i Energii, Komisji Rynku Wewnętrznego i Ochrony Konsumentów oraz Komisji Prawnej (A7-0402/2013),

1.  zatwierdza poniższe stanowisko w pierwszym czytaniu;

2.  zwraca się do Komisji o ponowne przekazanie mu sprawy, jeśli uzna ona za stosowne wprowadzić znaczące zmiany do swojego wniosku lub zastąpić go innym tekstem;

3.  zobowiązuje swojego przewodniczącego do przekazania stanowiska Parlamentu Radzie i Komisji, a także parlamentom narodowym.

Poprawka       1

Wniosek dotyczący rozporządzenia

Motyw 14

Tekst proponowany przez Komisję

Poprawka

(14) Rozporządzenie nie odnosi się do kwestii ochrony podstawowych praw i wolności lub swobodnego przepływu danych dotyczących działalności, która nie wchodzi w zakres prawa unijnego, ani też nie obejmuje przetwarzania danych osobowych przez instytucje, organy i jednostki administracyjne Unii, które podlegają przepisom rozporządzenia (WE) nr 45/200144 lub przetwarzania danych osobowych przez państwa członkowskie podczas prowadzenia działalności związanej ze wspólną polityką zagraniczną i bezpieczeństwa Unii.

(14) Rozporządzenie nie odnosi się do kwestii ochrony podstawowych praw i wolności lub swobodnego przepływu danych dotyczących działalności, która nie wchodzi w zakres prawa unijnego. Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady1 należy dostosować do niniejszego rozporządzenia i stosować zgodnie z niniejszym rozporządzeniem.

____________

______________

44 Dz.U. L 8 z 12.1.2001, s. 1.

1 Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1).

Poprawka  2

Wniosek dotyczący rozporządzenia

Motyw 15

Tekst proponowany przez Komisję

Poprawka

(15) Niniejsze rozporządzenie nie powinno mieć zastosowania do przetwarzania przez osobę fizyczną danych osobowych o charakterze wyłącznie osobistym lub domowym, takich jak korespondencja i przechowywanie adresów, które są przetwarzane w celach niezarobkowych, zatem bez związku z działalnością zawodową lub handlową. Wyjątek ten nie powinien mieć także zastosowania do administratorów lub podmiotów przetwarzających, którzy zapewniają środki na przetwarzanie danych osobowych w celach osobistych lub domowych.

(15) Niniejsze rozporządzenie nie powinno mieć zastosowania do przetwarzania przez osobę fizyczną danych osobowych o charakterze wyłącznie osobistym, rodzinnym lub domowym, jak korespondencja i przechowywanie adresów lub sprzedaż prywatna, bez związku z działalnością zawodową lub handlową. Niniejsze rozporządzenie powinno jednak mieć zastosowanie do administratorów i podmiotów przetwarzających dających możliwość przetwarzania danych osobowych na potrzeby takiej działalności osobistej lub domowej.

Poprawka  3

Wniosek dotyczący rozporządzenia

Motyw 18

Tekst proponowany przez Komisję

Poprawka

(18) Niniejsze rozporządzenie pozwala na uwzględnienie zasady publicznego dostępu do dokumentów urzędowych przy stosowaniu przepisów tego rozporządzenia.

(18) Niniejsze rozporządzenie pozwala na uwzględnienie zasady publicznego dostępu do dokumentów urzędowych przy stosowaniu przepisów tego rozporządzenia. Dane osobowe zawarte w dokumentach znajdujących się w posiadaniu organu publicznego lub podmiotu publicznego mogą zostać ujawnione przez dany organ lub podmiot zgodnie z prawem UE lub państwa członkowskiego dotyczącym publicznego dostępu do dokumentów urzędowych, co godzi prawo do ochrony danych z prawem publicznego dostępu do dokumentów urzędowych oraz stanowi właściwe wyważenie różnych występujących interesów.

Poprawka  4

Wniosek dotyczący rozporządzenia

Motyw 20

Tekst proponowany przez Komisję

Poprawka

(20) By nie dopuścić do pozbawienia osób fizycznych ochrony, która przysługuje im na mocy niniejszego rozporządzenia, przetwarzanie danych osobowych podmiotów danych, które mają miejsce zamieszkania w Unii, przez administratora niemającego siedziby w Unii, powinno podlegać niniejszemu rozporządzeniu, w przypadku gdy przetwarzanie wiąże się z oferowaniem towarów lub usług podmiotom danych lub monitorowaniem zachowania tych osób.

(20) By nie dopuścić do pozbawienia osób fizycznych ochrony, która przysługuje im na mocy niniejszego rozporządzenia, przetwarzanie danych osobowych podmiotów danych, które mają miejsce zamieszkania w Unii, przez administratora niemającego siedziby w Unii, powinno podlegać niniejszemu rozporządzeniu, w przypadku gdy przetwarzanie wiąże się z oferowaniem towarów lub usług – niezależnie od tego, czy wiąże się to z płatnością, czy też nie – podmiotom danych lub monitorowaniem tych osób. Aby stwierdzić, czy administrator oferuje takim podmiotom danych w Unii towary lub usługi, należy ustalić, czy jest oczywiste, że planuje on oferować usługi podmiotom danych mającym miejsce zamieszkania w co najmniej jednym państwie członkowskim Unii.

Poprawka  5

Wniosek dotyczący rozporządzenia

Motyw 21

Tekst proponowany przez Komisję

Poprawka

(21) Aby stwierdzić, czy przetwarzanie można uznać za „monitorowanie zachowania” podmiotów danych, należy upewnić się, czy osoby fizyczne można wyszukać w internecie, korzystając z technik przetwarzania danych, które polegają na przypisaniu „profilu” danej osobie fizycznej, w szczególności w celu podejmowania decyzji dotyczących tej osoby, analizowania jej preferencji osobistych, zachowań i postaw lub ich przewidywania.

(21) Aby stwierdzić, czy przetwarzanie można uznać za „monitorowanie” podmiotów danych, należy upewnić się, czy osoby fizyczne można wyszukać niezależnie od pochodzenia danych lub czy zbierane są inne dane na ich temat, w tym z publicznych rejestrów i ogłoszeń w Unii, które są dostępne poza Unią, w tym z zamiarem wykorzystania lub potencjalnego późniejszego wykorzystania technik przetwarzania danych, które polegają na przypisaniu „profilu”, w szczególności w celu podejmowania decyzji dotyczących tej osoby, analizowania jej preferencji osobistych, zachowań i postaw lub ich przewidywania.

Poprawka  6

Wniosek dotyczący rozporządzenia

Motyw 23

Tekst proponowany przez Komisję

Poprawka

(23) Zasady ochrony należy stosować do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób. Aby ustalić, czy można zidentyfikować daną osobę fizyczną, należy wziąć pod uwagę wszystkie sposoby, jakimi mogą posłużyć się administrator lub inna osoba w celu zidentyfikowania tej osoby. Zasady ochrony nie powinny być stosowane do danych zanonimizowanych w taki sposób, że podmiot danych nie może być już zidentyfikowany.

(23) Zasady ochrony danych należy stosować do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych. Aby stwierdzić, czy daną osobę można zidentyfikować, należy wziąć pod uwagę wszystkie racjonalnie prawdopodobne sposoby, jakimi mogą posłużyć się administrator lub ktokolwiek inny w celu bezpośredniego lub pośredniego zidentyfikowania lub wyodrębnienia tej osoby. Aby ustalić, czy dany sposób może z racjonalnym prawdopodobieństwem posłużyć do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do zidentyfikowania danej osoby, oraz uwzględnić zarówno technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony nie powinny być zatem stosowane do danych anonimowych, które są informacjami nieodnoszącymi się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych danych, w tym do celów statystycznych i naukowych.

Poprawka  7

Wniosek dotyczący rozporządzenia

Motyw 24

Tekst proponowany przez Komisję

Poprawka

(24) Osoby fizyczne korzystające z usług internetowych można identyfikować na podstawie identyfikatorów internetowych, które znajdują się w urządzeniach, aplikacjach, narzędziach i protokołach, takich jak adresy IP lub identyfikatory plików cookie. Mogą one zostawiać ślady, które, w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskanymi przez serwery, mogą być wykorzystywane do tworzenia profili poszczególnych osób i ich identyfikacji. W wyniku tego numery identyfikacyjne, dane dotyczące lokalizacji, identyfikatory internetowe lub inne szczególne czynniki jako takie niekonieczne muszą być uważane za dane osobowe w każdych okolicznościach.

(24) Niniejsze rozporządzenie powinno mieć zastosowanie do przetwarzania z użyciem identyfikatorów internetowych, które znajdują się w urządzeniach, aplikacjach, narzędziach i protokołach, takich jak adresy IP lub identyfikatory plików cookie, oraz identyfikatory radiowe, chyba że identyfikatory te nie odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Poprawka  8

Wniosek dotyczący rozporządzenia

Motyw 25

Tekst proponowany przez Komisję

Poprawka

(25) Zgoda powinna być wyraźnie wyrażona w dowolny właściwy sposób umożliwiający swobodne i świadome wyrażenie woli przez podmiot danych bądź w formie oświadczenia, bądź w drodze wyraźnego działania potwierdzającego podmiotu danych, przy jednoczesnym zagwarantowaniu, że osoby fizyczne są świadome, iż wyrażają zgodę na przetwarzanie danych osobowych, w tym poprzez zaznaczenie okna wyboru podczas przeglądania strony internetowej lub też inne oświadczenie bądź zachowanie, które w tym kontekście wyraźnie oznacza akceptację przez podmiot danych proponowanego przetwarzania jego danych osobowych. Milczenie lub bezczynność nie powinny zatem stanowić zgody. Zgoda powinna obejmować całość przetwarzania dokonanego w tym samym celu lub w tych samych celach. Jeśli zgoda podmiotu danych ma być wyrażona w następstwie elektronicznego wniosku, wniosek taki musi być jasny, zwięzły i nie powodować niepotrzebnego przerwania świadczenia usługi, której dotyczy.

(25) Zgoda powinna być wyraźnie wyrażona w dowolny właściwy sposób umożliwiający swobodne i świadome wyrażenie woli przez podmiot danych bądź w formie oświadczenia, bądź w drodze wyraźnego działania potwierdzającego będącego konsekwencją wyboru dokonanego przez podmiot danych, przy jednoczesnym zagwarantowaniu, że osoby fizyczne są świadome, iż wyrażają zgodę na przetwarzanie danych osobowych. Wyraźne działanie potwierdzające może polegać na zaznaczeniu okna wyboru podczas przeglądania strony internetowej lub też na innym oświadczeniu bądź zachowaniu, które w tym kontekście wyraźnie oznacza akceptację przez podmiot danych proponowanego przetwarzania jego danych osobowych. Milczenie, samo skorzystanie z usługi lub bezczynność nie powinny zatem stanowić zgody. Zgoda powinna obejmować całość przetwarzania dokonanego w tym samym celu lub w tych samych celach. Jeśli zgoda podmiotu danych ma być wyrażona w następstwie elektronicznego wniosku, wniosek taki musi być jasny, zwięzły i nie powodować niepotrzebnego przerwania świadczenia usługi, której dotyczy.

Poprawka  9

Wniosek dotyczący rozporządzenia

Motyw 29

Tekst proponowany przez Komisję

Poprawka

(29) Na szczególną ochronę danych osobowych zasługują dzieci, które mogą być w mniejszym stopniu świadome zagrożeń, konsekwencji, gwarancji i swoich praw związanych z przetwarzaniem danych osobowych. Aby stwierdzić, czy dana osoba jest dzieckiem, w niniejszym rozporządzeniu należy przyjąć definicję określoną w Konwencji Narodów Zjednoczonych o prawach dziecka.

(29) Na szczególną ochronę danych osobowych zasługują dzieci, które mogą być w mniejszym stopniu świadome zagrożeń, konsekwencji, gwarancji i swoich praw związanych z przetwarzaniem danych osobowych. Jeżeli przetwarzanie danych opiera się na zgodzie podmiotu danych dotyczącej oferowania towarów lub usług bezpośrednio dziecku, zgoda powinna być udzielana lub aprobowana przez rodzica lub opiekuna dziecka, w przypadku gdy dziecko nie przekroczyło 13 roku życia. Gdy zamierzonymi odbiorcami są dzieci, należy używać języka dostosowanego do wieku. W mocy powinny pozostawać inne podstawy do zgodnego z prawem przetwarzania, takie jak względy interesu publicznego, np. w kontekście usług w zakresie zapobiegania lub doradztwa oferowanych bezpośrednio dziecku.

Poprawka  10

Wniosek dotyczący rozporządzenia

Motyw 31

Tekst proponowany przez Komisję

Poprawka

(31) Aby przetwarzanie danych osobowych było zgodne z prawem, powinno odbywać się na podstawie zgody osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej przez prawo: czy to przepisów niniejszego rozporządzenia czy to innych przepisów prawa Unii lub państw członkowskich, o których mowa w tym rozporządzeniu.

(31) Aby przetwarzanie danych osobowych było zgodne z prawem, powinno odbywać się na podstawie zgody osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej przez prawo: czy to przepisów niniejszego rozporządzenia czy to innych przepisów prawa Unii lub państw członkowskich, o których mowa w tym rozporządzeniu. W przypadku dziecka lub osoby nieposiadającej zdolności do czynności prawnych właściwe prawo Unii lub państwa członkowskiego powinno określać warunki udzielania lub aprobowania zgody przez tę osobę.

Poprawka  11

Wniosek dotyczący rozporządzenia

Motyw 32

Tekst proponowany przez Komisję

Poprawka

(32) Jeśli przetwarzanie odbywa się na podstawie zgody podmiotu danych, ciężar udowodnienia, że podmiot danych wyraził zgodę na operację przetwarzania, spoczywa na administratorze. W szczególności w przypadku pisemnego oświadczenia złożonego w innej sprawie odpowiednie gwarancje powinny zapewniać, podmiot danych jest świadomy wyrażenia zgody oraz jej zakresu.

(32) Jeśli przetwarzanie odbywa się na podstawie zgody podmiotu danych, ciężar udowodnienia, że podmiot danych wyraził zgodę na operację przetwarzania, spoczywa na administratorze. W szczególności w przypadku pisemnego oświadczenia złożonego w innej sprawie odpowiednie gwarancje powinny zapewniać, aby podmiot danych był świadomy wyrażenia zgody oraz jej zakresu. Aby zapewnić zgodność z zasadą minimalizacji danych, ciężaru dowodu nie należy rozumieć jako wymogu pozytywnej identyfikacji podmiotów danych, chyba że jest to konieczne. Podobnie jak warunki prawa cywilnego (np. dyrektywa Rady 931/13/EWG1), zasady ochrony danych powinny być jak najbardziej jasne i przejrzyste. Nie powinny one obejmować klauzul ukrytych lub niekorzystnych. Nie można udzielić zgody na przetwarzanie danych osobowych osób trzecich.

 

1 Dyrektywa Rady 93/13/EWG z dnia 5 kwietnia 1993 w sprawie nieuczciwych warunków w umowach konsumenckich (Dz. U. L 95 z 21.4.1993, s. 29)

Poprawka  12

Wniosek dotyczący rozporządzenia

Motyw 33

Tekst proponowany przez Komisję

Poprawka

(33) W celu zapewnienia dobrowolnej zgody należy wyjaśnić, że zgoda nie stanowi ważnej podstawy prawnej, jeśli dana osoba nie może dokonać rzeczywistego i wolnego wyboru, a następnie nie może odmówić ani odwołać zgody bez poniesienia szkody.

(33) W celu zapewnienia dobrowolnej zgody należy wyjaśnić, że zgoda nie stanowi ważnej podstawy prawnej, jeśli dana osoba nie może dokonać rzeczywistego i wolnego wyboru, a następnie nie może odmówić ani odwołać zgody bez poniesienia szkody. Chodzi tu zwłaszcza o przypadek, gdy administrator jest organem publicznym, który może nałożyć obowiązek na mocy swoich odpowiednich uprawnień publicznych, i zgoda nie może być uznana za udzieloną dobrowolnie. Wykorzystanie domyślnych opcji, które podmiot danych zobowiązany jest zmodyfikować w celu wniesienia sprzeciwu wobec przetwarzania, takich jak z góry zaznaczone pola wyboru, nie oznacza dobrowolnej zgody. Zgoda na przetwarzanie dodatkowych danych osobowych, które nie są konieczne do świadczenia usługi, nie powinna być wymagana w celu skorzystania z usługi. Gdy zgoda zostaje wycofana, może to umożliwić zaprzestanie świadczenia lub niewykonanie usługi, która jest zależna od tych danych. Jeżeli zrealizowanie zamierzonego celu nie jest jasno stwierdzone, administrator powinien w regularnych odstępach czasu przekazywać podmiotowi danych informacje o przetwarzaniu oraz zwracać się o ponowne potwierdzenie zgody.

Poprawka  13

Wniosek dotyczący rozporządzenia

Motyw 34

Tekst proponowany przez Komisję

Poprawka

(34) Zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji wyraźnego braku równowagi między podmiotem danych a administratorem. Dotyczy to w szczególności przypadku, gdy między podmiotem danych a administratorem istnieje stosunek zależności, między innymi wtedy, gdy dane osobowe pracowników są przetwarzane przez pracodawcę w kontekście zatrudnienia Jeśli administrator jest organem publicznym, brak równowagi wystąpiłby wyłącznie w przypadku operacji przetwarzania szczególnych danych, gdy organ publiczny może nałożyć obowiązek na mocy odpowiednich uprawnień publicznych a zgody nie można uznać za wyrażoną dobrowolnie, uwzględniając interes podmiotu danych.

skreślony

Poprawka  14

Wniosek dotyczący rozporządzenia

Motyw 36

Tekst proponowany przez Komisję

Poprawka

(36) Jeśli przetwarzanie odbywa się w ramach wypełnienia przez administratora ciążącego na nim obowiązku prawnego lub jeśli przetwarzanie jest konieczne w celu wykonania zadania realizowanego w interesie publicznym lub wykonania władzy publicznej, podstawę prawną przetwarzania powinny stanowić przepisy prawa Unii lub państwa członkowskiego, które spełniają wymagania Karty praw podstawowych Unii Europejskiej w zakresie ograniczeń praw i wolności. Prawo Unii lub prawo krajowe powinno określić, czy administratorem wykonującym zadanie realizowane w interesie publicznym lub w celu wykonania władzy publicznej powinien być organ administracji publicznej czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu prywatnemu, jak np. zrzeszenie zawodowe.

(36) Jeśli przetwarzanie odbywa się w ramach wypełnienia przez administratora ciążącego na nim obowiązku prawnego lub jeśli przetwarzanie jest konieczne w celu wykonania zadania realizowanego w interesie publicznym lub wykonania władzy publicznej, podstawę prawną przetwarzania powinny stanowić przepisy prawa Unii lub państwa członkowskiego, które spełniają wymagania Karty praw podstawowych Unii Europejskiej w zakresie ograniczeń praw i wolności. Powinno to obejmować również układy zbiorowe, które mogą być uznane na mocy prawa krajowego za ogólnie obowiązujące. Prawo Unii lub prawo krajowe powinno określić, czy administratorem wykonującym zadanie realizowane w interesie publicznym lub w celu wykonania władzy publicznej powinien być organ administracji publicznej czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu prywatnemu, jak np. zrzeszenie zawodowe.

Poprawka  15

Wniosek dotyczący rozporządzenia

Motyw 38

Tekst proponowany przez Komisję

Poprawka

(38) Słuszny interes administratora może stanowić podstawę prawną przetwarzania, pod warunkiem że interesy lub podstawowe prawa i wolności podmiotu danych, nie mają charakteru nadrzędnego. Wymagałoby to przeprowadzenia rzetelnej oceny, w szczególności w sytuacji, gdy podmiotem danych jest dziecko, zważywszy że dzieci wymagają szczególnej ochrony. Podmiot danych powinien mieć prawo wniesienia sprzeciwu wobec przetwarzania ze względu na swoją szczególną sytuacją i w sposób wolny od opłat. Aby zapewnić przejrzystość, administrator powinien być zobowiązany do wyraźnego poinformowania podmiotu danych o słusznych interesach realizowanych przez administratora, oraz o prawie wniesienia sprzeciwu, a także powinien być zobowiązany do udokumentowania tych słusznych interesów. Zważywszy, że ustawodawca określa w przepisach podstawę prawną przetwarzania danych przez organy publiczne, ta podstawa prawa nie powinna mieć zastosowania do przetwarzania danych przez organy publiczne w ramach wykonywania powierzonych im zadań.

(38) Uzasadniony interes administratora lub – w przypadku ujawnienia – strony trzeciej, której ujawniono dane, może stanowić podstawę prawną przetwarzania, pod warunkiem że odpowiada racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem oraz że interesy lub podstawowe prawa i wolności podmiotu danych nie mają charakteru nadrzędnego. Wymagałoby to przeprowadzenia rzetelnej oceny, w szczególności w sytuacji, gdy podmiotem danych jest dziecko, zważywszy że dzieci wymagają szczególnej ochrony. O ile interesy lub podstawowe prawa i wolności podmiotu danych nie przeważają, należy zakładać, że przetwarzanie ograniczone do danych pseudonimicznych odpowiada racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem. Podmiot danych powinien mieć prawo wniesienia sprzeciwu wobec przetwarzania w sposób wolny od opłat. Aby zapewnić przejrzystość, administrator powinien być zobowiązany do wyraźnego poinformowania podmiotu danych o uzasadnionych interesach realizowanych przez administratora, oraz o prawie wniesienia sprzeciwu, a także powinien być zobowiązany do udokumentowania tych uzasadnionych interesów. Interesy i prawa podstawowe podmiotu danych mogłyby w szczególności być nadrzędne w stosunku do interesu administratora danych, jeżeli dane osobowe są przetwarzane w sytuacji, gdy podmioty danych nie mają racjonalnych podstaw, by oczekiwać dalszego przetwarzania. Zważywszy, że podstawę prawną przetwarzania danych przez organy publiczne określa w przepisach ustawodawca, ten argument prawny nie powinien mieć zastosowania do przetwarzania danych przez organy publiczne w ramach wykonywania powierzonych im zadań.

Poprawka  16

Wniosek dotyczący rozporządzenia

Motyw 39

Tekst proponowany przez Komisję

Poprawka

(39) Przetwarzanie danych w zakresie bezwzględnie koniecznym do celów zapewnienia bezpieczeństwa sieci i informacji, tj. zapewnienia odporności sieci lub systemu informacyjnego, na danym poziomie ufności, na zdarzenia przypadkowe lub działania niezgodne z prawem albo podstępne, naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych oraz związanych z nimi usług oferowanych lub dostępnych poprzez te sieci i systemy, przez organy publiczne, zespoły reagowania na incydenty komputerowe (CERT), zespoły reagowania na komputerowe incydenty naruszające bezpieczeństwo (CSIRT), dostawców sieci i usług łączności elektronicznej oraz dostawców technologii i usług w zakresie bezpieczeństwa, stanowi słuszny interes danego administratora. Mogłoby to na przykład obejmować zapobieganie nieupoważnionemu dostępowi do sieci łączności elektronicznej oraz rozprowadzaniu złośliwych kodów oraz przerywanie ataków wywołujących „blokadę usługi”, a także przeciwdziałanie uszkodzeniu systemów komputerowych i łączności elektronicznej.

(39) Przetwarzanie danych w zakresie bezwzględnie koniecznym i proporcjonalnym do celów zapewnienia bezpieczeństwa sieci i informacji, tj. zapewnienia odporności sieci lub systemu informacyjnego na zdarzenia przypadkowe lub podstępne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych oraz związanych z nimi usług oferowanych poprzez te sieci i systemy, przez organy publiczne, zespoły reagowania na incydenty komputerowe (CERT), zespoły reagowania na komputerowe incydenty naruszające bezpieczeństwo (CSIRT), dostawców sieci i usług łączności elektronicznej oraz dostawców technologii i usług w zakresie bezpieczeństwa, stanowi uzasadniony interes danego administratora. Mogłoby to na przykład obejmować zapobieganie nieupoważnionemu dostępowi do sieci łączności elektronicznej oraz rozprowadzaniu złośliwych kodów oraz przerywanie ataków wywołujących „blokadę usługi”, a także przeciwdziałanie uszkodzeniu systemów komputerowych i łączności elektronicznej. Zasada ta ma także zastosowanie do przetwarzania danych osobowych w celu ograniczenia niewłaściwego dostępu do publicznie dostępnych sieci lub systemów informacyjnych oraz ich niewłaściwego wykorzystywania, jak tworzenie czarnych list identyfikatorów elektronicznych.

Poprawka  17

Wniosek dotyczący rozporządzenia

Motyw 39 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(39a) O ile interesy lub podstawowe prawa i wolności podmiotu danych nie przeważają, należy zakładać, że zapobieganie szkodom lub ograniczanie szkód po stronie administratora danych jest prowadzone w uzasadnionym interesie administratora danych lub – w przypadku ujawnienia – strony trzeciej, której ujawniono dane, oraz że odpowiada ono racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem. Ta sama zasada ma zastosowanie również do egzekwowania roszczeń prawnych przeciw podmiotowi danych, jak ściąganie należności lub roszczenie o odszkodowanie cywilne i wyrównanie szkody.

Poprawka  18

Wniosek dotyczący rozporządzenia

Motyw 39 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(39b) O ile interesy lub podstawowe prawa i wolności podmiotu danych nie przeważają, należy zakładać, że przetwarzanie danych osobowych do celu marketingu bezpośredniego dotyczącego własnych lub podobnych produktów i usług lub do celów bezpośredniego marketingu drogą pocztową jest prowadzone w uzasadnionym interesie administratora lub – w przypadku ujawnienia – strony trzeciej, której ujawniono dane, oraz odpowiada racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem, jeżeli zamieszczono bardzo wyraźnie widoczne informacje na temat prawa do sprzeciwu i na temat źródła danych osobowych. Przetwarzanie biznesowych danych kontaktowych powinno być ogólnie uznawane za prowadzone w uzasadnionym interesie administratora lub – w przypadku ujawnienia – strony trzeciej, której ujawniono dane, oraz za odpowiadające racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem. To samo powinno mieć zastosowanie do przetwarzania danych osobowych wyraźnie ujawnionych przez podmiot danych.

Poprawka  19

Wniosek dotyczący rozporządzenia

Motyw 40

Tekst proponowany przez Komisję

Poprawka

(40) Przetwarzanie danych osobowych do innych celów powinno być dozwolone jedynie wtedy, gdy jest ono zgodne z celami, dla których dane zostały pierwotnie zebrane, w szczególności jeśli przetwarzanie jest niezbędne do celów badań historycznych, statystycznych lub naukowych. Jeśli ten inny cel nie jest zgodny z celem pierwotnym, w którym dane zostały zebrane, administrator powinien uzyskać zgodę podmiotu danych na realizację tego celu lub powinien oprzeć przetwarzanie na innej uzasadnionej podstawie zgodnego z prawem przetwarzania, w szczególności przewidzianej przez prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator. W każdym przypadku należy zapewnić stosowanie zasad wskazanych w niniejszym rozporządzeniu, w szczególności w zakresie poinformowania podmiotu danych o tych innych celach.

skreślony

Poprawka  20

Wniosek dotyczący rozporządzenia

Motyw 41

Tekst proponowany przez Komisję

Poprawka

(41) Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe i narażone na ryzyko w kontekście podstawowych praw lub prywatność, zasługują na szczególną ochronę. Dane te nie powinny być przetwarzane, chyba że podmiot danych wyraźnie wyrazi na to zgodę. Należy jednak wyraźnie wskazać odstępstwa od tego zakazu ze względu na szczególne potrzeby, zwłaszcza wtedy gdy przetwarzanie danych odbywa się w ramach zgodnych z prawem działań niektórych zrzeszeń lub fundacji, których celem jest umożliwienie realizacji podstawowych wolności.

skreślony

Poprawka  21

Wniosek dotyczący rozporządzenia

Motyw 42

Tekst proponowany przez Komisję

Poprawka

(42) Należy także zezwolić na odstępstwa od zakazu przetwarzania wrażliwych kategorii danych, jeśli odbywa się ono na podstawie przepisów prawa i z zastrzeżeniem odpowiednich gwarancji, w celu ochrony danych osobowych i innych podstawowych praw, jeśli jest to uzasadnione interesem publicznym, w szczególności w celach związanych z opieką zdrowotną, w tym zdrowiem publicznym i ochroną socjalną oraz zarządzaniem usługami opieki zdrowotnej, zwłaszcza by zapewnić odpowiednią jakość i zasadność ekonomiczną procedur stosowanych do rozstrzygania roszczeń w sprawie świadczeń i usług w ramach systemu ubezpieczeń zdrowotnych, lub w celach badań historycznych, statystycznych i naukowych.

(42) Należy także zezwolić na odstępstwa od zakazu przetwarzania wrażliwych kategorii danych, jeśli odbywa się ono na podstawie przepisów prawa i z zastrzeżeniem odpowiednich gwarancji, w celu ochrony danych osobowych i innych podstawowych praw, jeśli jest to uzasadnione interesem publicznym, w szczególności w celach związanych z opieką zdrowotną, w tym zdrowiem publicznym i ochroną socjalną oraz zarządzaniem usługami opieki zdrowotnej, zwłaszcza by zapewnić odpowiednią jakość i zasadność ekonomiczną procedur stosowanych do rozstrzygania roszczeń w sprawie świadczeń i usług w ramach systemu ubezpieczeń zdrowotnych, lub w celach badań historycznych, statystycznych i naukowych lub dla służb archiwistycznych.

Poprawka  22

Wniosek dotyczący rozporządzenia

Motyw 45

Tekst proponowany przez Komisję

Poprawka

(45) Jeśli dane przetwarzane przez administratora nie pozwalają mu na zidentyfikowanie osoby fizycznej, nie ma on obowiązku uzyskania dodatkowych informacji w celu identyfikacji podmiotu danych wyłącznie ze względu na konieczność przestrzegania przepisu niniejszego rozporządzenia. W przypadku wniosku o dostęp, administrator powinien być upoważniony do zwracania się do podmiotu danych o udzielenie dalszych informacji, które umożliwią mu znalezienie danych osobowych, o które zwraca się wnioskodawca

(45) Jeśli dane przetwarzane przez administratora nie pozwalają mu na zidentyfikowanie osoby fizycznej, nie ma on obowiązku uzyskania dodatkowych informacji w celu identyfikacji podmiotu danych wyłącznie ze względu na konieczność przestrzegania przepisu niniejszego rozporządzenia. W przypadku wniosku o dostęp, administrator powinien być upoważniony do zwracania się do podmiotu danych o udzielenie dalszych informacji, które umożliwią mu znalezienie danych osobowych, o które zwraca się wnioskodawca Jeśli istnieje możliwość, aby podmiot danych udzielił takich informacji, administratorzy nie powinni przywoływać braku informacji jako powodu odmownego rozpatrzenia wniosku o dostęp.

Poprawka  23

Wniosek dotyczący rozporządzenia

Motyw 47

Tekst proponowany przez Komisję

Poprawka

(47) Należy opracować sposoby ułatwienia podmiotowi danych korzystania z praw przysługujących mu na mocy niniejszego rozporządzenia, włączając mechanizmy składania wniosków, wolnych od opłat, dotyczących w szczególności dostępu do danych, poprawiania ich, usuwania oraz wykonywania prawa wniesienia sprzeciwu. Administrator powinien być zobowiązany do udzielania odpowiedzi na wnioski podmiotów danych w określonym terminie oraz podania przyczyn ewentualnego braku zastosowania się do wniosku danego podmiotu danych.

(47) Należy opracować sposoby ułatwienia podmiotowi danych korzystania z praw przysługujących mu na mocy niniejszego rozporządzenia, w tym mechanizmy zapewniające uzyskiwanie, bezpłatnie, w szczególności dostępu do danych oraz możliwości ich poprawiania i usuwania, a także wykonywanie prawa do wniesienia sprzeciwu. Administrator powinien być zobowiązany do udzielania odpowiedzi na wnioski podmiotów danych w rozsądnym terminie oraz podania przyczyn ewentualnego braku zastosowania się do wniosku danego podmiotu danych.

Poprawka  24

Wniosek dotyczący rozporządzenia

Motyw 48

Tekst proponowany przez Komisję

Poprawka

(48) Zasady rzetelnego i przejrzystego przetwarzania wymagają, by podmiot danych był informowany w szczególności o prowadzeniu operacji przetwarzania i jej celach, okresie przechowywania danych, przysługującym mu prawie dostępu, poprawienia lub usunięcia danych oraz prawie do złożenia skargi. W przypadku konieczności uzyskania danych od podmiotu danych, należy go także poinformować o tym, że ma on obowiązek przekazać dane oraz o konsekwencjach braku przekazania takich danych

(48) Zasady rzetelnego i przejrzystego przetwarzania wymagają, by podmiot danych był informowany w szczególności o prowadzeniu operacji przetwarzania i jej celach, o prawdopodobnym okresie przechowywania danych do poszczególnych celów, o tym, czy dane mają być przekazane stronom trzecim lub krajom trzecim, o istnieniu środków umożliwiających wniesienie sprzeciwu i o przysługującym mu prawie dostępu, poprawienia lub usunięcia danych oraz prawie do złożenia skargi. W przypadku konieczności uzyskania danych od podmiotu danych należy go także poinformować o tym, czy ma on obowiązek przekazać dane, oraz o konsekwencjach braku przekazania takich danych Informacje te powinny być przekazywane – co może również oznaczać dostępne w każdej chwili – podmiotowi danych po przekazaniu uproszczonych informacji w formie standardowych ikon. Powinno to również oznaczać, że dane osobowe są przetwarzane w taki sposób, aby skutecznie umożliwić podmiotowi danych korzystanie z przysługujących mu praw.

Poprawka  25

Wniosek dotyczący rozporządzenia

Motyw 50

Tekst proponowany przez Komisję

Poprawka

(50) Nakładanie tego obowiązku nie jest jednak konieczne, jeśli podmiot danych dysponuje już tymi informacjami lub jeśli rejestracja bądź ujawnienie danych są wyraźnie przewidziane przez przepisy prawa, lub jeśli przekazanie informacji podmiotowi danych okazuje się niemożliwe lub wiąże się z niewspółmiernie dużym wysiłkiem. Ten ostatni wariant dotyczy sytuacji, w której przetwarzanie odbywa się w celach związanych z dokumentacją, statystyką lub w celach badań naukowych – w takim przypadku można wziąć pod uwagę liczbę podmiotów danych, wiek danych oraz przyjęte środki wyrównawcze.

(50) Nakładanie tego obowiązku nie jest jednak konieczne, jeśli podmiot danych zapoznał się już z tymi informacjami lub jeśli rejestracja bądź ujawnienie danych są wyraźnie przewidziane przez przepisy prawa lub jeśli przekazanie informacji podmiotowi danych okazuje się niemożliwe lub wiąże się z niewspółmiernie dużym wysiłkiem.

Poprawka  26

Wniosek dotyczący rozporządzenia

Motyw 51

Tekst proponowany przez Komisję

Poprawka

(51) Każdej osobie powinno przysługiwać prawo dostępu do danych zebranych na jej temat, a wykonanie tego prawa powinno być na tyle łatwe, by każda osoba była świadoma przetwarzania i mogła zweryfikować jego zgodność z prawem. Dlatego też każdy podmiot danych powinien mieć prawo do wiedzy i uzyskania wiadomości w szczególności o celach, dla których dane są przetwarzane, przez jaki okres, jacy odbiorcy otrzymują dane, o zasadach przetwarzania danych oraz ewentualnych skutkach tego przetwarzania, nawet tylko na podstawie profilowania. Prawo to nie powinno negatywnie wpływać na prawa i wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. Powyżej omówione względy nie powinny jednak powodować odmowy udzielenia podmiotowi danych wszystkich informacji.

(51) Każdej osobie powinno przysługiwać prawo dostępu do danych zebranych na jej temat, a wykonanie tego prawa powinno być na tyle łatwe, by każda osoba była świadoma przetwarzania i mogła zweryfikować jego zgodność z prawem. Dlatego też każdy podmiot danych powinien mieć prawo do wiedzy i uzyskania wiadomości w szczególności o celach, dla których dane są przetwarzane, przez jaki szacowany okres, jacy odbiorcy otrzymują dane, o ogólnych zasadach przetwarzania danych oraz ewentualnych skutkach tego przetwarzania. Prawo to nie powinno negatywnie wpływać na prawa i wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, na przykład w odniesieniu do praw autorskich chroniących oprogramowanie. Powyżej omówione względy nie powinny jednak powodować odmowy udzielenia podmiotowi danych wszystkich informacji.

Poprawka  27

Wniosek dotyczący rozporządzenia

Motyw 53

Tekst proponowany przez Komisję

Poprawka

(53) Każda osoba powinna mieć prawo do poprawienia dotyczących jej danych osobowych oraz „prawo do bycia zapomnianym”, jeśli przechowywanie tych danych nie jest zgodne z niniejszym rozporządzeniem. W szczególności podmioty danych powinny mieć prawo do tego, by ich dane osobowe zostały usunięte i nie były dalej przetwarzane, jeśli dane te nie są już konieczne do celów, dla których dane są zbierane lub przetwarzane w inny sposób, jeśli podmioty danych odwołały zgodę na przetwarzanie lub jeśli wnoszą sprzeciw wobec przetwarzania danych osobowych ich dotyczących, lub jeśli przetwarzanie ich danych osobowych nie jest zgodne z niniejszym rozporządzeniem z innego powodu. Prawo to ma szczególne znaczenie wtedy, gdy podmiot danych wyraził zgodę jako dziecko, nie będąc w pełni świadomy ryzyk związanych z przetwarzaniem, a w późniejszym czasie chce usunąć takie dane osobowe, zwłaszcza z internetu. Dalsze przechowywanie danych powinno być jednak dopuszczalne, jeśli jest ono niezbędne do celów dokumentacji, statystyki i badań naukowych, realizacji interesu publicznego w dziedzinie zdrowia publicznego, wykonania prawa wolności wypowiedzi, jeśli wymagają tego przepisy prawa lub jeśli są powody ograniczenia przetwarzania danych zamiast ich usunięcia.

(53) Każda osoba powinna mieć prawo do poprawienia dotyczących jej danych osobowych oraz „prawo do usunięcia danych”, jeśli przechowywanie tych danych nie jest zgodne z niniejszym rozporządzeniem. W szczególności podmioty danych powinny mieć prawo do tego, by ich dane osobowe zostały usunięte i nie były dalej przetwarzane, jeśli dane te nie są już konieczne do celów, dla których dane są zbierane lub przetwarzane w inny sposób, jeśli podmioty danych odwołały zgodę na przetwarzanie lub jeśli wnoszą sprzeciw wobec przetwarzania danych osobowych ich dotyczących, lub jeśli przetwarzanie ich danych osobowych nie jest zgodne z niniejszym rozporządzeniem z innego powodu. Dalsze przechowywanie danych powinno być jednak dopuszczalne, jeśli jest ono niezbędne do celów dokumentacji, statystyki i badań naukowych, realizacji interesu publicznego w dziedzinie zdrowia publicznego, wykonania prawa wolności wypowiedzi, jeśli wymagają tego przepisy prawa lub jeśli są powody ograniczenia przetwarzania danych zamiast ich usunięcia. Prawo do usunięcia danych nie ma również zastosowania, gdy zatrzymanie danych osobowych jest niezbędne w celu wykonania umowy z podmiotem danych lub gdy istnieje obwiązek prawny zatrzymania tych danych.

Poprawka  28

Wniosek dotyczący rozporządzenia

Motyw 54

Tekst proponowany przez Komisję

Poprawka

(54) Aby wzmocnić „prawo do bycia zapomnianym” w internecie, prawo do usunięcia danych powinno być także rozszerzone w taki sposób, by administrator, który upublicznił dane, miał obowiązek poinformować osoby trzecie, które przetwarzają te dane, że podmiot przetwarzający dane złożył wniosek o usunięcie wszelkich linków do danych, kopii lub replikacji tych danych osobowych. Aby zapewnić przekazanie tych informacji, administrator powinien podjąć wszelkie racjonalne kroki, w tym środki techniczne, dotyczące danych, za których publikację odpowiada administrator. Jeśli chodzi o publikowanie danych osobowych przez osoby trzecie, administratora należy uznać za odpowiedzialnego za publikację tych danych, jeśli wyraził on zgodę na publikację tych danych przez osobę trzecią.

(54) Aby wzmocnić „prawo do usunięcia danych” w internecie, prawo do usunięcia danych powinno być także rozszerzone w taki sposób, by administrator, który upublicznił dane bez uzasadnienia prawnego, miał obowiązek poczynić wszelkie niezbędne kroki w celu doprowadzenia do usunięcia danych, w tym przez strony trzecie, bez uszczerbku dla przysługującego podmiotowi danych prawa do wystąpienia o odszkodowanie.

Poprawka  29

Wniosek dotyczący rozporządzenia

Motyw 54 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(54a) Dane, które kwestionuje podmiot danych i których ścisłość lub nieścisłość nie może zostać stwierdzona, należy zablokować do wyjaśnienia sprawy.

Poprawka  30

Wniosek dotyczący rozporządzenia

Motyw 55

Tekst proponowany przez Komisję

Poprawka

(55) W celu dalszego wzmocnienia kontroli nad własnymi danymi oraz prawa dostępu, podmioty danych powinny mieć prawo, w przypadku gdy dane osobowe są przetwarzane w sposób elektroniczny oraz w zorganizowanym i powszechnie używanym formacie, do otrzymania kopii dotyczących ich danych także w takim powszechnie używanym formacie elektronicznym. Podmiot danych powinien także móc przekazywać dane, które dostarczył, ze zautomatyzowanej aplikacji, takiej jak sieć społeczna, do innej. Powinno to mieć zastosowanie wtedy, gdy podmiot danych dostarczył dane do automatycznego systemu przetwarzania na podstawie swojej zgody lub w związku z wykonaniem umowy.

(55) W celu dalszego wzmocnienia kontroli nad własnymi danymi oraz prawa dostępu, podmioty danych powinny mieć prawo, w przypadku gdy dane osobowe są przetwarzane w sposób elektroniczny oraz w zorganizowanym i powszechnie używanym formacie, do otrzymania kopii dotyczących ich danych także w takim powszechnie używanym formacie elektronicznym. Podmiot danych powinien także móc przekazywać dane, które dostarczył, ze zautomatyzowanej aplikacji, takiej jak sieć społeczna, do innej. Administratorów danych należy zachęcać do opracowywania interoperacyjnych formatów umożliwiających przenoszenie danych. Powinno to mieć zastosowanie wtedy, gdy podmiot danych dostarczył dane do automatycznego systemu przetwarzania na podstawie swojej zgody lub w związku z wykonaniem umowy. Dostawcy usług społeczeństwa informacyjnego nie powinni uzależniać świadczenia swoich usług od przekazywania tych danych.

Poprawka  31

Wniosek dotyczący rozporządzenia

Motyw 56

Tekst proponowany przez Komisję

Poprawka

(56) W przypadkach, w których dane osobowe mogłyby być przetwarzane zgodnie z prawem w celu ochrony żywotnych interesów podmiotu danych lub gdy jest to uzasadnione interesem publicznym, wykonywaniem władzy publicznej lub słusznymi interesami administratora, każdemu podmiotowi danych powinno jednak przysługiwać prawo wniesienia sprzeciwu wobec przetwarzania danych go dotyczących. Ciężar dowodu w zakresie wykazania, że słuszne interesy administratora mogą mieć charakter nadrzędny wobec interesów lub podstawowych praw i wolności podmiotu danych, spoczywa na administratorze.

(56) W przypadkach, w których dane osobowe mogłyby być przetwarzane zgodnie z prawem w celu ochrony żywotnych interesów podmiotu danych lub gdy jest to uzasadnione interesem publicznym, wykonywaniem władzy publicznej lub słusznymi interesami administratora, każdemu podmiotowi danych powinno jednak przysługiwać prawo wniesienia sprzeciwu wobec przetwarzania danych go dotyczących w prosty, skuteczny i wolny od opłat sposób. Ciężar dowodu w zakresie wykazania, że uzasadnione interesy administratora mogą mieć charakter nadrzędny wobec interesów lub podstawowych praw i wolności podmiotu danych, spoczywa na administratorze.

Poprawka  32

Wniosek dotyczący rozporządzenia

Motyw 57

Tekst proponowany przez Komisję

Poprawka

(57) Jeśli dane osobowe przetwarzane są do celów marketingu bezpośredniego, podmiot danych powinien mieć prawo wniesienia sprzeciwu wobec takiego przetwarzania w prosty, skuteczny i wolny od opłat sposób.

(57) Jeśli podmiot danych ma prawo wniesienia sprzeciwu wobec przetwarzania, administrator powinien wyraźnie poinformować o nim podmiot danych w zrozumiały sposób i w zrozumiałej formie, jasnym i prostym językiem, oraz powinien wyraźnie wyodrębnić tę informację od innych informacji.

Poprawka  33

Wniosek dotyczący rozporządzenia

Motyw 58

Tekst proponowany przez Komisję

Poprawka

(58) Każda osoba fizyczna powinna mieć prawo niepodlegania środkowi opartemu na profilowaniu dokonywanym poprzez automatyczne przetwarzanie. Taki środek powinien być jednak dozwolony wtedy, gdy jest wyraźnie przewidziany przez przepisy prawa, stosowany w toku zawierania lub wykonywania umowy lub gdy podmiot danych wyraził na niego zgodę. W każdym przypadku takie przetwarzanie powinno stanowić przedmiot odpowiednich gwarancji, w tym konkretnych informacji podmiotu danych i prawa do interwencji ze strony człowieka, a środek ten nie powinien dotyczyć dzieci.

(58) Bez uszczerbku dla zgodności przetwarzania danych z prawem, każda osoba fizyczna powinna mieć prawo do sprzeciwu wobec profilowania. Profilowanie, które prowadzi do środków wywołujących skutki prawne dotyczące podmiotu danych lub ma podobnie istotny wpływ na interesy, prawa lub wolności tego podmiotu danych, powinno być dozwolone jedynie wtedy, gdy jest wyraźnie przewidziane przez przepisy prawa, stosowane w toku zawierania lub wykonywania umowy lub gdy podmiot danych wyraził na nie zgodę. W każdym przypadku takie przetwarzanie powinno stanowić przedmiot odpowiednich gwarancji, w tym konkretnych informacji podmiotu danych i prawa do oceny ze strony człowieka, a środek ten nie powinien dotyczyć dzieci. Takie środki nie powinny prowadzić do dyskryminacji osób ze względu na rasę lub pochodzenie etniczne, poglądy polityczne, religię lub przekonania, członkostwo w związkach zawodowych, orientację seksualną lub tożsamość płciową.

Poprawka  34

Wniosek dotyczący rozporządzenia

Motyw 58 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(58a) Należy zakładać, że profilowanie oparte wyłącznie na przetwarzaniu danych pseudonimicznych nie ma istotnego wpływu na interesy, prawa lub wolności podmiotu danych. Gdy profilowanie – niezależnie od tego, czy jest oparte na pojedynczym źródle danych pseudonimicznych, czy też na agregacji danych pseudonimicznych z różnych źródeł – umożliwia administratorowi przypisanie danych pseudonimicznych do konkretnego podmiotu danych, przetwarzane dane nie mogą już być uznawane za pseudonimiczne.

Poprawka  35

Wniosek dotyczący rozporządzenia

Motyw 59

Tekst proponowany przez Komisję

Poprawka

(59) Ograniczenia dotyczące szczególnych zasad i praw do informacji, dostępu, poprawiania i usuwania lub prawa przenoszenia danych, prawa wniesienia sprzeciwu, środków opartych na profilowaniu, a także informowania podmiotu danych o naruszeniu ochrony danych osobowych oraz pewnych powiązanych obowiązków administratorów mogą być nałożone przez prawo Unii lub państwa członkowskiego, w zakresie w jakim jest to konieczne i proporcjonalne w demokratycznym społeczeństwie, by zagwarantować bezpieczeństwo publiczne, w tym ochronę życia ludzkiego, zwłaszcza w ramach reagowania na klęski żywiołowe lub katastrofy wywołane przez człowieka, możliwość zapobiegania przestępstwom lub naruszeniom zasad etyki w przypadku zawodów regulowanych, ich ścigania i karania, inne publiczne interesy Unii lub państwa członkowskiego, w szczególności ważny interes gospodarczy lub finansowy Unii lub państwa członkowskiego, ochronę podmiotu danych lub też prawa i wolności innych osób. Ograniczenia te powinny być zgodne z wymogami Karty praw podstawowych Unii Europejskiej oraz Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności.

(59) Ograniczenia dotyczące szczególnych zasad i praw do informacji, poprawiania i usuwania lub prawa dostępu do danych i ich otrzymywania, prawa wniesienia sprzeciwu, profilowania, a także informowania podmiotu danych o naruszeniu ochrony danych osobowych oraz pewnych powiązanych obowiązków administratorów mogą być nałożone przez prawo Unii lub państwa członkowskiego w zakresie, w jakim jest to konieczne i proporcjonalne w demokratycznym społeczeństwie, by zagwarantować bezpieczeństwo publiczne, w tym ochronę życia ludzkiego, zwłaszcza w ramach reagowania na klęski żywiołowe lub katastrofy wywołane przez człowieka, możliwość zapobiegania przestępstwom lub naruszeniom zasad etyki w przypadku zawodów regulowanych, ich ścigania i karania, inne szczególne i dobrze zdefiniowane publiczne interesy Unii lub państwa członkowskiego, w szczególności ważny interes gospodarczy lub finansowy Unii lub państwa członkowskiego, ochronę podmiotu danych lub też prawa i wolności innych osób. Ograniczenia te powinny być zgodne z wymogami Karty praw podstawowych Unii Europejskiej oraz Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności.

Poprawka  36

Wniosek dotyczący rozporządzenia

Motyw 60

Tekst proponowany przez Komisję

Poprawka

(60) Należy obciążyć administratora całkowitą odpowiedzialnością za przetwarzanie danych osobowych prowadzone przez niego samego lub w jego imieniu. W szczególności administrator powinien zapewnić zgodność takiej operacji przetwarzania z niniejszym rozporządzeniem i mieć obowiązek wykazania tej zgodności.

(60) Należy obciążyć administratora całkowitą odpowiedzialnością za przetwarzanie danych osobowych prowadzone przez niego samego lub w jego imieniu, w szczególności w kwestiach takich jak dokumentacja, bezpieczeństwo danych, ocena skutków, inspektor ochrony danych oraz nadzór sprawowany przez organy do spraw ochrony. W szczególności administrator powinien zapewnić zgodność takiej operacji przetwarzania z niniejszym rozporządzeniem i być w stanie wykazać tę zgodność. Powinno to być weryfikowane przez niezależnych audytorów wewnętrznych lub zewnętrznych.

Poprawka  37

Wniosek dotyczący rozporządzenia

Motyw 61

Tekst proponowany przez Komisję

Poprawka

(61) Ochrona praw i wolności podmiotów danych w zakresie przetwarzania danych osobowych wymaga podjęcia odpowiednich środków technicznych i organizacyjnych, zarówno przy przygotowywaniu przetwarzania, jak i podczas samego przetwarzania, w celu zagwarantowania spełnienia wymogów niniejszego rozporządzenia. By zapewnić i wykazać zgodność z niniejszym rozporządzeniem, administrator powinien przyjąć wewnętrzne polityki i wdrożyć odpowiednie środki, które są w szczególności zgodne z zasadą uwzględnienia ochrony danych już w fazie projektowania oraz zasadą domyślnej ochrony danych.

(61) Ochrona praw i wolności podmiotów danych w zakresie przetwarzania danych osobowych wymaga podjęcia odpowiednich środków technicznych i organizacyjnych, zarówno przy przygotowywaniu przetwarzania, jak i podczas samego przetwarzania, w celu zagwarantowania spełnienia wymogów niniejszego rozporządzenia. By zapewnić i wykazać zgodność z niniejszym rozporządzeniem, administrator powinien przyjąć wewnętrzne zasady i wdrożyć odpowiednie środki, które są w szczególności zgodne z zasadą uwzględnienia ochrony danych już w fazie projektowania oraz zasadą domyślnej ochrony danych. Zasada uwzględniania ochrony danych już w fazie projektowania wymaga wbudowania ochrony danych w cały cykl życia technologii, od wczesnego etapu projektowania, aż po ostateczne uruchamianie, stosowanie i ostateczne usuwanie. Powinno to obejmować również odpowiedzialność za produkty i usługi, z których korzysta administrator lub podmiot przetwarzający. Zasada domyślnej ochrony danych wymaga, aby ustawienia dotyczące prywatności w usługach i produktach były domyślnie zgodne z ogólnymi zasadami ochrony danych, takimi jak zasada minimalizacji danych i zasada celowości.

Poprawka  38

Wniosek dotyczący rozporządzenia

Motyw 62

Tekst proponowany przez Komisję

Poprawka

(62) Ochrona praw i wolności podmiotów danych, a także zobowiązania i odpowiedzialność administratorów i podmiotów przetwarzających, także w odniesieniu do monitorowania przez organy nadzorcze i środków przez nie stosowanych, wymaga dokonania w niniejszym rozporządzeniu jasnego przydziału obowiązków, w tym w przypadku gdy administrator określa cele, warunki i sposoby przetwarzania wspólnie z innymi administratorami oraz gdy operacja przetwarzania jest dokonywana w imieniu administratora.

(62) Ochrona praw i wolności podmiotów danych, a także zobowiązania i odpowiedzialność administratorów i podmiotów przetwarzających, także w odniesieniu do monitorowania przez organy nadzorcze i środków przez nie stosowanych, wymaga dokonania w niniejszym rozporządzeniu jasnego przydziału obowiązków, w tym w przypadku gdy administrator określa cele przetwarzania wspólnie z innymi administratorami oraz gdy operacja przetwarzania jest dokonywana w imieniu administratora. Porozumienie między współadministratorami powinno odzwierciedlać faktyczną rolę i wzajemne relacje współadministratorów. Przetwarzanie danych osobowych zgodnie z niniejszym rozporządzeniem powinno obejmować zezwolenie administratorowi na przekazywanie danych współadministratorowi lub podmiotowi przetwarzającemu w celu przetworzenia danych w jego imieniu.

Poprawka  39

Wniosek dotyczący rozporządzenia

Motyw 63

Tekst proponowany przez Komisję

Poprawka

(63) Jeśli administrator niemający siedziby w Unii przetwarza dane osobowe podmiotów danych mających miejsce zamieszkania w Unii, a jego działalność w zakresie przetwarzania wiąże się z oferowaniem towarów lub usług tym podmiotom lub monitorowaniem ich zachowania, powinien on wyznaczyć przedstawiciela, chyba że administrator ma siedzibę w państwie trzecim zapewniającym odpowiedni poziom ochrony, jest małym lub średnim przedsiębiorcą, organem lub podmiotem publicznym, lub chyba że jedynie okazjonalnie oferuje towary lub usługi tym podmiotom. Przedstawiciel powinien działać w imieniu administratora, a organ nadzorczy może się do niego zwracać.

(63) Jeśli administrator niemający siedziby w Unii przetwarza dane osobowe podmiotów danych w Unii, powinien on wyznaczyć przedstawiciela, chyba że administrator ma siedzibę w państwie trzecim zapewniającym odpowiedni poziom ochrony lub przetwarzanie dotyczy mniej niż 5000 podmiotów danych w dowolnym okresie kolejnych 12 miesięcy i nie jest prowadzone w odniesieniu do specjalnych kategorii danych osobowych lub administrator jest organem lub podmiotem publicznym, lub gdy jedynie okazjonalnie oferuje towary lub usługi tym podmiotom. Przedstawiciel powinien działać w imieniu administratora, a organ nadzorczy może się do niego zwracać.

Poprawka  40

Wniosek dotyczący rozporządzenia

Motyw 64

Tekst proponowany przez Komisję

Poprawka

(64) By stwierdzić, czy administrator jedynie okazjonalnie oferuje towary i usługi podmiotom danych mającym miejsce zamieszkania w Unii, należy się upewnić, czy z całości działalności administratora wynika, że oferowanie towarów i usług tym osobom, stanowi działalność dodatkową do działalności głównej.

(64) By stwierdzić, czy administrator jedynie okazjonalnie oferuje towary i usługi podmiotom danych w Unii, należy się upewnić, czy z całości działalności administratora wynika, że oferowanie towarów i usług tym osobom stanowi działalność dodatkową do działalności głównej.

