Procedura : 2012/0010(COD)
Przebieg prac nad dokumentem podczas sesji
Dokument w ramach procedury : A7-0403/2013

Teksty złożone :

A7-0403/2013

Debaty :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13

Głosowanie :

PV 12/03/2014 - 8.12
Wyjaśnienia do głosowania

Teksty przyjęte :

P7_TA(2014)0219

SPRAWOZDANIE     ***I
PDF 1719kWORD 1443k
22.11.2013
PE 501.928v03-00 A7-0403/2013

w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych

(COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD))

Komisja Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

Sprawozdawca: Dimitrios Droutsas

POPRAWKI
PROJEKT REZOLUCJI USTAWODAWCZEJ PARLAMENTU EUROPEJSKIEGO
 UZASADNIENIE
 OPINIA Komisji Prawnej
 PROCEDURA

PROJEKT REZOLUCJI USTAWODAWCZEJ PARLAMENTU EUROPEJSKIEGO

w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych

(COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD))

(Zwykła procedura ustawodawcza: pierwsze czytanie)

Parlament Europejski,

–   uwzględniając wniosek Komisji przedstawiony Parlamentowi Europejskiemu i Radzie (COM(2012)0010),

–   uwzględniając art. 294 ust. 2 oraz art. 16 ust. 2 Traktatu o funkcjonowaniu Unii Europejskiej, zgodnie z którymi wniosek został przedstawiony Parlamentowi przez Komisję (C7‑0024/2012),

–   uwzględniając art. 294 ust. 3 Traktatu o funkcjonowaniu Unii Europejskiej,

–   uwzględniając uzasadnione opinie przedstawione – na mocy protokołu nr 2 w sprawie stosowania zasad pomocniczości i proporcjonalności – przez niemiecki Bundesrat i parlament Szwecji, w których stwierdzono, że projekt aktu ustawodawczego nie jest zgodny z zasadą pomocniczości,

–   uwzględniając opinię Europejskiego Inspektora Ochrony Danych z dnia 7 marca 2012 r.,

–   uwzględniając opinię Agencji Praw Podstawowych Unii Europejskiej z dnia 1 października 2012 r.,

–   uwzględniając art. 55 Regulaminu,

–   uwzględniając sprawozdanie Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych oraz opinię Komisji Prawnej (A7-0403/2013),

1.  przyjmuje poniższe stanowisko w pierwszym czytaniu;

2.  zwraca się do Komisji o ponowne przekazanie mu sprawy, jeśli uzna ona za stosowne wprowadzić znaczące zmiany do swojego wniosku lub zastąpić go innym tekstem;

3.  zobowiązuje swojego przewodniczącego do przekazania stanowiska Parlamentu Radzie i Komisji, a także parlamentom narodowym.

Poprawka  1

Wniosek dotyczący dyrektywy

Motyw 1

Tekst proponowany przez Komisję

Poprawka

(1) Ochrona osób fizycznych w zakresie przetwarzania danych osobowych jest prawem podstawowym. Artykuł 8 ust. 1 Karty praw podstawowych i art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej stanowią, iż każda osoba ma prawo do ochrony danych osobowych jej dotyczących.

(1) Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Artykuł 8 ust. 1 Karty praw podstawowych Unii Europejskiej i art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej stanowią, iż każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Artykuł 8 ust. 2 Karty praw podstawowych Unii Europejskiej stanowi, że dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą.

Poprawka  2

Wniosek dotyczący dyrektywy

Motyw 4

Tekst proponowany przez Komisję

Poprawka

(4) Wymaga to ułatwienia swobodnego przepływu danych między właściwymi organami na terytorium Unii oraz przekazywania danych do państw trzecich i organizacji międzynarodowych, przy równoczesnym zagwarantowaniu wysokiego poziomu ochrony danych osobowych. Przemiany te wymagają budowy mocnych i bardziej spójnych ram ochrony danych w Unii, popartych zdecydowanym egzekwowaniem.

(4) Wymaga to ułatwienia swobodnego przepływu danych, gdy jest niezbędny i proporcjonalny, między właściwymi organami na terytorium Unii oraz przekazywania danych do państw trzecich i organizacji międzynarodowych, przy równoczesnym zagwarantowaniu wysokiego poziomu ochrony danych osobowych. Przemiany te wymagają budowy mocnych i bardziej spójnych ram ochrony danych w Unii, popartych zdecydowanym egzekwowaniem.

Poprawka  3

Wniosek dotyczący dyrektywy

Motyw 7

Tekst proponowany przez Komisję

Poprawka

(7) Zapewnienie spójnego, wysokiego poziomu ochrony danych osobowych osób fizycznych oraz ułatwienie wymiany danych osobowych między właściwymi organami państw członkowskich ma zasadnicze znaczenie dla zagwarantowania skutecznej współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej. Aby osiągnąć ten cel konieczne jest zapewnienie we wszystkich państwach członkowskich równorzędnego poziomu ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy w celu zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania i w celu wykonywania kar kryminalnych oraz swobodnego przepływu tych danych. Skuteczna ochrona danych osobowych w całej Unii wymaga wzmocnienia praw podmiotów danych oraz obowiązków podmiotów, które przetwarzają dane osobowe, lecz także równorzędnych uprawnień w zakresie monitorowania i zapewnienia zgodności z przepisami o ochronie danych osobowych w państwach członkowskich.

(7) Zapewnienie spójnego, wysokiego poziomu ochrony danych osobowych osób fizycznych oraz ułatwienie wymiany danych osobowych między właściwymi organami państw członkowskich ma zasadnicze znaczenie dla zagwarantowania skutecznej współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej. Aby osiągnąć ten cel konieczne jest zapewnienie we wszystkich państwach członkowskich równorzędnego poziomu ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy w celu zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania i w celu wykonywania kar kryminalnych oraz swobodnego przepływu tych danych. Spójne i jednolite stosowanie przepisów dotyczących ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych powinno być zagwarantowane w całej Unii. Skuteczna ochrona danych osobowych w całej Unii wymaga wzmocnienia praw podmiotów danych oraz obowiązków podmiotów, które przetwarzają dane osobowe, lecz także równorzędnych uprawnień w zakresie monitorowania i zapewnienia zgodności z przepisami o ochronie danych osobowych w państwach członkowskich.

Poprawka  4

Wniosek dotyczący dyrektywy

Motyw 8

Tekst proponowany przez Komisję

Poprawka

(8) Artykuł 16 ust. 2 Traktatu o funkcjonowaniu Unii Europejskiej stanowi, że Parlament Europejski i Rada powinny ustanowić przepisy dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu takich danych.

(8) Artykuł 16 ust. 2 Traktatu o funkcjonowaniu Unii Europejskiej stanowi, że Parlament Europejski i Rada powinny określić zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz zasady dotyczące swobodnego przepływu takich danych i prywatności.

Poprawka  5

Wniosek dotyczący dyrektywy

Motyw 11

Tekst proponowany przez Komisję

Poprawka

(11) Dlatego też osobna dyrektywa powinna uwzględniać szczególnych charakter tych dziedzin, ustanawiając przepisy dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania i wykonywania kar kryminalnych.

(11) Dlatego też szczegółowa dyrektywa powinna uwzględniać szczególny charakter tych dziedzin, ustanawiając przepisy dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania i wykonywania kar kryminalnych.

Poprawka  6

Wniosek dotyczący dyrektywy

Motyw 15

Tekst proponowany przez Komisję

Poprawka

(15) Ochrona osób fizycznych powinna być neutralna pod względem technologicznym i nie powinna zależeć od zastosowanych technik, ponieważ w przeciwnym razie wystąpiłoby poważne ryzyko obchodzenia prawa. Ochrona osób fizycznych powinna mieć zastosowanie do przetwarzania danych osobowych w sposób zautomatyzowany, jak również ręcznego przetwarzania, jeśli dane znajdują się lub mają znajdować się w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są zorganizowane według określonych kryteriów, nie powinny wchodzić w zakres niniejszej dyrektywy. Dyrektywa nie powinna mieć zastosowania do przetwarzania danych w toku działalności leżącej poza zakresem prawa Unii, w szczególności dotyczącej bezpieczeństwa narodowego, ani do przetwarzania danych przez instytucje, organy, biura i agencje Unii, takie jak Europol czy Eurojust.

(15) Ochrona osób fizycznych powinna być neutralna pod względem technologicznym i nie powinna zależeć od zastosowanych technik, ponieważ w przeciwnym razie wystąpiłoby poważne ryzyko obchodzenia prawa. Ochrona osób fizycznych powinna mieć zastosowanie do przetwarzania danych osobowych w sposób zautomatyzowany, jak również ręcznego przetwarzania, jeśli dane znajdują się lub mają znajdować się w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są zorganizowane według określonych kryteriów, nie powinny wchodzić w zakres niniejszej dyrektywy. Dyrektywa nie powinna mieć zastosowania do przetwarzania danych w toku działalności leżącej poza zakresem prawa Unii. Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady1 oraz konkretne instrumenty prawne mające zastosowanie do organów lub jednostek organizacyjnych Unii powinny zostać uspójnione z niniejszą dyrektywą i powinny być stosowane zgodnie z niniejszą dyrektywą.

 

___________________

 

1 Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1).

Poprawka  7

Wniosek dotyczący dyrektywy

Motyw 16

Tekst proponowany przez Komisję

Poprawka

(16) Zasady ochrony powinny być stosowane do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych. Aby ustalić, czy można zidentyfikować daną osobę fizyczną, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator lub inna osoba w celu zidentyfikowania tej osoby. Zasady ochrony nie powinny być stosowane do danych zanonimizowanych w taki sposób, że podmiot danych, nie może być już zidentyfikowany.

(16) Zasady ochrony powinny być stosowane do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych. Aby ustalić, czy można zidentyfikować daną osobę fizyczną, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator lub inna osoba w celu zidentyfikowania lub wyodrębnienia tej osoby. Zasady ochrony nie powinny być stosowane do danych zanonimizowanych w taki sposób, że podmiot danych, nie może być już zidentyfikowany. Niniejsza dyrektywa nie powinna mieć zastosowania do danych anonimowych oznaczających wszelkie dane, które nie mogą odnosić się, bezpośrednio lub pośrednio, samodzielnie lub w połączeniu z towarzyszącymi im danymi, do osoby fizycznej. Biorąc pod uwagę znaczenie zmian zachodzących w ramach społeczeństwa informacyjnego oraz technik stosowanych do przechwytywania, przekazywania, przekształcania, ewidencjonowania, przechowywania lub komunikowania danych dotyczących lokalizacji osób fizycznych, które to dane mogą być wykorzystywane do różnych celów, w tym do monitoringu lub tworzenia profili, niniejsza dyrektywa powinna mieć zastosowanie do operacji przetwarzania takich danych osobowych.

Poprawka  8

Wniosek dotyczący dyrektywy

Motyw 16 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(16a) Wszelkie operacje przetwarzania danych osobowych powinny być zgodne z prawem, prowadzone w rzetelny i przejrzysty sposób wobec zainteresowanych osób. Zwłaszcza konkretne cele przetwarzania danych powinny być jednoznaczne, zgodne z prawem i określone w momencie zbierania danych osobowych. Dane osobowe powinny być prawidłowe, właściwe i ograniczone do niezbędnego minimum odpowiadającego celom, dla których są przetwarzane. Wymaga to w szczególności ograniczania do ścisłego minimum zakresu zbieranych danych oraz okresu ich przechowywania. Dane osobowe powinny być przetwarzane tylko wówczas, gdy celu przetwarzania nie można osiągnąć innymi środkami. Należy poczynić wszelkie stosowne kroki w celu dopilnowania, by niedokładne dane osobowe byly poprawiane lub usuwane. Aby uniknąć przechowywania danych przez czas dłuższy, niż jest to konieczne, administrator powinien ustalić terminy usuwania danych lub okresowego przeglądu.

Poprawka  9

Wniosek dotyczący dyrektywy

Motyw 18

Tekst proponowany przez Komisję

Poprawka

(18) Wszelkie operacje przetwarzania danych osobowych powinny być zgodne z prawem i prowadzone rzetelnie wobec zainteresowanych osób fizycznych. W szczególności należy wyraźnie określić konkretne cele, dla których dane są przetwarzane.

skreślony

Poprawka  10

Wniosek dotyczący dyrektywy

Motyw 19

Tekst proponowany przez Komisję

Poprawka

(19) Zapobieganie przestępstwom, prowadzenie dochodzeń w ich sprawie i ściganie ich wymaga zatrzymywania i przetwarzania przez właściwe organy danych osobowych, zgromadzonych w kontekście zapobiegania konkretnym przestępstwom, prowadzenia dochodzeń w ich sprawie i ścigania ich, poza tym kontekstem, by lepiej rozumieć istotę przestępstw i tendencje w tym zakresie, zebrania informacji na temat zorganizowanych sieci kryminalnych oraz powiązania różnych wykrytych przestępstw.

skreślony

Poprawka  11

Wniosek dotyczący dyrektywy

Motyw 20

Tekst proponowany przez Komisję

Poprawka

(20) Dane osobowe nie powinny być przetwarzane do celów niezgodnych z celem , w którym zostały zebrane. Dane osobowe powinny być prawidłowe, właściwe i nie wykraczać poza zakres odpowiadający celowi, dla którego są przetwarzane. Należy podjąć wszelkie stosowne kroki gwarantujące poprawienie lub usunięcie niedokładnych danych osobowych.

skreślony

Poprawka  12

Wniosek dotyczący dyrektywy

Motyw 20 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(20a) Sama okoliczność, że dwa cele odnoszą się do zapobiegania przestępstwom, ich wykrywania lub ścigania, lub wykonywania kar kryminalnych, nie musi oznaczać, że są one ze sobą zgodne. Istnieją jednak sytuacje, w których dalsze przetwarzanie w sposób niezgodny z celami powinno być możliwe, jeśli jest ono konieczne dla wywiązania się z obowiązku prawnego spoczywającego na administratorze, w celu ochrony żywotnych interesów podmiotu danych lub innej osoby lub w celu zapobieżenia bezpośredniemu i poważnemu zagrożeniu bezpieczeństwa publicznego. W związku z tym państwa członkowskie powinny mieć możliwość przyjęcia przepisów prawa krajowego przewidujących takie odstępstwa w zakresie bezwzględnie koniecznym. Takie przepisy prawa krajowego powinny zawierać odpowiednie gwarancje.

Poprawka  13

Wniosek dotyczący dyrektywy

Motyw 22

Tekst proponowany przez Komisję

Poprawka

(22) W toku wykładni i stosowania ogólnych zasad dotyczących przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, ścigania ich i wykrywania oraz wykonywania kar kryminalnych, należy uwzględnić specyfikę tego sektora, w tym szczególne cele w nim realizowane.

skreślony

Poprawka  14

Wniosek dotyczący dyrektywy

Motyw 23

Tekst proponowany przez Komisję

Poprawka

(23) Nieodłączną cechę przetwarzania danych osobowych w obszarze współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej jest to, że przetwarzane są dane osobowe należące do różnych kategorii osób, których dane dotyczą. Należy zatem wprowadzić w możliwie największym stopniu rozróżnienie między danymi osobowymi dotyczącymi różnych kategorii osób, takich jak podejrzani, osoby skazane za przestępstwo, pokrzywdzeni i osoby trzecie, takie jak świadkowie, osoby posiadające istotne informacje lub kontakty oraz wspólnicy podejrzanych i skazanych przestępców.

(23) Nieodłączną cechę przetwarzania danych osobowych w obszarze współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej jest to, że przetwarzane są dane osobowe należące do różnych kategorii osób, których dane dotyczą. Należy zatem wprowadzić w możliwie największym stopniu rozróżnienie między danymi osobowymi dotyczącymi różnych kategorii osób, takich jak podejrzani, osoby skazane za przestępstwo, pokrzywdzeni i osoby trzecie, takie jak świadkowie, osoby posiadające istotne informacje lub kontakty oraz wspólnicy podejrzanych i skazanych przestępców. Państwa członkowskie powinny ustanowić szczegółowe przepisy dotyczące skutków takiej kategoryzacji, uwzględniając różne cele zbierania danych oraz przewidując szczególne gwarancje dla osób, które nie są podejrzane o popełnienie przestępstwa karnego ani nie zostały skazane za przestępstwo karne.

Poprawka  15

Wniosek dotyczący dyrektywy

Motyw 25

Tekst proponowany przez Komisję

Poprawka

(25) Aby przetwarzanie danych osobowych było zgodne z prawem, musi być ono konieczne dla spełnienia przez administratora ciążących na nim obowiązków prawnych, w celu wykonania przez właściwy organ, w oparciu o przepisy prawa, zadania realizowanego w interesie publicznym lub w celu ochrony żywotnych interesów osoby, które dane dotyczą, lub innej osoby lub w celu zapobieżenia poważnemu zagrożeniu dla bezpieczeństwa publicznego.

(25) Aby przetwarzanie danych osobowych było zgodne z prawem, powinno być ono dozwolone jedynie wówczas, gdy jest to konieczne dla spełnienia przez administratora spoczywających na nim obowiązków prawnych, w celu wykonania przez właściwy organ zadania realizowanego w interesie publicznym, w oparciu o prawo Unii lub państw członkowskich, które powinno obejmować wyraźnie określone i szczegółowe przepisy dotyczące co najmniej celów, danych osobowych, konkretnych celów i środków, wyznaczenia lub możliwości wyznaczania administratora, procedur, których należy przestrzegać, wykorzystania i ograniczeń zakresu wszelkiej swobody przyznanej właściwym organom w odniesieniu do operacji przetwarzania.

Poprawka  16

Wniosek dotyczący dyrektywy

Motyw 25 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(25a) Dane osobowe nie powinny być przetwarzane do celów niezgodnych z celem, w jakim zostały zebrane. Dalsze przetwarzanie przez właściwe organy do celu objętego zakresem stosowania niniejszej dyrektywy, który nie jest zgodny z celem początkowym, powinno być dozwolone jedynie w konkretnych przypadkach, gdy takie przetwarzanie jest konieczne dla wywiązania się ze spoczywającego na administratorze obowiązku prawnego wynikającego z prawa unijnego lub krajowego lub w celu ochrony żywotnych interesów podmiotu danych lub innej osoby, lub w celu zapobieżenia bezpośredniemu i poważnemu zagrożeniu dla bezpieczeństwa publicznego. To, że dane przetwarzane są dla potrzeb związanych z egzekwowaniem prawa, niekoniecznie oznacza, że cel ten jest zgodny z celem początkowym. Pojęcie przetwarzania danych zgodnie z celem musi być interpretowane w sposób rygorystyczny.

Poprawka  17

Wniosek dotyczący dyrektywy

Motyw 25 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(25b) Dane osobowe przetwarzane z naruszeniem przepisów krajowych przyjętych na mocy niniejszej dyrektywy nie powinny być dłużej przetwarzane.

Poprawka  18

Wniosek dotyczący dyrektywy

Motyw 26

Tekst proponowany przez Komisję

Poprawka

(26) Dane osobowe, które z racji swego charakteru są szczególnie newralgiczne w kontekście podstawowych praw lub prywatności, w tym dane genetyczne, zasługują na szczególną ochronę. Dane te nie powinny być przetwarzane, chyba że przepisy wyraźnie na to zezwalają, przewidując przy tym odpowiednie środki służące zabezpieczeniu słusznych interesów podmiotów danych; lub też gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów podmiotu danych, lub innej osoby; lub też gdy przetwarzane mają być dane wyraźnie udostępnione publicznie podmiot danych.

(26) Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe i narażone na ryzyko w kontekście podstawowych praw lub prywatności, zasługują na szczególną ochronę. Dane te nie powinny być przetwarzane, chyba że przetwarzanie jest w wyraźny sposób niezbędne do wykonania zadania realizowanego w interesie publicznym w oparciu o prawo unijne lub krajowe, które przewiduje odpowiednie środki służące ochronie praw podstawowych i zabezpieczeniu uzasadnionych interesów podmiotów danych; lub też gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów podmiotu danych, lub innej osoby; lub też gdy przetwarzane mają być dane wyraźnie udostępnione publicznie podmiot danych. Wrażliwe dane osobowe powinny być przetwarzane wyłącznie wtedy, gdy inne dane osobowe są już przetwarzane w celach związanych z egzekwowaniem prawa. Jakiekolwiek odstępstwo od zakazu przetwarzania wrażliwych danych należy interpretować w sposób rygorystyczny i nie powinno ono prowadzić do częstego, masowego i zorganizowanego przekazywania wrażliwych danych osobowych.

Poprawka  19

Wniosek dotyczący dyrektywy

Motyw 26 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(26a) Przetwarzanie danych genetycznych powinno być dozwolone jedynie wówczas, gdy istnieje powiązanie dotyczące cech genetycznych, które pojawiło się w toku śledztwa lub postępowania sądowego. Dane genetyczne powinny być przechowywane wyłącznie tak długo, jak jest to bezwzględnie konieczne do celów takich śledztw i postępowań, przy czym państwa członkowskie mogą ustanowić przepisy przewidujące dłuższe przechowywanie zgodnie z warunkami określonymi w niniejszej dyrektywie.

Poprawka  20

Wniosek dotyczący dyrektywy

Motyw 27

Tekst proponowany przez Komisję

Poprawka

(27) Każda osoba fizyczna powinna mieć prawo niepodlegania środkom opartym wyłącznie na automatycznym przetwarzaniu, jeżeli wywołują one negatywne skutki prawne dla tej osoby, chyba że prawo zezwala na automatyczne przetwarzanie, przewidując przy tym odpowiednie środki służące zabezpieczeniu słusznych interesów podmiotu danych.

(27) Każda osoba fizyczna powinna mieć prawo niepodlegania środkowi opartemu częściowo lub całkowicie na profilowaniu dokonywanym poprzez automatyczne przetwarzanie. Takie przetwarzanie, które wywołuje skutki prawne dla tej osoby lub w znaczący sposób na nią wpływa, powinno być zakazane, chyba że prawo zezwala na automatyczne przetwarzanie, przewidując przy tym odpowiednie środki służące ochronie praw podstawowych i zabezpieczeniu uzasadnionych interesów podmiotu danych, w tym prawo do otrzymania zrozumiałych informacji o zasadach stosowanych przy profilowaniu. Takie przetwarzanie w żadnym wypadku nie może obejmować, wywoływać ani dyskryminować danych na podstawie ich szczególnych kategorii.

Poprawka  21

Wniosek dotyczący dyrektywy

Motyw 28

Tekst proponowany przez Komisję

Poprawka

(28) Aby podmioty danych mogły korzystać ze swoich praw, wszelkie informacje do nich kierowane powinny być łatwo dostępne i zrozumiałe, w tym napisane w jednoznacznym, prostym języku.

(28) Aby podmioty danych mogły korzystać ze swoich praw, wszelkie informacje do nich kierowane powinny być łatwo dostępne i zrozumiałe, w tym napisane w jednoznacznym, prostym języku. Informacje te powinny być dostosowane do potrzeb podmiotu danych, zwłaszcza w przypadku, gdy bezpośrednim adresatem tych informacji jest dziecko.

Poprawka  22

Wniosek dotyczący dyrektywy

Motyw 29

Tekst proponowany przez Komisję

Poprawka

(29) Należy opracować sposoby ułatwienia podmiotowi danych korzystania z praw przysługujących mu na mocy niniejszej dyrektywy, włączając mechanizmy składania wniosków, wolnych od opłat, dotyczących w szczególności dostępu do danych, poprawiania ich i usunięcia. Administrator powinien być zobowiązany do odpowiedzi na wniosek podmiotu danych bez nieuzasadnionej zwłoki.

(29) Należy opracować sposoby ułatwienia podmiotowi danych korzystania z praw przysługujących mu na mocy niniejszej dyrektywy, włączając mechanizmy składania wniosków, wolnych od opłat, dotyczących w szczególności dostępu do danych, poprawiania ich i usunięcia. Administrator powinien być zobowiązany do odpowiedzi na wniosek podmiotu danych bez zbędnej zwłoki, w terminie jednego miesiąca od daty otrzymania wniosku. Jeśli przetwarzanie danych odbywa się w sposób zautomatyzowany, administrator powinien zapewnić możliwość składania wniosków drogą elektroniczną.

Poprawka  23

Wniosek dotyczący dyrektywy

Motyw 30

Tekst proponowany przez Komisję

Poprawka

(30) Zasady rzetelnego przetwarzania wymaga, by podmiot danych, był informowany w szczególności o prowadzeniu operacji przetwarzania i jej celach, okresie przechowywania danych, przysługującym jej prawie dostępu, poprawienia lub usunięcia danych oraz prawie do zgłoszenia skargi. W przypadku konieczności uzyskania danych od podmiotu danych , należy także poinformować go o tym, że ma on obowiązek przekazać dane oraz o konsekwencjach braku przekazania takich danych

(30) Zasada rzetelnego i przejrzystego przetwarzania wymaga, by podmiot danych był informowany w szczególności o prowadzeniu operacji przetwarzania i jej celach, podstawie prawnej, okresie przechowywania danych, przysługującym jej prawie dostępu, poprawienia lub usunięcia danych oraz prawie do zgłoszenia skargi. Ponadto podmiot danych powinien być informowany o zastosowaniu profilowania oraz o jego zamierzonych skutkach. W przypadku konieczności uzyskania danych od podmiotu danych , należy także poinformować go o tym, że ma on obowiązek przekazać dane oraz o konsekwencjach braku przekazania takich danych

Poprawka  24

Wniosek dotyczący dyrektywy

Motyw 32

Tekst proponowany przez Komisję

Poprawka

(32) Każdej osobie powinno przysługiwać prawo dostępu do zebranych danych na jej temat, a wykonanie tego prawa powinno być na tyle łatwe, by każda osoba była świadoma przetwarzania i mogła zweryfikować jego zgodność z prawem. Dlatego też każdy podmiot danych powinien mieć prawo do uzyskania wiedzy, w szczególności informacji na temat celów, dla których dane są przetwarzane, przez jaki okres i jacy odbiorcy otrzymują dane, w tym w państwach trzecich. Podmioty danych powinny otrzymać kopię ich danych osobowych, które są przetwarzane.

(32) Każdej osobie powinno przysługiwać prawo dostępu do zebranych danych na jej temat, a wykonanie tego prawa powinno być na tyle łatwe, by każda osoba była świadoma przetwarzania i mogła zweryfikować jego zgodność z prawem. Dlatego też każdy podmiot danych powinien mieć prawo do uzyskania wiedzy, w szczególności informacji na temat celów, dla których dane są przetwarzane, podstawy prawnej, przez jaki okres i jacy odbiorcy otrzymują dane, w tym w państwach trzecich, w stosownych przypadkach zrozumiałych informacji o zasadach rządzących wszelkimi operacjami automatycznego przetwarzania, ich znaczeniu i ich zamierzonych skutkach, a także prawa do wniesienia skargi do organu nadzorczego i uzyskania informacji o jego danych kontaktowych. Podmioty danych powinny otrzymać kopię ich danych osobowych, które są przetwarzane.

Poprawka  25

Wniosek dotyczący dyrektywy

Motyw 33

Tekst proponowany przez Komisję

Poprawka

(33) Państwom członkowskim należy zezwolić na przyjęcie środków legislacyjnych umożliwiających opóźnienie, ograniczenie lub odstąpienie od informowania osób, których dane dotyczą o dostępie do ich danych osobowych, w zakresie i w czasie, w jakim takie częściowe lub kompletne ograniczenie stanowi konieczny i proporcjonalny środek w demokratycznym społeczeństwie, przy należytym uwzględnieniu słusznych interesów danej osoby, aby zapobiec utrudnianiu urzędowych lub prawnych dochodzeń, śledztw lub procedur, aby zapobiec utrudnieniom w zapobieganiu przestępstw, ich wykrywaniu, prowadzeniu dochodzeń w ich sprawie i ściganiu lub wykonywaniu kar kryminalnych, by chronić bezpieczeństwo publiczne lub narodowe lub chronić osobę, które dane dotyczą, lub prawa i wolności innych osób.

(33) Państwom członkowskim należy zezwolić na przyjęcie środków legislacyjnych umożliwiających opóźnienie lub ograniczenie informowania podmiotów danych o dostępie do ich danych osobowych, w zakresie i w czasie, w jakim takie częściowe lub kompletne ograniczenie stanowi konieczny i proporcjonalny środek w demokratycznym społeczeństwie, przy należytym uwzględnieniu praw podstawowych i uzasadnionych interesów danej osoby, aby zapobiec utrudnianiu urzędowych lub prawnych dochodzeń, śledztw lub procedur, aby zapobiec utrudnieniom w zapobieganiu przestępstw, ich wykrywaniu, prowadzeniu dochodzeń w ich sprawie i ściganiu lub wykonywaniu kar kryminalnych, by chronić bezpieczeństwo publiczne lub narodowe lub chronić podmiot danych lub prawa i wolności innych osób. Administrator powinien dokonywać oceny za pośrednictwem konkretnego i indywidualnego badania każdego przypadku, czy powinno być zastosowane częściowe lub całkowite ograniczenie prawa dostępu do danych.