Poprawka  41

Wniosek dotyczący rozporządzenia

Motyw 65

Tekst proponowany przez Komisję

Poprawka

(65) By wykazać zgodność z niniejszym rozporządzeniem, administrator lub podmiot przetwarzający powinni dokumentować każdą operację przetwarzania. Każdy administrator i podmiot przetwarzający powinni być zobowiązani do współpracy z organem nadzorczym oraz do udostępniania mu, na żądanie, dokumentacji, tak by mogła ona służyć do monitorowania tych operacji przetwarzania.

(65) By móc wykazać zgodność z niniejszym rozporządzeniem, administrator lub podmiot przetwarzający powinni prowadzić dokumentację niezbędną do spełnienia wymogów określonych w niniejszym rozporządzeniu. Każdy administrator i podmiot przetwarzający powinien być zobowiązany do współpracy z organem nadzorczym oraz do udostępniania mu, na żądanie, dokumentacji, tak by mogła ona służyć do oceny zgodności z niniejszym rozporządzeniem. Należy jednak położyć równy nacisk na znaczenie dobrej praktyki i zgodności z przepisami, a nie na samo wypełnianie dokumentacji.

Poprawka  42

Wniosek dotyczący rozporządzenia

Motyw 66

Tekst proponowany przez Komisję

Poprawka

(66) W celu utrzymania bezpieczeństwa i zapobiegania naruszaniu przepisów niniejszego rozporządzenia administrator i podmiot przetwarzający powinni ocenić ryzyko związane z przetwarzaniem oraz wdrożyć środki mające na celu ograniczenie tego ryzyka. Środki te powinny zapewnić odpowiedni poziom bezpieczeństwa, uwzględniając stan wiedzy naukowej oraz koszty wdrożenia środków w odniesieniu do ryzyka oraz charakteru danych osobowych podlegających ochronie. Ustanawiając standardy techniczne i środki organizacyjne, by zapewnić bezpieczeństwo przetwarzania, Komisja powinna promować neutralność technologiczną, interoperacyjność i innowacyjność oraz, w razie potrzeby, współpracować z państwami trzecimi.

(66) W celu utrzymania bezpieczeństwa i zapobiegania naruszaniu przepisów niniejszego rozporządzenia administrator i podmiot przetwarzający powinni ocenić ryzyko związane z przetwarzaniem oraz wdrożyć środki mające na celu ograniczenie tego ryzyka. Środki te powinny zapewnić odpowiedni poziom bezpieczeństwa, uwzględniając stan wiedzy naukowej oraz koszty wdrożenia środków w odniesieniu do ryzyka oraz charakteru danych osobowych podlegających ochronie. Ustanawiając standardy techniczne i środki organizacyjne, by zapewnić bezpieczeństwo przetwarzania, należy promować neutralność technologiczną, interoperacyjność i innowacyjność oraz, w razie potrzeby, zachęcać do współpracy z państwami trzecimi.

Poprawka  43

Wniosek dotyczący rozporządzenia

Motyw 67

Tekst proponowany przez Komisję

Poprawka

(67) Naruszenie ochrony danych osobowych, w braku odpowiedniej i szybkiej reakcji, może prowadzić do znacznej straty ekonomicznej i szkód społecznych u danej osoby, w tym oszustwa dotyczącego tożsamości. Z tego względu administrator, niezwłocznie po powzięciu wiadomości o naruszeniu, jeśli to możliwe, w ciągu 24 godzin powinien zawiadomić organ nadzorczy o naruszeniu. Jeśli nie jest to możliwe w ciągu 24 godzin, do zawiadomienia należy dołączyć stosowne wyjaśnienie powodów opóźnienia. Osoby, których dane osobowe mogłyby ucierpieć wskutek takiego naruszenia, powinny być niezwłocznie zawiadamiane, aby umożliwić im podjęcie niezbędnych środków ostrożności. Naruszenie powinno być uznawane za wywierające niekorzystny wpływ na dane osobowe lub prywatność podmiotu danych, jeżeli jego skutkiem mogą być np. kradzież lub oszustwo dotyczące tożsamości, uszkodzenie ciała, poważne upokorzenie lub naruszenie dobrego imienia. Zawiadomienie powinno zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla osoby zainteresowanej dotyczące ograniczenia potencjalnych niekorzystnych skutków naruszenia. Zawiadomienia powinny być przekazywane podmiotom danych tak szybko jak to racjonalnie możliwe, w ścisłej współpracy z organem nadzorczym oraz z poszanowaniem wytycznych przekazanych przez ten organ lub inne właściwe organy (np. organy ścigania). Na przykład szansa ograniczenia przez podmioty danych bezpośredniego ryzyka szkody wymagałaby szybkiego zawiadomienia podmiotów danych, zaś potrzeba wdrożenia właściwych środków w przypadku powtarzających się lub podobnych naruszeń ochrony danych może usprawiedliwiać dłuższe opóźnienie.

(67) Naruszenie ochrony danych osobowych, w braku odpowiedniej i szybkiej reakcji, może prowadzić do znacznej straty ekonomicznej i szkód społecznych u danej osoby, w tym oszustwa dotyczącego tożsamości. Z tego względu administrator powinien zawiadomić organ nadzorczy o naruszeniu niezwłocznie, przy czym zakłada się, że oznacz to nie później niż po72 godzinach. W stosownym przypadku do zawiadomienia należy dołączyć stosowne wyjaśnienie powodów opóźnienia. Osoby, których dane osobowe mogłyby ucierpieć wskutek takiego naruszenia, powinny być niezwłocznie zawiadamiane, aby umożliwić im podjęcie niezbędnych środków ostrożności. Naruszenie powinno być uznawane za wywierające niekorzystny wpływ na dane osobowe lub prywatność podmiotu danych, jeżeli jego skutkiem mogą być np. kradzież lub oszustwo dotyczące tożsamości, uszkodzenie ciała, poważne upokorzenie lub naruszenie dobrego imienia. Zawiadomienie powinno zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla osoby zainteresowanej dotyczące ograniczenia potencjalnych niekorzystnych skutków naruszenia. Zawiadomienia powinny być przekazywane podmiotom danych tak szybko jak to racjonalnie możliwe, w ścisłej współpracy z organem nadzorczym oraz z poszanowaniem wytycznych przekazanych przez ten organ lub inne właściwe organy (np. organy ścigania). Na przykład szansa ograniczenia przez podmioty danych bezpośredniego ryzyka szkody wymagałaby szybkiego zawiadomienia podmiotów danych, zaś potrzeba wdrożenia właściwych środków w przypadku powtarzających się lub podobnych naruszeń ochrony danych może usprawiedliwiać dłuższe opóźnienie.

Poprawka  44

Wniosek dotyczący rozporządzenia

Motyw 71 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(71a) Oceny skutków są niezbędnym centralnym elementem wszelkich zrównoważonych ram ochrony danych, gdyż dzięki nim przedsiębiorstwa są od samego początku świadome wszelkich możliwych konsekwencji prowadzonych przez nie operacji przetwarzania danych. Jeżeli oceny skutków są starannie przeprowadzane, prawdopodobieństwo operacji naruszającej ochronę danych lub ochronę prywatności może zostać zasadniczo ograniczone. Ocena skutków w zakresie ochrony danych powinna konsekwentnie uwzględniać cały cykl zarządzania danymi osobowymi od ich zebrania, przez przetwarzanie, do ich usunięcia, opisując przy tym szczegółowo planowane operacje przetwarzania, ryzyko dla praw i wolności podmiotów danych, środki przewidywane w celu sprostania ryzyku, gwarancje, środki bezpieczeństwa i mechanizmy mające na celu zapewnienie zgodności z niniejszym rozporządzeniem.

Poprawka  45

Wniosek dotyczący rozporządzenia

Motyw 71 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(71b) Administratorzy powinni skupić się na ochronie danych osobowych w całym cyklu życia danych – od ich zebrania, przez przetwarzanie, do ich usunięcia – inwestując od samego początku w zrównoważone ramy zarządzania danymi, a następnie wprowadzając kompleksowy mechanizm zgodności.

Poprawka  46

Wniosek dotyczący rozporządzenia

Motyw 73

Tekst proponowany przez Komisję

Poprawka

(73) Ocenę skutków w zakresie ochrony danych powinien przeprowadzić organ publiczny lub podmiot publiczny, o ile takiej oceny nie dokonano do tej pory w kontekście przyjęcia przepisów prawa krajowego, na których opiera się wykonanie zadań organu publicznego lub podmiotu publicznego i które regulują szczególną operację przetwarzania lub zestaw omawianych operacji.

skreślony

Poprawka  47

Wniosek dotyczący rozporządzenia

Motyw 74

Tekst proponowany przez Komisję

Poprawka

(74) Jeśli ocena skutków w zakresie ochrony danych wykaże, że operacje przetwarzania wiążą się z wysokim poziomem konkretnych ryzyk dla praw i wolności podmiotów danych, takich jak pozbawienie osób fizycznych przysługującego im prawa lub korzystanie z konkretnych nowych technologii, przed rozpoczęciem operacji należy zasięgnąć opinii organu nadzorczego na temat ryzykownego przetwarzania, które mogłoby być niezgodne z niniejszym rozporządzeniem oraz przedstawić propozycje naprawienia tej sytuacji. Opinii należy zasięgnąć również w trakcie przygotowywania środka ustawodawczego przez parlament narodowy lub środka opartego na takim środku prawnym, który określa charakter przetwarzania danych oraz daje odpowiednie gwarancje.

(74) Jeśli ocena skutków w zakresie ochrony danych wykaże, że operacje przetwarzania wiążą się z wysokim poziomem konkretnego ryzyka dla praw i wolności podmiotów danych, takiego jak pozbawienie osób fizycznych przysługującego im prawa, lub przez korzystaniu z konkretnych nowych technologii, przed rozpoczęciem operacji należy zasięgnąć opinii inspektora ochrony danych lub organu nadzorczego na temat ryzykownego przetwarzania, które mogłoby być niezgodne z niniejszym rozporządzeniem, oraz przedstawić propozycje naprawienia tej sytuacji. Opinii organu nadzorczego należy zasięgnąć również w trakcie przygotowywania środka ustawodawczego przez parlament narodowy lub środka opartego na takim środku prawnym, który określa charakter przetwarzania danych oraz daje odpowiednie gwarancje.

Poprawka  48

Wniosek dotyczący rozporządzenia

Motyw 74 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(74a) Oceny skutków mogą być pomocne jedynie wtedy, gdy administratorzy dopilnują spełnienia obietnic początkowo w nich poczynionych. Administratorzy danych powinni w związku z tym dokonywać okresowych przeglądów pod kątem zgodności z zasadami ochrony danych w celu wykazania, że stosowane mechanizmy przetwarzania danych są zgodne z zapewnieniami sformułowanymi w ocenie skutków w zakresie ochrony danych. Przegląd ten powinien również wykazać zdolność administratora danych do respektowania niezależnych wyborów dokonanych przez podmioty danych. Ponadto w przypadku, gdy w wyniku przeglądu wykazane zostaną niezgodności, należy je podkreślić oraz przedstawić zalecenia dotyczące sposobu osiągnięcia pełnej zgodności.

Poprawka  49

Wniosek dotyczący rozporządzenia

Motyw 75

Tekst proponowany przez Komisję

Poprawka

(75) Jeśli przetwarzanie odbywa się w sektorze publicznym lub jeśli przetwarzanie w sektorze prywatnym prowadzi duże przedsiębiorstwo, lub jeśli główna działalność przedsiębiorstwa, niezależnie od jego wielkości, obejmuje operacje przetwarzania, które wymagają regularnego i systematycznego monitorowania, osoba trzecia powinna wspomagać administratora lub podmiot przetwarzający w monitorowaniu zgodności, na poziomie wewnętrznym, z niniejszym rozporządzeniem. Taki inspektor ochrony danych, który może być pracownikiem administratora, powinien być w stanie niezależnie wykonywać swoje obowiązki i zadania.

(75) Jeśli przetwarzanie odbywa się w sektorze publicznym lub jeśli przetwarzanie w sektorze prywatnym odnosi się do ponad 5000 podmiotów danych w ciągu 12 miesięcy lub jeśli główna działalność przedsiębiorstwa, niezależnie od jego wielkości, obejmuje operacje przetwarzania dotyczące danych wrażliwych lub operacje przetwarzania, które wymagają regularnego i systematycznego monitorowania, osoba trzecia powinna wspomagać administratora lub podmiot przetwarzający w monitorowaniu zgodności, na poziomie wewnętrznym, z niniejszym rozporządzeniem. Określając, czy przetwarzane są dane dotyczące dużej liczby podmiotów danych, nie powinno się uwzględniać danych zarchiwizowanych, które są ograniczone w ten sposób, że nie podlegają normalnemu dostępowi do danych ani operacjom przetwarzania prowadzonym przez administratora oraz nie mogą być już zmieniane. Taki inspektor ochrony danych, który może być pracownikiem administratora i może pracować na pełny etat, powinien być w stanie niezależnie wykonywać swoje obowiązki i zadania oraz korzystać ze specjalnej ochrony przed odwołaniem z funkcji. Ostateczna odpowiedzialność powinna nadal spoczywać na kierownictwie danej organizacji. Opinii inspektora ochrony danych należy zasięgnąć w szczególności przed zaprojektowaniem, zamówieniem, opracowaniem i ustanowieniem systemów automatycznego przetwarzania danych osobowych, aby zapewnić zgodność z zasadami ochrony prywatności już w fazie projektowania oraz domyślnej ochrony prywatności.

Poprawka  50

Wniosek dotyczący rozporządzenia

Motyw 75 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(75a) Inspektor ochrony danych powinien mieć co najmniej następujące kwalifikacje: obszerną wiedzę na temat treści i stosowania prawa o ochronie danych, w tym na temat technicznych i organizacyjnych środków i procedur; znajomość wymogów technicznych odnoszących się do ochrony prywatności w fazie projektowania, do domyślnej ochrony prywatności oraz do bezpieczeństwa danych; wiedzę branżową odpowiadającą wielkości działalności administratora lub podmiotu przetwarzającego oraz poufnemu charakterowi danych, które mają być przetwarzane; umiejętność prowadzenia inspekcji, konsultacji, dokumentacji i analizowania plików dziennika; umiejętność współpracy z przedstawicielami pracowników. Administrator powinien umożliwiać inspektorowi ochrony danych udział w zaawansowanych szkoleniach mających na celu utrzymanie poziomu specjalistycznej wiedzy niezbędnej do wykonywania jego obowiązków. Wyznaczenie do pełnienia funkcji inspektora ochrony danych nie musi wymagać pracy danego pracownika w pełnym wymiarze.

Poprawka  51

Wniosek dotyczący rozporządzenia

Motyw 76

Tekst proponowany przez Komisję

Poprawka

(76) Zrzeszenia lub inne organy reprezentujące różne kategorie administratorów należy zachęcać do sporządzenia kodeksów postępowania, w granicach niniejszego rozporządzenia, by ułatwiać skuteczne stosowanie niniejszego rozporządzenia, uwzględniając szczególny charakter przetwarzania prowadzonego w niektórych sektorach.

(76) Zrzeszenia lub inne organy reprezentujące różne kategorie administratorów należy zachęcać do sporządzenia kodeksów postępowania, po konsultacji z przedstawicielami pracowników, w granicach niniejszego rozporządzenia, by ułatwiać skuteczne stosowanie niniejszego rozporządzenia, uwzględniając szczególny charakter przetwarzania prowadzonego w niektórych sektorach. Kodeksy takie powinny ułatwić branży zachowanie zgodności z niniejszym rozporządzeniem.

Poprawka  52

Wniosek dotyczący rozporządzenia

Motyw 77

Tekst proponowany przez Komisję

Poprawka

(77) By zwiększyć przejrzystość i zgodność z niniejszym rozporządzeniem, należy zachęcać do ustanowienia mechanizmów certyfikacji oraz wprowadzenia pieczęci i oznaczeń w zakresie ochrony danych, umożliwiając w ten sposób podmiotom danych szybką ocenę poziomu ochrony danych odnośnych produktów i usług.

(77) By zwiększyć przejrzystość i zgodność z niniejszym rozporządzeniem, należy zachęcać do ustanowienia mechanizmów certyfikacji oraz wprowadzenia pieczęci i standaryzowanych oznaczeń w zakresie ochrony danych, umożliwiając w ten sposób podmiotom danych szybką, wiarygodną i weryfikowalną ocenę poziomu ochrony danych odnośnych produktów i usług. Należy ustanowić „europejską pieczęć w zakresie ochrony danych” na szczeblu europejskim, aby zapewnić zaufanie wśród podmiotów danych, pewność prawa dla administratorów, a jednocześnie promować europejskie standardy ochrony danych poza UE przez ułatwienie pozaeuropejskim przedsiębiorstwom dostępu do rynków europejskich po przejściu procedury certyfikacji.

Poprawka  53

Wniosek dotyczący rozporządzenia

Motyw 79

Tekst proponowany przez Komisję

Poprawka

(79) Niniejsze rozporządzenie nie narusza postanowień umów międzynarodowych zawartych między Unią a państwami trzecimi, regulujących przekazywanie danych osobowych, przewidujących odpowiednie gwarancje dla podmiotów danych.

(79) Niniejsze rozporządzenie nie narusza postanowień umów międzynarodowych zawartych między Unią a państwami trzecimi, regulujących przekazywanie danych osobowych, przewidujących odpowiednie gwarancje dla podmiotów danych zapewaniające dostateczny poziom ochrony podstawowych praw obywateli.

Poprawka  54

Wniosek dotyczący rozporządzenia

Motyw 80

Tekst proponowany przez Komisję

Poprawka

(80) Komisja może podjąć decyzję, która będzie obowiązywać w całej Unii, że niektóre państwa trzecie lub też jakieś terytorium lub sektor, w którym odbywa się przetwarzanie danych w państwie trzecim, bądź organizacja międzynarodowa oferują odpowiedni poziom ochrony danych, gwarantując tym samym pewność prawną i jednolitość w całej Unii, jeśli chodzi o państwa trzecie lub organizacje międzynarodowe uważane za zapewniające taki poziom ochrony. W takich przypadkach przekazywanie danych osobowych do tych państw może odbywać się bez potrzeby uzyskania dalszego zezwolenia.

(80) Komisja może podjąć decyzję, która będzie obowiązywać w całej Unii, że niektóre państwa trzecie lub też jakieś terytorium lub sektor, w którym odbywa się przetwarzanie danych w państwie trzecim, bądź organizacja międzynarodowa oferują odpowiedni poziom ochrony danych, gwarantując tym samym pewność prawną i jednolitość w całej Unii, jeśli chodzi o państwa trzecie lub organizacje międzynarodowe uważane za zapewniające taki poziom ochrony. Komisja może także zdecydować, wcześniej informując o tym państwo trzecie i przedstawiając mu kompletne uzasadnienie, o odwołaniu takiej decyzji.

Poprawka  55

Wniosek dotyczący rozporządzenia

Motyw 82

Tekst proponowany przez Komisję

Poprawka

(82) Komisja może również uznać, że państwo trzecie lub terytorium bądź sektor, w którym odbywa się przetwarzanie danych w państwie trzecim, albo organizacja międzynarodowa nie oferują odpowiedniego poziomu ochrony danych. W związku z tym przekazywanie danych osobowych do tego państwa trzeciego powinno być zakazane. W takim przypadku należałoby przewidzieć możliwość odbywania konsultacji między Komisją a tymi państwami trzecimi lub organizacjami międzynarodowymi.

(82) Komisja może również uznać, że państwo trzecie lub terytorium bądź sektor, w którym odbywa się przetwarzanie danych w państwie trzecim, albo organizacja międzynarodowa nie oferują odpowiedniego poziomu ochrony danych. Wszelkie przepisy, które wymagają dostępu pozaterytorialnego do danych osobowych w Unii bez zezwolenia na mocy prawa państwa członkowskiego lub Unii, należy uznawać za świadczące o braku odpowiedniego poziomu ochrony danych. W związku z tym przekazywanie danych osobowych do tego państwa trzeciego powinno być zakazane. W takim przypadku należałoby przewidzieć możliwość odbywania konsultacji między Komisją a tymi państwami trzecimi lub organizacjami międzynarodowymi.

Poprawka  56

Wniosek dotyczący rozporządzenia

Motyw 83

Tekst proponowany przez Komisję

Poprawka

(83) W braku decyzji stwierdzającej odpowiedni poziom ochrony administrator lub podmiot przetwarzający powinni podjąć środki mające na celu zrekompensowanie braku ochrony w państwie trzecim poprzez zaoferowanie podmiotowi danych odpowiednich gwarancji. Takie odpowiednie gwarancje mogą polegać na skorzystaniu z wiążących reguł korporacyjnych, standardowych klauzul ochrony danych przyjętych przez Komisję, standardowych klauzul ochrony danych przyjętych przez organ nadzorczy, klauzul umownych dopuszczonych przez organ nadzorczy lub innych właściwych i proporcjonalnych środków uzasadnionych w świetle wszystkich okoliczności związanych z jedną operacją przekazania danych lub zestawem takich operacji przekazania, o ile zezwoli na to organ nadzorczy.

(83) W braku decyzji stwierdzającej odpowiedni poziom ochrony administrator lub podmiot przetwarzający powinni podjąć środki mające na celu zrekompensowanie braku ochrony w państwie trzecim poprzez zaoferowanie podmiotowi danych odpowiednich gwarancji. Takie odpowiednie gwarancje mogą polegać na skorzystaniu z wiążących reguł korporacyjnych, standardowych klauzul ochrony danych przyjętych przez Komisję, standardowych klauzul ochrony danych przyjętych przez organ nadzorczy lub klauzul umownych dopuszczonych przez organ nadzorczy. Te odpowiednie gwarancje powinny zapewniać poszanowanie praw podmiotów danych w stopniu odpowiednim do przetwarzania wewnątrz UE, w szczególności w kwestiach takich jak zasada celowości, prawo dostępu, poprawianie, usuwanie danych i występowanie o odszkodowanie. Gwarancje te powinny w szczególności zapewniać przestrzeganie zasad przetwarzania danych osobowych, chronić prawa podmiotów danych oraz przewidywać skuteczne mechanizmy dochodzenia roszczeń, zapewniać przestrzeganie zasad ochrony danych w fazie projektowania i domyślnej ochrony danych, zapewniać istnienie inspektora ochrony danych.

Poprawka  57

Wniosek dotyczący rozporządzenia

Motyw 84

Tekst proponowany przez Komisję

Poprawka

(84) Możliwość korzystania przez administratora lub podmiot przetwarzający ze standardowych klauzul ochrony danych przyjętych przez Komisję lub organ nadzorczy nie powinna uniemożliwiać włączenia przez nich standardowych klauzul ochrony danych do szerszej umowy ani dodania innych klauzul, pod warunkiem że nie są one sprzeczne, bezpośrednio lub pośrednio, ze standardowymi klauzulami umownymi przyjętymi przez Komisję lub organ nadzorczy lub też nie naruszają podstawowych praw lub wolności podmiotów danych.

(84) Możliwość korzystania przez administratora lub podmiot przetwarzający ze standardowych klauzul ochrony danych przyjętych przez Komisję lub organ nadzorczy nie powinna uniemożliwiać włączenia przez nich standardowych klauzul ochrony danych do szerszej umowy ani dodania innych klauzul lub dodatkowych gwarancji, pod warunkiem że nie są one sprzeczne, bezpośrednio lub pośrednio, ze standardowymi klauzulami umownymi przyjętymi przez organ nadzorczy lub też nie naruszają podstawowych praw lub wolności podmiotów danych. Standardowe klauzule dotyczące ochrony danych przyjęte przez Komisję mogłyby obejmować różne sytuacje, to jest przekazywanie przez administratorów mających siedzibę w Unii Europejskiej do administratorów poza Unią Europejską oraz przez administratorów mających siedzibę w Unii Europejskiej do podmiotów przetwarzających – w tym podwykonawców podmiotów przetwarzających – mających siedzibę poza Unią Europejską. Należy zachęcać administratorów i podmioty przetwarzające do zapewnienia jeszcze mocniejszych gwarancji za pomocą dodatkowych zobowiązań umownych, uzupełniających standardowe klauzule dotyczące ochrony.

Poprawka  58

Wniosek dotyczący rozporządzenia

Motyw 85

Tekst proponowany przez Komisję

Poprawka

(85) Grupa korporacyjna powinna móc korzystać z zatwierdzonych wiążących reguł korporacyjnych do międzynarodowego przekazywania danych z Unii do organizacji w ramach tej samej korporacyjnej grupy przedsiębiorstw, o ile takie reguły korporacyjne obejmują istotne zasady i egzekwowalne prawa mające na celu zapewnienie odpowiednich standardów przekazywania lub kategorii przekazywania danych osobowych.

(85) Grupa korporacyjna powinna móc korzystać z zatwierdzonych wiążących reguł korporacyjnych do międzynarodowego przekazywania danych z Unii do organizacji w ramach tej samej korporacyjnej grupy przedsiębiorstw, o ile takie reguły korporacyjne obejmują wszystkie istotne zasady i egzekwowalne prawa mające na celu zapewnienie odpowiednich gwarancji dotyczących przekazywania lub kategorii przekazywania danych osobowych.

Poprawka  59

Wniosek dotyczący rozporządzenia

Motyw 86

Tekst proponowany przez Komisję

Poprawka

(86) Należy przewidzieć możliwość przekazywania danych w niektórych okolicznościach, jeżeli podmiot danych wyraził na to zgodę, jeżeli przekazanie danych jest konieczne w związku z umową lub roszczeniem prawnym, jeżeli wymagać tego będzie ochrona ważnego interesu publicznego wskazanego przez Unię lub państwo członkowskie lub w przypadku przekazania danych z rejestru utworzonego na mocy przepisów prawa i przeznaczonego do wglądu dla ogółu społeczeństwa lub osób wykazujących słuszny interes. W tym ostatnim przypadku przekazanie nie powinno obejmować całości danych lub całych kategorii danych z rejestru oraz, jeżeli rejestr jest przeznaczony do wglądu dla osób wykazujących słuszny interes, przekazanie danych powinno nastąpić jedynie na wniosek tych osób lub wówczas, gdy osoby te mają być odbiorcami.

(86) Należy przewidzieć możliwość przekazywania danych w niektórych okolicznościach, jeżeli podmiot danych wyraził na to zgodę, jeżeli przekazanie danych jest konieczne w związku z umową lub roszczeniem prawnym, jeżeli wymagać tego będzie ochrona ważnego interesu publicznego wskazanego przez Unię lub państwo członkowskie lub w przypadku przekazania danych z rejestru utworzonego na mocy przepisów prawa i przeznaczonego do wglądu dla ogółu społeczeństwa lub osób wykazujących uzasadniony interes. W tym ostatnim przypadku przekazanie nie powinno obejmować całości danych lub całych kategorii danych z rejestru oraz, jeżeli rejestr jest przeznaczony do wglądu dla osób wykazujących uzasadniony interes, przekazanie danych powinno nastąpić jedynie na wniosek tych osób lub wówczas, gdy osoby te mają być odbiorcami, przy pełnym uwzględnieniu interesów i praw podstawowych podmiotu danych.

Poprawka  60

Wniosek dotyczący rozporządzenia

Motyw 87

Tekst proponowany przez Komisję

Poprawka

(87) Odstępstwa te powinny mieć w szczególności zastosowanie do przekazywania danych wymaganego i niezbędnego do ochrony istotnego interesu publicznego, na przykład w przypadkach przesyłania danych za granicę między organami ds. konkurencji, organami podatkowymi lub administracją celną, finansowymi organami nadzorczymi, między służbami odpowiedzialnymi za sprawy ubezpieczeń społecznych lub do organów odpowiedzialnych za zapobieganie przestępstwom, ich ściganie, wykrywanie lub karanie.

(87) Odstępstwa te powinny mieć w szczególności zastosowanie do przekazywania danych wymaganego i niezbędnego do ochrony istotnego interesu publicznego, na przykład w przypadkach przesyłania danych za granicę między organami ds. konkurencji, organami podatkowymi lub administracją celną, finansowymi organami nadzorczymi, między służbami odpowiedzialnymi za sprawy ubezpieczeń społecznych lub za zdrowie publiczne lub do właściwych organów publicznych odpowiedzialnych za zapobieganie przestępstwom, ich ściganie, wykrywanie i karanie, w tym za zapobieganie praniu pieniędzy i za walkę z finansowaniem terroryzmu. Przekazywanie danych osobowych należy uznać za zgodne z prawem również wtedy, gdy jest niezbędne w celu ochrony interesu, który ma istotne znaczenie dla życia podmiotu danych lub innej osoby, a podmiot danych nie jest w stanie udzielić zgody. Przekazywanie danych osobowych związane z takim istotnym interesem publicznym powinno mieć charakter sporadyczny. W każdym przypadku należy przeprowadzić dokładną ocenę wszystkich okoliczności takiego przekazywania.

Poprawka  61

Wniosek dotyczący rozporządzenia

Motyw 88

Tekst proponowany przez Komisję

Poprawka

(88) Przekazywanie, którego nie można określić jako częste lub masowe, mogłoby także być możliwe ze względu na słuszne interesy administratora lub podmiotu przetwarzającego, przy założeniu, że dokonali oni oceny wszystkich okoliczności związanych z przekazaniem danych. W przypadku przetwarzania do celów dokumentacji, statystyki i badań naukowych należy wziąć pod uwagę słuszne oczekiwania społeczeństwa w zakresie zwiększenia wiedzy.

W przypadku przetwarzania do celów dokumentacji, statystyki i badań naukowych należy wziąć pod uwagę słuszne oczekiwania społeczeństwa w zakresie zwiększenia wiedzy.

Poprawka  62

Wniosek dotyczący rozporządzenia

Motyw 89

Tekst proponowany przez Komisję

Poprawka

(89) W każdym przypadku, jeśli Komicja nie podjęła decyzji stwierdzającej odpowiedni poziomu ochrony danych w państwie trzecim, administrator lub podmiot przetwarzający powinni skorzystać z rozwiązań, które dają podmiotom danych gwarancję, że będą one nadal podlegać podstawowym prawom i gwarancjom w zakresie przetwarzania ich danych w Unii, także po przekazaniu danych.

(89) W każdym przypadku, jeśli Komisja nie podjęła decyzji stwierdzającej odpowiedni poziom ochrony danych w państwie trzecim, administrator lub podmiot przetwarzający powinni skorzystać z rozwiązań, które dają podmiotom danych prawnie wiążącą gwarancję, że będą one nadal podlegać podstawowym prawom i gwarancjom w zakresie przetwarzania ich danych w Unii, także po przekazaniu danych, o ile przetwarzanie nie jest masowe, powtarzalne ani strukturalne. Taka gwarancja powinna obejmować odszkodowanie finansowe w przypadkach utraty, niedozwolonego dostępu lub przetwarzania danych oraz obowiązek udzielenia wszelkich szczegółowych informacji dotyczących dostępu organów publicznych do danych w państwie trzecim, niezależnie od przepisów krajowych.

Poprawka  63

Wniosek dotyczący rozporządzenia

Motyw 90

Tekst proponowany przez Komisję

Poprawka

(90) Niektóre państwa trzecie uchwalają ustawy, rozporządzenia i inne instrumenty prawne, które mają bezpośrednio regulować działalność w zakresie przetwarzania danych osób fizycznych i prawnych podlegających jurysdykcji państw członkowskich. Ekstraterytorialne stosowanie tych ustaw, rozporządzeń i innych instrumentów prawnych może naruszać prawo międzynarodowe i uniemożliwiać osiągnięcie celu ochrony osób fizycznych zagwarantowanej przez Unię w niniejszym rozporządzeniu. Przekazywanie nie powinno być dopuszczalne, jeśli nie są spełnione warunki przekazywania danych do państw trzecich wskazane w niniejszym rozporządzeniu. Może to może między innymi dotyczyć sytuacji, w której ujawnienie jest niezbędne ze względu na ważny interes publiczny uznany w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator. Warunki istnienia ważnego interesu publicznego powinny zostać następnie określone przez Komisję w akcie delegowanym.

(90) Niektóre państwa trzecie uchwalają ustawy, rozporządzenia i inne instrumenty prawne, które mają bezpośrednio regulować działalność w zakresie przetwarzania danych osób fizycznych i prawnych podlegających jurysdykcji państw członkowskich. Ekstraterytorialne stosowanie tych ustaw, rozporządzeń i innych instrumentów prawnych może naruszać prawo międzynarodowe i uniemożliwiać osiągnięcie celu ochrony osób fizycznych zagwarantowanej przez Unię w niniejszym rozporządzeniu. Przekazywanie nie powinno być dopuszczalne, jeśli nie są spełnione warunki przekazywania danych do państw trzecich wskazane w niniejszym rozporządzeniu. Może to może między innymi dotyczyć sytuacji, w której ujawnienie jest niezbędne ze względu na ważny interes publiczny uznany w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator. Warunki istnienia ważnego interesu publicznego powinny zostać następnie określone przez Komisję w akcie delegowanym. W przypadkach gdy administratorzy lub podmioty przetwarzające stają wobec konfliktu związanego z wymogami zgodności między jurysdykcją Unii a jurysdykcją państwa trzeciego, Komisja powinna zapewnić, aby przepisy Unii miały zawsze pierwszeństwo. Komisja powinna zapewnić administratorowi i podmiotowi przetwarzającemu wytyczne i wsparcie, a także powinna dążyć do rozwiązania konfliktów jurysdykcji z danym państwem trzecim.

Poprawka  64

Wniosek dotyczący rozporządzenia

Motyw 92

Tekst proponowany przez Komisję

Poprawka

(92) Utworzenie w państwach członkowskich organów nadzorczych, wykonujących swoje funkcje w sposób całkowicie niezależny, jest zasadniczym elementem ochrony osób fizycznych w zakresie przetwarzania danych osobowych. Państwa członkowskie mogą ustanowić więcej niż jeden organu nadzorczy, by odzwierciedlić swoją strukturę konstytucyjną, organizacyjną i administracyjną.

(92) Utworzenie w państwach członkowskich organów nadzorczych, wykonujących swoje funkcje w sposób całkowicie niezależny, jest zasadniczym elementem ochrony osób fizycznych w zakresie przetwarzania danych osobowych. Państwa członkowskie mogą ustanowić więcej niż jeden organu nadzorczy, by odzwierciedlić swoją strukturę konstytucyjną, organizacyjną i administracyjną. Organ dysponuje odpowiednimi zasobami finansowymi i kadrowymi umożliwiającymi sprawowanie jego funkcji w pełnym zakresie, z uwzględnieniem liczby ludności oraz liczby operacji przetwarzania danych osobowych.

Poprawka  65

Wniosek dotyczący rozporządzenia

Motyw 94

Tekst proponowany przez Komisję

Poprawka

(94) Każdy organ nadzorczy powinien zostać wyposażony w odpowiednie zasoby finansowe i ludzkie, pomieszczenia i infrastrukturę, niezbędne do skutecznego wykonywania swoich zadań, w tym zadań związanych ze wzajemną pomocą i współpracą z innymi organami nadzorczymi w całej Unii.

(94) Każdy organ nadzorczy powinien zostać wyposażony w odpowiednie zasoby finansowe i ludzkie, ze szczególnym uwzględnieniem zapewnienia odpowiednich umiejętności technicznych i prawniczych personelu, a także w pomieszczenia i infrastrukturę, niezbędne do skutecznego wykonywania swoich zadań, w tym zadań związanych ze wzajemną pomocą i współpracą z innymi organami nadzorczymi w całej Unii.

Poprawka  66

Wniosek dotyczący rozporządzenia

Motyw 95

Tekst proponowany przez Komisję

Poprawka

(95) Warunki ogólne członkostwa w organie nadzorczym powinny być określone w przepisach prawa każdego państwa członkowskiego i powinny w szczególności przewidywać, iż członkowie tego organu powinni być wyznaczeni przez parlament albo przez rząd państwa członkowskiego oraz obejmować zasady dotyczące kwalifikacji i stanowiska tych członków.

(95) Warunki ogólne członkostwa w organie nadzorczym powinny być określone w przepisach prawa każdego państwa członkowskiego i powinny w szczególności przewidywać, iż członkowie tego organu powinni być wyznaczeni przez parlament lub przez rząd państwa członkowskiego, przy zachowaniu należytej staranności w zakresie ograniczania do minimum możliwości wpływu politycznego, oraz obejmować zasady dotyczące kwalifikacji tych członków, unikania przez nich konfliktów interesów i ich stanowiska.

Poprawka  67

Wniosek dotyczący rozporządzenia

Motyw 97

Tekst proponowany przez Komisję

Poprawka

(97) Jeśli przetwarzanie danych osobowych w kontekście działalności prowadzonej w siedzibie administratora lub podmiotu przetwarzającego w Unii odbywa się w kilku państwach, jeden organ nadzorczy powinien być właściwy w zakresie monitorowania działalności administratora lub podmiotu przetwarzającego w całej Unii oraz podejmowania odnośnych decyzji, by zwiększyć spójne stosowanie, zagwarantować pewność prawną oraz ograniczyć obciążenie administracyjne administratorów i podmiotów przetwarzających.

(97) Jeśli przetwarzanie danych osobowych w kontekście działalności prowadzonej w siedzibie administratora lub podmiotu przetwarzającego w Unii odbywa się w kilku państwach, jeden organ nadzorczy powinien pełnić rolę pojedynczego punktu kontaktowego oraz organu głównego odpowiedzialnego za nadzorowanie administratora lub podmiotu przetwarzającego w całej Unii oraz podejmowanie odnośnych decyzji, by zwiększyć spójne stosowanie, zagwarantować pewność prawną oraz ograniczyć obciążenie administracyjne administratorów i podmiotów przetwarzających.

Poprawka  68

Wniosek dotyczący rozporządzenia

Motyw 98

Tekst proponowany przez Komisję

Poprawka

(98) Właściwym organem, zapewniającym taki punkt kompleksowej obsługi, powinien być organ nadzorczy państwa członkowskiego, w którym administrator lub podmiot przetwarzający ma siedzibę główną.

(98) Głównym organem, zapewniającym taki punkt kompleksowej obsługi, powinien być organ nadzorczy państwa członkowskiego, w którym administrator lub podmiot przetwarzający ma siedzibę główną lub przedstawiciela. Europejska Rada Ochrony Danych może wyznaczyć organ główny za pomocą mechanizmu zgodności w określonych przypadkach na wniosek właściwego organu.

Poprawka  69

Wniosek dotyczący rozporządzenia

Motyw 98 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(98a) Podmioty danych, których dane osobowe są przetwarzane przez administratora danych lub podmiot przetwarzający w innym państwie członkowskim, powinny mieć możliwość wniesienia skargi do wybranego przez siebie organu nadzorczego. Główny organ do spraw ochrony danych powinien koordynować swoją pracę z pracą innych zaangażowanych organów.

Poprawka  70

Wniosek dotyczący rozporządzenia

Motyw 101

Tekst proponowany przez Komisję

Poprawka

(101) Każdy organ nadzorczy powinien rozpatrywać skargi złożone przez podmiot danych oraz przeprowadzić stosowne dochodzenie. Dochodzenie na podstawie skargi powinno być prowadzone, z zastrzeżeniem kontroli sądowej, w zakresie odpowiednim do konkretnej sprawy. Organ nadzorczy powinien poinformować podmiot danych o postępach i wyniku skargi w rozsądnym terminie. Jeśli dana sprawa wymaga prowadzenia dalszego dochodzenia lub koordynacji z innym organem nadzorczym, podmiot danych powinien być o tym poinformowany.

(101) Każdy organ nadzorczy powinien rozpatrywać skargi złożone przez podmiot danych lub zrzeszenie działające w interesie publicznym oraz przeprowadzić stosowne dochodzenie. Dochodzenie na podstawie skargi powinno być prowadzone, z zastrzeżeniem kontroli sądowej, w zakresie odpowiednim do konkretnej sprawy. Organ nadzorczy powinien poinformować podmiot danych lub zrzeszenie o postępach i wyniku skargi w rozsądnym terminie. Jeśli dana sprawa wymaga prowadzenia dalszego dochodzenia lub koordynacji z innym organem nadzorczym, podmiot danych powinien być o tym poinformowany.

 

 

Poprawka  71

Wniosek dotyczący rozporządzenia

Motyw 105

Tekst proponowany przez Komisję

Poprawka

(105) By zapewnić spójne stosowanie przepisów niniejszego rozporządzenia w całej Unii, należy ustanowić mechanizm zgodności w zakresie współpracy między organami nadzorczymi i Komisją. Mechanizm ten powinien mieć w szczególności zastosowanie tam, gdzie organ nadzorczy zamierza podjąć środek w zakresie operacji przetwarzania powiązanych z oferowaniem towarów lub usług podmiotom danych w kilku państwach członkowskich, lub też monitorowaniem podmiotów danych, lub który mógłby mieć istotny wpływ na swobodny przepływ danych. Powinien także mieć zastosowanie wtedy, gdy organ nadzorczy lub Komisja wnioskują o rozwiązanie danej kwestii w ramach mechanizmu zgodności. Mechanizm ten powinien pozostawać bez uszczerbku dla środków, które Komisja może podjąć w ramach wykonywania swoich uprawnień na mocy Traktatu.

(105) By zapewnić spójne stosowanie przepisów niniejszego rozporządzenia w całej Unii, należy ustanowić mechanizm zgodności w zakresie współpracy między organami nadzorczymi i Komisją. Mechanizm ten powinien mieć w szczególności zastosowanie tam, gdzie organ nadzorczy zamierza podjąć środek w zakresie operacji przetwarzania powiązanych z oferowaniem towarów lub usług podmiotom danych w kilku państwach członkowskich, lub też monitorowaniem podmiotów danych, lub który mógłby mieć istotny wpływ na swobodny przepływ danych. Powinien także mieć zastosowanie wtedy, gdy organ nadzorczy lub Komisja wnioskują o rozwiązanie danej kwestii w ramach mechanizmu zgodności. Ponadto podmioty danych powinny mieć prawo wymagać zgodności, jeżeli uważają one, że środek zastosowany przez organ ochrony danych państwa członkowskiego nie spełnił tego kryterium. Mechanizm ten powinien pozostawać bez uszczerbku dla środków, które Komisja może podjąć w ramach wykonywania swoich uprawnień na mocy Traktatu.

Poprawka       72

Wniosek dotyczący rozporządzenia

Motyw 106 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(106a) Aby zapewnić spójne stosowanie niniejszego rozporządzenia, Europejska Rada Ochrony Danych może w indywidualnych przypadkach przyjąć decyzję wiążącą dla właściwych organów nadzorczych.

Poprawka  73

Wniosek dotyczący rozporządzenia

Motyw 107

Tekst proponowany przez Komisję

Poprawka

(107) By zapewnić zgodność z przepisami niniejszego rozporządzenia, Komisja może przyjąć opinię lub podjąć decyzję w tej sprawie, żądając od organu nadzorczego zawieszenia tego projektu środka.

skreślony

Poprawka  74

Wniosek dotyczący rozporządzenia

Motyw 110

Tekst proponowany przez Komisję

Poprawka

(110) Na szczeblu Unii należy ustanowić Europejską Radę Ochrony Danych. Powinna ona zastąpić Grupę Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych powołaną na mocy dyrektywy 95/46/WE. W jej skład powinni wchodzić szefowie organów nadzorczych wszystkich państw członkowskich oraz Europejski Inspektor Ochrony Danych. Komisja powinna uczestniczyć w jej działaniach. Europejska Rada Ochrony Danych powinna przyczyniać się do spójnego stosowania przepisów niniejszego rozporządzenia na terytorium całej Unii, w tym poprzez doradzanie Komisji i promowanie współpracy organów nadzorczych na terytorium całej Unii. Wypełniając swoje zadania, Europejska Rada Ochrony Danych powinna działać niezależnie.

(110) Na szczeblu Unii należy ustanowić Europejską Radę Ochrony Danych. Powinna ona zastąpić Grupę Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych powołaną na mocy dyrektywy 95/46/WE. W jej skład powinni wchodzić szefowie organów nadzorczych wszystkich państw członkowskich oraz Europejski Inspektor Ochrony Danych. Europejska Rada Ochrony Danych powinna przyczyniać się do spójnego stosowania przepisów niniejszego rozporządzenia na terytorium całej Unii, w tym poprzez doradzanie instytucjom Unii i promowanie współpracy organów nadzorczych na terytorium całej Unii, co obejmuje koordynację wspólnych operacji. Wypełniając swoje zadania, Europejska Rada Ochrony Danych powinna działać niezależnie. Europejska Rada Ochrony Danych powinna zintensyfikować dialog z zainteresowanymi stronami, takimi jak zrzeszenia podmiotów danych, organizacje konsumenckie, administratorzy danych i inne zainteresowane podmioty oraz eksperci.

Poprawka  75

Wniosek dotyczący rozporządzenia

Motyw 111

Tekst proponowany przez Komisję

Poprawka

(111) Każdy podmiot danych powinien mieć prawo do złożenia skargi do organu nadzorczego w dowolnym państwie członkowskim oraz prawo do sądowego środka ochrony prawnej, jeśli uzna, że jego prawa wynikające z niniejszego rozporządzenia są naruszane lub jeśli organ nadzorczy nie reaguje na skargę lub nie podejmuje działania, pomimo iż jest ono niezbędne w celu ochrony praw podmiotu danych.

(111) Podmioty danych powinny mieć prawo do złożenia skargi do organu nadzorczego w dowolnym państwie członkowskim oraz prawo do skutecznego sądowego środka ochrony prawnej zgodnie z art. 47 Karty praw podstawowych, jeśli uznają, że ich prawa wynikające z niniejszego rozporządzenia są naruszane lub jeśli organ nadzorczy nie reaguje na skargę lub nie podejmuje działania, pomimo iż jest ono niezbędne w celu ochrony praw podmiotu danych.

Poprawka  76

Wniosek dotyczący rozporządzenia

Motyw 112

Tekst proponowany przez Komisję

Poprawka

(112) Każdy organ, organizacja lub zrzeszenie, które ma na celu ochronę praw i interesów podmiotów danych w zakresie ochrony ich danych i które zostało utworzone zgodnie z prawem państwa członkowskiego, powinno mieć prawo do złożenia skargi do organu nadzorczego lub wykonania prawa do sądowego środka ochrony prawnej w imieniu podmiotów danych, lub też złożenia, niezależnie od skargi podmiotu danych, własnej skargi, jeśli uzna, iż doszło do naruszenia ochrony danych osobowych.

(112) Wszelkie organy, organizacje lub zrzeszenia, które działają w interesie publicznym i które zostały utworzone zgodnie z prawem państwa członkowskiego, powinny mieć prawo do złożenia skargi do organu nadzorczego w imieniu podmiotów danych za ich zgodą lub wykonania prawa do sądowego środka ochrony prawnej, z upoważnienia podmiotu danych, lub też złożenia, niezależnie od skargi podmiotu danych, własnej skargi, jeśli uznają, iż doszło do naruszenia przepisów niniejszego rozporządzenia.

Poprawka       77

Wniosek dotyczący rozporządzenia

Motyw 114

Tekst proponowany przez Komisję

Poprawka

(114) By wzmocnić ochronę sądową podmiotu danych w sytuacjach, w których właściwy organ nadzorczy ma siedzibę w innym państwie członkowskim niż to, w którym mieszka podmiot danych, podmiot danych może zwrócić się do podmiotu, organizacji lub zrzeszenia mającego na celu ochronę praw i interesów podmiotu danych w zakresie ochrony jego danych z wnioskiem o wszczęcie w jego imieniu postępowania przeciwko temu organowi nadzorczemu we właściwym sądzie innego państwa członkowskiego.

(114) By wzmocnić ochronę sądową podmiotu danych w sytuacjach, gdy właściwy organ nadzorczy ma siedzibę w innym państwie członkowskim niż to, w którym mieszka podmiot danych, podmiot danych może upoważnić podmiot, organizację lub zrzeszenie działające w interesie publicznym do wszczęcia postępowania przeciwko temu organowi nadzorczemu we właściwym sądzie innego państwa członkowskiego.

Poprawka  78

Wniosek dotyczący rozporządzenia

Motyw 115

Tekst proponowany przez Komisję

Poprawka

(115) W sytuacji, w której właściwy organ nadzorczy mający siedzibę w innym państwie członkowskim nie podejmuje działania lub podjął niewystarczające środki w odniesieniu do skargi, podmiot danych może zwrócić się do organu nadzorczego w państwie członkowskim, w którym ma miejsce zwykłego pobytu, o wszczęcie postępowania przeciwko temu organowi nadzorczemu we właściwym sądzie innego państwa członkowskiego. Organ nadzorczy, do którego złożono wniosek, może podjąć decyzję, z zastrzeżeniem kontroli sądowej, czy przyjęcie wniosku jest właściwe.

(115) W sytuacji, w której właściwy organ nadzorczy mający siedzibę w innym państwie członkowskim nie podejmuje działania lub podjął niewystarczające środki w odniesieniu do skargi, podmiot danych może zwrócić się do organu nadzorczego w państwie członkowskim, w którym ma miejsce zwykłego pobytu, o wszczęcie postępowania przeciwko temu organowi nadzorczemu we właściwym sądzie innego państwa członkowskiego. Nie dotyczy do osób mieszkających poza UE. Organ nadzorczy, do którego złożono wniosek, może podjąć decyzję, z zastrzeżeniem kontroli sądowej, czy przyjęcie wniosku jest właściwe.

Poprawka       79

Wniosek dotyczący rozporządzenia

Motyw 116

Tekst proponowany przez Komisję

Poprawka

(116) W przypadku postępowania przeciwko administratorowi lub podmiotowi przetwarzającemu, powód powinien mieć możliwość wniesienia pozwu do sądu w państwie członkowskim, w którym administrator lub podmiot przetwarzający mają siedzibę lub w którym mieszka podmiot danych, chyba że administrator jest organem publicznym działającym w ramach wykonywania swoich uprawnień publicznych.

(116) W przypadku postępowania przeciwko administratorowi lub podmiotowi przetwarzającemu powód powinien mieć możliwość wniesienia pozwu do sądu w państwie członkowskim, w którym administrator lub podmiot przetwarzający mają siedzibę lub – w razie zamieszkiwania w UE – w którym mieszka podmiot danych, chyba że administrator jest organem publicznym Unii lub państwa członkowskiego działającym w ramach wykonywania swoich uprawnień publicznych.

Poprawka  80

Wniosek dotyczący rozporządzenia

Motyw 118

Tekst proponowany przez Komisję

Poprawka

(118) Szkoda, jaką dana osoba może ponieść wskutek niezgodnego z prawem przetwarzania danych, powinna zostać naprawiona przez administratora lub podmiot przetwarzający, który może być zwolniony z odpowiedzialności w przypadku dowiedzenia, że szkoda nie powstała z jego winy, szczególnie wówczas gdy udowodni winę podmiotu danych lub w przypadku siły wyższej.

(118) Szkoda finansowa lub niefinansowa, jaką dana osoba może ponieść wskutek niezgodnego z prawem przetwarzania danych, powinna zostać naprawiona przez administratora lub podmiot przetwarzający, który może być zwolniony z odpowiedzialności tylko wtedy, gdy udowodni, że szkoda nie powstała z jego winy, szczególnie wówczas, gdy udowodni winę podmiotu danych lub w przypadku siły wyższej.

Poprawka  81

Wniosek dotyczący rozporządzenia

Motyw 119

Tekst proponowany przez Komisję

Poprawka

(119) Na wszystkie osoby fizyczne i prawne, która nie przestrzegają niniejszego rozporządzenia, niezależnie od tego czy działają na podstawie prawa prywatnego czy publicznego, powinny zostać nałożone kary. Państwa członkowskie powinny dopilnować, by kary były skuteczne, proporcjonalne i odstraszające, oraz podjąć wszelkie środki mające na celu wykonanie tych kar.

(119) Na wszystkie osoby fizyczne i prawne, która nie przestrzegają niniejszego rozporządzenia, niezależnie od tego czy działają na podstawie prawa prywatnego czy publicznego, powinny zostać nałożone kary. Państwa członkowskie powinny dopilnować, by kary były skuteczne, proporcjonalne i odstraszające, oraz podjąć wszelkie środki mające na celu wykonanie tych kar. Przepisy dotyczące kar powinny podlegać odpowiednim gwarancjom proceduralnym zgodnie z ogólnymi zasadami prawa Unii i Karty praw podstawowych, w tym z zasadami dotyczącymi prawa do skutecznego środka prawnego i należytego procesu oraz z zasadą ne bis in idem.

Poprawka  82

Wniosek dotyczący rozporządzenia

Motyw 119 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(119a) Stosując kary, państwa członkowskie powinny w pełni respektować odpowiednie gwarancje proceduralne, w tym prawo do skutecznego środka prawnego i należytego procesu oraz zasadę ne bis in idem.

Poprawka  83

Wniosek dotyczący rozporządzenia

Motyw 121

Tekst proponowany przez Komisję

Poprawka

(121) Przetwarzanie danych osobowych wyłącznie w celach dziennikarskich lub w celu uzyskania wyrazu artystycznego lub literackiego powinno kwalifikować się do zwolnienia z wymogów niektórych przepisów niniejszego rozporządzenia, by pogodzić prawo do ochrony danych osobowych z prawem do wolności wypowiedzi, a zwłaszcza prawem do uzyskiwania i udzielania informacji, co gwarantuje w szczególności art. 11 Karty praw podstawowych Unii Europejskiej. Powinno mieć to w szczególności zastosowanie do przetwarzania danych osobowych w dziedzinie techniki audiowizualnej oraz w archiwach danych i bibliotekach prasowych. Z tego względu państwa członkowskie powinny przyjąć środki ustawodawcze, które powinny określać wyjątki i odstępstwa konieczne do zapewnienia równowagi pomiędzy prawami podstawowymi. Państwa członkowskie powinny przyjąć takie wyjątki i odstępstwa, jeśli chodzi o zasady ogólne, prawa podmiotów danych, administratora i podmiot przetwarzający, przekazywanie danych do państw trzecich lub organizacji międzynarodowych, organy nadzorcze oraz współpracę i zgodność. Nie powinno to jednak powodować wprowadzenia przez państwa członkowskie wyjątków od innych przepisów rozporządzenia. W celu uwzględnienia znaczenia prawa do wolności wypowiedzi w każdym demokratycznym społeczeństwie, należy dokonać wykładni pojęć dotyczących tej wolności, takich jak szeroko rozumiane dziennikarstwo. Państwa członkowskie powinny zatem zaklasyfikować jako działalność „dziennikarską” do celów wyjątków i odstępstw określonych w niniejszym rozporządzeniu, działalność której przedmiotem jest ujawnianie opinii publicznej informacji, opinii lub pomysłów, niezależnie od nośnika wykorzystanego do ich przekazania. Działalność ta nie powinna być ograniczona do agencji medialnych i może być podejmowana zarówno w celach dochodowych, jak i w celach niedochodowych.

(121) Gdy tylko to konieczne, należy przewidzieć zwolnienia z wymogów niektórych przepisów niniejszego rozporządzenia dotyczących przetwarzania danych osobowych lub odstępstwa od tych wymogów, by pogodzić prawo do ochrony danych osobowych z prawem do wolności wypowiedzi, a zwłaszcza prawem do uzyskiwania i udzielania informacji, co gwarantuje w szczególności art. 11 Karty praw podstawowych Unii Europejskiej. Z tego względu państwa członkowskie powinny przyjąć środki ustawodawcze, które powinny określać wyjątki i odstępstwa konieczne do zapewnienia równowagi pomiędzy prawami podstawowymi. Państwa członkowskie powinny przyjąć takie wyjątki i odstępstwa, jeśli chodzi o zasady ogólne, prawa podmiotów danych, administratora i podmiot przetwarzający, przekazywanie danych do państw trzecich lub organizacji międzynarodowych, niezależne organy nadzorcze, współpracę i zgodność oraz szczególne sytuacje dotyczące przetwarzania danych. Nie powinno to jednak powodować wprowadzenia przez państwa członkowskie wyjątków od innych przepisów rozporządzenia. W celu uwzględnienia znaczenia prawa do wolności wypowiedzi w każdym demokratycznym społeczeństwie należy dokonać wykładni pojęć dotyczących tej wolności w szerokim rozumieniu, aby objąć wszelką działalność, której celem jest ujawnianie opinii publicznej informacji, opinii lub idei, niezależnie od nośnika wykorzystanego do ich przekazania, z uwzględnieniem również rozwoju technologicznego. Działalność ta nie powinna być ograniczona do agencji medialnych i może być podejmowana zarówno w celach dochodowych, jak i w celach niedochodowych.

Poprawka  84

Wniosek dotyczący rozporządzenia

Motyw 122 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(122a) Osoba przetwarzająca dane osobowe dotyczące stanu zdrowia powinna w miarę możliwości otrzymywać dane anonimowo lub pod pseudonimem, a wiedzę na temat tożsamości powinien posiadać jedynie lekarz ogólny lub specjalista, który zwrócił się z wnioskiem dotyczącym przetworzenia takich danych.

Poprawka  85

Wniosek dotyczący rozporządzenia

Motyw 123

Tekst proponowany przez Komisję

Poprawka

(123) Przetwarzanie danych osobowych dotyczących zdrowia bez zgody podmiotu danych może być konieczne ze względu na interes publiczny w dziedzinie zdrowia publicznego. W tym kontekście „zdrowie publiczne” należy interpretować zgodnie z definicją w rozporządzeniu (WE) nr 1338/2008 Parlamentu Europejskiego i Rady z dnia 16 grudnia 2008 r. w sprawie statystyk Wspólnoty w zakresie zdrowia publicznego oraz zdrowia i bezpieczeństwa w pracy, według której oznacza ono wszystkie elementy związane ze zdrowiem, mianowicie stan zdrowia, w tym zachorowalność i niepełnosprawność, czynniki warunkujące stan zdrowia, potrzeby w zakresie opieki zdrowotnej, zasoby opieki zdrowotnej, oferowane usługi opieki zdrowotnej i powszechny dostęp do nich, opiekę zdrowotną, wydatki na opiekę zdrowotną i sposób jej finansowania oraz przyczyny zgonów. Takie przetwarzanie danych osobowych dotyczących zdrowia w celu realizacji interesu publicznego nie powinno skutkować przetwarzaniem danych do innych celów przez osoby trzecie, takie jak pracownicy, zakłady ubezpieczeń i banki.

(123) Przetwarzanie danych osobowych dotyczących zdrowia bez zgody podmiotu danych może być konieczne ze względu na interes publiczny w dziedzinie zdrowia publicznego. W tym kontekście „zdrowie publiczne” należy interpretować zgodnie z definicją w rozporządzeniu Parlamentu Europejskiego i Rady (WE) nr 1338/20081, według której oznacza ono wszystkie elementy związane ze zdrowiem, mianowicie stan zdrowia, w tym zachorowalność i niepełnosprawność, czynniki warunkujące stan zdrowia, potrzeby w zakresie opieki zdrowotnej, zasoby opieki zdrowotnej, oferowane usługi opieki zdrowotnej i powszechny dostęp do nich, opiekę zdrowotną, wydatki na opiekę zdrowotną i sposób jej finansowania oraz przyczyny zgonów.

 

1 Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 1338/2008 z dnia 16 grudnia 2008 r. w sprawie statystyk Wspólnoty w zakresie zdrowia publicznego oraz zdrowia i bezpieczeństwa w pracy (Dz.U. L 354 z 31.12.2008, s. 70).

Poprawka  86

Wniosek dotyczący rozporządzenia

Motyw 123 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(123a) Przetwarzanie danych osobowych dotyczących zdrowia, które stanowią specjalną kategorię danych, może być potrzebne do celów historycznych bądź statystycznych lub do celów badań naukowych. W związku z tym niniejsze rozporządzenie przewiduje odstępstwo od wymogu zgody w przypadkach badań służących istotnemu interesowi publicznemu.

Poprawka  87

Wniosek dotyczący rozporządzenia

Motyw 124

Tekst proponowany przez Komisję

Poprawka

(124) Zasady ogólne ochrony osób fizycznych w zakresie przetwarzania danych osobowych powinny mieć także zastosowanie w kontekście zatrudnienia. Zatem w celu regulacji przetwarzania danych osobowych pracowników w kontekście zatrudnienia państwa członkowskie powinny mieć możliwość, w granicach niniejszego rozporządzenia, przyjmowania w drodze ustawy przepisów szczególnych dotyczących przetwarzania danych osobowych w sektorze zatrudnienia.

(124) Zasady ogólne ochrony osób fizycznych w zakresie przetwarzania danych osobowych powinny mieć także zastosowanie w kontekście zatrudnienia i zabezpieczenia społecznego. Państwa członkowskie powinny mieć możliwość regulacji przetwarzania danych osobowych pracowników w kontekście zatrudnienia oraz przetwarzania danych osobowych w kontekście zabezpieczenia społecznego zgodnie z zasadami i minimalnymi standardami określonymi w niniejszym rozporządzeniu. Jeżeli w danym państwie członkowskim przewidziano ustawową podstawę dla uregulowania spraw z zakresu stosunku zatrudnienia w drodze porozumienia między przedstawicielami pracowników i kierownictwem przedsiębiorstwa lub przedsiębiorstwa dominującego w grupie przedsiębiorstw (układ zbiorowy) lub na mocy dyrektywy Parlamentu Europejskiego i Rady 2009/38/WE11, porozumienie takie może również regulować przetwarzanie danych osobowych w kontekście zatrudnienia.

 

1 Dyrektywa 2009/38/WE Parlamentu Europejskiego i Rady z dnia 6 maja 2009 r. w sprawie ustanowienia europejskiej rady zakładowej lub trybu informowania pracowników i konsultowania się z nimi w przedsiębiorstwach lub w grupach przedsiębiorstw o zasięgu wspólnotowym (Dz.U. L 122 z 16.5.2009, s. 28).

Poprawka  88

Wniosek dotyczący rozporządzenia

Motyw 125 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(125a) Dane osobowe mogą być również przetwarzane następnie przez służby archiwistyczne, których głównym lub obowiązkowym zadaniem jest gromadzenie i przechowywanie archiwów, udzielanie o nich informacji, ich wykorzystywanie i upowszechnianie w interesie publicznym. Prawodawstwo państwa członkowskiego powinno godzić prawo do ochrony danych osobowych z przepisami dotyczącymi archiwów oraz publicznego dostępu do informacji administracyjnych. Państwa członkowskie powinny zachęcać do opracowywania, w szczególności przez Europejski Zespół ds. Archiwów, przepisów mających gwarantować poufność danych względem stron trzecich oraz autentyczność, integralność i właściwe przechowywanie danych.

Poprawka       89

Wniosek dotyczący rozporządzenia

Motyw 126

Tekst proponowany przez Komisję

Poprawka

(126) Do celów niniejszego rozporządzenia badania naukowe powinny obejmować badania podstawowe, badania stosowane oraz badania finansowane ze środków prywatnych, a ponadto powinny uwzględniać cel Unii określony w art. 179 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej polegający na ustanowieniu Europejskiej Przestrzeni Badawczej.

(126) Do celów niniejszego rozporządzenia badania naukowe powinny obejmować badania podstawowe, badania stosowane oraz badania finansowane ze środków prywatnych, a ponadto powinny uwzględniać cel Unii określony w art. 179 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej polegający na ustanowieniu Europejskiej Przestrzeni Badawczej. Przetwarzanie danych osobowych do celów historycznych bądź statystycznych lub do celów badań naukowych nie powinno skutkować przetwarzaniem danych osobowych do innych celów, chyba że odbywa się to za zgodą podmiotu danych lub na podstawie prawa Unii bądź państwa członkowskiego.

Poprawka  90

Wniosek dotyczący rozporządzenia

Motyw 128

Tekst proponowany przez Komisję

Poprawka

(128) Niniejsze rozporządzenie szanuje status przyznany na mocy prawa krajowego kościołom i stowarzyszeniom lub wspólnotom religijnym w państwach członkowskich i nie narusza tego statusu, jak uznano w art. 17 Traktatu o funkcjonowaniu Unii Europejskiej. W związku z tym, jeśli kościół w państwie członkowskim stosuje, w momencie wejścia w życie niniejszego rozporządzenia, kompleksowe przepisy dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych, te obowiązujące przepisy powinny mieć zastosowanie, jeżeli zostaną dostosowane do niniejszego rozporządzenia. Kościoły i stowarzyszenia religijne powinny być zobowiązane do ustanowienia całkowicie niezależnego organu nadzorczego.

(128) Niniejsze rozporządzenie szanuje status przyznany na mocy prawa krajowego kościołom i stowarzyszeniom lub wspólnotom religijnym w państwach członkowskich i nie narusza tego statusu, jak uznano w art. 17 Traktatu o funkcjonowaniu Unii Europejskiej. W związku z tym, jeśli kościół w państwie członkowskim stosuje, w momencie wejścia w życie niniejszego rozporządzenia, odpowiednie przepisy dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych, te obowiązujące przepisy powinny mieć zastosowanie, jeżeli zostaną dostosowane do niniejszego rozporządzenia i uznane za zgodne.

Poprawka  91

Wniosek dotyczący rozporządzenia

Motyw 129

Tekst proponowany przez Komisję

Poprawka

(129) By spełnić cele niniejszego rozporządzenia, mianowicie chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych, oraz by zagwarantować swobodny przepływ danych osobowych w Unii, należy przekazać Komisji uprawnienie do przyjmowania aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej. Akty delegowane powinny być w szczególności przyjmowane z poszanowaniem zgodności przetwarzania z prawem; określania kryteriów i warunków zgody dziecka, przetwarzania szczególnych kategorii danych; określania kryteriów i warunków wyraźnie przesadnych wniosków i nadmiernych opłat za wykonanie prawa podmiotu danych; kryteriów i wymogów dotyczących informacji przekazywanych podmiotowi danych oraz w zakresie prawa dostępu; prawa do bycia zapomnianym i do usunięcia danych; środków opartych na profilowaniu; kryteriów i wymogów w zakresie odpowiedzialności administratora, uwzględnienia danych już w fazie projektowania oraz ochrony danych jako opcji domyślnej; podmiotu przetwarzającego; kryteriów i wymogów w zakresie dokumentacji oraz bezpieczeństwa przetwarzania; kryteriów i wymogów w zakresie stwierdzenia naruszenia ochrony danych osobowych i zawiadomienia organu nadzorczego oraz warunków, w których naruszenie danych osobowych może niekorzystnie wpłynąć na podmiot danych; kryteriów i warunków operacji przetwarzania wymagających przeprowadzenia oceny skutków w zakresie ochrony danych; kryteriów i wymogów określenia wysokiego stopnia szczególnych zagrożeń, które wymagają uprzedniej konsultacji; wskazania i określenia zadań inspektora ochrony danych; kodeksów postępowania; kryteriów i wymogów w zakresie mechanizmów certyfikacji; kryteriów i wymogów w zakresie przekazywania danych na podstawie wiążących reguł korporacyjnych; odstępstw dotyczących przetwarzania; sankcji administracyjnych; przetwarzania w celach zdrowotnych; przetwarzania w kontekście zatrudnienia oraz przetwarzania do celów badań historycznych, statystycznych i naukowych. Szczególnie ważne jest, aby w czasie swoich prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów. W trakcie przygotowywania i opracowywania aktów delegowanych Komisja powinna zapewnić jednoczesne, terminowe i odpowiednie przekazanie stosownych dokumentów Parlamentowi Europejskiemu i Radzie.

(129) By spełnić cele niniejszego rozporządzenia, mianowicie chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych, oraz by zagwarantować swobodny przepływ danych osobowych w Unii, należy przekazać Komisji uprawnienie do przyjmowania aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej. Akty delegowane powinny być w szczególności przyjmowane z uwzględnieniem określenia warunków piktograficznego przekazywania informacji; prawa do usunięcia danych; deklaracji, że kodeksy postępowania są zgodne z niniejszym rozporządzeniem; kryteriów i wymogów w zakresie mechanizmów certyfikacji; odpowiedniego poziomu ochrony przyznanej przez państwo trzecie bądź organizację międzynarodową; kryteriów i wymogów w zakresie przekazywania danych na podstawie wiążących reguł korporacyjnych; sankcji administracyjnych; przetwarzania w celach zdrowotnych oraz przetwarzania w kontekście zatrudnienia. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, w szczególności z Europejską Radą Ochrony Danych. Przygotowując i opracowując akty delegowane, Komisja powinna zapewnić jednoczesne, terminowe i odpowiednie przekazywanie stosownych dokumentów Parlamentowi Europejskiemu i Radzie.

Poprawka  92

Wniosek dotyczący rozporządzenia

Motyw 130

Tekst proponowany przez Komisję

Poprawka

(130) Aby zagwarantować jednolite warunki wdrażania niniejszego rozporządzenia, należy powierzyć Komisji uprawnienia wykonawcze w zakresie: opracowania standardowych formularzy w zakresie przetwarzania danych osobowych dziecka; standardowych procedur i formularzy w zakresie wykonywania praw przez podmioty danych; standardowych formularzy służących przekazywaniu informacji podmiotowi danych; standardowych formularzy i procedur dotyczących prawa dostępu; prawa przenoszenia danych; standardowych formularzy dotyczących odpowiedzialności administratora za uwzględnienie ochrony danych już w fazie projektowania, domyślną ochronę danych oraz dokumentację; szczególnych wymogów w zakresie bezpieczeństwa przetwarzania; standardowego formatu i procedur dotyczących zawiadamiania organu nadzorczego o naruszeniu ochrony danych osobowych oraz przekazywania informacji o naruszeniu ochrony danych osobowych podmiotowi danych; standardów i procedur dotyczących oceny skutków w zakresie ochrony danych; formularzy i procedur dotyczących uprzedniego zezwolenia i uprzedniej konsultacji; technicznych standardów i mechanizmów certyfikacji; odpowiedniego poziomu ochrony przyznanej przez państwo trzecie, terytorium bądź sektor, w którym odbywa się przetwarzanie danych w tym państwie trzecim bądź też organizację międzynarodową; ujawnień, na które Unia nie wyraziła zgody; wzajemnej pomocy; wspólnych operacji; decyzji podejmowanych na mocy mechanizmu współpracy. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiającym przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję. W tym kontekście Komisja powinna rozważyć wprowadzenie szczególnych środków dla mikroprzedsiębiorców oraz małych i średnich przedsiębiorców.

 

(130) Aby zagwarantować jednolite warunki wdrażania niniejszego rozporządzenia, należy powierzyć Komisji uprawnienia wykonawcze w zakresie: opracowania standardowych formularzy dotyczących szczególnych metod uzyskiwania możliwej do zweryfikowania zgody w zakresie przetwarzania danych osobowych dziecka; standardowych formularzy służących zawiadamianiu podmiotów danych o przysługujących im prawach; standardowych formularzy służących przekazywaniu informacji podmiotowi danych; standardowych formularzy dotyczących prawa dostępu, w tym do celów przekazywania danych osobowych podmiotowi danych; standardowych formularzy dotyczących dokumentacji, którą muszą prowadzić administrator i podmiot przetwarzający; standardowego formularza służącego zawiadamianiu organu nadzorczego o naruszeniu ochrony danych osobowych oraz dokumentowaniu naruszenia ochrony danych osobowych; formularzy do celów uprzedniej konsultacji oraz informowania organu nadzorczego. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/20111. W tym kontekście Komisja powinna rozważyć wprowadzenie szczególnych środków dla mikroprzedsiębiorców oraz małych i średnich przedsiębiorców.

 

1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję. W tym kontekście Komisja powinna rozważyć wprowadzenie szczególnych środków dla mikroprzedsiębiorców oraz małych i średnich przedsiębiorców.

Poprawka  93

Wniosek dotyczący rozporządzenia

Motyw 131

Tekst proponowany przez Komisję

Poprawka

(131) Procedurę sprawdzającą należy stosować w przypadku przyjmowania standardowych formularzy dotyczących zgody dziecka; standardowych procedur i formularzy w zakresie wykonywania praw przez podmioty danych; standardowych formularzy służących przekazywaniu informacji podmiotowi danych; standardowych formularzy i procedur dotyczących prawa dostępu; prawa przenoszenia danych; standardowych formularzy dotyczących odpowiedzialności administratora za uwzględnienie ochrony danych już w fazie projektowania, domyślną ochronę danych oraz dokumentację; szczególnych wymogów w zakresie bezpieczeństwa przetwarzania; standardowego formatu i procedur dotyczących zawiadamiania organu nadzorczego o naruszeniu ochrony danych osobowych oraz przekazywania informacji o naruszeniu ochrony danych osobowych podmiotowi danych; standardów i procedur dotyczących oceny skutków w zakresie ochrony danych; formularzy i procedur dotyczących uprzedniego zezwolenia i uprzedniej konsultacji; technicznych standardów i mechanizmów certyfikacji; odpowiedniego poziomu ochrony przyznanej przez państwo trzecie, terytorium bądź sektor, w którym odbywa się przetwarzanie danych w tym państwie trzecim bądź też organizację międzynarodową; ujawnień, na które Unia nie wyraziła zgody; wzajemnej pomocy; wspólnych operacji; decyzji podejmowanych w ramach mechanizmu zgodności, zważywszy że akty te mają charakter ogólny.

 

(131) Procedurę sprawdzającą należy stosować w przypadku przyjmowania standardowych formularzy: opracowywania standardowych formularzy dotyczących szczególnych form uzyskiwania możliwej do zweryfikowania zgody w zakresie przetwarzania danych osobowych dziecka; standardowych formularzy służących zawiadamianiu podmiotów danych o przysługujących im prawach; standardowych formularzy służących przekazywaniu informacji podmiotowi danych; standardowych formularzy dotyczących prawa dostępu, w tym do celów przekazywania danych osobowych podmiotowi danych; standardowych formularzy dotyczących dokumentacji, którą muszą prowadzić administrator i podmiot przetwarzający; standardowego formularza służącego zawiadamianiu organu nadzorczego o naruszeniu ochrony danych osobowych oraz dokumentowaniu naruszenia ochrony danych osobowych; formularzy do celów uprzedniej konsultacji oraz informowania organu nadzorczego, zważywszy że akty te mają charakter ogólny.

Poprawka  94

Wniosek dotyczący rozporządzenia

Motyw 132

Tekst proponowany przez Komisję

Poprawka

(132) Komisja powinna przyjąć akty wykonawcze mające natychmiastowe zastosowanie, jeśli, w uzasadnionych przypadkach dotyczących państwa trzeciego, terytorium lub sektora, w którym przetwarzane są dane w tym państwie trzecim lub w organizacji międzynarodowej, które nie zapewniają odpowiedniego poziomu ochrony, oraz w odniesieniu do kwestii, o których poinformowały organy nadzorcze w ramach mechanizmu zgodności, jest to uzasadnione szczególnie pilną potrzebą.

skreślony

Poprawka       95

Wniosek dotyczący rozporządzenia

Motyw 134

Tekst proponowany przez Komisję

Poprawka

(134) Dyrektywa 95/46/WE powinna zostać uchylona niniejszym rozporządzeniem. Decyzje przyjęte przez Komisję oraz zezwolenia wydane przez organy nadzorcze na podstawie dyrektywy 95/46/WE powinny jednak pozostać w mocy.

(134) Dyrektywa 95/46/WE powinna zostać uchylona niniejszym rozporządzeniem. Decyzje przyjęte przez Komisję oraz zezwolenia wydane przez organy nadzorcze na podstawie dyrektywy 95/46/WE powinny jednak pozostać w mocy. Decyzje Komisji oraz zezwolenia organów nadzorczych dotyczące przekazywania danych osobowych do państw trzecich na mocy art. 41 ust. 8 powinny pozostawać w mocy w okresie przejściowym pięciu lat po wejściu w życie niniejszego rozporządzenia, chyba że zostaną zmienione, zastąpione lub uchylone przez Komisję przed upływem tego okresu.

Poprawka  96

Wniosek dotyczący rozporządzenia

Artykuł 2

Tekst proponowany przez Komisję

Poprawka

Zakres materialny

Zakres materialny

1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób w całości lub w części zautomatyzowany oraz innych rodzajów przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.

1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób w całości lub w części zautomatyzowany, niezależnie od metody przetwarzania, oraz innych rodzajów przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.

2. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

2. Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

a) w ramach działalności wykraczającej poza zakres prawa Unii, w szczególności dotyczącej bezpieczeństwa narodowego;

a) w ramach działalności wykraczającej poza zakres prawa Unii;

b) przez instytucje, organy i jednostki organizacyjne Unii;

 

c) przez państwa członkowskie w wykonywaniu działań wchodzących w zakres rozdziału 2 Traktatu o funkcjonowaniu Unii Europejskiej;

c) przez państwa członkowskie w wykonywaniu działań wchodzących w zakres tytułu V rozdziału 2 Traktatu o funkcjonowaniu Unii Europejskiej;

d) przez osobę fizyczną w celach innych niż zarobkowe w ramach własnych działań o charakterze czysto osobistym lub domowym;

d) przez osobę fizyczną w ramach działań o charakterze czysto osobistym lub domowym; odstępstwo to ma również zastosowanie do publikacji danych osobowych, gdy istnieją racjonalne podstawy, by oczekiwać, że dostęp do nich będzie miała jedynie ograniczona liczba osób;

e) przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania, albo wykonywania kar kryminalnych.

e) przez właściwe organy publiczne do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania, albo wykonywania sankcji karnych.

3. Niniejsze rozporządzenie pozostaje bez uszczerbku dla stosowania dyrektywy 2000/31/WE, w szczególności zasad odpowiedzialności usługodawców będących pośrednikami, o których mowa w art. 12-15 tej dyrektywy.

3. Niniejsze rozporządzenie pozostaje bez uszczerbku dla stosowania dyrektywy 2000/31/WE, w szczególności zasad odpowiedzialności usługodawców będących pośrednikami, o których mowa w art. 12-15 tej dyrektywy.

Poprawka  97

Wniosek dotyczący rozporządzenia

Artykuł 3

Tekst proponowany przez Komisję

Poprawka

Zakres terytorialny

Zakres terytorialny

1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w kontekście działalności prowadzonej w zakładzie administratora lub podmiotu przetwarzającego na terytorium Unii.

1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w kontekście działalności prowadzonej w zakładzie administratora lub podmiotu przetwarzającego na terytorium Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii, czy też nie.

2. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych podmiotów danych mających miejsce zamieszkania w Unii przez administratora niemającego siedziby w Unii, gdy przetwarzanie wiąże się z:

2. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych podmiotów danych w Unii przez administratora lub podmiot przetwarzający, którzy nie mają siedziby w Unii, gdy przetwarzanie wiąże się z:

a) oferowaniem towarów lub usług takim podmiotom danych w Unii, lub

a) oferowaniem towarów lub usług takim podmiotom danych w Unii, niezależnie od tego, czy wymaga się, by dokonały one płatności; lub

b) monitorowaniem ich zachowania.

b) monitorowaniem takich podmiotów danych.

3. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych przez administratora, który nie ma siedziby na terytorium Unii, lecz w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo krajowe państwa członkowskiego.

3. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych przez administratora, który nie ma siedziby na terytorium Unii, lecz w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo krajowe państwa członkowskiego.

Poprawka  98

Wniosek dotyczący rozporządzenia

Artykuł 4

Tekst proponowany przez Komisję

Poprawka

Definicje

Definicje

Do celów niniejszego rozporządzenia:

Do celów niniejszego rozporządzenia:

1) „podmiot danych” oznacza zidentyfikowaną osobę fizyczną lub osobę fizyczną, którą można zidentyfikować, bezpośrednio lub pośrednio, za pomocą wszelkich środków, które z rozsądnym prawdopodobieństwem mogą być użyte przez administratora lub inną osobę fizyczną bądź prawną, szczególnie przez odniesienie do numeru identyfikacyjnego, danych dotyczących lokalizacji, identyfikatora online lub przynajmniej jednego czynnika charakterystycznego dla fizycznej, fizjologicznej, genetycznej, umysłowej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby;

 

2) „dane osobowe” oznaczają wszelkie informacje dotyczące podmiotu danych;

2) „dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („podmiotu danych); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, w szczególności za pomocą takich danych identyfikujących, jak imię i nazwisko, numer identyfikacyjny, miejsce pobytu, niepowtarzalny identyfikator lub co najmniej jeden szczególny czynnik określający tożsamość fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową czy społeczną lub płciową tej osoby;

 

2a) „dane pseudonimiczne” oznaczają dane osobowe, których nie można przypisać konkretnemu podmiotowi danych bez użycia dodatkowych informacji, o ile takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie podmiotowi danych;

 

2b) „dane zaszyfrowane” oznaczają dane osobowe, które za pomocą technologicznych środków ochrony stały się nieczytelne dla każdego, kto nie jest uprawniony do dostępu do nich;

3) „przetwarzanie” oznacza każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptacja lub modyfikacja, pobieranie, uzyskiwanie wglądu, wykorzystywanie, ujawnianie poprzez przekazanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, usuwanie lub niszczenie;

3) „przetwarzanie” oznacza każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptacja lub modyfikacja, pobieranie, uzyskiwanie wglądu, wykorzystywanie, ujawnianie poprzez przekazanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, usuwanie lub niszczenie;

 

3a) „profilowanie” oznacza wszelką formę automatycznego przetwarzania danych mającego służyć ocenie niektórych aspektów osobistych tej osoby fizycznej lub też analizie bądź przewidzeniu zwłaszcza wyników w pracy, sytuacji ekonomicznej, miejsca przebywania, zdrowia, preferencji osobistych, wiarygodności lub zachowania tej osoby fizycznej;

4) „zbiór danych” oznacza każdy zorganizowany zestaw danych osobowych, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany lub rozproszony funkcjonalnie lub geograficznie;

4) „zbiór danych” oznacza każdy zorganizowany zestaw danych osobowych, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany lub rozproszony funkcjonalnie lub geograficznie;

5) „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę organizacyjną lub inny podmiot, który samodzielnie lub wspólnie z innymi organami ustala cele, warunki i sposoby przetwarzania danych osobowych; w przypadkach, w których cele, warunki i sposoby ustalane są prawem Unii lub państwa członkowskiego, administrator lub szczególne kryteria jego wyznaczania mogą zostać określone w prawie Unii lub państwa członkowskiego;

5) „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę organizacyjną lub inny podmiot, który samodzielnie lub wspólnie z innymi organami ustala cele i sposoby przetwarzania danych osobowych; w przypadkach, w których cele i sposoby ustalane są prawem Unii lub państwa członkowskiego, administrator lub szczególne kryteria jego wyznaczania mogą zostać określone w prawie Unii lub państwa członkowskiego;

6) „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

6) „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

7) „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny podmiot, któremu ujawnia się dane osobowe;

7) „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny podmiot, któremu ujawnia się dane osobowe;

 

7a) „strona trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub dowolny organ inny niż podmiot danych, administrator, podmiot przetwarzający oraz osoby, które – pod bezpośrednim zwierzchnictwem administratora lub podmiotu przetwarzającego – są upoważnione do przetwarzania danych;

8) „zgoda podmiotu danych” oznacza dobrowolne, szczególne, świadome i wyraźne oświadczenie woli, przez które podmiot danych, w drodze oświadczenia lub wyraźnego działania potwierdzającego, wyraża zgodę na przetwarzanie dotyczących go danych osobowych;

8) „zgoda podmiotu danych” oznacza dobrowolne, szczególne, świadome i wyraźne oświadczenie woli, przez które podmiot danych, w drodze oświadczenia lub wyraźnego działania potwierdzającego, wyraża zgodę na przetwarzanie dotyczących go danych osobowych;

9) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób;

9) „naruszenie ochrony danych osobowych” oznacza przypadkowe lub niezgodne z prawem zniszczenie, utratę, modyfikację, nieuprawnione ujawnienie lub dostęp do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób;

10) „dane genetyczne” oznaczają wszelkie dane dowolnego rodzaju dotyczące charakterystycznych cech osoby fizycznej, odziedziczonych lub nabytych na etapie wczesnego rozwoju prenatalnego;

10) „dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, wynikające z analizy próbki biologicznej danej osoby, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy wszelkich innych elementów umożliwiających pozyskanie równoważnych informacji;

11) „dane biometryczne” oznaczają wszelkie dane dotyczące cech fizycznych, fizjologicznych i behawioralnych danej osoby, które umożliwiają jej precyzyjną identyfikację, takie jak wizerunek twarzy lub dane daktyloskopijne;

11) „dane biometryczne” oznaczają wszelkie dane osobowe dotyczące cech fizycznych, fizjologicznych i behawioralnych danej osoby, które umożliwiają jej precyzyjną identyfikację, takie jak wizerunek twarzy lub dane daktyloskopijne;

12) „dane dotyczące zdrowia” oznaczają wszelkie informacje związane ze zdrowiem fizycznym lub psychicznym danej osoby lub ze świadczeniem usług zdrowotnych na jej rzecz;

12) „dane dotyczące zdrowia” oznaczają wszelkie dane osobowe związane ze zdrowiem fizycznym lub psychicznym danej osoby lub ze świadczeniem usług zdrowotnych na jej rzecz;

13) „główna siedziba” oznacza, jeśli chodzi o administratora, jego siedzibę w Unii, w której podejmowane są najważniejsze decyzje dotyczące celów, warunków i sposobów przetwarzania danych; jeśli decyzji dotyczących celów, warunków i sposobów przetwarzania danych osobowych nie podejmuje się w Unii, główną siedzibą jest miejsce, w którym odbywa się główna działalność w zakresie przetwarzania w kontekście działalności zakładu administratora w Unii. Jeśli chodzi o podmiot przetwarzający, „główna siedziba” oznacza miejsce, w którym znajduje się jego zarząd w Unii;

13) „główna siedziba” oznacza siedzibę przedsiębiorstwa lub grupy przedsiębiorstw – działających w charakterze administratora bądź też podmiotu przetwarzającego – w Unii, w której to siedzibie podejmowane są najważniejsze decyzje dotyczące celów, warunków i sposobów przetwarzania danych. Można brać pod uwagę m.in. następujące obiektywne kryteria: lokalizacja siedziby administratora lub podmiotu przetwarzającego; lokalizacja należącej do grupy przedsiębiorstw jednostki, która ze względu na pełnione funkcje zarządcze i obowiązki administracyjne jest w stanie najlepiej zająć się egzekwowaniem przepisów niniejszego rozporządzenia; lokalizacja, w której odbywa się skuteczne i faktyczne zarządzanie polegające na podejmowaniu decyzji dotyczących przetwarzania w drodze stabilnych rozwiązań;

14) „przedstawiciel” oznacza każdą osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, wyraźnie wyznaczoną przez administratora, która działa w miejsce administratora i do której organ nadzorczy lub inny podmiot w Unii mogą się zwrócić zamiast do administratora w kwestiach dotyczących obowiązków administratora wynikających z niniejszego rozporządzenia;

14) „przedstawiciel” oznacza każdą osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, wyraźnie wyznaczoną przez administratora, która reprezentuje administratora w kwestiach dotyczących obowiązków administratora wynikających z niniejszego rozporządzenia;

15) „przedsiębiorstwo” oznacza każdy podmiot prowadzący działalność gospodarczą, niezależne od jego formy prawnej, w tym w szczególności osoby fizyczne i prawne, partnerstwa lub zrzeszenia prowadzące regularną działalność gospodarczą;

15) „przedsiębiorstwo” oznacza każdy podmiot prowadzący działalność gospodarczą, niezależne od jego formy prawnej, w tym w szczególności osoby fizyczne i prawne, partnerstwa lub zrzeszenia prowadzące regularną działalność gospodarczą;

16) „grupa przedsiębiorstw” oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane;

16) „grupa przedsiębiorstw” oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane;

17) „wiążące reguły korporacyjne” oznaczają polityki ochrony danych osobowych, których przestrzegają administrator lub podmiot przetwarzający mający siedzibę na terytorium państwa członkowskiego Unii do celów przekazywania danych osobowych do administratora lub podmiotu przetwarzającego w przynajmniej jednym państwie trzecim w ramach grupy przedsiębiorstw;

17) „wiążące reguły korporacyjne” oznaczają zasady ochrony danych osobowych, których przestrzegają administrator lub podmiot przetwarzający mający siedzibę na terytorium państwa członkowskiego Unii do celów przekazywania danych osobowych do administratora lub podmiotu przetwarzającego w przynajmniej jednym państwie trzecim w ramach grupy przedsiębiorstw;

18) „dziecko” oznacza każdą osobę w wieku poniżej 18 lat;

18) „dziecko” oznacza każdą osobę w wieku poniżej 18 lat;

19) „organ nadzorczy” oznacza organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 46.

19) „organ nadzorczy” oznacza organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 46.

Poprawka  99

Wniosek dotyczący rozporządzenia

Artykuł 5

Tekst proponowany przez Komisję

Poprawka

Zasady dotyczące przetwarzania danych osobowych

Zasady dotyczące przetwarzania danych osobowych

1. Dane osobowe muszą być:

1. Dane osobowe :

a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty w odniesieniu do podmiotu danych;

a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty w odniesieniu do podmiotu danych (zgodność z prawem, uczciwość i przejrzystość);

b) zbierane w konkretnych, bezpośrednich i zgodnych z prawem celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;

b) zbierane w konkretnych, bezpośrednich i zgodnych z prawem celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (zasada celowości);

c) prawidłowe, właściwe i ograniczone do minimum niezbędnego w odniesieniu do celów, do których dane są przetwarzane; dane te są przetwarzane jedynie wtedy gdy i tylko przez okres w którym tych celów nie można spełnić przetwarzając informacje, które nie obejmują danych osobowych;

c) prawidłowe, właściwe i ograniczone do minimum niezbędnego w odniesieniu do celów, do których dane są przetwarzane; dane te są przetwarzane jedynie wtedy, gdy i tylko przez okres, w którym tych celów nie można spełnić, przetwarzając informacje, które nie obejmują danych osobowych (minimalizacja danych);

d) ścisłe i, w razie potrzeby, aktualne; należy podjąć wszelkie zasadne działania, by zapewnić niezwłoczne usunięcie lub poprawienie nieścisłych danych osobowych, z uwzględnieniem celów ich przetwarzania;

d) ścisłe i, w razie konieczności, aktualizowane; należy podjąć wszelkie zasadne działania, by zapewnić niezwłoczne usunięcie lub poprawienie nieścisłych danych osobowych, z uwzględnieniem celów ich przetwarzania (ścisłość);

e) przechowywane w formie umożliwiającej identyfikację podmiotów danych przez czas nie dłuższy niż jest to konieczne do celów, dla których dane są przetwarzane; dane osobowe mogą być przechowywane przez czas dłuższy pod warunkiem, że będą przetwarzane wyłącznie do celów dokumentacji, statystyki lub badań naukowych zgodnie z przepisami i warunkami, o których mowa w art. 83 oraz pod warunkiem prowadzania okresowej kontroli konieczności dalszego ich przechowywania;

e) przechowywane w formie umożliwiającej bezpośrednią lub pośrednią identyfikację podmiotów danych przez czas nie dłuższy niż jest to konieczne do celów, dla których dane są przetwarzane; dane osobowe mogą być przechowywane przez czas dłuższy pod warunkiem, że będą przetwarzane wyłącznie do celów dokumentacji, statystyki lub badań naukowych lub archiwizacji zgodnie z przepisami i warunkami, o których mowa w art. 83 i 83a, oraz pod warunkiem prowadzenia okresowej kontroli konieczności dalszego ich przechowywania, a także pod warunkiem, że w stosownych przypadkach przyjęte zostaną techniczne i organizacyjne środki służące ograniczeniu dostępu do danych wyłącznie do tych celów („minimalizacja przechowywania”);

 

ea) przetwarzane w sposób, który skutecznie umożliwia podmiotowi danych wykonywanie jego praw (skuteczność);

 

eb) przetwarzane w sposób zabezpieczający przed niedozwolonym lub nielegalnym przetwarzaniem i przypadkową utratą, zniszczeniem lub uszkodzeniem, z wykorzystaniem odpowiednich środków technicznych i organizacyjnych (integralność);

f) przetwarzane pod nadzorem i na odpowiedzialność administratora, który zapewnia i wykazuje zgodność każdej operacji przetwarzania z przepisami niniejszego rozporządzenia.

f) przetwarzane pod nadzorem i na odpowiedzialność administratora, który zapewnia i jest w stanie wykazać zgodność z przepisami niniejszego rozporządzenia (odpowiedzialność).

Poprawka       100

Wniosek dotyczący rozporządzenia

Artykuł 6

Tekst proponowany przez Komisję

Poprawka

Zgodność z prawem przetwarzania

Zgodność z prawem przetwarzania

1. Przetwarzanie danych osobowych jest zgodne z prawem, o ile ma zastosowanie co najmniej jeden z poniższych elementów:

1. Przetwarzanie danych osobowych jest zgodne z prawem, o ile ma zastosowanie co najmniej jeden z poniższych elementów:

a) podmiot danych wyraził zgodę na przetwarzanie swoich danych osobowych do jednego lub większej liczby konkretnych celów;

a) podmiot danych wyraził zgodę na przetwarzanie swoich danych osobowych do jednego lub większej liczby konkretnych celów;

 

b) przetwarzanie danych jest konieczne do wykonania umowy, której stroną jest podmiot danych, lub w celu podjęcia działań na żądanie podmiotu danych przed zawarciem umowy;

b) przetwarzanie danych jest konieczne do wykonania umowy, której stroną jest podmiot danych, lub w celu podjęcia działań na żądanie podmiotu danych przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest konieczne w celu ochrony żywotnych interesów podmiotów danych;

d) przetwarzanie jest konieczne w celu ochrony żywotnych interesów podmiotów danych;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub wykonania władzy publicznej powierzonej administratorowi;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub wykonania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest konieczne dla celów wynikających ze słusznych interesów realizowanych przez administratora, z wyjątkiem sytuacji, kiedy nadrzędny charakter ma interes podstawowych praw i wolności podmiotu danych, które wymagają ochrony danych osobowych, w szczególności gdy podmiotem danych jest dziecko. Przepisu tego nie stosuje się do przetwarzania realizowanego przez organy publiczne w wykonaniu ich zadań.

f) przetwarzanie jest konieczne dla celów wynikających z uzasadnionych interesów realizowanych przez administratora lub, w przypadku ujawnienia, strony trzeciej, której ujawniono dane, odpowiadających racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem, z wyjątkiem sytuacji, kiedy nadrzędny charakter w stosunku do takich interesów mają podstawowe prawa lub wolności podmiotu danych, wymagające ochrony danych osobowych. Przepisu tego nie stosuje się do przetwarzania realizowanego przez organy publiczne w wykonaniu ich zadań.

2. Przetwarzanie danych osobowych, konieczne do celów dokumentacji, statystyki lub badań naukowych, jest zgodne z prawem, z zastrzeżeniem warunków i gwarancji, o których mowa w art. 83.

2. Przetwarzanie danych osobowych, konieczne do celów dokumentacji, statystyki lub badań naukowych, jest zgodne z prawem, z zastrzeżeniem warunków i gwarancji, o których mowa w art. 83.

3. Podstawa przetwarzania, o której mowa w ust. 1 lit. c) i e), musi być przewidziana w:

3. Podstawa przetwarzania, o której mowa w ust. 1 lit. c) i e), musi być przewidziana w:

a) prawie Unii; lub

a) prawie Unii; lub

b) prawie państwa członkowskiego, któremu podlega administrator.

b) prawie państwa członkowskiego, któremu podlega administrator.

Prawo państwa członkowskiego musi realizować cel leżący w interesie publicznym lub musi być konieczne do ochrony praw i wolności innych osób, respektować istotę prawa do ochrony danych osobowych i być proporcjonalne do wyznaczonego słusznego celu.

Prawo państwa członkowskiego musi realizować cel leżący w interesie publicznym lub musi być konieczne do ochrony praw i wolności innych osób, respektować istotę prawa do ochrony danych osobowych i być proporcjonalne do wyznaczonego słusznego celu. W granicach niniejszego rozporządzenia prawo państwa członkowskiego może przewidywać szczegóły dotyczące legalności przetwarzania danych, szczególnie w kwestiach takich jak administratorzy danych, cele przetwarzania i zasada celowości, charakter danych i podmiotów danych, środki i procedury dotyczące przetwarzania, odbiorcy oraz okres przechowywania.

4. Jeśli cel dalszego przetwarzania nie jest zgodny z celem, dla którego zebrano dane osobowe, przetwarzanie musi opierać się na co najmniej jednej z podstaw prawnych przewidzianych w ust. 1 lit. a)-e). Ma to w szczególności zastosowanie do każdej zmiany ogólnych warunków umowy.

 

5. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania warunków, o których mowa w ust. 1 lit. f), dla różnych sektorów i sytuacji, w których przetwarza się dane, w tym jeśli chodzi o przetwarzanie danych osobowych dotyczących dziecka.

 

Poprawka  101

Wniosek dotyczący rozporządzenia

Artykuł 7

Tekst proponowany przez Komisję

Poprawka

Warunki udzielenia zgody

Warunki udzielenia zgody

1. Ciężar udowodnienia zgody podmiotu danych na przetwarzanie jego danych osobowych w określonych celach spoczywa na administratorze.

1. Gdy przetwarzanie odbywa się na podstawie zgody, ciężar udowodnienia zgody podmiotu danych na przetwarzanie jego danych osobowych w określonych celach spoczywa na administratorze.

2. Jeśli zgoda podmiotu danych ma być udzielona w kontekście pisemnego oświadczenia, które dotyczy także innej kwestii, wymóg udzielenia zgody musi zostać przedstawiony w sposób pozwalający wyraźnie odróżnić go od tej innej kwestii.

2. Jeśli zgoda podmiotu danych ma być udzielona w kontekście pisemnego oświadczenia, które dotyczy także innej kwestii, wymóg udzielenia zgody musi zostać przedstawiony w sposób pozwalający wyraźnie odróżnić go od tej innej kwestii. Przepisy dotyczące zgody podmiotu danych częściowo naruszające niniejsze rozporządzenie są całkowicie nieważne.

3. Podmiot danych ma prawo odwołać swoją zgodę w dowolnym momencie. Odwołanie zgody nie ma wpływu na zgodność z prawem przetwarzania opartego na zgodzie przed jej odwołaniem.

3. Niezależnie od innych podstaw prawnych przetwarzania, podmiot danych ma prawo odwołać swoją zgodę w dowolnym momencie. Odwołanie zgody nie ma wpływu na zgodność z prawem przetwarzania opartego na zgodzie przed jej odwołaniem. Wycofanie zgody musi być równie łatwe jak jej udzielenie. Administrator informuje podmiot danych, jeżeli wycofanie zgody może skutkować zakończeniem świadczenia usług lub ustaniem relacji z administratorem.

4. Zgoda nie stanowi podstawy prawnej przetwarzania w sytuacji poważnej nierówności między podmiotem danych a administratorem.

4. Zgoda dotyczy konkretnego celu i traci ważność, gdy cel przestaje istnieć lub z chwilą, gdy przetwarzanie danych osobowych nie jest już potrzebne do realizacji celu, dla którego dane te zostały początkowo zgromadzone. Realizacja umowy lub świadczenie usługi nie może być uzależnione od zgody na przetwarzanie danych, które nie są niezbędne do realizacji umowy lub świadczenia usługi zgodnie z art. 6 ust. 1 lit. b).

Poprawka       102

Wniosek dotyczący rozporządzenia

Artykuł 8

Tekst proponowany przez Komisję

Poprawka

Przetwarzanie danych osobowych dziecka

Przetwarzanie danych osobowych dziecka

1. Do celów niniejszego rozporządzenia, w odniesieniu do oferowania usług społeczeństwa informacyjnego bezpośrednio dziecku, przetwarzanie danych osobowych dziecka w wieku poniżej 13 lat jest zgodne z prawem, o ile zgodę na nie wydał lub pozwolił na nie rodzic lub opiekun dziecka. Administrator podejmuje racjonalne starania w celu uzyskania możliwej do zweryfikowania zgody, uwzględniając dostępną technologię.

1. Do celów niniejszego rozporządzenia, w odniesieniu do oferowania towarów lub usług bezpośrednio dziecku, przetwarzanie danych osobowych dziecka w wieku poniżej 13 lat jest zgodne z prawem, o ile zgodę na nie wydał lub pozwolił na nie rodzic lub opiekun prawny dziecka. Administrator podejmuje racjonalne starania w celu zweryfikowania takiej zgody, uwzględniając dostępną technologię, przy czym nie powoduje to przetwarzania danych niepotrzebnego do innych celów, wykraczającego poza cel wyrażonej zgody.

 

1a. Informacje przekazywane dzieciom, rodzicom i opiekunom prawnym w celu wyrażenia zgody, w tym o gromadzeniu i wykorzystywaniu danych osobowych przez administratora, powinny być podawane w jasnym języku dostosowanym do zamierzonych odbiorców.

2. Ustęp 1 nie wpływa na ogólne przepisy prawa umów państw członkowskich, takie jak przepisy dotyczące ważności, zawierania lub skutków umowy wobec dziecka.

2. Ustęp 1 nie wpływa na ogólne przepisy prawa umów państw członkowskich, takie jak przepisy dotyczące ważności, zawierania lub skutków umowy wobec dziecka.

3. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących sposobów uzyskania do zweryfikowania zgody, o której mowa w ust. 1. Wykonując to uprawnienie, Komisja rozważa szczególne środki dla mikroprzedsiębiorców oraz małych i średnich przedsiębiorców.

3. Europejskiej Radzie Ochrony Danych powierza się zadanie wydawania wytycznych, zaleceń i najlepszych praktyk dotyczących sposobów weryfikowania zgody, o której mowa w ust. 1, zgodnie z art. 66.

4. Komisja może ustanowić standardowe formularze dotyczące szczególnych form uzyskiwania możliwej do zweryfikowania zgody, o której mowa w ust. 1. Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

 

Poprawka  103

Wniosek dotyczący rozporządzenia

Artykuł 9

Tekst proponowany przez Komisję

Poprawka

Przetwarzanie szczególnych kategorii danych osobowych

Szczególne kategorie danych

1. Zakazuje się przetwarzania danych osobowych ujawniających rasę lub pochodzenie etniczne, poglądy polityczne, religię lub przekonania, przynależność do związków zawodowych oraz przetwarzania danych genetycznych lub danych dotyczących zdrowia lub seksualności, wyroków skazujących lub powiązanych środków zabezpieczających.

1. Zakazuje się przetwarzania danych osobowych ujawniających rasę lub pochodzenie etniczne, poglądy polityczne, religię lub światopogląd, orientację seksualną lub tożsamość płciową, przynależność do związków zawodowych i działalność w nich oraz przetwarzania danych genetycznych lub biometrycznych lub danych dotyczących zdrowia lub seksualności, sankcji administracyjnych, orzeczeń sądowych, popełnionych lub domniemanych przestępstw, wyroków skazujących lub powiązanych środków zabezpieczających.

2. Ustęp 1 nie ma zastosowania, w przypadku gdy:

2. Ustęp 1 nie ma zastosowania, jeżeli zachodzi jeden z poniższych warunków:

a) podmiot danych udzielił zgody na przetwarzanie tych danych osobowych, z zastrzeżeniem warunków określonych w art. 7 i 8, z wyjątkiem sytuacji, gdy prawo Unii lub prawo państwa członkowskiego przewiduje, że zakaz, o którym mowa w ust. 1, nie może być uchylony przez podmiot danych; lub

a) podmiot danych udzielił zgody na przetwarzanie tych danych osobowych w co najmniej jednym określonym celu, z zastrzeżeniem warunków określonych w art. 7 i 8, z wyjątkiem sytuacji, gdy prawo Unii lub prawo państwa członkowskiego przewiduje, że zakaz, o którym mowa w ust. 1, nie może być uchylony przez podmiot danych; lub

 

aa) przetwarzanie danych jest konieczne do realizacji lub wykonania umowy, której stroną jest podmiot danych, lub w celu podjęcia działań na życzenie podmiotu danych przed zawarciem umowy;

b) przetwarzanie danych jest konieczne do celów wypełniania obowiązków i wykonania szczególnych uprawnień administratora w dziedzinie prawa pracy, o ile jest to dozwolone przez prawo Unii lub prawo państwa członkowskiego przewidujące odpowiednie gwarancje; lub

b) przetwarzanie danych jest konieczne do celów wypełniania obowiązków i wykonania szczególnych uprawnień administratora w dziedzinie prawa pracy, o ile jest to dozwolone przez prawo Unii lub prawo państwa członkowskiego lub układy zbiorowe przewidujące odpowiednie gwarancje dotyczące praw podstawowych i interesów podmiotu danych, takie jak prawo do niedyskryminacji, z zastrzeżeniem warunków i gwarancji, o których mowa w art. 82; lub

c) przetwarzanie jest niezbędne w celu ochrony żywotnych interesów podmiotu danych lub innej osoby, w przypadku gdy podmiot danych nie jest fizycznie lub prawnie zdolny do wyrażenia zgody;

c) przetwarzanie jest niezbędne w celu ochrony żywotnych interesów podmiotu danych lub innej osoby, w przypadku gdy podmiot danych nie jest fizycznie lub prawnie zdolny do wyrażenia zgody;

d) przetwarzanie jest dokonywane w ramach zgodnej z prawem działalności prowadzonej z zachowaniem odpowiednich gwarancji przez fundację, stowarzyszenie lub inną niezarobkową instytucję o celach politycznych, filozoficznych, religijnych lub związkowych, pod warunkiem że przetwarzanie danych dotyczy wyłącznie członków lub byłych członków tej instytucji lub osób utrzymujących z nią stałe kontakty w związku z jej celami oraz że dane nie będą ujawniane osobom trzecim bez zgody podmiotów danych; lub

d) przetwarzanie jest dokonywane w ramach zgodnej z prawem działalności prowadzonej z zachowaniem odpowiednich gwarancji przez fundację, stowarzyszenie lub inną niezarobkową instytucję o celach politycznych, filozoficznych, religijnych lub związkowych, pod warunkiem że przetwarzanie danych dotyczy wyłącznie członków lub byłych członków tej instytucji lub osób utrzymujących z nią stałe kontakty w związku z jej celami oraz że dane nie będą ujawniane osobom trzecim bez zgody podmiotów danych; lub

e) przetwarzanie dotyczy danych osobowych, które zostały wyraźnie podane do publicznej wiadomości przez podmiot danych; lub

e) przetwarzanie dotyczy danych osobowych, które zostały wyraźnie podane do publicznej wiadomości przez podmiot danych; lub

f) przetwarzanie jest niezbędne do ustalania, realizacji lub ochrony roszczeń prawnych; lub

f) przetwarzanie jest niezbędne do ustalania, realizacji lub ochrony roszczeń prawnych; lub

g) przetwarzanie jest niezbędne do wykonania zadania w interesie publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie środki ochrony słusznych interesów podmiotu danych; lub

g) przetwarzanie jest niezbędne do wykonania zadania ze względów istotnego interesu publicznego, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, respektują istotę prawa do ochrony danych osobowych i przewidują odpowiednie środki ochrony praw podstawowych i interesów podmiotu danych; lub

h) przetwarzanie danych dotyczących zdrowia jest niezbędne w celu ochrony zdrowia i z zastrzeżeniem warunków i gwarancji, o których mowa w art. 81; lub

h) przetwarzanie danych dotyczących zdrowia jest niezbędne w celu ochrony zdrowia i z zastrzeżeniem warunków i gwarancji, o których mowa w art. 81; lub

i) przetwarzanie jest niezbędne do celów dokumentacji, statystyki lub badań naukowych, z zastrzeżeniem warunków i gwarancji, o których mowa w art. 83; lub

i) przetwarzanie jest niezbędne do celów dokumentacji, statystyki lub badań naukowych, z zastrzeżeniem warunków i gwarancji, o których mowa w art. 83; lub

 

ia) przetwarzanie jest niezbędne dla służb archiwistycznych i podlega warunkom i gwarancjom, o których mowa w art. 83a; lub

j) przetwarzanie danych dotyczących wyroków skazujących za przestępstwa lub powiązanych środków zabezpieczających odbywa się pod kontrolą oficjalnego organu lub przetwarzanie jest niezbędne dla wypełnienia obowiązku prawnego lub regulacyjnego, któremu podlega administrator, albo w celu wykonania zadania realizowanego w ważnym interesie publicznym, o ile jest to dozwolone na mocy prawa Unii lub prawa państwa członkowskiego przewidującego odpowiednie gwarancje. Kompletny rejestr wyroków skazujących za przestępstwa jest prowadzony wyłącznie pod nadzorem oficjalnego organu.

j) przetwarzanie danych dotyczących sankcji administracyjnych, orzeczeń sądowych, przestępstw, wyroków skazujących za przestępstwa lub powiązanych środków zabezpieczających odbywa się pod kontrolą oficjalnego organu lub przetwarzanie jest niezbędne dla wypełnienia obowiązku prawnego lub regulacyjnego, któremu podlega administrator, albo w celu wykonania zadania realizowanego w ważnym interesie publicznym, o ile jest to dozwolone na mocy prawa Unii lub prawa państwa członkowskiego przewidującego odpowiednie gwarancje dotyczące praw podstawowych i interesów podmiotu danych. Każdy rejestr wyroków skazujących za przestępstwa jest prowadzony wyłącznie pod nadzorem oficjalnego organu.

3. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów, warunków i odpowiednich gwarancji przetwarzania szczególnych kategorii danych osobowych, o których mowa w ust. 1, oraz wyjątków określonych w ust. 2.

3. Europejskiej Radzie Ochrony Danych powierza się zadanie wydawania wytycznych, zaleceń i najlepszych praktyk dotyczących przetwarzania szczególnych kategorii danych osobowych, o których mowa w ust. 1, oraz wyjątków określonych w ust. 2, zgodnie z art. 66.

Poprawka       104

Wniosek dotyczący rozporządzenia

Artykuł 10

Tekst proponowany przez Komisję

Poprawka

Jeśli dane przetwarzane przez administratora nie umożliwiają mu identyfikacji osoby fizycznej, administrator nie ma obowiązku uzyskania dodatkowych informacji w celu identyfikacji podmiotu danych wyłącznie ze względu na konieczność respektowania przepisu niniejszego rozporządzenia.

1. Jeśli dane przetwarzane przez administratora lub podmiot przetwarzający nie umożliwiają mu bezpośredniej ani pośredniej identyfikacji osoby fizycznej lub składają się wyłącznie z danych pseudonimicznych, administrator nie przetwarza ani nie uzyskuje dodatkowych informacji w celu identyfikacji podmiotu danych wyłącznie ze względu na konieczność respektowania przepisu niniejszego rozporządzenia.

 

2. Gdy administrator danych nie jest w stanie zastosować się do przepisu niniejszego rozporządzenia ze względu na ust. 1, administrator nie ma obowiązku stosowania się to tego konkretnego przepisu niniejszego rozporządzenia. Gdy w konsekwencji administrator danych nie jest w stanie zastosować się do życzenia podmiotu danych, odpowiednio informuje o tym podmiot danych.

Poprawka  105

Wniosek dotyczący rozporządzenia

Artykuł 10 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 10a

 

Ogólne zasady dotyczące praw podmiotów danych

 

1. Podstawą ochrony danych są jasne i jednoznaczne prawa podmiotów danych, które to prawa administrator danych musi respektować. Przepisy niniejszego rozporządzenia mają na celu wzmocnienie, doprecyzowanie, zagwarantowanie i, w stosownych przypadkach, skodyfikowanie tych praw.

 

2. Takie prawa obejmują m.in. przekazywanie jasnych i łatwo zrozumiałych informacji dotyczących kwestii takich, jak przetwarzanie danych osobowych podmiotu danych, prawo do dostępu do danych, ich korygowania i usuwania, prawo do otrzymywania danych, prawo do sprzeciwu wobec profilowania, prawo do wniesienia skargi do właściwego organu do spraw ochrony danych oraz do wszczęcia postępowania sądowego, a także prawo do rekompensaty i odszkodowania w związku z niezgodnymi z prawem operacjami przetwarzania. Zasadniczo takie prawa przysługują bezpłatnie. Administrator danych odpowiada na wnioski podmiotu danych w racjonalnym terminie.

Poprawka  106

Wniosek dotyczący rozporządzenia

Artykuł 11

Tekst proponowany przez Komisję

Poprawka

1. Administrator dysponuje przejrzystymi i łatwo dostępnymi politykami w zakresie przetwarzania danych osobowych i wykonywania praw przez podmioty danych.

1. Administrator dysponuje zwięzłymi, przejrzystymi, jasnymi i łatwo dostępnymi zasadami w zakresie przetwarzania danych osobowych i wykonywania praw przez podmioty danych.

2. Administrator przekazuje informacje i komunikaty dotyczące przetwarzania danych osobowych podmiotowi danych w czytelnej formie, w jasnym i prostym języku, dostosowane do potrzeb podmiotu danych, w szczególności w przypadku informacji adresowanych bezpośrednio do dziecka.

2. Administrator przekazuje informacje i komunikaty dotyczące przetwarzania danych osobowych podmiotowi danych w czytelnej formie, w jasnym i prostym języku, w szczególności w przypadku informacji adresowanych bezpośrednio do dziecka.