Poprawka  26

Wniosek dotyczący dyrektywy

Motyw 34 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(34a) Wszelkie ograniczenie praw podmiotu danych musi być zgodne z Kartą praw podstawowych Unii Europejskiej i europejską konwencją praw człowieka, jak zostało wyjaśnione w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej i Europejskiego Trybunału Praw Człowieka, a zwłaszcza musi odbywać się z poszanowaniem istoty praw i wolności.

Poprawka  27

Wniosek dotyczący dyrektywy

Motyw 35

Tekst proponowany przez Komisję

Poprawka

(35) Jeżeli państwa członkowskie przyjęły środki legislacyjne ograniczające całkowicie lub częściowo prawo dostępu, podmiot danych powinien mieć prawo wystąpienia do właściwego krajowego organu nadzorczego o sprawdzenie zgodności z prawem przetwarzania. Podmiot danych powinien zostać poinformowany o tym prawie. Jeżeli organ nadzorczy uzyskuje dostęp w imieniu podmiotu danych, podmiot ten powinien zostać poinformowany przez organ nadzorczy przynajmniej o tym, że organ ten przeprowadził wszystkie niezbędne weryfikacje oraz o ich wynikach, jeżeli chodzi o zgodność z prawem przedmiotowych operacji przetwarzania.

(35) Jeżeli państwa członkowskie przyjęły środki legislacyjne ograniczające całkowicie lub częściowo prawo dostępu, podmiot danych powinien mieć prawo wystąpienia do właściwego krajowego organu nadzorczego o sprawdzenie zgodności z prawem przetwarzania. Podmiot danych powinien zostać poinformowany o tym prawie. Jeżeli organ nadzorczy uzyskuje dostęp w imieniu podmiotu danych, podmiot ten powinien zostać poinformowany przez organ nadzorczy przynajmniej o tym, że organ ten przeprowadził wszystkie niezbędne weryfikacje oraz o ich wynikach, jeżeli chodzi o zgodność z prawem przedmiotowych operacji przetwarzania. Organ nadzorczy powinien także poinformować podmiot danych o jego prawie do uzyskania sądowych środków ochrony prawnej.

Poprawka  28

Wniosek dotyczący dyrektywy

Motyw 36

Tekst proponowany przez Komisję

Poprawka

(36) Każda osoba powinna mieć prawo do poprawienia niedokładnych danych osobowych jej dotyczących oraz prawo do ich usunięcia, jeżeli przetwarzanie takich danych jest niezgodne z głównymi zasadami ustanowionymi w niniejszej dyrektywie. Jeżeli dane osobowe przetwarzane są w toku dochodzenia i postępowania karnego, poprawianie, prawa do informacji, dostępu, usunięcia i ograniczenia przetwarzania mogą być wykonywane godnie z przepisami krajowej procedury sądowej

(36) Każda osoba powinna mieć prawo do poprawienia niedokładnych lub przetwarzanych niezgodnie z prawem danych osobowych jej dotyczących oraz prawo do ich usunięcia, jeżeli przetwarzanie takich danych jest niezgodne z przepisami niniejszej dyrektywy. O takim poprawieniu, uzupełnieniu lub usunięciu należy poinformować odbiorców, którym zostały ujawnione te dane, oraz osoby trzecie, od których pochodzą niedokładne dane. Administratorzy powinni również powstrzymać się od dalszego rozpowszechniania tych danych. Jeżeli dane osobowe przetwarzane są w toku dochodzenia i postępowania karnego, poprawianie, prawa do informacji, dostępu, usunięcia i ograniczenia przetwarzania mogą być wykonywane zgodnie z przepisami krajowej procedury sądowej.

Poprawka  29

Wniosek dotyczący dyrektywy

Motyw 37

Tekst proponowany przez Komisję

Poprawka

(37)     Należy obciążyć administratora całkowitą odpowiedzialnością za przetwarzanie danych osobowych prowadzone przez niego samego lub w jego imieniu. W szczególności administrator powinien zapewnić zgodność operacji przetwarzania z przepisami przyjętymi na mocy niniejszej dyrektywy.

(37) Należy obciążyć administratora całkowitą odpowiedzialnością za przetwarzanie danych osobowych prowadzone przez niego samego lub w jego imieniu. W szczególności administrator powinien zapewnić zgodność każdej operacji przetwarzania z przepisami przyjętymi na mocy niniejszej dyrektywy i mieć obowiązek gotowości do wykazania tej zgodności.

Poprawka  30

Wniosek dotyczący dyrektywy

Motyw 39

Tekst proponowany przez Komisję

Poprawka

(39) Ochrona praw i wolności podmiotów danych a także zobowiązania i odpowiedzialność administratorów i podmiotów przetwarzających wymaga dokonania w niniejszej dyrektywie jasnego podziału obowiązków, w tym w przypadku gdy administrator określa cele, warunki i sposoby przetwarzania wspólnie z innymi administratorami danych oraz gdy operacja przetwarzania jest dokonywana w imieniu administratora.

(39) Ochrona praw i wolności podmiotów danych a także zobowiązania i odpowiedzialność administratorów i podmiotów przetwarzających wymaga dokonania w niniejszej dyrektywie jasnego podziału obowiązków, w tym w przypadku, gdy administrator określa cele, warunki i sposoby przetwarzania wspólnie z innymi administratorami danych oraz gdy operacja przetwarzania jest dokonywana w imieniu administratora. Podmiot danych powinien mieć prawo korzystania z przysługujących mu na mocy niniejszej dyrektywy praw wobec każdego ze współadministratorów.

Poprawka  31

Wniosek dotyczący dyrektywy

Motyw 40 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(40a) Każda operacja przetwarzania danych osobowych powinna być udokumentowana w celu umożliwienia weryfikacji zgodności przetwarzania danych z prawem, samokontroli oraz zapewnienia odpowiedniej integralności i bezpieczeństwa danych. Taki zapis w dokumentacji powinien być udostępniany na żądanie organowi nadzorczemu w celu kontroli zgodności z przepisami niniejszej dyrektywy.

Poprawka  32

Wniosek dotyczący dyrektywy

Motyw 40 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(40b) Ocena skutków w zakresie ochrony danych powinna być przeprowadzana przez administratora lub podmiot przetwarzający, jeżeli operacje przetwarzania – z racji swego charakteru, zakresu lub celów – mogą stwarzać szczególne zagrożenie dla praw i wolności podmiotów danych, i powinna obejmować w szczególności przewidywane środki, gwarancje i mechanizmy mające na celu zapewnienie ochrony danych osobowych z myślą o wykazaniu zgodności z przepisami niniejszej dyrektywy. Oceny skutków powinny dotyczyć stosownych systemów i procesów związanych z operacjami przetwarzania danych osobowych, a nie indywidualnych przypadków.

Poprawka  33

Wniosek dotyczący dyrektywy

Motyw 41

Tekst proponowany przez Komisję

Poprawka

(41) W celu zagwarantowania skutecznej ochrony praw i wolności osób, których dane dotyczą poprzez działania prewencyjne, administrator lub podmiot przetwarzający powinien w określonych przypadkach konsultować się z organem nadzorczym przed przetwarzaniem.

(41) W celu zagwarantowania skutecznej ochrony praw i wolności osób, których dane dotyczą poprzez działania prewencyjne, administrator lub podmiot przetwarzający powinien w określonych przypadkach konsultować się z organem nadzorczym przed przetwarzaniem. Ponadto jeśli ocena skutków w zakresie ochrony danych wykaże, że operacje przetwarzania mogą się wiązać z wysokim poziomem konkretnego ryzyka dla praw i wolności podmiotów danych, organ nadzorczy powinien być w stanie zapobiec przed rozpoczęciem operacji ryzykownemu przetwarzaniu, które jest niezgodne z niniejszą dyrektywą, oraz przedstawić propozycje zaradzenia tej sytuacji. Taka konsultacja może również zostać przeprowadzona w trakcie przygotowywania przez parlament narodowy środka ustawodawczego lub opartego na takim środku ustawodawczym środka, który określa charakter przetwarzania danych oraz ustanawia odpowiednie gwarancje.

Poprawka  34

Wniosek dotyczący dyrektywy

Motyw 41 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(41a) W celu utrzymania bezpieczeństwa i zapobiegania przetwarzaniu z naruszeniem przepisów niniejszej dyrektywy administrator lub podmiot przetwarzający powinien ocenić ryzyko związane z przetwarzaniem oraz wdrożyć środki mające na celu ograniczenie tego ryzyka. Środki te powinny zapewnić odpowiedni poziom bezpieczeństwa, z uwzględnieniem stanu wiedzy naukowej oraz kosztów ich wdrożenia w stosunku do ryzyka oraz charakteru danych osobowych podlegających ochronie. Przy wprowadzaniu norm technicznych i środków organizacyjnych w celu zadbania o bezpieczeństwo przetwarzania należy sprzyjać neutralności pod względem technologicznym.

Poprawka  35

Wniosek dotyczący dyrektywy

Motyw 42

Tekst proponowany przez Komisję

Poprawka

(42) Naruszenie ochrony danych osobowych, w braku odpowiedniej i szybkiej reakcji, może spowodować poważne szkody, w tym dla reputacji danej osoby. Z tego względu, administrator, niezwłocznie po powzięciu wiadomości o naruszeniu, powinien powiadomić o nim organ nadzorczy. Osoby, których dane osobowe lub prywatność mogłyby ucierpieć wskutek takiego naruszenia, powinny być niezwłocznie powiadamiane, aby umożliwić im podjęcie niezbędnych środków ostrożności. Naruszenie powinno być uznawane za mające niekorzystny wpływ na dane osobowe lub prywatność osoby fizycznej, jeżeli jego skutkiem mogą być np. kradzież lub sfałszowanie tożsamości, uszkodzenie ciała, poważne upokorzenie lub naruszenie dobrego imienia w związku z przetwarzaniem danych osobowych.

(42) Naruszenie ochrony danych osobowych, w braku odpowiedniej i szybkiej reakcji, może spowodować znaczną stratę ekonomiczną i szkody społeczne dla danej osoby, w tym oszustwo dotyczące tożsamości. Z tego względu, administrator, niezwłocznie po powzięciu wiadomości o naruszeniu, powinien powiadomić o nim organ nadzorczy. Osoby, których dane osobowe lub prywatność mogłyby ucierpieć wskutek takiego naruszenia, powinny być niezwłocznie powiadamiane, aby umożliwić im podjęcie niezbędnych środków ostrożności. Naruszenie powinno być uznawane za mające niekorzystny wpływ na dane osobowe lub prywatność osoby fizycznej, jeżeli jego skutkiem mogą być np. kradzież lub sfałszowanie tożsamości, uszkodzenie ciała, poważne upokorzenie lub naruszenie dobrego imienia w związku z przetwarzaniem danych osobowych. Zawiadomienie powinno zawierać informacje o środkach podjętych przez usługodawcę w celu zaradzenia naruszeniu, a także zalecenia dla abonenta lub osoby, których ono dotyczy. Powiadomienia powinny być przekazywane podmiotom danych tak szybko, jak to możliwe, w ścisłej współpracy z organem nadzorczym oraz z poszanowaniem wytycznych wydanych przez ten organ.

Poprawka  36

Wniosek dotyczący dyrektywy

Motyw 44

Tekst proponowany przez Komisję

Poprawka

(44) Administrator lub podmiot przetwarzający powinien wyznaczyć osobę, która będzie pomagać danemu administratorowi lub podmiotowi w monitorowaniu zgodności przepisów przyjętych na mocy niniejszej dyrektywy. Inspektor ochrony danych może zostać wyznaczony wspólnie przez szereg jednostek właściwego organu. Inspektorzy ochrony danych muszą być w stanie wykonywać swoje obowiązki i zadania niezależnie i skutecznie.

(44) Administrator lub podmiot przetwarzający powinien wyznaczyć osobę, która będzie pomagać danemu administratorowi lub podmiotowi w monitorowaniu i wykazywaniu zgodności z przepisami przyjętymi na mocy niniejszej dyrektywy. W przypadku, gdy kilka właściwych organów działa pod nadzorem organu centralnego, przynajmniej ten organ centralny powinien wyznaczyć takiego inspektora ochrony danych. Inspektorzy ochrony danych muszą być w stanie wykonywać swoje obowiązki i zadania niezależnie i skutecznie, w szczególności dzięki ustanowieniu zasad służących uniknięciu konfliktu interesów z innymi zadaniami wykonywanymi przez inspektora ochrony danych.

Poprawka  37

Wniosek dotyczący dyrektywy

Motyw 45

Tekst proponowany przez Komisję

Poprawka

(45) Państwa członkowskie powinny zadbać o to, by przekazywanie danych dokonywane było wyłącznie w przypadku, gdy jest to konieczne do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz gdy administrator w państwie trzecim lub organizacji międzynarodowej jest właściwym organem w rozumieniu niniejszej dyrektywy. Przekazywanie może mieć miejsce w przypadkach, w których Komisja zdecydowała, że dane państwo trzecie lub organizacja międzynarodowa zapewnia odpowiedni poziom ochrony lub gdy wprowadzono odpowiednie gwarancje.

(45) Państwa członkowskie powinny zadbać o to, by przekazywanie danych dokonywane było wyłącznie w przypadku, gdy to konkretne przekazanie jest konieczne do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz gdy administrator w państwie trzecim lub organizacja międzynarodowa jest właściwym organem publicznym w rozumieniu niniejszej dyrektywy. Przekazywanie może mieć miejsce w przypadkach, w których Komisja zdecydowała, że dane państwo trzecie lub organizacja międzynarodowa zapewnia odpowiedni poziom ochrony lub gdy wprowadzono odpowiednie gwarancje, lub gdy wprowadzono odpowiednie gwarancje w drodze prawnie wiążącego instrumentu. Dane przekazane właściwym organom publicznym w państwach trzecich nie powinny być dalej przetwarzane w celach innych niż te, dla których zostały przekazane.

Poprawka  38

Wniosek dotyczący dyrektywy

Motyw 45 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(45a) Operacje wtórnego przekazania dokonywane przez właściwe organy w państwach trzecich lub organizacje międzynarodowe, którym dane osobowe zostały przekazane, powinny być dozwolone wyłącznie w przypadku, gdy operacja wtórnego przekazania jest niezbędna do tego samego konkretnego celu co początkowe przekazanie, a odbiorcą wtórnym jest także właściwy organ publiczny. Operacje wtórnego przekazania nie powinny być dozwolone na potrzeby ogólnych celów egzekwowania prawa. Właściwy organ, który dokonał początkowego przekazania, powinien zezwolić na operację wtórnego przekazania.

Poprawka  39

Wniosek dotyczący dyrektywy

Motyw 48

Tekst proponowany przez Komisję

Poprawka

(48) Komisja powinna mieć również możliwość uznania, że państwo trzecie lub terytorium bądź sektor przetwarzający dane w państwie trzecim lub organizacja międzynarodowa nie oferują odpowiedniego poziomu ochrony danych. W związku z tym przekazywanie danych osobowych do tego państwa trzeciego powinno być zakazane, chyba że opiera się ono na umowie międzynarodowej, odpowiednich gwarancjach lub odstępstwie. Należy przewidzieć możliwość odbywania konsultacji między Komisją a tymi państwami trzecimi lub organizacjami międzynarodowymi. Taka decyzja Komisji pozostaje jednak bez uszczerbku dla możliwości dokonywania przekazania na podstawie odpowiednich gwarancji lub odstępstwa ustanowionego w dyrektywie.

(48) Komisja powinna mieć również możliwość uznania, że państwo trzecie lub terytorium bądź sektor przetwarzający dane w państwie trzecim lub organizacja międzynarodowa nie oferują odpowiedniego poziomu ochrony danych. W związku z tym przekazywanie danych osobowych do tego państwa trzeciego powinno być zakazane, chyba że opiera się ono na umowie międzynarodowej, odpowiednich gwarancjach lub odstępstwie. Należy przewidzieć możliwość odbywania konsultacji między Komisją a tymi państwami trzecimi lub organizacjami międzynarodowymi. Taka decyzja Komisji pozostaje jednak bez uszczerbku dla możliwości dokonywania przekazania na podstawie odpowiednich gwarancji zawartych w prawnie wiążącym instrumencie lub na podstawie odstępstwa ustanowionego w niniejszej dyrektywie.

Poprawka  40

Wniosek dotyczący dyrektywy

Motyw 49

Tekst proponowany przez Komisję

Poprawka

(49) Przekazanie, które nie jest dokonane w oparciu o taką decyzję stwierdzającą odpowiedni stopień ochrony powinno być dopuszczalne jedynie wtedy, gdy w prawnie wiążącym instrumencie prawnym wprowadzono odpowiednie gwarancje, zapewniające ochronę danych osobowych lub gdy administrator lub podmiot przetwarzający ocenili wszystkie okoliczności towarzyszące operacji przekazywania danych lub zestawowi takich operacji i, na podstawie tej oceny uznaje, że obowiązują odpowiednie gwarancje w zakresie ochrony danych osobowych. W przypadkach, w których brakuje podstawy do dokonywania przekazania należy umożliwić zastosowanie odstępstwa w celu ochrony żywotnych interesów podmiotu danych, lub innej osoby, lub ochrony słusznych interesów podmiotu danych, jeżeli prawo państwa członkowskiego przekazującego dane osobowe tak stanowi lub też jeżeli jest to konieczne dla zapobieżenia bezpośredniemu, poważnemu zagrożeniu dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego, lub też, w indywidualnych przypadkach, na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania lub w celu wykonywania kar kryminalnych, lub też, w indywidualnych przypadkach, do celów ustanowienia roszczeń prawnych, ich realizacji lub bronienia ich.

(49) Przekazanie, które nie jest dokonane w oparciu o taką decyzję stwierdzającą odpowiedni stopień ochrony, powinno być dopuszczalne jedynie wtedy, gdy w prawnie wiążącym instrumencie wprowadzono odpowiednie gwarancje, zapewniające ochronę danych osobowych.

Poprawka  41

Wniosek dotyczący dyrektywy

Motyw 49 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(49a) W przypadkach, gdy brakuje podstaw do dokonania przekazania, w razie potrzeby należy umożliwić zastosowanie odstępstwa w celu ochrony żywotnych interesów podmiotu danych lub innej osoby lub zabezpieczenia uzasadnionych interesów podmiotu danych, gdy prawo państwa członkowskiego przekazującego dane osobowe tak stanowi lub gdy jest to konieczne dla zapobieżenia bezpośredniemu, poważnemu zagrożeniu dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego, lub też, w indywidualnych przypadkach, na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania lub w celu wykonywania kar kryminalnych, lub też, w indywidualnych przypadkach, do celów ustanowienia roszczeń prawnych, ich realizacji lub ich bronienia. Odstępstwa te należy interpretować w sposób rygorystyczny i nie powinny one umożliwiać częstego, masowego i zorganizowanego przekazywania danych osobowych ani hurtowego przekazywania danych, które powinno być ograniczone do ściśle niezbędnych danych. Ponadto decyzja o przekazaniu powinna być podejmowana przez należycie uprawnioną osobę, operacja przekazania musi być udokumentowana, a dokumentacja ta musi być udostępniana na żądanie organowi nadzorczemu w celu kontroli zgodności przekazania z prawem.

(część motywu 49 z wniosku Komisji stała się w poprawce Parlamentu motywem 49a)

Poprawka  42

Wniosek dotyczący dyrektywy

Motyw 51

Tekst proponowany przez Komisję

Poprawka

(51) Utworzenie w państwach członkowskich organów nadzorczych, wykonujących swoje funkcje w sposób całkowicie niezależny jest koniecznym elementem ochrony osób fizycznych w zakresie przetwarzania danych osobowych. Organy nadzorcze powinny monitorować stosowanie przepisów w sposób zgodny z niniejszą dyrektywą oraz przyczyniać się do ich spójnego stosowania w całej Unii, w celu ochrony osób fizycznych w zakresie przetwarzania ich danych osobowych. W tym celu organu nadzorcze powinny współpracować ze sobą oraz z Komisją.

(51) Utworzenie w państwach członkowskich organów nadzorczych, wykonujących swoje funkcje w sposób całkowicie niezależny jest koniecznym elementem ochrony osób fizycznych w zakresie przetwarzania danych osobowych. Organy nadzorcze powinny monitorować stosowanie przepisów w sposób zgodny z niniejszą dyrektywą oraz przyczyniać się do ich spójnego stosowania w całej Unii, w celu ochrony osób fizycznych w zakresie przetwarzania ich danych osobowych. W tym celu organy nadzorcze powinny współpracować ze sobą.

Poprawka  43

Wniosek dotyczący dyrektywy

Motyw 53

Tekst proponowany przez Komisję

Poprawka

(53) Państwa członkowskie mogą ustanowić więcej niż jeden organu nadzorczy, w odzwierciedleniu swojej struktury konstytucyjnej, organizacyjnej i administracyjnej. Każdy organ nadzorczy powinien zostać wyposażony w odpowiednie zasoby finansowe i ludzkie, pomieszczenia i infrastrukturę, niezbędne do skutecznego wykonywania swoich zadań, w tym zadań związanych ze wzajemną pomocą i współpracą z innymi organami nadzorczymi w całej Unii.

(53) Państwa członkowskie mogą ustanowić więcej niż jeden organu nadzorczy, w odzwierciedleniu swojej struktury konstytucyjnej, organizacyjnej i administracyjnej. Każdy organ nadzorczy powinien zostać wyposażony w odpowiednie zasoby finansowe i ludzkie, pomieszczenia i infrastrukturę, w tym wyposażenie techniczne oraz doświadczony i wykwalifikowany personel, niezbędne do skutecznego wykonywania swoich zadań, w tym zadań związanych ze wzajemną pomocą i współpracą z innymi organami nadzorczymi w całej Unii.

Poprawka  44

Wniosek dotyczący dyrektywy

Motyw 54

Tekst proponowany przez Komisję

Poprawka

(54) Warunki ogólne członkostwa w organie nadzorczym powinny być określone w przepisach prawa każdego państwa członkowskiego i powinny w szczególności przewidywać, iż członkowie tego organu powinno być wybierani przez parlament albo przez rząd państwa członkowskiego oraz obejmować regulacje dotyczące kwalifikacji i stanowiska tych członków.

(54) Warunki ogólne członkostwa w organie nadzorczym powinny być określone w przepisach prawa każdego państwa członkowskiego i powinny w szczególności przewidywać, iż członkowie tego organu powinni być wybierani przez parlament albo przez rząd państwa członkowskiego na podstawie konsultacji przeprowadzonych z parlamentem oraz obejmować regulacje dotyczące kwalifikacji i stanowiska tych członków.

Poprawka  45

Wniosek dotyczący dyrektywy

Motyw 56

Tekst proponowany przez Komisję

Poprawka

(56) Aby zapewnić spójne monitorowanie i wykonanie niniejszej dyrektywy w całej Unii, organy nadzorcze powinny mieć w każdym państwie członkowskim te same obowiązki i faktyczne uprawnienia, w tym uprawnienie do przeprowadzania dochodzenia i prawnie wiążących interwencji, podejmowania decyzji i nakładania sankcji, w szczególności w sprawach skarg od osób fizycznych oraz do udziału w postępowaniu sądowym.

(56) Aby zapewnić spójne monitorowanie i wykonanie niniejszej dyrektywy w całej Unii, organy nadzorcze powinny mieć w każdym państwie członkowskim te same obowiązki i faktyczne uprawnienia, w tym faktyczne uprawnienie do przeprowadzania dochodzenia, uprawnienie do dostępu do wszystkich danych osobowych i wszystkich informacji niezbędnych do realizacji każdej funkcji nadzorczej, uprawnienie do dostępu do wszelkich pomieszczeń administratora danych lub podmiotu przetwarzającego, w tym sprzętu wykorzystywanego do przetwarzania danych, oraz uprawnienie do przeprowadzania prawnie wiążących interwencji, podejmowania decyzji i nakładania sankcji, w szczególności w sprawach skarg od osób fizycznych oraz do udziału w postępowaniu sądowym.

Poprawka  46

Wniosek dotyczący dyrektywy

Motyw 58

Tekst proponowany przez Komisję

Poprawka

(58) Organy nadzorcze powinny wspierać się wzajemnie w wykonywaniu swoich zadań oraz świadczyć sobie wzajemną pomoc, by zapewnić spójne stosowanie i egzekwowanie przepisów przyjętych na mocy niniejszej dyrektywy.

(58) Organy nadzorcze powinny wspierać się wzajemnie w wykonywaniu swoich zadań oraz świadczyć sobie wzajemną pomoc, by zapewnić spójne stosowanie i egzekwowanie przepisów przyjętych na mocy niniejszej dyrektywy. Każdy organ nadzorczy powinien wykazywać gotowość do uczestnictwa we wspólnych operacjach. Organ nadzorczy, który otrzyma stosowny wniosek, powinien mieć obowiązek rozpatrzenia go w ustalonym terminie.

Poprawka  47

Wniosek dotyczący dyrektywy

Motyw 59

Tekst proponowany przez Komisję

Poprawka

(59) Europejska Rada Ochrony Danych ustanowiona rozporządzeniem (UE) …./2012 powinna przyczyniać się do spójnego stosowania niniejszej dyrektywy na terytorium całej Unii, w tym poprzez doradzanie Komisji i promowanie współpracy organów nadzorczych na terytorium całej Unii.

(59) Europejska Rada Ochrony Danych ustanowiona rozporządzeniem (UE) …./2013 powinna przyczyniać się do spójnego stosowania niniejszej dyrektywy na terytorium całej Unii, w tym poprzez doradzanie instytucjom unijnym, promowanie współpracy organów nadzorczych na terytorium całej Unii, a także powinna wydawać opinie dla Komisji w toku przygotowywania aktów delegowanych i wykonawczych na podstawie niniejszej dyrektywy.

Poprawka  48

Wniosek dotyczący dyrektywy

Motyw 61

Tekst proponowany przez Komisję

Poprawka

(61) Każdy organ, organizacja lub zrzeszenie, które ma na celu ochronę praw i interesów podmiotów danych w zakresie ochrony ich danych i które zostało utworzone zgodnie z prawem państwa członkowskiego, powinny mieć prawo do złożenia skargi organowi nadzorczemu lub skorzystania z prawa do sądowego środka ochrony prawnej w imieniu podmiotów danych jeśli zostały przez nich należycie umocowane, lub też złożenia, niezależnie od skargi podmiotu danych własnej skargi, jeśli uzna, iż doszło do naruszenia ochrony danych osobowych.

(61) Każdy organ, organizacja lub zrzeszenie działające w interesie publicznym, które zostało utworzone zgodnie z prawem państwa członkowskiego, powinny mieć prawo do złożenia skargi organowi nadzorczemu lub skorzystania z prawa do sądowego środka ochrony prawnej w imieniu podmiotów danych, jeśli zostały przez nich należycie umocowane, lub też złożenia, niezależnie od skargi podmiotu danych, własnej skargi, jeśli uzna, iż doszło do naruszenia ochrony danych osobowych.

Poprawka  49

Wniosek dotyczący dyrektywy

Motyw 64

Tekst proponowany przez Komisję

Poprawka

(64) Szkoda, jaką dana osoba może ponieść wskutek niezgodnego z prawem przetwarzania danych, powinna zostać wyrównana przez administratora lub podmiot przetwarzający, który może być zwolniony z odpowiedzialności w przypadku dowiedzenia, że szkoda nie powstała z jego winy, szczególnie wówczas gdy udowodni winę podmiotu danych, lub w przypadku siły wyższej.

(64) Każda szkoda, w tym szkoda niemajątkowa, jaką dana osoba może ponieść wskutek niezgodnego z prawem przetwarzania danych, powinna zostać wyrównana przez administratora lub podmiot przetwarzający, który może być zwolniony z odpowiedzialności w przypadku dowiedzenia, że szkoda nie powstała z jego winy, szczególnie wówczas, gdy udowodni winę podmiotu danych, lub w przypadku siły wyższej.

Poprawka  50

Wniosek dotyczący dyrektywy

Motyw 65 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(65a) Przekazywanie danych osobowych innym organom lub podmiotom niepublicznym w Unii jest zakazane, chyba że przekazanie jest zgodne z prawem, odbiorca danych ma siedzibę w jednym z państw członkowskich, nie istnieje żaden konkretny uzasadniony interes podmiotu danych zapobiegający przekazaniu, a przekazanie jest niezbędne w konkretnym przypadku, gdy administrator przekazuje dane w celu wykonania powierzonego mu na mocy prawa zadania lub w celu zażegnania bezpośredniego i poważnego zagrożenia dla bezpieczeństwa publicznego lub w celu zapobieżenia poważnemu naruszeniu praw osób fizycznych. Administrator powinien poinformować odbiorcę danych o celu przetwarzania i zawiadomić organ nadzorczy o przekazaniu. Odbiorca danych powinien zostać również poinformowany o ograniczeniach przetwarzania i powinien dopilnować ich przestrzegania.

Poprawka  51

Wniosek dotyczący dyrektywy

Motyw 66

Tekst proponowany przez Komisję

Poprawka

(66) Aby spełnić cele niniejszej dyrektywy, a mianowicie chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych, oraz by zagwarantować swobodny przepływ danych osobowych w Unii, należy przekazać Komisji uprawnienie do przyjmowania aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej. W szczególności należy przyjąć akty delegowane dotyczące zawiadamiania organu nadzorczego o naruszeniach ochrony danych osobowych. Szczególnie ważne jest, aby w czasie swoich prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów. W trakcie przygotowywania i opracowywania aktów delegowanych Komisja powinna zapewnić jednoczesne, terminowe i odpowiednie przekazanie stosownych dokumentów Parlamentowi Europejskiemu i Radzie.

(66) Aby spełnić cele niniejszej dyrektywy, a mianowicie chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych, oraz by zagwarantować swobodny przepływ danych osobowych w Unii, należy przekazać Komisji uprawnienia do przyjęcia aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej. W szczególności akty delegowane powinny zostać przyjęte w celu dalszego doprecyzowania kryteriów i warunków operacji ponownego przetwarzania wymagających oceny skutków w zakresie ochrony danych, kryteriów i wymogów dotyczących naruszeń ochrony danych osobowych oraz odpowiedniego poziomu ochrony zapewnianego przez państwo trzecie lub terytorium lub sektor, w którym odbywa się przetwarzanie w tym państwie trzecim, lub też organizację międzynarodową. Szczególnie ważne jest, aby w czasie prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, zwłaszcza z Europejską Radą Ochrony Danych. Przygotowując i opracowując akty delegowane, Komisja powinna zapewnić jednoczesne, terminowe i odpowiednie przekazywanie stosownych dokumentów Parlamentowi Europejskiemu i Radzie.

Poprawka  52

Wniosek dotyczący dyrektywy

Motyw 67

Tekst proponowany przez Komisję

Poprawka

(67) Aby zagwarantować jednolite warunki wdrażania niniejszej dyrektywy w zakresie dotyczącym dokumentacji przez administratorów danych i podmioty przetwarzające dane, zwłaszcza w odniesieniu do norm szyfrowania, zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz odpowiedniego poziomu ochrony zapewnianego przez państwo trzecie lub terytorium lub sektor, w którym odbywa się przetwarzanie w tym państwie trzecim, lub też organizację międzynarodową, Komisji należy powierzyć kompetencje wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiającym przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję37.

(67) W celu zapewnienia jednolitych warunków wykonywania niniejszej dyrektywy w zakresie dotyczącym bezpieczeństwa przetwarzania, zwłaszcza w odniesieniu do norm szyfrowania i zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych, należy powierzyć Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/201137.

_____________

_______________

37 Dz.U. L 55 z 28.2.2011, s. 13.

37 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13).

Poprawka  53

Wniosek dotyczący dyrektywy

Motyw 68

Tekst proponowany przez Komisję

Poprawka

(68) Środki dotyczące prowadzenia dokumentacji przez administratorów i podmioty przetwarzające, bezpieczeństwa przetwarzania, zgłaszania organowi nadzorczego naruszeń ochrony danych osobowych oraz odpowiedniego poziomu ochrony zapewnianego przez państwo trzecie albo terytorium lub sektor, w którym odbywa się przetwarzanie w tym państwie trzecim, lub też organizację międzynarodową powinny być przyjmowane w trybie procedury sprawdzającej, ze względu na powszechny zakres zastosowania tych aktów.

(68) Środki dotyczące bezpieczeństwa przetwarzania i zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych powinny być przyjmowane w trybie procedury sprawdzającej, ze względu na powszechny zakres stosowania tych aktów.

Poprawka  54

Wniosek dotyczący dyrektywy

Motyw 69

Tekst proponowany przez Komisję

Poprawka

(69) Komisja powinna przyjąć akty wykonawcze mające natychmiastowe zastosowanie, jeśli, w należycie uzasadnionych przypadkach dotyczących państwa trzeciego, terytorium lub sektora, w którym przetwarzane są dane w tym państwie trzecim, lub w organizacji międzynarodowej, które nie zapewniają odpowiedniego poziomu ochrony, jest to bezwzględnie konieczne ze względu na potrzebę pilnych działań.

skreślony

Poprawka  55

Wniosek dotyczący dyrektywy

Motyw 70

Tekst proponowany przez Komisję

Poprawka

(70) Ponieważ cele niniejszego rozporządzenia, mianowicie ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych, oraz zapewnienie swobodnego przepływu danych osobowych w ramach całej Unii, nie mogą zostać osiągnięte w wystarczającym stopniu przez państwa członkowskie, natomiast z uwagi na skalę i skutki proponowanego działania możliwe jest lepsze ich osiągnięcie na szczeblu unijnym, Unia może przyjąć środki zgodnie z zasadą pomocniczości, o której mowa w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsza dyrektywa nie wychodzi poza zakres niezbędny do osiągnięcia tego celu.

(70) Ponieważ cele niniejszego rozporządzenia, mianowicie ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony ich danych osobowych, oraz zapewnienie swobodnego przepływu danych osobowych w ramach całej Unii, nie mogą zostać osiągnięte w wystarczającym stopniu przez państwa członkowskie, lecz z uwagi na skalę i skutki proponowanego działania możliwe jest lepsze ich osiągnięcie na szczeblu unijnym, Unia może przyjąć środki zgodnie z zasadą pomocniczości, o której mowa w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsza dyrektywa nie wykracza poza to, co jest niezbędne do osiągnięcia tych celów. Państwa członkowskie mogą ustanowić przepisy przewidujące wyższe standardy niż te przewidziane w niniejszej dyrektywie.

Poprawka  56

Wniosek dotyczący dyrektywy

Motyw 72

Tekst proponowany przez Komisję

Poprawka

(72) Dyrektywa nie powinna wpływać na przepisy szczególne dotyczące przetwarzania danych osobowych przez właściwe organy na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania lub w celu wykonywania kar kryminalnych zawarte w aktach Unii przyjętych przed datą przyjęcia niniejszej dyrektywy, regulujące przetwarzanie danych osobowych między państwami członkowskimi lub dostęp wyznaczonych organów państw członkowskich do systemów informacyjnych ustanowionych na mocy Traktatów. Komisja powinna ocenić sytuację pod kątem stosunku niniejszej dyrektywy do aktów przyjętych przed datą przyjęcia niniejszej dyrektywy regulujących przetwarzanie danych osobowych między państwami członkowskimi lub dostęp wyznaczonych organów państw członkowskich do systemów informacyjnych ustanowionych na mocy Traktatów, w celu oceny potrzeby uzgodnienia tych przepisów szczególnych z niniejszą dyrektywą.

(72) Dyrektywa nie powinna wpływać na przepisy szczególne dotyczące przetwarzania danych osobowych przez właściwe organy na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania lub w celu wykonywania kar kryminalnych zawarte w aktach Unii przyjętych przed datą przyjęcia niniejszej dyrektywy, regulujące przetwarzanie danych osobowych między państwami członkowskimi lub dostęp wyznaczonych organów państw członkowskich do systemów informacyjnych ustanowionych na mocy Traktatów. W związku z tym, że z art. 8 Karty praw podstawowych oraz z art. 16 TFUE wynika, iż podstawowe prawo do ochrony danych osobowych należy zapewnić w spójny i jednolity sposób w całej Unii, Komisja powinna, w terminie dwóch lat od wejścia w życie niniejszej dyrektywy, ocenić sytuację pod kątem stosunku niniejszej dyrektywy do aktów przyjętych przed datą przyjęcia niniejszej dyrektywy regulujących przetwarzanie danych osobowych między państwami członkowskimi lub dostęp wyznaczonych organów państw członkowskich do systemów informacyjnych ustanowionych na mocy Traktatów, oraz powinna przedstawić odpowiednie wnioski mające na celu zapewnienie spójnych i jednolitych przepisów prawnych dotyczących przetwarzania danych osobowych przez właściwe organy lub dostępu wyznaczonych organów państw członkowskich do systemów informacyjnych ustanowionych na mocy Traktatów, a także przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania, albo wykonywania kar kryminalnych w ramach zakresu stosowania niniejszej dyrektywy.

Poprawka  57

Wniosek dotyczący dyrektywy

Motyw 73

Tekst proponowany przez Komisję

Poprawka

(73) Aby zagwarantować całościową i spójną ochronę danych osobowych w Unii umowy międzynarodowe zawarte przez państwa członkowskie przed wejściem w życie niniejszej dyrektywy powinny zostać zmienione zgodnie z niniejszą dyrektywą.

(73) Aby zagwarantować całościową i spójną ochronę danych osobowych w Unii umowy międzynarodowe zawarte przez Unię lub państwa członkowskie przed wejściem w życie niniejszej dyrektywy powinny zostać zmienione zgodnie z niniejszą dyrektywą.

Poprawka  58

Wniosek dotyczący dyrektywy

Motyw 76

Tekst proponowany przez Komisję

Poprawka

(76) Zgodnie z art. 2 i 2a Protokołu w sprawie stanowiska Danii załączonego do Traktatu o Unii Europejskiej i Traktatu o funkcjonowaniu Unii Europejskiej, Dania nie jest związana niniejszą dyrektywą ani nie ma ona do niej zastosowania. Ze względu na to, że niniejsza dyrektywa stanowi rozwinięcie dorobku Schengen w rozumieniu postanowień tytułu V Traktatu o funkcjonowaniu Unii Europejskiej Dania, zgodnie z art. 4 tego protokołu, w terminie sześciu miesięcy od daty przyjęcia niniejszej dyrektywy podejmuje decyzję czy dokona transpozycji dyrektywy do swojego prawa krajowego.

(76) Zgodnie z art. 2 i 2a Protokołu w sprawie stanowiska Danii załączonego do Traktatu o Unii Europejskiej i Traktatu o funkcjonowaniu Unii Europejskiej, Dania nie jest związana niniejszą dyrektywą ani nie ma ona do niej zastosowania.

Poprawka  59

Wniosek dotyczący dyrektywy

Artykuł 1

Tekst proponowany przez Komisję

Poprawka

Przedmiot i cele

Przedmiot i cele

1. Niniejsza dyrektywa ustanawia przepisy dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania i wykonywania kar kryminalnych.

1. Niniejsza dyrektywa ustanawia przepisy dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania i wykonywania kar kryminalnych oraz warunki swobodnego przepływu takich danych osobowych.

2. Zgodnie z niniejszą dyrektywą państwa członkowskie:

2. Zgodnie z niniejszą dyrektywą państwa członkowskie:

a) chronią prawa podstawowe i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych; oraz

a) chronią prawa podstawowe i wolności osób fizycznych, w szczególności prawo do ochrony ich danych osobowych i prywatności; oraz

b) zapewniają, by wymiana danych osobowych przez właściwe organy w Unii nie była ani ograniczana, ani zakazywana z przyczyn związanych z ochroną osób fizycznych w zakresie przetwarzania danych osobowych.

b) zapewniają, by wymiana danych osobowych przez właściwe organy w Unii nie była ani ograniczana, ani zakazywana z przyczyn związanych z ochroną osób fizycznych w zakresie przetwarzania danych osobowych.

 

2a. Niniejsza dyrektywa nie wyklucza ustanowienia przez państwa członkowskie gwarancji na wyższym poziomie niż ten ustanowiony w niniejszej dyrektywie.

Poprawka  60

Wniosek dotyczący dyrektywy

Artykuł 2

Tekst proponowany przez Komisję

Poprawka

Zakres

Zakres

1. Niniejsza dyrektywa ma zastosowania do przetwarzania danych osobowych przez właściwe organy do celów, o których mowa w art. 1 ust. 1.

1. Niniejsza dyrektywa ma zastosowania do przetwarzania danych osobowych przez właściwe organy do celów, o których mowa w art. 1 ust. 1.

2. Niniejsza dyrektywa ma zastosowanie do przetwarzania danych osobowych w sposób zautomatyzowany w całości lub w części oraz innych rodzajów przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.

2. Niniejsza dyrektywa ma zastosowanie do przetwarzania danych osobowych w sposób zautomatyzowany w całości lub w części oraz innych rodzajów przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.

3. Niniejsza dyrektywa nie ma zastosowania do przetwarzania danych osobowych:

3. Niniejsza dyrektywa nie ma zastosowania do przetwarzania danych osobowych

a) w ramach działalności wykraczającej poza zakres prawa Unii, w szczególności dotyczącej bezpieczeństwa narodowego;

w ramach działalności wykraczającej poza zakres prawa Unii.

b) przez instytucje, organy i jednostki organizacyjne Unii.

 

Poprawka  61

Wniosek dotyczący dyrektywy

Artykuł 3

Tekst proponowany przez Komisję

Poprawka

Definicje

Definicje

Do celów niniejszej dyrektywy:

Do celów niniejszej dyrektywy:

1) „podmiot danych” oznacza zidentyfikowaną osobę fizyczną lub osobę fizyczną, którą można zidentyfikować, bezpośrednio lub pośrednio, za pomocą wszelkich środków, które z rozsądnym prawdopodobieństwem mogą być użyte przez administratora lub inną osobę fizyczną bądź prawną, szczególnie przez odniesienie do numeru identyfikacyjnego, danych dotyczących lokalizacji, identyfikatora online lub też przynajmniej jednego czynnika charakterystycznego dla fizycznej, fizjologicznej, genetycznej, umysłowej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby;

 

2) „dane osobowe” oznaczają wszelkie informacje dotyczące podmiotu danych;

2) „dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („podmiot danych”); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, w szczególności przez odwołanie się do takich danych identyfikujących, jak imię i nazwisko, numer identyfikacyjny, miejsce przebywania, niepowtarzalny identyfikator, lub do co najmniej jednego szczególnego czynnika określającego tożsamość fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową czy społeczną lub tożsamość płciową tej osoby;

 

2a) „dane pseudonimiczne” oznaczają dane osobowe, których nie można przypisać konkretnemu podmiotowi danych bez użycia dodatkowych informacji, dopóki dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie podmiotowi danych;

3) „przetwarzanie” oznacza każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptacja lub modyfikacja, pobieranie, uzyskiwanie wglądu, wykorzystywanie, ujawnianie poprzez przekazywanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie usuwanie lub niszczenie;

3) „przetwarzanie” oznacza każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptacja lub modyfikacja, pobieranie, uzyskiwanie wglądu, wykorzystywanie, ujawnianie poprzez przekazywanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie usuwanie lub niszczenie;

 

3a) „profilowanie” oznacza wszelką formę automatycznego przetwarzania danych mającego służyć ocenie niektórych indywidualnych aspektów tej osoby fizycznej lub też analizie bądź przewidzeniu zwłaszcza wyników w pracy, sytuacji ekonomicznej, miejsca przebywania, zdrowia, osobistych preferencji, wiarygodności lub zachowania tej osoby fizycznej;

4) „ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przetwarzania w przyszłości;

4) „ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przetwarzania w przyszłości;

5) „zbiór danych” oznacza każdy zorganizowany zestaw danych osobowych, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany lub rozproszony funkcjonalnie lub geograficznie;

5) „zbiór danych” oznacza każdy zorganizowany zestaw danych osobowych, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany lub rozproszony funkcjonalnie lub geograficznie;

6) „administrator” oznacza właściwy organ publiczny, który samodzielnie lub wspólnie z innymi organami ustala cele, warunki i sposoby przetwarzania danych osobowych; w przypadkach, w których cele, warunki i sposoby przetwarzania ustalane są prawem Unii lub państwa członkowskiego, administrator lub szczególne kryteria wyznaczania go mogą zostać określone w prawie Unii lub państwa członkowskiego;

6) „administrator” oznacza właściwy organ publiczny, który samodzielnie lub wspólnie z innymi organami ustala cele i sposoby przetwarzania danych osobowych; w przypadkach, w których cele i sposoby ustalane są prawem Unii lub państwa członkowskiego, administrator lub szczególne kryteria jego wyznaczania mogą zostać określone w prawie Unii lub państwa członkowskiego;

7) „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

7) „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

8) „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, agencję, lub inny podmiot, któremu ujawnia się dane osobowe;

8) „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, agencję, lub inny podmiot, któremu ujawnia się dane osobowe;

9) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób;

9) „naruszenie ochrony danych osobowych” oznacza przypadkowe lub niezgodne z prawem zniszczenie, utratę, modyfikację, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób;

10) „dane genetyczne” oznaczają wszelkie dane dowolnego rodzaju dotyczące charakterystycznych cech osoby fizycznej, odziedziczonych lub nabytych na etapie wczesnego rozwoju prenatalnego;

10) „dane genetyczne” oznaczają wszelkie dane dowolnego rodzaju dotyczące charakterystycznych cech osoby fizycznej, odziedziczonych lub nabytych na etapie wczesnego rozwoju prenatalnego;

11) „dane biometryczne” oznaczają wszelkie dane dotyczące cech fizycznych, fizjologicznych i behawioralnych danej osoby, które umożliwiają jej precyzyjną identyfikację, takie jak wizerunek twarzy lub dane daktyloskopijne;

11) „dane biometryczne” oznaczają wszelkie dane osobowe dotyczące cech fizycznych, fizjologicznych i behawioralnych danej osoby, które umożliwiają jej precyzyjną identyfikację, takie jak wizerunek twarzy lub dane daktyloskopijne;

12) „dane dotyczące zdrowia” oznaczają wszelkie informacje związane ze zdrowiem fizycznym lub psychicznym danej osoby lub ze świadczeniem usług zdrowotnych na jej rzecz;

12) „dane dotyczące zdrowia” oznaczają wszelkie dane osobowe związane ze zdrowiem fizycznym lub psychicznym danej osoby lub ze świadczeniem usług zdrowotnych na jej rzecz;

13) „dziecko” oznacza każdą osobę w wieku poniżej 18 lat;

13) „dziecko” oznacza każdą osobę w wieku poniżej 18 lat;

14) „właściwe organy” oznaczają każdy organ publiczny właściwy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania oraz wykonywania kar kryminalnych;

14) „właściwe organy” oznaczają każdy organ publiczny właściwy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania oraz wykonywania kar kryminalnych;

15) „organ nadzorczy” oznacza organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 39.

15) „organ nadzorczy” oznacza organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 39.

Poprawka  62

Wniosek dotyczący dyrektywy

Artykuł 4

Tekst proponowany przez Komisję

Poprawka

Zasady dotyczące przetwarzania danych osobowych

Zasady dotyczące przetwarzania danych osobowych

Państwa członkowskie stanowią przepisy nakazujące, by dane osobowe były:

Państwa członkowskie stanowią przepisy nakazujące, by dane osobowe były:

a) przetwarzane rzetelnie i zgodnie z prawem;

a) przetwarzane zgodnie z prawem, rzetelnie oraz w sposób przejrzysty i umożliwiający weryfikację w odniesieniu do podmiotu danych;

b) zbierane w konkretnych, bezpośrednich i zgodnych z prawem celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;

b) zbierane w konkretnych, bezpośrednich i zgodnych z prawem celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;

c) prawidłowe, właściwe oraz by nie wykraczały poza zakres niezbędny do celów, dla których są przetwarzane;

c) prawidłowe, właściwe oraz ograniczone do minimum niezbędnego do celów, dla których są przetwarzane; dane te są przetwarzane jedynie wtedy gdy i tylko przez okres, w którym tych celów nie można osiągnąć, przetwarzając informacje, które nie obejmują danych osobowych;

d) dokładne i, w razie potrzeby, aktualne; należy podjąć wszelkie zasadne działania, by zapewnić niezwłoczne usunięcie lub poprawienie niedokładnych danych osobowych, z uwzględnieniem celów ich przetwarzania;

d) dokładne i aktualne; należy podjąć wszelkie zasadne działania, by zapewnić niezwłoczne usunięcie lub poprawienie niedokładnych danych osobowych, z uwzględnieniem celów ich przetwarzania;

e) przechowywane w formie umożliwiającej identyfikację podmiotów danych przez czas nie dłuższy niż jest to konieczne do celów, dla których dane są przetwarzane;

e) przechowywane w formie umożliwiającej identyfikację podmiotów danych przez czas nie dłuższy niż jest to konieczne do celów, dla których dane są przetwarzane;

f) przetwarzane pod nadzorem i na odpowiedzialność administratora, który zapewnia zgodność z przepisami przyjętymi na mocy niniejszej dyrektywy.

f) przetwarzane pod nadzorem i na odpowiedzialność administratora, który zapewnia i jest w stanie wykazać zgodność z przepisami przyjętymi na mocy niniejszej dyrektywy;

 

fa) przetwarzane w sposób skutecznie umożliwiający podmiotowi danych wykonywanie jego praw opisanych w art. 10–17;

 

fb) przetwarzane w taki sposób, który zabezpiecza przed niedozwolonym lub niezgodnym z prawem przetwarzaniem i przed przypadkową utratą, zniszczeniem lub uszkodzeniem, z wykorzystaniem odpowiednich środków technicznych i organizacyjnych;

 

fc) przetwarzane wyłącznie przez należycie uprawnionych pracowników właściwych organów, którzy potrzebują tych danych do wykonywania powierzonych im zadań.

Poprawka  63

Wniosek dotyczący dyrektywy

Artykuł 4 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 4a

 

Dostęp do danych przetwarzanych pierwotnie w celach innych niż te, o których mowa w art. 1 ust. 1

 

1. Państwa członkowskie stanowią przepisy przewidujące, że właściwe organy mogą mieć dostęp do danych osobowych przetwarzanych pierwotnie w celach innych niż te, o których mowa w art. 1 ust. 1, jedynie wówczas, gdy wyraźnie zezwala na to prawo Unii lub państw członkowskich, które musi spełniać wymogi określone w art. 7 ust. 1a oraz musi obejmować przepisy stanowiące, że:

 

a) prawo dostępu mają wyłącznie należycie uprawnieni pracownicy właściwych organów w ramach wykonywania powierzonych im zdań, gdy w konkretnym przypadku istnieją uzasadnione powody, by sądzić, że przetwarzanie danych osobowych w znacznym stopniu przyczyni się do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo wykonywania kar kryminalnych;

 

b) wnioski o przyznanie dostępu muszą być składane na piśmie i zawierać odniesienie do podstawy prawnej umożliwiającej wystąpienie z wnioskiem;

 

c) pisemny wniosek musi być udokumentowany; oraz

 

d) wprowadza się odpowiednie gwarancje mające zapewnić ochronę praw podstawowych i wolności w związku z przetwarzaniem danych osobowych. Gwarancje te pozostają bez uszczerbku dla szczegółowych warunków dostępu do danych osobowych, takich jak zezwolenie sądu wydane zgodnie z prawem państw członkowskich, i mają względem nich charakter uzupełniający.

 

2. Do danych osobowych przechowywanych przez podmioty niepubliczne lub inne organy publiczne uzyskuje się dostęp jedynie w celu prowadzenia dochodzeń w sprawie przestępstw i ścigania ich w oparciu o wymogi konieczności i proporcjonalności, które zostaną określone w prawie Unii i w prawie krajowym przez każde państwo członkowskie, w pełnej zgodności z przepisami art. 7a.

 

Poprawka  64

Wniosek dotyczący dyrektywy

Artykuł 4 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 4b

 

Ograniczenia czasowe dotyczące przechowywania i przeglądu danych

 

1. Państwa członkowskie stanowią przepisy przewidujące, że dane osobowe przetwarzane na mocy niniejszej dyrektywy są usuwane przez właściwe organy z chwilą, gdy nie są już one niezbędne do celów, dla których były przetwarzane.

 

2. Państwa członkowskie stanowią przepisy przewidujące, że zgodnie z art. 4 właściwe organy wdrażają mechanizmy mające zapewnić ustalenie terminów usuwania danych osobowych oraz terminów okresowego przeglądu konieczności przechowywania danych, w tym ustalanie okresów przechowywania różnych kategorii danych osobowych. Ustanawia się środki proceduralne w celu zadbania o to, by te ograniczenia czasowe, terminy lub odstępy pomiędzy okresowymi przeglądami były przestrzegane.

Poprawka  65

Wniosek dotyczący dyrektywy

Artykuł 5

Tekst proponowany przez Komisję

Poprawka

Rozróżnianie poszczególnych kategorii osób , których danych dotyczą

Różne kategorie podmiotów danych

1. Państwa członkowskie stanowią przepisy wymagające od administratorów, by w możliwym zakresie rozróżniali dane osobowe poszczególnych kategorii podmiotów danych takich jak:

1. Państwa członkowskie stanowią przepisy przewidujące, że do celów, o których mowa w art. 1 ust. 1, właściwe organy mogą przetwarzać dane osobowe następujących różnych kategorii podmiotów danych, a administrator wyraźnie rozróżnia takie kategorie:

a) osoby, w stosunku do których istnieją poważne podstawy by przypuszczać, że popełniły lub zamierzają popełnić przestępstwo;

a) osoby, w stosunku do których istnieją uzasadnione powody, by przypuszczać, że popełniły lub zamierzają popełnić przestępstwo;

b) osoby skazane za przestępstwo;

b) osoby skazane za przestępstwo;

c) osób, które padły ofiarą przestępstwa lub w przypadku których określone fakty wskazują, że mogły paść ofiarą przestępstwa;

c) osoby, które padły ofiarą przestępstwa lub w przypadku których określone fakty wskazują, że mogły paść ofiarą przestępstwa; oraz

d) osoby trzecie w stosunku do przestępstwa, takie jak osoby, które mogą być wezwane do złożenia zeznań w ramach dochodzenia dotyczącego przestępstwa lub dalszych etapów postępowania karnego lub osoby mogące dostarczyć informacji o przestępstwach albo osoby mające kontakt z jedną z osób wymienionych w lit. a) lub b) albo wspólnicy tych osób; oraz

d) osoby trzecie w stosunku do przestępstwa, takie jak osoby, które mogą być wezwane do złożenia zeznań w ramach dochodzenia dotyczącego przestępstwa lub dalszych etapów postępowania karnego lub osoby mogące dostarczyć informacji o przestępstwach albo osoby mające kontakt z jedną z osób wymienionych w lit. a) lub b) albo wspólnicy tych osób.

e) osoby, które nie należą do żadnej z wyżej wymienionych kategorii.

 

 

2. Dane osobowe innych podmiotów danych niż tych, o których mowa w ust. 1, mogą być przetwarzane wyłącznie:

 

a) przez niezbędny okres do celów prowadzenia dochodzenia w sprawie konkretnego przestępstwa lub jego ścigania w celu oceny istotności danych w odniesieniu do jednej z kategorii wskazanych w ust. 1; lub

 

b) gdy takie przetwarzanie jest niezbędne do konkretnych celów zapobiegawczych lub do celów analizy kryminalnej i tylko przez okres, w którym dany cel jest uzasadniony, odpowiednio zdefiniowany i konkretny, a przetwarzanie jest ściśle ograniczone do oceny istotności danych w odniesieniu do jednej z kategorii określonych w ust. 1. Podlega to regularnemu przeglądowi przynajmniej co sześć miesięcy. Wszelkie dalsze wykorzystanie tych danych jest zakazane.

 

3. Państwa członkowskie stanowią przepisy przewidujące, że dodatkowe ograniczenia i gwarancje zgodne z prawem państw członkowskich stosuje się do dalszego przetwarzania danych osobowych dotyczących podmiotów danych, o których mowa w ust. 1 lit. c) i d).

Poprawka  66

Wniosek dotyczący dyrektywy

Artykuł 6

Tekst proponowany przez Komisję

Poprawka

Różne stopnie dokładności i wiarygodności danych osobowych

Różne stopnie dokładności i wiarygodności danych osobowych

1. Państwa członkowskie zapewniają by, na ile to możliwe, różne kategorie danych osobowych poddawanych przetwarzaniu były rozróżniane według stopnia ich dokładności i wiarygodności.

1. Państwa członkowskie stanowią przepisy przewidujące, że zapewnia się dokładność i wiarygodność danych osobowych poddawanych przetwarzaniu.

2. Państwa członkowskie zapewniają, na ile to możliwe, rozróżnienie między danymi osobowymi opartymi na faktach i danymi osobowymi opartymi na indywidualnej ocenie.

2. Państwa członkowskie dopilnowują, by dane osobowe oparte na faktach i dane osobowe oparte na indywidualnej ocenie były rozróżniane według stopnia ich dokładności i wiarygodności.

 

2a. Państwa członkowskie dopilnowują, by nieprawidłowe, niepełne lub już nieaktualne dane osobowe nie były przekazywane ani udostępniane. W tym celu właściwe organy oceniają jakość danych osobowych przed ich przekazaniem lub udostępnieniem. Ilekroć przekazuje się dane, dołącza się do nich w miarę możliwości informacje, dzięki którym odbierające je państwo członkowskie może ocenić stopień dokładności, kompletności, aktualności i wiarygodności tych danych. Danych osobowych nie przekazuje się bez wniosku właściwego organu, zwłaszcza gdy dane należały początkowo do podmiotu niepublicznego.

 

2b. Jeżeli stwierdzono, że przekazano dane nieprawidłowe lub że dane przekazano niezgodnie z prawem, bezzwłocznie informuje się o tym odbiorcę. Odbiorca ma obowiązek bezzwłocznego poprawienia tych danych zgodnie z ust. 1 i art. 15 lub ich usunięcia zgodnie z art. 16.