Poprawka  107

Wniosek dotyczący rozporządzenia

Artykuł 12

Tekst proponowany przez Komisję

Poprawka

1. Administrator ustanawia procedury udzielania informacji, o których mowa w art. 14 oraz wykonywania praw przez podmioty danych, o których mowa w art. 13 oraz art. 15-19. Administrator w szczególności zapewnia mechanizmy ułatwiające składanie wniosków o przeprowadzenie czynności, o których mowa w art. 13 oraz art. 15-19. Jeśli przetwarzanie danych odbywa się w sposób zautomatyzowany, administrator zapewnia także możliwość elektronicznego składania wniosków.

1. Jeśli przetwarzanie danych odbywa się w sposób zautomatyzowany, administrator zapewnia także możliwość elektronicznego składania wniosków, gdy to możliwe.

2. Administrator informuje podmiot danych, niezwłocznie i najpóźniej w ciągu miesiąca od dnia otrzymania wniosku, o tym, czy zostaną podjęte jakieś działania zgodnie z art. 13 oraz art. 15-19 i udziela żądanych informacji. Okres ten można przedłużyć o miesiąc, jeśli wiele podmiotów danych wykonuje swoje prawa a ich współpraca jest w racjonalnym zakresie niezbędna, by zapobiec konieczności podejmowania przez administratora niepotrzebnych i nieproporcjonalnych wysiłków. Informacji udziela się na piśmie. Jeśli podmiot danych składa wniosek w formie elektronicznej, informacje także przekazywane są w formie elektronicznej, chyba że podmiot danych zażąda informacji w innej formie.

2. Administrator informuje podmiot danych, bez zbędnej zwłoki i najpóźniej w ciągu 40 dni kalendarzowych od dnia otrzymania wniosku, o tym, czy zostaną podjęte jakieś działania zgodnie z art. 13 oraz art. 15-19 i udziela żądanych informacji. Okres ten można przedłużyć o miesiąc, jeśli wiele podmiotów danych wykonuje swoje prawa a ich współpraca jest w racjonalnym zakresie niezbędna, by zapobiec konieczności podejmowania przez administratora niepotrzebnych i nieproporcjonalnych wysiłków. Informacji udziela się na piśmie, a administrator może, w miarę możliwości, zapewnić zdalny dostęp do bezpiecznego systemu, który zapewniłby podmiotowi danych bezpośredni dostęp do jego danych osobowych. Jeśli podmiot danych składa wniosek w formie elektronicznej, informacje także przekazywane są w miarę możliwości w formie elektronicznej, chyba że podmiot danych zażąda informacji w innej formie.

3. Jeśli administrator odmawia podjęcia działania na wniosek podmiotu danych, informuje on ten podmiot o powodach odmowy oraz możliwości zgłoszenia skargi organowi nadzorczemu i skorzystania z sądowego środka ochrony prawnej.

3. Jeśli administrator nie podejmuje działania na wniosek podmiotu danych, informuje on ten podmiot o powodach niepodjęcia działania oraz o możliwości zgłoszenia skargi organowi nadzorczemu i skorzystania z sądowego środka ochrony prawnej.

4. Przekazanie informacji i podjęcie działań na podstawie wniosków, o których mowa w ust. 1, są wolne od opłat. Jeśli wnioski są wyraźnie przesadne, w szczególności ze względu na ich powtarzający się charakter, administrator może pobrać opłatę za przekazanie wnioskowanych informacji lub podjęcie żądanego działania lub też może uchylić się od podjęcia żądanego działania. W takim przypadku na administratorze spoczywa ciężar udowodnienia wyraźnie przesadnego charakteru wniosku.

4. Przekazanie informacji i podjęcie działań na podstawie wniosków, o których mowa w ust. 1, są wolne od opłat. Jeśli wnioski są wyraźnie przesadne, w szczególności ze względu na ich powtarzający się charakter, administrator może pobrać uzasadnioną opłatę uwzględniającą koszty administracyjne przekazania informacji lub podjęcia żądanego działania. W takim przypadku na administratorze spoczywa ciężar udowodnienia wyraźnie przesadnego charakteru wniosku.

5. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i warunków wyraźnie przesadnego charakteru wniosków oraz pobierania opłat, o których mowa w ust. 4.

 

6. Komisja może ustanowić standardowe formularze i określić standardowe procedury dotyczące informacji, o których mowa w ust. 2, w tym jeśli chodzi o format elektroniczny. Wykonując to uprawnienie, Komisja podejmuje właściwe środki dla mikroprzedsiębiorców oraz małych i średnich przedsiębiorców. Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

 

Poprawka       108

Wniosek dotyczący rozporządzenia

Artykuł 13

Tekst proponowany przez Komisję

Poprawka

Prawa odbiorców

Obowiązek powiadomienia w przypadku poprawienia lub usunięcia danych

Administrator informuje o wszelkich operacjach poprawienia lub usunięcia dokonanych zgodnie z art. 16 i art. 17 każdego odbiorcę, któremu ujawniono dane, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

Administrator informuje o wszelkich operacjach poprawienia lub usunięcia dokonanych zgodnie z art. 16 i art. 17 każdego odbiorcę, któremu przekazano dane, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje podmiot danych o tych odbiorcach, jeżeli podmiot danych zwróci się o to.

Poprawka  109

Wniosek dotyczący rozporządzenia

Artykuł 13 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 13a

 

Znormalizowana polityka informacyjna

 

1. Gdy dane osobowe dotyczące podmiotu danych są gromadzone, przed przekazaniem informacji na mocy art. 14 administrator udziela temu podmiotowi danych następujących informacji:

 

a) czy dane osobowe są gromadzone dłużej niż przez okres niezbędny do realizacji każdorazowego szczególnego celu przetwarzania;

 

b) czy dane osobowe są zatrzymywane dłużej niż przez okres niezbędny do realizacji każdorazowego szczególnego celu przetwarzania;

 

c) czy dane osobowe są przetwarzane w innych celach niż cele, do których zostały zgromadzone;

d) czy dane osobowe są przekazywane komercyjnym stronom trzecim;

 

e) czy dane osobowe są sprzedawane lub wynajmowane;

 

f) czy dane osobowe są przechowywane w zaszyfrowanej formie.

 

2. Elementy, o których mowa w ust. 1, przedstawia się zgodnie z załącznikiem X w formie uporządkowanej tabeli, przy użyciu tekstu i symboli, w następujących trzech kolumnach:

 

a) pierwsza kolumna przedstawia formy graficzne symbolizujące te elementy;

 

b) druga kolumna zawiera zasadnicze informacje opisowe w odniesieniu do tych elementów;

 

c) trzecia kolumna przedstawia formy graficzne wskazujące, czy dany element występuje.

 

3. Informacje, o których mowa w ust. 1 i 2, przedstawia się w sposób widoczny i łatwy do odczytania oraz w języku łatwo zrozumiałym dla konsumentów z państw członkowskich, którzy otrzymują informacje. Jeżeli elementy są przedstawione w formie elektronicznej, muszą nadawać się do odczytu maszynowego.

 

4. Nie udostępnia się dodatkowych elementów. Szczegółowe wyjaśnienia lub dodatkowe uwagi dotyczące elementów, o których mowa w ust. 1, mogą być dostarczone razem z innymi informacjami wymaganymi na mocy art. 14.

 

5. Komisja jest uprawniona do przyjęcia aktów delegowanych zgodnie z art. 86, po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, w celu doprecyzowania elementów, o których mowa w ust. 1, i ich prezentacji, jak określono w ust. 2 i załączniku 1.

Poprawka  110

Wniosek dotyczący rozporządzenia

Artykuł 14

Tekst proponowany przez Komisję

Poprawka

Informacje przekazywane podmiotowi danych

Informacje przekazywane podmiotowi danych

1. W przypadku zbierania danych osobowych odnoszących się do podmiotu danych, administrator udziela temu podmiotowi co najmniej następujących informacji:

1. W przypadku zbierania danych osobowych odnoszących się do podmiotu danych, po przekazaniu informacji na mocy art. 13a administrator udziela temu podmiotowi następujących informacji:

a) tożsamość i dane kontaktowe administratora oraz ewentualnie przedstawiciela administratora i inspektora ochrony danych;

a) tożsamość i dane kontaktowe administratora oraz ewentualnie przedstawiciela administratora i inspektora ochrony danych;

b) cele przetwarzania danych, do których dane są przeznaczone, w tym postanowienia umów i warunków ogólnych, jeśli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. b) oraz słuszne interesy realizowane przez administratora, jeśli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f);

b) cele przetwarzania danych, do których dane są przeznaczone, oraz informacje dotyczące bezpieczeństwa przetwarzania danych osobowych, w tym postanowienia umów i warunków ogólnych, jeśli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. b), oraz, w stosownych przypadkach, informacje o tym, w jaki sposób wdrażane i spełniane są wymogi art. 6 ust. 1 lit. f);

c) okres przechowywania danych osobowych;

c) okres przechowywania danych osobowych lub, gdy nie jest to możliwe, kryteria służące określeniu tego okresu;

d) istnienie prawa do wystąpienia do administratora o uzyskanie wglądu do danych, poprawienie ich lub usunięcie danych osobowych odnoszących się do podmiotu danych lub prawo wniesienia sprzeciwu wobec przetwarzania tych danych osobowych;

d) istnienie prawa do wystąpienia do administratora o uzyskanie wglądu do danych, poprawienie ich lub usunięcie danych osobowych odnoszących się do podmiotu danych, prawa do wniesienia sprzeciwu wobec przetwarzania tych danych osobowych lub prawa do otrzymania danych;

e) prawa do złożenia organowi nadzorczemu skargi oraz dane kontaktowe organu nadzorczego;

e) prawo do złożenia organowi nadzorczemu skargi oraz dane kontaktowe organu nadzorczego;

f) odbiorcy lub kategorie odbiorców danych osobowych;

f) odbiorcy lub kategorie odbiorców danych osobowych;

g) w stosownych przypadkach, zamiar przekazania danych przez administratora do państwa trzeciego lub organizacji międzynarodowej oraz informacje na temat poziomu ochrony zapewnianego przez to państwo trzecie lub organizację międzynarodową przez odniesienie do decyzji Komisji stwierdzającej odpowiedni poziom ochrony;

g) w stosownych przypadkach, zamiar przekazania danych przez administratora do państwa trzeciego lub organizacji międzynarodowej oraz istnienie lub brak decyzji Komisji stwierdzającej odpowiedni poziom ochrony lub, w przypadku przekazywania, o którym mowa w art. 42, art. 43 lub art. 44 ust. 1 lit. h), odniesienie do odpowiednich gwarancji i środków umożliwiających uzyskanie kopii danych;

 

ga) w stosownych przypadkach, informacje o istnieniu profilowania, środków opartych na profilowaniu oraz przewidywanym wpływie profilowania na podmiot danych;

 

gb) treściwe informacje o zasadach automatycznego przetwarzania;

h) wszelkie dalsze informacje potrzebne do zagwarantowania rzetelnego przetwarzania danych w stosunku do podmiotu danych, uwzględniając konkretne okoliczności, w których odbywa się zbieranie danych.

h) wszelkie dalsze informacje potrzebne do zagwarantowania rzetelnego przetwarzania danych w stosunku do podmiotu danych, uwzględniając konkretne okoliczności, w których odbywa się zbieranie lub przetwarzanie danych, w szczególności istnienie pewnych działań i operacji związanych z przetwarzaniem, w przypadku których ocena skutków dotycząca danych osobowych wykazała, że może zachodzić wysokie ryzyko;

 

ha) w stosownych przypadkach informacje, czy dane osobowe były przekazywane organom publicznym w okresie ostatnich 12 kolejnych miesięcy.

2. W przypadku zbierania danych osobowych od podmiotu danych, administrator, poza przekazaniem informacji, o których mowa w ust. 1, informuje podmiot danych o tym, czy przekazanie danych osobowych jest obowiązkowe czy dobrowolne, a także o ewentualnych skutkach nieprzekazania tych danych.

2. W przypadku zbierania danych osobowych od podmiotu danych, administrator, poza przekazaniem informacji, o których mowa w ust. 1, informuje podmiot danych o tym, czy przekazanie danych osobowych jest obowiązkowe czy fakultatywne, a także o ewentualnych skutkach nieprzekazania tych danych.

 

2a. Przy podejmowaniu decyzji co do dalszych informacji, które są niezbędne do rzetelnego przetwarzania na mocy ust. 1 lit. h), administratorzy danych uwzględniają wszelkie odpowiednie wytyczne zgodnie z art. 38.

3. W przypadku zbierania danych osobowych nie od podmiotu danych, administrator, poza przekazaniem informacji, o których mowa w ust. 1, informuje podmiot danych o źródle pochodzenia tych danych osobowych.

3. W przypadku zbierania danych osobowych nie od podmiotu danych, administrator, poza przekazaniem informacji, o których mowa w ust. 1, informuje podmiot danych o źródle pochodzenia tych konkretnych danych osobowych. Jeżeli dane osobowe pochodzą ze źródeł publicznie dostępnych, można umieścić ogólne wskazanie.

4. Administrator udziela informacji, o których mowa w ust. 1, 2 i 3:

4. Administrator udziela informacji, o których mowa w ust. 1, 2 i 3:

a) w momencie uzyskania danych osobowych od podmiotu danych; lub

a) w momencie uzyskania danych osobowych od podmiotu danych lub, jeśli nie jest to wykonalne, bez zbędnej zwłoki; lub

 

aa) na wniosek organu, organizacji lub zrzeszenia, o których mowa w art. 73;

b) jeżeli dane osobowe nie są zbierane od podmiotu danych, w momencie ich rejestrowania lub w rozsądnym terminie po zebraniu danych, uwzględniając szczególne okoliczności, w których dane są zbierane lub przetwarzane w inny sposób lub jeśli przewiduje się ujawnienie innemu odbiorcy, najpóźniej w momencie pierwszego ujawnienia danych.

b) jeżeli dane osobowe nie są zbierane od podmiotu danych, w momencie ich rejestrowania lub w rozsądnym terminie po zebraniu danych, uwzględniając szczególne okoliczności, w których dane są zbierane lub przetwarzane w inny sposób lub jeśli przewiduje się przekazanie innemu odbiorcy, najpóźniej w momencie pierwszego przekazania lub, jeżeli dane mają być wykorzystywane do komunikacji z odnośnym podmiotem danych, najpóźniej w momencie pierwszego kontaktu z tym podmiotem danych; lub

 

ba) tylko na żądanie, gdy dane są przetwarzane przez małe przedsiębiorstwo lub mikroprzedsiębiorstwo, które przetwarza dane osobowe jedynie w ramach działalności pobocznej.

5. Ustępów 1-4 nie stosuje się, w przypadku gdy:

5. Ustępów 1-4 nie stosuje się, w przypadku gdy:

a) podmiot danych dysponuje już informacjami, o których mowa w ust. 1, 2 i 3; lub

a) podmiot danych dysponuje już informacjami, o których mowa w ust. 1, 2 i 3; lub

b) dane nie są zbierane od podmiotu danych a udzielenie tych informacji okazało się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; lub

b) dane są przetwarzane do celów historycznych bądź statystycznych lub do celów badań naukowych, z zastrzeżeniem warunków i gwarancji, o których mowa w art. 81 i 83, nie są zbierane od podmiotu danych, a udzielenie tych informacji okazało się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, zaś administrator opublikował informacje do pobrania przez każdego; lub

c) dane nie są zbierane od podmiotu danych a rejestrowanie lub ujawnianie ich jest wyraźnie przewidziane przez przepisy prawa; lub

c) dane nie są zbierane od podmiotu danych, a rejestrowanie lub ujawnianie ich jest wyraźnie przewidziane przez przepisy prawa obowiązujące administratora, które zapewniają odpowiednie środki ochrony uzasadnionych interesów podmiotu danych, z uwzględnieniem ryzyka związanego z przetwarzaniem oraz charakterem danych osobowych; lub

d) dane nie są zbierane od podmiotu danych a udzielenie tych informacji naruszy prawa i wolności osób trzecich określone w prawie Unii lub prawie państw członkowskich, zgodnie z art. 21.

d) dane nie są zbierane od podmiotu danych, a udzielenie tych informacji naruszy prawa i wolności innych osób fizycznych określone w prawie Unii lub prawie państw członkowskich, zgodnie z art. 21;

 

da) dane te są przetwarzane w ramach wykonywania zawodu przez osobę lub powierzane lub ujawniane osobie, która podlega tajemnicy zawodowej regulowanej przez Unię lub państwo członkowskie lub ustawowemu obowiązkowi zachowania tajemnicy, chyba że zostały uzyskane bezpośrednio od podmiotu danych.

6. W przypadku, o którym mowa w ust. 5 lit. b), administrator zapewnia odpowiednie środki mające na celu ochronę słusznych interesów podmiotu danych.

6. W przypadku, o którym mowa w ust. 5 lit. b), administrator zapewnia odpowiednie środki mające na celu ochronę praw lub uzasadnionych interesów podmiotu danych.

7. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów kategorii odbiorców, o których mowa w ust. 1 lit. f), wymogów dotyczących zawiadomienia o potencjalnym dostępie, o których mowa w ust. 1 lit. g), kryteriów przekazywania dalszych informacji, o których mowa w ust. 1 lit. h), niezbędnych dla niektórych sektorów i w niektórych sytuacjach oraz warunków i odpowiednich gwarancji w przypadku wyjątków określonych w ust. 5 lit. b). Wykonując to uprawnienie, Komisja podejmuje właściwe środki dla mikroprzedsiębiorców oraz małych i średnich przedsiębiorców

 

8. Komisja może ustanowić standardowe formularze do celów udzielania informacji, o których mowa w ust. 1-3, uwzględniając, w stosownych przypadkach, szczególny charakter i potrzeby różnych sektorów oraz sytuacji przetwarzania danych. Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

 

Poprawka  111

Wniosek dotyczący rozporządzenia

Artykuł 15

Tekst proponowany przez Komisję

Poprawka

Prawo dostępu przysługujące podmiotowi danych

Prawo do dostępu i do uzyskiwania danych przysługujące podmiotowi danych

1. Podmiot danych ma prawo do uzyskania od administratora, na wniosek złożony w dowolnym momencie, potwierdzenia, czy przetwarzane są dane osobowe odnoszące się do niego. W przypadku przetwarzania takich danych osobowych administrator przekazuje następujące informacje:

1. Z zastrzeżeniem art. 12 ust. 4 podmiot danych ma prawo do uzyskania od administratora, na wniosek złożony w dowolnym momencie, potwierdzenia, czy przetwarzane są dane osobowe odnoszące się do niego, oraz następujących, jasno i prosto sformułowanych informacji.

a) cele przetwarzania;

a) cele przetwarzania dla każdej kategorii danych osobowych;

b) kategorie przedmiotowych danych osobowych;

b) kategorie przedmiotowych danych osobowych;

c) odbiorcy lub kategorie odbiorców, którym dane osobowe mają być lub zostały ujawnione, w szczególności odbiorcy w państwach trzecich;

c) odbiorcy, którym dane osobowe mają być lub zostały ujawnione, w tym odbiorcy w państwach trzecich;

d) okres przechowywania danych osobowych;

d) okres przechowywania danych osobowych lub, gdy nie jest to możliwe, kryteria służące określeniu tego okresu;

e) istnienie prawa do żądania od administratora poprawienia lub usunięcia danych osobowych odnoszących się do podmiotu danych lub prawa wniesienia sprzeciwu wobec przetwarzania tych danych osobowych;

e) istnienie prawa do żądania od administratora poprawienia lub usunięcia danych osobowych odnoszących się do podmiotu danych lub prawa wniesienia sprzeciwu wobec przetwarzania tych danych osobowych;

f) prawa do złożenia organowi nadzorczemu skargi oraz dane kontaktowe organu nadzorczego;

f) prawo do złożenia organowi nadzorczemu skargi oraz dane kontaktowe organu nadzorczego;

g) przekazanie danych osobowych podlegających przetwarzaniu i wszelkich dostępnych informacji o ich źródle;

 

h) znaczenie i przewidywane skutki takiego przetwarzania, co najmniej w przypadku środków, o których mowa w art. 20.

h) znaczenie i przewidywane skutki takiego przetwarzania.

 

ha) treściwe informacje o zasadach automatycznego przetwarzania;

 

hb) bez uszczerbku dla art. 21, w razie ujawnienia danych osobowych organowi publicznemu na wniosek organu publicznego – potwierdzenie faktu, że taki wniosek miał miejsce.

2. Podmiot danych ma prawo do uzyskania od administratora informacji na temat danych osobowych podlegających przetwarzaniu. Jeśli podmiot danych składa wniosek w formie elektronicznej, informacje także przekazywane są w formie elektronicznej, chyba że podmiot danych zażąda informacji w innej formie.

2. Podmiot danych ma prawo do uzyskania od administratora informacji na temat danych osobowych podlegających przetwarzaniu. Jeśli podmiot danych składa wniosek w formie elektronicznej, informacje także przekazywane są w ustrukturyzowanym formacie elektronicznym, chyba że podmiot danych zażąda informacji w innej formie. Bez uszczerbku dla art. 10, administrator przyjmuje wszelkie racjonalne środki, aby upewnić się, że osoba zwracająca się o udzielenie dostępu do danych jest podmiotem danych.

 

2a. Jeśli podmiot danych dostarczył dane osobowe oraz jeśli dane osobowe są przetwarzane w sposób elektroniczny, podmiot danych ma prawo do uzyskania od administratora kopii dostarczonych danych osobowych w formacie elektronicznym i interoperacyjnym, który jest powszechnie używany i umożliwia dalsze wykorzystywanie przez podmiot danych, bez przeszkód ze strony administratora, z którego baz dane osobowe zostają wycofane. Gdy jest to technicznie wykonalne i możliwe, dane są przekazywane bezpośrednio od administratora do administratora na wniosek podmiotu danych.

 

2b. Niniejszy artykuł nie narusza obowiązku usunięcia danych, jeśli ich przechowywanie nie jest już konieczne zgodnie z art. 5 akapit pierwszy lit. e).

 

2c. Prawo dostępu zgodnie z ust. 1 i 2 nie ma zastosowania w odniesieniu do danych w rozumieniu art. 14 ust. 5 lit. da), chyba że podmiot danych jest uprawniony do zniesienia odnośnej tajemnicy służbowej i podejmuje odpowiednie działania.

3. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących informowania podmiotu danych o treści danych osobowych, o których mowa w ust. 1 lit. g).

 

4. Komisja może opracować standardowe formularze i procedury w zakresie wnioskowania o dostęp do informacji, o których mowa w ust. 1 oraz udzielania dostępu do tych informacji, w tym w celu weryfikacji tożsamości podmiotu danych oraz przekazywania danych osobowych podmiotowi danych, uwzględniając szczególny charakter i potrzeby różnych sektorów oraz sytuacji przetwarzania danych. Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

 

Poprawka  112

Wniosek dotyczący rozporządzenia

Artykuł 17

Tekst proponowany przez Komisję

Poprawka

Prawo do bycia zapomnianym i do usunięcia danych

Prawo do usunięcia danych

1. Podmiot danych ma prawo do uzyskania od administratora usunięcia danych osobowych odnoszących się do niego oraz zaprzestania dalszego rozpowszechniania tych danych, zwłaszcza w odniesieniu do danych osobowych, które zostały udostępnione przez podmiot danych, kiedy był on dzieckiem, jeśli zastosowanie ma jedna z następujących przesłanek:

1. Podmiot danych ma prawo do uzyskania od administratora i podmiotu przetwarzającego usunięcia danych osobowych odnoszących się do niego oraz zaprzestania dalszego rozpowszechniania tych danych, a także do uzyskania od stron trzecich usunięcia wszelkich linków do tych danych lub ich kopii lub replikacji, jeśli zastosowanie ma jedna z następujących przesłanek:

a) dane nie są już potrzebne do celów, do których były zebrane lub przetwarzane w inny sposób;

a) dane nie są już potrzebne do celów, do których były zebrane lub przetwarzane w inny sposób;

b) podmiot danych odwołuje zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a), lub gdy minął okres przechowywania, na który wyrażono zgodę oraz jeśli nie ma już podstawy prawnej przetwarzania danych;

b) podmiot danych odwołuje zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a), lub gdy minął okres przechowywania, na który wyrażono zgodę oraz jeśli nie ma już podstawy prawnej przetwarzania danych;

c) podmiot danych sprzeciwia się przetwarzaniu danych osobowych zgodnie z art. 19;

c) podmiot danych sprzeciwia się przetwarzaniu danych osobowych zgodnie z art. 19;

 

ca) sąd lub organ regulacyjny z siedzibą w Unii orzekł ostatecznie i kategorycznie, że przedmiotowe dane muszą zostać usunięte;

d) przetwarzanie danych nie jest zgodne z niniejszym rozporządzeniem z innych powodów.

d) dane zostały przetworzone niezgodnie z prawem.

 

1a. Przepisy ust. 1 stosuje się w zależności od tego, czy administrator może zweryfikować, że osoba zwracająca się o usunięcie jest podmiotem danych.

2. W przypadku podania przez administratora, o którym mowa w ust. 1, danych osobowych do wiadomości publicznej, podejmuje on wszelkie uzasadnione kroki, w tym środki techniczne, w odniesieniu do danych, za których publikację odpowiada, by poinformować osoby trzecie przetwarzające takie dane, iż podmiot danych wnioskuje o usunięcie linków do danych, kopii lub replikacji tych danych osobowych. Jeśli administrator upoważnił osobę trzecią do publikacji danych osobowych, uważa się go za odpowiedzialnego za tę publikację.

2. W przypadku podania przez administratora, o którym mowa w ust. 1, danych osobowych do wiadomości publicznej bez uzasadnienia opartego o art. 6 ust. 1, podejmuje on wszelkie racjonalne kroki w celu doprowadzenia do usunięcia tych danych, w tym przez osoby trzecie, bez uszczerbku dla przepisów art. 77. Administrator informuje podmiot danych, w miarę możliwości, o działaniu podjętym przez dane strony trzecie.

3. Administrator niezwłocznie usuwa dane, z wyjątkiem w zakresie, w jakim zatrzymanie danych osobowych jest niezbędne:

3. Administrator oraz w stosownych przypadkach, strona trzecia, niezwłocznie usuwa dane, chyba że zatrzymanie danych osobowych jest niezbędne:

a) do wykonywania prawa wolności wypowiedzi zgodnie z art. 80;

a) do wykonywania prawa wolności wypowiedzi zgodnie z art. 80;

b) w celu realizacji interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 81;

b) w celu realizacji interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 81;

c) do celów dokumentacji, statystyki i badań naukowych zgodnie z art. 83;

c) do celów dokumentacji, statystyki i badań naukowych zgodnie z art. 83;

d) dla wypełnienia spoczywającego na administratorze obowiązku prawnego w zakresie zatrzymania danych osobowych, nałożonego przez prawo Unii lub prawo państwa członkowskiego; przepisy prawa państwo członkowskie spełniają cel polegający na realizacji celu publicznego, szanują istotę prawa do ochrony danych osobowych oraz są proporcjonalne do wyznaczonego zgodnego z prawem celu;

d) dla wypełnienia spoczywającego na administratorze obowiązku prawnego w zakresie zatrzymania danych osobowych, nałożonego przez prawo Unii lub prawo państwa członkowskiego; przepisy prawa państwo członkowskie spełniają cel polegający na realizacji celu publicznego, szanują prawo do ochrony danych osobowych oraz są proporcjonalne do wyznaczonego zgodnego z prawem celu;

e) w przypadkach określonych w ust. 4.

e) w przypadkach określonych w ust. 4.

4. Zamiast usuwania, administrator ogranicza przetwarzanie danych osobowych, jeśli:

4. Zamiast usuwania, administrator ogranicza przetwarzanie danych osobowych w ten sposób, że nie podlegają one normalnemu dostępowi do danych ani operacjom przetwarzania i nie mogą już być zmieniane, jeśli:

a) podmiot danych kwestionuje ich ścisłość, przez czas pozwalający administratorowi na sprawdzenie ścisłości danych;

a) podmiot danych kwestionuje ich ścisłość, przez czas pozwalający administratorowi na sprawdzenie ścisłości danych;

b) administrator nie potrzebuje już danych osobowych do wykonania swojego zadania, ale muszą być one przechowywane do celów dowodowych;

b) administrator nie potrzebuje już danych osobowych do wykonania swojego zadania, ale muszą być one przechowywane do celów dowodowych;

c) przetwarzanie jest niezgodne z prawem i podmiot danych sprzeciwia się ich usunięciu, wnioskując w zamian o ograniczenie ich wykorzystywania;

c) przetwarzanie jest niezgodne z prawem i podmiot danych sprzeciwia się ich usunięciu, wnioskując w zamian o ograniczenie ich wykorzystywania;

 

ca) sąd lub organ regulacyjny z siedzibą w Unii orzekł ostatecznie i kategorycznie, że przedmiotowe dane muszą zostać ograniczone;

d) podmiot danych wnioskuje o przekazanie danych osobowych do innego automatycznego systemu przetwarzania zgodnie z art. 18 ust. 2.

d) podmiot danych wnioskuje o przekazanie danych osobowych do innego automatycznego systemu przetwarzania zgodnie z art. 15 ust. 2a.

 

da) dany szczególny rodzaj technologii przechowywania nie pozwala na usunięcie i został wprowadzony przez wejściem w życie niniejszego rozporządzenia.

5. Dane osobowe, o których mowa w ust. 4, mogą, z wyjątkiem przechowywania, być przetwarzane wyłącznie do celów dowodowych, bądź też za zgodą podmiotu danych, bądź w celu ochrony praw innej osoby fizycznej lub prawnej bądź w celu realizacji interesu publicznego.

5. Dane osobowe, o których mowa w ust. 4, mogą, z wyjątkiem przechowywania, być przetwarzane wyłącznie do celów dowodowych, bądź też za zgodą podmiotu danych, bądź w celu ochrony praw innej osoby fizycznej lub prawnej bądź w celu realizacji interesu publicznego.

6. Jeżeli przetwarzanie danych osobowych jest ograniczone na mocy ust. 4, administrator informuje podmiot danych przed zniesieniem ograniczenia dotyczącego przetwarzania.

6. Jeżeli przetwarzanie danych osobowych jest ograniczone na mocy ust. 4, administrator informuje podmiot danych przed zniesieniem ograniczenia dotyczącego przetwarzania.

7. Administrator wdraża mechanizmy służące zapewnieniu przestrzegania terminów usunięcia danych osobowych lub okresowego przeglądu dokonywanego w celu ustalenia potrzeby przechowywania danych.

 

8. W przypadku usunięcia danych, administrator nie przetwarza w inny sposób tych danych osobowych.

8. W przypadku usunięcia danych, administrator nie przetwarza w inny sposób tych danych osobowych.

 

8a. Administrator wdraża mechanizmy służące zapewnieniu przestrzegania terminów usunięcia danych osobowych lub okresowego przeglądu dokonywanego w celu ustalenia potrzeby przechowywania danych.

9. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania:

9. Komisja jest uprawniona do przyjmowania, po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, aktów delegowanych zgodnie z art. 86 w celu doprecyzowania:

a) kryteriów i wymogów stosowania ust. 1 w poszczególnych sektorach oraz w szczególnych sytuacjach przetwarzania danych;

a) kryteriów i wymogów stosowania ust. 1 w poszczególnych sektorach oraz w szczególnych sytuacjach przetwarzania danych;

b) warunków usuwania linków do danych, kopii lub replikacji danych osobowych z publicznie dostępnych usług łączności, o których mowa w ust. 2;

b) warunków usuwania linków do danych, kopii lub replikacji danych osobowych z publicznie dostępnych usług łączności, o których mowa w ust. 2;

c) kryteriów i warunków ograniczania przetwarzania danych osobowych, o których mowa w ust. 4.

c) kryteriów i warunków ograniczania przetwarzania danych osobowych, o których mowa w ust. 4.

Poprawka  113

Wniosek dotyczący rozporządzenia

Artykuł 18

Tekst proponowany przez Komisję

Poprawka

Prawo przenoszenia danych

skreślony

1. Podmiot danych ma prawo, jeśli dane osobowe są przetwarzane w sposób elektroniczny oraz w zorganizowanym i powszechnie używanym formacie, do uzyskania od administratora kopii danych podlegających przetwarzaniu w formacie elektronicznym i zorganizowanym, który jest powszechnie używany i umożliwia dalsze wykorzystywanie przez podmiot danych.

 

2. Jeżeli podmiot danych przekazał dane osobowe a przetwarzanie opiera się na zgodzie lub umowie, podmiot danych ma prawo do przekazania tych danych osobowych i innych informacji przez siebie przekazanych i przechowywanych w systemie automatycznego przetwarzania danych, do innego systemu, w powszechnie używanym formacie elektronicznym, bez przeszkód ze strony administratora, z którego baz dane osobowe zostają wycofane.

 

3. Komisja może opracować format elektroniczny, o którym mowa w ust. 1 oraz techniczne standardy, sposoby i procedury przekazywania danych osobowych na mocy ust. 2. Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

 

Poprawka  114

Wniosek dotyczący rozporządzenia

Artykuł 19

Tekst proponowany przez Komisję

Poprawka

Prawo wniesienia sprzeciwu

Prawo wniesienia sprzeciwu

1. Podmiot danych ma prawo, z przyczyn dotyczących jego szczególnej sytuacji, w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych osobowych opartego na art. 6 ust. 1 lit. d), e) i f), chyba że administrator wykaże ważne i uzasadnione podstawy przetwarzania, które mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności podmiotu danych.

1. Podmiot danych ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych osobowych opartego na art. 6 ust. 1 lit. d) i e), chyba że administrator wykaże ważne i uzasadnione podstawy przetwarzania, które mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności podmiotu danych.

2. Jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, podmiot danych ma prawo nieodpłatnie wnieść sprzeciw wobec przetwarzania jego danych osobowych do takich celów marketingowych. O prawie tym należy wyraźnie poinformować podmiot danych w zrozumiały sposób, tak by informację tę można było łatwo odróżnić od innych informacji.

2. Jeżeli przetwarzanie danych osobowych opiera się na art. 6 ust. 1 lit. f), podmiot danych ma prawo, w dowolnej chwili i bez dodatkowego uzasadnienia, nieodpłatnie wnieść sprzeciw, ogólnie lub w odniesieniu do dowolnego konkretnego celu. wobec przetwarzania jego danych osobowych.

 

2a. Podmiot danych jest wyraźnie informowany o prawie, o którym mowa w ust. 2, w zrozumiały sposób i w zrozumiałej formie, w jasnym i prostym języku, dostosowanym do potrzeb podmiotu danych, w szczególności w przypadku informacji kierowanych specjalnie do dziecka, przy czym informacje te można łatwo odróżnić od innych informacji.

 

2b. W kontekście korzystania z usług społeczeństwa informacyjnego i niezależnie od dyrektywy 2002/58/WE, prawo do sprzeciwu może być wykonywane za pomocą metod automatycznych z wykorzystaniem technicznego standardu, który umożliwia podmiotowi danych jasne wyrażenie woli.

3. W przypadku podtrzymania sprzeciwu na mocy ust. 1 i 2, administrator nie może wykorzystywać ani w inny sposób przetwarzać przedmiotowych danych osobowych,

3. W przypadku podtrzymania sprzeciwu na mocy ust. 1 i 2 administrator nie może wykorzystywać ani w inny sposób przetwarzać przedmiotowych danych osobowych w celach określonych w sprzeciwie.

(Ostatnie zdanie ust. 2 w tekście Komisji przeniesiono do ust. 2a w poprawce Parlamentu.)

 

Poprawka  115

Wniosek dotyczący rozporządzenia

Artykuł 20

Tekst proponowany przez Komisję

Poprawka

Środki oparte na profilowaniu

Profilowanie

1. Każda osoba fizyczna ma prawo nie podlegać środkowi, który wywołuje skutki prawne dotyczące tej osoby fizycznej lub ma istotny wpływ na tę osobę fizyczną, a który opiera się wyłącznie na automatycznym przetwarzaniu danych mającym służyć ocenie niektórych aspektów osobistych tej osoby fizycznej lub też analizie bądź przewidzeniu zwłaszcza wyników w pracy, sytuacji ekonomicznej, miejsca przebywania, zdrowia, preferencji osobistych, wiarygodności lub zachowania tej osoby fizycznej.

1. Bez uszczerbku dla przepisów art. 6, każda osoba fizyczna ma prawo wyrazić sprzeciw wobec profilowania zgodnie z art. 19. Podmiot danych jest bardzo wyraźnie informowany o prawie do wyrażenia sprzeciwu wobec profilowania.

2. Z zastrzeżeniem innych przepisów niniejszego rozporządzenia, dana osoba może zostać poddana jednemu ze środków, o których mowa w ust. 1, jedynie wtedy gdy przetwarzanie:

2. Z zastrzeżeniem innych przepisów niniejszego rozporządzenia, dana osoba może zostać poddana profilowaniu, które prowadzi do środków wywołujących skutki prawne dotyczące podmiotu danych lub ma podobnie istotny wpływ na interesy, prawa lub wolności tego podmiotu danych, jedynie wtedy, gdy przetwarzanie:

a) odbywa się w trakcie zawierania lub wykonania umowy, jeśli wniosek w sprawie zawarcia lub wykonania umowy złożony przez podmiot danych został zrealizowany lub jeśli przewidziano właściwe środki w celu zabezpieczenia słusznych interesów podmiotu danych, jak np. prawo do uzyskania interwencji ze strony człowieka; lub

a) jest niezbędne w celu zawarcia lub wykonania umowy, jeśli wniosek w sprawie zawarcia lub wykonania umowy złożony przez podmiot danych został zrealizowany, pod warunkiem że przewidziano właściwe środki w celu zabezpieczenia uzasadnionych interesów podmiotu danych; lub

b) jest wyraźnie dozwolone przez prawo Unii lub państwa członkowskiego, które ustanawia również właściwe środki w celu zabezpieczenia słusznych interesów podmiotu danych; lub

b) jest wyraźnie dozwolone przez prawo Unii lub państwa członkowskiego, które ustanawia również właściwe środki w celu zabezpieczenia uzasadnionych interesów podmiotu danych;

c) odbywa się na podstawie zgody podmiotu danych, z zastrzeżeniem warunków określonych w art. 7 oraz właściwych gwarancji.

c) odbywa się na podstawie zgody podmiotu danych, z zastrzeżeniem warunków określonych w art. 7 oraz właściwych gwarancji.

3. Automatyczne przetwarzanie danych osobowych, które ma służyć ocenie niektórych aspektów osobistych osoby fizycznej, nie opiera się jedynie na szczególnych kategoriach danych osobowych, o których mowa w art. 9.

3. Zakazuje się profilowania, które skutkuje dyskryminacją osób ze względu na ich rasę lub pochodzenie etniczne, poglądy polityczne, religię bądź przekonania, przynależność do związków zawodowych, orientację seksualną bądź tożsamość płciową lub skutkuje środkami mającymi taki efekt. Administrator prowadzi skuteczną ochronę przed ewentualną dyskryminacją wynikającą z profilowania. Profilowanie nie opiera się jedynie na szczególnych kategoriach danych osobowych, o których mowa w art. 9.

4. W przypadkach o których mowa w ust. 2, informacje, które ma przekazać administrator na mocy art. 14, obejmują informacje dotyczące istnienia przetwarzania w drodze środka takiego jak ten, o którym mowa w ust. 1 oraz przewidywanego wpływu tego przetwarzania na podmiot danych.

 

5. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i warunków odpowiednich środków służących zabezpieczeniu słusznych interesów podmiotu danych, o których mowa w ust. 2.

5. Profilowanie, które prowadzi do środków wywołujących skutki prawne dotyczące podmiotu danych lub ma podobnie istotny wpływ na interesy, prawa lub wolności tego podmiotu danych, nie opiera się wyłącznie lub głównie na automatycznym przetwarzaniu i obejmuje ocenę ze strony człowieka, w tym wyjaśnienie decyzji podjętej po takiej ocenie. Odpowiednie środki służące zabezpieczeniu uzasadnionych interesów podmiotu danych, o których mowa w ust. 2, obejmują prawo do otrzymania oceny dokonanej przez człowieka oraz wyjaśnienie decyzjom podjętej po takiej ocenie.

 

5a. Europejskiej Radzie Ochrony Danych powierza się zadanie wydawania wytycznych, zaleceń i najlepszych praktyk zgodnie z art. 66 ust. 1 lit. b) w celu doprecyzowania kryteriów i warunków dotyczących profilowania zgodnie z ust. 2.

Poprawka  116

Wniosek dotyczący rozporządzenia

Artykuł 21

Tekst proponowany przez Komisję

Poprawka

Ograniczenia

Ograniczenia

1. Unia lub państwo członkowskie mogą, w drodze środka ustawodawczego, ograniczyć zakres obowiązków i praw przewidzianych w art. 5 lit. a)-e), art. 11-20 i art. 32, gdy takie ograniczenie stanowi konieczny i proporcjonalny środek w demokratycznym społeczeństwie, służący:

1. Unia lub państwo członkowskie mogą, w drodze środka ustawodawczego, ograniczyć zakres obowiązków i praw przewidzianych w art. 11–19 i art. 32, gdy takie ograniczenie spełnia jasno określony cel leżący w interesie publicznym, respektuje istotę prawa do ochrony danych osobowych, jest proporcjonalne do uzasadnionego wyznaczonego celu i respektuje podstawowe prawa i interesy podmiotu danych oraz stanowi konieczny i proporcjonalny środek w demokratycznym społeczeństwie, służący wprowadzeniu gwarancji w kwestiach takich jak:

a) zagwarantowaniu bezpieczeństwa publicznego;

a) bezpieczeństwo publiczne;

b) zapewnieniu zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania;

b) zapobieganie przestępstwom, prowadzenie dochodzeń w ich sprawie, wykrywanie ich lub ściganie;

c) zabezpieczeniu innych interesów publicznych Unii lub państwa członkowskiego, w szczególności ważnego interesu gospodarczego lub finansowego Unii lub państwa członkowskiego, w tym kwestii pieniężnych, budżetowych i podatkowych oraz ochrony stabilności i integralności rynku;

c) sprawy podatkowe;

d) zapewnieniu zapobiegania naruszeniom zasad etyki w zawodach podlegających regulacji, prowadzenia dochodzeń w tych sprawach, wykrywania i ścigania tych naruszeń;

d) zapobieganie naruszeniom zasad etyki w zawodach podlegających regulacji, prowadzenie dochodzeń w tych sprawach, wykrywanie i ściganie tych naruszeń;

e) zapewnieniu funkcji kontrolnych, inspekcyjnych i regulacyjnych związanych, nawet sporadycznie, z wykonywaniem władzy publicznej w przypadkach, o których mowa w lit. a), b) c) i d);

e) funkcje kontrolne, inspekcyjne i regulacyjne w ramach wykonywania obowiązków właściwej władzy publicznej w przypadkach, o których mowa w lit. a), b) c) i d);

f) ochronie podmiotu danych lub praw i wolności innych osób.

f) ochrona podmiotu danych lub praw i wolności innych osób.

2. Środek ustawodawczy, o którym mowa w ust. 1, zawiera przepisy szczególne dotyczące przynajmniej celów przetwarzania oraz wyznaczenia administratora.

2. Środek ustawodawczy, o którym mowa w ust. 1, musi stanowić konieczny i proporcjonalny środek w demokratycznym społeczeństwie oraz zawiera przepisy szczególne dotyczące przynajmniej:

 

a) celów przetwarzania;

 

b) wyznaczenia administratora;

 

c) szczególnych celów i środków przetwarzania;

 

d) gwarancji mających na celu zapobieżenie nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu;

 

e) prawa podmiotu danych do otrzymania powiadomienia o danym ograniczeniu.

 

2a. Środki ustawodawcze, o których mowa w ust. 1, nie pozwalają prywatnym administratorom na zatrzymywanie dodatkowych danych innych niż dane ściśle niezbędne do realizacji pierwotnego celu ani nie nakładają na nich takiego obowiązku.

(Ostatnie słowa ust. 2 w tekście Komisji przeniesiono do lit. a) i b) w poprawce Parlamentu.)

Poprawka  117

Wniosek dotyczący rozporządzenia

Artykuł 22

Tekst proponowany przez Komisję

Poprawka

Odpowiedzialność administratora

Odpowiedzialność i rozliczalność administratora

1. Administrator przyjmuje polityki i realizuje odpowiednie środki w celu zapewnienia, by przetwarzanie danych osobowych odbywało się zgodnie z niniejszym rozporządzeniem oraz wykazania tej zgodności.

1. Administrator przyjmuje odpowiednie zasady i realizuje odpowiednie i możliwe do wykazania środki techniczne i organizacyjne, aby zapewnić, by przetwarzanie danych osobowych odbywało się zgodnie z niniejszym rozporządzeniem, oraz być w stanie wykazać tę zgodność w przejrzysty sposób, uwzględniając najnowsze osiągnięcia techniczne, charakter przetwarzania danych osobowych, kontekst, zakres i cele przetwarzania, ryzyko dla praw i wolności podmiotów danych oraz rodzaj organizacji, zarówno podczas określania sposobów przetwarzania, jak i podczas samego przetwarzania.

 

1a. Uwzględniając najnowsze osiągnięcia techniczne oraz koszty wdrożenia, administrator podejmuje wszelkie racjonalne kroki w celu wdrożenia zasad i procedur zgodności, które stale respektują niezależne wybory dokonane przez podmioty danych. Te zasady zgodności są poddawane przeglądowi co najmniej co dwa lata i w razie konieczności aktualizowane.

2. Środki przewidziane w ust. 1 obejmują w szczególności:

 

a) prowadzenie dokumentacji zgodnie z art. 28;

 

b) realizację wymogów bezpieczeństwa danych ustanowionych w art. 30;

 

c) dokonywanie oceny skutków w zakresie ochrony danych zgodnie z art. 33;

 

d) spełnianie wymogu uprzedniego uzyskania zezwolenia organu nadzorczego lub uprzedniej konsultacji z tym organem zgodnie z art. 34 ust. 1 i 2;

 

e) wyznaczenie inspektora ochrony danych zgodnie z art. 35 ust. 1.

 

3. Administrator wdraża mechanizmy służące zapewnieniu weryfikacji skuteczności środków, o których mowa w ust. 1 i 2. Jeśli jest to proporcjonalne, weryfikacja ta przeprowadzona jest przez niezależnych audytorów wewnętrznych lub zewnętrznych.

3. Administrator jest w stanie wykazać odpowiedniość i skuteczność środków, o których mowa w ust. 1 i 2. Każde regularne ogólne sprawozdanie z działalności administratora, jak np. obowiązkowe sprawozdania spółek publicznych, zawiera opis zasad i środków, o których mowa w ust. 1.

 

3a. Administrator ma prawo do przekazywania danych osobowych w obrębie Unii w ramach grupy przedsiębiorstw, której administrator jest częścią, gdy takie przetwarzanie jest niezbędne ze względu na uzasadnione administracyjne cele wewnętrzne między powiązanymi obszarami biznesowymi grupy przedsiębiorstw oraz gdy odpowiedni poziom ochrony danych, a także interesy podmiotów danych są zabezpieczone wewnętrznymi przepisami dotyczącymi ochrony danych lub równoważnymi kodeksami postępowania, o których mowa w art. 38.

4. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu określenia dalszych kryteriów i wymogów dotyczących właściwych środków, o których mowa w ust. 1, innych niż te omówione w ust. 2, warunków mechanizmów weryfikacji i audytu, o których mowa w ust. 3, a także kryteriów proporcjonalności zgodnie z ust. 3, oraz rozważenia szczególnych środków dla mikroprzedsiębiorców oraz małych i średnich przedsiębiorców.

 

Poprawka  118

Wniosek dotyczący rozporządzenia

Artykuł 23

Tekst proponowany przez Komisję

Poprawka

Uwzględnienie ochrony danych już w fazie projektowania oraz ochrona danych jako opcja domyślna

Uwzględnienie ochrony danych już w fazie projektowania oraz ochrona danych jako opcja domyślna

1. Uwzględniając najnowsze osiągnięcia techniczne oraz koszty wdrożenia, administrator, zarówno w momencie ustalania środków niezbędnych do przetwarzania, jak i w momencie samego przetwarzania, wdraża odpowiednie środki i procedury techniczne i organizacyjne, tak by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia oraz gwarantowało ochronę praw podmiotu danych.

1. Uwzględniając najnowsze osiągnięcia techniczne, obecny stan wiedzy technicznej, najlepsze praktyki w skali międzynarodowej oraz ryzyko, z jakim wiąże się przetwarzanie danych, administrator i ewentualny podmiot przetwarzający, zarówno w momencie ustalania celów i środków niezbędnych do przetwarzania, jak i w momencie samego przetwarzania, wdraża odpowiednie środki i procedury techniczne i organizacyjne, tak by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia oraz gwarantowało ochronę praw podmiotu danych, w szczególności w odniesieniu do zasad określonych w art. 5. Ochrona danych już w fazie projektowania powinna w szczególności uwzględniać cały cykl zarządzania danymi osobowymi od ich zebrania, przez przetwarzanie, do ich usunięcia, systematycznie skupiając się na całościowych gwarancjach proceduralnych odnoszących się do dokładności, poufności, integralności, bezpieczeństwa fizycznego i usunięcia danych osobowych. Jeśli administrator przeprowadził ocenę skutków w zakresie ochrony danych zgodnie z art. 33, jej wyniki uwzględnia się przy opracowywaniu wspomnianych środków i procedur.

 

1a. Aby wspierać jej powszechne wdrożenie w różnych sektorach gospodarki, ochrona danych już w fazie projektowania jest warunkiem wstępnym w zamówieniach publicznych zgodnie z dyrektywą 2004/18/WE Parlamentu Europejskiego i Rady1, a także zgodnie z dyrektywą 2004/17/WE Parlamentu Europejskiego i Rady2 (dyrektywą sektorową).

2. Administrator wdraża mechanizmy służące zapewnieniu, by domyślnie przetwarzane były jedynie te dane osobowe, które są niezbędne dla realizacji każdorazowego szczególnego celu przetwarzania oraz by w szczególności nie były one zbierane lub zatrzymywane dłużej niż przez okres niezbędny do realizacji tych celów, zarówno jeśli chodzi o ilość danych, jak i okres ich przechowywania. Mechanizmy te zapewniają w szczególności, by dane osobowe nie były domyślnie udostępniane nieograniczonej liczbie osób.

2. Administrator zapewnia, by domyślnie przetwarzane były jedynie te dane osobowe, które są niezbędne dla realizacji każdorazowego szczególnego celu przetwarzania oraz by w szczególności nie były one zbierane, zatrzymywane lub rozpowszechniane dłużej niż przez okres niezbędny do realizacji tych celów, zarówno jeśli chodzi o ilość danych, jak i okres ich przechowywania. Mechanizmy te zapewniają w szczególności, by dane osobowe nie były domyślnie udostępniane nieograniczonej liczbie osób oraz by podmioty danych były w stanie kontrolować rozpowszechnianie swoich danych osobowych.

3. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu określenia dalszych kryteriów i wymogów dotyczących właściwych środków i mechanizmów, o których mowa w ust. 1 i 2, w szczególności wymogów w zakresie uwzględnienia ochrony danych już w fazie projektowania w odniesieniu do sektorów, produktów i usług.

 

4. Komisja może ustanowić standardy techniczne dotyczące wymogów ustanowionych w ust. 1 i 2. Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

 

 

1 Dyrektywa 2004/18/WE Parlamentu Europejskiego i Rady z dnia 31 marca 2004 r. w sprawie koordynacji procedur udzielania zamówień publicznych na roboty budowlane, dostawy i usługi (Dz.U. L 134 z 30.4.2004, s. 114).

2 Dyrektywa 2004/17/WE Parlamentu Europejskiego i Rady z dnia 31 marca 2004 r. koordynująca procedury udzielania zamówień publicznych przez podmioty działające w sektorach gospodarki wodnej, energetyki, transportu i usług pocztowych (Dz.U. L 134 z 30.4.2004, s. 1).

Poprawka  119

Wniosek dotyczący rozporządzenia

Artykuł 24

Tekst proponowany przez Komisję

Poprawka

Współadministratorzy

Współadministratorzy

Jeśli administrator określa cele, warunki i środki przetwarzania danych osobowych wspólnie z innymi administratorami, współadministratorzy danych ustalają zakres odpowiedzialności za zgodność z obowiązkami wynikającymi z niniejszego rozporządzenia spoczywającej na każdym z nich, w szczególności jeśli chodzi o procedury i mechanizmy wykonania praw podmiotu danych, w drodze wspólnych ustaleń.

Jeśli kilku administratorów wspólnie określa cele i środki przetwarzania danych osobowych, współadministratorzy danych ustalają zakres odpowiedzialności za zgodność z obowiązkami wynikającymi z niniejszego rozporządzenia spoczywającej na każdym z nich, w szczególności jeśli chodzi o procedury i mechanizmy wykonania praw podmiotu danych, w drodze wspólnych ustaleń. Porozumienie należycie odzwierciedla odpowiednie faktyczne role współadministratorów i relacje z podmiotami danych, a istotna treść porozumienia jest udostępniana podmiotowi danych. W przypadku braku jasności co do odpowiedzialności administratorzy ponoszą solidarną odpowiedzialność.

Poprawka  120

Wniosek dotyczący rozporządzenia

Artykuł 25

Tekst proponowany przez Komisję

Poprawka

Przedstawiciele administratorów nie mających siedziby w Unii

Przedstawiciele administratorów nie mających siedziby w Unii

1. W sytuacji, o której mowa w art. 3 ust. 2, administrator wyznacza swojego przedstawiciela na terytorium Unii.

1. W sytuacji, o której mowa w art. 3 ust. 2, administrator wyznacza swojego przedstawiciela na terytorium Unii.

2. Obowiązku tego nie stosuje się do:

2. Obowiązku tego nie stosuje się do:

a) administratora mającego siedzibę w państwie trzecim, jeśli Komisja zdecydowała, iż dane państwo trzecie zapewnia odpowiedni poziom ochrony zgodnie z art. 41; lub

a) administratora mającego siedzibę w państwie trzecim, jeśli Komisja zdecydowała, iż dane państwo trzecie zapewnia odpowiedni poziom ochrony zgodnie z art. 41; lub

b) przedsiębiorstwa zatrudniającego mniej niż 250 osób; lub

b) administratora, który przetwarza dane osobowe odnoszące się do mniej niż 5000 podmiotów danych w dowolnym okresie kolejnych 12 miesięcy i nie przetwarza szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, danych dotyczących lokalizacji ani danych dotyczących dzieci lub pracowników w wielkoskalowych zbiorach danych; lub

c) organu lub podmiotu publicznego; lub

c) organu lub podmiotu publicznego; lub

d) administratora jedynie sporadycznie oferującego towary lub usługi podmiotom danych mającym miejsce zamieszkania na terytorium Unii.

d) administratora jedynie sporadycznie oferującego towary lub usługi podmiotom danych w Unii, chyba że przetwarzanie danych osobowych dotyczy szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, danych dotyczących lokalizacji ani danych dotyczących dzieci lub pracowników w wielkoskalowych zbiorach danych;

3. Przedstawiciel ma siedzibę w jednym z państw członkowskich, w którym mają miejsce zamieszkania podmioty danych i których dane osobowe są przetwarzane w związku z oferowaniem im towarów lub których zachowanie jest monitorowane.

3. Przedstawiciel ma siedzibę w jednym z państw członkowskich, w którym odbywa się oferowanie towarów lub usług podmiotom danych lub ich monitorowanie.

4. Wyznaczenie przedstawiciela przez administratora pozostaje bez uszczerbku dla postępowań sądowych, które można by wszcząć przeciwko samemu administratorowi.

4. Wyznaczenie przedstawiciela przez administratora pozostaje bez uszczerbku dla postępowań sądowych, które można by wszcząć przeciwko samemu administratorowi.

Poprawka  121

Wniosek dotyczący rozporządzenia

Artykuł 26

Tekst proponowany przez Komisję

Poprawka

Podmiot przetwarzający

Podmiot przetwarzający

1. Jeśli operacja przetwarzania jest realizowana w imieniu administratora, administrator wybiera podmiot przetwarzający dający wystarczające gwarancje wdrożenia odpowiednich środków i procedur technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia i gwarantowało ochronę praw podmiotów danych, w szczególności jeśli chodzi o techniczne środki bezpieczeństwa i środki organizacyjne regulujące przetwarzanie, które ma być prowadzone, oraz zapewnia zgodność z tym środkami.

1. Jeśli przetwarzanie jest realizowane w imieniu administratora, administrator wybiera podmiot przetwarzający dający wystarczające gwarancje wdrożenia odpowiednich środków i procedur technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia i gwarantowało ochronę praw podmiotów danych, w szczególności jeśli chodzi o techniczne środki bezpieczeństwa i środki organizacyjne regulujące przetwarzanie, które ma być prowadzone, oraz zapewnia zgodność z tym środkami.