Poprawka  67

Wniosek dotyczący dyrektywy

Artykuł 7

Tekst proponowany przez Komisję

Poprawka

Zgodność z prawem przetwarzania

Zgodność przetwarzania z prawem

Państwa członkowskie stanowią przepisy przewidujące, że przetwarzanie danych osobowych jest zgodne z prawem jedynie wtedy o ile jest ono niezbędne:

1. Państwa członkowskie stanowią przepisy przewidujące, że przetwarzanie danych osobowych jest zgodne z prawem jedynie wtedy, gdy opiera się ono na prawie unijnym lub krajowym do celów określonych w art. 1 ust. 1 i jest ono niezbędne:

a) do wykonania zadania realizowanego przez właściwy organ, w oparciu o prawo, do celów określonych w art. 1 ust. 1; lub

a) do wykonania zadania realizowanego przez właściwy organ; lub

b) do wypełnienia obowiązku prawnego ciążącego na administratorze; lub

 

c) w celu ochrony żywotnych interesów podmiotu danych lub innej osoby; lub

c) w celu ochrony żywotnych interesów podmiotu danych lub innej osoby; lub

d) dla zażegnania bezpośredniego i poważnego zagrożenia dla bezpieczeństwa publicznego.

d) dla zażegnania bezpośredniego i poważnego zagrożenia dla bezpieczeństwa publicznego.

 

1a. Prawo państwa członkowskiego regulujące przetwarzanie danych osobowych w ramach zakresu stosowania niniejszej dyrektywy obejmuje wyraźnie sformułowane i szczegółowe przepisy określające co najmniej:

 

a) cele przetwarzania;

 

b) dane osobowe, które mogą być przetwarzane;

 

c) konkretne cele i sposoby przetwarzania;

 

d) wyznaczenie administratora lub szczegółowe kryteria dotyczące jego wyznaczenia;

 

e) kategorie należycie uprawnionych pracowników właściwych organów do przetwarzania danych osobowych;

 

f) procedurę, którą należy stosować podczas przetwarzania;

 

g) użytek, jaki można zrobić z uzyskanych danych osobowych;

 

h) ograniczenia zakresu swobody przyznanej właściwym organom w odniesieniu do działań związanych z przetwarzaniem.

Poprawka  68

Wniosek dotyczący dyrektywy

Artykuł 7 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 7a

 

Dalsze przetwarzanie w sposób niezgodny z celami

 

1. Państwa członkowskie stanowią przepisy przewidujące, że dane osobowe mogą być dalej przetwarzane w innym celu określonym w art. 1 ust. 1, który to cel nie jest zgodny z celami, do których dane zostały pierwotnie zebrane, jedynie wtedy, gdy:

 

a) jest to bezwzględnie niezbędne i proporcjonalne w demokratycznym społeczeństwie oraz wymagane na mocy prawa unijnego lub krajowego do osiągnięcia uzasadnionego, odpowiednio zdefiniowanego i konkretnego celu;

 

b) przetwarzanie jest ściśle ograniczone do okresu nieprzekraczającego czasu niezbędnego do przeprowadzenia konkretnej operacji przetwarzania danych;

 

c) dalsze użycie w innych celach jest zakazane.

 

Przed rozpoczęciem przetwarzania państwo członkowskie konsultuje się z inspektorem ochrony danych i przeprowadza ocenę skutków w zakresie ochrony danych.

 

2. Oprócz wymogów określonych w art. 7 ust. 1a prawo państw członkowskich zezwalające na dalsze przetwarzanie, o którym mowa w ust. 1, zawiera także wyraźnie sformułowane i szczegółowe przepisy określające co najmniej:

 

a) konkretne cele i sposoby danego przetwarzania;

 

b) że prawo dostępu mają wyłącznie należycie uprawnieni pracownicy właściwych organów w ramach wykonywania powierzonych im zadań, jeżeli w konkretnym przypadku istnieją uzasadnione powody, aby sądzić, że przetwarzanie danych osobowych w znacznym stopniu przyczyni się do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo wykonywania kar kryminalnych; oraz

 

c) że ustanowione są odpowiednie gwarancje mające zapewnić ochronę praw podstawowych i wolności w związku z przetwarzaniem danych osobowych.

 

Państwa członkowskie mogą wymagać, aby dostęp do danych osobowych podlegał dodatkowym warunkom, takim jak zezwolenie sądu, zgodnie z prawem krajowym państwa członkowskiego.

 

3. Państwa członkowskie mogą również zezwolić na dalsze przetwarzanie danych osobowych do celów o charakterze historycznym, statystycznym lub naukowym, o ile ustanowią one odpowiednie gwarancje, takie jak anonimizacja danych.

Poprawka  69

Wniosek dotyczący dyrektywy

Artykuł 8

Tekst proponowany przez Komisję

Poprawka

Przetwarzanie szczególnych kategorii danych osobowych

Przetwarzanie szczególnych kategorii danych osobowych

1. Państwa członkowskie zabraniają przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, wierzenia religijne lub przekonania filozoficzne, przynależność do związków zawodowych, jak również przetwarzania danych genetycznych lub danych dotyczących zdrowia i życia seksualnego.

1. Państwa członkowskie zabraniają przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, wierzenia religijne lub przekonania filozoficzne, orientację seksualną lub tożsamość płciową, przynależność do związków zawodowych i ich działalność, jak również przetwarzania danych biometrycznych lub danych dotyczących zdrowia i życia seksualnego.

2. Ustęp 1 nie ma zastosowania, w przypadku gdy:

2. Ustęp 1 nie ma zastosowania w przypadku, gdy:

a) na przetwarzanie zezwala prawo przewidujące odpowiednie gwarancje; lub

a) przetwarzanie jest bezwzględnie niezbędne i proporcjonalne do wykonania przez właściwe organy zadania do celów określonych w art. 1 ust. 1, w oparciu o prawo Unii lub państwa członkowskiego, które przewiduje szczegółowe i odpowiednie środki ochrony uzasadnionych interesów podmiotu danych, w tym szczególne zezwolenie wydane przez organy sądowe, jeżeli wymóg taki istnieje w prawie krajowym; lub

b) przetwarzanie jest niezbędne w celu ochrony żywotnych interesów podmiotu danych lub innej osoby; lub

b) przetwarzanie jest niezbędne w celu ochrony żywotnych interesów podmiotu danych lub innej osoby; lub

c) przetwarzanie dotyczy danych osobowych, które zostały wyraźnie podane do publicznej wiadomości przez podmiot danych.

c) przetwarzanie dotyczy danych osobowych, które zostały wyraźnie podane do publicznej wiadomości przez podmiot danych, pod warunkiem że są one istotne i bezwzględnie niezbędne do osiągnięcia celu w tym konkretnym przypadku.

Poprawka  70

Wniosek dotyczący dyrektywy

Artykuł 8 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 8a

 

Przetwarzanie danych genetycznych na potrzeby śledztwa lub postępowania sądowego

 

1. Państwa członkowskie dopilnowują, by dane genetyczne mogły być wykorzystywane jedynie do ustalenia powiązania genetycznego w ramach gromadzenia materiału dowodowego, zapobiegania zagrożeniu dla bezpieczeństwa publicznego lub przeciwdziałania popełnieniu konkretnego przestępstwa. Dane genetyczne nie mogą być wykorzystywane do określania innych charakterystycznych cech, które mogą być genetycznie powiązane.

 

2. Państwa członkowskie stanowią przepisy przewidujące, że dane genetyczne lub informacje pochodzące z ich analizy mogą być przechowywane tylko przez niezbędny okres do celów, dla których dane są przetwarzane, i jeżeli odnośna osoba była skazana za popełnienie poważnego przestępstwa przeciwko życiu, zdrowiu lub bezpieczeństwu innych osób, przy czym dane te podlegają rygorystycznym okresom przechowywania, które zostaną określone w prawie państwa członkowskiego.

 

3. Państwa członkowskie dopilnowują, by dane genetyczne lub informacje pochodzące z ich analizy były przechowywane przez dłuższy okres jedynie wtedy, gdy dane genetyczne nie mogą zostać przypisane konkretnej osobie, zwłaszcza w sytuacji, gdy materiał genetyczny został znaleziony na miejscu popełnienia przestępstwa.

Poprawka  71

Wniosek dotyczący dyrektywy

Artykuł 9

Tekst proponowany przez Komisję

Poprawka

Środki oparte na profilowaniu i automatycznym przetwarzaniu

Środki oparte na profilowaniu i automatycznym przetwarzaniu

1. Państwa członkowskie stanowią przepisy przewidujące, że środki wywołujące niekorzystne skutki prawne dla podmiotu danych, lub mające na tę osobę istotny wpływ i oparte wyłącznie na automatycznym przetwarzaniu danych mającym służyć ocenie niektórych aspektów o charakterze osobistym podmiotu danych, jest zakazane, chyba że zostanie dopuszczone prawem, które przewiduje również gwarancje słusznych interesów podmiotu danych.

1. Państwa członkowskie stanowią przepisy przewidujące, że środki wywołujące skutki prawne dla podmiotu danych, lub mające na tę osobę istotny wpływ i oparte częściowo lub całkowicie na automatycznym przetwarzaniu danych mającym służyć ocenie niektórych aspektów o charakterze osobistym podmiotu danych, jest zakazane, chyba że zostanie dopuszczone prawem, które przewiduje również gwarancje uzasadnionych interesów podmiotu danych.

2. Automatyczne przetwarzanie danych osobowych, które ma służyć ocenie niektórych aspektów osobistych osoby fizycznej, nie opiera się jedynie na szczególnych kategoriach danych osobowych, o których mowa w art. 8.

2. Automatyczne przetwarzanie danych osobowych, które ma służyć ocenie niektórych aspektów osobistych osoby fizycznej, nie opiera się na szczególnych kategoriach danych osobowych, o których mowa w art. 8.

 

2a. Automatyczne przetwarzanie danych osobowych, które ma służyć wyodrębnieniu podmiotu danych bez wstępnego podejrzenia, że podmiot danych mógł popełnić lub popełni przestępstwo, jest zgodne z prawem jedynie wtedy, gdy jest ono bezwzględnie konieczne do celów prowadzenia dochodzenia w sprawie poważnego przestępstwa lub zapobiegania, na podstawie faktycznych oznak, wyraźnemu i zbliżającemu się zagrożeniu bezpieczeństwa publicznego, istnienia państwa lub życia ludzi.

 

2b. Zakazuje się wszelkiego profilowania, które w sposób zamierzony lub nie skutkuje dyskryminacją osób ze względu na ich rasę lub pochodzenie etniczne, poglądy polityczne, religię lub przekonania, przynależność do związków zawodowych, płeć lub orientację seksualną albo które w sposób zamierzony lub nie skutkuje środkami mającymi taki efekt.

Poprawka  72

Wniosek dotyczący dyrektywy

Artykuł 9 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 9a

 

Ogólne zasady dotyczące praw podmiotu danych

 

1. Państwa członkowskie dopilnowują, by podstawa ochrony danych była jasna i wiązała się z jednoznacznymi prawami podmiotu danych, których administrator danych musi przestrzegać. Przepisy niniejszej dyrektywy mają na celu wzmocnienie, doprecyzowanie, zagwarantowanie i, w stosownych przypadkach, ujednolicenie tych praw.

 

2. Państwa członkowskie dopilnowują, by takie prawa obejmowały m.in. przekazywanie jasnych i łatwo zrozumiałych informacji dotyczących kwestii takich jak przetwarzanie danych osobowych podmiotu danych, prawo dostępu do danych, ich poprawiania i usuwania, prawo do otrzymywania danych, prawo do wniesienia skargi do właściwego organu ds. ochrony danych oraz do wszczęcia postępowania sądowego, a także prawo do rekompensaty i odszkodowania w związku z niezgodnymi z prawem operacjami przetwarzania. Zasadniczo takie prawa przysługują bezpłatnie. Administrator danych rozpatruje wnioski podmiotu danych w rozsądnym terminie.

Poprawka  73

Wniosek dotyczący dyrektywy

Artykuł 10

Tekst proponowany przez Komisję

Poprawka

Tryby wykonywania praw przez podmiot danych

Tryby wykonywania praw przez podmiot danych

1. Państwa członkowskie stanowią przepisy przewidujące, że administrator podejmuje wszystkie rozsądne kroki, aby dysponować przejrzystymi i łatwo dostępnymi politykami w zakresie przetwarzania danych osobowych i wykonywania praw przez podmioty danych.

1. Państwa członkowskie stanowią przepisy przewidujące, że administrator dysponuje zwięzłymi, przejrzystymi, czytelnymi i łatwo dostępnymi politykami w zakresie przetwarzania danych osobowych i wykonywania praw przez podmioty danych.

2. Państwa członkowskie stanowią przepisy przewidujące, że wszelkie informacje i komunikaty dotyczące przetwarzania danych osobowych mają być przekazywane przez administratora podmiotowi danych w czytelnej formie, w jasnym i prostym języku.

2. Państwa członkowskie stanowią przepisy przewidujące, że wszelkie informacje i komunikaty dotyczące przetwarzania danych osobowych mają być przekazywane przez administratora podmiotowi danych w czytelnej formie, w jasnym i prostym języku, zwłaszcza w przypadku, gdy bezpośrednim adresatem informacji jest dziecko.

3. Państwa członkowskie stanowią przepisy przewidujące, że administrator podejmuje wszystkie rozsądne kroki w celu ustanowienia procedur dostarczenia informacji, o których mowa w art. 11 i wykonywania praw podmiotów danych o których mowa w art. 12-17.

3. Państwa członkowskie stanowią przepisy przewidujące, że administrator ustanawia procedury dostarczenia informacji, o których mowa w art. 11, i wykonywania praw podmiotu danych, o których mowa w art. 12–17. Jeśli przetwarzanie danych odbywa się w sposób zautomatyzowany, administrator zapewnia możliwość składania wniosków drogą elektroniczną.

4. Państwa członkowskie stanowią przepisy przewidujące, że administrator niezwłocznie informuje podmiot danych o sposobie reakcji na jego wniosek.

4. Państwa członkowskie stanowią przepisy przewidujące, że administrator niezwłocznie informuje podmiot danych o sposobie reakcji na jego wniosek, a w każdym przypadku najpóźniej w terminie jednego miesiąca od daty otrzymania wniosku. Informacji tej udziela się na piśmie. Jeśli podmiot danych składa wniosek w formie elektronicznej, informacje także przekazywane są w formie elektronicznej.

5. Państwa członkowskie stanowią przepisy przewidujące, że informacje oraz wszelkie czynności podjęte przez administratora w odpowiedzi na wniosek, o którym mowa w ust. 3 i 4, są zwolnione z opłat. Jeśli wnioski są dokuczliwe, w szczególności ze względu na składanie ich w sposób uporczywy albo ze względu na zakres wniosku, administrator może pobrać opłatę za udzielenie informacji lub podjęcie wnioskowanych czynności lub też może nie wykonać wnioskowanych czynności. W takim przypadku na administratorze spoczywa ciężar udowodnienia dokuczliwego charakteru wniosku.

5. Państwa członkowskie stanowią przepisy przewidujące, że informacje oraz wszelkie czynności podjęte przez administratora w odpowiedzi na wniosek, o którym mowa w ust. 3 i 4, są zwolnione z opłat. Jeśli wnioski są wyraźnie przesadne, w szczególności ze względu na ich powtarzający się charakter, administrator może pobrać rozsądnej wysokości opłatę, uwzględniającą koszty administracyjne za udzielenie wnioskowanych informacji lub podjęcie wnioskowanych czynności. W takim przypadku na administratorze spoczywa ciężar udowodnienia wyraźnie przesadnego charakteru wniosku.

 

5a. Państwa członkowskie mogą ustanowić przepisy przewidujące, że podmiot danych może dochodzić swoich praw bezpośrednio u administratora danych lub za pośrednictwem właściwego krajowego organu nadzorczego. Jeżeli organ nadzorczy podejmie działania na wniosek podmiotu danych, informuje on podmiot danych o przeprowadzonej weryfikacji.

Poprawka  74

Wniosek dotyczący dyrektywy

Artykuł 11

Tekst proponowany przez Komisję

Poprawka

Informacje o podmiocie danych

Informacje o podmiocie danych

1. Jeżeli zbierane są dane osobowe odnoszące się do podmiotu danych państwa członkowskie zapewniają podejmowanie przez administratora wszelkich stosownych środków w celu udzielenia podmiotowi danych co najmniej następujących informacji dotyczących:

1. Jeżeli zbierane są dane osobowe odnoszące się do podmiotu danych, państwa członkowskie zapewniają udzielanie przez administratora podmiotowi danych co najmniej następujących informacji dotyczących:

a) tożsamości i danych kontaktowych administratora i inspektora ochrony danych;

a) tożsamości i danych kontaktowych administratora i inspektora ochrony danych;

b) celów przetwarzania danych, do których dane są przeznaczone;

b) podstawy prawnej i celów przetwarzania danych, do których dane są przeznaczone;

c) okresu przechowywania danych osobowych;

c) okresu przechowywania danych osobowych;

d) istnienia prawa do wystąpienia do administratora o uzyskanie wglądu do danych, poprawienie ich, usunięcie lub ograniczenie przetwarzania danych osobowych odnoszących się podmiotu danych;

d) istnienia prawa do wystąpienia do administratora o uzyskanie wglądu do danych, poprawienie ich, usunięcie lub ograniczenie przetwarzania danych osobowych odnoszących się podmiotu danych;

e) prawa do złożenia skargi do organu nadzorczego, o którym mowa w art. 39, jak również jego danych kontaktowych;

e) prawa do złożenia skargi do organu nadzorczego, o którym mowa w art. 39, jak również jego danych kontaktowych;

f) odbiorcy lub kategorii odbiorców danych osobowych, w tym w państwach trzecich lub organizacjach międzynarodowych;

f) odbiorcy lub kategorii odbiorców danych osobowych, w tym w państwach trzecich lub organizacjach międzynarodowych, których uprawniono do dostępu do danych na mocy prawa tego państwa trzeciego lub na mocy przepisów tych organizacji międzynarodowych, istnienia lub braku decyzji Komisji w sprawie odpowiedniego stopnia ochrony lub, w razie przekazania, o którym mowa w art. 35 lub 36, środków służących uzyskaniu kopii odpowiednich gwarancji stosowanych przy przekazywaniu;

 

fa) w sytuacji, gdy administrator przetwarza dane osobowe w sposób opisany w art. 9 ust. 1 – danych na temat faktu przetwarzania w drodze środka takiego jak ten, o którym mowa w art. 9 ust. 1, oraz zamierzonych skutków tego przetwarzania dla podmiotu danych, informacji o zasadach stosowanych przy profilowaniu oraz o prawie do oceny ze strony człowieka;

 

fb) środków bezpieczeństwa podjętych w celu ochrony danych osobowych;

g) wszelkich dalszych informacji o ile są one potrzebne do zagwarantowania rzetelnego przetwarzania danych w stosunku do podmiotu danych uwzględniając szczególne okoliczności, w których dane osobowe są przetwarzane.

g) wszelkich dalszych informacji o ile są one potrzebne do zagwarantowania rzetelnego przetwarzania danych w stosunku do podmiotu danych uwzględniając szczególne okoliczności, w których dane osobowe są przetwarzane.

2. W przypadku zbierania danych osobowych od podmiotu danych administrator, poza przekazaniem informacji, o których mowa w ust. 1, informuje podmiot danych o tym, czy przekazanie danych osobowych jest obowiązkowe czy dobrowolne, a także o ewentualnych skutkach braku przekazania tych danych.

2. W przypadku zbierania danych osobowych od podmiotu danych administrator, poza przekazaniem informacji, o których mowa w ust. 1, informuje podmiot danych o tym, czy przekazanie danych osobowych jest obowiązkowe czy dobrowolne, a także o ewentualnych skutkach braku przekazania tych danych.

3. Administrator udziela informacji, o których mowa w ust. 1:

3. Administrator udziela informacji, o których mowa w ust. 1:

a) w momencie uzyskania danych osobowych od podmiotu danych; lub

a) w momencie uzyskania danych osobowych od podmiotu danych; lub

b) jeżeli dane osobowe nie są zbierane od podmiotu danych w momencie ich rejestrowania lub w rozsądnym terminie po zebraniu danych, uwzględniając szczególne okoliczności, w których dane osobowe są przetwarzane.

b) jeżeli dane osobowe nie są zbierane od podmiotu danych w momencie ich rejestrowania lub w rozsądnym terminie po zebraniu danych, uwzględniając szczególne okoliczności, w których dane osobowe są przetwarzane.

4. Państwa członkowskie mogą przyjąć środki legislacyjnej opóźniające, ograniczające, lub uchylające udzielenie informacji podmiotowi danych, o ile takie częściowe lub całkowite ograniczenie stanowi konieczny i proporcjonalny środek w demokratycznym społeczeństwie, przy należytym uwzględnieniu słusznych interesów danej osoby:

4. Państwa członkowskie mogą przyjąć środki legislacyjne opóźniające lub ograniczające udzielenie informacji podmiotowi danych w konkretnym przypadku, o ile takie częściowe lub całkowite ograniczenie stanowi konieczny i proporcjonalny środek w demokratycznym społeczeństwie, przy należytym uwzględnieniu praw podstawowych i uzasadnionych interesów danej osoby:

a) aby zapobiec utrudnianiu urzędowych lub innych prawnych dochodzeń, śledztw lub procedur;

a) aby zapobiec utrudnianiu urzędowych lub innych prawnych dochodzeń, śledztw lub procedur;

b) aby zapobiec negatywnemu wpływowi na zapobieganie przestępstwom, wykrywanie ich, prowadzenie dochodzeń w ich sprawie i ich ściganie lub wykonywanie kar kryminalnych;

b) aby zapobiec negatywnemu wpływowi na zapobieganie przestępstwom, wykrywanie ich, prowadzenie dochodzeń w ich sprawie i ich ściganie lub wykonywanie kar kryminalnych;

c) aby chronić bezpieczeństwo publiczne;

c) aby chronić bezpieczeństwo publiczne;

d) aby chronić bezpieczeństwo narodowe;

d) aby chronić bezpieczeństwo narodowe;

e) aby chronić prawa i wolności innych osób.

e) aby chronić prawa i wolności innych osób.

5. Państwa członkowskie mogą ustalić kategorie przetwarzania danych, które mogą zostać objęte w całości lub części wyjątkami przewidzianymi w ust. 4.

5. Państwa członkowskie stanowią przepisy przewidujące, że administrator dokonuje oceny, w każdym konkretnym przypadku, za pośrednictwem konkretnego i indywidualnego badania, czy zastosowanie ma częściowe lub całkowite ograniczenie ze względu na jeden z powodów, o których mowa w ust. 4. Państwa członkowskie mogą także ustalić przepisami prawa kategorie przetwarzania danych, które mogą zostać objęte w całości lub części wyjątkami przewidzianymi w ust. 4 lit. a), b), c) i d).

Poprawka  75

Wniosek dotyczący dyrektywy

Artykuł 12

Tekst proponowany przez Komisję

Poprawka

Prawo podmiotu danych do dostępu do danych

Prawo podmiotu danych do dostępu do danych

1. Państwa członkowskie stanowią przepisy przewidujące prawo podmiotów danych do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe odnoszące się do nich. W przypadku przetwarzania takich danych osobowych administrator przekazuje następujące informacje:

1. Państwa członkowskie stanowią przepisy przewidujące prawo podmiotu danych do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe odnoszące się do niego. W przypadku przetwarzania takich danych osobowych administrator przekazuje następujące informacje, o ile nie zostały jeszcze przekazane:

 

- a) przekazanie danych osobowych podlegających przetwarzaniu i wszelkich dostępnych informacji o ich źródle i, w stosownych przypadkach, zrozumiałych informacji o zasadach rządzących wszelkimi operacjami automatycznego przetwarzania;

 

- aa) znaczenie i przewidywane skutki takiego przetwarzania, co najmniej w przypadku środków, o których mowa w art. 9;

a) celów przetwarzania;

a) cele przetwarzania oraz podstawę prawną przetwarzania;

b) kategorie przedmiotowych danych osobowych;

b) kategorie przedmiotowych danych osobowych;

c) odbiorcy lub kategorie odbiorców, którym dane osobowe zostały ujawnione, w szczególności odbiorcy w państwach trzecich;

c) odbiorcy, którym dane osobowe zostały ujawnione, w szczególności odbiorcy w państwach trzecich;

d) okresu przechowywania danych osobowych;

d) okresu przechowywania danych osobowych;

e) istnienie prawa do wystąpienia do administratora o poprawienie, usunięcie lub ograniczenie przetwarzania danych osobowych odnoszących się do podmiotu danych;

e) istnienie prawa do wystąpienia do administratora o poprawienie, usunięcie lub ograniczenie przetwarzania danych osobowych odnoszących się do podmiotu danych;

f) prawo do złożenia skargi do organu nadzorczego oraz dane kontaktowe organu nadzorczego;

f) prawo do złożenia skargi do organu nadzorczego oraz dane kontaktowe organu nadzorczego;

g) przekazanie danych osobowych podlegających przetwarzaniu i wszelkich dostępnych informacji o ich źródle.

 

2. Państwa członkowskie stanowią przepisy przewidujące prawo podmiotu danych do uzyskania od administratora kopii danych osobowych poddawanych przetwarzaniu.

2. Państwa członkowskie stanowią przepisy przewidujące prawo podmiotu danych do uzyskania od administratora kopii danych osobowych poddawanych przetwarzaniu. Jeśli podmiot danych składa wniosek w formie elektronicznej, informacje także przekazywane są w formie elektronicznej, chyba że podmiot danych zażąda informacji w innej formie.

(Ust. 1 lit. g) w tekście Komisji staje się w poprawce Parlamentu częścią ust. 1 lit. - aa))

Poprawka  76

Wniosek dotyczący dyrektywy

Artykuł 13

Tekst proponowany przez Komisję

Poprawka

Ograniczenia prawa do dostępu

Ograniczenia prawa do dostępu

1. Państwa członkowskie mogą przyjąć środki legislacyjnej ograniczające, w całości lub w części, prawo dostępu podmiotu danych o ile takie częściowe lub całkowite ograniczenie stanowi konieczny i proporcjonalny środek w demokratycznym społeczeństwie, przy należytym uwzględnieniu słusznych interesów danej osoby:

1. Państwa członkowskie mogą przyjąć środki legislacyjne ograniczające w całości lub w części, w zależności od przypadku, prawo dostępu podmiotu danych w zakresie i przez okres, w którym takie częściowe lub całkowite ograniczenie stanowi bezwzględnie konieczny i proporcjonalny środek w demokratycznym społeczeństwie, przy należytym uwzględnieniu praw podstawowych i uzasadnionych interesów danej osoby:

a) aby zapobiec utrudnianiu urzędowych lub innych prawnych dochodzeń, śledztw lub procedur;

a) aby zapobiec utrudnianiu urzędowych lub innych prawnych dochodzeń, śledztw lub procedur;

b) aby zapobiec negatywnemu wpływowi na zapobieganie przestępstwom, wykrywanie ich, prowadzenie dochodzeń w ich sprawie i ich ściganie lub wykonywanie kar kryminalnych;

b) aby zapobiec negatywnemu wpływowi na zapobieganie przestępstwom, wykrywanie ich, prowadzenie dochodzeń w ich sprawie i ich ściganie lub wykonywanie kar kryminalnych;

c) aby chronić bezpieczeństwo publiczne;

c) aby chronić bezpieczeństwo publiczne;

d) aby chronić bezpieczeństwo narodowe;

d) aby chronić bezpieczeństwo narodowe;

e) aby chronić prawa i wolności innych osób.

e) aby chronić prawa i wolności innych osób.

2. Państwa członkowskie mogą ustalić przepisami prawa kategorie przetwarzania danych, które mogą zostać objęte w całości lub części wyjątkami przewidzianymi w ust. 1.

2. Państwa członkowskie stanowią przepisy przewidujące, że administrator dokonuje oceny, w każdym konkretnym przypadku, za pośrednictwem konkretnego i indywidualnego badania, czy zastosowanie ma częściowe lub całkowite ograniczenie ze względu na jeden z powodów, o których mowa w ust. 1. Państwa członkowskie mogą także ustalić przepisami prawa kategorie przetwarzania danych, które mogą zostać objęte w całości lub części wyjątkami przewidzianymi w ust. 1 lit. a)–d).

3. W przypadkach, o których mowa w ust. 1 i 2, państwa członkowskie stanowią przepisy przewidujące, że administrator informuje podmiot danych, na piśmie o wszelkich odmowach lub ograniczeniu dostępu, o przyczynach odmowy oraz możliwości złożenia skargi do organu nadzorczego i wystąpienia o sądowy środek ochrony prawnej. Można nie podawać informacji o faktycznych i prawnych przyczynach wydania decyzji jeżeli ich udzielenie utrudniłoby realizację celu wynikającego z ust. 1.

3. W przypadkach, o których mowa w ust. 1 i 2, państwa członkowskie stanowią przepisy przewidujące, że administrator bez zbędnej zwłoki informuje podmiot danych na piśmie o wszelkich odmowach lub ograniczeniu dostępu wraz z umotywowanym wyjaśnieniem oraz o możliwości złożenia skargi do organu nadzorczego i wystąpienia o sądowy środek ochrony prawnej. Można nie podawać informacji o faktycznych i prawnych przyczynach wydania decyzji jeżeli ich udzielenie utrudniłoby realizację celu wynikającego z ust. 1.

4. Państwa członkowskie zapewniają, by administrator dokumentował przyczyny nieprzekazania informacji o faktycznych lub prawnych przyczynach wydania decyzji.

4. Państwa członkowskie dopilnowują, by administrator dokumentował ocenę, o której mowa w ust. 2, a także przyczyny ograniczenia informacji o faktycznych lub prawnych przyczynach wydania decyzji. Powyższe informacje udostępnia się krajowym organom nadzorczym.

Poprawka  77

Wniosek dotyczący dyrektywy

Artykuł 14

Tekst proponowany przez Komisję

Poprawka

Tryby korzystania z prawa do dostępu

Tryby korzystania z prawa do dostępu

1. Państwa członkowskie stanowią przepisy przewidujące że podmiot danych, ma prawo do zwrócenia się, w szczególności w przypadkach, o których mowa w art. 13, do organu nadzorczego o sprawdzenie zgodności z prawem przetwarzania.

1. Państwa członkowskie stanowią przepisy przewidujące, że podmiot danych ma w każdym momencie prawo do zwrócenia się, w szczególności w przypadkach, o których mowa w art. 12 i 13, do organu nadzorczego o sprawdzenie zgodności z prawem przetwarzania.

2. Państwa członkowskie stanowią, że administrator informuje podmiot danych o prawie od zwrócenia się do organu nadzorczego o interwencję na mocy ust. 1.

2. Państwa członkowskie stanowią, że administrator informuje podmiot danych o prawie od zwrócenia się do organu nadzorczego o interwencję na mocy ust. 1.

3. W przypadku skorzystania z prawa, o którym mowa w ust. 1, organ nadzorczy informuje podmiot danych przynajmniej o dokonaniu przez ten organ wszystkich niezbędnych weryfikacji oraz o ich wynikach w odniesieniu do zgodności z prawem danej operacji przetwarzania.

3. W przypadku skorzystania z prawa, o którym mowa w ust. 1, organ nadzorczy informuje podmiot danych przynajmniej o dokonaniu przez ten organ wszystkich niezbędnych weryfikacji oraz o ich wynikach w odniesieniu do zgodności z prawem danej operacji przetwarzania. Organ nadzorczy informuje także podmiot danych o jego prawie do uzyskania sądowych środków ochrony prawnej.

 

3a. Państwa członkowskie mogą ustanowić przepisy przewidujące, że podmiot danych może dochodzić swoich praw bezpośrednio u administratora danych lub za pośrednictwem właściwego organu nadzorczego.

 

3b. Państwa członkowskie zapewniają istnienie rozsądnych terminów rozpatrzenia przez administratora danych wniosku podmiotu danych dotyczącego skorzystania przez niego z prawa dostępu.

Poprawka  78

Wniosek dotyczący dyrektywy

Artykuł 15

Tekst proponowany przez Komisję

Poprawka

Prawo do poprawienia

Prawo do poprawienia lub uzupełnienia

1. Państwa członkowskie stanowią przepisy przewidujące, że podmiot danych, ma prawo do uzyskania od administratora poprawienia niedokładnych danych osobowych, które go dotyczą. Podmiot danych, ma prawo do uzyskania uzupełnienia niekompletnych danych osobowych, w szczególności w drodze sprostowania.

1. Państwa członkowskie stanowią przepisy przewidujące, że podmiot danych ma prawo do uzyskania od administratora poprawienia lub uzupełnienia niedokładnych lub niepełnych danych osobowych, które go dotyczą, w szczególności w drodze uzupełnienia lub sprostowania.

2. Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje podmiot danych, na piśmie, o wszelkich odmowach poprawienia danych, o przyczynach odmowy oraz możliwości złożenia skargi do organu nadzorczego i wystąpienia o sądowy środek ochrony prawnej.

2. Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje podmiot danych na piśmie o wszelkich odmowach poprawienia lub uzupełnienia danych wraz z umotywowanym wyjaśnieniem oraz o możliwości złożenia skargi do organu nadzorczego i wystąpienia o sądowy środek ochrony prawnej.

 

2a. Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje o wszelkich operacjach poprawienia każdego odbiorcę, któremu ujawniono dane, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

 

2b. Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje o poprawieniu niedokładnych danych osobowych stronę trzecią, od której pochodzą niedokładne dane.

 

2c. Państwa członkowskie stanowią przepisy przewidujące, że podmiot danych może dochodzić swoich praw również za pośrednictwem właściwego organu nadzorczego.

Poprawka  79

Wniosek dotyczący dyrektywy

Artykuł 16

Tekst proponowany przez Komisję

Poprawka

Prawo do usunięcia

Prawo do usunięcia

1. Państwa członkowskie stanowią przepisy przewidujące, że podmiot danych ma prawo uzyskania od administratora usunięcia danych osobowych odnoszących się do niego, jeżeli przetwarzanie jest niezgodne z przepisami przyjętymi na mocy art. 4 lit. a)-e), art. 7 i 8 niniejszej dyrektywy.

1. Państwa członkowskie stanowią przepisy przewidujące, że podmiot danych ma prawo uzyskania od administratora usunięcia danych osobowych, które go dotyczą, jeżeli przetwarzanie jest niezgodne z przepisami przyjętymi na mocy art. 4, 6 i 7–8 niniejszej dyrektywy.

2. Administrator usuwa dane niezwłocznie.

2. Administrator usuwa dane niezwłocznie. Administrator powstrzymuje się również od dalszego rozpowszechniania takich danych.

3. Zamiast usunąć je, administrator oznacza dane osobowe jeżeli:

3. Zamiast usunąć je, administrator ogranicza przetwarzanie danych osobowych, jeżeli:

a) podmiot danych kwestionuje ich dokładność, przez okres pozwalający administratorowi danych na sprawdzenie dokładności danych;

a) podmiot danych kwestionuje ich dokładność, przez okres pozwalający administratorowi danych na sprawdzenie dokładności danych;

b) dane osobowe muszą być zachowane do celów dowodowych;

b) dane osobowe muszą być zachowane do celów dowodowych lub w celu ochrony żywotnych interesów podmiotu danych lub innej osoby.

c) podmiot danych sprzeciwia się ich usunięciu, występując w zamian o ograniczenie ich używania.

 

 

3a. Jeżeli przetwarzanie danych osobowych jest ograniczone na mocy ust. 3, administrator informuje podmiot danych przed zniesieniem ograniczenia dotyczącego przetwarzania.

4. Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje podmiot danych, na piśmie o wszelkich odmowach usunięcia lub oznaczenia danych, o przyczynach odmowy oraz możliwości złożenia skargi do organu nadzorczego i wystąpienia o sądowy środek ochrony prawnej.

4. Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje podmiot danych na piśmie o wszelkich odmowach usunięcia lub ograniczenia przetwarzania danych wraz z umotywowanym wyjaśnieniem, o przyczynach odmowy oraz o możliwości złożenia skargi do organu nadzorczego i wystąpienia o sądowy środek ochrony prawnej.

 

4a. Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje odbiorców, którym te dane zostały przesłane, o wszelkich operacjach usunięcia lub ograniczenia przetwarzania dokonanych zgodnie z ust. 1, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje podmiot danych o tych osobach trzecich.

 

4b. Państwa członkowskie mogą ustanowić przepisy przewidujące, że podmiot danych może dochodzić swoich praw bezpośrednio u administratora danych lub za pośrednictwem właściwego organu nadzorczego.

Poprawka  80

Wniosek dotyczący dyrektywy

Artykuł 18

Tekst proponowany przez Komisję

Poprawka

Odpowiedzialność administratora

Odpowiedzialność administratora

1. Państwa członkowskie stanowią przepisy przewidujące, że administrator przyjmuje polityki i realizuje odpowiednie środki w celu zapewnienia, by przetwarzanie danych osobowych odbywało się zgodnie z przepisami przyjętymi na mocy niniejszej dyrektywy.

1. Państwa członkowskie stanowią przepisy przewidujące, że administrator przyjmuje polityki i realizuje odpowiednie środki w celu zapewnienia i wykazania w przejrzysty sposób w przypadku każdej operacji przetwarzania, że przetwarzanie danych osobowych odbywa się zgodnie z przepisami przyjętymi na mocy niniejszej dyrektywy, zarówno podczas ustalania środków niezbędnych do przetwarzania, jak i w trakcie samego przetwarzania.

2. Środki, o których mowa w ust. 1 obejmują w szczególności:

2. Środki, o których mowa w ust. 1 obejmują w szczególności:

a) prowadzenie dokumentacji, o której mowa w art. 23;

a) prowadzenie dokumentacji, o której mowa w art. 23;

 

aa) przeprowadzanie oceny skutków w zakresie ochrony danych zgodnie z art. 25a;

b) spełnianie wymogu wcześniejszej konsultacji wynikającego z art. 26;

b) spełnianie wymogu wcześniejszej konsultacji wynikającego z art. 26;

c) realizację wymogów bezpieczeństwa danych ustanowionych w art. 27;

c) realizację wymogów bezpieczeństwa danych ustanowionych w art. 27;

d) wyznaczenie inspektora ochrony danych na mocy art. 30.

d) wyznaczenie inspektora ochrony danych na mocy art. 30;

 

da) w stosownych przypadkach, opracowanie i wdrożenie szczególnych gwarancji w odniesieniu do postępowania z danymi osobowymi dotyczącymi dzieci.

3. Administrator wdraża mechanizmy służące zapewnieniu weryfikacji skuteczności środków, o których mowa w ust. 1 niniejszego artykułu. Jeżeli jest to proporcjonalne, weryfikacja ta prowadzona jest przez niezależnych wewnętrznych lub zewnętrznych audytorów.

3. Administrator wdraża mechanizmy służące zapewnieniu weryfikacji adekwatności i skuteczności środków, o których mowa w ust. 1 niniejszego artykułu. Jeżeli jest to proporcjonalne, weryfikacja ta prowadzona jest przez niezależnych wewnętrznych lub zewnętrznych audytorów.

Poprawka  81

Wniosek dotyczący dyrektywy

Artykuł 19

Tekst proponowany przez Komisję

Poprawka

Uwzględnienie ochrony danych już w fazie projektowania oraz ochrona danych jako opcja domyślna

Uwzględnienie ochrony danych już w fazie projektowania oraz ochrona danych jako opcja domyślna

1. Państwa członkowskie stanowią przepisy przewidujące, że administrator wdraża odpowiednie środki i procedury techniczne i organizacyjne, uwzględniając najnowsze osiągnięcia techniczne oraz koszty wdrożenia, tak by przetwarzanie odpowiadało wymogom przepisów przyjętych na mocy niniejszej dyrektywy oraz gwarantowało ochronę praw osób, których dane dotyczą.

1. Państwa członkowskie stanowią przepisy przewidujące, że administrator i ewentualny podmiot przetwarzający, zarówno podczas ustalania celów i środków niezbędnych do przetwarzania, jak i w trakcie samego przetwarzania, wdraża odpowiednie i proporcjonalne środki i procedury techniczne i organizacyjne, uwzględniając najnowsze osiągnięcia techniczne, aktualną wiedzę techniczną, najlepsze praktyki na szczeblu międzynarodowym oraz ryzyko, jakie stwarza przetwarzanie danych, tak by przetwarzanie odpowiadało wymogom przepisów przyjętych na mocy niniejszej dyrektywy oraz gwarantowało ochronę praw podmiotów danych, zwłaszcza w odniesieniu do zasad określonych w art. 4. Ochrona danych już w fazie projektowania powinna w szczególności uwzględniać cały cykl zarządzania danymi osobowymi od ich zebrania, przez przetwarzanie, do ich usunięcia, systematycznie koncentrując się na całościowych zabezpieczeniach proceduralnych odnoszących się do dokładności, poufności, integralności, bezpieczeństwa fizycznego i usunięcia danych osobowych. Jeśli administrator przeprowadził ocenę skutków w zakresie ochrony danych zgodnie z art. 25a, jej wyniki uwzględnia się przy opracowywaniu wspomnianych środków i procedur.

2. Kontroler wdraża mechanizmy służące zapewnieniu, by domyślnie przetwarzane były jedynie te dane osobowe, które są niezbędne do realizacji celów przetwarzania.

2. Administrator dopilnowuje, by domyślnie przetwarzane były jedynie te dane osobowe, które są niezbędne do realizacji każdego konkretnego celu przetwarzania oraz by w szczególności nie były one zbierane, zatrzymywane lub rozpowszechniane dłużej niż przez okres niezbędny do realizacji tych celów, zarówno jeśli chodzi o ilość danych, jak i o okres ich przechowywania. Mechanizmy te zapewniają w szczególności, by dane osobowe nie były domyślnie udostępniane nieograniczonej liczbie osób oraz by podmioty danych były w stanie kontrolować rozpowszechnianie swoich danych osobowych.

Poprawka  82

Wniosek dotyczący dyrektywy

Artykuł 20

Tekst proponowany przez Komisję

Poprawka

Współadministratorzy

Współadministratorzy

Państwa członkowskie stanowią przepisy przewidujące, że gdy administrator określa cele, warunki i środki przetwarzania danych osobowych wspólnie z innymi administratorami, współadministratorzy muszą ustalić zakres odpowiedzialności za zgodność z obowiązkami wynikającymi z niniejszego rozporządzenia spoczywającej na każdym z nich, w szczególności w odniesieniu do procedur i mechanizmów wykonywania praw podmiotu danych w drodze wspólnych uzgodnień.

1. Państwa członkowskie stanowią przepisy przewidujące, że gdy administrator określa cele, warunki i środki przetwarzania danych osobowych wspólnie z innymi administratorami, współadministratorzy muszą ustalić zakres odpowiedzialności za zgodność z obowiązkami wynikającymi z niniejszego rozporządzenia spoczywającej na każdym z nich, w szczególności w odniesieniu do procedur i mechanizmów wykonywania praw podmiotu danych w drodze wspólnych prawnie wiążących uzgodnień.

 

2. O ile podmiot danych nie został poinformowany o tym, który ze współadministratorów jest odpowiedzialny zgodnie z ust. 1, podmiot danych może skorzystać ze swoich praw na mocy niniejszej dyrektywy wobec każdego spośród dwóch lub większej liczby współadministratorów.

Poprawka  83

Wniosek dotyczący dyrektywy

Artykuł 21

Tekst proponowany przez Komisję

Poprawka

Podmiot przetwarzający

Podmiot przetwarzający

1. Państwa członkowskie stanowią przepisy przewidujące, że gdy operacja przetwarzania realizowana jest w imieniu administratora, administrator musi wybrać podmiot przetwarzający dający wystarczające gwarancje wdrożenia odpowiednich środków i procedur technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom przepisów przyjętych na mocy niniejszej dyrektywy oraz gwarantowało ochronę praw osób, których dane dotyczą.

1. Państwa członkowskie stanowią przepisy przewidujące, że gdy operacja przetwarzania realizowana jest w imieniu administratora, administrator wybiera podmiot przetwarzający dający wystarczające gwarancje wdrożenia odpowiednich środków i procedur technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom przepisów przyjętych na mocy niniejszej dyrektywy oraz gwarantowało ochronę praw podmiotów danych, w szczególności jeśli chodzi o techniczne środki bezpieczeństwa i środki organizacyjne regulujące przetwarzanie, które ma być prowadzone, oraz w celu zapewnienia zgodności z tym środkami.

2. Państwa członkowskie stanowią przepisy przewidujące, że przetwarzanie przez podmiot przetwarzający musi być regulowane aktem prawnym wiążącym podmiot przetwarzający z administratorem i zawierającym w szczególności zapis, że podmiot przetwarzający działa wyłącznie na polecenie administratora, w szczególności gdy przekazywanie danych osobowych jest zakazane.

2. Państwa członkowskie stanowią przepisy przewidujące, że przetwarzanie przez podmiot przetwarzający musi być regulowane umową lub aktem prawnym wiążącym podmiot przetwarzający z administratorem i zawierającym w szczególności zapis, że podmiot przetwarzający:

 

a) działa wyłącznie na polecenie administratora;

 

b) zatrudnia wyłącznie personel, który zgodził się na podleganie obowiązkowi zachowania poufności lub na którym spoczywa ustawowy obowiązek zachowania poufności;

 

c) podejmuje wszelkie wymagane środki na mocy art. 27;

 

d) angażuje inny podmiot przetwarzający wyłącznie za zgodą administratora i w związku z tym informuje go o zamiarze zaangażowania innego podmiotu przetwarzającego z odpowiednim wyprzedzeniem, aby administrator miał możliwość wyrażenia swojego sprzeciwu;

 

e) o ile to możliwe ze względu na charakter przetwarzania, przyjmuje w porozumieniu z administratorem niezbędne techniczne i organizacyjne środki służące wywiązaniu się przez administratora ze spoczywającego na nim obowiązku rozpatrzenia wniosków dotyczących skorzystania przez podmiot danych z praw ustanowionych w rozdziale III;

 

f) pomaga administratorowi zapewnić zgodność z obowiązkami określonymi w art. 25a–29;

 

g) po zakończeniu przetwarzania zwraca wszystkie wyniki administratorowi i nie przetwarza w żaden inny sposób danych osobowych oraz usuwa istniejące kopie, chyba że prawo Unii lub państwa członkowskiego wymaga ich przechowywania;

 

h) udostępnia administratorowi i organowi nadzorczemu wszelkie informacje niezbędne do weryfikacji zgodności z obowiązkami określonymi w niniejszym artykule;

 

i) uwzględnia zasadę ochrony danych już w fazie projektowania oraz jako opcji domyślnej.

 

2a. Administrator i podmiot przetwarzający sporządzają pisemną dokumentację zaleceń administratora i obowiązków podmiotu przetwarzającego, o których mowa w ust. 2.

3. Jeśli podmiot przetwarzający przetwarza dane osobowe inne, niż te, których przetwarzanie zlecił administrator, podmiot przetwarzający jest uważany za administratora w zakresie tego przetwarzania i podlega przepisom dotyczącym współadministratorów ustanowionym w art. 20.

3. Jeśli podmiot przetwarzający przetwarza dane osobowe inne, niż te, których przetwarzanie zlecił administrator, podmiot przetwarzający jest uważany za administratora w zakresie tego przetwarzania i podlega przepisom dotyczącym współadministratorów ustanowionym w art. 20.

Poprawka  84

Wniosek dotyczący dyrektywy

Artykuł 22 – ustęp 1 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

1a. Jeżeli podmiot przetwarzający jest lub staje się stroną określającą cele, środki lub metody przetwarzania danych albo nie działa wyłącznie na polecenie administratora, uważa się go za współadministratora na mocy art. 20.

Poprawka  85

Wniosek dotyczący dyrektywy

Artykuł 23

Tekst proponowany przez Komisję

Poprawka

Dokumentacja

Dokumentacja

1. Państwa członkowskie przyjmują przepisy przewidujące, że każdy administrator i podmiot przetwarzający prowadzą dokumentację wszystkich systemów i procedur przetwarzania, za które są odpowiedzialni.

1. Państwa członkowskie stanowią przepisy przewidujące, że każdy administrator i podmiot przetwarzający prowadzą dokumentację wszystkich systemów i procedur przetwarzania, za które są odpowiedzialni.

2. Dokumentacja zawiera przynajmniej informacje na temat:

2. Dokumentacja zawiera przynajmniej następujące informacje:

a) imienia i nazwiska/nazwy oraz danych kontaktowych administratora lub współadministratora albo podmiotu przetwarzającego;

a) imię i nazwisko/nazwę oraz dane kontaktowe administratora lub współadministratora albo podmiotu przetwarzającego;

 

aa) w przypadku istnienia współadministratorów – prawnie wiążących uzgodnień; wykaz podmiotów przetwarzających i prowadzonych przez nie działań;

b) celów przetwarzania;

b) cele przetwarzania;

 

ba) wskazanie części struktury organizacyjnej administratora lub podmiotu przetwarzającego, którym powierzono przetwarzanie danych osobowych dla realizacji konkretnego celu;

 

bb) opis jednej lub kilku kategorii podmiotów danych oraz danych lub kategorii danych z nimi związanych;

c) odbiorców lub kategorii odbiorców danych osobowych;

c) odbiorcy lub kategorie odbiorców danych osobowych;

 

ca) w stosownych przypadkach – informacje o istnieniu profilowania, środków opartych na profilowaniu oraz mechanizmów sprzeciwu wobec profilowania;

 

cb) zrozumiałe informacje o zasadach rządzących wszelkimi operacjami automatycznego przetwarzania;

d) przekazywania danych do państw trzecich lub organizacji międzynarodowej, łącznie z określeniem tego państwa trzeciego lub organizacji międzynarodowej.

d) przekazywanie danych do państw trzecich lub organizacji międzynarodowej, łącznie z określeniem tego państwa trzeciego lub organizacji międzynarodowej, oraz przepisy stanowiące podstawę prawną przekazywania danych; w przypadku, gdy przekazywanie odbywa się na podstawie art. 35 lub 36 niniejszej dyrektywy, udziela się merytorycznego wyjaśnienia;

 

da) terminy usunięcia różnych kategorii danych;

 

db) wyniki weryfikacji środków, o których mowa w art. 18 ust. 1;

 

dc) wskazanie podstawy prawnej operacji przetwarzania, dla której dane są przeznaczone.

3. Administrator i podmiot przetwarzający udostępniają dokumentację, na żądanie, organowi nadzorczemu.

3. Administrator i podmiot przetwarzający udostępniają na żądanie całą dokumentację organowi nadzorczemu.

Poprawka  86

Wniosek dotyczący dyrektywy

Artykuł 24

Tekst proponowany przez Komisję

Poprawka

Prowadzenie ewidencji

Prowadzenie ewidencji

1. Państwa członkowskie zapewniają ewidencjonowanie przynajmniej następujących operacji przetwarzania: zbieranie, zmiana, wgląd, ujawnianie, łączenie i usuwanie. W ewidencji uzyskiwania wglądu i ujawniania podaje się w szczególności cel, datę i godzinę takich operacji oraz, w możliwym zakresie, oznaczenie osoby, która uzyskała wgląd do danych osobowych lub ujawniła je.

1. Państwa członkowskie zapewniają ewidencjonowanie przynajmniej następujących operacji przetwarzania: zbieranie, zmiana, wgląd, ujawnianie, łączenie i usuwanie. W ewidencji uzyskiwania wglądu i ujawniania podaje się w szczególności cel, datę i godzinę takich operacji oraz, w możliwym zakresie, oznaczenie osoby, która uzyskała wgląd do danych osobowych lub ujawniła je, a także tożsamość odbiorców takich danych.

2. Ewidencja wykorzystywana jest wyłącznie w celu weryfikacji zgodności z prawem przetwarzania danych, monitorowania własnej działalności oraz zagwarantowania integralności i bezpieczeństwa danych.

2. Ewidencja wykorzystywana jest wyłącznie w celu weryfikacji zgodności z prawem przetwarzania danych, monitorowania własnej działalności oraz zagwarantowania integralności i bezpieczeństwa danych lub w celu kontroli przeprowadzanej przez inspektora ochrony danych lub przez organ ds. ochrony danych.

 

2a. Administrator i podmiot przetwarzający udostępniają ewidencję organowi nadzorczemu na żądanie.

Poprawka  87

Wniosek dotyczący dyrektywy

Artykuł 25

Tekst proponowany przez Komisję

Poprawka

Współpraca z organem nadzorczym

Współpraca z organem nadzorczym

1. Przepisy państw członkowskich przewidują, że administrator i podmiot przetwarzający na żądanie organu nadzorczego współpracują z nim w wykonywaniu jego obowiązków, w szczególności poprzez dostarczanie wszelkich informacji potrzebnych organowi nadzorczemu do wykonywania jego obowiązków.

1. Przepisy państw członkowskich przewidują, że administrator i podmiot przetwarzający na żądanie organu nadzorczego współpracują z nim w wykonywaniu jego obowiązków, w szczególności poprzez dostarczanie informacji, o których mowa w art. 46 ust. 2 lit. a), oraz poprzez przyznanie dostępu zgodnie z art. 46 ust. 2 lit. b).

2. Administrator i podmiot przetwarzający udzielają odpowiedzi na zapytanie organu nadzorczego wykonującego uprawnienia przekazane mu na podstawie art. 46 lit. a) i b) w rozsądnym terminie. Odpowiedź na uwagi organu nadzorczego zawiera opis podjętych środków i osiągniętych rezultatów.

2. Administrator i podmiot przetwarzający udzielają odpowiedzi na zapytanie organu nadzorczego wykonującego uprawnienia przekazane mu na podstawie art. 46 ust. 1 lit. a) i b) w rozsądnym terminie określonym przez ten organ. Odpowiedź na uwagi organu nadzorczego zawiera opis podjętych środków i osiągniętych rezultatów.

Poprawka  88

Wniosek dotyczący dyrektywy

Artykuł 25 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 25a

 

Ocena skutków w zakresie ochrony danych

 

1. Państwa członkowskie stanowią przepisy przewidujące, że w przypadku, gdy operacje przetwarzania – z racji swego charakteru, zakresu lub celów – mogą stwarzać szczególne ryzyko dla praw i wolności podmiotów danych administrator lub podmiot przetwarzający działający w imieniu administratora przeprowadził ocenę skutków zamierzonych systemów i procedur przetwarzania dla ochrony danych osobowych przed przystąpieniem do nowych operacji przetwarzania lub najwcześniej, jak to możliwe, w przypadku istniejących operacji przetwarzania.

 

2. Szczególne ryzyko, o którym mowa w ust. 1, mogą stwarzać w szczególności następujące operacje przetwarzania:

 

a) przetwarzanie danych osobowych w wielkoskalowych zbiorach danych na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych;

 

b) przetwarzanie szczególnych kategorii danych osobowych, o których mowa w art. 8, danych osobowych dotyczących dzieci, a także danych biometrycznych na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych;

 

c) ocena indywidualnych aspektów osoby fizycznej bądź analizowanie lub przewidywanie w szczególności zachowania osoby fizycznej, które opierają się na automatycznym przetwarzaniu i z których mogą wynikać środki wywołujące skutki prawne dotyczące danej osoby lub mające na nią istotny wpływ;

 

d) monitorowanie publicznie dostępnych miejsc, zwłaszcza z wykorzystaniem urządzeń optyczno-elektronicznych (wideonadzór); lub

 

e) inne operacje przetwarzania, które na mocy art. 26 ust. 1 wymagają konsultacji z organem nadzorczym.

 

3. Ocena obejmuje przynajmniej:

 

a) systematyczny opis zamierzonych operacji przetwarzania;

 

b) ocenę konieczności operacji przetwarzania i ich proporcjonalności w stosunku do celów;

 

c) ocenę ryzyka dla praw i wolności podmiotów danych oraz środki przewidywane w celu zaradzenia temu ryzyku i zminimalizowania ilości przetwarzanych danych osobowych;

 

d) środki i mechanizmy bezpieczeństwa mające zagwarantować ochronę danych osobowych oraz wykazać zgodność z przepisami przyjętymi na mocy niniejszej dyrektywy, z uwzględnieniem praw i uzasadnionych interesów podmiotów danych i innych zainteresowanych osób;

 

e) ogólne wskazanie terminów usunięcia różnych kategorii danych;

 

f) w stosownych przypadkach, wykaz zamierzonych przypadków przekazania danych do państw trzecich lub organizacji międzynarodowych, wraz z identyfikacją tych państw trzecich lub tych organizacji międzynarodowych, oraz – w razie przypadków przekazania, o których mowa w art. 36 ust. 2, dokumentację dotyczącą odpowiednich gwarancji.

 

4. Jeżeli administrator lub podmiot przetwarzający wyznaczył inspektora ochrony danych, angażuje się go w procedurę oceny skutków.

 

5. Państwa członkowskie stanowią przepisy przewidujące, że administrator przeprowadza konsultacje społeczne dotyczące zamierzonego przetwarzania, bez uszczerbku dla ochrony interesu publicznego lub bezpieczeństwa operacji przetwarzania.

 

6. Bez uszczerbku dla ochrony interesu publicznego lub bezpieczeństwa operacji przetwarzania, ocenę udostępnia się obywatelom w przystępny sposób.

 

7. Komisja jest uprawniona do przyjęcia, po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, aktów delegowanych zgodnie z art. 56 w celu dalszego doprecyzowania kryteriów i warunków operacji przetwarzania mogących stwarzać szczególne ryzyko, o którym mowa w ust. 1 i 2, oraz wymogów w zakresie oceny, o których mowa w ust. 3, w tym warunków skalowalności, weryfikowalności i sprawdzenia.