2. Przetwarzanie przez podmiot przetwarzający jest regulowane umową lub innym aktem prawnym wiążącym podmiot przetwarzający z administratorem i stanowiącym w szczególności, że podmiot przetwarzający:

2. Przetwarzanie przez podmiot przetwarzający jest regulowane umową lub innym aktem prawnym wiążącym podmiot przetwarzający z administratorem. Administrator i podmiot przetwarzający dysponują swobodą ustalenia ról i zadań każdej ze stron zgodnie z wymogami niniejszego rozporządzenia oraz postanawiają, że podmiot przetwarzający:

a) działa wyłącznie na polecenie administratora, w szczególności gdy przekazywanie danych osobowych jest zakazane;

a) przetwarza dane osobowe wyłącznie na polecenie administratora, chyba że prawo Unii lub prawo państwa członkowskiego stanowi inaczej;

b) zatrudnia wyłącznie personel, który zobowiązał się do zachowania poufności lub na którym spoczywa ustawowy obowiązek zachowania poufności;

b) zatrudnia wyłącznie personel, który zobowiązał się do zachowania poufności lub na którym spoczywa ustawowy obowiązek zachowania poufności;

c) podejmuje wszelkie wymagane środki na mocy art. 30;

c) podejmuje wszelkie wymagane środki na mocy art. 30;

d) zatrudnia inny podmiot przetwarzający jedynie za uprzednią zgodą administratora;

d) określa warunki zatrudnienia innego podmiotu przetwarzającego jedynie za uprzednią zgodą administratora, chyba że określono inaczej;

e) o ile to możliwe ze względu na charakter przetwarzania, opracowuje w porozumieniu z administratorem niezbędne techniczne i organizacyjne wymogi wykonania przez administratora spoczywającego na nim obowiązku odpowiedzi na wniosek dotyczących wykonania przez podmiot danych praw ustanowionych w rozdziale III;

e) o ile to możliwe ze względu na charakter przetwarzania, opracowuje w porozumieniu z administratorem właściwe i istotne techniczne i organizacyjne wymogi wykonania przez administratora spoczywającego na nim obowiązku odpowiedzi na wniosek dotyczących wykonania przez podmiot danych praw ustanowionych w rozdziale III;

f) pomaga administratorowi zapewnić zgodność z obowiązkami określonymi w art. 30-34;

f) pomaga administratorowi zapewnić zgodność z obowiązkami określonymi w art. 30-34, uwzględniając charakter przetwarzania oraz informacje dostępne dla podmiotu przetwarzającego;

g) przekazuje całość wyników administratorowi po zakończeniu przetwarzania i nie przetwarza danych osobowych w inny sposób;

g) zwraca całość wyników administratorowi po zakończeniu przetwarzania, nie przetwarza danych osobowych w inny sposób i niszczy istniejące kopie, chyba że prawodawstwo Unii lub państwa członkowskiego wymaga przechowywania danych;

h) udostępnia administratorowi i organowi nadzorczemu wszelkie informacje niezbędne dla kontroli zgodności z obowiązkami określonymi w tym artykule.

h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania zgodności z obowiązkami określonymi w tym artykule i zezwala na inspekcje w terenie;

3. Administrator i podmiot przetwarzający sporządzają pisemną dokumentację zaleceń administratora i obowiązków podmiotu przetwarzającego, o których mowa w ust. 2.

3. Administrator i podmiot przetwarzający sporządzają pisemną dokumentację zaleceń administratora i obowiązków podmiotu przetwarzającego, o których mowa w ust. 2.

 

3a. Wystarczające gwarancje, o których mowa w ust. 1, mogą zostać wykazane przez przystąpienie do kodeksów postępowania lub do mechanizmów certyfikacji zgodnie z art. 38 lub 39 niniejszego rozporządzenia.

4. Jeśli podmiot przetwarzający przetwarza dane osobowe inne, niż te, których przetwarzanie zlecił administrator, podmiot przetwarzający jest uważany za administratora w zakresie tego przetwarzania i podlega przepisom dotyczącym współadministratorów ustanowionym w art. 24.

4. Jeśli podmiot przetwarzający przetwarza dane osobowe inne niż te, których przetwarzanie zlecił administrator, lub staje się stroną określającą w odniesieniu do celów i środków przetwarzania danych, podmiot przetwarzający jest uważany za administratora w zakresie tego przetwarzania i podlega przepisom dotyczącym współadministratorów ustanowionym w art. 24.

5. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących zakresu odpowiedzialności, obowiązków i zadań w odniesieniu do podmiotu przetwarzającego zgodnie z ust. 1, oraz warunków, które umożliwiają uproszczenie przetwarzania danych osobowych w ramach grupy przedsiębiorstw, w szczególności do celów kontroli i sprawozdawczości.

 

Poprawka       122

Wniosek dotyczący rozporządzenia

Artykuł 28

Tekst proponowany przez Komisję

Poprawka

Dokumentacja

Dokumentacja

1. Każdy administrator i podmiot przetwarzający oraz ewentualnie przedstawiciel administratora prowadzą dokumentację wszystkich operacji przetwarzania, za które są odpowiedzialni.

1. Każdy administrator i podmiot przetwarzający prowadzi regularnie aktualizowaną dokumentację niezbędną do spełnienia wymogów określonych w niniejszym rozporządzeniu.

2. Dokumentacja zawiera przynajmniej informacje na temat:

2. Ponadto każdy administrator i podmiot przetwarzający prowadzi dokumentację zawierającą informacje na temat:

a) imienia i nazwiska/nazwy oraz danych kontaktowych administratora lub współadministratora albo podmiotu przetwarzającego oraz ewentualnego przedstawiciela;

a) imienia i nazwiska/nazwy oraz danych kontaktowych administratora lub współadministratora albo podmiotu przetwarzającego oraz ewentualnego przedstawiciela;

b) imienia i nazwiska/nazwy oraz danych kontaktowych ewentualnego inspektora ochrony danych;

b) imienia i nazwiska/nazwy oraz danych kontaktowych ewentualnego inspektora ochrony danych;

c) celów przetwarzania, w tym słusznych interesów realizowanych przez administratora, jeśli przetwarzanie opiera się na art. 6 ust. 1 lit. f);

 

d) opisu kategorii podmiotów danych oraz kategorii danych osobowych odnoszących się do nich;

 

e) odbiorców lub kategorii odbiorców danych osobowych, w tym administratorów, którym ujawniane są dane osobowe na potrzeby realizacji słusznych interesów będących ich celem;

e) imienia i nazwiska/nazwy oraz danych kontaktowych administratorów, którym ujawniane są dane osobowe, ewentualnie;

f) w odpowiednich przypadkach, przekazywania danych do państw trzecich lub organizacji międzynarodowych, w tym identyfikacji tego państwa trzeciego lub organizacji międzynarodowej oraz, w przypadku przekazywania, o którym mowa w art. 44 ust. 1 lit. h), dokumentacji dotyczącej odpowiednich gwarancji;

 

g) ogólnego wskazania terminów usunięcia różnych kategorii danych;

 

h) opisu mechanizmów, o których mowa w art. 22 ust. 3.

 

3. Administrator i podmiot przetwarzający oraz ewentualny przedstawiciel administratora udostępniają dokumentację organowi nadzorczemu na jego wniosek.

 

4. Obowiązków, o których mowa w ust. 1 i 2, nie stosuje się do następujących administratorów i podmiotów przetwarzających:

skreślony

a) osoby fizycznej przetwarzającej dane osobowe w celu innym niż handlowy; lub

 

b) przedsiębiorstwa lub organizacji zatrudniających mniej niż 250 osób, którzy przetwarzają dane osobowe jedynie w ramach działalności pobocznej w stosunku do działalności głównej.

 

5. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących dokumentacji, o której mowa w ust. 1, by uwzględnić w szczególności zakres odpowiedzialności administratora i podmiotu przetwarzającego oraz ewentualnie przedstawiciela administratora.

 

6. Komisja może ustanowić standardowe formularze dotyczące dokumentacji, o której mowa w ust. 1. Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

 

Poprawka  123

Wniosek dotyczący rozporządzenia

Artykuł 29 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Administrator i podmiot przetwarzający oraz ewentualnie przedstawiciel administratora współpracują z organem nadzorczym na jego wniosek w zakresie wykonania swoich zadań, w szczególności poprzez przekazywanie informacji, o których mowa w art. 53 ust. 2 lit. a) oraz udzielanie dostępu w myśl lit. b) tego ustępu.

1. Administrator oraz ewentualnie podmiot przetwarzający i przedstawiciel administratora współpracują z organem nadzorczym na jego wniosek w zakresie wykonania swoich zadań, w szczególności poprzez przekazywanie informacji, o których mowa w art. 53 ust. 2 lit. a) oraz udzielanie dostępu w myśl lit. b) tego ustępu.

Poprawka  124

Wniosek dotyczący rozporządzenia

Artykuł 30

Tekst proponowany przez Komisję

Poprawka

Bezpieczeństwo przetwarzania

Bezpieczeństwo przetwarzania

1. Administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, by zapewnić poziom bezpieczeństwa stosowny do ryzyk związanych z przetwarzaniem oraz charakterem danych osobowych, które należy chronić, uwzględniając najnowsze osiągnięcia techniczne oraz koszty ich wdrożenia.

1. Administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, by zapewnić poziom bezpieczeństwa stosowny do ryzyka związanego z przetwarzaniem, biorąc pod uwagę wyniki oceny skutków w zakresie ochrony danych zgodnie z art. 33, uwzględniając najnowsze osiągnięcia techniczne oraz koszty ich wdrożenia.

 

1a. Przy uwzględnieniu najnowszych osiągnięć technicznych oraz kosztów wdrożenia taka polityka bezpieczeństwa obejmuje:

 

a) zdolność do zapewnienia poświadczenia integralności danych osobowych;

 

b) zdolność do zapewnienia na bieżąco poufności, integralności, dostępności i odporności systemów i usług przetwarzających dane osobowe;

 

c) zdolność do terminowego przywrócenia dostępności danych i dostępu do nich na wypadek fizycznego lub technicznego incydentu, który oddziałuje na dostępność, integralność i poufność systemów informacji i usług;

 

d) w przypadku przetwarzania szczególnie wrażliwych danych osobowych zgodnie z art. 8 i 9 – dodatkowe środki bezpieczeństwa, aby zapewnić sytuacyjną wiedzę na temat ryzyka i zdolność do podejmowania działań prewencyjnych, naprawczych i łagodzących jego skutki w czasie zbliżonym do rzeczywistego wobec wykrytych słabości oraz incydentów, które mogłyby stanowić zagrożenie dla danych;

 

e) proces dotyczący regularnego testowania, szacowania i oceniania rozwiązań, procedur i planów bezpieczeństwa przyjętych celem zapewnienia na bieżąco efektywności.

2. Administrator i podmiot przetwarzający, po dokonaniu oceny ryzyk, podejmują środki, o których mowa w ust. 1, by chronić dane osobowe przed ich przypadkowym lub niezgodnym z prawem zniszczeniem bądź przypadkową utratą oraz by zapobiec wszelkim innym formom niezgodnego z prawem przetwarzania, w szczególności nieuprawnionemu ujawnieniu, rozpowszechnieniu, dostępowi lub zmianie danych osobowych.

2. Środki, o którym mowa w ust. 1, co najmniej:

 

a) zapewniają, aby do danych osobowych mógł mieć dostęp wyłącznie uprawniony personel w dozwolonych prawem celach,

 

b) chronią przechowywane lub przekazywane dane osobowe przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem; oraz

 

c) gwarantują wprowadzanie w życie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.

3. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i warunków dotyczących środków technicznych i organizacyjnych, o których mowa w ust. 1 i 2, w tym zdefiniowania pojęcia najnowszych osiągnięć technicznych, dla konkretnych sektorów oraz w konkretnych sytuacjach przetwarzania danych, uwzględniając w szczególności rozwój technologii oraz rozwiązania w zakresie uwzględnienia ochrony prywatności już w fazie projektowania oraz ochrony danych jako opcji domyślnej, chyba że zastosowanie ma ust. 4.

 

3. Europejskiej Radzie Ochrony Danych powierza się zadanie wydawania wytycznych, zaleceń i najlepszych praktyk zgodnie z art. 66 ust. 1 lit. b) w odniesieniu do środków technicznych i organizacyjnych, o których mowa w ust. 1 i 2, w tym zdefiniowania pojęcia najnowszych osiągnięć technicznych, dla konkretnych sektorów oraz w konkretnych sytuacjach przetwarzania danych, uwzględniając w szczególności rozwój technologii oraz rozwiązania w zakresie uwzględnienia ochrony prywatności już w fazie projektowania oraz ochrony danych jako opcji domyślnej.

4. Komisja może przyjąć, w razie potrzeby, akty wykonawcze mające na celu sprecyzowanie wymogów ustanowionych w ust. 1 i 2 obowiązujących w różnych sytuacjach, w szczególności w celu:

 

a) zapobiegania wszelkiemu nieuprawnionemu dostępowi do danych osobowych;

 

b) zapobiegania nieuprawnionemu ujawnianiu, odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu danych osobowych;

 

c) zapewnienia weryfikacji zgodności z prawem operacji przetwarzania.

 

Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

 

(Ust. 2 w tekście Komisji przeniesiono częściowo do lit. b) w poprawce Parlamentu.)

Poprawka  125

Wniosek dotyczący rozporządzenia

Artykuł 31

Tekst proponowany przez Komisję

Poprawka

Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu

Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu

1. W przypadku naruszenia ochrony danych osobowych, administrator zgłasza organowi nadzorczemu takie naruszeniu bez nieuzasadnionej zwłoki i jeśli jest to możliwe, nie później niż w ciągu 24 godzin od momentu dowiedzenia się o tym naruszeniu. Jeśli organ nadzorczy nie zostanie zawiadomiony w ciągu 24 godzin, do zgłoszenia należy dołączyć umotywowane wyjaśnienie.

1. W przypadku naruszenia ochrony danych osobowych administrator zgłasza organowi nadzorczemu takie naruszenie bez zbędnej zwłoki.

2. Na mocy art. 26 ust. 2 lit. f) podmiot przetwarzający ostrzega i informuje administratora niezwłocznie po stwierdzeniu naruszenia ochrony danych osobowych.

2. Podmiot przetwarzający ostrzega i informuje administratora bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony danych osobowych.

3. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:

3. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:

a) opisywać charakter naruszenia ochrony danych osobowych, w tym podawać kategorie i liczbę zainteresowanych podmiotów danych oraz kategorie i liczbę rekordów danych, których dotyczy naruszenie;

a) opisywać charakter naruszenia ochrony danych osobowych, w tym podawać kategorie i liczbę zainteresowanych podmiotów danych oraz kategorie i liczbę rekordów danych, których dotyczy naruszenie;

b) podawać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, w którym można uzyskać więcej informacji;

b) podawać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, w którym można uzyskać więcej informacji;

c) zalecać środki mające na celu zmniejszenie ewentualnych negatywnych skutków naruszenia ochrony danych osobowych;

c) zalecać środki mające na celu zmniejszenie ewentualnych negatywnych skutków naruszenia ochrony danych osobowych;

d) opisywać konsekwencje naruszenia ochrony danych;

d) opisywać konsekwencje naruszenia ochrony danych;

e) opisywać środki proponowane lub podjęte przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych.

e) opisywać środki proponowane lub podjęte przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych i w celu złagodzenia jego skutków.

W razie konieczności informacje mogą być przekazywane etapami.

4. Administrator sporządza dokumentację dotyczącą wszelkich naruszeń ochrony danych osobowych, obejmującą okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi umożliwiać organowi nadzorczemu sprawdzenie zgodności z niniejszym artykułem. Dokumentacja zawiera wyłącznie informacje niezbędne do realizacji powyższego celu.

4. Administrator sporządza dokumentację dotyczącą wszelkich naruszeń ochrony danych osobowych, obejmującą okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi być wystarczająca do tego, by umożliwiać organowi nadzorczemu sprawdzenie zgodności z niniejszym artykułem i z art. 30. Dokumentacja zawiera wyłącznie informacje niezbędne do realizacji powyższego celu.

 

4a. Organ nadzorczy prowadzi rejestr publiczny zgłoszonych rodzajów naruszeń ochrony danych.

5. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących stwierdzenia naruszenia ochrony danych osobowych, o którym mowa w ust. 1 i 2, oraz szczególnych okoliczności, w których administrator i podmiot przetwarzający mają obowiązek zgłosić naruszenie ochrony danych osobowych.

5. Europejskiej Radzie Ochrony Danych powierza się zadanie wydawania wytycznych, zaleceń i najlepszych praktyk zgodnie z art. 66 ust. 1 lit. b) w odniesieniu do stwierdzenia naruszenia ochrony danych osobowych i do określenia, co stanowi zbędną zwłokę, o której mowa w ust. 1 i 2, oraz do szczególnych okoliczności, w których administrator i podmiot przetwarzający mają obowiązek zgłosić naruszenie ochrony danych osobowych.

6. Komisja może ustanowić standardowe formularze zgłoszenia przekazywanego organowi nadzorczemu, procedury mające zastosowanie do wymogu zgłoszenia, a także formę i sposób prowadzenia dokumentacji, o której mowa w art. 4, w tym terminy usuwania zawartych w niej informacji. Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

 

Poprawka  126

Wniosek dotyczący rozporządzenia

Artykuł 32

Tekst proponowany przez Komisję

Poprawka

Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych

Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych

1. Gdy istnieje prawdopodobieństwo, że naruszenie ochrony danych osobowych może niekorzystnie wpłynąć na ochronę danych osobowych lub prywatność podmiotu danych, administrator, po dokonaniu zgłoszenia, o którym mowa w art. 31, bez nieuzasadnionej zwłoki informuje podmiot danych o naruszeniu ochrony danych osobowych.

1. Gdy istnieje prawdopodobieństwo, że naruszenie ochrony danych osobowych może niekorzystnie wpłynąć na ochronę danych osobowych, prywatność, prawa lub uzasadnione interesy podmiotu danych, administrator, po dokonaniu zgłoszenia, o którym mowa w art. 31, bez zbędnej zwłoki informuje podmiot danych o naruszeniu ochrony danych osobowych.

2. Zawiadomienie przekazane podmiotowi danych, o którym mowa w ust. 1, opisuje charakter naruszenia ochrony danych osobowych i zawiera przynajmniej informacje i zalecenia, o których mowa w art. 31 ust. 3 lit. b) i c).

Zawiadomienie przekazane podmiotowi danych, o którym mowa w ust. 1, jest zrozumiałe oraz sformułowane w jasnym i prostym języku. Opisuje ono charakter naruszenia ochrony danych osobowych i zawiera przynajmniej informacje i zalecenia, o których mowa w art. 31 ust. 3 lit. b), c) i d), oraz informacje o prawach podmiotu danych, w tym do dochodzenia roszczeń.

3. Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych nie jest wymagane, jeśli administrator wykaże, zgodnie z wymogami organu nadzorczego, że wdrożył odpowiednie technologiczne środki ochrony oraz że środki te zostały zastosowane do danych, których dotyczyło naruszenie ochrony danych osobowych. Tego rodzaju technologiczne środki ochrony sprawiają, że dane stają się nieczytelne dla każdego, kto nie jest uprawniony do dostępu do nich.

3. Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych nie jest wymagane, jeśli administrator wykaże, zgodnie z wymogami organu nadzorczego, że wdrożył odpowiednie technologiczne środki ochrony oraz że środki te zostały zastosowane do danych, których dotyczyło naruszenie ochrony danych osobowych. Tego rodzaju technologiczne środki ochrony sprawiają, że dane stają się nieczytelne dla każdego, kto nie jest uprawniony do dostępu do nich.

4. Bez uszczerbku dla obowiązku administratora w zakresie zawiadomienia podmiotu danych o naruszeniu ochrony danych osobowych, jeśli administrator nie zawiadomił wcześniej podmiotu danych o naruszeniu ochrony danych osobowych, organ nadzorczy może tego od niego zażądać, jeśli stwierdzi możliwość wystąpienia niekorzystnych skutków naruszenia.

4. Bez uszczerbku dla obowiązku administratora w zakresie zawiadomienia podmiotu danych o naruszeniu ochrony danych osobowych, jeśli administrator nie zawiadomił wcześniej podmiotu danych o naruszeniu ochrony danych osobowych, organ nadzorczy może tego od niego zażądać, jeśli stwierdzi możliwość wystąpienia niekorzystnych skutków naruszenia.

5. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących okoliczności, w których naruszenie ochrony danych osobowych może niekorzystnie wpłynąć na dane osobowe, o których mowa w ust. 1.

Europejskiej Radzie Ochrony Danych powierza się zadanie wydawania wytycznych, zaleceń i najlepszych praktyk zgodnie z art. 66 ust. 1 lit. b) w odniesieniu do okoliczności, w których naruszenie ochrony danych osobowych może niekorzystnie wpłynąć na dane osobowe, prywatność, prawa lub uzasadnione interesy podmiotu danych, o których mowa w ust. 1.

6. Komisja może określić format zawiadomienia przekazywanego podmiotowi danych, o którym mowa w ust. 1, oraz procedury mające zastosowanie do tego zawiadomienia. Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

 

Poprawka  127

Wniosek dotyczący rozporządzenia

Artykuł 32 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 32a

 

Uwzględnianie ryzyka

 

1. Administrator lub w stosownych przypadkach podmiot przetwarzający prowadzą analizę ryzyka związanego z potencjalnym wpływem zamierzonego przetwarzania danych na prawa i wolności podmiotów danych, oceniając, czy operacje przetwarzania mogą wiązać się ze szczególnym ryzykiem.

 

2. Następujące operacje przetwarzania mogą wiązać się ze szczególnym ryzykiem:

 

a) przetwarzanie danych osobowych dotyczących ponad 5000 podmiotów danych w okresie kolejnych 12 miesięcy;

 

b) przetwarzanie szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, danych dotyczących lokalizacji lub danych dotyczących dzieci lub pracowników w wielkoskalowych zbiorach danych;

 

c) profilowanie, na którym opierają się środki wywołujące skutki prawne dotyczące danej osoby lub mające na nią podobnie istotny wpływ;

 

d) przetwarzanie danych osobowych dotyczących stanu zdrowia, badań epidemiologicznych lub badań mających na celu wykrycie chorób psychicznych bądź zakaźnych, jeśli dane są przetwarzane w celu podjęcia na szeroką skalę środków lub decyzji dotyczących konkretnych osób;

 

e) zautomatyzowane monitorowanie publicznie dostępnych miejsc na szeroką skalę;

 

f) inne operacje przetwarzania, które na mocy art. 34 ust. 2 lit. b) wymagają konsultacji z inspektorem ochrony danych lub z organem nadzorczym;

 

g) gdy naruszenie danych osobowych mogłoby negatywnie wpływać na ochronę danych osobowych, prywatność, prawa lub uzasadnione interesy podmiotu danych;

 

h) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych;

 

i) gdy dane osobowe są udostępniane liczbie osób, co do której nie ma racjonalnych podstaw, by oczekiwać, że będzie ograniczona.

 

3. Zgodnie z wynikiem analizy ryzyka:

 

a) gdy ma miejsce jakakolwiek z operacji przetwarzania, o których mowa w ust. 2 lit. a) lub b), administratorzy niemający siedziby w Unii wyznaczają przedstawiciela w Unii zgodnie z wymogami i odstępstwami określonymi w art. 25;

 

b) gdy ma miejsce jakakolwiek z operacji przetwarzania, o których mowa w ust. 2 lit. a), b) lub h), administrator wyznacza inspektora ochrony danych zgodnie z wymogami i odstępstwami określonymi w art. 35;

 

c) gdy ma miejsce jakakolwiek z operacji przetwarzania, o których mowa w ust. 2 lit. a), b), c), d), e), f), g) lub h), administrator lub podmiot przetwarzający działający w imieniu administratora przeprowadzają ocenę skutków ochrony danych zgodnie z art. 33;

 

d) gdy ma mają miejsce operacje przetwarzania, o których mowa w ust. 2 lit. f), administrator zasięga opinii inspektora ochrony danych lub – w przypadku gdy nie wyznaczono inspektora ochrony danych – organu nadzorczego zgodnie z art. 34.

 

4. Analiza ryzyka poddawana jest przeglądowi najpóźniej po upływie roku lub natychmiast, jeżeli charakter, zakres lub cele operacji przetwarzania danych ulegną znaczącej zmianie. Gdy zgodnie z ust. 3 lit. c) administrator nie jest zobowiązany do przeprowadzenia oceny skutków ochrony danych, analiza ryzyka jest udokumentowana.

Poprawka  128

Wniosek dotyczący rozporządzenia

Rozdział IV – sekcja 3 – tytuł

Tekst proponowany przez Komisję

Poprawka

OCENA SKUTKÓW W ZAKRESIE OCHRONY DANYCH I UPRZEDNIE ZEZWOLENIE

ZARZĄDZANIE OCHRONĄ DANYCH W CAŁYM CYKLU ICH ŻYCIA

Poprawka  129

Wniosek dotyczący rozporządzenia

Artykuł 33

Tekst proponowany przez Komisję

Poprawka

Ocena skutków w zakresie ochrony danych

Ocena skutków w zakresie ochrony danych

1. Jeśli operacje przetwarzania stwarzają szczególne ryzyko dla praw i wolności podmiotów danych z racji swego charakteru, zakresu lub celów, administrator lub podmiot przetwarzający przeprowadzają w imieniu administratora danych ocenę skutków przewidywanych operacji przetwarzania w zakresie ochrony danych osobowych.

1. Jeśli jest to wymagane na mocy art. 32a ust. 3 lit. c), administrator lub podmiot przetwarzający przeprowadzają w imieniu administratora danych ocenę skutków przewidywanych operacji przetwarzania w zakresie ochrony danych osobowych. Dla zbioru operacji przetwarzania wiążących się z podobnym ryzykiem wystarcza pojedyncza ocena.

2. Szczególne ryzyko, o którym mowa w ust. 1, stwarzają w szczególności następujące operacje przetwarzania:

 

a) systematyczna i kompleksowa ocena aspektów osobowych osoby fizycznej bądź operacje przetwarzania mające na celu analizę lub przewidzenie w szczególności sytuacji ekonomicznej, miejsca pobytu, stanu zdrowia, preferencji osobistych, wiarygodności lub zachowania osoby fizycznej, która opiera się na automatycznym przetwarzaniu, i na której opierają się środki, które wywołują skutki prawne dotyczące danej osoby lub mają na nią istotny wpływ;

 

b) przetwarzanie informacji na temat życia seksualnego, stanu zdrowia, rasy i pochodzenia etnicznego oraz świadczenia usług opieki zdrowotnej, badań epidemiologicznych lub badań mających na celu wykrycie chorób psychicznych bądź zakaźnych, jeśli dane są przetwarzane w celu podjęcia na szeroką skalę środków lub decyzji dotyczących konkretnych osób;

 

c) monitorowanie publicznie dostępnych miejsc, zwłaszcza przy wykorzystaniu urządzeń optyczno-elektronicznych (wideonadzór) na szeroką skalę;

 

d) przetwarzanie danych osobowych w wielkoskalowych zbiorach danych dotyczących dzieci, danych genetycznych lub biometrycznych;

 

e) inne operacje przetwarzania, które na mocy art. 34 ust. 2 lit. b) wymagają konsultacji z organem nadzorczym.

 

3. Ocena obejmuje przynajmniej ogólny opis przewidywanych operacji przetwarzania, ocenę ryzyk dla praw i wolności podmiotów danych, środki przewidywane w celu sprostania ryzykom, gwarancje, środki i mechanizmy bezpieczeństwa mające zagwarantować ochronę danych osobowych oraz wykazać zgodność z niniejszym rozporządzeniem, uwzględniając prawa i słuszne interesy podmiotów danych i innych zainteresowanych osób.

3. Ocena uwzględnia cały cykl zarządzania danymi osobowymi od ich gromadzenia, przez przetwarzanie, aż po ich usunięcie. Obejmuje ona przynajmniej:

 

a) systematyczny opis planowanych operacji przetwarzania, celów przetwarzania oraz, w stosownych przypadkach, uzasadnionych interesów realizowanych przez administratora;

 

b) ocenę konieczności i proporcjonalności operacji przetwarzania w stosunku do celów;

 

c) ocenę ryzyka dla praw i wolności podmiotów danych, w tym ryzyka dyskryminacji, jakie pociąga za sobą lub jakie wzmacnia operacja;

 

d) opis środków przewidywanych w celu uwzględnienia ryzyka i w celu ograniczenia do minimum ilości przetwarzanych danych osobowych;

 

e) wykaz gwarancji, środków i mechanizmów bezpieczeństwa mających zagwarantować ochronę danych osobowych, takich jak pseudonimizacja, oraz wykazać zgodność z niniejszym rozporządzeniem, z uwzględnieniem praw i uzasadnionych interesów podmiotów danych i innych zainteresowanych osób.

 

f) ogólne wskazanie terminów usunięcia różnych kategorii danych;

 

h) wyjaśnienie dotyczące tego, jakie działania w zakresie ochrony danych już w fazie projektowania oraz ochrony danych jako opcji domyślnej zostały przeprowadzone zgodnie z art. 23;

 

i) wykaz odbiorców lub kategorii odbiorców danych osobowych;

 

j) w odpowiednich przypadkach, wykaz planowanych operacji przekazywania danych do państw trzecich lub organizacji międzynarodowych, ze wskazaniem danego państwa trzeciego lub danej organizacji międzynarodowej, oraz – w przypadku operacji przekazywania, o których mowa w art. 44 ust. 1 lit. h) – z udokumentowaniem odpowiednich gwarancji;

 

k) ocenę kontekstu przetwarzania danych.

 

3a. Jeżeli administrator lub podmiot przetwarzający wyznaczył inspektora ochrony danych, inspektor ten uczestniczy w procedurze oceny skutków.

 

3b. Ocena jest udokumentowana i określa harmonogram regularnych okresowych przeglądów zgodności z przepisami w zakresie ochrony danych zgodnie z art. 33a ust. 1. Ocena jest bezzwłocznie aktualizowana, jeżeli wyniki przeglądu zgodności z przepisami w zakresie ochrony danych, o którym mowa w art. 33a, wskazują na niezgodności; Administrator i podmiot przetwarzający oraz ewentualny przedstawiciel administratora udostępniają ocenę organowi nadzorczemu na jego wniosek.

4. Administrator zwraca się o opinie do podmiotów danych lub ich przedstawicieli w zakresie planowanego przetwarzania, bez uszczerbku dla ochrony handlowych lub publicznych interesów lub bezpieczeństwa operacji przetwarzania.

 

5. Jeśli administrator jest organem lub podmiotem publicznym i jeśli przetwarzanie wynika z obowiązku prawnego na mocy art. 6 ust. 1 lit. c) przewidującego zasady i procedury operacji przetwarzania przewidziane przez prawo Unii, ust. 1-4 nie stosuje się, chyba że państwa członkowskie uznają przeprowadzenie takiej oceny przed przetwarzaniem za niezbędne.

 

6. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i warunków operacji przetwarzania mogących stwarzać szczególne ryzyko, o którym mowa w ust. 1 i 2 oraz wymogów w zakresie oceny, o których mowa w ust. 3, w tym warunków skalowalności, weryfikowalności i sprawdzenia. Wykonując to uprawnienie, Komisja rozważa szczególne środki dla mikroprzedsiębiorców oraz małych i średnich przedsiębiorców.

 

7. Komisja może określić standardy i procedury przeprowadzania, weryfikowania i kontroli oceny, o której mowa w 3. Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

 

(Ust. 3 w tekście Komisji przeniesiono do lit. a), c), d) i e) w poprawce Parlamentu).

Poprawka  130

Wniosek dotyczący rozporządzenia

Artykuł 33 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 33a

 

Przegląd zgodności z przepisami w zakresie ochrony danych

 

1. Najpóźniej dwa lata po przeprowadzeniu oceny skutków zgodnie z art. 33 ust. 1 administrator lub podmiot przetwarzający działający w imieniu administratora przeprowadza przegląd zgodności. Przegląd zgodności, o którym mowa powyżej, służy wykazaniu, że przetwarzanie danych osobowych odbywa się zgodnie z oceną skutków w zakresie ochrony danych.

 

2. Przegląd zgodności jest przeprowadzany okresowo co najmniej raz na dwa lata lub niezwłocznie w przypadku zmiany pod względem konkretnego ryzyka, jakie stwarzają operacje przetwarzania.

 

3. Gdy w wyniku przeglądu zgodności wykazano niezgodności, przegląd ten zawiera zalecenia dotyczące sposobu zapewnienia pełnej zgodności.

 

4. Przegląd zgodności i zalecenia z nim zawarte są dokumentowane. Administrator i podmiot przetwarzający oraz ewentualny przedstawiciel administratora udostępniają przegląd zgodności organowi nadzorczemu na jego wniosek.

 

5. Jeżeli administrator lub podmiot przetwarzający wyznaczył inspektora ochrony danych, inspektor ten uczestniczy w procedurze przeglądu zgodności.

Poprawka  131

Wniosek dotyczący rozporządzenia

Artykuł 34

Tekst proponowany przez Komisję

Poprawka

Uprzednie zezwolenie i uprzednia konsultacja

Uprzednia konsultacja

 

1. Administrator lub podmiot przetwarzający, w zależności od przypadku, uzyskują zezwolenie organu nadzorczego przed przetwarzaniem danych osobowych, by zapewnić zgodność planowanego przetwarzania z niniejszym rozporządzeniem, w szczególności by złagodzić ryzyko dla podmiotów danych, jeśli administrator lub podmiot przetwarzający przyjmą klauzule umowne przewidziane w art. 42 ust. 2 lit. d) lub nie wprowadzą odpowiednich gwarancji do prawnie wiążących instrumentów, o których mowa w art. 42 ust. 5, dotyczących przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

 

2. Administrator lub podmiot przetwarzający działający w imieniu administratora przeprowadzają konsultacje z organem nadzorczym przed przetwarzaniem danych, by zapewnić zgodność planowanego przetwarzania z niniejszym rozporządzeniem, w szczególności by załagodzić związane z tym ryzyko dla podmiotu danych, jeśli:

2. Administrator lub podmiot przetwarzający działający w imieniu administratora przeprowadzają konsultacje inspektorem ochrony danych lub, w przypadku, gdy inspektor ochrony danych nie został wyznaczony, z organem nadzorczym przed przetwarzaniem danych, by zapewnić zgodność planowanego przetwarzania z niniejszym rozporządzeniem, w szczególności by załagodzić związane z tym ryzyko dla podmiotu danych, jeśli:

a) ocena skutków ochrony danych przewidziana w art. 33 wskazuje, że operacje przetwarzania danych mogą, ze względu na swój charakter, zakres lub cele, wiązać się z wysokim poziomem szczególnych ryzyk; lub

a) ocena skutków ochrony danych przewidziana w art. 33 wskazuje, że operacje przetwarzania danych mogą, ze względu na swój charakter, zakres lub cele, wiązać się z wysokim poziomem szczególnych ryzyk; lub

b) organ nadzorczy uzna za niezbędne przeprowadzenie uprzedniej konsultacji na temat operacji przetwarzania mogących stanowić szczególne ryzyko dla praw i wolności podmiotów danych ze względu na swój charakter, zakres lub cele, określonych w ust. 4.

b) inspektor ochrony danych lub organ nadzorczy uzna za niezbędne przeprowadzenie uprzedniej konsultacji na temat operacji przetwarzania mogących stanowić szczególne ryzyko dla praw i wolności podmiotów danych ze względu na swój charakter, zakres lub cele, określonych w ust. 4.

3. Jeśli w opinii organu nadzorczego planowane przetwarzanie nie jest zgodne z niniejszym rozporządzeniem, w szczególności jeśli ryzyka nie zostały dostatecznie zidentyfikowane lub złagodzone, zakazuje planowanego przetwarzania i występuje z odpowiednimi propozycjami mającymi na celu zniwelowanie braku zgodności.

3. Jeśli właściwy organ nadzorczy stwierdzi w ramach swoich uprawnień, że planowane przetwarzanie nie jest zgodne z niniejszym rozporządzeniem, w szczególności jeśli ryzyko nie zostało dostatecznie zidentyfikowane lub złagodzone, zakazuje planowanego przetwarzania i występuje z odpowiednimi propozycjami mającymi na celu zniwelowanie braku zgodności.

4. Organ nadzorczy ustanawia i udostępnia publicznie wykaz operacji przetwarzania, w przypadku których wymagana jest uprzednia konsultacja na mocy ust. 2 lit. b). Organ nadzorczy przekazuje następnie takie wykazy Europejskiej Radzie Ochrony Danych.

4. Europejska Rada Ochrony Danych ustanawia i udostępnia publicznie wykaz operacji przetwarzania, w przypadku których wymagana jest uprzednia konsultacja na mocy ust. 2.

5. Jeśli wykaz, o którym mowa w ust. 4, obejmuje przetwarzanie związane z oferowaniem towarów lub usług podmiotom danych w wielu państwach członkowskich, lub z monitorowaniem ich zachowania, bądź może w sposób istotny wpłynąć na swobodny przepływ danych osobowych na terytorium Unii, organ nadzorczy stosuje mechanizm zgodności, o którym mowa w art. 57, przed przyjęciem takiego wykazu.

 

6. Administrator lub podmiot przetwarzający przekazują organowi nadzorczemu ocenę skutków w zakresie ochrony danych, o której mowa w art. 33 oraz, na żądanie, wszelkie inne informacje mogące umożliwić organowi nadzorczemu ocenę zgodności przetwarzania, w szczególności ryzyk dla ochrony danych osobowych podmiotu danych oraz powiązanych gwarancji.

6. Administrator lub podmiot przetwarzający przekazują organowi nadzorczemu ocenę skutków w zakresie ochrony danych zgodnie z art. 33 oraz, na żądanie, wszelkie inne informacje mogące umożliwić organowi nadzorczemu ocenę zgodności przetwarzania, w szczególności ryzyka dla ochrony danych osobowych podmiotu danych oraz powiązanych gwarancji.

7. Państwa członkowskie przeprowadzają z organem nadzorczym konsultacje w toku opracowywania środka ustawodawczego, który ma być przyjęty przez parlament narodowy lub środka opartego na tym środku ustawodawczym, który definiuje charakter przetwarzania, by zapewnić zgodność zamierzonego przetwarzania z niniejszym rozporządzeniem, w szczególności by załagodzić ryzyka dla podmiotów danych.

7. Państwa członkowskie przeprowadzają z organem nadzorczym konsultacje w toku opracowywania środka ustawodawczego, który ma być przyjęty przez parlament narodowy lub środka opartego na tym środku ustawodawczym, który definiuje charakter przetwarzania, by zapewnić zgodność zamierzonego przetwarzania z niniejszym rozporządzeniem, w szczególności by załagodzić ryzyko dla podmiotów danych.

8. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i warunków ustalenia wysokiego poziomu szczególnych ryzyk, o których mowa w ust. 2 lit. a).

 

9. Komisja może opracować standardowe formularze i procedury dotyczące uprzedniego zezwolenia oraz uprzedniej konsultacji, o których mowa w ust. 1 i 2, oraz standardowe formularze i procedury dotyczące informowania organu nadzorczego na mocy ust. 6. Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

 

Poprawka       132

Wniosek dotyczący rozporządzenia

Artykuł 35

Tekst proponowany przez Komisję

Poprawka

Wyznaczenie inspektora ochrony danych

Wyznaczenie inspektora ochrony danych

1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, w każdym przypadku, w którym:

1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, w każdym przypadku, w którym:

a) przetwarzania dokonuje organ lub podmiot publiczny; lub

a) przetwarzania dokonuje organ lub podmiot publiczny; lub

b) przetwarzania dokonuje przedsiębiorstwo zatrudniające 250 osób lub więcej; lub

 

b) przetwarzania dokonuje osoba prawna i dotyczy ono ponad 5000 podmiotów danych rocznie w dowolnym okresie kolejnych 12 miesięcy; lub

 

c) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych.

c) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych; lub

 

d) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu szczególnych kategorii danych zgodnie z art. 9 ust. 1, danych dotyczących lokalizacji lub danych dotyczących dzieci lub pracowników w wielkoskalowych zbiorach danych.

2. W przypadku, o którym mowa w ust. 1 lit. b), grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych.

2. Grupa przedsiębiorstw może wyznaczyć głównego odpowiedzialnego inspektora ochrony danych, pod warunkiem zapewnienia łatwego kontaktu z inspektorem ochrony danych z każdej siedziby.

3. Jeśli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, inspektor ochrony danych może być wyznaczony dla szeregu jego jednostek organizacyjnych, z uwzględnieniem struktury organizacyjnej organu lub podmiotu publicznego.

3. Jeśli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, inspektor ochrony danych może być wyznaczony dla szeregu jego jednostek organizacyjnych, z uwzględnieniem struktury organizacyjnej organu lub podmiotu publicznego.

4. W przypadkach innych niż te, o których mowa w ust. 1, administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące różne kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć jednego inspektora ochrony danych.

4. W przypadkach innych niż te, o których mowa w ust. 1, administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące różne kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć jednego inspektora ochrony danych.

5. Administrator lub podmiot przetwarzający wyznaczają inspektora ochrony danych na podstawie jego kwalifikacji zawodowych oraz w szczególności jego wiedzy specjalistycznej z zakresu prawa ochrony danych, praktyki i zdolności do wykonywania zadań, o których mowa w art. 37. Niezbędny poziom wiedzy specjalistycznej ustala się w szczególności zgodnie z prowadzonym przetwarzaniem danych oraz ochroną wymaganą dla danych osobowych przetwarzanych przez administratora lub podmiot przetwarzający.

5. Administrator lub podmiot przetwarzający wyznaczają inspektora ochrony danych na podstawie jego kwalifikacji zawodowych oraz w szczególności jego wiedzy specjalistycznej z zakresu prawa ochrony danych, praktyki i zdolności do wykonywania zadań, o których mowa w art. 37. Niezbędny poziom wiedzy specjalistycznej ustala się w szczególności zgodnie z prowadzonym przetwarzaniem danych oraz ochroną wymaganą dla danych osobowych przetwarzanych przez administratora lub podmiot przetwarzający.

6. Administrator lub podmiot przetwarzający gwarantują, by inne obowiązki zawodowe inspektora ochrony danych były zgodne z zadaniami i obowiązkami tej osoby jako inspektora ochrony danych i by nie skutkowały one konfliktem interesów.

6. Administrator lub podmiot przetwarzający gwarantują, by inne obowiązki zawodowe inspektora ochrony danych były zgodne z zadaniami i obowiązkami tej osoby jako inspektora ochrony danych i by nie skutkowały one konfliktem interesów.

7. Administrator lub podmiot przetwarzający wyznaczają inspektora ochrony danych na okres co najmniej dwóch lat. Inspektor ochrony danych może być powoływany na kolejne kadencje. Inspektora ochrony danych można odwołać w czasie trwania kadencji jedynie wtedy, gdy przestał spełniać warunki niezbędne do pełnienia przez niego obowiązków.

7. Administrator lub podmiot przetwarzający wyznaczają inspektora ochrony danych na okres co najmniej czterech lat w przypadku pracowników lub dwóch lat w przypadku zewnętrznych wykonawców usług. Inspektor ochrony danych może być powoływany na kolejne kadencje. Inspektora ochrony danych można odwołać w czasie trwania kadencji jedynie wtedy, gdy przestał spełniać warunki niezbędne do pełnienia przez niego obowiązków.

8. Inspektor ochrony danych może być zatrudniony przez administratora lub podmiot przetwarzający lub wykonywać swoje zadania na podstawie umowy o świadczenie usług.

8. Inspektor ochrony danych może być zatrudniony przez administratora lub podmiot przetwarzający lub wykonywać swoje zadania na podstawie umowy o świadczenie usług.

9. Administrator lub podmiot przetwarzający informują organ nadzorczy oraz opinię publiczną o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych.

9. Administrator lub podmiot przetwarzający informują organ nadzorczy oraz opinię publiczną o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych.

10. Podmioty danych mają prawo kontaktować się z inspektorem ochrony danych we wszystkich kwestiach związanych z przetwarzaniem swoich danych oraz wnioskować o możliwość wykonania praw przysługujących im na mocy niniejszego rozporządzenia.

10. Podmioty danych mają prawo kontaktować się z inspektorem ochrony danych we wszystkich kwestiach związanych z przetwarzaniem swoich danych oraz wnioskować o możliwość wykonania praw przysługujących im na mocy niniejszego rozporządzenia.

11. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących głównej działalności administratora lub podmiotu przetwarzającego, o której mowa w ust. 1 lit. c) oraz kryteriów dotyczących kwalifikacji zawodowych inspektora ochrony danych, o których mowa w ust. 5.

 

Poprawka  133

Wniosek dotyczący rozporządzenia

Artykuł 36

Tekst proponowany przez Komisję

Poprawka

Status inspektora ochrony danych

Status inspektora ochrony danych

1. Administrator lub podmiot przetwarzający dopilnowują, by inspektor ochrony danych był właściwie i terminowo włączany we wszystkie kwestie dotyczące ochrony danych osobowych.

1. Administrator lub podmiot przetwarzający dopilnowują, by inspektor ochrony danych był właściwie i terminowo włączany we wszystkie kwestie dotyczące ochrony danych osobowych.

2. Administrator i podmiot przetwarzający dopilnowują, by inspektor ochrony danych wykonywał swoje obowiązki i zadania niezależnie i nie otrzymywał żadnych poleceń dotyczących pełnienia swojej funkcji. Inspektor ochrony danych podlega bezpośrednio kierownictwu administratora lub podmiotu przetwarzającego.

2. Administrator i podmiot przetwarzający dopilnowują, by inspektor ochrony danych wykonywał swoje obowiązki i zadania niezależnie i nie otrzymywał żadnych poleceń dotyczących pełnienia swojej funkcji. Inspektor ochrony danych podlega bezpośrednio kierownictwu wykonawczemu administratora lub podmiotu przetwarzającego. Administrator lub podmiot przetwarzający wyznacza do tego celu członka kierownictwa wykonawczego, który odpowiada za zgodność z przepisami niniejszego rozporządzenia.

3. Administrator lub podmiot przetwarzający wspierają inspektora ochrony danych w wykonywaniu przez niego zadań i zapewniają personel, pomieszczenia, sprzęt i zasoby niezbędne do wykonywania obowiązków i zadań, o których mowa w art. 37.

3. Administrator lub podmiot przetwarzający wspierają inspektora ochrony danych w wykonywaniu przez niego zadań i zapewniają wszelkie środki, w tym personel, pomieszczenia, sprzęt i zasoby niezbędne do wykonywania obowiązków i zadań, o których mowa w art. 37, oraz do utrzymania poziomu jego wiedzy zawodowej.

 

4. Inspektorzy ochrony danych są zobowiązani do zachowania tajemnicy co do tożsamości podmiotów danych i co do okoliczności umożliwiających ich identyfikację, chyba że podmiot danych zwolni ich z tego obowiązku.

Poprawka  134

Wniosek dotyczący rozporządzenia

Artykuł 37

Tekst proponowany przez Komisję

Poprawka

Zadania inspektora ochrony danych

Zadania inspektora ochrony danych

1. Administrator lub podmiot przetwarzający powierzają inspektorowi ochrony danych przynajmniej poniższe zadania:

Administrator lub podmiot przetwarzający powierzają inspektorowi ochrony danych przynajmniej poniższe zadania:

a) informowanie administratora lub podmiotu przetwarzającego o ich obowiązkach wynikających z niniejszego rozporządzenia oraz dokumentowanie tej działalności i uzyskiwanych odpowiedzi;

a) upowszechnianie wiedzy, informowanie administratora lub podmiotu przetwarzającego oraz doradzanie im w odniesieniu o ich obowiązkach wynikających z niniejszego rozporządzenia i doradzanie im w tej sprawie, w szczególności w odniesieniu do środków i procedur o charakterze technicznym i organizacyjnym, oraz dokumentowanie tej działalności i uzyskiwanych odpowiedzi;

b) monitorowanie wykonania i stosowania polityk administratora lub podmiotu przetwarzającego w zakresie ochrony danych osobowych, w tym przydział obowiązków, szkolenie personelu zaangażowanego w operacje przetwarzania oraz powiązane kontrole;

b) monitorowanie wykonania i stosowania polityki administratora lub podmiotu przetwarzającego w zakresie ochrony danych osobowych, w tym przydział obowiązków, szkolenie personelu zaangażowanego w operacje przetwarzania oraz powiązane kontrole;

c) monitorowanie wykonania i stosowania niniejszego rozporządzenia, w szczególności jeśli chodzi o wymogi dotyczące uwzględnienia ochrony danych już w fazie projektowania, ochrony danych jako opcji domyślnej i bezpieczeństwa danych oraz informowania podmiotów danych, a także wniosków w ramach wykonywania praw przysługujących im na mocy niniejszego rozporządzenia.

c) monitorowanie wykonania i stosowania niniejszego rozporządzenia, w szczególności jeśli chodzi o wymogi dotyczące uwzględnienia ochrony danych już w fazie projektowania, ochrony danych jako opcji domyślnej i bezpieczeństwa danych oraz informowania podmiotów danych, a także wniosków w ramach wykonywania praw przysługujących im na mocy niniejszego rozporządzenia.

d) zapewnienie prowadzenia dokumentacji, o której mowa w art. 28;

d) zapewnienie prowadzenia dokumentacji, o której mowa w art. 28;

e) monitorowanie dokumentacji, zgłoszeń i zawiadomień dotyczących naruszeń ochrony danych osobowych na mocy art. 31 i 32;

e) monitorowanie dokumentacji, zgłoszeń i zawiadomień dotyczących naruszeń ochrony danych osobowych na mocy art. 31 i 32;

f) monitorowanie przeprowadzenia oceny skutków w zakresie ochrony danych przez administratora lub podmiot przetwarzający oraz wniosków o uprzednie zezwolenie lub uprzednią konsultację, jeśli są one wymagane na mocy art. 33 i art. 34;

f) monitorowanie przeprowadzenia oceny skutków w zakresie ochrony danych przez administratora lub podmiot przetwarzający oraz wniosków o uprzednią konsultację, jeśli są one wymagane na mocy art. 32a, art. 33 i art. 34;

g) monitorowanie odpowiedzi na wnioski organów nadzorczych oraz, w ramach kompetencji inspektora ochrony danych, współpraca z organem nadzorczym na wniosek tego organu lub z inicjatywy inspektora ochrony danych;

g) monitorowanie odpowiedzi na wnioski organów nadzorczych oraz, w ramach kompetencji inspektora ochrony danych, współpraca z organem nadzorczym na wniosek tego organu lub z inicjatywy inspektora ochrony danych;

h) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz zasięganie opinii organu nadzorczego, w odpowiednich przypadkach, z inicjatywy inspektora ochrony danych.

h) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz zasięganie opinii organu nadzorczego, w odpowiednich przypadkach, z inicjatywy inspektora ochrony danych.

 

i) weryfikowanie zgodności z niniejszym rozporządzeniem w ramach mechanizmu uprzedniej konsultacji, o którym mowa w art. 34;

 

j) informowanie przedstawicieli pracowników o przetwarzaniu danych pracowników.

2. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących zadań, certyfikacji, statusu, uprawnień i zasobów inspektora ochrony danych, o których mowa w ust. 1.

 

Poprawka  135

Wniosek dotyczący rozporządzenia

Artykuł 38

Tekst proponowany przez Komisję

Poprawka

Kodeksy postępowania

Kodeksy postępowania

1. Państwa członkowskie, organy nadzorcze i Komisja zachęcają do sporządzania kodeksów postępowania, które mają przyczynić się do właściwego stosowania niniejszego rozporządzenia, z uwzględnieniem szczególnych cech różnych sektorów, w których odbywa się przetwarzanie, w szczególności w zakresie:

1. Państwa członkowskie, organy nadzorcze i Komisja zachęcają do sporządzania kodeksów postępowania lub do przyjmowania kodeksów postępowania sporządzonych przez organ nadzorczy, które mają przyczynić się do właściwego stosowania niniejszego rozporządzenia, z uwzględnieniem szczególnych cech różnych sektorów, w których odbywa się przetwarzanie, w szczególności w zakresie:

a) rzetelnego i przejrzystego przetwarzania danych;

a) rzetelnego i przejrzystego przetwarzania danych;

 

aa) przestrzegania praw konsumenta;

b) zbierania danych;

b) zbierania danych;

c) informowania opinii publicznej i podmiotów danych;

c) informowania opinii publicznej i podmiotów danych;

d) wniosków podmiotów danych w wykonaniu przysługujących im praw;

d) wniosków podmiotów danych w wykonaniu przysługujących im praw;

e) informowania i ochrony dzieci;

e) informowania i ochrony dzieci;

f) przekazywania danych państwom trzecim lub organizacjom międzynarodowym;

f) przekazywania danych państwom trzecim lub organizacjom międzynarodowym;

g) mechanizmów monitorowania i zapewnienia zgodności z kodeksem przez administratorów, którzy zobowiązali się do jego przestrzegania;

g) mechanizmów monitorowania i zapewnienia zgodności z kodeksem przez administratorów, którzy zobowiązali się do jego przestrzegania;

h) postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a podmiotami danych w zakresie przetwarzania danych osobowych, bez uszczerbku dla praw podmiotów danych na mocy art. 73 i 75.

h) postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a podmiotami danych w zakresie przetwarzania danych osobowych, bez uszczerbku dla praw podmiotów danych na mocy art. 73 i 75.

2. Zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających w jednym państwie członkowskim, które pragną opracować kodeksy postępowania bądź zmienić lub uzupełnić obowiązujące kodeksy postępowania, mogą przedstawić je organowi nadzorczemu w tym państwie członkowskim celem zasięgnięcia opinii. Organ nadzorczy może wydać opinię dotyczącą zgodności projektu kodeksu postępowania lub proponowanej zmiany z niniejszym rozporządzeniem. Organ nadzorczy zasięga opinii podmiotów danych lub ich przedstawicieli na temat tych projektów.

2. Zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających w jednym państwie członkowskim, które pragną opracować kodeksy postępowania bądź zmienić lub uzupełnić obowiązujące kodeksy postępowania, mogą przedstawić je organowi nadzorczemu w tym państwie członkowskim celem zasięgnięcia opinii. Organ nadzorczy bez zbędnej zwłoki wydaje opinię dotyczącą zgodności przetwarzania na mocy projektu kodeksu postępowania lub proponowanej zmiany z niniejszym rozporządzeniem. Organ nadzorczy zasięga opinii podmiotów danych lub ich przedstawicieli na temat tych projektów.

3. Zrzeszenia i inne podmioty reprezentujące pewne kategorie administratorów w wielu państwach członkowskich mogą przedkładać Komisji projekty kodeksów postępowania i zmiany lub uzupełnienia obowiązujących kodeksów postępowania.

3. Zrzeszenia i inne podmioty reprezentujące pewne kategorie administratorów lub podmiotów przetwarzających w wielu państwach członkowskich mogą przedkładać Komisji projekty kodeksów postępowania i zmiany lub uzupełnienia obowiązujących kodeksów postępowania.

4. Komisja może przyjąć akty wykonawcze w celu podjęcia decyzji, czy kodeksy postępowania i zmiany lub uzupełnienia obowiązujących kodeksów postępowania przedłożone jej na mocy ust. 3 mają ogólną moc obowiązującą w całej Unii. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą określoną w art. 87 ust. 2.

4. Komisja jest uprawniona do przyjmowania aktów delegowanych po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, zgodnie z art. 86, w celu podjęcia decyzji, czy kodeksy postępowania i zmiany lub uzupełnienia obowiązujących kodeksów postępowania przedłożone jej na mocy ust. 3 są zgodne z niniejszym rozporządzeniem i mają ogólną moc obowiązującą w całej Unii. Takie akty delegowane przyznają podmiotom danych egzekwowalne prawa.

5. Komisja zapewnia odpowiednie propagowanie informacji i kodeksach, których ogólną moc obowiązującą stwierdzono zgodnie z ust. 4.

5. Komisja zapewnia odpowiednie propagowanie informacji i kodeksach, których ogólną moc obowiązującą stwierdzono zgodnie z ust. 4.