Poprawka  89

Wniosek dotyczący dyrektywy

Artykuł 26

Tekst proponowany przez Komisję

Poprawka

Uprzednia konsultacja z organem nadzorczym

Uprzednia konsultacja z organem nadzorczym

1. Państwa członkowskie zapewniają, by – przed przetworzeniem danych osobowych, które będą stanowić część mającego powstać nowego zbioru danych – administrator lub podmiot przetwarzający przeprowadzili konsultacje z organem nadzorczym, jeżeli:

1. Państwa członkowskie zapewniają, by – przed przetworzeniem danych osobowych – administrator lub podmiot przetwarzający przeprowadzili konsultacje z organem nadzorczym w celu zapewnienia zgodności zamierzonego przetwarzania z przepisami przyjętymi na mocy niniejszej dyrektywy, a w szczególności w celu złagodzenia związanego z tym ryzyka dla podmiotów danych, jeżeli:

a) przetwarzane mają być szczególne kategorie danych, o których mowa w art. 8;

a) ocena skutków w zakresie ochrony danych przewidziana w art. 25a wskazuje, że operacje przetwarzania danych mogą, ze względu na swój charakter, zakres lub cele, wiązać się z wysokim poziomem szczególnego ryzyka; lub

b) rodzaj przetwarzania, w szczególności stosowanie nowych technologii, mechanizmów lub procedur, niesie ze sobą w innym przypadku szczególne ryzyko dla podstawowych praw i wolności podmiotu danych, a zwłaszcza ochrony danych osobowych.

b) organ nadzorczy uzna za niezbędne przeprowadzenie uprzedniej konsultacji w sprawie konkretnych operacji przetwarzania mogących stwarzać szczególne ryzyko dla praw i wolności podmiotów danych ze względu na swój charakter, zakres lub cele.

 

1a. Jeśli organ nadzorczy ustali zgodnie ze swoimi uprawnieniami, że zamierzone przetwarzanie nie jest zgodne z przepisami przyjętymi na mocy niniejszej dyrektywy, w szczególności jeśli ryzyko nie zostało dostatecznie zidentyfikowane lub złagodzone, organ ten zakazuje zamierzonego przetwarzania i występuje z odpowiednimi propozycjami mającymi na celu zaradzenie brakowi zgodności.

2. Państwa członkowskie mogą ustanowić przepisy przewidujące, że organ nadzorczy ustanawia wykaz operacji przetwarzania, w przypadku których wymagana jest wcześniejsza konsultacja na mocy ust. 1.

2. Państwa członkowskie stanowią przepisy przewidujące, że organ nadzorczy po zasięgnięciu opinii Europejskiej Rady Ochrony Danych ustanawia wykaz operacji przetwarzania, w przypadku których wymagana jest wcześniejsza konsultacja na mocy ust. 1 lit. b).

 

2a. Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający przekazuje organowi nadzorczemu ocenę skutków w zakresie ochrony danych zgodnie z art. 25a oraz, na żądanie, wszelkie inne informacje mogące umożliwić organowi nadzorczemu ocenę zgodności przetwarzania, a w szczególności ryzyka dla ochrony danych osobowych podmiotu danych oraz powiązanych gwarancji.

 

2b. Jeśli w opinii organu nadzorczego zamierzone przetwarzanie nie jest zgodne z przepisami przyjętymi na mocy niniejszej dyrektywy lub jeśli ryzyko nie zostało dostatecznie zidentyfikowane lub złagodzone, organ ten występuje z odpowiednimi propozycjami mającymi na celu zaradzenie brakowi zgodności.

 

2c. Państwa członkowskie mogą przeprowadzać konsultacje z organem nadzorczym w toku przygotowywania środka ustawodawczego, który miałby być przyjęty przez parlament narodowy, lub opartego na tym środku ustawodawczym środka, który definiuje charakter przetwarzania, by zapewnić zgodność zamierzonego przetwarzania z niniejszą dyrektywą, w szczególności by złagodzić ryzyko dla podmiotów danych.

Poprawka  90

Wniosek dotyczący dyrektywy

Artykuł 27

Tekst proponowany przez Komisję

Poprawka

Bezpieczeństwo przetwarzania

Bezpieczeństwo przetwarzania

1. Państwa członkowskie stanowią przepisy przewidujące, że administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, by zapewnić poziom bezpieczeństwa stosowny do ryzyk związanych z przetwarzaniem oraz charakterem danych osobowych, które należy chronić, uwzględniając najnowsze osiągnięcia techniczne oraz koszty ich wprowadzenia.

1. Państwa członkowskie stanowią przepisy przewidujące, że administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne oraz procedury, by zapewnić poziom bezpieczeństwa stosowny do ryzyka związanego z przetwarzaniem oraz charakterem danych osobowych, które należy chronić, uwzględniając najnowsze osiągnięcia techniczne oraz koszty ich wprowadzenia.

2. W odniesieniu do automatycznego przetwarzania danych każde państwo członkowskie stanowi przepisy przewidujące, że administrator lub podmiot przetwarzający, po ocenie ryzyk, wdraża środki służące:

2. W odniesieniu do automatycznego przetwarzania danych każde państwo członkowskie stanowi przepisy przewidujące, że administrator lub podmiot przetwarzający, po ocenie ryzyk, wdraża środki służące:

a) uniemożliwieniu osobom nieupoważnionym dostępu do sprzętu używanego do przetwarzania danych osobowych (kontrola dostępu do sprzętu);

a) uniemożliwieniu osobom nieupoważnionym dostępu do sprzętu używanego do przetwarzania danych osobowych (kontrola dostępu do sprzętu);

b) zapobieżenia nieupoważnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników danych (kontrola nośników danych);

b) zapobieżenia nieupoważnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników danych (kontrola nośników danych);

c) zapobieżeniu nieupoważnionemu wprowadzaniu danych oraz nieupoważnionemu kontrolowaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych (kontrola przechowywania);

c) zapobieżeniu nieupoważnionemu wprowadzaniu danych oraz nieupoważnionemu kontrolowaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych (kontrola przechowywania);

d) uniemożliwienia korzystania z systemów automatycznego przetwarzania danych przez osoby nieuprawnione, używające sprzętu do przekazywania danych (kontrola użytkowników);

d) uniemożliwienia korzystania z systemów automatycznego przetwarzania danych przez osoby nieuprawnione, używające sprzętu do przekazywania danych (kontrola użytkowników);

e) zapewnieniu, aby osoby uprawnione do korzystania z systemu automatycznego przetwarzania danych miały dostęp wyłącznie do danych objętych posiadanym przez siebie upoważnieniem (kontrola dostępu do danych);

e) zapewnieniu, aby osoby uprawnione do korzystania z systemu automatycznego przetwarzania danych miały dostęp wyłącznie do danych objętych posiadanym przez siebie upoważnieniem (kontrola dostępu do danych);

f) zapewnieniu możliwości zweryfikowania i stwierdzenia, jakim organom dane osobowe zostały lub mogą zostać przesłane lub udostępnione za pomocą sprzętu do przekazywania danych (kontrola przesyłania danych);

f) zapewnieniu możliwości zweryfikowania i stwierdzenia, jakim organom dane osobowe zostały lub mogą zostać przesłane lub udostępnione za pomocą sprzętu do przekazywania danych (kontrola przesyłania danych);

g) zapewnieniu możliwości następczego zweryfikowania i stwierdzenia, jakie dane osobowe zostały wprowadzone do systemów automatycznego przetwarzania danych, kiedy i przez kogo (kontrola wprowadzania danych);

g) zapewnieniu możliwości następczego zweryfikowania i stwierdzenia, jakie dane osobowe zostały wprowadzone do systemów automatycznego przetwarzania danych, kiedy i przez kogo (kontrola wprowadzania danych);

h) przeciwdziałaniu nieautoryzowanemu odczytowi, kopiowaniu, modyfikowaniu lub usuwaniu danych osobowych podczas przekazywania danych osobowych lub podczas przenoszenia nośników danych (kontrola transportu);

h) przeciwdziałaniu nieautoryzowanemu odczytowi, kopiowaniu, modyfikowaniu lub usuwaniu danych osobowych podczas przekazywania danych osobowych lub podczas przenoszenia nośników danych (kontrola transportu);

i) zapewnieniu możliwości przywrócenia zainstalowanego systemu w przypadku awarii (przywracalność);

i) zapewnieniu możliwości przywrócenia zainstalowanego systemu w przypadku awarii (przywracalność);

j) zapewnieniu wykonywania przez system swoich funkcji i zgłaszania występujących w nich błędów (niezawodność) oraz zapobieżeniu uszkodzeniom przechowywanych danych spowodowanym błędnym działaniem systemu (integralność).

j) zapewnieniu wykonywania przez system swoich funkcji i zgłaszania występujących w nich błędów (niezawodność) oraz zapobieżeniu uszkodzeniom przechowywanych danych spowodowanym błędnym działaniem systemu (integralność);

 

ja) dopilnowaniu, by w przypadku przetwarzania szczególnie wrażliwych danych osobowych zgodnie z art. 8, zostały podjęte dodatkowe środki bezpieczeństwa, aby zagwarantować sytuacyjną świadomość ryzyka i zdolność podejmowania działań prewencyjnych, naprawczych i łagodzących jego skutki w czasie zbliżonym do rzeczywistego wobec wykrytych słabych punktów oraz incydentów, które mogłyby stanowić zagrożenie dla danych;

 

2a. Państwa członkowskie stanowią przepisy przewidujące, że podmioty przetwarzające mogą zostać wyznaczone wyłącznie pod warunkiem, że gwarantują stosowanie wymaganych środków technicznych i organizacyjnych zgodnie z ust. 1 oraz przestrzegają zasad określonych w art. 21 ust. 2 lit. a). Właściwy organ sprawuje nadzór nad podmiotem przetwarzającym w tym względzie.

3. Komisja może przyjąć, w razie potrzeby, akty wykonawcze mające na celu sprecyzowanie wymogów ustanowionych w ust. 1 i 2 obowiązujących w różnych sytuacjach, w szczególności standardów szyfrowania. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 57 ust. 2.

3. Komisja może przyjąć, w razie potrzeby, akty wykonawcze mające na celu sprecyzowanie wymogów ustanowionych w ust. 1 i 2 obowiązujących w różnych sytuacjach, w szczególności standardów szyfrowania. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 57 ust. 2.

Poprawka  91

Wniosek dotyczący dyrektywy

Artykuł 28

Tekst proponowany przez Komisję

Poprawka

Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu

Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu

1. Państwa członkowskie stanowią przepisy przewidujące, że w przypadku naruszenia ochrony danych osobowych, administrator zgłasza organowi nadzorczemu takie naruszenie bez nieuzasadnionej zwłoki i, w jeśli to możliwe, nie później niż w ciągu 24 godzin od momentu dowiedzenia się o tym naruszeniu. Na żądanie organu nadzorczego administrator dostarcza umotywowane wyjaśnienie w przypadkach, w których zgłoszenie nie zostało przekazane w ciągu 24 godzin.

1. Państwa członkowskie stanowią przepisy przewidujące, że w przypadku naruszenia ochrony danych osobowych administrator zgłasza organowi nadzorczemu takie naruszenie bez zbędnej zwłoki i, jeśli to możliwe, nie później niż w ciągu 24 godzin. W razie jakiejkolwiek zwłoki na żądanie organu nadzorczego administrator dostarcza umotywowane wyjaśnienie.

2. Podmiot przetwarzający ostrzega i informuje administratora niezwłocznie po uzyskaniu wiadomości o naruszeniu ochrony danych osobowych.

2. Podmiot przetwarzający bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony danych osobowych ostrzega i informuje administratora.

3. Zgłoszenie, o którym mowa w ust. 1, zawiera co najmniej:

3. Zgłoszenie, o którym mowa w ust. 1, zawiera co najmniej:

a) opis charakteru naruszenia ochrony danych osobowych, w tym kategorie i liczbę zainteresowanych podmiotów danych oraz kategorie i liczbę rekordów danych, których dotyczy naruszenie;

a) opis charakteru naruszenia ochrony danych osobowych, w tym kategorie i liczbę zainteresowanych podmiotów danych oraz kategorie i liczbę rekordów danych, których dotyczy naruszenie;

b) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych, o którym mowa w art. 30, lub innego punktu kontaktowego, w którym można uzyskać więcej informacji;

b) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych, o którym mowa w art. 30, lub innego punktu kontaktowego, w którym można uzyskać więcej informacji;

c) zalecenia dotyczące środków mające na celu zmniejszenie ewentualnych negatywnych skutków naruszenia ochrony danych osobowych;

c) zalecenia dotyczące środków mające na celu zmniejszenie ewentualnych negatywnych skutków naruszenia ochrony danych osobowych;

d) opis potencjalnych konsekwencji naruszenia ochrony danych osobowych;

d) opis potencjalnych konsekwencji naruszenia ochrony danych osobowych;

e) opis środków proponowanych lub podjętych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych.

e) opis środków proponowanych lub podjętych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych i złagodzenia jego skutków.

 

W razie, gdy wszystkie informacje nie mogą być przekazane bez zbędnej zwłoki, administrator może dokonać zgłoszenia w drugiej kolejności.

4. Państwa członkowskie stanowią przepisy przewidujące, że administrator sporządza dokumentację dotyczącą wszelkich naruszeń ochrony danych osobowych, obejmującą okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi umożliwiać organowi nadzorczemu sprawdzenie zgodności z niniejszym artykułem. Dokumentacja zawiera wyłącznie informacje niezbędne do realizacji powyższego celu.

4. Państwa członkowskie stanowią przepisy przewidujące, że administrator sporządza dokumentację dotyczącą wszelkich naruszeń ochrony danych osobowych, obejmującą okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi być wystarczająca, aby umożliwiać organowi nadzorczemu sprawdzenie zgodności z niniejszym artykułem. Dokumentacja zawiera wyłącznie informacje niezbędne do realizacji powyższego celu.

 

4a. Organ nadzorczy prowadzi publiczny rejestr rodzajów zgłoszonych naruszeń.

5. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 56 w celu doprecyzowania kryteriów i wymogów dotyczących stwierdzenia naruszenia ochrony danych osobowych, o którym mowa w ust. 1 i 2, oraz szczególnych okoliczności, w których administrator i podmiot przetwarzający mają obowiązek zawiadomić o naruszeniu ochrony danych osobowych.

5. Komisja jest uprawniona, po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, do przyjęcia aktów delegowanych zgodnie z art. 56 w celu doprecyzowania kryteriów i wymogów dotyczących stwierdzenia naruszenia ochrony danych osobowych, o którym mowa w ust. 1 i 2, oraz szczególnych okoliczności, w których administrator i podmiot przetwarzający mają obowiązek zawiadomić o naruszeniu ochrony danych osobowych.

6. Komisja może ustanowić standardowe formularze zawiadomienia przekazywanego organowi nadzorczemu, procedury mające zastosowanie do wymogu zawiadomienia, a także formę i sposób prowadzenia dokumentacji, o której mowa w art. 4, w tym terminy usuwania zawartych w niej informacji. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 57 ust. 2.

6. Komisja może ustanowić standardowe formularze zawiadomienia przekazywanego organowi nadzorczemu, procedury mające zastosowanie do wymogu zawiadomienia, a także formę i sposób prowadzenia dokumentacji, o której mowa w art. 4, w tym terminy usuwania zawartych w niej informacji. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 57 ust. 2.

Poprawka  92

Wniosek dotyczący dyrektywy

Artykuł 29

Tekst proponowany przez Komisję

Poprawka

Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych

Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych

1. Państwa członkowskie stanowią przepisy przewidujące, że gdy istnieje prawdopodobieństwo, że naruszenie ochrony danych osobowych może niekorzystnie wpłynąć na ochronę danych osobowych lub prywatność osoby, administrator, po dokonaniu zawiadomienia, o którym mowa w art. 28, bez nieuzasadnionej zwłoki informuje podmiot danych o naruszeniu ochrony danych osobowych.

1. Państwa członkowskie stanowią przepisy przewidujące, że gdy istnieje prawdopodobieństwo, naruszenie ochrony danych osobowych może niekorzystnie wpłynąć na ochronę danych osobowych, prywatność, prawa lub uzasadnione interesy podmiotu danych, administrator, po dokonaniu zgłoszenia, o którym mowa w art. 28, bez zbędnej zwłoki informuje podmiot danych o naruszeniu ochrony danych osobowych.

2. Zawiadomienie przekazane podmiotowi danych, o którym mowa w ust. 1, opisuje charakter naruszenia ochrony danych osobowych i zawiera przynajmniej informacje i zalecenia, o których mowa w art. 28 ust. 3 lit. b) i c).

2. Zawiadomienie przekazane podmiotowi danych, o którym mowa w ust. 1, musi być wyczerpujące oraz zredagowane jasnym i prostym językiem. Opisuje ono charakter naruszenia ochrony danych osobowych i zawiera przynajmniej informacje i zalecenia, o których mowa w art. 28 ust. 3 lit. b), c) i d), oraz zawiera informację o prawach podmiotu danych, w tym o środkach ochrony prawnej.

3. Zawiadomienie o naruszeniu ochrony danych osobowych nie jest wymagane, jeśli administrator wykaże, zgodnie z wymogami organu nadzorczego, że wdrożył odpowiednie technologiczne środki ochrony oraz że środki te zostały zastosowane do danych, których dotyczyło naruszenie ochrony danych osobowych. Tego rodzaju technologiczne środki ochrony sprawiają, że dane stają się nieczytelne dla każdego, kto nie jest uprawniony do dostępu do nich.

3. Zawiadomienie o naruszeniu ochrony danych osobowych nie jest wymagane, jeśli administrator wykaże, zgodnie z wymogami organu nadzorczego, że wdrożył odpowiednie technologiczne środki ochrony oraz że środki te zostały zastosowane do danych, których dotyczyło naruszenie ochrony danych osobowych. Tego rodzaju technologiczne środki ochrony sprawiają, że dane stają się nieczytelne dla każdego, kto nie jest uprawniony do dostępu do nich.

 

3a. Bez uszczerbku dla obowiązku administratora w zakresie zawiadomienia podmiotu danych o naruszeniu ochrony danych osobowych, jeśli administrator nie zawiadomił wcześniej podmiotu danych o naruszeniu ochrony danych osobowych, organ nadzorczy może tego od niego zażądać po stwierdzeniu możliwości wystąpienia niekorzystnych skutków naruszenia.

4. Zawiadomienie podmiotu danych może zostać opóźnione, ograniczone lub zaniechane z przyczyn, o których mowa w art. 11 ust. 4.

4. Zawiadomienie podmiotu danych może zostać opóźnione lub ograniczone z przyczyn, o których mowa w art. 11 ust. 4.

Poprawka  93

Wniosek dotyczący dyrektywy

Artykuł 30

Tekst proponowany przez Komisję

Poprawka

Wyznaczenie inspektora ochrony danych

Wyznaczenie inspektora ochrony danych

1. Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający wyznaczają inspektora ochrony danych.

1. Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający wyznaczają inspektora ochrony danych.

2. Inspektor ochrony danych wyznaczany jest na podstawie kwalifikacji zawodowych, a w szczególności specjalistycznej wiedzy na temat przepisów i praktyk w zakresie ochrony danych, jak również zdolność do pełnienia zadań, o których mowa w art. 32.

2. Inspektor ochrony danych wyznaczany jest na podstawie kwalifikacji zawodowych, a w szczególności specjalistycznej wiedzy na temat przepisów i praktyk w zakresie ochrony danych, jak również zdolność do pełnienia zadań, o których mowa w art. 32. Niezbędny poziom wiedzy specjalistycznej ustala się w szczególności zgodnie z prowadzonym przetwarzaniem danych oraz ochroną wymaganą dla danych osobowych przetwarzanych przez administratora lub podmiot przetwarzający.

 

2a. Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający dopilnowuje, by inne obowiązki zawodowe inspektora ochrony danych były zgodne z zadaniami i obowiązkami tej osoby jako inspektora ochrony danych i by nie skutkowały one konfliktem interesów.

 

2b. Inspektor ochrony danych wyznaczany jest na okres co najmniej czterech lat. Inspektor ochrony danych może być powoływany na kolejne kadencje. Inspektora ochrony danych można odwołać z pełnienia tej funkcji w czasie trwania kadencji jedynie wówczas, gdy przestanie on spełniać warunki niezbędne do pełnienia przez niego obowiązków.

 

2c. Państwa członkowskie stanowią przepisy przyznające podmiotowi danych prawo kontaktowania się z inspektorem ochrony danych we wszystkich kwestiach związanych z przetwarzaniem danych osobowych tego podmiotu.

3. Inspektor ochrony danych może być wyznaczony dla szeregu jednostek organizacyjnych, przy uwzględnieniu struktury organizacyjnej właściwego organu.

3. Inspektor ochrony danych może być wyznaczony dla szeregu jednostek organizacyjnych, przy uwzględnieniu struktury organizacyjnej właściwego organu.

 

3a. Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający podaje organowi nadzorczemu oraz do wiadomości publicznej imię i nazwisko oraz dane kontaktowe inspektora ochrony danych.

Poprawka  94

Wniosek dotyczący dyrektywy

Artykuł 31 – ustęp 2 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

2a. Administrator lub podmiot przetwarzający wspiera inspektora ochrony danych w pełnieniu przez niego obowiązków i zapewnia wszystkie środki, w tym personel, pomieszczenia, sprzęt, ustawiczne szkolenie zawodowe i wszelkie inne zasoby niezbędne do wykonywania obowiązków i zadań, o których mowa w art. 32, oraz do utrzymania poziomu jego wiedzy zawodowej.

Poprawka  95

Wniosek dotyczący dyrektywy

Artykuł 32

Tekst proponowany przez Komisję

Poprawka

Zadania inspektora ochrony danych

Zadania inspektora ochrony danych

Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający powierzają inspektorowi ochrony danych przynajmniej poniższe zadania:

Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający powierzają inspektorowi ochrony danych przynajmniej poniższe zadania:

a) informowanie administratora lub podmiotu przetwarzającego o ich obowiązkach wynikających z przepisów przyjętych na mocy niniejszej dyrektywy oraz dokumentowanie tej działalności i uzyskiwanych odpowiedzi;

a) podnoszenie świadomości, informowanie administratora lub podmiotu przetwarzającego o ich obowiązkach wynikających z przepisów przyjętych na mocy niniejszej dyrektywy, zwłaszcza w odniesieniu do środków o charakterze technicznym i organizacyjnym oraz do procedur, oraz dokumentowanie tej działalności i uzyskiwanych odpowiedzi;

b) monitorowanie wykonania i stosowanie polityk w zakresie ochrony danych osobowych, w tym przydziału obowiązków, szkolenia personelu zaangażowanego w operacje przetwarzania oraz powiązane kontrole;

b) monitorowanie wykonania i stosowanie polityk w zakresie ochrony danych osobowych, w tym przydziału obowiązków, szkolenia personelu zaangażowanego w operacje przetwarzania oraz powiązane kontrole;

c) monitorowanie wdrażania i stosowania przepisów przyjętych na mocy niniejszej dyrektywy, w szczególności jeśli chodzi o wymogi dotyczące uwzględnienia ochrony danych już w fazie projektowania, ochrony danych jako opcji domyślnej i bezpieczeństwa danych oraz informowania podmiotów danych a także ich wniosków składanych w ramach wykonywania praw przysługujących im mocy przepisów niniejszej dyrektywy;

c) monitorowanie wdrażania i stosowania przepisów przyjętych na mocy niniejszej dyrektywy, w szczególności jeśli chodzi o wymogi dotyczące uwzględnienia ochrony danych już w fazie projektowania, ochrony danych jako opcji domyślnej i bezpieczeństwa danych oraz informowania podmiotów danych a także ich wniosków składanych w ramach wykonywania praw przysługujących im mocy przepisów niniejszej dyrektywy;

d) zapewnienie prowadzenia dokumentacji, o której mowa w art. 23;

d) zapewnienie prowadzenia dokumentacji, o której mowa w art. 23;

e) monitorowanie dokumentacji, zgłoszeń i zawiadomień dotyczących naruszeń ochrony danych osobowych na mocy art. 28 i 29;

e) monitorowanie dokumentacji, zgłoszeń i zawiadomień dotyczących naruszeń ochrony danych osobowych na mocy art. 28 i 29;

f) monitorowanie stosowania przepisów dotyczących uprzedniej konsultacji z organem nadzorczym, jeśli jest ona wymagana na mocy art. 26;

f) monitorowanie stosowania oceny skutków w zakresie ochrony danych przez administratora lub podmiot przetwarzający oraz stosowania przepisów dotyczących uprzedniej konsultacji z organem nadzorczym, jeśli jest ona wymagana na mocy art. 26 ust. 1;

g) monitorowanie odpowiedzi na wnioski organów nadzorczych oraz, w ramach kompetencji inspektora ochrony danych, współpraca z organem nadzorczym na wniosek tego organu lub z inicjatywy inspektora ochrony danych;

g) monitorowanie odpowiedzi na wnioski organów nadzorczych oraz, w ramach kompetencji inspektora ochrony danych, współpraca z organem nadzorczym na wniosek tego organu lub z inicjatywy inspektora ochrony danych;

h) pełnienie funkcji pojedynczego punktu kontaktowego organu nadzorczego w kwestiach związanych z przetwarzaniem oraz zasięganie opinii organu nadzorczego, w razie potrzeby, z inicjatywy inspektora ochrony danych.

h) pełnienie funkcji pojedynczego punktu kontaktowego organu nadzorczego w kwestiach związanych z przetwarzaniem oraz zasięganie opinii organu nadzorczego, w razie potrzeby, z inicjatywy inspektora ochrony danych.

Poprawka  96

Wniosek dotyczący dyrektywy

Artykuł 33

Tekst proponowany przez Komisję

Poprawka

Ogólne zasady przekazywania danych osobowych

Ogólne zasady przekazywania danych osobowych

Państwa członkowskie stanowią przepisy przewidujące, że wszelkie operacje przekazywania przez właściwe organy danych osobowych poddawanych przetwarzaniu lub mających być poddawane przetwarzaniu po przekazaniu do państwa trzeciego lub do organizacji międzynarodowej, w tym operacje wtórnego przekazywania do innych państw trzecich lub organizacji międzynarodowych, mogą mieć miejsce wyłącznie gdy:

Państwa członkowskie stanowią przepisy przewidujące, że wszelkie operacje przekazywania przez właściwe organy danych osobowych poddawanych przetwarzaniu lub mających być poddawane przetwarzaniu po przekazaniu do państwa trzeciego lub do organizacji międzynarodowej, w tym operacje wtórnego przekazywania do innych państw trzecich lub organizacji międzynarodowych, mogą mieć miejsce wyłącznie gdy:

a) przekazanie jest konieczne do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo do wykonywania kar kryminalnych; oraz

a) konkretne przekazanie jest konieczne do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo do wykonywania kar kryminalnych; oraz

 

aa) dane przekazywane są administratorowi w państwie trzecim lub organizacji międzynarodowej będących organem publicznym właściwym do realizacji celów, o których mowa w art. 1 ust. 1; oraz

 

ab) administrator i podmiot przetwarzający spełniają warunki określone w niniejszym rozdziale, w tym te dotyczące wtórnego przekazania danych osobowych z państwa trzeciego lub od organizacji międzynarodowej do innego państwa trzeciego lub innej organizacji międzynarodowej; oraz

b) administrator i podmiot przetwarzający spełniają warunki ustanowione w niniejszym rozdziale.

b) administrator i podmiot przetwarzający działają zgodnie z innymi przepisami przyjętymi na mocy niniejszej dyrektywy; oraz

 

ba) nie jest zmniejszony poziom ochrony danych osobowych osób fizycznych gwarantowany w Unii na mocy niniejszej dyrektywy; oraz

 

bb) Komisja wydała na podstawie warunków i procedury, o których mowa w art. 34, decyzję, w której uznała, że dane państwo trzecie lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony; lub

 

bc) w prawnie wiążącym instrumencie, o którym mowa w art. 35, zapewniono odpowiednie gwarancje w zakresie ochrony danych osobowych.

 

Państwa członkowskie stanowią przepisy przewidujące, że operacje wtórnego przekazywania, o których mowa w akapicie pierwszym niniejszego artykułu, są dopuszczalne tylko wówczas, gdy oprócz spełnienia warunków określonych w tym akapicie:

 

a) operacja wtórnego przekazania jest wymagana do tego samego konkretnego celu co początkowe przekazanie; oraz

 

b) właściwy organ, który dokonał początkowego przekazania, zezwala na operację wtórnego przekazania.

Poprawka  97

Wniosek dotyczący dyrektywy

Artykuł 34

Tekst proponowany przez Komisję

Poprawka

Przekazywanie na podstawie decyzji stwierdzającej odpowiedni poziom ochrony

Przekazywanie na podstawie decyzji stwierdzającej odpowiedni poziom ochrony

1. Państwa członkowskie stanowią przepisy przewidujące, że dane osobowe mogą być przekazywane do państwa trzeciego lub organizacji międzynarodowej, jeżeli Komisja wydała decyzję zgodnie z art. 41 rozporządzenia (UE) …/2012 lub zgodnie z ust. 3 niniejszego artykułu, w której uznała, że państwo trzecie, terytorium lub sektor przetwarzania w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni poziom ochrony. Takie operacje przekazywania nie wymagają żadnego dodatkowego zezwolenia.

1. Państwa członkowskie stanowią przepisy przewidujące, że dane osobowe mogą być przekazywane do państwa trzeciego lub organizacji międzynarodowej, jeżeli Komisja wydała decyzję zgodnie z ust. 3 niniejszego artykułu, w której uznała, że państwo trzecie, terytorium lub sektor przetwarzania w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni poziom ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.

2. W przypadku braku przyjęcia decyzji zgodnie z art. 41 rozporządzenia (UE) …./2012 Komisja ocenia, czy zapewniono odpowiedni poziom ochrony danych, uwzględniając następujące elementy:

2. Przy ocenie odpowiedniości poziomu ochrony Komisja uwzględnia następujące elementy:

a) praworządność, ogólne i sektorowe przepisy obowiązujące w tym zakresie, w tym dotyczące bezpieczeństwa publicznego, obronności, bezpieczeństwa narodowego i prawa karnego, jak również środki bezpieczeństwa, które są przestrzegane w tym państwie lub organizacji międzynarodowej, a także skuteczne i egzekwowalne prawa, w tym prawa do skutecznych administracyjnych i sądowych środków ochrony prawnej przysługujące podmiotom danych, w szczególności osobom mającym miejsce zamieszkania w Unii, których dane osobowe są przekazywane;

a) praworządność, przepisy obowiązujące w tym zakresie, w tym dotyczące bezpieczeństwa publicznego, obronności, bezpieczeństwa narodowego i prawa karnego, jak również wprowadzenie w życie niniejszych przepisów prawa oraz podjęcie środków bezpieczeństwa, które są przestrzegane w tym państwie lub organizacji międzynarodowej, prawodawstwo oparte na precedensach, a także skuteczne i egzekwowalne prawa, w tym prawa do skutecznych administracyjnych i sądowych środków ochrony prawnej przysługujące podmiotom danych, w szczególności osobom mającym miejsce zamieszkania w Unii, których dane osobowe są przekazywane;

b) istnienie i skuteczne działanie przynajmniej jednego niezależnego organu nadzorczego w państwie trzecim lub organizacji międzynarodowej, odpowiedzialnych za zapewnienie zgodności z przepisami o ochronie danych, pomoc i doradzanie podmiotom danych w zakresie wykonania przysługujących im praw a także współpracę z organami nadzorczymi Unii i państw członkowskich; oraz

b) istnienie i skuteczne działanie przynajmniej jednego niezależnego organu nadzorczego w państwie trzecim lub organizacji międzynarodowej, odpowiedzialnych za zapewnienie zgodności z przepisami o ochronie danych, w tym wystarczające uprawnienia do nakładania sankcji, pomoc i doradzanie podmiotom danych w zakresie wykonania przysługujących im praw, a także współpracę z organami nadzorczymi Unii i państw członkowskich; oraz

c) międzynarodowe zobowiązania zaciągnięte przez państwo trzecie lub organizację międzynarodową.

c) międzynarodowe zobowiązania zaciągnięte przez państwo trzecie lub organizację międzynarodową, w szczególności wszelkie prawnie wiążące konwencje lub instrumenty odnoszące się do ochrony danych osobowych.

3. Komisja może zdecydować, w zakresie, niniejszej dyrektywy, że państwo trzecie, terytorium lub sektor przetwarzający dane w państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony w rozumieniu ust. 2. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 57 ust. 2.

3. Komisja jest uprawniona do przyjęcia, po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, aktów delegowanych zgodnie z art. 56, aby zdecydować, w zakresie niniejszej dyrektywy, że państwo trzecie, terytorium lub sektor przetwarzający dane w państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony w rozumieniu ust. 2.

4. Akty wykonawcze określają geograficzny i sektorowy zakres ich stosowania oraz, w odpowiednich przypadkach, wskazują organ nadzorczy wymieniony w ust. 2 lit. b).

4. Akty delegowane określają geograficzny i sektorowy zakres ich stosowania oraz wskazują organ nadzorczy wymieniony w ust. 2 lit. b).

 

4a. Komisja w trybie ciągłym monitoruje zmiany, które mogłyby wpłynąć na spełnianie warunków wymienionych w ust. 2 przez państwa trzecie i organizacje międzynarodowe, w odniesieniu do których przyjęto akt delegowany na mocy ust. 3.

5. Komisja może zdecydować, w zakresie niniejszej dyrektywy, że państwo trzecie, terytorium lub sektor przetwarzający dane w państwie trzecim lub organizacja międzynarodowa nie zapewniają odpowiedniego poziomu ochrony w rozumieniu ust. 2, w szczególności w przypadkach w których odnośne przepisy ogólne i sektorowe obowiązujące w państwie trzecim lub organizacji międzynarodowej nie gwarantują skutecznych i egzekwowalnych praw, w tym prawa do skutecznych administracyjnych i sądowych środków ochrony prawnej podmiotom danych, w szczególności podmiotom danych mającym miejsce zamieszkania w Unii, których dane osobowe są przekazywane. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 57 ust. 2 lub, w wyjątkowo naglących przypadkach w odniesieniu do osób fizycznych w zakresie ich prawa do ochrony danych osobowych, zgodnie z procedurą, o której mowa w art. 57 ust. 3.

5. Komisja jest uprawniona do przyjęcia aktów delegowanych zgodnie z art. 56, aby zdecydować, w zakresie niniejszej dyrektywy, że państwo trzecie, terytorium lub sektor przetwarzający dane w państwie trzecim lub organizacja międzynarodowa nie zapewniają odpowiedniego poziomu ochrony w rozumieniu ust. 2, w szczególności w przypadkach, w których odnośne przepisy obowiązujące w państwie trzecim lub organizacji międzynarodowej nie gwarantują skutecznych i egzekwowalnych praw, w tym prawa do skutecznych administracyjnych i sądowych środków ochrony prawnej podmiotom danych, w szczególności podmiotom danych mającym miejsce zamieszkania w Unii, których dane osobowe są przekazywane.

6. Państwa członkowskie zapewniają, by, w przypadku gdy Komisja podejmie decyzję na mocy art. 5, wszelkie operacje przekazywania danych osobowych do państwa trzeciego, terytorium lub do sektora przetwarzającego dane w tym państwie lub do organizacji międzynarodowej były zakazane, przy czym decyzja ta obowiązuje bez uszczerbku dla operacji przekazywania na mocy art. 35 ust 1 lub zgodnie z art. 36. We właściwym czasie Komisja przystępuje do konsultacji z państwem trzecim lub organizacją międzynarodową w celu zaradzenia sytuacji wynikającej z decyzji podjętej na mocy ust. 5 niniejszego artykułu.

6. Państwa członkowskie dopilnowują, by w przypadku, gdy Komisja podejmie decyzję na mocy art. 5, wszelkie operacje przekazywania danych osobowych do państwa trzeciego, terytorium lub do sektora przetwarzającego dane w tym państwie lub do organizacji międzynarodowej były zakazane. We właściwym czasie Komisja przystępuje do konsultacji z państwem trzecim lub organizacją międzynarodową w celu zaradzenia sytuacji wynikającej z decyzji podjętej na mocy ust. 5 niniejszego artykułu.

7. Komisja publikuje w Dzienniku Urzędowym Unii Europejskiej wykaz tych państw trzecich, terytoriów i sektorów przetwarzających dane w państwie trzecim oraz organizacji międzynarodowych, co do których zdecydowano, że zapewniają odpowiedni poziom ochrony lub tego poziomu nie zapewniają.

7. Komisja publikuje w Dzienniku Urzędowym Unii Europejskiej wykaz tych państw trzecich, terytoriów i sektorów przetwarzających dane w państwie trzecim oraz organizacji międzynarodowych, co do których zdecydowano, że zapewniają odpowiedni poziom ochrony lub tego poziomu nie zapewniają.

8. Komisja monitoruje stosowanie aktów wykonawczych, o których mowa w ust. 3 i 5.

8. Komisja monitoruje stosowanie aktów delegowanych, o których mowa w ust. 3 i 5.

Poprawka  98

Wniosek dotyczący dyrektywy

Artykuł 35

Tekst proponowany przez Komisję

Poprawka

Operacje przekazywania dzięki odpowiednim gwarancjom

Operacje przekazywania dzięki odpowiednim gwarancjom

1. W przypadkach, w których Komisja nie podjęła decyzji na mocy art. 34, państwa członkowskie stanowią przepisy przewidujące, że dane osobowe mogą być przekazywane do odbiorców w państwie trzecim lub organizacji międzynarodowej, jeżeli:

1. W przypadkach, w których Komisja nie wydała decyzji na mocy art. 34 lub wydała decyzję, w której uznała, że państwo trzecie lub terytorium w tym państwie trzecim, bądź też organizacja międzynarodowa nie gwarantują odpowiedniego poziomu ochrony zgodnie z art. 34 ust. 5, administrator lub podmiot przetwarzający nie może przekazywać danych osobowych do państwa trzeciego, terytorium w tym państwie trzecim lub organizacji międzynarodowej, chyba że wprowadzą one odpowiednie gwarancje w zakresie ochrony danych osobowych do prawnie wiążącego instrumentu.

a) w prawnie wiążącym instrumencie zapewniono odpowiednie gwarancje w zakresie ochrony danych osobowych; lub

 

b) administrator lub podmiot przetwarzający ocenili wszystkie okoliczności towarzyszące przekazaniu danych osobowych, stwierdzając, że istnieją odpowiednie gwarancje w zakresie ochrony danych osobowych.

 

1. Decyzja o przekazaniu danych na mocy ust. 1 lit. b) musi zostać podjęta przez należycie upoważnionych pracowników. Te operacje przekazywania muszą być dokumentowane a dokumentacja musi być udostępniana na wniosek organowi nadzorczemu.

2. Na te operacje przekazania musi zezwolić organ nadzorczy przed przekazaniem.

Poprawka  99

Wniosek dotyczący dyrektywy

Artykuł 36

Tekst proponowany przez Komisję

Poprawka

Odstępstwa

Odstępstwa

 

1. Jeżeli zgodnie z art. 34 ust. 5 Komisja stwierdzi, że nie istnieje odpowiedni poziom ochrony, dane osobowe nie mogą zostać przekazane zainteresowanemu państwu trzeciemu ani zainteresowanej organizacji międzynarodowej, o ile w danym przypadku uzasadnione interesy podmiotu danych w niedopuszczeniu do przekazania danych są ważniejsze od interesu publicznego w przekazaniu danych.

W drodze odstępstwa od art. 34 i 35 państwa członkowskie stanowią przepisy przewidujące, że dane osobowe mogą być przekazywane do państwa trzeciego lub organizacji międzynarodowej wyłącznie pod warunkiem, że:

2. W drodze odstępstwa od art. 34 i 35 państwa członkowskie stanowią przepisy przewidujące, że dane osobowe mogą być przekazywane do państwa trzeciego lub organizacji międzynarodowej wyłącznie pod warunkiem, że:

a) przekazanie jest niezbędne dla ochrony żywotnych interesów podmiotu danych lub innej osoby; lub

a) przekazanie jest niezbędne dla ochrony żywotnych interesów podmiotu danych lub innej osoby; lub

b) przekazanie jest niezbędne dla zabezpieczenia słusznych interesów podmiotu danych, jeżeli prawo państwa członkowskiego przekazującego dane osobowe tak stanowi; lub

b) przekazanie jest niezbędne dla zabezpieczenia uzasadnionych interesów podmiotu danych, jeżeli prawo państwa członkowskiego przekazującego dane osobowe tak stanowi; lub

c) przekazanie danych jest konieczne dla zapobieżenia bezpośredniemu i poważnemu zagrożeniu dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego; lub

c) przekazanie danych jest konieczne dla zapobieżenia bezpośredniemu i poważnemu zagrożeniu dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego; lub

d) przekazanie jest konieczne w indywidualnych przypadkach do zapobiegania przestępstwom, prowadzenia śledztw i dochodzeń w ich sprawie, wykrywania ich lub ścigania albo do wykonywania kar kryminalnych; lub

d) przekazanie jest konieczne w indywidualnych przypadkach do zapobiegania przestępstwom, prowadzenia śledztw i dochodzeń w ich sprawie, wykrywania ich lub ścigania albo do wykonywania kar kryminalnych; lub

e) przekazanie jest konieczne w indywidualnych przypadkach dla ustalenia, wykonania lub obrony roszczeń prawnych dotyczących zapobieżenia konkretnemu przestępstwu, prowadzenia dochodzenia w jego sprawie, wykrycia go lub ścigania albo wykonania konkretnej kary kryminalnej.

e) przekazanie jest konieczne w indywidualnych przypadkach dla ustalenia, wykonania lub obrony roszczeń prawnych dotyczących zapobieżenia konkretnemu przestępstwu, prowadzenia dochodzenia w jego sprawie, wykrycia go lub ścigania albo wykonania konkretnej kary kryminalnej.

 

2a. Przetwarzanie danych na podstawie ust. 2 musi mieć podstawę prawną w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator; prawo to musi realizować cel leżący w interesie publicznym lub zaspokajać potrzebę w zakresie ochrony praw i wolności innych osób, respektować istotę prawa do ochrony danych osobowych i być proporcjonalne do wyznaczonego uzasadnionego celu.

 

2b. Wszystkie operacje przekazania danych osobowych, które opierają się na odstępstwach, są należycie uzasadnione i ograniczają się do niezbędnego minimum oraz nie dopuszcza się częstego i masowego przekazywania danych.

 

2c. Decyzja o przekazaniu danych na mocy ust. 2 musi zostać podjęta przez należycie upoważnionych pracowników. Te operacje przekazania muszą być udokumentowane, a dokumentacja, w tym data i godzina przekazania, informacje o organie odbierającym, uzasadnienie przekazania oraz przekazane dane, musi zostać udostępniona na żądanie organowi nadzorczemu.

Poprawka  100

Wniosek dotyczący dyrektywy

Artykuł 37

Tekst proponowany przez Komisję

Poprawka

Szczególne warunki przekazania danych osobowych

Szczególne warunki przekazania danych osobowych

Państwa członkowskie stanowią, że administrator informuje odbiorcę danych osobowych o wszelkich ograniczeniach przetwarzania oraz podejmuje wszystkie rozsądne kroki na rzecz zapewnienia, by ograniczenia te były przestrzegane.

Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje odbiorcę danych osobowych o wszelkich ograniczeniach przetwarzania oraz podejmuje wszystkie rozsądne kroki na rzecz zapewnienia, by ograniczenia te były przestrzegane. Administrator informuje również odbiorcę danych osobowych o wszelkich operacjach zaktualizowania, poprawienia lub usunięcia danych, a odbiorca odpowiednio informuje w razie późniejszego przekazania danych.

Poprawka  101

Wniosek dotyczący dyrektywy

Artykuł 38 – ustęp 1 – litera a

Tekst proponowany przez Komisję

Poprawka

a) opracowania skutecznych mechanizmów współpracy międzynarodowej, by ułatwić egzekwowanie przepisów służących ochronie danych osobowych;

a) opracowania skutecznych mechanizmów współpracy międzynarodowej, by zapewnić egzekwowanie przepisów służących ochronie danych osobowych;

Poprawka  102

Wniosek dotyczący dyrektywy

Artykuł 38 – ustęp 1 – litera d a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

da) wyjaśnienia i zasięgnięcia opinii w sprawie konfliktów jurysdykcji z państwami trzecimi.

Poprawka  103

Wniosek dotyczący dyrektywy

Artykuł 38 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 38a

 

Sprawozdanie Komisji

 

Komisja przedstawia Parlamentowi Europejskiemu i Radzie sprawozdanie dotyczące stosowania art. 33–38 w regularnych odstępach czasu. Pierwsze sprawozdanie zostanie przedłożone najpóźniej cztery lata po wejściu w życie niniejszej dyrektywy. W tym celu Komisja może zwrócić się z wnioskiem o przekazanie informacji do państw członkowskich oraz organów nadzorczych, które muszą przekazać te informacje bez zbędnej zwłoki. Sprawozdanie jest udostępniane do wiadomości publicznej.

Poprawka  104

Wniosek dotyczący dyrektywy

Artykuł 40 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie zapewniają, by organ nadzorczy przy wykonywaniu powierzonych mu zadań i kompetencji działał w warunkach pełnej niezależności.

1. Państwa członkowskie dopilnowują, by organ nadzorczy przy wykonywaniu powierzonych mu zadań i uprawnień działał w warunkach pełnej niezależności, niezależnie od ustaleń w sprawie wspólpracy zgodnie z rozdziałem VII niniejszej dyrektywy.

Poprawka  105

Wniosek dotyczący dyrektywy

Artykuł 40 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. Każde państwo członkowskie stanowi przepisy przewidujące, że członkowie organu nadzorczego przy wykonywaniu swoich obowiązków nie zwracają się do nikogo o instrukcje ani nie wypełniają niczyich instrukcji.

2. Każde państwo członkowskie stanowi przepisy przewidujące, że członkowie organu nadzorczego podczas wykonywania swoich obowiązków nie zwracają się do nikogo o instrukcje ani ich od nikogo nie przyjmują oraz zachowują pełną niezależność i bezstronność.

Poprawka  106

Wniosek dotyczący dyrektywy

Artykuł 43

Tekst proponowany przez Komisję

Poprawka

Tajemnica służbowa

Tajemnica służbowa

Państwa członkowskie stanowią przepisy przewidujące, że członkowie i personel organu nadzorczego, zarówno podczas pełnienia obowiązków służbowych, jak i po zaprzestaniu ich pełnienia, podlegają obowiązkowi zachowania tajemnicy służbowej w odniesieniu do wszelkich poufnych informacji, które uzyskali w toku pełnienia swoich obowiązków służbowych.

Państwa członkowskie stanowią przepisy przewidujące, że członkowie i personel organu nadzorczego, zarówno podczas pełnienia obowiązków służbowych, jak i po zaprzestaniu ich pełnienia, zgodnie z przepisami prawa krajowego i praktyką krajową, podlegają obowiązkowi zachowania tajemnicy służbowej w odniesieniu do wszelkich poufnych informacji, które uzyskali w toku pełnienia swoich obowiązków służbowych, a swoje obowiązki pełnią w sposób niezależny i przejrzysty zgodnie z niniejszą dyrektywą.

Poprawka  107

Wniosek dotyczący dyrektywy

Artykuł 44 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

Kompetencje

Kompetencje

1. Państwa członkowskie stanowią przepisy przewidujące, że każdy organ nadzorczy wykonuje, na terytorium swojego państwa członkowskiego, uprawnienia powierzone mu zgodnie z niniejszą dyrektywą.

1. Państwa członkowskie stanowią przepisy przewidujące, że każdy organ nadzorczy jest właściwy do pełnienia zadań i wykonuje, na terytorium swojego państwa członkowskiego, uprawnienia powierzone mu zgodnie z niniejszą dyrektywą.

Poprawka  108

Wniosek dotyczący dyrektywy

Artykuł 45

Tekst proponowany przez Komisję

Poprawka

Obowiązki

Obowiązki

Państwa członkowskie stanowią przepisy przewidujące, że organ nadzorczy:

1. Państwa członkowskie stanowią przepisy przewidujące, że organ nadzorczy:

a) monitoruje i zapewnia stosowanie przepisów przyjętych na mocy niniejszej dyrektywy oraz środków służących jej wdrożeniu;

a) monitoruje i zapewnia stosowanie przepisów przyjętych na mocy niniejszej dyrektywy oraz środków służących jej wdrożeniu;

b) rozpatruje skargi złożone przez podmioty danych lub jakiekolwiek zrzeszenie reprezentujące podmiot danych i należycie przez niego upoważnione, zgodnie z art. 50; prowadzi, w odpowiednim zakresie, dochodzenie w danej sprawie oraz informuje podmiot danych lub zrzeszenie o postępach oraz sposobie rozstrzygnięcia skargi w rozsądnym terminie, w szczególności gdy niezbędne jest dalsze dochodzenie lub koordynacja z innym organem nadzorczym;

b) rozpatruje skargi złożone przez podmioty danych lub jakiekolwiek zrzeszenie, zgodnie z art. 50; prowadzi, w odpowiednim zakresie, dochodzenie w danej sprawie oraz informuje podmiot danych lub zrzeszenie o postępach oraz sposobie rozstrzygnięcia skargi w rozsądnym terminie, w szczególności gdy niezbędne jest dalsze dochodzenie lub koordynacja z innym organem nadzorczym;

c) weryfikuje zgodność z prawem przetwarzania na mocy art. 14 oraz informuje podmiot danych w rozsądnym terminie o rezultatach tej weryfikacji lub o przyczynach, dla których weryfikacji nie przeprowadzono;

c) weryfikuje zgodność z prawem przetwarzania na mocy art. 14 oraz informuje podmiot danych w rozsądnym terminie o rezultatach tej weryfikacji lub o przyczynach, dla których weryfikacji nie przeprowadzono;

d) zapewnia wzajemną pomoc innym organom nadzorczym oraz dopilnowuje ścisłego stosowania i egzekwowania przepisów przyjętych na mocy niniejszej dyrektywy;

d) zapewnia wzajemną pomoc innym organom nadzorczym oraz dopilnowuje ścisłego stosowania i egzekwowania przepisów przyjętych na mocy niniejszej dyrektywy;

e) prowadzi postępowania bądź z własnej inicjatywy, bądź na podstawie skargi, lub też na wniosek innego organu nadzorczego oraz informuje podmiot danych, jeżeli złożył on skargę, o rezultatach dochodzenia w rozsądnym terminie;

e) prowadzi dochodzenia, inspekcje i kontrole bądź z własnej inicjatywy, bądź na podstawie skargi, lub też na wniosek innego organu nadzorczego oraz informuje podmiot danych, jeżeli złożył on skargę, o rezultatach dochodzenia w rozsądnym terminie;

f) monitoruje zmiany w odpowiednich dziedzinach w zakresie, w jakim mają one wpływ na ochronę danych osobowych, w szczególności rozwój technologii informacyjno-komunikacyjnych;

f) monitoruje zmiany w odpowiednich dziedzinach w zakresie, w jakim mają one wpływ na ochronę danych osobowych, w szczególności rozwój technologii informacyjno-komunikacyjnych;

g) jest konsultowany przez instytucje i organy państwa członkowskiego w sprawie środków legislacyjnych i administracyjnych dotyczących ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych;

g) jest konsultowany przez instytucje i organy państwa członkowskiego w sprawie środków legislacyjnych i administracyjnych dotyczących ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych;

h) jest konsultowany w sprawie operacji przetwarzania przeprowadzanych na mocy art. 26;

h) jest konsultowany w sprawie operacji przetwarzania przeprowadzanych na mocy art. 26;

i) uczestniczy w działalności Europejskiej Rady Ochrony Danych.

i) uczestniczy w działalności Europejskiej Rady Ochrony Danych.

2. Każdy organ nadzorczy prowadzi działania na rzecz pogłębiania w społeczeństwie wiedzy na temat zagrożeń, przepisów, gwarancji i praw związanych z przetwarzaniem danych osobowych. Szczególną uwagę zwraca się na działania skierowane do dzieci.

2. Każdy organ nadzorczy prowadzi działania na rzecz pogłębiania w społeczeństwie wiedzy na temat zagrożeń, przepisów, gwarancji i praw związanych z przetwarzaniem danych osobowych. Szczególną uwagę zwraca się na działania skierowane do dzieci.

3. Organ nadzorczy na wniosek doradza każdemu podmiotowi danych na temat korzystania z praw ustanowionych w przepisach przyjętych na mocy niniejszej dyrektywy i, w odpowiednich przypadkach, współpracuje w tym celu z organami nadzorczymi w innych państwach członkowskich.

3. Organ nadzorczy na wniosek doradza każdemu podmiotowi danych na temat korzystania z praw ustanowionych w przepisach przyjętych na mocy niniejszej dyrektywy i, w odpowiednich przypadkach, współpracuje w tym celu z organami nadzorczymi w innych państwach członkowskich.

4. W odniesieniu do skarg, o których mowa w ust. 1 lit. b), organ nadzorczy udostępnia formularz skargi, który może zostać wypełniony elektronicznie, przy czym dostępne są także inne środki łączności.

4. W odniesieniu do skarg, o których mowa w ust. 1 lit. b), organ nadzorczy udostępnia formularz skargi, który może zostać wypełniony elektronicznie, przy czym dostępne są także inne środki łączności.

5. Państwa członkowskie stanowią przepisy przewidujące, że obowiązki pełnione przez organ nadzorczy nie wiążą się z opłatami dla podmiotu danych.

5. Państwa członkowskie stanowią przepisy przewidujące, że obowiązki pełnione przez organ nadzorczy nie wiążą się z opłatami dla podmiotu danych.

6. W przypadku gdy wnioski mają charakter dokuczliwy, w szczególności ze względu na ich uporczywy charakter, organ nadzorczy może nałożyć opłatę lub nie podjąć działania, o które zwrócił się podmiot danych. Na organie nadzorczym spoczywa ciężar udowodnienia dokuczliwego charakteru wniosku.

6. W przypadku, gdy wnioski są wyraźnie przesadne, w szczególności ze względu na ich uporczywy charakter, organ nadzorczy może nałożyć rozsądnej wysokości opłatę. Wysokość takiej opłaty nie może przewyższać kosztów podjęcia wnioskowanych czynności. Na organie nadzorczym spoczywa ciężar udowodnienia wyraźnie przesadnego charakteru wniosku.

Poprawka  109

Wniosek dotyczący dyrektywy

Artykuł 46

Tekst proponowany przez Komisję

Poprawka

Uprawnienia

Uprawnienia

Państwa członkowskie stanowią przepisy przewidujące, że każdy organ nadzorczy musi posiadać w szczególności:

1. Państwa członkowskie stanowią przepisy przewidujące, że każdy organ nadzorczy posiada następujące uprawnienia:

a) uprawnienia dochodzeniowe, takie jak prawo do dostępu do danych, które stanowią przedmiot operacji przetwarzania, oraz prawo do gromadzenia wszelkich informacji potrzebnych mu do wykonywania swoich funkcji nadzorczych;

a) uprawnienie do powiadamiania administratora lub podmiotu przetwarzającego o domniemanym naruszeniu przepisów regulujących przetwarzanie danych osobowych, a w stosownych przypadkach nakazania administratorowi lub podmiotowi przetwarzającemu usunięcia naruszenia w konkretny sposób w celu poprawy ochrony podmiotu danych;

b) skuteczne uprawnienia interwencyjne, takie jak wydawanie opinii przed przeprowadzeniem przetwarzania oraz zapewnienie odpowiedniej publikacji takich opinii; nakazywanie ograniczenia dostępu do danych, ich usunięcia lub zniszczenia; nakładanie czasowego lub ostatecznego zakazu przetwarzania danych; wydawanie administratorowi danych ostrzeżeń lub upomnień lub przekazywanie sprawy parlamentowi narodowemu państwa członkowskiego lub innym instytucjom politycznym;

b) uprawnienie do nakazania administratorowi przyjęcia wniosków podmiotu danych dotyczących wykonywania przysługujących mu na mocy niniejszej dyrektywy praw, w tym tych określonych w art. 12–17, jeżeli wnioski takie zostały odrzucone z naruszeniem przepisów tych artykułów;

c) uprawnienie do wszczynania postępowań prawnych w przypadku naruszenia przepisów przyjętych na mocy niniejszej dyrektywy lub do powiadamiania organów sądowych o takich naruszeniach.

c) uprawnienie do nakazania administratorowi lub podmiotowi przetwarzającemu udzielenia informacji na mocy art. 10 ust. 1 i 2 oraz art. 11, 28 i 29;

 

d) uprawnienie do zapewnienia zgodności z opiniami w ramach uprzednich konsultacji, o których mowa w art. 26;

 

e) uprawnienie do ostrzegania lub upominania administratora lub podmiotu przetwarzającego;

 

f) uprawnienie do nakazania poprawienia, usunięcia lub zniszczenia wszystkich danych, jeżeli były one przetwarzane z naruszeniem przepisów przyjętych na mocy niniejszej dyrektywy, oraz do powiadomienia o takich działaniach stron trzecich, którym dane zostały ujawnione;

 

g) uprawnienie do nałożenia czasowego lub ostatecznego zakazu przetwarzania;

 

h) uprawnienie do zawieszenia przepływu danych do odbiorcy w państwie trzecim lub w organizacji międzynarodowej;

 

i) uprawnienie do informowania w zakresie odnośnej tematyki parlamentów narodowych, rządu lub innych instytucji publicznych, a także opinii publicznej.

 

2. Każdy organ nadzorczy ma uprawnienia dochodzeniowe pozwalające mu uzyskać od administratora lub podmiotu przetwarzającego:

 

a) dostęp do wszystkich danych osobowych i do wszystkich informacji niezbędnych do wykonywania obowiązków nadzorczych;

 

b) dostęp do każdego pomieszczenia, w tym do każdego sprzętu i środków służących do przetwarzania danych, zgodnie z prawem krajowym, gdy istnieją uzasadnione powody, by przypuszczać, że dochodzi tam do naruszenia przepisów przyjętych na mocy niniejszej dyrektywy, bez uszczerbku dla zezwolenia sądu, jeśli istnieje taki wymóg w prawie krajowym.

 

3. Bez uszczerbku dla art. 43 państwa członkowskie stanowią przepisy przewidujące, że nie ustanawia się żadnych dodatkowych wymogów w zakresie poufności na wniosek organów nadzorczych.