Poprawka  136

Wniosek dotyczący rozporządzenia

Artykuł 39

Tekst proponowany przez Komisję

Poprawka

Certyfikacja

Certyfikacja

1. Państwa członkowskie i Komisja zachęcają, w szczególności na poziomie europejskim, do ustanawiania mechanizmów certyfikacji w zakresie danych osobowych oraz pieczęci i oznaczeń w zakresie ochrony danych, które umożliwią podmiotom danych szybką ocenę poziomu ochrony danych zapewnionej przez administratorów i podmioty przetwarzające. Mechanizmy certyfikacji w zakresie ochrony danych przyczyniają się właściwego stosowania niniejszego rozporządzenia, z uwzględnieniem szczególnych cech różnych sektorów oraz rozmaitych operacji przetwarzania.

 

 

1a. Dowolny administrator lub podmiot przetwarzający może zwrócić się do dowolnego organu nadzorczego w Unii, za racjonalną opłatą uwzględniającą koszty administracyjne, o poświadczenie, że przetwarzanie danych osobowych odbywa się zgodnie z niniejszym rozporządzeniem, w szczególności z zasadami określonymi w art. 5, 23 i 30, z obowiązkami administratora i podmiotu przetwarzającego oraz z prawami podmiotu danych.

 

1b. Certyfikacja jest dobrowolna, niedroga i dostępna w ramach przejrzystego procesu, który nie jest nadmiernie uciążliwy.

 

1c. Organy nadzorcze oraz Europejska Rada Ochrony Danych współpracują w ramach mechanizmu zgodności zgodnie z art. 57 w celu zagwarantowania zharmonizowanej certyfikacji ochrony danych, w tym zharmonizowanych opłat w Unii.

 

1d. Podczas procedury certyfikacji organ nadzorczy może akredytować audytorów działających z ramienia wyspecjalizowanych stron trzecich do przeprowadzenia w jego imieniu kontroli administratora lub podmiotu przetwarzającego. Audytorzy działający z ramienia stron trzecich mają wystarczający wykwalifikowany personel, są bezstronni i wolni od wszelkich konfliktów interesów w odniesieniu do swoich obowiązków. Organy nadzorcze odwołują akredytację, jeżeli istnieją powody, by uważać, że audytor nie wypełnia należycie swoich obowiązków. Ostateczna certyfikacja zapewniana jest przez organ nadzorczy.

 

1e. Organy nadzorcze przyznają administratorom i podmiotom przetwarzającym, co do których w wyniku audytu poświadczono, że przetwarzają dane osobowe zgodnie z niniejszym rozporządzeniem, standardowe oznaczenie w zakresie ochrony danych nazywane „europejską pieczęcią w zakresie ochrony danych”.

 

1f. Europejska pieczęć w zakresie ochrony danych jest ważna tak długo, jak długo operacja przetwarzania danych prowadzone przez akredytowanego administratora lub podmiot przetwarzający są w pełni zgodne z niniejszym rozporządzeniem.

 

1g. Niezależnie od ust. 1f, certyfikacja jest ważna najwyżej przez pięć lat.

 

1h. Europejska Rada Ochrony Danych ustanawia publiczny rejestr elektroniczny, w którym ogół społeczeństwa może zapoznać się ze wszystkimi ważnymi i nieważnymi certyfikatami wydanymi w państwach członkowskich.

 

1i. Europejska Rada Ochrony Danych może z własnej inicjatywy poświadczyć, że standard techniczny służący wzmocnieniu ochrony danych jest zgodny z niniejszym rozporządzeniem.

2. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących mechanizmów certyfikacji w zakresie ochrony danych, o których mowa w ust. 1, w tym warunków przyznawania i odwoływania, oraz wymogów w zakresie uznawania na terytorium Unii i w państwach trzecich.

2. Komisja jest uprawniona do przyjmowania – po zasięgnięciu opinii Europejskiej Rady Ochrony Danych i po konsultacji z zainteresowanymi stronami, w szczególności z przedstawicielami przemysłu i organizacjami pozarządowymi – aktów delegowanych zgodnie z art. 86, w celu doprecyzowania kryteriów i wymogów dotyczących mechanizmów certyfikacji w zakresie ochrony danych, o których mowa w ust. 1a–1h, w tym wymogów dotyczących akredytacji audytorów, warunków przyznawania i odwoływania, oraz wymogów w zakresie uznawania i promowania na terytorium Unii i w państwach trzecich. Takie akty delegowane przyznają podmiotom danych egzekwowalne prawa.

3. Komisja może ustanowić standardy techniczne dla mechanizmów certyfikacji oraz pieczęci i oznaczeń w zakresie ochrony danych, a także sposoby promowania i uznawania mechanizmów certyfikacji oraz pieczęci i oznaczeń w zakresie ochrony danych. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą określoną w art. 87 ust. 2.

 

Poprawka  137

Wniosek dotyczący rozporządzenia

Artykuł 41

Tekst proponowany przez Komisję

Poprawka

Przekazywanie na podstawie decyzji stwierdzającej odpowiedni poziom ochrony

Przekazywanie na podstawie decyzji stwierdzającej odpowiedni poziom ochrony

1. Przekazanie może nastąpić, jeżeli Komisja zdecydowała, iż państwo trzecie, terytorium lub sektor, w którym odbywa się przetwarzanie danych w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony. Takie przekazanie nie wymaga żadnego dodatkowego zezwolenia.

1. Przekazanie może nastąpić, jeżeli Komisja zdecydowała, iż państwo trzecie, terytorium lub sektor, w którym odbywa się przetwarzanie danych w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony. Takie przekazanie nie wymaga żadnego specjalnego zezwolenia.

2. Przy ocenie odpowiedniości poziomu ochrony Komisja uwzględnia następujące elementy:

2. Przy ocenie odpowiedniości poziomu ochrony Komisja uwzględnia następujące elementy:

a) praworządność, ogólne i sektorowe przepisy obowiązujące w tym zakresie, w tym dotyczące bezpieczeństwa publicznego, obronności, bezpieczeństwa narodowego i prawa karnego, zasad wykonywania zawodu i środków bezpieczeństwa, które są przestrzegane w tym państwie lub organizacji międzynarodowej, a także skuteczne i egzekwowalne prawa, w tym prawa do skutecznych administracyjnych i sądowych środków ochrony prawnej przysługujące podmiotom danych, w szczególności tym podmiotom danych mającym miejsce zamieszkania w Unii, których dane osobowe są przekazywane;

a) praworządność, ogólne i sektorowe przepisy obowiązujące w tym zakresie, w tym dotyczące bezpieczeństwa publicznego, obronności, bezpieczeństwa narodowego i prawa karnego, a także wdrożenie tych przepisów, zasad wykonywania zawodu i środków bezpieczeństwa, które są przestrzegane w tym państwie lub organizacji międzynarodowej, precedensy prawne, a także skuteczne i egzekwowalne prawa, w tym prawa do skutecznych administracyjnych i sądowych środków ochrony prawnej przysługujące podmiotom danych, w szczególności tym podmiotom danych mającym miejsce zamieszkania w Unii, których dane osobowe są przekazywane;

b) istnienie i skuteczne działanie przynajmniej jednego niezależnego organu nadzorczego w państwie trzecim lub organizacji międzynarodowej, odpowiedzialnego za zapewnienie zgodności z przepisami o ochronie danych, pomoc i doradzanie podmiotom danych w zakresie wykonania przysługujących im praw, a także współpracę z organami nadzorczymi Unii i państw członkowskich; oraz

b) istnienie i skuteczne działanie przynajmniej jednego niezależnego organu nadzorczego w państwie trzecim lub organizacji międzynarodowej, odpowiedzialnego za zapewnienie zgodności z przepisami o ochronie danych, w tym wystarczające uprawnienia do nakładania sankcji, pomoc i doradzanie podmiotom danych w zakresie wykonania przysługujących im praw, a także współpracę z organami nadzorczymi Unii i państw członkowskich; oraz

c) międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie lub organizację międzynarodową.

c) międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie lub organizację międzynarodową, w szczególności wszelkie prawnie wiążące konwencje lub instrumenty odnoszące się od ochrony danych osobowych.

3. Komisja może zdecydować, że państwo trzecie, terytorium lub sektor, w którym odbywa się przetwarzanie danych w państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony w rozumieniu ust. 2. Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

3. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86, aby zdecydować, że państwo trzecie, terytorium lub sektor, w którym odbywa się przetwarzanie danych w państwie trzecim, lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony w rozumieniu ust. 2. Takie akty delegowane przewidują klauzulę wygaśnięcia, jeżeli dotyczą sektora przetwarzania, i zostają uchylone zgodnie z ust. 5, gdy tylko odpowiedni poziom ochrony danych zgodnie z niniejszym rozporządzeniem przestaje być zapewniony.

4. Akty wykonawcze określają geograficzny i sektorowy zakres stosowania oraz, w stosownych przypadkach, wskazują organ nadzorczy wymieniony w ust. 2 lit. b).

4. Akty delegowane określają terytorialny i sektorowy zakres stosowania oraz, w stosownych przypadkach, wskazują organ nadzorczy wymieniony w ust. 2 lit. b).

 

4a. Komisja w trybie ciągłym monitoruje zachodzące w państwach trzecich i organizacjach międzynarodowych zmiany, które mogłyby wpłynąć na elementy wymienione w ust. 2, w przypadku gdy przyjęto akt delegowany na mocy ust. 3.

5. Komisja może zdecydować, że państwo trzecie, terytorium lub sektor, w którym odbywa się przetwarzanie danych w państwie trzecim lub organizacja międzynarodowa nie zapewniają właściwego poziomu ochrony w rozumieniu ust. 2 tego artykułu, w szczególności w przypadkach w których odnośne przepisy ogólne i sektorowe obowiązujące w państwie trzecim lub organizacji międzynarodowej nie gwarantują skutecznych i egzekwowalnych praw, w tym prawa do skutecznych administracyjnych i sądowych środków ochrony prawnej podmiotom danych, w szczególności tym podmiotom danych mającym miejsce zamieszkania w Unii, których dane osobowe są przetwarzane. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2 lub w przypadkach wyjątkowo pilnych w odniesieniu do osób fizycznych w zakresie ich prawa do ochrony danych osobowych, zgodnie z procedurą, o której mowa w art. 87 ust. 3.

5. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu zdecydowania, że państwo trzecie, terytorium lub sektor, w którym odbywa się przetwarzanie danych w państwie trzecim lub organizacja międzynarodowa nie zapewniają właściwego poziomu ochrony – lub przestały zapewniać taki poziom – w rozumieniu ust. 2 tego artykułu, w szczególności w przypadkach, w których odnośne przepisy ogólne i sektorowe obowiązujące w państwie trzecim lub organizacji międzynarodowej nie gwarantują skutecznych i egzekwowalnych praw, w tym prawa do skutecznych administracyjnych i sądowych środków ochrony prawnej podmiotom danych, w szczególności tym podmiotom danych mającym miejsce zamieszkania w Unii, których dane osobowe są przetwarzane.

6. W przypadku podjęcia przez Komisję decyzji na mocy art. 5 wszelkie operacje przekazywania danych osobowych do państwa trzeciego, na terytorium lub do sektora, w którym odbywa się przetwarzanie danych w tym państwie lub do organizacji międzynarodowej są zakazane, bez uszczerbku dla przepisów art. 42-44. We właściwym czasie Komisja przystąpi do konsultacji z państwem trzecim lub organizacją międzynarodową w celu zaradzenia sytuacji wynikającej z decyzji podjętej na mocy ust. 5 tego artykułu.

6. W przypadku podjęcia przez Komisję decyzji na mocy art. 5 wszelkie operacje przekazywania danych osobowych do państwa trzeciego, na terytorium lub do sektora, w którym odbywa się przetwarzanie danych w tym państwie lub do organizacji międzynarodowej są zakazane, bez uszczerbku dla przepisów art. 42-44. We właściwym czasie Komisja przystąpi do konsultacji z państwem trzecim lub organizacją międzynarodową w celu zaradzenia sytuacji wynikającej z decyzji podjętej na mocy ust. 5 tego artykułu.

 

6a. Przed przyjęciem aktu delegowanego zgodnie z ust. 3 i 5 Komisja zwraca się do Europejskiej Rady Ochrony Danych o przedstawienie opinii na temat odpowiedniości poziomu ochrony. W tym celu Komisja udostępnia Europejskiej Radzie Ochrony Danych wszelką niezbędną dokumentację, w tym korespondencję z rządem państwa trzeciego, terytorium lub sektorem przetwarzającym w tym państwie trzecim lub organizacją międzynarodową.

7. Komisja publikuje w Dzienniku Urzędowym Unii Europejskiej wykaz tych państw trzecich, terytoriów i sektorów, w których odbywa się przetwarzanie danych w państwie trzecim oraz organizacji międzynarodowych, co do których zdecydowano, że zapewniają odpowiedni poziom ochrony lub tego poziomu nie zapewniają.

7. Komisja publikuje w Dzienniku Urzędowym Unii Europejskiej i na swojej stronie internetowej wykaz tych państw trzecich, terytoriów i sektorów, w których odbywa się przetwarzanie danych w państwie trzecim oraz organizacji międzynarodowych, co do których zdecydowano, że zapewniają odpowiedni poziom ochrony lub tego poziomu nie zapewniają.

8. Decyzje przyjęte przez Komisję na mocy art. 25 ust. 6 lub art. 26 ust. 4 dyrektywy 95/46/WE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia przez Komisję.

8. Decyzje przyjęte przez Komisję na mocy art. 25 ust. 6 lub art. 26 ust. 4 dyrektywy 95/46/WE pozostają w mocy przez okres pięciu lat po wejściu w życie niniejszego rozporządzenia, chyba że zostaną zmienione, zastąpione lub uchylone przez Komisję przed upływem tego okresu.

Poprawka  138

Wniosek dotyczący rozporządzenia

Artykuł 42

Tekst proponowany przez Komisję

Poprawka

Operacje przekazywania dzięki odpowiednim gwarancjom

Operacje przekazywania dzięki odpowiednim gwarancjom

1. W przypadkach, w których Komisja nie podjęła decyzji na mocy art. 41, administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej jedynie wtedy, gdy wprowadzą oni odpowiednie gwarancje w zakresie ochrony danych do prawnie wiążącego instrumentu.

1. Gdy Komisja nie podjęła decyzji na mocy art. 41 lub uznała, że państwo trzecie lub terytorium lub sektor przetwarzający w tym państwie trzecim lub organizacja międzynarodowa nie zapewniają wystarczającego poziomu ochrony zgodnie z art. 41 ust. 5, administrator lub podmiot przetwarzający nie mogą przekazywać danych osobowych do państwa trzeciego lub organizacji międzynarodowej, chyba że wprowadzą oni odpowiednie gwarancje w zakresie ochrony danych do prawnie wiążącego instrumentu.

2. Odpowiednie gwarancje, o których mowa w ust. 1, mogą mieć w szczególności postać:

2. Odpowiednie gwarancje, o których mowa w ust. 1, mogą mieć w szczególności postać:

a) wiążących reguł korporacyjnych zgodnie z art. 43, lub:

a) wiążących reguł korporacyjnych zgodnie z art. 43; lub:

 

aa) ważnej „europejskiej pieczęci w zakresie ochrony danych” dla administratora i odbiorcy zgodnie z art. 39 ust. 1e; lub

b) standardowych klauzul ochrony danych przyjętych przez Komisję. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2; lub

 

c) standardowych klauzul ochrony danych przyjętych przez organ nadzorczy zgodnie z mechanizmem zgodności, o którym w art. 57, w przypadku gdy Komisja uzna je za ogólnie obowiązujące na mocy art. 62 ust. 1 lit. b); lub

c) standardowych klauzul ochrony danych przyjętych przez organ nadzorczy zgodnie z mechanizmem zgodności, o którym w art. 57, w przypadku gdy Komisja uzna je za ogólnie obowiązujące na mocy art. 62 ust. 1 lit. b); lub

 

d) klauzul umownych podpisanych między administratorem lub podmiotem przetwarzającym a odbiorcą danych upoważnionym przez organ nadzorczy zgodnie z ust. 4.

d) klauzul umownych podpisanych między administratorem lub podmiotem przetwarzającym a odbiorcą danych upoważnionym przez organ nadzorczy zgodnie z ust. 4.

3. Operacja przekazywania na podstawie standardowych klauzul ochrony danych lub wiążących reguł korporacyjnych, o których mowa w ust. 2 lit. a), b) lub c), nie wymaga dodatkowego zezwolenia.

3. Operacja przekazywania na podstawie standardowych klauzul ochrony danych, „europejskiej pieczęci w zakresie ochrony danych” lub wiążących reguł korporacyjnych, o których mowa w ust. 2 lit. a), aa) lub c), nie wymaga specjalnego zezwolenia.

4. Jeśli operacja przekazywania odbywa się na podstawie klauzul umownych, o których mowa w ust. 2 lit. d) niniejszego artykułu, administrator lub podmiot przetwarzający uzyskują od organu nadzorczego uprzednie zezwolenie na zastosowanie klauzul umownych zgodnie z art. 34 ust. 1 lit. a). Jeśli przekazanie wiąże się z przetwarzaniem, które dotyczy podmiotów danych w innym państwie członkowskim lub innych państwach członkowskich bądź ma istotny wpływ na swobodny przepływ danych osobowych w całej Unii, organ nadzorczy stosuje mechanizm zgodności, o którym mowa w art. 57.

4. Jeśli operacja przekazywania odbywa się na podstawie klauzul umownych, o których mowa w ust. 2 lit. d) niniejszego artykułu, administrator lub podmiot przetwarzający uzyskują od organu nadzorczego uprzednie zezwolenie na zastosowanie klauzul umownych. Jeśli przekazanie wiąże się z przetwarzaniem, które dotyczy podmiotów danych w innym państwie członkowskim lub innych państwach członkowskich bądź ma istotny wpływ na swobodny przepływ danych osobowych w całej Unii, organ nadzorczy stosuje mechanizm zgodności, o którym mowa w art. 57.

5. Jeśli prawnie wiążący instrument nie przewiduje odpowiednich gwarancji w zakresie ochrony danych, administrator lub podmiot przetwarzający uzyskują uprzednie zezwolenie na przekazanie lub przekazywanie lub też na włączenie stosownych przepisów do porozumień administracyjnych przewidujących podstawę takiego przekazania. Takie zezwolenie organu nadzorczego jest zgodne z art. 34 ust. 1 lit. a). Jeśli przekazanie wiąże się z przetwarzaniem, które dotyczy podmiotów danych w innym państwie członkowskim lub innych państwach członkowskich bądź ma istotny wpływ na swobodny przepływ danych osobowych w całej Unii, organ nadzorczy stosuje mechanizm zgodności, o którym mowa w art. 57. Zezwolenia wydane przez organ nadzorczy na podstawie art. 26 ust. 2 dyrektywy 95/46/WE zachowują ważność do czasu ich zmiany, zastąpienia lub uchylenia przez ten organ.

5. Zezwolenia wydane przez organ nadzorczy na podstawie art. 26 ust. 2 dyrektywy 95/46/WE zachowują ważność prze okres dwóch lat po wejściu w życie niniejszego rozporządzenia, chyba że zostaną zmienione, zastąpione lub uchylone przez ten organ przed upływem tego okresu.

Poprawka       139

Wniosek dotyczący rozporządzenia

Artykuł 43

Tekst proponowany przez Komisję

Poprawka

Operacje przekazywania na podstawie wiążących reguł korporacyjnych

Operacje przekazywania na podstawie wiążących reguł korporacyjnych

1. Organ nadzorczy zatwierdza wiążące reguły korporacyjne zgodnie z mechanizmem zgodności przewidzianym w art. 58 pod warunkiem, że:

1. Organ nadzorczy zatwierdza wiążące reguły korporacyjne zgodnie z mechanizmem zgodności przewidzianym w art. 58 pod warunkiem, że:

a) są one prawnie wiążące i mają zastosowanie do oraz są egzekwowane przez wszystkich członków grupy przedsiębiorstw administratora lub podmiotu przetwarzającego, i obejmują ich pracowników;

a) są one prawnie wiążące i mają zastosowanie do oraz są egzekwowane przez wszystkich członków grupy przedsiębiorstw administratora oraz tych zewnętrznych podwykonawców, którzy podlegają wiążącym regułom korporacyjnych, i obejmują ich pracowników;

b) wyraźnie przyznają podmiotom danych egzekwowalne prawa;

b) wyraźnie przyznają podmiotom danych egzekwowalne prawa;

c) spełniają wymogi ustanowione w ust. 2.

c) spełniają wymogi ustanowione w ust. 2.

 

1a. Co się tyczy danych dotyczących zatrudnienia, przedstawiciele pracowników są informowani o sporządzaniu wiążących reguł korporacyjnych na mocy z art. 43 i uczestniczą w ich sporządzaniu zgodnie z prawem i praktyką Unii lub państwa członkowskiego.

2. Wiążące reguły korporacyjne określają co najmniej:

2. Wiążące reguły korporacyjne określają co najmniej:

a) strukturę i dane kontaktowe grupy przedsiębiorstw i jej członków;

a) strukturę i dane kontaktowe grupy przedsiębiorstw i jej członków oraz tych zewnętrznych podwykonawców, którzy podlegają wiążącym regułom korporacyjnym;

b) operację lub zestaw operacji przekazywania danych, w tym kategorie danych osobowych, rodzaj przetwarzania i jego cele, typy podmiotów danych oraz nazwę państwa trzeciego lub państw trzecich:

b) operację lub zestaw operacji przekazywania danych, w tym kategorie danych osobowych, rodzaj przetwarzania i jego cele, typy podmiotów danych oraz nazwę państwa trzeciego lub państw trzecich:

c) ich prawnie wiążący charakter, w wymiarze wewnętrznym i zewnętrznym;

c) ich prawnie wiążący charakter, w wymiarze wewnętrznym i zewnętrznym;

d) ogólne zasady ochrony danych, w szczególności zasadę celowości, jakość danych, podstawę prawna przetwarzania, przetwarzanie szczególnie chronionych danych osobowych, środki mające na celu zapewnienie bezpieczeństwa danych oraz wymogi w zakresie wtórnego przekazywania organizacjom, które nie są związane politykami;

d) ogólne zasady ochrony danych, w szczególności zasadę celowości, zasadę minimalizacji danych, ograniczone okresy przechowywania, jakość danych, ochronę danych w fazie projektowania oraz domyślną ochronę danych, podstawę prawną przetwarzania, przetwarzanie szczególnie chronionych danych osobowych, środki mające na celu zapewnienie bezpieczeństwa danych oraz wymogi w zakresie wtórnego przekazywania organizacjom, które nie są związane zasadami;

e) prawa podmiotów danych oraz środki umożliwiające wykonywanie tych praw, w tym prawo do niepodlegania środkowi opartemu na profilowaniu zgodnie z art. 20, prawo do zgłaszania skarg właściwemu organowi nadzorczemu i przed właściwymi sądami państw trzecich zgodnie z art. 75 oraz prawo do uzyskania środka zaradczego i w stosownych przypadkach odszkodowania za naruszenie wiążących reguł korporacyjnych;

e) prawa podmiotów danych oraz środki umożliwiające wykonywanie tych praw, w tym prawo do niepodlegania środkowi opartemu na profilowaniu zgodnie z art. 20, prawo do zgłaszania skarg właściwemu organowi nadzorczemu i przed właściwymi sądami państw trzecich zgodnie z art. 75 oraz prawo do uzyskania środka zaradczego i w stosownych przypadkach odszkodowania za naruszenie wiążących reguł korporacyjnych;

f) przyjęcia przez administratora lub podmiot przetwarzający mających siedzibę na terytorium państwa członkowskiego odpowiedzialności za naruszenie wiążących reguł korporacyjnych przez członka grupy przedsiębiorstw niemającego siedziby na terytorium Unii; administrator lub podmiot przetwarzający mogą być zwolnieni z tej odpowiedzialności, w całości lub w części, jeśli udowodnią, że członek ten nie ponosi odpowiedzialności za wydarzenie, które doprowadziło do powstania szkody;

f) przyjęcia przez administratora mającego siedzibę na terytorium państwa członkowskiego odpowiedzialności za naruszenie wiążących reguł korporacyjnych przez członka grupy przedsiębiorstw niemającego siedziby na terytorium Unii; administrator może być zwolniony z tej odpowiedzialności, w całości lub w części, jeśli udowodni, że członek ten nie ponosi odpowiedzialności za wydarzenie, które doprowadziło do powstania szkody;

g) sposób przekazywania podmiotom danych informacji na temat wiążących reguł korporacyjnych, w szczególności na temat przepisów, o których mowa w lit. d), e) i f) tego ustępu zgodnie z art. 11;

g) sposób przekazywania podmiotom danych informacji na temat wiążących reguł korporacyjnych, w szczególności na temat przepisów, o których mowa w lit. d), e) i f) tego ustępu zgodnie z art. 11;

h) zadania inspektora ochrony danych wyznaczonego zgodnie z art. 35, w tym monitorowanie w ramach grupy przedsiębiorstw zgodności z wiążącymi regułami korporacyjnymi, a także monitorowanie szkoleń i rozpatrywania skarg;

h) zadania inspektora ochrony danych wyznaczonego zgodnie z art. 35, w tym monitorowanie w ramach grupy przedsiębiorstw zgodności z wiążącymi regułami korporacyjnymi, a także monitorowanie szkoleń i rozpatrywania skarg;

i) mechanizmy obowiązujące w grupie przedsiębiorstw, które mają na celu zapewnienie weryfikacji przestrzegania wiążących reguł korporacyjnych;

i) mechanizmy obowiązujące w grupie przedsiębiorstw, które mają na celu zapewnienie weryfikacji przestrzegania wiążących reguł korporacyjnych;

j) mechanizmy dotyczące zgłaszania i rejestrowania zmian w politykach i zgłaszania tych zmian organowi nadzorczemu;

j) mechanizmy dotyczące zgłaszania i rejestrowania zmian w zasadach i zgłaszania tych zmian organowi nadzorczemu;

k) mechanizm współpracy z organem nadzorczym mającej na celu zapewnienie przestrzegania przez wszystkich członków grupy przedsiębiorstw, w szczególności poprzez udostępnienie organowi nadzorczemu wyników weryfikacji środków, o których mowa w lit. i) tego ustępu.

k) mechanizm współpracy z organem nadzorczym mającej na celu zapewnienie przestrzegania przez wszystkich członków grupy przedsiębiorstw, w szczególności poprzez udostępnienie organowi nadzorczemu wyników weryfikacji środków, o których mowa w lit. i) tego ustępu.

3. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących wiążących reguł korporacyjnych w rozumieniu tego artykułu, w szczególności jeśli chodzi o kryteria ich zatwierdzania, stosowanie ust. 2 lit. b), d) i e) do wiążących reguł korporacyjnych, które przyjęły podmioty przetwarzające oraz innych niezbędnych wymogów w celu zapewnienia ochrony danych osobowych osoby, której one dotyczą.

3. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania formatu, procedur, kryteriów i wymogów dotyczących wiążących reguł korporacyjnych w rozumieniu tego artykułu, w szczególności jeśli chodzi o kryteria ich zatwierdzania, w tym przejrzystość dla podmiotów danych, stosowanie ust. 2 lit. b), d) i e) do wiążących reguł korporacyjnych, które przyjęły podmioty przetwarzające, oraz innych niezbędnych wymogów w celu zapewnienia ochrony danych osobowych osoby, której one dotyczą.

4. Komisja może wskazać format i procedury wymiany informacji drogą elektroniczną między administratorami, podmiotami przetwarzającymi i organami nadzorczymi do celów wiążących reguł korporacyjnych w rozumieniu tego artykułu. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą określoną w art. 87 ust. 2.

 

Poprawka  140

Wniosek dotyczący rozporządzenia

Artykuł 43 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 43a

 

Przekazywanie lub ujawnianie niedozwolone na mocy prawa Unii

 

1. Żadne orzeczenie sądu lub trybunału ani żadna decyzja organu administracyjnego państwa trzeciego wymagające od administratora lub podmiotu przetwarzającego ujawnienia danych osobowych nie są uznawane ani wykonalne w jakikolwiek sposób, bez uszczerbku dla traktatów o wzajemnej pomocy lub obowiązujących umów międzynarodowych zawartych między wnioskującym państwem trzecim a Unią Europejską lub państwem członkowskim.

 

2. Gdy na mocy orzeczenia sądu lub trybunału lub na mocy decyzji organu administracyjnego państwa trzeciego administratora lub podmiot przetwarzający otrzymuje wniosek o ujawnienie danych osobowych, administrator lub podmiot przetwarzający oraz przedstawiciel administratora, o ile został wyznaczony, informują właściwy organ nadzorczy, bez nieuzasadnionej zwłoki, o takim wniosku i muszą otrzymać uprzednie zezwolenie na przekazanie lub ujawnienie od organu nadzorczego.

 

3. Organ nadzorczy ocenia zgodność ujawnienia danych, którego dotyczy wniosek, z niniejszym rozporządzeniem, a w szczególności ocenia, czy ujawnienie danych jest konieczne i prawnie wymagane zgodnie z art. 44 ust. 1 lit. d) i e) oraz art. 44 ust. 5. Gdy ma to wpływ na podmioty danych z innych państw członkowskich, organ nadzorczy stosuje mechanizm zgodności, o którym mowa w art. 57.

 

4. Organ nadzorczy informuje właściwy organ krajowy o wniosku. Bez uszczerbku dla art. 21, administrator lub podmiot przetwarzający informują podmioty danych o wniosku i zezwoleniu ze strony organu nadzorczego oraz, w stosownych przypadkach, informują podmiot danych o tym, czy dane osobowe były przekazywane organom publicznym w okresie ostatnich 12 kolejnych miesięcy, zgodnie z art. 14 ust. 1lit. ha).

Poprawka  141

Wniosek dotyczący rozporządzenia

Artykuł 44

Tekst proponowany przez Komisję

Poprawka

Odstępstwa

Odstępstwa

1. W braku decyzji stwierdzającej odpowiedni poziom ochrony na mocy art. 41 lub odpowiednich gwarancji na mocy art. 42, operacja lub zestaw operacji przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie pod warunkiem, że:

1. W braku decyzji stwierdzającej odpowiedni poziom ochrony na mocy art. 41 lub odpowiednich gwarancji na mocy art. 42, operacja lub zestaw operacji przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie pod warunkiem, że:

a) podmiot danych wyraził zgodę na proponowane przekazanie, po uzyskaniu informacji o zagrożeniach związanych z takim przekazaniem ze względu na brak decyzji stwierdzającej odpowiedni poziom ochrony oraz odpowiednich gwarancji; lub

a) podmiot danych wyraził zgodę na proponowane przekazanie, po uzyskaniu informacji o zagrożeniach związanych z takim przekazaniem ze względu na brak decyzji stwierdzającej odpowiedni poziom ochrony oraz odpowiednich gwarancji; lub

b) przekazanie jest niezbędne do wykonania umowy między podmiotem danych a administratorem lub wprowadzenia w życie środków poprzedzających umowę na wniosek podmiotu danych; lub

b) przekazanie jest niezbędne do wykonania umowy między podmiotem danych a administratorem lub wprowadzenia w życie środków poprzedzających umowę na wniosek podmiotu danych; lub

c) przekazanie jest konieczne do zawarcia lub wykonania umowy zawartej w interesie podmiotu danych między administratorem a inną osobą fizyczną lub prawną, lub

c) przekazanie jest konieczne do zawarcia lub wykonania umowy zawartej w interesie podmiotu danych między administratorem a inną osobą fizyczną lub prawną, lub

d) przekazanie jest niezbędne ze względu na istotny interes publiczny; lub

d) przekazanie jest niezbędne ze względu na istotny interes publiczny; lub

e) przekazanie jest niezbędne do ustalania, realizacji lub ochrony roszczeń prawnych; lub

e) przekazanie jest niezbędne do ustalania, realizacji lub ochrony roszczeń prawnych; lub

f) przekazanie jest konieczne do ochrony żywotnych interesów podmiotu danych lub innej osoby, w przypadku gdy podmiot danych nie ma fizycznej lub prawnej zdolności do wyrażenia zgody; lub

f) przekazanie jest konieczne do ochrony żywotnych interesów podmiotu danych lub innej osoby, w przypadku gdy podmiot danych nie ma fizycznej lub prawnej zdolności do wyrażenia zgody; lub

g) przekazanie następuje z rejestru, który zgodnie z prawem Unii lub państwa członkowskiego ma służyć za źródło informacji dla ogółu społeczeństwa, udostępnionego do konsultacji obywateli i każdej osoby mogącej wykazać słuszny interes, o ile warunki określone przez prawo Unii lub państwa członkowskiego odnośnie do wglądu do takiego rejestru zostały w danym przypadku spełnione; lub

g) przekazanie następuje z rejestru, który zgodnie z prawem Unii lub państwa członkowskiego ma służyć za źródło informacji dla ogółu społeczeństwa, udostępnionego do konsultacji obywateli i każdej osoby mogącej wykazać uzasadniony interes, o ile warunki określone przez prawo Unii lub państwa członkowskiego odnośnie do wglądu do takiego rejestru zostały w danym przypadku spełnione.

h) przekazanie jest konieczne dla potrzeb wynikających ze słusznych interesów administratora lub podmiotu przetwarzającego, których nie można uznać za częste lub masowe i jeżeli administrator lub podmiot przetwarzający ocenili wszystkie okoliczności towarzyszące operacji przekazywania danych lub operacjom przekazywania danych i na podstawie tej oceny w razie potrzeby przewidzieli odpowiednie gwarancje w zakresie ochrony danych osobowych.

 

2. Przekazanie na mocy ust. 1 lit. g) nie obejmuje całości danych osobowych lub wszystkich kategorii danych osobowych obecnych w rejestrze. Jeśli rejestr służy do wglądu osobom mającym uzasadniony interes, przekazanie następuje jedynie na wniosek tych osób lub jeśli mają one być odbiorcami tych danych.

2. Przekazanie na mocy ust. 1 lit. g) nie obejmuje całości danych osobowych lub wszystkich kategorii danych osobowych obecnych w rejestrze. Jeśli rejestr służy do wglądu osobom mającym uzasadniony interes, przekazanie następuje jedynie na wniosek tych osób lub jeśli mają one być odbiorcami tych danych.

3. Jeśli przetwarzanie odbywa się na podstawie ust. 1 lit. h), administrator lub podmiot przetwarzający zwracają szczególną uwagę na charakter danych, cel i czas trwania planowanej operacji przetwarzania lub planowanych operacji przetwarzania, a także sytuację w państwie pochodzenia, państwie trzecim i państwie ostatecznego przeznaczenia oraz, w razie potrzeby, istnienie odpowiednich gwarancji w zakresie ochrony danych.

 

4. Ustęp 1 lit. b), c) i h) nie ma zastosowania do działalności prowadzonej przez organy publiczne w ramach wykonywania ich uprawnień publicznych.

4. Ustęp 1 lit. b) i c) nie ma zastosowania do działalności prowadzonej przez organy publiczne w ramach wykonywania ich uprawnień publicznych.

5. Interes publiczny, o którym mowa w ust. 1 lit. d), musi być uznany w prawie Unii lub państwa członkowskiego, któremu podlega administrator.

5. Interes publiczny, o którym mowa w ust. 1 lit. d), musi być uznany w prawie Unii lub państwa członkowskiego, któremu podlega administrator.

6. Administrator lub podmiot przetwarzający sporządzają włączają dokumentację dotyczącą oceny, a także istnienia odpowiednich gwarancji, o których mowa w ust. 1 lit. h) tego artykułu do dokumentacji, o której mowa w art. 28 i informują organ nadzorczy o przekazaniu.

 

7. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania znaczenia „istotnego interesu publicznego” w rozumieniu ust. 1 lit. d), a także kryteriów i wymogów dotyczących odpowiednich gwarancji, o których mowa w ust. 1 lit. h).

7. Europejskiej Radzie Ochrony Danych powierza się zadanie wydawania wytycznych, zaleceń i najlepszych praktyk zgodnie z art. 66 ust. 1 lit. b) w celu doprecyzowania kryteriów i wymogów dotyczących przekazywania danych na podstawie ust. 1.

Poprawka  142

Wniosek dotyczący rozporządzenia

Artykuł 45 – ustęp 1 – litera a

Tekst proponowany przez Komisję

Poprawka

a) opracowania skutecznych mechanizmów współpracy międzynarodowej, by ułatwić egzekwowanie przepisów służących ochronie danych osobowych;

a) opracowania skutecznych mechanizmów współpracy międzynarodowej, by zapewnić egzekwowanie przepisów służących ochronie danych osobowych;

Poprawka  143

Wniosek dotyczący rozporządzenia

Artykuł 45 – ustęp 1 – litera d a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

da) wyjaśnienia i przeprowadzenia konsultacji co do konfliktów jurysdykcji z państwami trzecimi.

Poprawka  144

Wniosek dotyczący rozporządzenia

Artykuł 45 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 45 a

 

Sprawozdanie Komisji

 

Komisja przedstawia Parlamentowi Europejskiemu i Radzie sprawozdanie na temat stosowania artykułów 40–45 w regularnych odstępach czasu, rozpoczynając nie później niż cztery lata od daty określonej w art. 91 ust. 1. W tym celu Komisja może zwrócić się z wnioskiem o przekazanie informacji do państw członkowskich oraz organów nadzorczych, które przekażą te informacje bez zbędnej zwłoki. Sprawozdanie to podaje się do wiadomości publicznej.

Poprawka  145

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Organ nadzorczy działa w sposób w pełni niezależny podczas wykonywania obowiązków i powierzonych mu uprawnień.

1. Organ nadzorczy działa w sposób w pełni niezależny i bezstronny podczas wykonywania obowiązków i powierzonych mu uprawnień, niezależnie od uzgodnień dotyczących współpracy i zgodności związanych z rozdziałem VII niniejszego rozporządzenia.

Poprawka  146

Wniosek dotyczący rozporządzenia

Artykuł 47 – ustęp 7 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

7a. Każde państwo członkowskie dopilnowuje, by organ nadzorczy odpowiadał przed parlamentem danego państwa członkowskiego za kontrolę budżetową.

Poprawka  147

Wniosek dotyczący rozporządzenia

Artykuł 50

Tekst proponowany przez Komisję

Poprawka

Tajemnica służbowa

Tajemnica służbowa

Członkowie i personel organu nadzorczego, podczas kadencji i po jej zakończeniu, podlegają obowiązkowi zachowania tajemnicy służbowej w odniesieniu do wszelkich poufnych informacji, które uzyskali w toku wykonywania obowiązków służbowych.

Członkowie i personel organu nadzorczego, podczas kadencji i po jej zakończeniu oraz zgodnie z krajowym prawodawstwem i praktyką, podlegają obowiązkowi zachowania tajemnicy służbowej w odniesieniu do wszelkich poufnych informacji, które uzyskali w toku wykonywania obowiązków służbowych, a jednocześnie pełnią swoje obowiązki w sposób niezależny i przejrzysty, zgodnie z rozporządzeniem.

Poprawka       148

Wniosek dotyczący rozporządzenia

Artykuł 51 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Każdy organ nadzorczy wykonuje, na terytorium własnego państwa członkowskiego, uprawnienia nadane mu zgodnie z niniejszym rozporządzeniem.

1. Każdy organ nadzorczy posiada kompetencje do pełnienia obowiązków i do wykonywania, na terytorium własnego państwa członkowskiego, uprawnień nadanych mu zgodnie z niniejszym rozporządzeniem, bez uszczerbku dla art. 73 i 74. Przetwarzanie danych przez organ publiczny jest nadzorowane jedynie przez organ nadzorczy tego państwa członkowskiego.

Poprawka  149

Wniosek dotyczący rozporządzenia

Artykuł 51 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. W przypadku gdy przetwarzanie danych osobowych odbywa się w kontekście działalności administratora lub podmiotu przetwarzającego ustanowionych na terytorium Unii, a administrator lub podmiot przetwarzający prowadzą działalność w więcej niż jednym państwie członkowskim, organ nadzorczy głównej siedziby administratora lub podmiotu przetwarzającego jest odpowiedzialny za nadzór nad działalnością administratora lub podmiotu przetwarzającego we wszystkich państwach członkowskich, bez uszczerbku dla przepisów rozdziału VII niniejszego rozporządzenia.

skreślony

Poprawka  150

Wniosek dotyczący rozporządzenia

Artykuł 52 – ustęp 1 – litera b

Tekst proponowany przez Komisję

Poprawka

b) rozpoznaje skargi złożone przez każdy podmiot danych lub przez zrzeszenie reprezentujące podmiot danych, zgodnie z art. 73, prowadzi dochodzenie, we właściwym zakresie, dotyczące danej sprawy i informuje w rozsądnym czasie podmiot danych lub zrzeszenie o postępach w sprawie i wyniku skargi, w szczególności jeżeli niezbędne jest dalsze dochodzenie lub koordynacja z innym organem nadzorczym;

b) rozpoznaje skargi złożone przez każdy podmiot danych lub przez zrzeszenie, zgodnie z art. 73, prowadzi dochodzenie, we właściwym zakresie, dotyczące danej sprawy i informuje w rozsądnym czasie podmiot danych lub zrzeszenie o postępach w sprawie i wyniku skargi, w szczególności jeżeli niezbędne jest dalsze dochodzenie lub koordynacja z innym organem nadzorczym;

Poprawka  151

Wniosek dotyczący rozporządzenia

Artykuł 53 – ustęp 1 – litera d

Tekst proponowany przez Komisję

Poprawka

d) prowadzi dochodzenia albo z własnej inicjatywy albo na podstawie skargi lub wniosku innego organu nadzorczego, i informuje w rozsądnym czasie podmiot danych, jeżeli skierował on skargę do tego organu nadzorczego, o wyniku dochodzeń;

d) prowadzi dochodzenia albo z własnej inicjatywy, albo na podstawie skargi lub otrzymanej konkretnej i udokumentowanej informacji zawierającej zarzut bezprawnego przetwarzania lub wniosku innego organu nadzorczego i informuje w rozsądnym czasie podmiot danych, jeżeli skierował on skargę do tego organu nadzorczego, o wyniku dochodzeń;

Poprawka  152

Wniosek dotyczący rozporządzenia

Artykuł 52 – ustęp 1 – litera j a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

ja) prowadzi certyfikację administratorów i podmiotów przetwarzających zgodnie z art. 39;

Poprawka  153

Wniosek dotyczący rozporządzenia

Artykuł 52 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. Każdy organ nadzorczy działa na rzecz pogłębiania w społeczeństwie świadomości w zakresie ryzyka, przepisów, gwarancji oraz praw związanych z przetwarzaniem danych osobowych. Szczególną uwagę zwraca się na działania skierowane do dzieci.

2. Każdy organ nadzorczy działa na rzecz pogłębiania w społeczeństwie świadomości w zakresie ryzyka, przepisów, gwarancji oraz praw związanych z przetwarzaniem danych osobowych, a także odpowiednich środków ochrony danych osobowych. Szczególną uwagę zwraca się na działania skierowane do dzieci.

Poprawka  154

Wniosek dotyczący rozporządzenia

Artykuł 52 – ustęp 2 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

2a. Każdy organ nadzorczy prowadzi – wspólnie z Europejską Radą Ochrony Danych – działania na rzecz poszerzania wśród administratorów i podmiotów przetwarzających wiedzy na temat ryzyka, przepisów, gwarancji i praw związanych z przetwarzaniem danych osobowych. Obejmuje to prowadzenie rejestru sankcji i naruszeń. Do rejestru powinny być wpisywane zarówno wszystkie ostrzeżenia i sankcje, ze wszelkimi możliwymi szczegółami, jak i rozwiązania zaistniałych naruszeń. Każdy organ nadzorczy udziela administratorom i podmiotom przetwarzającym mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw, na żądanie, ogólnych informacji dotyczących ich odpowiedzialności i obowiązków zgodnie z niniejszym rozporządzeniem.

Poprawka  155

Wniosek dotyczący rozporządzenia

Artykuł 52 – ustęp 6

Tekst proponowany przez Komisję

Poprawka

6. W przypadku gdy żądania są wyraźnie nadmierne, w szczególności ze względu na ich powtarzalny charakter, organ nadzorczy może zażądać opłaty lub nie podjąć działania, o które wnosił podmiot danych. Na organie nadzorczym spoczywa ciężar udowodnienia, że żądanie miało wyraźnie nadmierny charakter.

6. W przypadku gdy żądania są wyraźnie nadmierne, w szczególności ze względu na ich powtarzalny charakter, organ nadzorczy może zażądać racjonalnej opłaty lub nie podjąć działania, o które wnosił podmiot danych. Taka opłata nie może przewyższać kosztów podjęcia żądanego działania. Na organie nadzorczym spoczywa ciężar udowodnienia, że żądanie miało wyraźnie nadmierny charakter.

Poprawka  156

Wniosek dotyczący rozporządzenia

Artykuł 53

Tekst proponowany przez Komisję

Poprawka

Uprawnienia

Uprawnienia

1. Każdy organ nadzorczy jest uprawniony do:

1. Każdy organ nadzorczy, zgodnie z niniejszym rozporządzeniem, jest uprawniony do:

a) zawiadamiania administratora lub podmiotu przetwarzającego o domniemanym naruszeniu przepisów regulujących przetwarzanie danych osobowych, a w stosownych przypadkach, nakazania administratorowi lub podmiotowi przetwarzającemu usunięcia naruszenia w konkretny sposób w celu poprawy ochrony podmiotu danych;

a) zawiadamiania administratora lub podmiotu przetwarzającego o domniemanym naruszeniu przepisów regulujących przetwarzanie danych osobowych, a w stosownych przypadkach nakazania administratorowi lub podmiotowi przetwarzającemu usunięcia naruszenia w konkretny sposób w celu poprawy ochrony podmiotu danych lub nakazania administratorowi poinformowania podmiotu danych o naruszeniu ochrony danych osobowych;

b) nakazania administratorowi lub podmiotowi przetwarzającemu dane spełnienia żądań przedstawionych przez podmioty danych dotyczących skorzystania z praw przewidzianych w niniejszym rozporządzeniu;

b) nakazania administratorowi lub podmiotowi przetwarzającemu dane spełnienia żądań przedstawionych przez podmioty danych dotyczących skorzystania z praw przewidzianych w niniejszym rozporządzeniu;

c) nakazania administratorowi i podmiotowi przetwarzającemu dane, a w stosownych przypadkach przedstawicielowi, dostarczenia każdej informacji istotnej w toku wykonywania jego obowiązków;

c) nakazania administratorowi i podmiotowi przetwarzającemu dane, a w stosownych przypadkach przedstawicielowi, dostarczenia każdej informacji istotnej w toku wykonywania jego obowiązków;

d) zapewnienia zgodności z uprzednimi zezwoleniami i konsultacjami, o których mowa w art. 34;

d) zapewnienia zgodności z uprzednimi zezwoleniami i konsultacjami, o których mowa w art. 34;

e) ostrzegania lub upominania administratora lub podmiotu przetwarzającego;

e) ostrzegania lub upominania administratora lub podmiotu przetwarzającego;

f) nakazania poprawienia, usuwania lub zniszczenia wszystkich danych, jeżeli były one przetwarzane z naruszeniem przepisów niniejszego rozporządzenia oraz powiadomienia o takich działaniach osób trzecich, którym dane zostały ujawnione;

f) nakazania poprawienia, usuwania lub zniszczenia wszystkich danych, jeżeli były one przetwarzane z naruszeniem przepisów niniejszego rozporządzenia oraz powiadomienia o takich działaniach osób trzecich, którym dane zostały ujawnione;

g) nałożenia czasowego lub ostatecznego zakazu przetwarzania;

 

g) nałożenia czasowego lub ostatecznego zakazu przetwarzania;

h) zawieszenia przepływu danych do odbiorcy w państwie trzecim lub w organizacji międzynarodowej;

h) zawieszenia przepływu danych do odbiorcy w państwie trzecim lub w organizacji międzynarodowej;

i) do wydawania opinii na każdy temat związany z ochroną danych osobowych;

i) wydawania opinii na każdy temat związany z ochroną danych osobowych;

 

ia) certyfikacji administratorów i podmiotów przetwarzających zgodnie z art. 39;

j) do informowania parlamentu narodowego, rządu lub innych politycznych instytucji, jak również opinii publicznej o każdym zagadnieniu związanym z ochroną danych osobowych.

j) informowania parlamentu narodowego, rządu lub innych politycznych instytucji, jak również opinii publicznej o każdym zagadnieniu związanym z ochroną danych osobowych;

 

ja) wprowadzenia skutecznych mechanizmów w celu zachęcenia do poufnego informowania o naruszeniach niniejszego rozporządzenia, z uwzględnieniem wytycznych wydanych przez Europejską Radę Ochrony Danych zgodnie z art. 66 ust. 4b.

2. Każdy organ nadzorczy ma uprawnienia dochodzeniowe pozwalające mu uzyskać od administratora lub podmiotu przetwarzającego:

2. Każdy organ nadzorczy ma uprawnienia dochodzeniowe pozwalające mu uzyskać bez wcześniejszego powiadomienia od administratora lub podmiotu przetwarzającego:

a) dostęp do wszystkich danych osobowych i do wszystkich informacji niezbędnych do wykonywania obowiązków;

a) dostęp do wszystkich danych osobowych i do wszystkich dokumentów oraz informacji niezbędnych do wykonywania obowiązków;

b) dostęp do każdego pomieszczenia, w tym do każdego sprzętu i środków służących do przetwarzania danych, gdy istnieją zasadne podstawy, by przypuszczać, że dochodzi tam do naruszenia niniejszego rozporządzenia.

b) dostęp do każdego pomieszczenia, w tym do każdego sprzętu i środków służących do przetwarzania danych.

Uprawnienia, o których mowa w lit. b), są wykonywane zgodnie prawem Unii i prawem państwa członkowskiego.

Uprawnienia, o których mowa w lit. b), są wykonywane zgodnie prawem Unii i prawem państwa członkowskiego.

3. Każdy organ nadzorczy ma uprawnienie do zwrócenia uwagi organom sądowym na naruszenie niniejszego rozporządzenia i do wszczynania postępowania prawnego, w szczególności zgodnie z art. 74 ust. 4 i art. 75 ust. 2.

3. Każdy organ nadzorczy ma uprawnienie do zwrócenia uwagi organom sądowym na naruszenie niniejszego rozporządzenia i do wszczynania postępowania prawnego, w szczególności zgodnie z art. 74 ust. 4 i art. 75 ust. 2.

4. Każdy organ nadzorczy ma uprawnienie do nakładania sankcji administracyjnych za naruszenie przepisów prawa administracyjnego, w szczególności o którym w art. 79 ust. 4, 5 i 6.

4. Każdy organ nadzorczy ma uprawnienie do nakładania sankcji administracyjnych za naruszenie przepisów prawa administracyjnego, zgodnie z art. 79. Uprawnienie to jest wykonywane w sposób skuteczny, proporcjonalny i odstraszający.

Poprawka  157

Wniosek dotyczący rozporządzenia

Artykuł 54

Tekst proponowany przez Komisję

Poprawka

Każdy organ nadzorczy musi sporządzać roczne sprawozdanie ze swojej działalności. Sprawozdanie jest przedstawione parlamentowi narodowemu i jest udostępniane opinii publicznej, Komisji oraz Europejskiej Radzie Ochrony Danych.

Każdy organ nadzorczy musi sporządzać sprawozdanie ze swojej działalności przynajmniej co dwa lata. Sprawozdanie jest przedstawione parlamentowi danego państwa członkowskiego i jest udostępniane opinii publicznej, Komisji oraz Europejskiej Radzie Ochrony Danych.

Poprawka  158

Wniosek dotyczący rozporządzenia

Artykuł 54 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 54a

 

Organ główny

 

1. Gdy przetwarzanie danych osobowych odbywa się w kontekście działalności administratora lub podmiotu przetwarzającego ustanowionych na terytorium Unii, a administrator lub podmiot przetwarzający prowadzą działalność w więcej niż jednym państwie członkowskim lub gdy przetwarzane są dane osobowe mieszkańców kilku państw członkowskich, organ nadzorczy głównej siedziby administratora lub podmiotu przetwarzającego działa w charakterze głównego organu odpowiedzialnego za nadzór nad działalnością w zakresie przetwarzania prowadzoną przez administratora lub podmiotu przetwarzającego we wszystkich państwach członkowskich, zgodnie z przepisami rozdziału VII niniejszego rozporządzenia.

 

2. Główny organ nadzorczy przyjmuje właściwe środki dotyczące nadzoru nad działalnością w zakresie przetwarzania, którą prowadzi administrator lub podmiot przetwarzający podlegający kompetencji tego organu, wyłącznie po konsultacji ze wszystkimi innymi właściwymi organami nadzorczymi w rozumieniu art. 51 ust. 1, dążąc do osiągnięcia konsensusu. W tym celu organ główny w szczególności dostarcza wszelkich istotnych informacji i konsultuje się z innymi organami, zanim przyjmie środek wywołujący skutki prawne względem administratora lub podmiotu przetwarzającego w rozumieniu art. 51 ust. 1. Organ główny bierze pod uwagę opinie zainteresowanych organów w jak najszerszym zakresie. Główny organ nadzorczy jest jedynym organem uprawnionym do decydowania o środkach mających na celu wywołanie skutków prawnych w odniesieniu do działalności w zakresie przetwarzania, którą prowadzi administrator lub podmiot przetwarzający podlegający temu organowi.

 

3. Europejska Rada Ochrony Danych wydaje, na wniosek właściwego organu nadzorczego, opinię w sprawie wskazania głównego organu, któremu podlega administrator lub podmiot przetwarzający, w przypadkach gdy:

 

a) z sytuacji faktycznej nie wynika jasno, gdzie znajduje się główna siedziba administratora lub podmiotu przetwarzającego; lub

 

b) właściwe organy nie zgadzają się co do tego, który organ nadzorczy ma działać jako organ główny; lub

 

c) administrator nie ma siedziby w Unii, a na rezydentów różnych państw członkowskich wpływają operacje przetwarzania podlegające zakresowi niniejszego rozporządzenia.

 

3a. Gdy administrator działa również jako podmiot przetwarzający, organ nadzorczy głównej siedziby administratora działa jako organ główny do celów nadzoru na działaniami w zakresie przetwarzania.

 

4. Europejska Rada Ochrony Danych może zdecydować o wskazaniu organu głównego.

(Ust. 1 w poprawce Parlamentu opiera się na art. 51 ust. 2 wniosku Komisji.)

Poprawka  159

Wniosek dotyczący rozporządzenia

Artykuł 55 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Organy nadzorcze przekazują sobie odpowiednie informacje i zapewniają sobie wzajemną pomoc w celu spójnego wykonania i stosowania niniejszego rozporządzenia i przyjmują środki na rzecz zapewnienia skutecznej wzajemnej współpracy. Wzajemna pomoc obejmuje w szczególności wnioski o udzielenie informacji i środki nadzorcze, takie jak wnioski o udzielenie uprzednich zezwoleń i konsultacji, inspekcje i sprawne przekazywanie informacji dotyczących rozpoczęcia spraw i ich rozwoju, w przypadku gdy operacje przetwarzania danych będą miały prawdopodobnie wpływ na podmioty danych w wielu państwach członkowskich.

1. Organy nadzorcze przekazują sobie odpowiednie informacje i zapewniają sobie wzajemną pomoc w celu spójnego wykonania i stosowania niniejszego rozporządzenia i przyjmują środki na rzecz zapewnienia skutecznej wzajemnej współpracy. Wzajemna pomoc obejmuje w szczególności wnioski o udzielenie informacji i środki nadzorcze, takie jak wnioski o udzielenie uprzednich zezwoleń i konsultacji, inspekcje oraz dochodzenia i sprawne przekazywanie informacji dotyczących rozpoczęcia spraw i ich rozwoju, w przypadku gdy administrator lub podmiot przetwarzający mają siedziby w kilku państwach członkowskich lub gdy operacje przetwarzania danych będą miały prawdopodobnie wpływ na podmioty danych w wielu państwach członkowskich. Organ główny, zdefiniowany w art. 54a, zapewnia koordynację z zainteresowanymi organami nadzorczymi oraz działa jako pojedynczy punkt kontaktowy dla administratora lub podmiotu przetwarzającego.

Poprawka  160

Wniosek dotyczący rozporządzenia

Artykuł 55 – ustęp 7

Tekst proponowany przez Komisję

Poprawka

7. Nie pobiera się opłat od działania podjętego w wyniku przesłania wniosku o wzajemną pomoc.

7. Od organu nadzorczego składającego wniosek nie pobiera się opłat od działania podjętego w wyniku przesłania wniosku o wzajemną pomoc.

Poprawka  161

Wniosek dotyczący rozporządzenia

Artykuł 55 – ustęp 8

Tekst proponowany przez Komisję

Poprawka

8. W przypadku gdy organ nadzorczy, na wniosek innego organu nadzorczego, nie podjął działania w terminie jednego miesiąca, organ, który złożył wniosek, jest właściwy do podjęcia środków tymczasowych na terytorium swojego państwa członkowskiego zgodnie z art. 51 ust. 1 i przekazuje sprawę Europejskiej Radzie Ochrony Danych w trybie procedury, o której mowa w art. 57.

8. W przypadku gdy organ nadzorczy, na wniosek innego organu nadzorczego, nie podjął działania w terminie jednego miesiąca, organ, który złożył wniosek, jest właściwy do podjęcia środków tymczasowych na terytorium swojego państwa członkowskiego zgodnie z art. 51 ust. 1 i przekazuje sprawę Europejskiej Radzie Ochrony Danych w trybie procedury, o której mowa w art. 57. W przypadku gdy przyjęcie ostatecznego środka nie jest jeszcze możliwe, ponieważ pomoc nie została jeszcze w pełni udzielona, organ nadzorczy, który złożył wniosek, może podjąć na terytorium swojego państwa członkowskiego środki tymczasowe zgodnie z art. 53.

Poprawka  162

Wniosek dotyczący rozporządzenia

Artykuł 55 – ustęp 9

Tekst proponowany przez Komisję

Poprawka

9. Organ nadzorczy określa okres obowiązywania takich środków tymczasowych. Okres ten nie przekracza trzech miesięcy. Organ nadzorczy bezzwłocznie informuje o tych środkach Europejską Radę Ochrony Danych i Komisję, podając pełne uzasadnienie.

9. Organ nadzorczy określa okres obowiązywania takich środków tymczasowych. Okres ten nie przekracza trzech miesięcy. Organ nadzorczy bezzwłocznie informuje o tych środkach Europejską Radę Ochrony Danych i Komisję, podając pełne uzasadnienie, zgodnie z procedurą, o której mowa w art. 57.

Poprawka  163

Wniosek dotyczący rozporządzenia

Artykuł 55 – ustęp 10

Tekst proponowany przez Komisję

Poprawka

10. Komisja może określić formułę oraz procedurę wzajemnej pomocy, o której mowa w niniejszym artykule, oraz metody wymiany informacji przy wykorzystaniu środków elektronicznych między organami nadzorczymi oraz między organami nadzorczymi a Europejską Radą Ochrony Danych, w szczególności w odniesieniu do standardowego formatu, o którym mowa w ust. 6. Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

10. Europejska Rada Ochrony Danych może określić formułę oraz procedurę wzajemnej pomocy, o której mowa w niniejszym artykule, oraz metody wymiany informacji przy wykorzystaniu środków elektronicznych między organami nadzorczymi oraz między organami nadzorczymi a Europejską Radą Ochrony Danych, w szczególności w odniesieniu do standardowego formatu, o którym mowa w ust. 6.

Poprawka  164

Wniosek dotyczący rozporządzenia

Artykuł 56 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. W przypadkach gdy operacje przetwarzania będą miały prawdopodobny wpływ na podmioty danych organ nadzorczy każdego z tych państw członkowskich ma prawo uczestniczyć, stosownie do okoliczności, w wykonywaniu wspólnych zadań dochodzeniowych lub wspólnych operacji. Właściwy organ nadzorczy wzywa organ nadzorczy każdego z tych państw członkowskich do uczestnictwa w wykonywaniu danego zadania dochodzeniowego lub wspólnej operacji i odpowiada bezzwłocznie na wniosek organu nadzorczego zawierający prośbę o uczestnictwo w operacjach.

2. W przypadkach gdy administrator lub podmiot przetwarzający mają siedziby w kilku państwach członkowskich lub gdy operacje przetwarzania będą miały prawdopodobny wpływ na podmioty danych, organ nadzorczy każdego z tych państw członkowskich ma prawo uczestniczyć, stosownie do okoliczności, w wykonywaniu wspólnych zadań dochodzeniowych lub wspólnych operacji. Organ główny, zdefiniowany w art. 54a, zapewnia uczestnictwo organu nadzorczego każdego z tych państw członkowskich w wykonywaniu danego zadania dochodzeniowego lub wspólnej operacji i odpowiada bezzwłocznie na wniosek organu nadzorczego zawierający prośbę o uczestnictwo w operacjach. Organ główny działa jako pojedynczy punkt kontaktowy dla administratora lub podmiotu przetwarzającego.

Poprawka  165

Wniosek dotyczący rozporządzenia

Artykuł 57

Tekst proponowany przez Komisję

Poprawka

Mechanizm zgodności

Mechanizm zgodności

Dla celów określonych w art. 46 ust. 1 organy nadzorcze współpracują ze sobą i Komisją poprzez mechanizm zgodności określony w niniejszej sekcji.

Dla celów określonych w art. 46 ust. 1 organy nadzorcze współpracują ze sobą i Komisją poprzez mechanizm zgodności – zarówno w sprawach o zakresie ogólnym, jak i w przypadkach indywidualnych – zgodnie z przepisami niniejszej sekcji.

Poprawka  166

Wniosek dotyczący rozporządzenia

Artykuł 58

Tekst proponowany przez Komisję

Poprawka

Opinia Europejskiej Rady Ochrony Danych

Zgodność w sprawach o charakterze ogólnym

1. Zanim organ nadzorczy przyjmie środek, o którym mowa w art. 2, organ ten przesyła projekt środka Europejskiej Radzie Ochrony Danych i Komisji.

1. Zanim organ nadzorczy przyjmie środek, o którym mowa w art. 2, organ ten przesyła projekt środka Europejskiej Radzie Ochrony Danych i Komisji.

2. Obowiązek określony w ust. 1 ma zastosowanie do środka, który ma na celu wywarcie skutków prawnych i który:

2. Obowiązek określony w ust. 1 ma zastosowanie do środka, który ma na celu wywarcie skutków prawnych i który:

a) odnosi się do działań związanych ze sprzedażą towarów lub świadczeniem usług podmiotom danych w wielu państwach członkowskich lub z monitorowaniem ich zachowania; lub

 

b) może mieć znaczący wpływ na swobodny przepływ danych osobowych na terytorium Unii; lub

 

c) ma na celu przyjęcie wykazu operacji przetwarzania podlegających uprzedniej konsultacji na mocy art. 34 ust. 5; lub

 

d) ma na celu określenie standardowych klauzul ochrony danych, o których mowa w art. 42 ust. 2 lit. c); lub

d) ma na celu określenie standardowych klauzul ochrony danych, o których mowa w art. 42 ust. 2 lit. c); lub

e) ma na celu zezwolenie na klauzule umowne, o których mowa w art. 42 ust. 2 lit. d); lub

e) ma na celu zezwolenie na klauzule umowne, o których mowa w art. 42 ust. 2 lit. d); lub

f) ma na celu zatwierdzenie wiążących reguł korporacyjnych w rozumieniu art. 43.

f) ma na celu zatwierdzenie wiążących reguł korporacyjnych w rozumieniu art. 43.

3. Każdy organ nadzorczy lub Europejska Rada Ochrony Danych mogą zażądać, aby jakakolwiek sprawa została załatwiona w ramach mechanizmu zgodności, w szczególności w przypadku gdy organ nadzorczy nie przedstawi projektu środka, o którym mowa w ust. 2, lub nie wywiązuje się z obowiązków dotyczących wzajemnej pomocy zgodnie z art. 55 lub wspólnych operacji zgodnie z art. 56.

3. Każdy organ nadzorczy lub Europejska Rada Ochrony Danych mogą zażądać, aby jakakolwiek sprawa o charakterze ogólnym została rozpatrzona w ramach mechanizmu zgodności, w szczególności w przypadku gdy organ nadzorczy nie przedstawi projektu środka, o którym mowa w ust. 2, lub nie wywiązuje się z obowiązków dotyczących wzajemnej pomocy zgodnie z art. 55 lub wspólnych operacji zgodnie z art. 56.

4. W celu zapewnienia właściwego i spójnego stosowania niniejszego rozporządzenia Komisja może zażądać, aby dowolna sprawa została załatwiona w ramach mechanizmu zgodności.

4. W celu zapewnienia właściwego i spójnego stosowania niniejszego rozporządzenia Komisja może zażądać, aby dowolna sprawa o charakterze ogólnym została rozpatrzona w ramach mechanizmu zgodności.

5. Organy nadzorcze i Komisja przekazują drogą elektroniczną każdą odpowiednią informację, w tym zależnie od okoliczności, streszczenie stanu faktycznego, projekt środka i powody, które przemawiają za koniecznością przyjęcia takiego środka, przy zastosowaniu standardowego formatu.

5. Organy nadzorcze i Komisja przekazują bez zbędnej zwłoki drogą elektroniczną każdą odpowiednią informację, w tym zależnie od okoliczności, streszczenie stanu faktycznego, projekt środka i powody, które przemawiają za koniecznością przyjęcia takiego środka, przy zastosowaniu standardowego formatu.

6. Przewodniczący Europejskiej Rady Ochrony Danych przekazuje niezwłocznie drogą elektroniczną stosowne informacje, które zostały mu przekazane, przy zastosowaniu standardowego formatu, członkom Europejskiej Rady Ochrony Danych i Komisji. Przewodniczący Europejskiej Rady Ochrony Danych zapewnia tłumaczenie stosownych informacji, jeżeli jest to konieczne.

6. Przewodniczący Europejskiej Rady Ochrony Danych przekazuje bez zbędnej zwłoki drogą elektroniczną stosowne informacje, które zostały mu przekazane, przy zastosowaniu standardowego formatu, członkom Europejskiej Rady Ochrony Danych i Komisji. Sekretariat Europejskiej Rady Ochrony Danych zapewnia tłumaczenie stosownych informacji, jeżeli jest to konieczne.

 

6a. Europejska Rada Ochrony Danych przyjmuje opinię dotyczącą spraw kierowanych do niej na mocy ust. 2.

7. Europejska Rada Ochrony Danych wydaje opinię na temat danej sprawy, jeżeli Europejska Rada Ochrony Danych podejmie taką decyzję zwykłą większością głosów swoich członków lub jakikolwiek organ nadzorczy lub Komisja tego zażąda w terminie jednego tygodnia od otrzymania stosownej informacji zgodnie z ust. 5. Opinię przyjmuje się w terminie jednego miesiąca zwykłą większością głosów członków Europejskiej Rady Ochrony Danych. Przewodniczący Europejskiej Rady Ochrony Danych informuje, bez nieuzasadnionej zwłoki, organ nadzorczy, o którym mowa, zależnie od okoliczności, w ust. 1 i ust. 3, Komisję i organ nadzorczy właściwy na podstawie art. 51 o opinii i podaje ją do publicznej wiadomości.

 

7. Europejska Rada Ochrony Danych może zwykłą większością głosów zdecydować o tym, czy przyjąć opinię na temat dowolnej sprawy przedłożonej zgodnie z ust. 3 i 4, uwzględniając następujące kwestie:

 

a) czy sprawa obejmuje nowe elementy, z uwzględnieniem zmian prawnych lub faktycznych, w szczególności w zakresie technologii informacyjnej oraz w światle stanu postępu w społeczeństwie informacyjnym; oraz

 

 

b) czy Europejska Rada Ochrony Danych wydała już opinię w tej samej sprawie.

8. Organ nadzorczy, o którym mowa w ust. 1, i organ nadzorczy właściwy na podstawie art. 51 uwzględnia opinię Europejskiej Rady Ochrony Danych i w terminie dwóch tygodni od uzyskania informacji na temat opinii przez przewodniczącego Europejskiej Rady Ochrony Danych, przekazuje drogą elektroniczną przewodniczącemu Europejskiej Rady Ochrony Danych i Komisji informację, czy utrzymuje czy zmienia projekt środka, a w tym ostatnim przypadku przekazuje zmieniony projekt środka, przy zastosowaniu standardowego formatu.

8. Europejska Rada Ochrony Danych przyjmuje opinie zgodnie z ust. 6a i 7 zwykłą większością głosów swoich członków. Opinie te podaje się do wiadomości publicznej.

Poprawka                  167

Wniosek dotyczący rozporządzenia

Artykuł 58 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 58a

 

Zgodność w przypadkach indywidualnych

 

1. Przed przyjęciem środka mającego na celu wywołanie skutków prawnych w rozumieniu art. 54a organ główny przekazuje wszystkie właściwe informacje i przedkłada projekt środka wszystkim innym właściwym organom. Organ główny nie przyjmuje środka, jeżeli właściwy organ w terminie trzech tygodni poinformuje, że ma poważne zastrzeżenia co do tego środka.

 

2. Gdy właściwy organ poinformował, że ma poważne zastrzeżenia co do projektu środka organu głównego, lub gdy organ główny nie przedłożył projektu środka, o którym mowa w ust. 1, lub nie przestrzega obowiązków dotyczących wzajemnej pomocy zgodnie z art. 55 lub obowiązków dotyczących wspólnych operacji zgodnie z art. 56, sprawę rozpatruje Europejska Rada Ochrony Danych.

 

3. Organ główny i/lub inne właściwe zaangażowane organy oraz Komisja bez zbędnej zwłoki drogą elektroniczną przekazują Europejskiej Radzie Ochrony Danych, wykorzystując standardowy format, wszelkie istotne informacje, w tym, w stosownym przypadku, streszczenie faktów, projekt środka, powody, dla których wprowadzenie takiego środka jest konieczne, zastrzeżenia zgłoszone przeciw temu środkowi oraz opinie innych zainteresowanych organów nadzorczych.

 

4. Europejska Rada Ochrony Danych rozpatruje sprawę, uwzględniając wpływ projektu środka przedstawionego przez organ główny na podstawowe prawa i wolności podmiotów danych oraz decyduje zwykłą większością głosów swoich członków o tym, czy wydać opinię w tej sprawie w terminie dwóch tygodni po przekazaniu właściwych informacji zgodnie z ust. 3.

 

5. W przypadku, gdy Europejska Rada Ochrony Danych postanowi wydać opinię, czyni to w ciągu sześciu tygodniu i podaje tę opinię do wiadomości publicznej.

 

6. Organ główny w najwyższym stopniu uwzględnia opinię Europejskiej Rady Ochrony Danych i w terminie dwóch tygodni od uzyskania informacji na temat opinii przez przewodniczącego Europejskiej Rady Ochrony Danych przekazuje drogą elektroniczną przewodniczącemu Europejskiej Rady Ochrony Danych i Komisji informację, czy utrzymuje czy zmienia projekt środka, a w tym ostatnim przypadku przekazuje zmieniony projekt środka, przy zastosowaniu standardowego formatu. Gdy organ główny nie zamierza zastosować się do opinii Europejskiej Rady Ochrony Danych, przestawia racjonalne uzasadnienie.

 

7. W przypadku gdy Europejska Rada Ochrony Danych w dalszym ciągu sprzeciwia się środkowi organu nadzorczego, o którym mowa w ust. 5, może ona w ciągu jednego miesiąca przyjąć większością dwóch trzecich głosów środek wiążący dla organu nadzorczego.

Poprawka  168

Wniosek dotyczący rozporządzenia

Artykuł 59

Tekst proponowany przez Komisję

Poprawka

Artykuł 59

skreślony

Opinia Komisji

 

1. W terminie dziesięciu tygodni od wniesienia sprawy na podstawie art. 58 lub najpóźniej w terminie sześciu tygodni w przypadku art. 61, Komisja może przyjąć opinię związaną ze sprawami wniesionymi na mocy art. 58 lub art. 61 w celu zapewnienia właściwego i spójnego stosowania rozporządzenia.

 

2. W przypadku gdy Komisja przyjęła opinię zgodnie z ust. 1 dany organ nadzorczy uwzględnia w jak najszerszym stopniu opinię Komisji i informuje Komisję i Europejską Radę Ochrony Danych, czy zamierza utrzymać czy zmienić projekt środka.

 

3. W okresie, o którym mowa w ust. 1, organ nadzorczy nie może przyjąć projektu środka.

 

4. W przypadku gdy dany organ nadzorczy nie zamierza uwzględnić opinii Komisji informuje o tym Komisję i Europejską Radę Ochrony Danych w terminie, o którym mowa w ust. 1, i przedstawia uzasadnienie. W tym przypadku projektu środka nie przyjmuje się przez okres kolejnego miesiąca.

 

Poprawka  169

Wniosek dotyczący rozporządzenia

Artykuł 60

Tekst proponowany przez Komisję

Poprawka

Artykuł 60

skreślony

Zawieszenie projektu środka

 

1. W terminie jednego miesiąca po przekazaniu informacji, o której mowa w art. 59 ust. 4, oraz w przypadku gdy Komisja ma poważne wątpliwości, czy projekt środka zapewniłby właściwe stosowanie niniejszego rozporządzenia czy też przeciwnie wiązałby się z jego niespójnym stosowaniem, Komisja może przyjąć uzasadnioną decyzję nakładającą na organ nadzorczy obowiązek zawieszenia przyjęcia danego projektu środka, uwzględniając opinię wydaną przez Europejską Radę Ochrony Danych na mocy art. 58 ust. 7 lub art. 61 ust. 2, w przypadku gdy wydaje się to konieczne w celu:

 

a) pogodzenia rozbieżnych stanowisk organu nadzorczego i Europejskiej Rady Ochrony Danych, jeżeli nadal wydaje się to możliwe; lub

 

b) przyjęcia środka zgodnie z art. 62 ust. 1 lit. a).

 

2. Komisja określi czas trwania zawieszenia, który nie przekracza 12 miesięcy.

 

3. W okresie, o którym mowa w ust. 2, organ nadzorczy nie może przyjąć danego projektu środka.

 

Poprawka  170

Wniosek dotyczący rozporządzenia

Artykuł 60 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 60a

 

Powiadamianie Parlamentu Europejskiego i Rady

 

Komisja regularnie, co najmniej raz na pół roku, powiadamia Parlament Europejski i Radę na podstawie sprawozdania przewodniczącego Europejskiej Rady Ochrony Danych o sprawach rozpatrzonych w ramach mechanizmu zgodności i przedstawia wnioski wyciągnięte przez Komisję i Europejską Radę Ochrony Danych w celu zapewnienia jednolitego wdrożenia i stosowania niniejszego rozporządzenia.

Poprawka  171

Wniosek dotyczący rozporządzenia

Artykuł 61 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. W wyjątkowych okolicznościach, gdy organ nadzorczy uznaje, że istnieje potrzeba pilnego działania w celu ochrony interesów podmiotów danych, w szczególności kiedy istnieje niebezpieczeństwo, że skorzystanie z prawa przez podmiot danych może być znacząco utrudnione przez zmianę istniejącego stanu lub w celu uniknięcia poważnych niedogodności lub z innych powodów, w drodze odstępstwa od procedury, o której mowa w art. 58, organ ten może przyjąć niezwłocznie środki tymczasowe o ograniczonym okresie obowiązywania. Organ nadzorczy bezzwłocznie informuje o tych środkach Europejską Radę Ochrony Danych i Komisję, podając pełne uzasadnienie.

1. W wyjątkowych okolicznościach, gdy organ nadzorczy uznaje, że istnieje potrzeba pilnego działania w celu ochrony interesów podmiotów danych, w szczególności kiedy istnieje niebezpieczeństwo, że skorzystanie z prawa przez podmiot danych może być znacząco utrudnione przez zmianę istniejącego stanu lub w celu uniknięcia poważnych niedogodności lub z innych powodów, w drodze odstępstwa od procedury, o której mowa w art. 58a, organ ten może przyjąć niezwłocznie środki tymczasowe o ograniczonym okresie obowiązywania. Organ nadzorczy bezzwłocznie informuje o tych środkach Europejską Radę Ochrony Danych i Komisję, podając pełne uzasadnienie.

Poprawka  172

Wniosek dotyczący rozporządzenia

Artykuł 61 – ustęp 4

Tekst proponowany przez Komisję

Poprawka

4. W drodze odstępstwa od art. 58 ust. 7, opinię w trybie pilnym, o której mowa w ust. 2 i 3 niniejszego artykułu, przyjmuje się w terminie dwóch tygodni zwykłą większością członków Europejskiej Rady Ochrony Danych.

4. Opinię w trybie pilnym, o której mowa w ust. 2 i 3 niniejszego artykułu, przyjmuje się w terminie dwóch tygodni zwykłą większością członków Europejskiej Rady Ochrony Danych.

Poprawka  173

Wniosek dotyczący rozporządzenia

Artykuł 62

Tekst proponowany przez Komisję

Poprawka

Akty wykonawcze

Akty wykonawcze

1. Komisja może przyjmować akty wykonawcze, aby:

1. Komisja może przyjmować akty wykonawcze o charakterze ogólnym po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, aby:

a) rozstrzygnąć w sprawie właściwego i spójnego stosowania niniejszego rozporządzenia zgodnie z jego celami i wymogami w związku ze sprawami przekazanymi przez organy nadzorcze na mocy art. 58 lub art. 61, odnośnie do sprawy, w związku z którą przyjęto uzasadnioną decyzję na podstawie art. 60 ust. 1, lub odnośnie do sprawy, w związku z którą organ nadzorczy nie przedstawił projektu środka i poinformował, że nie zamierza postąpić zgodnie z opinią Komisji na mocy art. 59;

 

b) rozstrzygnąć w okresie, o którym mowa w art. 59 ust. 1, w sprawie ogłoszenia projektu standardowych klauzul ochrony danych, o których mowa w art. 58 ust. 2 lit. d) jako ogólnie obowiązujących;

b) rozstrzygnąć w sprawie ogłoszenia projektu standardowych klauzul ochrony danych, o których mowa w art. 42 ust. 2 lit. d) jako ogólnie obowiązujących;

c) określić formułę i procedurę stosowania mechanizmu zgodności, o którym mowa w niniejszej sekcji;

 

d) określić zasady wymiany informacji drogą elektroniczną między organami nadzorczymi oraz między organami nadzorczymi i Europejską Radą Ochrony Danych, w szczególności standardowego formatu, o którym mowa w art. 58 ust. 5, 6 i 8.

 

d) określić zasady wymiany informacji drogą elektroniczną między organami nadzorczymi oraz między organami nadzorczymi i Europejską Radą Ochrony Danych, w szczególności standardowego formatu, o którym mowa w art. 58 ust. 5, 6 i 8.

Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

 

2. W przypadku należycie uzasadnionej, szczególnie pilnej potrzeby związanej z interesem podmiotów danych w przypadkach określonych w ust. 1 lit. a), Komisja przyjmuje akty wykonawcze mające natychmiastowe zastosowanie zgodnie z procedurą, o której mowa w art. 87 ust. 3. Akty te obowiązują nie dłużej niż 12 miesięcy.

 

3. Brak środka lub jego przyjęcie na podstawie niniejszej sekcji pozostaje bez uszczerbku dla każdego innego środka przyjętego przez Komisję na podstawie Traktatów.

3. Brak środka lub jego przyjęcie na podstawie niniejszej sekcji pozostaje bez uszczerbku dla każdego innego środka przyjętego przez Komisję na podstawie Traktatów.

Poprawka  174

Wniosek dotyczący rozporządzenia

Artykuł 63 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. W przypadku gdy organ nadzorczy nie przedstawi projektu środka w mechanizmie zgodności, naruszając art. 58 ust. 1-5, środek tego organu nadzorczego nie jest ważny zgodnie z prawem i nie podlega wykonaniu.

2. W przypadku gdy organ nadzorczy nie przedstawi projektu środka w mechanizmie zgodności, naruszając art. 58 ust. 1 lub przyjmie środek pomimo wskazania poważnych zastrzeżeń zgodnie z art. 58a ust. 1, środek tego organu nadzorczego nie jest ważny zgodnie z prawem i nie podlega wykonaniu.

Poprawka  175

Wniosek dotyczący rozporządzenia

Artykuł 66

Tekst proponowany przez Komisję

Poprawka

Zadania Europejskiej Rady Ochrony Danych

Zadania Europejskiej Rady Ochrony Danych

1. Europejska Rada Ochrony Danych zapewnia spójne stosowanie niniejszego rozporządzenia. W tym celu Europejska Rada Ochrony Danych, z własnej inicjatywy lub na wniosek Komisji, podejmuje następujące działania:

1. Europejska Rada Ochrony Danych zapewnia spójne stosowanie niniejszego rozporządzenia. W tym celu Europejska Rada Ochrony Danych, z własnej inicjatywy lub na wniosek Parlamentu Europejskiego, Rady lub Komisji, podejmuje następujące działania:

a) doradza Komisji na temat każdej sprawy związanej z ochroną danych osobowych w Unii, w tym na temat każdego projektu zmian niniejszego rozporządzenia;

a) doradza instytucjom europejskim na temat każdej sprawy związanej z ochroną danych osobowych w Unii, w tym na temat każdego projektu zmian niniejszego rozporządzenia;

b) bada z własnej inicjatywy lub na wniosek jednego ze swoich członków lub Komisji każdą kwestię, której zakres obejmuje stosowanie niniejszego rozporządzenia i wydaje wytyczne, zalecenia oraz najlepsze praktyki skierowane do organów nadzorczych w celu zachęcenia do spójnego stosowania niniejszego rozporządzenia;

b) bada z własnej inicjatywy lub na wniosek jednego ze swoich członków, Parlamentu Europejskiego, Rady lub Komisji każdą kwestię, której zakres obejmuje stosowanie niniejszego rozporządzenia, i wydaje wytyczne, zalecenia oraz najlepsze praktyki skierowane do organów nadzorczych w celu zachęcenia do spójnego stosowania niniejszego rozporządzenia, w tym dotyczące wykorzystywania uprawnień egzekucyjnych;

c) dokonuje przeglądu praktycznego zastosowania wytycznych, zaleceń oraz najlepszych praktyk, o których mowa w lit. b) i regularnie składa sprawozdania Komisji na ten temat;

c) dokonuje przeglądu praktycznego zastosowania wytycznych, zaleceń oraz najlepszych praktyk, o których mowa w lit. b) i regularnie składa sprawozdania Komisji na ten temat;

d) wydaje opinie na temat projektów decyzji organów nadzorczych zgodnie z mechanizmem zgodności, o którym mowa w art. 57;

d) wydaje opinie na temat projektów decyzji organów nadzorczych zgodnie z mechanizmem zgodności, o którym mowa w art. 57;

 

da) wydaje opinię na temat tego, który organ powinien być organem głównym, zgodnie z art. 54a ust. 3;

e) promuje współpracę i skuteczną dwustronną i wielostronną wymianę informacji i praktyk między organami nadzorczymi;

e) promuje współpracę i skuteczną dwustronną i wielostronną wymianę informacji i praktyk między organami nadzorczymi, w tym koordynację wspólnych operacji i innych wspólnych działań, jeżeli podejmie taką decyzję na wniosek jednego lub kilku organów nadzorczych;

f) promuje wspólne programy szkoleń i ułatwia wymianę personelu między organami nadzorczymi, jak również, w stosownych przypadkach, z organami nadzorczymi państw trzecich lub organizacji międzynarodowych;

f) promuje wspólne programy szkoleń i ułatwia wymianę personelu między organami nadzorczymi, jak również, w stosownych przypadkach, z organami nadzorczymi państw trzecich lub organizacji międzynarodowych;

g) promuje wymianę wiedzy i dokumentów na temat ustawodawstwa i praktyki dotyczących ochrony danych z organami nadzorczymi na świecie.

g) promuje wymianę wiedzy i dokumentów na temat ustawodawstwa i praktyki dotyczących ochrony danych z organami nadzorczymi na świecie.

 

ga) wydaje opinię dla Komisji podczas opracowywania aktów delegowanych i wykonawczych na podstawie niniejszego rozporządzenia;

 

gb) wydaje opinię na temat kodeksów postępowania opracowywanych na szczeblu Unii zgodnie z art. 38 ust. 4;

 

gc) wydaje opinię w sprawie kryteriów i wymogów dotyczących mechanizmów certyfikacji ochrony danych zgodnie z art. 39 ust. 3;

 

gd) prowadzi publiczny rejestr elektroniczny dotyczący ważnych i nieważnych certyfikatów zgodnie z art. 39 ust. 1 lit. h);

 

ge) zapewnia pomoc krajowym organom nadzorczym, na ich wniosek;

 

gf) tworzy i podaje do wiadomości publicznej wykaz operacji przetwarzania, które podlegają uprzedniej konsultacji na mocy art. 34;

 

gg) prowadzi rejestr sankcji nakładanych na administratorów lub podmioty przetwarzające przez właściwe organy nadzorcze.

2. W przypadku gdy Komisja zwraca się o opinię doradczą do Europejskiej Rady Ochrony Danych może określić termin, w jakim Europejska Rada Ochrony Danych wydaje taką opinię, przy uwzględnieniu pilności sprawy.

2. W przypadku gdy Parlament Europejski, Rada lub Komisja zwraca się o opinię doradczą do Europejskiej Rady Ochrony Danych może określić termin, w jakim Europejska Rada Ochrony Danych wydaje taką opinię, przy uwzględnieniu pilności sprawy.

3. Europejska Rada Ochrony Danych przekazuje swoje opinie, wytyczne, zalecenia i najlepsze praktyki Komisji i komitetowi, o którym mowa w art. 87, oraz podaje je do wiadomości publicznej.

3. Europejska Rada Ochrony Danych przekazuje swoje opinie, wytyczne, zalecenia i najlepsze praktyki Parlamentowi Europejskiemu, Radzie oraz Komisji i komitetowi, o którym mowa w art. 87, oraz podaje je do wiadomości publicznej.

4. Komisja informuje Europejską Radę Ochrony Danych na temat działania podjętego na podstawie opinii, wytycznych, zaleceń i najlepszych praktyk wydanych przez Europejską Radę Ochrony Danych.

4. Komisja informuje Europejską Radę Ochrony Danych na temat działania podjętego na podstawie opinii, wytycznych, zaleceń i najlepszych praktyk wydanych przez Europejską Radę Ochrony Danych.

 

4a. Europejska Rada Ochrony Danych w stosownych przypadkach konsultuje się z zainteresowanymi stronami i daje im możliwość przestawienia uwag w racjonalnym terminie. Bez uszczerbku dla art. 72 Europejska Rada Ochrony Danych podaje wyniki procedury konsultacji do publicznej wiadomości.

 

4b. Europejskiej Radzie Ochrony Danych powiedzą się zadanie wydawania wytycznych, zaleceń i najlepszych praktyk zgodnie z ust. 1 lit. b), dotyczących wspólnych procedur odnoszących się do otrzymywania i badania informacji związanych z doniesieniami o niezgodnym z prawem przetwarzaniu oraz do zapewniania poufności i do źródeł otrzymywanych informacji.

Poprawka  176

Wniosek dotyczący rozporządzenia

Artykuł 67 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1.  Europejska Rada Ochrony Danych regularnie i w terminie informuje Komisję na temat wyników swojej działalności. Sporządza roczne sprawozdanie na temat sytuacji dotyczącej ochrony osób fizycznych w odniesieniu do przetwarzania danych osobowych w Unii i państwach trzecich.

Sprawozdanie obejmuje przegląd praktycznego zastosowania opinii, wytycznych, zaleceń i opisów najlepszych praktyk, o których mowa w art. 66 ust. 1 lit. c).

1.  Europejska Rada Ochrony Danych regularnie i w terminie informuje Parlament Europejski, Radę i Komisję na temat wyników swojej działalności. Przynajmniej co dwa lata sporządza sprawozdanie na temat sytuacji dotyczącej ochrony osób fizycznych w odniesieniu do przetwarzania danych osobowych w Unii i państwach trzecich.

Sprawozdanie obejmuje przegląd praktycznego zastosowania opinii, wytycznych, zaleceń i opisów najlepszych praktyk, o których mowa w art. 66 ust. 1 lit. c).

Poprawka  177

Wniosek dotyczący rozporządzenia

Artykuł 68 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Europejska Rada Ochrony Danych podejmuje decyzję zwykłą większością swoich członków.

1. Europejska Rada Ochrony Danych podejmuje decyzję zwykłą większością głosów swoich członków, o ile jej regulamin nie przewiduje inaczej.

Poprawka  178

Wniosek dotyczący rozporządzenia

Artykuł 69 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Europejska Rada Ochrony Danych wybiera przewodniczącego i dwóch wiceprzewodniczących spośród swoich członków. Europejski Inspektor Ochrony Danych pełni funkcję jednego z wiceprzewodniczących, chyba że został on wybrany na przewodniczącego.

1. Europejska Rada Ochrony Danych wybiera przewodniczącego i co najmniej dwóch wiceprzewodniczących spośród swoich członków.

Poprawka  179

Wniosek dotyczący rozporządzenia

Artykuł 69 – ustęp 2 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

2a. Stanowisko przewodniczącego jest stanowiskiem pełnoetatowym.

Poprawka  180

Wniosek dotyczący rozporządzenia

Artykuł 71 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. Sekretariat pod kierownictwem przewodniczącego zapewnia Europejskiej Radzie Ochrony Danych wsparcie analityczne, administracyjne i logistyczne.

2. Sekretariat pod kierownictwem przewodniczącego zapewnia Europejskiej Radzie Ochrony Danych wsparcie analityczne, prawne, administracyjne i logistyczne.

Poprawka  181

Wniosek dotyczący rozporządzenia

Artykuł 72 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Obrady Europejskiej Rady Ochrony Danych poufne.

1. Obrady Europejskiej Rady Ochrony Danych mogą być poufne w razie konieczności, chyba że jej regulamin stanowi inaczej. Porządki posiedzeń Europejskiej Rady Ochrony Danych podaje się do wiadomości publicznej.

Poprawka  182

Wniosek dotyczący rozporządzenia

Artykuł 73

Tekst proponowany przez Komisję

Poprawka

Prawo do złożenia skargi do organu nadzorczego

Prawo do złożenia skargi do organu nadzorczego

1. Bez uszczerbku dla innych administracyjnych lub sądowych środków ochrony prawnej, każdy podmiot danych ma prawo złożyć skargę do organu nadzorczego w dowolnym państwie członkowskim, jeżeli uznaje, że przetwarzanie danych osobowych ich dotyczących nie jest zgodne z przepisami niniejszego rozporządzenia.

1. Bez uszczerbku dla innych administracyjnych lub sądowych środków ochrony prawnej oraz dla mechanizmu zgodności, każdy podmiot danych ma prawo złożyć skargę do organu nadzorczego w dowolnym państwie członkowskim, jeżeli uznaje, że przetwarzanie danych osobowych ich dotyczących nie jest zgodne z przepisami niniejszego rozporządzenia.

2. Każdy podmiot, organizacja lub zrzeszenie, których celem jest ochrona praw podmiotów danych oraz interesów dotyczących ochrony ich danych osobowych, i które zostały prawidłowo ustanowione zgodnie z prawem państwa członkowskiego, ma prawo złożyć skargę do organu nadzorczego dowolnego państwa członkowskiego w imieniu jednego lub więcej podmiotów danych, jeżeli uznaje, że prawa podmiotu danych na podstawie niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania danych osobowych.

2. Każdy podmiot, organizacja lub zrzeszenie, które działają w interesie publicznym i które zostały prawidłowo ustanowione zgodnie z prawem państwa członkowskiego, mają prawo złożyć skargę do organu nadzorczego dowolnego państwa członkowskiego w imieniu jednego lub więcej podmiotów danych, jeżeli uznają, że prawa podmiotu danych na podstawie niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania danych osobowych.

3. Niezależnie od skargi podmiotu danych każdy podmiot, organizacja lub zrzeszenie, o których mowa w ust. 2, ma prawo złożyć skargę do organu nadzorczego w dowolnym państwie członkowskim, jeżeli uznaje, że doszło do naruszenia ochrony danych osobowych.

3. Niezależnie od skargi podmiotu danych każdy podmiot, organizacja lub zrzeszenie, o których mowa w ust. 2, ma prawo złożyć skargę do organu nadzorczego w dowolnym państwie członkowskim, jeżeli uznaje, że doszło do naruszenia przepisów niniejszego rozporządzenia.

Poprawka  183

Wniosek dotyczący rozporządzenia

Artykuł 74

Tekst proponowany przez Komisję

Poprawka

Prawo do sądowego środka ochrony prawnej przeciwko organowi nadzorczemu

Prawo do sądowego środka ochrony prawnej przeciwko organowi nadzorczemu

1. Każda osoba fizyczna lub prawna ma prawo do sądowego środka ochrony prawnej od decyzji organu nadzorczego, które jej dotyczą.

1. Bez uszczerbku dla wszelkich innych administracyjnych lub pozasądowych środków ochrony prawnej, każda osoba fizyczna lub prawna ma prawo do sądowego środka ochrony prawnej od decyzji organu nadzorczego, które jej dotyczą.

2. Każdy podmiot danych ma prawo do sądowego środka ochrony prawnej zobowiązującego organ nadzorczy do podjęcia działania w sprawie skargi w przypadku braku decyzji chroniącej jego prawa lub w przypadku gdy organ nadzorczy nie poinformuje podmiotu danych w terminie trzech miesięcy o postępach w rozpatrywania skargi lub rezultatach jej rozpatrzenia na mocy art. 52 ust. 1 lit. b).

 

2. Bez uszczerbku dla wszelkich innych administracyjnych lub pozasądowych środków ochrony prawnej, każdy podmiot danych ma prawo do sądowego środka ochrony prawnej zobowiązującego organ nadzorczy do podjęcia działania w sprawie skargi w przypadku braku decyzji chroniącej jego prawa lub w przypadku gdy organ nadzorczy nie poinformuje podmiotu danych w terminie trzech miesięcy o postępach w rozpatrywania skargi lub rezultatach jej rozpatrzenia na mocy art. 52 ust. 1 lit. b).

3. Postępowanie przeciwko organowi nadzorczemu wszczyna się przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę.

3. Postępowanie przeciwko organowi nadzorczemu wszczyna się przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę.

4. Podmiot danych, którego dotyczy decyzja organu nadzorczego w innym państwie członkowskim niż to, w którym podmiot danych ma miejsce zwykłego pobytu, może zażądać, aby organ nadzorczy państwa członkowskiego, w którym ma miejsce zwykłego pobytu, wszczął postępowanie w jego imieniu przeciwko właściwemu organowi nadzorczemu w innym państwie członkowskim.

4. Bez uszczerbku dla mechanizmu zgodności, podmiot danych, którego dotyczy decyzja organu nadzorczego w innym państwie członkowskim niż to, w którym podmiot danych ma miejsce zwykłego pobytu, może zażądać, aby organ nadzorczy państwa członkowskiego, w którym ma miejsce zwykłego pobytu, wszczął postępowanie w jego imieniu przeciwko właściwemu organowi nadzorczemu w innym państwie członkowskim.

5. Państwa członkowskie wykonują prawomocne orzeczenia sądów, o których mowa w niniejszym artykule.

5. Państwa członkowskie wykonują prawomocne orzeczenia sądów, o których mowa w niniejszym artykule.

Poprawka  184

Wniosek dotyczący rozporządzenia

Artykuł 75 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. Postępowanie przeciwko administratorowi i podmiotowi przetwarzającemu wszczyna się przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający mają siedzibę. Alternatywnie takie postępowanie może być wszczęte przed sądem państwa członkowskiego, w którym podmiot danych ma miejsce zwykłego pobytu, chyba że administrator jest organem publicznym wykonującym swoje uprawnienia publiczne.

2. Postępowanie przeciwko administratorowi i podmiotowi przetwarzającemu wszczyna się przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający mają siedzibę. Alternatywnie takie postępowanie może być wszczęte przed sądem państwa członkowskiego, w którym podmiot danych ma miejsce zwykłego pobytu, chyba że administrator jest organem publicznym Unii lub państwa członkowskiego wykonującym swoje uprawnienia publiczne.

Poprawka  185

Wniosek dotyczący rozporządzenia

Artykuł 76 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Każdy podmiot, organizacja lub zrzeszenie, o których mowa w art. 73 ust. 2, ma prawo do wykonywania praw, o których mowa w art. 74 i 75, w imieniu jednego lub większej liczby podmiotów danych.

1. Każdy podmiot, organizacja lub zrzeszenie, o których mowa w art. 73 ust. 2, ma prawo do wykonywania praw, o których mowa w art. 74, 75 i 77, z upoważnienia jednego lub większej liczby podmiotów danych.

Poprawka  186

Wniosek dotyczący rozporządzenia

Artykuł 77 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Każda osoba, która poniosła szkodę w wyniku niezgodnej z prawem operacji przetwarzania danych lub działania niezgodnego z przepisami ustanowionymi w niniejszym rozporządzeniu, ma prawo do odszkodowania od administratora lub podmiotu przetwarzającego, odpowiedzialnego za poniesioną szkodę.

1. Każda osoba, która poniosła szkodę, w tym szkodę niepieniężną, w wyniku niezgodnej z prawem operacji przetwarzania danych lub działania niezgodnego z przepisami ustanowionymi w niniejszym rozporządzeniu, ma prawo do dochodzenia odszkodowania od administratora lub podmiotu przetwarzającego, odpowiedzialnego za poniesioną szkodę.

Poprawka  187

Wniosek dotyczący rozporządzenia

Artykuł 77 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. Jeżeli w przetwarzaniu bierze udział więcej niż jeden administrator lub podmiot przetwarzający, każdy administrator i podmiot przetwarzający odpowiada solidarnie za całą kwotę odszkodowania.

2. Jeżeli w przetwarzaniu bierze udział więcej niż jeden administrator lub podmiot przetwarzający, każdy z tych administratorów lub podmiotów przetwarzających odpowiada solidarnie za całą kwotę odszkodowania, chyba że zawarli między sobą odpowiednie porozumienie w formie pisemnej, określające zakres odpowiedzialności zgodnie z art. 24.

Poprawka  188

Wniosek dotyczący rozporządzenia

Artykuł 79

Tekst proponowany przez Komisję

Poprawka

Sankcje administracyjne

Sankcje administracyjne

1. Każdy organ nadzorczy jest uprawniony do nakładania sankcji administracyjnych zgodnie niniejszym artykułem.

1. Każdy organ nadzorczy jest uprawniony do nakładania sankcji administracyjnych zgodnie niniejszym artykułem. Organy nadzorcze współpracują ze sobą stosownie do art. 46 i 57 w celu zagwarantowania zharmonizowanych sankcji w całej UE.

2. Sankcja administracyjna w każdym indywidualnym przypadku jest skuteczna, proporcjonalna i odstraszająca. Kwotę grzywny administracyjnej określa się z należytym uwzględnieniem charakteru, powagi i czasu trwania naruszenia, umyślnego lub lekkomyślnego charakteru naruszenia, stopnia odpowiedzialności osoby fizycznej lub prawnej oraz poprzednich naruszeń popełnionych przez tą osobę, technicznych i organizacyjnych środków i procedur wdrażanych na mocy art. 23 i stopnia współpracy z organem nadzorczym w celu usunięcia naruszenia.

2. Sankcja administracyjna w każdym indywidualnym przypadku jest skuteczna, proporcjonalna i odstraszająca.

 

2a. Na podmioty, które nie wywiązują się z zobowiązań określonych w niniejszym rozporządzeniu, organ nadzorczy nakłada co najmniej jedną z następujących sankcji:

 

a) ostrzeżenie pisemne w przypadku pierwszej i niezamierzonej niezgodności;

 

b) regularne okresowe kontrole w zakresie ochrony danych;

 

c) wyższa z kwot: grzywna w wysokości 100 000 000 EUR lub 5% rocznego światowego obrotu, w przypadku przedsiębiorstw.

 

2b. Jeżeli administrator lub podmiot przetwarzający posiada ważną europejską pieczęć w zakresie ochrony danych, zgodnie z art. 39, grzywnę, o której mowa w ust. 2a lit. c), nakłada się tylko wówczas, gdy naruszenie przepisów było zamierzone lub wynikało z zaniedbania.

 

2c. Sankcje administracyjne uwzględniają następujące czynniki:

 

a) charakter, powagę i czas trwania naruszenia;

 

b) umyślny lub lekkomyślny charakter naruszenia;

 

c) stopień odpowiedzialności osoby fizycznej lub prawnej oraz poprzednich naruszeń popełnionych przez tę osobę;

 

d) powtarzający się charakter naruszenia;

 

e) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia ewentualnych negatywnych skutków naruszenia;

 

f) szczególne kategorie danych osobowych, na które wpłynęło naruszenie;

 

g) skala szkód, w tym szkód niepieniężnych, poniesionych przez podmioty danych;

 

h) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez podmioty danych;

 

i) wszelkie zamierzone lub uzyskane korzyści finansowe lub też straty, których uniknięto, bezpośrednio lub pośrednio związane z naruszeniem;

 

j) techniczne i organizacyjne środki i procedury wdrażane na mocy:

 

(i)art. 23 – uwzględnienie ochrony danych już w fazie projektowania oraz ochrona danych jako opcja domyślna;

 

(ii) art. 30 – bezpieczeństwo przetwarzania;

 

(iii) art. 33 – ocena skutków w zakresie ochrony danych;

 

 

(iv) art. 33a – przegląd zgodności z przepisami w zakresie ochrony danych;

 

(v)art. 35 – wyznaczenie inspektora ochrony danych

 

k) odmowa współpracy z organem nadzorczym lub zablokowanie inspekcji, audytów i kontroli przeprowadzanych przez organ nadzorczy zgodnie z art. 53;

 

l) inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy.

3. W przypadku zaistnienia pierwszego przypadku nieumyślnego naruszenia niniejszego rozporządzeniem nie nakłada się sankcji, lecz udziela ostrzeżenia na piśmie, w przypadku gdy:

 

a) osoba fizyczna przetwarza dane osobowe nie dla celów handlowych; lub

 

b) przetwarzanie danych osobowych przez przedsiębiorstwo lub organizację zatrudniającą mniej niż 250 osób ma jedynie charakter poboczny w stosunku do głównej działalności.

 

4. Organ nadzorczy nakłada grzywnę do wysokości 250 000 EUR lub w przypadku przedsiębiorstwa do 0,5 % jego rocznego światowego obrotu, na każdy podmiot, który umyślnie lub lekkomyślnie:

 

a) nie ustanowił mechanizmów umożliwiających podmiotom danych składanie wniosków lub nie odpowiada podmiotom danych bezzwłocznie lub odpowiada nie w wymaganym formacie zgodnie z art. 12 ust. 1 i 2;

 

b) pobiera opłatę za informację lub odpowiedzi na wnioski podmiotów danych naruszając w ten sposób art. 12 ust. 4.

 

5. Organ nadzorczy nakłada grzywnę do wysokości 500 000 EUR lub w przypadku przedsiębiorstwa do 1 % jego rocznego światowego obrotu, na każdy podmiot, który umyślnie lub lekkomyślnie:

 

a) nie dostarcza podmiotom danych informacji lub nie dostarcza pełnych informacji lub nie dostarcza informacji w wystarczająco przejrzysty sposób zgodnie z art. 11, art. 12 ust. 3 i art. 14;

 

b) nie zapewnia dostępu podmiotom danych lub nie poprawia danych osobowych zgodnie z art. 15 i 16 lub nie przekazuje odpowiednich informacji odbiorcy zgodnie z art. 13;

 

c) nie respektuje prawa do bycia zapomnianym i do usunięcia danych lub nie wprowadza mechanizmów, aby zapewnić, że terminy są przestrzegane lub nie podejmuje wszelkich właściwych kroków, aby poinformować osoby trzecie, że podmioty danych zażądały wszystkich usunięcia linków do danych, lub kopii lub replikacji danych osobowych na podstawie art. 17;

 

d) nie dostarcza kopii danych osobowych w formie elektronicznej lub utrudnia podmiotowi danych przekazanie danych osobowych do innego zastosowania, naruszając art. 18;

 

e) nie określa w sposób wystarczający odpowiednich obowiązków współadministratorów danych zgodnie z art. 24;

 

f) nie prowadzi dokumentacji lub prowadzi ją w sposób niewystarczający na mocy art. 28, art. 31 ust. 4 i art. 44 ust. 3;

 

g) nie przestrzega, w przypadkach które dotyczą szczególnych kategorii danych, na mocy art. 80, 82 i 83, przepisów odnoszących się do wolności wypowiedzi lub do przetwarzania w kontekście zatrudnienia lub dotyczących warunków przetwarzania do celów dokumentacji, statystyki i badań naukowych.

 

6. Organ nadzorczy nakłada grzywnę do wysokości 1 000 000 EUR lub w przypadku przedsiębiorstwa do 2 % jego rocznego światowego obrotu, na każdy podmiot, który umyślnie lub lekkomyślnie:

 

a) przetwarza dane osobowe bez żadnej lub wystarczającej podstawy prawnej przetwarzania lub nie przestrzega warunków dotyczących uzyskania zgody na mocy art. 6, 7 i 8;

 

b) przetwarza szczególne kategorie danych niezgodnie z art. 9 i art. 81;

 

c) nie respektuje sprzeciwu lub wymogu na mocy art. 19;

 

d) nie przestrzega warunków odnoszących się do środków opartych na profilowaniu na mocy art. 20;

 

e) nie przyjmuje wewnętrznych polityk lub nie wdraża właściwych środków w celu zapewnienia i wykazania zgodności na mocy art. 22, 23 i 30;

 

f) nie wyznacza przedstawiciela na mocy art. 25;

 

g) przetwarza lub wydaje polecenie przetwarzania danych osobowych, z naruszeniem obowiązków odnoszących się do przetwarzania w imieniu administratora na mocy art. 26 i 27;

 

h) nie ostrzega, ani nie zawiadamia o naruszeniu ochrony danych osobowych lub nie zawiadamia terminowo i w całości o naruszeniu danych organu nadzorczego lub podmiotu danych na mocy art. 31 i 32;

 

i) nie przeprowadza oceny skutków w zakresie ochrony danych lub przetwarza dane osobowe bez uzyskania uprzedniej zgody organu nadzorczego lub bez uprzednich konsultacji z nim na mocy art. 33 i 34;

 

j) nie wskazuje inspektora ochrony danych lub nie zapewnia warunków umożliwiających wykonanie zadań na mocy art. 35, 36 i 37;

 

k) nadużywa pieczęci lub oznaczeń w zakresie ochrony danych w rozumieniu art. 39;

 

l) wykonuje lub zleca przekazanie danych do państwa trzeciego lub organizacji międzynarodowej, na co nie zezwala decyzja stwierdzająca odpowiedni poziom ochrony lub odpowiednie gwarancje lub odstępstwo na mocy art. 40-44;

 

m) nie przestrzega nakazu lub tymczasowego albo ostatecznego zakazu dotyczącego przetwarzania lub zawieszenia przepływu danych przez organ nadzorczy na podstawie art. 53 ust. 1;

 

n) nie przestrzega obowiązków dotyczących udzielenia pomocy lub odpowiedzi lub dostarczenia odpowiednich informacji organowi nadzorczemu lub udostępnienia mu pomieszczeń na mocy art. 28 ust. 3, art. 29, art. 34 ust. 6 i art. 53 ust. 2;

 

o) nie przestrzega przepisów dotyczących zachowaniu tajemnicy służbowej na mocy art. 84.

 

7. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu aktualizacji kwot grzywien administracyjnych, o których mowa ust. 4, 5 i 6, biorąc pod uwagę warunki, o których mowa ust. 2.

7. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu aktualizacji bezwzględnych kwot grzywien administracyjnych, o których mowa ust. 2a, biorąc pod uwagę kryteria i czynniki, o których mowa ust. 2 i 2c.

Poprawka  189

Wniosek dotyczący rozporządzenia

Artykuł 80 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie stanowią przepisy przewidujące wyłączenia i odstępstwa od przepisów dotyczące ogólnych zasad w rozdziale II, praw podmiotów danych w rozdziale III, administratora i podmiotu przetwarzającego w rozdziale IV, przekazywania danych osobowych do państw trzecich w rozdziale V, niezależnych organów nadzorczych w rozdziale VI oraz współpracy i zgodności w rozdziale VII w przypadku przetwarzania danych osobowych wyłącznie w celach dziennikarskich lub w celu uzyskania wyrazu artystycznego lub literackiego, aby pogodzić prawo do ochrony danych osobowych z przepisami dotyczącymi wolności wypowiedzi.

1. Państwa członkowskie stanowią przepisy przewidujące wyłączenia i odstępstwa od przepisów dotyczące ogólnych zasad w rozdziale II, praw podmiotów danych w rozdziale III, administratora i podmiotu przetwarzającego w rozdziale IV, przekazywania danych osobowych do państw trzecich w rozdziale V, niezależnych organów nadzorczych w rozdziale VI, współpracy i zgodności w rozdziale VII oraz szczególnych sytuacji przetwarzania danych w rozdziale IX, zawsze gdy jest to niezbędne, aby pogodzić prawo do ochrony danych osobowych z przepisami dotyczącymi wolności wypowiedzi zgodnie z Kartą praw podstawowych Unii Europejskiej.

Poprawka  190

Wniosek dotyczący rozporządzenia

Artykuł 80 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 80a

 

Dostęp do dokumentów

 

1. Dane osobowe w dokumentach znajdujących się w posiadaniu organu publicznego lub podmiotu publicznego mogą być ujawniane przez ten organ lub podmiot zgodnie z prawem Unii lub państwa członkowskiego dotyczącym publicznego dostępu do dokumentów urzędowych, które godzi prawo do ochrony danych osobowych z zasadą publicznego dostępu do dokumentów urzędowych.

 

2. Każde państwo członkowskie zawiadamia Komisję o przepisach prawa, które przyjęło na mocy ust. 1, najpóźniej w terminie określonym w art. 91 ust. 2 i bezzwłocznie o każdej kolejnej zmianie mającej na nie wpływ.

Poprawka  191

Wniosek dotyczący rozporządzenia

Artykuł 81

Tekst proponowany przez Komisję

Poprawka

Przetwarzanie danych osobowych dotyczących zdrowia

Przetwarzanie danych osobowych dotyczących zdrowia

1. W granicach niniejszego rozporządzenia i zgodnie z art. 9 ust. 2 lit. h) przetwarzanie danych osobowych dotyczących zdrowia musi odbywać się na podstawie prawa Unii lub prawa państwa członkowskiego, które przewiduje odpowiednie i konkretne środki mające na celu zabezpieczenie uzasadnionych interesów podmiotu danych i które są niezbędne:

1. Zgodnie z przepisami określonymi w niniejszym rozporządzeniu, a w szczególności z art. 9 ust. 2 lit. h) przetwarzanie danych osobowych dotyczących zdrowia musi odbywać się na podstawie prawa Unii lub prawa państwa członkowskiego, które przewiduje odpowiednie, spójne i konkretne środki mające na celu zabezpieczenie interesów oraz praw podstawowych podmiotu danych, o ileone niezbędne i proporcjonalne oraz o ile ich skutki są przewidywalne dla podmiotu danych:

a) dla celów medycyny prewencyjnej lub medycyny pracy, diagnostyki medycznej, opieki lub leczenia lub zarządzania opieką zdrowotną, w przypadkach, gdy dane te są przetwarzane przez pracownika służby zdrowia podlegającego obowiązkowi zachowania tajemnicy zawodowej lub przez inną osobę również podlegającą równoważnemu obowiązkowi zachowania poufności na podstawie prawa państwa członkowskiego lub przepisów ustanowionych przez właściwe organy krajowe; lub

a) dla celów medycyny prewencyjnej lub medycyny pracy, diagnostyki medycznej, opieki lub leczenia lub zarządzania opieką zdrowotną, w przypadkach, gdy dane te są przetwarzane przez pracownika służby zdrowia podlegającego obowiązkowi zachowania tajemnicy zawodowej lub przez inną osobę również podlegającą równoważnemu obowiązkowi zachowania poufności na podstawie prawa państwa członkowskiego lub przepisów ustanowionych przez właściwe organy krajowe; lub

b) ze względu na interes publiczny w dziedzinie zdrowia publicznego, taki jak ochrona przed poważnymi transgranicznymi zagrożeniami dla zdrowia lub zapewnienie wysokich standardów jakości i bezpieczeństwa, między innymi w przypadku produktów leczniczych lub wyrobów medycznych; lub

b) ze względu na interes publiczny w dziedzinie zdrowia publicznego, taki jak ochrona przed poważnymi transgranicznymi zagrożeniami dla zdrowia lub zapewnienie wysokich standardów jakości i bezpieczeństwa, między innymi w przypadku produktów leczniczych lub wyrobów medycznych, oraz jeżeli dane te są przetwarzane przez osobę podlegającą obowiązkowi zachowania poufności; lub

c) ze względu na inne przesłanki z zakresu interesu publicznego w takich obszarach jak ochrona socjalna, szczególnie w celu zapewnienia odpowiedniej jakości i efektywności ekonomicznej procedur stosowanych do rozstrzygania roszczeń w sprawie świadczeń i usług w ramach systemu ubezpieczeń zdrowotnych.

c) ze względu na inne przesłanki z zakresu interesu publicznego w takich obszarach jak ochrona socjalna, szczególnie w celu zapewnienia odpowiedniej jakości i efektywności ekonomicznej procedur stosowanych do rozstrzygania roszczeń w sprawie świadczeń i usług w ramach systemu ubezpieczeń zdrowotnych i świadczenia usług zdrowotnych. Takie przetwarzanie danych osobowych dotyczących zdrowia ze względu na interes publiczny nie może skutkować przetwarzaniem danych osobowych do innych celów, chyba że odbywa się to za zgodą podmiotu danych lub na podstawie prawa Unii bądź państwa członkowskiego.

 

1a. Gdy cele, o których mowa w ust. 1 lit. a)–c), można osiągnąć bez wykorzystywania danych osobowych, tego rodzaju danych nie wykorzystuje do takich celów, chyba że opiera się to na zgodzie podmiotu danych lub prawie państwa członkowskiego.

 

1b. Gdy wymagana jest zgoda podmiotu danych na przetwarzanie danych medycznych wyłącznie do związanych ze zdrowiem publicznym celów badań naukowych, zgoda może być udzielona na jedno lub więcej konkretnych i podobnych badań. Podmiot danych może jednak wycofać zgodę w dowolnej chwili.

 

1c. Do celów wyrażenia zgody na udział w działaniach związanych z badaniem naukowym w ramach prób klinicznych zastosowanie mają odpowiednie przepisy dyrektywy 2001/20/WE Parlamentu Europejskiego i Rady1.

2. Przetwarzanie danych osobowych dotyczących zdrowia, które jest niezbędne do celów dokumentacji, statystyki i badań naukowych, takie jak prowadzenie rejestrów pacjentów założonych w celu udoskonalenia diagnostyki i rozróżnienia między podobnymi rodzajami chorób i przygotowania opracowań dotyczących terapii, podlega warunkom i gwarancjom, o których mowa w art. 83.

 

2. Przetwarzanie danych osobowych dotyczących zdrowia, niezbędne do celów dokumentacji, statystyki lub badań naukowych, jest dopuszczalne wyłącznie za zgodą podmiotu danych oraz podlega warunkom i gwarancjom, o których mowa w art. 83.

 

2a. Przepisy państw członkowskich mogą obejmować odstępstwa od wymogu udzielenia zgody na przetwarzanie danych osobowych do celów badań naukowych, o czym jest mowa w ust. 2, w odniesieniu do badań naukowych, które służą istotnemu interesowi publicznemu, o ile takie badania naukowe nie mogą zostać przeprowadzone inaczej. Przedmiotowe dane są zanonimizowane lub, jeśli ich anonimizacja jest niemożliwa do celów badań naukowych, opatrzone pseudonimem z wykorzystaniem najwyższych standardów technicznych, przy czym podejmuje się wszelkie niezbędne działania w celu zapobieżenia nieobjętej gwarancjami ponownej identyfikacji podmiotów danych. Podmiot danych ma jednak prawo do wyrażenia sprzeciwu w dowolnej chwili zgodnie z art. 19.

3. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu dalszego określenia innych przesłanek z zakresu interesu publicznego w obszarze zdrowia publicznego, o których mowa ust. 1 lit. b), jak również kryteriów i wymogów dla gwarancji przetwarzanie danych osobowych dla celów, o których mowa w ust. 1.

3. Komisja jest uprawniona do przyjmowania aktów delegowanych, po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, zgodnie z art. 86, w celu dalszego określenia interesu publicznego w obszarze zdrowia publicznego, o których mowa ust. 1 lit. b), oraz istotnego interesu publicznego związanego z dziedziną badań naukowych, o którym mowa w ust. 2a.

 

3a. Każde państwo członkowskie zawiadamia Komisję o przepisach prawa, które przyjęło na mocy ust. 1, najpóźniej w terminie określonym w art. 91 ust. 2 i bezzwłocznie o każdej kolejnej zmianie mającej na nie wpływ.

 

1 Dyrektywa 2001/20/WE Parlamentu Europejskiego i Rady z dnia 4 kwietnia 2001 r. w sprawie zbliżania przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich, odnoszących się do wdrożenia zasady dobrej praktyki klinicznej w prowadzeniu badań klinicznych produktów leczniczych, przeznaczonych do stosowania przez człowieka (Dz.U. L 121 z 1.5.2001, s. 34).

Poprawka  192

Wniosek dotyczący rozporządzenia

Artykuł 82

Tekst proponowany przez Komisję

Poprawka

Przetwarzanie w kontekście zatrudnienia

Minimalne standardy przetwarzania danych w kontekście zatrudnienia

1. W granicach niniejszego rozporządzenia państwa członkowskie mogą przyjąć przepisy szczególne regulujące przetwarzanie danych osobowych pracowników w kontekście zatrudnienia, w szczególności dla celów procedury rekrutacyjnej, wykonania umowy o pracę, w tym zwolnienia z obowiązków określonych przez przepisy prawa lub przez umowy zbiorowe, zarządzania, planowania i organizacji pracy, bezpieczeństwa i higieny pracy, oraz dla celów wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, indywidualnie lub zbiorowo, oraz dla celu zakończenia stosunku pracy.

1. Zgodnie z zasadami ustalonymi na mocy niniejszego rozporządzenia i przy uwzględnieniu zasady proporcjonalności państwa członkowskie mogą przyjąć za pomocą przepisów prawa przepisy szczególne regulujące przetwarzanie danych osobowych pracowników w kontekście zatrudnienia, w szczególności, ale nie tylko dla celów procedury rekrutacyjnej i aplikacyjnej w ramach grupy przedsiębiorstw, wykonania umowy o pracę, w tym zwolnienia z obowiązków określonych przez przepisy prawa i przez umowy zbiorowe, zgodnie z krajowym prawem i praktyką, zarządzania, planowania i organizacji pracy, bezpieczeństwa i higieny pracy, oraz dla celów wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, indywidualnie lub zbiorowo, oraz dla celu zakończenia stosunku pracy. Państwa członkowskie mogą zezwolić na układy zbiorowe w celu doprecyzowania przepisów określonych w niniejszym artykule.

 

1a. Cel przetwarzania takich danych musi być związany z przyczyną ich zgromadzenia i nie może wykraczać poza kontekst zatrudnienia. Niedozwolone jest tworzenie profili lub wykorzystywanie do celów drugorzędnych.

 

1b. Zgoda pracownika nie stanowi podstawy prawnej przetwarzania danych przez pracodawcę w przypadku, gdy zgody tej nie udzielono dobrowolnie.

 

1c. Niezależnie od pozostałych postanowień niniejszego rozporządzenia, przepisy prawne państw członkowskich, o których mowa w ust. 1, dotyczą przynajmniej zapewnienia minimalnych standardów, do których należą:

 

 

a) przetwarzanie danych osobowych pracownika bez jego wiedzy jest niedopuszczalne; niezależnie od zdania pierwszego państwa członkowskie mogą, przy pomocy odpowiednich przepisów prawnych, dopuścić przetwarzanie danych osobowych – przestrzegając odpowiednich terminów usuwania danych – w przypadku, gdy istnieje podejrzenie oparte na materialnych przesłankach wymagających udokumentowania, iż pracownik popełnił czyn karalny lub w inny poważny sposób nie dopełnił obowiązków pozostając w stosunku pracy, również pod warunkiem, że gromadzenie danych jest konieczne do celu wyjaśnienia tej kwestii oraz pod warunkiem, że charakter i zakres gromadzenia danych są niezbędne i proporcjonalne do jego celu; sfera prywatna i życie osobiste pracownika są objęte ciągłą ochroną; śledztwo jest prowadzone przez właściwy organ;

 

b) zabronione jest otwarte optyczno-elektroniczne lub akustyczno-elektroniczne monitorowanie przeznaczonych do prywatnych celów pracownika i niedostępnych publicznie miejsc w przedsiębiorstwie w szczególności takich jak: pomieszczenia sanitarne, szatnie oraz pomieszczenia przeznaczone na odpoczynek i sen; ukryty monitoring zabroniony jest w każdym przypadku;

 

c) jeżeli przedsiębiorstwa lub urzędy gromadzą i przetwarzają dane osobowe w ramach badań lekarskich lub testów selekcyjnych, muszą uprzednio wyjaśnić kandydatowi lub pracownikowi, do czego wykorzystuje się te dane, oraz zapewnić, że później dane te wraz z wynikami zostaną im podane i objaśnione na żądanie; gromadzenie danych osobowych w celu przeprowadzania testów i analiz genetycznych jest kategorycznie zabronione;

 

d) kwestia związana z tym, czy i w jakim stopniu dozwolone jest wykorzystanie telefonu, poczty elektronicznej, internetu i innych usług telekomunikacyjnych również do celów prywatnych, może zostać uregulowana na drodze układu zbiorowego; jeżeli braku uregulowania w drodze układu zbiorowego, pracodawca uzgadnia tę kwestię bezpośrednio z pracownikiem; jeżeli wykorzystanie do celów prywatnych jest dozwolone, przetwarzanie przekazywanych tą drogą danych dozwolone jest w szczególności w celu zapewnienia bezpieczeństwa danych, w celu zapewnienia prawidłowego funkcjonowania sieci i usług telekomunikacyjnych oraz w celu dokonania rozliczenia;

 

niezależnie od zdania trzeciego państwa członkowskie mogą, przy pomocy odpowiednich przepisów prawnych, dopuścić przetwarzanie danych osobowych – przestrzegając odpowiednich terminów usuwania danych – w przypadku, gdy istnieje podejrzenie oparte na materialnych przesłankach wymagających udokumentowania, iż pracownik popełnił czyn karalny lub w inny poważny sposób nie dopełnił obowiązków pozostając w stosunku pracy, również pod warunkiem, że gromadzenie danych jest konieczne do celu wyjaśnienia tej kwestii oraz pod warunkiem, że charakter i zakres gromadzenia danych są niezbędne i proporcjonalne do jego celu; sfera prywatna i życie osobiste pracownika są objęte ciągłą ochroną; śledztwo jest prowadzone przez właściwy organ;

 

e) dane osobowe pracowników zwłaszcza dane newralgiczne, takie jak orientacja polityczna, przynależność do związków zawodowych i działalność w tych związkach w żadnym razie nie mogą być wykorzystywane do umieszczania pracowników na tzw. czarnych listach, weryfikowania ich lub blokowania dostępu do zatrudnienia w przyszłości; Przetwarzanie, wykorzystywanie w kontekście zatrudnienia, sporządzanie i przekazywanie czarnych list pracowników lub inne formy dyskryminacji są zabronione. Państwa członkowskie przeprowadzają kontrole i przyjmują odpowiednie sankcje zgodnie z art. 79 ust. 6 w celu zapewnienia skutecznego wdrożenia przepisów niniejszej litery.

 

1d. Przekazywanie i przetwarzanie danych osobowych odnoszących się do osób zatrudnionych odbywające się pomiędzy przedsiębiorstwem posiadającym odrębną osobowość prawną wewnątrz grupy przedsiębiorstw lub z udziałem pracowników odpowiedzialnych za doradztwo prawne lub podatkowe jest dozwolone, o ile służy interesom firmy i wykonywaniu mających określony cel czynności ze stosunku pracy lub administracyjnych, a także nie godzi w interesy i prawa podstawowe podmiotu danych. W przypadku przekazania danych osobowych pracownika do kraju trzeciego lub organizacji międzynarodowej zastosowanie mają przepisy rozdziału V.

2. Każde państwo członkowskie zawiadamia Komisję o przepisach prawa, które przyjęło na mocy ust. 1, najpóźniej w terminie określonym w art. 91 ust. 2 i bezzwłocznie o każdej kolejnej zmianie mającej na nie wpływ.

2. Każde państwo członkowskie zawiadamia Komisję o przepisach prawa, które przyjęło na mocy ust. 1 i 1b, najpóźniej w terminie określonym w art. 91 ust. 2 i bezzwłocznie o każdej kolejnej zmianie mającej na nie wpływ.

3. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu dalszego określenia innych warunków i wymogów gwarancji przetwarzania danych osobowych dla celów, o których mowa w ust. 1.

3. Komisja jest uprawniona do przyjmowania aktów delegowanych po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, zgodnie z art. 86, w celu dalszego określenia innych warunków i wymogów gwarancji przetwarzania danych osobowych dla celów, o których mowa w ust. 1.

Poprawka  193

Wniosek dotyczący rozporządzenia

Artykuł 82 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 82a

 

Przetwarzanie w kontekście zabezpieczenia społecznego

 

1. Zgodnie z przepisami określonymi w niniejszym rozporządzeniu państwa członkowskie mogą przyjąć szczególne przepisy prawne precyzujące warunki przetwarzania danych osobowych przez ich instytucje i departamenty publiczne w kontekście zabezpieczenia społecznego, o ile przetwarzanie służy interesowi publicznemu.

 

2. Każde państwo członkowskie zawiadamia Komisję o przepisach, które przyjęło na mocy ust. 1, najpóźniej w terminie określonym w art. 91 ust. 2 i bezzwłocznie o każdej kolejnej zmianie mającej na nie wpływ.

Poprawka  194

Wniosek dotyczący rozporządzenia

Artykuł 83

Tekst proponowany przez Komisję

Poprawka

Przetwarzanie do celów dokumentacji, statystyki i badań naukowych

Przetwarzanie do celów dokumentacji, statystyki i badań naukowych

1. W granicach niniejszego rozporządzenia można przetwarzać dane osobowe do celów dokumentacji, statystyki i badań naukowych jedynie wtedy, gdy:

1. Zgodnie z przepisami określonymi w niniejszym rozporządzeniu można przetwarzać dane osobowe do celów dokumentacji, statystyki lub badań naukowych jedynie wtedy, gdy:

a) nie można ich inaczej osiągnąć przez przetwarzanie danych, które nie umożliwia lub przestaje umożliwiać identyfikację osoby, której dane dotyczą;

a) nie można ich inaczej osiągnąć przez przetwarzanie danych, które nie umożliwia lub przestaje umożliwiać identyfikację osoby, której dane dotyczą;

b) dane umożliwiające przypisanie informacji do zidentyfikowanej podmiotu danych lub do zidentyfikowania, są przechowywane oddzielnie od innych informacji, tak długo jak cele te można osiągnąć w ten sposób.

b) dane umożliwiające przypisanie informacji do zidentyfikowanej podmiotu danych lub do zidentyfikowania, są przechowywane oddzielnie od innych informacji zgodnie z najwyższymi standardami technicznymi, przy czym przyjmuje się wszelkie niezbędne środki w celu zapobieżenia nieobjętej gwarancjami ponownej identyfikacji podmiotów danych.

2. Podmioty prowadzące badania historyczne, statystyczne lub naukowe mogą publikować lub ujawniać publicznie w inny sposób dane osobowe jedynie wtedy, gdy:

 

a) podmiot danych udzielił zgody, z zastrzeżeniem warunków ustanowionych w art. 7;

 

b) publikacja danych osobowych jest niezbędna do zaprezentowania ustaleń uzyskanych w wyniku badań lub do ułatwienia badań w takim zakresie, w jakim interesy lub podstawowe prawa i wolności podmiotu danych nie mają charakteru nadrzędnego; lub

 

c) osoba, której dane dotyczą podała dane do wiadomości publicznej.

 

3. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu dalszego określenia kryteriów i wymogów gwarancji przetwarzania danych osobowych dla celów, o których mowa w ust. 1 i ust. 2, jak również niezbędnych ograniczeń prawa do informacji i dostępu przysługującego podmiotowi danych oraz doprecyzowania warunków praw podmiotów danych w tych okolicznościach i gwarancji tych praw.

 

Poprawka  195

Wniosek dotyczący rozporządzenia

Artykuł 83 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 83a

 

Przetwarzanie danych osobowych przez służby archiwistyczne

 

1. Dane osobowe, po upływie czasu niezbędnego do zrealizowania celów, do których zostały zebrane, mogą być przetwarzane przez służby archiwistyczne, których głównym zadaniem lub obowiązkiem prawnym jest gromadzenie i przechowywanie archiwów, informowanie o nich oraz ich wykorzystywanie i rozpowszechnianie w interesie publicznym, zwłaszcza dla uzasadnienia praw jednostki lub do celów historycznych bądź statystycznych lub do celów badań naukowych. Zadania te są prowadzone zgodnie z określonymi przez państwa członkowskie przepisami dotyczącymi dostępu do dokumentów administracyjnych lub archiwalnych, ich udostępniania i upowszechniania oraz zgodnie z przepisami określonymi w niniejszym rozporządzeniu, szczególnie w odniesieniu do zgody i prawa do sprzeciwu.

 

2. Każde państwo członkowskie zawiadamia Komisję o przepisach prawa, które przyjęło na mocy ust. 1, najpóźniej w terminie określonym w art. 91 ust. 2 i bezzwłocznie o każdej kolejnej zmianie mającej na nie wpływ.

Poprawka  196

Wniosek dotyczący rozporządzenia

Artykuł 84 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. W granicach niniejszego rozporządzenia państwa członkowskie mogą przyjąć przepisy szczególne określające uprawnienia dochodzeniowe organów nadzorczych ustanowione w art. 53 ust. 2 w odniesieniu do administratorów i podmiotów przetwarzających, którzy podlegają obowiązkowi zachowania tajemnicy zawodowej lub innym równoważnym obowiązkom zachowania tajemnicy na podstawie prawa krajowego lub przepisów ustanowionych przez właściwe podmioty krajowe, w przypadku gdy jest to konieczne i proporcjonalne dla pogodzenia prawa do ochrony danych osobowych i obowiązku zachowania tajemnicy. Niniejsze przepisy stosuje się w odniesieniu do danych osobowych, które administrator lub podmiot przetwarzający otrzymał lub uzyskał w działaniu objętym obowiązkiem zachowania tajemnicy.

1. Zgodnie z przepisami określonymi w niniejszym rozporządzeniu państwa członkowskie zapewniają, aby wprowadzone zostały przepisy szczególne określające uprawnienia organów nadzorczych ustanowione w art. 53 ust. 2 w odniesieniu do administratorów i podmiotów przetwarzających, którzy podlegają obowiązkowi zachowania tajemnicy zawodowej lub innym równoważnym obowiązkom zachowania tajemnicy na podstawie prawa krajowego lub przepisów ustanowionych przez właściwe podmioty krajowe, w przypadku gdy jest to konieczne i proporcjonalne dla pogodzenia prawa do ochrony danych osobowych i obowiązku zachowania tajemnicy. Niniejsze przepisy stosuje się w odniesieniu do danych osobowych, które administrator lub podmiot przetwarzający otrzymał lub uzyskał w działaniu objętym obowiązkiem zachowania tajemnicy.

Poprawka  197

Wniosek dotyczący rozporządzenia

Artykuł 85

Tekst proponowany przez Komisję

Poprawka

Obowiązujące przepisy dotyczące ochrony danych stosowane przez kościoły i związki wyznaniowe

Obowiązujące przepisy dotyczące ochrony danych stosowane przez kościoły i związki wyznaniowe

1. W przypadku gdy państwo członkowskie, kościoły i związki lub wspólnoty wyznaniowe stosują, w momencie wejścia w życie niniejszego rozporządzenia, kompleksowe regulacje dotyczące ochrony jednostek w odniesieniu do przetwarzania danych osobowych, regulacje takie mogą być nadal stosowane, pod warunkiem że są dostosowane do przepisów niniejszego rozporządzenia.

1. W przypadku gdy państwo członkowskie, kościoły i związki lub wspólnoty wyznaniowe stosują, w momencie wejścia w życie niniejszego rozporządzenia, wystarczające regulacje dotyczące ochrony jednostek w odniesieniu do przetwarzania danych osobowych, regulacje takie mogą być nadal stosowane, pod warunkiem że są dostosowane do przepisów niniejszego rozporządzenia.

2. Kościoły i związki wyznaniowe, które stosują kompleksowe regulacje zgodnie z ust. 1, stanowią regulacje przewidujące ustanowienie niezależnego organu nadzorczego zgodnie z rozdziałem VI niniejszego rozporządzenia.

2. Kościoły i związki wyznaniowe, które stosują odpowiednie regulacje zgodnie z ust. 1, otrzymują opinię o zgodności na podstawie art. 38.

Poprawka  198

Wniosek dotyczący rozporządzenia

Artykuł 85 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 85a

 

Poszanowanie praw podstawowych

 

Niniejsze rozporządzenie nie ma wpływu na obowiązek poszanowania praw podstawowych i podstawowych zasad prawnych, o których mowa w art. 6 TUE.

Poprawka  199

Wniosek dotyczący rozporządzenia

Artykuł 85 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 85b

 

Standardowe formularze

 

1. Komisja może określić – uwzględniając szczególne cechy i potrzeby różnych sektorów i sytuacji w zakresie przetwarzania danych – standardowe formularze do następujących celów:

 

a) specjalne metody otrzymywania możliwej do zweryfikowania zgody, o której mowa w art. 8 ust. 1.;

 

b) komunikacja, o której mowa w art. 12 ust. 2, w tym format elektroniczny;

 

c) przekazywanie informacji, o których mowa w art. 14 ust. 1–3,

 

d) wnioskowanie o dostęp i przyznawanie dostępu do informacji, o których mowa w art. 15 ust. 1, w tym do celów przekazywania danych osobowych podmiotowi danych;

 

 

e) dokumentacja, o której mowa w art. 28 ust. 1;

 

f) zawiadomienia o naruszeniu zgodnie z art. 31 kierowane do organu nadzorczego oraz dokumentacja, o której mowa w art. 31 ust. 4;

 

g) uprzednie konsultacje, o których mowa w art. 34, oraz do celów informowania organów nadzorczych zgodnie z art. 34 ust. 6.

 

2. Wykonując to uprawnienie, Komisja podejmuje właściwe środki dla mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

 

3. Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

Poprawka  200

Wniosek dotyczący rozporządzenia

Artykuł 86 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. Uprawnienia do przyjęcia aktów delegowanych, o których mowa w art. 6 ust. 5, art. 8 ust. 3, art. 9 ust. 3, art. 12 ust. 5, art. 14 ust. 7, art. 15 ust. 3, art. 17 ust. 9, art. 20 ust. 6, art. 22 ust. 4, art. 23 ust. 3, art. 26 ust. 5, art. 28 ust. 5, art. 30 ust. 3, art. 31 ust. 5, art. 32 ust. 5, art. 33 ust. 6, art. 34 ust. 8, art. 35 ust. 11, art. 37 ust. 2, art. 39 ust. 2, art. 43 ust. 3, art. 44 ust. 7, art. 79 ust. 6, art. 81 ust. 3, art. 82 ust. 3 i art. 83 ust. 3, powierza się Komisji na czas nieokreślony od dnia wejścia w życie niniejszego rozporządzenia.

2. Uprawnienia do przyjęcia aktów delegowanych, o których mowa w art. 13a ust. 5, art. 17 ust. 9, art. 38 ust. 4, art. 39 ust. 2, art. 41 ust. 3, art. 41 ust. 5, art. 43 ust. 3, art. 79 ust. 7, art. 81 ust. 3 i art. 82 ust. 3, powierza się Komisji na czas nieokreślony od dnia wejścia w życie niniejszego rozporządzenia.

Poprawka  201

Wniosek dotyczący rozporządzenia

Artykuł 86 – ustęp 3

Tekst proponowany przez Komisję

Poprawka

3. Przekazanie uprawnień, o którym mowa w art. 6 ust. 5, art. 8 ust. 3, art. 9 ust. 3, art. 12 ust. 5, art. 14 ust. 7, art. 15 ust. 3, art. 17 ust. 9, art. 20 ust. 6, art. 22 ust. 4, art. 23 ust. 3, art. 26 ust. 5, art. 28 ust. 5, art. 30 ust. 3, art. 31 ust. 5, art. 32 ust. 5, art. 33 ust. 6, art. 34 ust. 8, art. 35 ust. 11, art. 37 ust. 2, art. 39 ust. 2, art. 43 ust. 3, art. 44 ust. 7, art. 79 ust. 6, art. 81 ust. 3, art. 82 ust. 3 i art. 83 ust. 3, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna od następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w określonym w tej decyzji późniejszym terminie. Nie wpływa ona na ważność jakichkolwiek już obowiązujących aktów delegowanych.

3. Przekazanie uprawnień, o którym mowa w art. 13a ust. 5, art. 17 ust. 9, art. 38 ust. 4, art. 39 ust. 2, art. 41 ust. 3, art. 41 ust. 5, art. 43 ust. 3, art. 79 ust. 7, art. 81 ust. 3 i art. 82 ust. 3, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna od następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w określonym w tej decyzji późniejszym terminie. Nie wpływa ona na ważność jakichkolwiek już obowiązujących aktów delegowanych.

Poprawka  202

Wniosek dotyczący rozporządzenia

Artykuł 86 – ustęp 5

Tekst proponowany przez Komisję

Poprawka

5. Akt delegowany przyjęty na podstawie art. art. 6 ust. 5, art. 8 ust. 3, art. 9 ust. 3, art. 12 ust. 5, art. 14 ust. 7, art. 15 ust. 3, art. 17 ust. 9, art. 20 ust. 6, art. 22 ust. 4, art. 23 ust. 3, art. 26 ust. 5, art. 28 ust. 5, art. 30 ust. 3, art. 31 ust. 5, art. 32 ust. 5, art. 33 ust. 6, art. 34 ust. 8, art. 35 ust. 11, art. 37 ust. 2, art. 39 ust. 2, art. 43 ust. 3, art. 44 ust. 7, art. 79 ust. 6, art. 81 ust. 3, art. 82 ust. 3 i art. 83 ust. 3 wchodzi w życie tylko jeśli Parlament Europejski albo Rada nie wyraziły sprzeciwu w terminie dwóch miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub jeśli, przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o dwa miesiące z inicjatywy Parlamentu Europejskiego lub Rady.

5. Akt delegowany przyjęty na podstawie art. 13a ust. 5, art. 17 ust. 9, art. 38 ust. 4, art. 39 ust. 2, art. 41 ust. 3, art. 41 ust. 5, art. 43 ust. 3, art. 79 ust. 7, art. 81 ust. 3 i art. 82 ust. 3 wchodzi w życie tylko jeśli Parlament Europejski albo Rada nie wyraziły sprzeciwu w terminie dwóch miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub jeśli, przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o sześć miesięcy z inicjatywy Parlamentu Europejskiego lub Rady.

Poprawka  203

Wniosek dotyczący rozporządzenia

Artykuł 87 – ustęp 3

Tekst proponowany przez Komisję

Poprawka

3. W przypadku odesłania do niniejszego ustępu stosuje się art. 8 rozporządzenia (UE) nr 182/2011 w związku z jego art. 5.

skreślony

Poprawka  204

Wniosek dotyczący rozporządzenia

Artykuł 89 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. Skreśla się art. 1 ust. 2 dyrektywy 2002/58/WE.

2. Skreśla się art. 1 ust. 2, art. 4 oraz art. 15 dyrektywy 2002/58/WE.

Poprawka  205

Wniosek dotyczący rozporządzenia

Artykuł 89 – ustęp 2 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

2a. Komisja przedstawia bezzwłocznie, a najpóźniej w terminie określonym w art. 91 ust. 2 wniosek dotyczący przeglądu ram prawnych mających zastosowanie do przetwarzania danych osobowych i ochrony prywatności w komunikacji elektronicznej w celu dostosowania ich do niniejszego rozporządzenia, aby zapewnić spójne i jednolite przepisy prawne dotyczące podstawowego prawa do ochrony danych osobowych w Unii Europejskiej.

Poprawka  206

Wniosek dotyczący rozporządzenia

Artykuł 89 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 89a

 

Związek z rozporządzeniem (WE) nr 45/2001

 

1. Przepisy określone w niniejszym rozporządzeniu mają zastosowanie do przetwarzania danych osobowych przez instytucje, organy, urzędy i agencje Unii w odniesieniu do spraw, w przypadku których nie podlegają one dodatkowym przepisom określonym w rozporządzeniu (WE) nr 45/2001.

 

2. Komisja przedstawia bezzwłocznie, a najpóźniej w terminie określonym w art. 91 ust. 2, wniosek dotyczący przeglądu ram prawnych mających zastosowanie do przeglądu ram prawnych mających zastosowanie do przetwarzania danych osobowych przez instytucje, organy, urzędy i agencje Unii.

Załącznik 1 – przedstawienie opisów, o których mowa w art. 13 a (nowy)

1) Z uwzględnieniem proporcji, o których mowa w pkt 6, opisy przedstawia się następująco:

2) W rzędach w drugiej kolumnie tabeli w pkt 1 zatytułowanej „Główne informacje”, drukiem pogrubionym wyróżnia się:

a) słowa „nie zbiera się” w pierwszym wierszu drugiej kolumny;

b) słowa „nie przechowuje się” w drugim wierszu drugiej kolumny;

c) słowa „nie przetwarza się” w trzecim wierszu drugiej kolumny;

d) słowa „nie udostępnia się” w czwartym wierszu drugiej kolumny;

e) słowa „nie sprzedaje się ani nie wynajmuje” w piątym wierszu drugiej kolumny;

f) słowo „niezaszyfrowanej” w szóstym wierszu drugiej kolumny.

3) Z uwzględnieniem proporcji, o których mowa w pkt 6, rzędy w trzeciej kolumnie tabeli w pkt 1 zatytułowanej „Wypełnienie” wypełnia się jednym z dwóch następujących znaków graficznych zgodnie z warunkami ustanowionymi w pkt 4:

a)

b)

4)

a) Jeżeli żadnych danych osobowych nie zbiera się w stopniu większym, niż jest to niezbędne dla każdego odrębnego celu przetwarzania, pierwszy wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. a).

b) Jeżeli dane osobowe zbiera się w stopniu większym, niż jest to niezbędne dla każdego odrębnego celu przetwarzania, pierwszy wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. b).

c) Jeżeli danych osobowych nie przechowuje się w stopniu większym, niż jest to niezbędne dla każdego odrębnego celu przetwarzania, drugi wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. a).

d) Jeżeli dane osobowe przechowuje się w stopniu większym, niż jest to niezbędne dla każdego odrębnego celu przetwarzania, drugi wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. b).

e) Jeżeli żadnych danych osobowych nie przetwarza się w stopniu większym, niż jest to niezbędne dla każdego odrębnego celu przetwarzania, trzeci wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. a).

f) Jeżeli dane osobowe przetwarza się w stopniu większym, niż jest to niezbędne dla każdego odrębnego celu przetwarzania, trzeci wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3lit. b).

g) Jeżeli danych osobowych nie udostępnia się komercyjnym stronom trzecim, czwarty wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. a).

h) Jeżeli dane osobowe udostępnia się komercyjnym stronom trzecim, czwarty wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. b).

i) Jeżeli danych osobowych nie sprzedaje się ani nie wynajmuje, piąty wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. a).

j) Jeżeli dane osobowe sprzedaje się lub wynajmuje, piąty wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. b).

k) Jeżeli danych osobowych nie przechowuje się w postaci niezaszyfrowanej, szósty wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. a).

l) Jeżeli dane osobowe przechowuje się w postaci niezaszyfrowanej, szósty wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. b).

5) Kolory referencyjne znaków graficznych w pkt 1 w systemie Pantone to Black Pantone nr 7547 i Red Pantone nr 485. Kolorem referencyjnym znaku graficznego w pkt 3 lit. a) w systemie Pantone jest Green Pantone nr 370. Kolorem referencyjnym znaku graficznego w pkt 3 lit. b) w systemie Pantone jest Red Pantone nr 485.

6) Należy przestrzegać proporcji podanych na poniższym rysunku skalowanym, nawet jeśli tabela jest zmniejszana lub powiększana:

(1)

Dz.U. C 229 z 31.7.2012, s. 90.


UZASADNIENIE

Wprowadzenie

Zgodnie z art. 8 Karty praw podstawowych Unii Europejskiej prawo do ochrony danych osobowych:

1.        Każdy ma prawo do ochrony danych osobowych, które go dotyczą.

2.        Dane te muszą być przetwarzane rzetelnie, w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej prawem. Każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania.

3.        Przestrzeganie tych zasad podlega kontroli niezależnego organu.

Od przyjęcia dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych wiele się zmieniło w dziedzinie ochrony danych, zwłaszcza w kontekście rozwoju technologicznego, częstszego zbierania i przetwarzania danych osobowych, w tym do celów egzekwowania prawa, a także różnorodności obowiązujących przepisów o ochronie danych oraz globalizacji rynków i współpracy.

Ponadto wspomniana dyrektywa nie przyczyniła się do właściwej harmonizacji ze względu na różnice we wdrażaniu jej przepisów w poszczególnych państwach członkowskich. W tym kontekście osobom fizycznym („podmiotom danych”) było coraz trudniej korzystać z przysługujących im praw do ochrony danych.

W rezultacie utrudniło to rozwój jednolitego rynku, co wpłynęło zarówno na przedsiębiorstwa (przedsiębiorstwa kontrolujące lub przetwarzające dane osobowe, „administratorów danych”), jak i na osoby fizyczne, które musiały sobie radzić z różnicami w wymogach w zakresie ochrony danych.

Od wejścia w życie Traktatu z Lizbony Unia dysponuje wyraźną podstawą prawną ochrony danych obejmującą przetwarzanie danych osobowych w sektorze publicznym i prywatnym, lecz także w kontekście egzekwowania prawa (co wynika ze zniesienia „struktury filarowej” sprzed Traktatu z Lizbony) (art. 16 ust. 2 TFUE). W tym przypadku Komisja wykorzystała art. 16 ust. 2 TFUE jako podstawę prawną do przedstawienia wniosków dotyczących przeglądu unijnych ram w zakresie ochrony danych. Komisja proponuje rozporządzenie (COM (2012)11), które zastąpi dyrektywę 95/46/WE (sprawozdawca: Jan Philipp Albrecht, Verts/ALE), oraz dyrektywę (COM (2012)10), która zastąpi decyzję ramową 2008/977/WSiSW w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych (sprawozdawca: Dimitrios Droutsas, S&D). Obydwaj sprawozdawcy popierają cel polegający na ustanowieniu w pełni spójnych, zgodnych i solidnych ram zapewniających wysoki poziom ochrony w odniesieniu do wszystkich operacji przetwarzania danych w UE(1). Aby osiągnąć ten cel, wnioski Komisji należy rozpatrywać jako jeden pakiet wymagający skoordynowanych podejść legislacyjnych dla obydwu tekstów.

Reforma ochrony danych była przedmiotem szeroko zakrojonych dyskusji pomiędzy sprawozdawcami i kontrsprawozdawcami, posłami sporządzającymi projekty i przedstawicielami komisji opiniodawczych (ITRE, IMCO, JURI, EMPL), prezydencją Rady, Komisją i zainteresowanymi stronami (organami ds. ochrony danych, władzami krajowymi, przemysłem, organizacjami praw obywatelskich i organizacjami konsumenckimi, ekspertami akademickimi), mającymi na celu zapewnienie szerokiego poparcia dla stanowiska Parlamentu.

W dniu 29 maja 2012 r. komisja LIBE zorganizowała warsztaty z udziałem zainteresowanych podmiotów. W dniach 9 i 10 października 2012 r. komisja LIBE zorganizowała swoje coroczne międzyparlamentarne posiedzenie komisji z udziałem parlamentów narodowych w dziedzinie wolności, bezpieczeństwa i sprawiedliwości poświęcone pakietowi dotyczącemu reformy w zakresie ochrony danych. W sprawie pakietu dotyczącego reform w zakresie ochrony danych sporządzono cztery dokumenty robocze.

Stanowisko w sprawie projektu rozporządzenia w sprawie ochrony danych

Wniosek Komisji opiera się na celach takich jak:

– kompleksowe podejście do ochrony danych;

– wzmocnienie praw jednostki;

– zwiększenie wymiaru związanego z rynkiem wewnętrznym oraz skuteczniejsze egzekwowanie przepisów o ochronie danych; oraz

– Wzmocnienie wymiaru globalnego

Sprawozdawca popiera wymienione ambitne cele. Sprawozdawca odpowiednio przedstawił swoje podejście.

Kompleksowe podejście do ochrony danych

Jak zaznaczono w dokumencie roboczym z dnia 6 lipca 2012 r.(2), sprawozdawca z zadowoleniem przyjmuje to, że Komisja zdecydowała się zastąpić dyrektywę 95/46 rozporządzeniem (mającym bezpośrednie zastosowanie); powinno to przyczynić się do ograniczenia fragmentarycznego podejścia do ochrony danych w poszczególnych państwach członkowskich.

Ponadto sprawozdawca zgadza się z pragmatycznym podejściem Komisji do kwestii umożliwienia państwom członkowskim, zgodnie z przedmiotowym rozporządzeniem, zachowania lub przyjęcia przepisów szczegółowych dotyczących takich zagadnień jak wolność wypowiedzi, tajemnica służbowa, zdrowie i zatrudnienie (art. 81–85). Sprawozdawca zwrócił szczególną uwagę na prace Komisji Zatrudnienia i Spraw Socjalnych, która ma wydać opinię w sprawie art. 82(3).

Instytucje UE nie podlegają zakresowi nowego rozporządzenia. Powinno się je jednak objąć tym zakresem, aby zapewnić spójne i jednolite ramy w całej Unii. Będzie to wymagało dostosowania instrumentów prawnych UE, a zwłaszcza rozporządzenia (WE) nr 45/2001, tak aby zapewnić ich pełną zgodność z ogólnym rozporządzeniem o ochronie danych, zanim to drugie będzie stosowane. Sprawozdawca dostrzega również konieczność przeprowadzenia bardziej horyzontalnej debaty na temat sposobu rozwiązania problemu istniejących obecnie różnorodnych przepisów o ochronie danych dla różnych agencji UE (takich jak Europol i Eurojust) oraz sposobu zapewnienia zgodności z pakietem w zakresie ochrony danych (art. 2b, art. 89a).

Sprawozdawca zdecydowanie ubolewa nad tym, że wniosek Komisji nie obejmuje współpracy w zakresie egzekwowania prawa (na podstawie tego wniosku zaproponowano oddzielną dyrektywę). Prowadzi to do braku pewności prawa, jeśli chodzi o prawa i obowiązki w wątpliwych przypadkach, na przykład gdy organy ścigania korzystają z dostępu do danych handlowych do celów egzekwowania prawa i przekazywania danych między organami, które są odpowiedzialne za egzekwowanie prawa, i tymi, które nie są za to odpowiedzialne. W sprawozdaniu dotyczącym zaproponowanej dyrektywy uwzględniono te kwestie i zaproponowano poprawki. W przedmiotowym rozporządzeniu określono, że wyłączenie z zakresu rozporządzenia obejmuje jedynie właściwe organy publiczne odpowiedzialne za egzekwowanie prawa (a nie jednostki prywatne) oraz że obowiązujące prawodawstwo powinno zapewniać odpowiednie gwarancje oparte na zasadach konieczności i proporcjonalności (art. 2e i art. 21).

Zakres terytorialny rozporządzenia jest istotny dla spójnego stosowania unijnych przepisów prawa o ochronie danych. Sprawozdawca pragnie wyjaśnić, że przedmiotowe rozporządzenie powinno mieć również zastosowanie do administratora niemającego siedziby w Unii, w przypadku gdy działalność polegająca na przetwarzaniu jest ukierunkowana na oferowanie towarów lub usług podmiotom danych w Unii, niezależnie od tego, czy płatność za te towary lub usługi jest wymagana, lub na monitorowanie tych osób (art. 3 ust. 2)

Rozporządzenie musi być kompleksowe również pod kątem gwarantowania pewności prawa. Nadmierne wykorzystanie aktów delegowanych i wykonawczych jest sprzeczne z tym celem. W związku z tym sprawozdawca proponuje skreślenie kilku przepisów przewidujących przekazanie Komisji uprawnień do przyjmowania aktów delegowanych. Aby jednak zagwarantować pewność prawa tam, gdzie jest to możliwe, sprawozdawca zastąpił kilka aktów bardziej szczegółowym sformułowaniem w rozporządzeniu (np.: art. 6 ust. 1b; art. 15; art. 35 ust. 10). W innych przypadkach sprawozdawca proponuje powierzyć Europejskiej Radzie Ochrony Danych zadanie polegające na doprecyzowaniu kryteriów i wymogów konkretnego przepisu zamiast przyznawać Komisji uprawnienia do przyjmowania aktów delegowanych. Wynika to z tego, że w tych przypadkach chodzi o współpracę między krajowymi organami nadzorczymi, które lepiej nadają się do określania zasad i praktyk, które mają być stosowane (np.: art. 23 ust. 3; art. 30 ust. 3; art. 42 ust. 3; art. 44 ust. 7; art. 55 ust. 10).

Wzmocnienie praw jednostki

Ponieważ w przedmiotowym rozporządzeniu zostaje wdrożone prawo podstawowe, odrzuca się ograniczenie zakresu materialnego, w szczególności w odniesieniu do definicji „danych osobowych”, na przykład poprzez wprowadzenie elementów subiektywnych odnoszących się do wysiłku, jaki administrator danych powinien podjąć w celu zidentyfikowania danych osobowych. Pojęcie danych osobowych doprecyzowują obiektywne kryteria (art. 4 ust. 1; punkty 23 i 24 preambuły). Uzasadnione obawy dotyczące konkretnych modeli biznesowych mogą zostać ujęte bez konieczności odmawiania jednostkom ich praw podstawowych. W tym kontekście sprawozdawca zachęca do korzystania z usług przy zachowaniu anonimowości lub przy użyciu pseudonimów. Co się tyczy wykorzystania danych z użyciem pseudonimów, można by wprowadzić odstępstwa w odniesieniu do obowiązków administratora danych (punkt 23 preambuły, art. 4 ust. 2 lit. a), art. 10).

Podstawą podejścia UE do ochrony danych powinna pozostać kwestia wyrażenia zgody, ponieważ jest to dla osób fizycznych najlepszy sposób kontrolowania operacji przetwarzania danych. Informacje dla podmiotów danych powinny być przedstawiane w łatwo zrozumiałej formie, np. w postaci standardowych logo lub ikon (art. 11 ust. 2a i 2b). Standardy techniczne umożliwiające wyrażenie jasnej woli przez podmiot mogą być postrzegane jako ważna forma udzielenia wyraźnej zgody (art. 7 ust. 2a, art. 23).

W celu zapewnienia możliwości wyrażenia świadomej zgody na działania związane z profilowaniem należy je zdefiniować i uregulować (art. 4 ust. 3b, art. 14 ust. 1 lit. g), ga) i gb), art. 15 ust. 1, art. 20). Należy jasno zdefiniować podstawy prawne dla przetwarzania danych inne niż zgoda, w szczególności „uzasadnione interesy” administratora danych (poprawka zastępująca art. 6 ust. 1 lit. f) nowym art. 6 ust. 1a, 1b i 1c).

Zasada celowości stanowi główny element ochrony danych, ponieważ chroni ona podmioty danych przed niemożliwym do przewidzenia rozszerzeniem zakresu przetwarzania danych. Zmiana celu wykorzystania danych osobowych po ich zgromadzeniu nie powinna być możliwa wyłącznie na podstawie uzasadnionych interesów administratora danych. W związku z tym sprawozdawca proponuje skreślenie art. 6 ust. 4 zamiast rozszerzenia go.

Sprawozdawca popiera wzmocnienie prawa dostępu za pomocą prawa do przenoszenia danych – czyli możliwości przenoszenia swoich danych z jednej platformy na drugą. W erze cyfryzacji podmioty danych, będące również konsumentami, mogą zgodnie z prawem oczekiwać, że otrzymają swoje informacje osobowe w powszechnie używanym formacie elektronicznym (art. 15 ust. 2 lit. a)). Proponuje więc połączenie art. 15 i 18.

Prawo do usunięcia danych i prawo do poprawienia danych pozostają istotne dla podmiotów danych, ponieważ ujawnianych jest coraz więcej informacji, które mogą mieć znaczące skutki. W tym kontekście należy postrzegać „prawo do bycia zapomnianym”; zaproponowane poprawki wyjaśniają powyższe prawa dla środowiska cyfrowego, jednocześnie utrzymując ogólny wyjątek dotyczący wolności wypowiedzi. W przypadku przekazywania danych osobom trzecim lub publikowania ich bez odpowiedniej podstawy prawnej administrator pierwotnych danych powinien być zobowiązany do poinformowania tych osób trzecich oraz do zapewnienia usunięcia danych. Jednak gdy osoba fizyczna zgodziła się na publikację swoich danych, „prawo do bycia zapomnianym” nie jest ani uzasadnione, ani realistyczne (punkt 54 preambuły, art. 17).

Prawo do wniesienia sprzeciwu wobec dalszego przetwarzania danych powinno być zawsze realizowane nieodpłatnie oraz o prawie tym należy wyraźnie poinformować podmiot danych w jasnym i prostym języku dostosowanym do jego potrzeb (art. 19 ust. 2). Konieczne jest również zapewnienie lepszych możliwości dochodzenia skutecznego zadośćuczynienia, w tym przez zrzeszenia działające w interesie publicznym (art. 73, art. 76).

Zwiększenie wymiaru związanego z rynkiem wewnętrznym oraz skuteczniejsze egzekwowanie przepisów o ochronie danych

Sprawozdawca z zadowoleniem przyjmuje zaproponowaną zmianę wymogów w zakresie zawiadamiania organów ds. ochrony danych na praktyczną odpowiedzialność i wzmocnienie roli inspektorów ochrony danych. Zaproponowane rozporządzenie można uprościć poprzez połączenie praw do informacji i wymogów w zakresie dokumentacji, które zasadniczo są dwiema stronami tej samej monety. Takie rozwiązanie ograniczy obciążenia administracyjne dla administratorów danych i ułatwi osobom fizycznym zrozumienie swoich praw i korzystanie z nich (art. 14, art. 28). W erze „przetwarzania w chmurze” próg wyznaczający obowiązek mianowania inspektora ochrony danych nie powinien opierać się na wielkości przedsiębiorstwa, lecz raczej na znaczeniu przetwarzania danych (kategorii danych osobowych, rodzaju operacji przetwarzania danych oraz liczbie osób, których dane są przetwarzane) (art. 35). Wyjaśnia się, że inspektor ochrony danych może pracować w niepełnym wymiarze godzin, w zależności od wielkości przedsiębiorstwa i ilości przetwarzanych danych (punkt 75 preambuły).

Z zadowoleniem przyjmuje się uwzględnienie ochrony danych już w fazie projektowania oraz ochrony danych jako opcji domyślnej jako główne innowacje w reformie. Zapewni to, że faktycznie będą przetwarzane wyłącznie te dane, które są niezbędne do konkretnego celu. Do producentów i dostawców usług apeluje się o wdrożenie odpowiednich środków. Europejskiej Radzie Ochrony Danych należy powierzyć zadanie przedstawienia dalszych wytycznych (art. 23). Celem poprawek odnoszących się do ocen skutków w zakresie prywatności jest doprecyzowanie sytuacji, w których taka ocena powinna zostać przeprowadzona (art. 33 ust. 2), oraz elementów, które należy poddać ocenie (art. 33 ust. 3).

Sprawozdawca proponuje przedłużenie okresu zawiadomienia organu nadzorczego o naruszeniu danych osobowych z 24 do 72 godzin. Ponadto aby uniknąć zmęczenia podmiotów danych związanego z zawiadamianiem, podmiot danych powinno się zawiadamiać wyłącznie o przypadkach, gdy naruszenie danych może niekorzystnie wpłynąć na ochronę danych osobowych lub prywatność podmiotu danych, na przykład w przypadkach kradzieży lub nadużycia dotyczących tożsamości, straty finansowej, uszkodzenia ciała, poważnego upokorzenia lub naruszenia dobrego imienia. Zawiadomienie powinno również obejmować opis charakteru naruszenia ochrony danych osobowych oraz informacje na temat praw, w tym możliwości ochrony prawnej (art. 31 i art. 32). W odniesieniu do zawiadomienia o naruszeniu, ocen skutków oraz prawa do usunięcia danych i do bycia zapomnianym proponuje się, aby Komisja przyjęła akty delegowane przed datą rozpoczęcia stosowania przedmiotowego rozporządzenia w celu zagwarantowania pewności prawa (art. 86 ust. 5a).

Wyraża się poparcie dla kodeksów postępowania oraz certyfikacji i pieczęci, lecz istnieje również konieczność zapewnienia bodźców na rzecz ustanowienia i stosowania jaśniejszych przepisów dotyczących zasad, które takie przepisy muszą zawierać, oraz skutków w odniesieniu do zgodności przetwarzania danych z prawem, zobowiązań i powiązanych kwestii. Kodeksy postępowania, które zdaniem Komisji muszą być zgodne z przedmiotowym rozporządzeniem, powinny przyznawać podmiotom danych egzekwowalne prawa. Pieczęcie wykorzystywane do certyfikacji muszą określać formalną procedurę wydawania i wycofywania pieczęci oraz muszą zapewniać zgodność z zasadami ochrony danych i przestrzeganie praw podmiotów danych (art. 38 i art. 39).

Rozporządzenie powinno również zapewniać jednolite ramy robocze dla wszystkich organów ds. ochrony danych. Aby organy ds. ochrony danych, które muszą być całkowicie niezależne, mogły funkcjonować, istotne jest zapewnienie im wystarczających zasobów umożliwiających skuteczne wykonywanie swoich zadań (art. 47). Współpraca między organami ds. ochrony danych również zostanie wzmocniona w kontekście Europejskiej Rady Ochrony Danych (Europejska Rada Ochrony Danych zastąpi obecną „Grupę Roboczą Art. 29”). Sprawozdawca uważa, że przewidywany mechanizm współpracy i zgodności pomiędzy krajowymi organami ds. ochrony danych stanowi ważny krok w kierunku spójnego stosowania przepisów o ochronie danych w całej UE. Model zaproponowany przez Komisję nie zapewnia jednak niezbędnej niezależności organów ds. ochrony danych. Na podstawie oceny różnych opcji proponuje się alternatywny mechanizm zgodności, który podtrzymuje ideę głównego organu ds. ochrony danych, lecz także polega na ścisłej współpracy pomiędzy organami ds. ochrony danych w celu zapewnienia zgodności (art. 51, art. 55a). Zasadniczo organ ds. ochrony danych jest uprawniony do nadzorowania operacji przetwarzania prowadzonych na jego terytorium lub wpływających na podmioty danych mieszkające na jego terytorium. W przypadku polegającej na przetwarzaniu działalności administratora lub podmiotu przetwarzającego ustanowionych w kilku państwach członkowskich lub w przypadku, gdy taka działalność wpływa na podmioty danych w kilku państwach członkowskich, organ ds. ochrony danych będący główną siedzibą będzie organem głównym działającym jako pojedynczy punkt kontaktowy dla administratora lub podmiotu przetwarzającego. Organ główny zapewnia koordynację z zainteresowanymi organami i konsultuje się z innymi organami, zanim przyjmie środek. Europejska Rada Ochrony Danych wyznacza organ główny w niejasnych przypadkach lub gdy organy ds. ochrony danych nie są zgodne. Jeśli organ ds. ochrony danych zaangażowany w daną sprawę nie zgadza się z projektem środka zaproponowanym przez organ główny, Europejska Rada Ochrony Danych wydaje opinię. Jeśli organ główny nie zamierza uwzględnić takiej opinii, informuje o tym Europejską Radę Ochrony Danych oraz przedstawia uzasadnienie. Europejska Rada Ochrony Danych może przyjąć większością kwalifikowaną ostateczną decyzję, która będzie prawnie wiążąca dla organu nadzorczego. Taka decyzja może podlegać kontroli sądowej (art. 45a, 55, 58). Komisja może również zakwestionować taką decyzję przed Trybunałem Sprawiedliwości Unii Europejskiej i zażądać zawieszenia środka (art. 61a).

Sprawozdawca popiera wzmocnienie organów ds. ochrony danych w odniesieniu do uprawnień dochodzeniowych i sankcji. Wniosek Komisji był jednak zbyt nakazowy. Sprawozdawca proponuje uproszczony system, który da organom ds. ochrony danych więcej swobody i jednocześnie powierzy Europejskiej Radzie Ochrony Danych rolę polegającą na zapewnieniu spójnego egzekwowania (art. 52, art. 53, art. 78, art. 79). System sankcji został ponadto wyjaśniony poprzez włączenie kilku kryteriów, które należy uwzględnić w celu ustalenia poziomu grzywny, którą może nałożyć organ ds. ochrony danych.

Wzmocnienie wymiaru globalnego

Dotychczasowe uprawnienia Komisji do przyjmowania decyzji uznających adekwatność lub brak adekwatności państwa trzeciego, terytorium państwa trzeciego lub organizacji międzynarodowych zostają utrzymane. Zaproponowana nowa opcja uznania sektorów w państwach trzecich za adekwatne została jednak odrzucona przez sprawozdawcę, ponieważ prowadziłaby do zwiększenia niepewności prawa oraz osłabienia realizacji celu Unii dotyczącego ustanowienia zharmonizowanych i spójnych międzynarodowych ram ochrony danych. Kryteria oceniania adekwatności państwa trzeciego zostają wzmocnione (art. 41 ust. 2). Proponuje się również, aby ustalanie adekwatności zadeklarowane przez Komisję odbywało się w drodze aktu delegowanego a nie wykonawczego, tak aby umożliwić Radzie i Parlamentowi skorzystanie z ich prawa do kontroli (art. 41 ust. 3 i 5).

Wobec braku decyzji określającej odpowiedni poziom ochrony i odpowiednie gwarancje administrator lub podmiot przetwarzający powinni podjąć właściwe środki zabezpieczające, takie jak wiążące reguły korporacyjne czy standardowe klauzule ochrony danych przyjęte przez Komisją lub organ nadzorczy. Poprawki do art. 41 ust. 1a i art. 42 wyjaśniają i uszczegóławiają istotne zabezpieczenia, które takie instrumenty powinny obejmować.

Celem dodania nowego art. 43a jest uwzględnienie kwestii dotyczącej wniosków organów publicznych lub sądów w państwach trzecich o dostęp do danych osobowych przechowywanych i przetwarzanych w UE. Organ ds. ochrony danych przyznaje prawo do przekazania wyłącznie po zweryfikowaniu, że przekazanie jest zgodne z przepisami przedmiotowego rozporządzenia, a zwłaszcza z art. 44 ust. 1 lit. d) lub e). Sytuacja ta będzie jeszcze zyskiwała na znaczeniu wraz z rozwojem „przetwarzania w chmurze” oraz należy się nią zająć w przedmiotowym rozporządzeniu.

Streszczenie

Sprawozdawca popiera cel polegający na wzmocnieniu prawa do ochrony danych osobowych przy jednoczesnym zapewnieniu jednolitych ram prawnych i ograniczeniu obciążenia administracyjnego administratorów danych. Proponuje on ograniczenie roli Komisji we wdrażaniu do niezbędnego minimum poprzez wyjaśnienie zasadniczych elementów w tekście samego rozporządzenia oraz pozostawienie praktycznego wdrożenia mechanizmu współpracy w gestii organów ds. ochrony danych. Sprawozdawca proponuje ponadto podkreślenie wykorzystania środków technologicznych w zakresie ochrony danych osobowych oraz zapewnienia zgodności, w połączeniu z zachęcaniem administratorów danych do stosowania tych środków. Zgodnie z podejściem opartym na odpowiedzialności rola inspektorów ochrony danych jest wzmacniana przy jednoczesnym ograniczeniu potrzeby uprzedniej konsultacji z organami nadzorczymi. Instytucje, organy i agencje Unii należy objąć takimi samymi ramami regulacyjnymi w perspektywie średnioterminowej. Jeśli Parlament, Rada i Komisja poprą te elementy, nowe ramy prawne ochrony danych będą oferowały ulepszenia zarówno osobom fizycznym, jak i administratorom danych, a także będą odporne na upływ czasu.

W ramach szeroko zakrojonej współpracy z przedstawicielami wszystkich grup politycznych i posłami sporządzającymi projekt opinii sprawozdawca wypracował liczne poprawki, które odzwierciedlają dyskusje pomiędzy zaangażowanymi posłami. Zwłaszcza w kontekście zasad, w przedmiotowym sprawozdaniu zostały uwzględnione podstawy prawne przetwarzania danych osobowych, prawa podmiotów danych, przepisy mające zastosowanie do administratorów i podmiotów przetwarzających, mechanizm zgodności i sankcje. Sprawozdawca oczekuje, że jego wnioski stworzą dobrą podstawę do szybkiego osiągnięcia porozumienia w Parlamencie Europejskim oraz do prowadzenia negocjacji z Radą podczas prezydencji Irlandii.

(1)

DT/905569PL.doc.

(2)

DT/905569PL.doc.

(3)

PA/918358PL.doc.


OPINIA Komisji Zatrudnienia i Spraw Socjalnych (4.3.2013)

dla Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fiz