 

4. Państwa członkowskie mogą ustanowić przepisy przewidujące, że uzyskanie dostępu do informacji zaklasyfikowanych na poziomie zbliżonym do CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższym wymaga dodatkowej kontroli bezpieczeństwa zgodnie z prawem krajowym. Jeśli dodatkowa kontrola bezpieczeństwa nie jest wymagana na mocy prawa państwa członkowskiego danego organu nadzorczego, muszą to uznać wszystkie inne państw członkowskie.

 

5. Każdy organ nadzorczy jest uprawniony do zwrócenia uwagi organom sądowym na naruszenia przepisów przyjętych na mocy niniejszej dyrektywy i do wszczęcia postępowania prawnego oraz wniesienia sprawy do właściwego sądu na mocy art. 53 ust. 2.

 

6. Każdy organ nadzorczy jest uprawniony do nakładania sankcji w związku z naruszeniami przepisów prawa administracyjnego.

Poprawka  110

Wniosek dotyczący dyrektywy

Artykuł 46 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 46a

 

Zgłaszanie naruszeń

 

1. Państwa członkowskie stanowią przepisy przewidujące, że organy nadzorcze uwzględniają wytyczne wydane przez Europejską Radę Ochrony Danych zgodnie z art. 66 ust. 4b rozporządzenia (UE) ..../2013, i wprowadzają skuteczne instrumenty służące zachęcaniu do poufnego zgłaszania naruszeń przepisów niniejszej dyrektywy.

 

2. Państwa członkowskie stanowią przepisy przewidujące, że właściwe organy wprowadzają skuteczne instrumenty służące zachęcaniu do poufnego zgłaszania naruszeń przepisów niniejszej dyrektywy.

Poprawka  111

Wniosek dotyczący dyrektywy

Artykuł 47

Tekst proponowany przez Komisję

Poprawka

Państwa członkowskie stanowią przepisy przewidujące, że każdy organ nadzorczy sporządza roczne sprawozdanie z działalności. Sprawozdanie to udostępniane jest Komisji i Europejskiej Radzie Ochrony Danych.

Państwa członkowskie stanowią przepisy przewidujące, że każdy organ nadzorczy sporządza sprawozdanie z działalności co najmniej co dwa lata. Sprawozdanie to udostępniane jest opinii publicznej, odpowiedniemu parlamentowi narodowemu, Komisji i Europejskiej Radzie Ochrony Danych. Zawiera ono informacje dotyczące zakresu, w jakim właściwe organy korzystały w swej jurysdykcji z dostępu do danych należących do podmiotów niepublicznych w celu prowadzenia dochodzeń w sprawie przestępstw lub ścigania ich.

Poprawka  112

Wniosek dotyczący dyrektywy

Artykuł 48

Tekst proponowany przez Komisję

Poprawka

Wzajemna pomoc

Wzajemna pomoc

1. Państwa członkowskie stanowią przepisy przewidujące, że organy nadzorcze świadczą sobie wzajemną pomoc w celu spójnego wdrażania i stosowania przepisów przyjętych na mocy niniejszej dyrektywy oraz wprowadzają środki na rzecz zapewnienia skutecznej wzajemnej współpracy. Wzajemna pomoc obejmuje w szczególności wnioski o udzielenie informacji oraz środki nadzorcze, takie jak wnioski o przeprowadzenie uprzednich konsultacji, kontroli i dochodzenia.

1. Państwa członkowskie stanowią przepisy przewidujące, że organy nadzorcze świadczą sobie wzajemną pomoc w celu spójnego wdrażania i stosowania przepisów przyjętych na mocy niniejszej dyrektywy oraz wprowadzają środki na rzecz zapewnienia skutecznej wzajemnej współpracy. Wzajemna pomoc obejmuje w szczególności wnioski o udzielenie informacji oraz środki nadzorcze, takie jak wnioski o przeprowadzenie uprzednich konsultacji, kontroli i dochodzenia.

2. Państwa członkowskie stanowią przepisy przewidujące, że organ nadzorczy podejmuje wszystkie właściwe środki niezbędne, by odpowiedzieć na wniosek innego organu nadzorczego.

2. Państwa członkowskie stanowią przepisy przewidujące, że organ nadzorczy podejmuje wszystkie właściwe środki niezbędne, by odpowiedzieć na wniosek innego organu nadzorczego. Takie środki mogą obejmować w szczególności przekazanie odpowiednich informacji lub środki egzekucyjne w celu doprowadzenia do bezzwłocznego zaprzestania lub zakazu prowadzenia operacji przetwarzania niezgodnych z niniejszą dyrektywą, a nie później niż w ciągu jednego miesiąca od daty otrzymania wniosku.

 

2a. Wniosek o udzielenie pomocy zawiera wszystkie niezbędne informacje, w tym cel i uzasadnienie wniosku. Informacje będące przedmiotem wymiany wykorzystywane są wyłącznie w odniesieniu do sprawy określonej we wniosku.

 

2b. Organ nadzorczy, do którego kierowany jest wniosek o pomoc, nie może odmówić jego przyjęcia, chyba że:

 

a) nie jest właściwy do rozpatrzenia tego wniosku; lub

 

b) przyjęcie wniosku byłoby niezgodne z przepisami przyjętymi na mocy niniejszej dyrektywy.

3. Organ nadzorczy, do którego skierowano wniosek, informuje organ nadzorczy, od którego wniosek pochodzi, o rezultatach lub, w odpowiednich przypadkach, o postępach albo środkach podjętych w celu realizacji wniosku skierowanego przez ten organ.

3. Organ nadzorczy, do którego skierowano wniosek, informuje organ nadzorczy, od którego wniosek pochodzi, o rezultatach lub, w odpowiednich przypadkach, o postępach albo środkach podjętych w celu realizacji wniosku skierowanego przez ten organ.

 

3a. Organy nadzorcze przekazują informacje, których dotyczył wniosek innych organów nadzorczych, drogą elektroniczną i w najkrótszym możliwym terminie, przy użyciu standardowego formatu.

 

3b. Nie pobiera się opłat od czynności podjętych w wyniku przesłania wniosku o wzajemną pomoc.

Poprawka  113

Wniosek dotyczący dyrektywy

Artykuł 48 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 48a

 

Wspólne operacje

 

1. Państwa członkowskie stanowią przepisy przewidujące, że w celu zacieśnienia współpracy i zwiększenia wzajemnej pomocy organy nadzorcze mogą podejmować wspólne środki egzekucyjne i prowadzić inne wspólne operacje, podczas których wyznaczeni członkowie lub personel organów nadzorczych z innych państw członkowskich uczestniczą w operacjach na terytorium danego państwa członkowskiego.

 

2. Państwa członkowskie stanowią przepisy przewidujące, że w przypadkach, gdy operacje przetwarzania będą miały prawdopodobny wpływ na podmioty danych w co najmniej jednym innym państwie członkowskim, właściwy organ nadzorczy może zostać zaproszony do udziału we wspólnych operacjach. Właściwy organ nadzorczy może zaprosić organ nadzorczy każdego z tych państw członkowskich do uczestnictwa w odnośnej operacji i w przypadku wystosowania takiego zaproszenia odpowiada bezzwłocznie na wniosek organu nadzorczego zawierający prośbę o uczestnictwo w operacjach.

 

3. Państwa członkowskie określają praktyczne aspekty konkretnych działań w ramach współpracy.

Poprawka  114

Wniosek dotyczący dyrektywy

Artykuł 49

Tekst proponowany przez Komisję

Poprawka

Zadania Europejskiej Rady Ochrony Danych

Zadania Europejskiej Rady Ochrony Danych

1. Europejska Rada Ochrony Danych ustanowiona rozporządzeniem (UE) …./2012 wykonuje następujące zadania w odniesieniu do przetwarzania w zakresie zastosowania niniejszej dyrektywy:

1. Europejska Rada Ochrony Danych ustanowiona rozporządzeniem (UE) …./2013 wykonuje następujące zadania w odniesieniu do przetwarzania w zakresie zastosowania niniejszej dyrektywy:

a) doradzanie Komisji we wszelkich sprawach związanych z ochroną danych osobowych w Unii, w tym na temat wszelkich proponowanych zmian w niniejszej dyrektywie;

a) doradzanie instytucjom unijnym we wszelkich sprawach związanych z ochroną danych osobowych w Unii, w tym na temat wszelkich proponowanych zmian w niniejszej dyrektywie;

b) badanie, na wniosek Komisji, albo z inicjatywy własnej lub jednego ze swych członków, wszelkich kwestii dotyczących stosowania przepisów przyjętych na mocy niniejszej dyrektywy oraz wydawanie wytycznych, zaleceń i najlepszych praktyk skierowanych do organów nadzorczych w celu zachęcenia do spójnego stosowania tych przepisów;

b) badanie, na wniosek Komisji, Parlamentu Europejskiego lub Rady, albo z inicjatywy własnej lub jednego ze swych członków, wszelkich kwestii dotyczących stosowania przepisów przyjętych na mocy niniejszej dyrektywy oraz wydawanie wytycznych, zaleceń i najlepszych praktyk skierowanych do organów nadzorczych w celu zachęcenia do spójnego stosowania tych przepisów, w tym dotyczących wykonywania uprawnień egzekucyjnych;

c) kontrola praktycznego stosowania wytycznych, zaleceń i najlepszych praktyk, o których mowa w lit. b), oraz składanie Komisji regularnych sprawozdań na ich temat;

c) kontrola praktycznego stosowania wytycznych, zaleceń i najlepszych praktyk, o których mowa w lit. b), oraz składanie Komisji regularnych sprawozdań na ich temat;

d) wydawanie Komisji opinii na temat poziomu ochrony w państwach trzecich lub organizacjach międzynarodowych;

d) wydawanie Komisji opinii na temat poziomu ochrony w państwach trzecich lub organizacjach międzynarodowych;

e) wspieranie współpracy i skutecznej dwustronnej i wielostronnej wymiany informacji i praktyk między organami nadzorczymi;

e) wspieranie współpracy i skutecznej dwustronnej i wielostronnej wymiany informacji i praktyk między organami nadzorczymi, w tym koordynacja wspólnych operacji i innych wspólnych działań, jeżeli podejmie taką decyzję na wniosek co najmniej jednego organu nadzorczego;

f) wspieranie wspólnych programów szkoleniowych i ułatwianie wymiany personelu między organami nadzorczymi, jak również w odpowiednich przypadkach z organami nadzorczymi państw trzecich lub organizacji międzynarodowych;

f) wspieranie wspólnych programów szkoleniowych i ułatwianie wymiany personelu między organami nadzorczymi, jak również w odpowiednich przypadkach z organami nadzorczymi państw trzecich lub organizacji międzynarodowych;

g) wspieranie wymiany wiedzy i dokumentacji z organami nadzorującymi ochronę danych na całym świecie, w tym przepisów o ochronie danych i praktyk.

g) wspieranie wymiany wiedzy i dokumentacji z organami nadzorującymi ochronę danych na całym świecie, w tym przepisów o ochronie danych i praktyk;

 

ga) wydawanie opinii dla Komisji w toku przygotowywania aktów delegowanych i wykonawczych na mocy niniejszej dyrektywy.

2. Jeżeli Komisja zwraca się o opinię doradczą do Europejskiej Rady Ochrony Danych, może wyznaczyć limit, w którym Europejska Rada Ochrony Danych wydaje taką opinię, przy uwzględnieniu stopnia pilności danej sprawy.

2. Jeżeli Parlament Europejski, Rada lub Komisja zwróci się o opinię doradczą do Europejskiej Rady Ochrony Danych, może wyznaczyć termin, w którym Europejska Rada Ochrony Danych musi wydać taką opinię, przy uwzględnieniu stopnia pilności danej sprawy.

3. Europejska Rada Ochrony Danych przekazuje swoje opinie, wytyczne, zalecenia i najlepsze praktyki Komisji oraz komitetowi, o którym mowa w art. 57 ust. 1 oraz udostępnia je publicznie.

3. Europejska Rada Ochrony Danych przekazuje swoje opinie, wytyczne, zalecenia i najlepsze praktyki Komisji oraz komitetowi, o którym mowa w art. 57 ust. 1 oraz udostępnia je publicznie.

4. Komisja informuje Europejską Radę Ochrony Danych o działaniach podjętych w reakcji na opinię, wytyczne, zalecenia i najlepsze praktyki przedstawione przez Europejską Radę Ochrony Danych.

4. Komisja informuje Europejską Radę Ochrony Danych o działaniach podjętych w reakcji na opinię, wytyczne, zalecenia i najlepsze praktyki przedstawione przez Europejską Radę Ochrony Danych.

Poprawka  115

Wniosek dotyczący dyrektywy

Artykuł 50 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. Państwa członkowskie stanowią przepisy przewidujące dla każdego organu, organizacji lub zrzeszenia, których celem jest ochrona praw i interesów podmiotów danych w zakresie ochrony ich danych osobowych, i które zostały odpowiednio ustanowione zgodnie z prawem państwa członkowskiego, prawo do złożenia skargi do organu nadzorczego w dowolnym państwie członkowskim w imieniu jednego podmiotu danych lub większej liczby tych podmiotów, jeżeli uznają one, że doszło do naruszenia praw podmiotów danych wynikających z niniejszej dyrektywy w rezultacie przetwarzania danych osobowych. Organizacja lub zrzeszenie muszą być należycie upoważnione przez podmiot lub podmioty danych.

2. Państwa członkowskie stanowią przepisy przewidujące dla każdego organu, organizacji lub zrzeszenia działających w interesie publicznym, które zostały odpowiednio ustanowione zgodnie z prawem państwa członkowskiego, prawo do złożenia skargi do organu nadzorczego w dowolnym państwie członkowskim w imieniu jednego podmiotu danych lub większej liczby tych podmiotów, jeżeli uznają one, że doszło do naruszenia praw podmiotów danych wynikających z niniejszej dyrektywy w rezultacie przetwarzania danych osobowych.

Poprawka  116

Wniosek dotyczący dyrektywy

Artykuł 51

Tekst proponowany przez Komisję

Poprawka

Prawo do sądowego środka ochrony prawnej przeciwko organowi nadzorczemu

Prawo do sądowego środka ochrony prawnej przeciwko organowi nadzorczemu

1. Państwa członkowskie stanowią przepisy przewidujące prawo od sądowego środka ochrony prawnej od decyzji organu nadzorczego.

1. Państwa członkowskie stanowią przepisy przewidujące dla każdej osoby fizycznej lub prawnej prawo do sądowego środka ochrony prawnej od dotyczących tej osoby decyzji organu nadzorczego.

2. Każdy podmiot danych ma prawo do sądowego środka ochrony prawnej w celu zobowiązania organu nadzorczego do działania na podstawie skargi, w przypadku braku decyzji niezbędnej do ochrony jego praw lub gdy organ nadzorczy nie poinformuje podmiotu danych w ciągu trzech miesięcy o postępach w rozpatrywania skargi lub rezultatach jej rozpatrzenia zgodnie z art. 45 ust. 1 lit. b).

2. Państwa członkowskie stanowią przepisy przewidujące, że każdy podmiot danych ma prawo do sądowego środka ochrony prawnej w celu zobowiązania organu nadzorczego do działania na podstawie skargi, w przypadku braku decyzji niezbędnej do ochrony jego praw lub gdy organ nadzorczy nie poinformuje podmiotu danych w ciągu trzech miesięcy o postępach w rozpatrywaniu skargi lub rezultatach jej rozpatrzenia zgodnie z art. 45 ust. 1 lit. b).

3. Państwa członkowskie stanowią przepisy przewidujące, że postępowanie przeciwko organowi nadzorczemu wszczynane jest przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę.

3. Państwa członkowskie stanowią przepisy przewidujące, że postępowanie przeciwko organowi nadzorczemu wszczynane jest przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę.

 

3a. Państwa członkowskie dopilnowują wykonywania prawomocnych orzeczeń sądów, o których mowa w niniejszym artykule.

Poprawka  117

Wniosek dotyczący dyrektywy

Artykuł 52 – ustęp 1 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

1a. Państwa członkowskie dopilnowują wykonywania prawomocnych orzeczeń sądów, o których mowa w niniejszym artykule.

Poprawka  118

Wniosek dotyczący dyrektywy

Artykuł 53 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie stanowią przepisy przewidujące dla każdego organu, organizacji lub zrzeszenia, o których mowa w art. 50 ust. 2, uprawnienie do korzystania z praw, o których mowa w art. 51 i 52 w imieniu podmiotu danych lub większej liczby takich podmiotów.

1. Państwa członkowskie stanowią przepisy przewidujące dla każdego organu, organizacji lub zrzeszenia, o których mowa w art. 50 ust. 2, uprawnienie do korzystania z praw, o których mowa w art. 51, 52 i 54, w razie upoważnienia ich do tego przez podmiot danych lub większą liczbę takich podmiotów.

Poprawka  119

Wniosek dotyczący dyrektywy

Artykuł 53 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. Każdy organ nadzorczy ma prawo do wszczęcia postępowania prawnego i wszczęcia postępowania przed sądem w celu egzekwowania przepisów przyjętych na mocy niniejszej dyrektywy oraz zagwarantowania spójnej ochrony danych osobowych na terytorium Unii.

2. Państwa członkowskie stanowią przepisy przewidujące, że każdy organ nadzorczy ma prawo do wszczęcia postępowania prawnego i wszczęcia postępowania przed sądem w celu egzekwowania przepisów przyjętych na mocy niniejszej dyrektywy oraz zagwarantowania spójnej ochrony danych osobowych na terytorium Unii.

Poprawka  120

Wniosek dotyczący dyrektywy

Artykuł 54 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie zapewniają, by każdej osobie, która poniosła szkodę wskutek niezgodnej z prawem operacji przetwarzania danych lub innej czynności niezgodnej z przepisami krajowymi przyjętymi na mocy niniejszej dyrektywy, przysługiwało prawo do uzyskania odszkodowania od administratora lub podmiotu przetwarzającego za poniesioną szkodę.

1. Państwa członkowskie stanowią przepisy przewidujące, że każda osoba, która poniosła szkodę, w tym szkodę niemajątkową, wskutek niezgodnej z prawem operacji przetwarzania danych lub innej czynności niezgodnej z przepisami krajowymi przyjętymi na mocy niniejszej dyrektywy, przysługuje prawo do domagania się odszkodowania od administratora lub podmiotu przetwarzającego za poniesioną szkodę.

Poprawka  121

Wniosek dotyczący dyrektywy

Artykuł 55 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Rozdział VIIIa

 

Przekazywanie danych osobowych innym podmiotom

 

Artykuł 55a

 

Przekazywanie danych osobowych innym organom lub podmiotom niepublicznym w Unii

 

1. Państwa członkowskie dopilnowują, by administrator nie przekazywał ani nie wydawał podmiotowi przetwarzającemu zaleceń przekazywania danych osobowych osobie fizycznej lub prawnej niepodlegającej przepisom przyjętym na mocy niniejszej dyrektywy, chyba że:

 

a) przekazanie to jest zgodne z prawem unijnym lub krajowym; oraz

 

b) odbiorca ma siedzibę w państwie członkowskim Unii Europejskiej; oraz

 

c) nie istnieje żaden konkretny uzasadniony interes podmiotu danych zapobiegający przekazaniu; oraz

 

d) przekazanie jest niezbędne w konkretnym przypadku przekazania przez administratora danych osobowych do celów:

 

(i) wykonania zadania powierzonego mu na mocy prawa; lub

 

(ii) zażegnania bezpośredniego i poważnego zagrożenia dla bezpieczeństwa publicznego; lub

 

(iii) zapobieżenia poważnemu naruszeniu praw osób fizycznych.

 

2. Administrator informuje odbiorcę o wyłącznym celu, dla którego dane osobowe mogą być przetwarzane.

 

3. Administrator informuje organ nadzorczy o takich operacjach przekazania.

 

4. Administrator informuje odbiorcę o ograniczeniach przetwarzania oraz dopilnowuje, by ograniczenia te były przestrzegane.

Poprawka  122

Wniosek dotyczący dyrektywy

Artykuł 56

Tekst proponowany przez Komisję

Poprawka

Wykonywanie przekazanych uprawnień

Wykonywanie przekazanych uprawnień

1. Powierzenie Komisji uprawnień do przyjęcia aktów delegowanych podlega warunkom określonym w niniejszym artykule.

1. Powierzenie Komisji uprawnień do przyjęcia aktów delegowanych podlega warunkom określonym w niniejszym artykule.

2. Uprawnienia do przyjęcia aktów delegowanych, o których mowa w art. 28 ust. 5, powierza się Komisji na czas nieokreślony od dnia wejścia w życie niniejszej dyrektywy.

2. Uprawnienia do przyjęcia aktów delegowanych, o których mowa w art. 25a ust. 7, art. 28 ust. 5 i art. 34 ust. 3 i 5, powierza się Komisji na czas nieokreślony od dnia wejścia w życie niniejszej dyrektywy.

3. Przekazanie uprawnień, o którym mowa w art. 28 ust. 5, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień Decyzja o odwołaniu staje się skuteczna od następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w określonym w tej decyzji późniejszym terminie Nie wpływa ona na ważność jakichkolwiek już obowiązujących aktów delegowanych.

3. Przekazanie uprawnień, o którym mowa w art. 25a ust. 7, art. 28 ust. 5, art. 34 ust. 3 i 5, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna od następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w określonym w tej decyzji późniejszym terminie. Nie wpływa ona na ważność jakichkolwiek już obowiązujących aktów delegowanych.

4. Niezwłocznie po przyjęciu aktu delegowanego Komisja przekazuje go równocześnie Parlamentowi Europejskiemu i Radzie.

4. Niezwłocznie po przyjęciu aktu delegowanego Komisja przekazuje go równocześnie Parlamentowi Europejskiemu i Radzie.

5. Akt delegowany przyjęty na podstawie art. 28 ust. 5 wchodzi w życie tylko jeśli Parlament Europejski albo Rada nie wyraziły sprzeciwu w terminie dwóch miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub jeśli, przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o 2 miesiące z inicjatywy Parlamentu Europejskiego lub Rady.

5. Akt delegowany przyjęty na podstawie art. 25a ust. 7, art. 28 ust. 5 oraz art. 34 ust. 3 i 5 wchodzi w życie tylko wtedy, kiedy Parlament Europejski albo Rada nie wyraziły sprzeciwu w terminie sześciu miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub kiedy przed upływem tego terminu zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o sześć miesięcy z inicjatywy Parlamentu Europejskiego lub Rady.

Poprawka  123

Wniosek dotyczący dyrektywy

Artykuł 56 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 56a

 

Termin przyjęcia aktów delegowanych

 

1. Komisja przyjmuje akty delegowane na mocy art. 25a ust. 7 i art. 28 ust. 5 do dnia [sześć miesięcy przed datą, o której mowa w art. 62 ust. 1]. Komisja może przedłużyć o sześć miesięcy termin, o którym mowa w niniejszym ustępie.

Uzasadnienie

W celu zapewnienia właściwego wdrożenia dyrektywy i pewności prawa konieczne jest, aby akt delegowany dotyczący powiadamiania o naruszeniach ochrony danych został przyjęty przed datą wejścia w życie dyrektywy.

Poprawka  124

Wniosek dotyczący dyrektywy

Artykuł 57 – ustęp 3

Tekst proponowany przez Komisję

Poprawka

3. W przypadku odesłania do niniejszego ustępu stosuje się art. 8 rozporządzenia (UE) nr 182/2011 w związku z jego art. 5.

skreślony

Poprawka  125

Wniosek dotyczący dyrektywy

Artykuł 61

Tekst proponowany przez Komisję

Poprawka

Ocena

Ocena

1. Komisja ocenia stosowanie niniejszej dyrektywy.

1. Komisja, po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, ocenia stosowanie i wprowadzenie w życie niniejszej dyrektywy. Komisja odpowiada za koordynację w ścisłej współpracy z państwami członkowskimi oraz składa zapowiedziane i niezapowiedziane wizyty. Parlament Europejski i Rada są na bieżąco informowane w ciągu całego procesu oceny oraz mają dostęp do stosownych dokumentów.

2. W ciągu trzech lat po wejściu w życie niniejszej dyrektywy Komisja dokonuje przeglądu innych aktów przyjętych przez Unię Europejską, które regulują przetwarzanie danych osobowych przez właściwe organy, do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo wykonywania kar kryminalnych, w szczególności aktów przyjętych przez Unię, o których mowa w art. 59, w celu oceny potrzeby uzgodnienia ich z niniejszą dyrektywą oraz przedstawienia, w razie potrzeby, niezbędnych propozycji dotyczących zmiany tych aktów celem zapewnienia spójnego podejścia do ochrony danych osobowych w zakresie zastosowania niniejszej dyrektywy.

2. W ciągu dwóch lat po wejściu w życie niniejszej dyrektywy Komisja dokona przeglądu innych aktów przyjętych przez Unię Europejską, które regulują przetwarzanie danych osobowych przez właściwe organy, do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo wykonywania kar kryminalnych, w szczególności aktów przyjętych przez Unię, o których mowa w art. 59, oraz przedstawi odpowiednie wnioski mające na celu zapewnienie spójnych i jednolitych przepisów prawnych dotyczących przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo wykonywania kar kryminalnych w zakresie zastosowania niniejszej dyrektywy.

 

2a. Komisja w ciągu dwóch lat od daty wejścia w życie niniejszej dyrektywy przedstawi odpowiednie wnioski dotyczące przeglądu ram prawnych mających zastosowanie do przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo wykonywania kar kryminalnych, aby zapewnić spójne i jednolite przepisy prawne dotyczące podstawowego prawa do ochrony danych osobowych w Unii.

3. Komisja w regularnych odstępach czasu przedkłada sprawozdania z oceny i przeglądu niniejszej dyrektywy na mocy ust. 1 Parlamentowi Europejskiemu i Radzie. Pierwsze sprawozdania zostaną przedłożone najpóźniej cztery lata po wejściu w życie niniejszej dyrektywy. Kolejne sprawozdania przedkłada się następnie co cztery lata. Komisja przedkłada, w razie potrzeby, odpowiednie propozycje dotyczące zmiany niniejszej dyrektywy oraz uzgodnienia innych instrumentów prawnych. Sprawozdanie jest udostępniane publicznie.

3. Komisja w regularnych odstępach czasu przedkłada sprawozdania z oceny i przeglądu niniejszej dyrektywy na mocy ust. 1 Parlamentowi Europejskiemu i Radzie. Pierwsze sprawozdania zostaną przedłożone najpóźniej cztery lata po wejściu w życie niniejszej dyrektywy. Kolejne sprawozdania przedkłada się następnie co cztery lata. Komisja przedkłada, w razie potrzeby, odpowiednie propozycje dotyczące zmiany niniejszej dyrektywy oraz uzgodnienia innych instrumentów prawnych. Sprawozdanie jest udostępniane publicznie.


UZASADNIENIE

Kontekst wniosku

Sprawozdawca jest zdania, że skuteczne ramy ochrony danych w Europie mogą w znaczącym stopniu przyczynić się do osiągnięcia właściwego poziomu ochrony danych w przypadku każdego pojedynczego obywatela Europy. Do wniosku Komisji 2012/0010 (COD) sprawozdawca wprowadził poprawki w celu podniesienia standardów ochrony do poziomu podobnego, jak w przypadku proponowanego rozporządzenia, i jednocześnie proponowane rozwiązania opatrzył jasnymi uzasadnieniami.

Obowiązująca decyzja ramowa Rady 2008/977/WSiSW z dnia 27 listopada 2008 r. w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych nie zapewnia całościowych ram dla ochrony danych przez organy ścigania i wymiaru sprawiedliwości w sprawach karnych, ponieważ dotyczy jedynie przypadków transgranicznych, a nie reguluje kwestii przepisów prawnych w zakresie ochrony danych istniejących równolegle w innych instrumentach unijnych dotyczących egzekwowania prawa i prawa karnego.

Sprawozdawca wyraża przekonanie, że szybki rozwój technologiczny przyniósł nowe wyzwania w zakresie ochrony danych osobowych. Niezwykle wzrosła skala wymiany i zbierania danych. Technologia umożliwia zarówno organom publicznym, w tym organom ścigania, jak i podmiotom prywatnym wykorzystywanie danych osobowych na niespotykaną dotąd skalę. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Technologia całkowicie zmieniła zarówno gospodarkę, jak i życie społeczne.

W zglobalizowanym i pełnym wzajemnych połączeń świecie stworzonym wokół internetowych metod komunikacji dane osobowe są dostępne, przechowywane, wykorzystywane i oceniane codziennie na niespotykaną wcześniej skalę. W ciągu kilku następnych lat, następnych dziesięcioleci, Europa musi zdecydować, w jaki sposób wykorzystywać wszystkie te informacje, zwłaszcza w odniesieniu do sektora związanego z egzekwowaniem prawa oraz do zapobiegania przestępstwom i ich zwalczania bez naruszania podstawowych praw i norm, w których opracowanie włożyliśmy tak wiele trudu. Jest to wyjątkowa szansa na opracowanie dwóch instrumentów prawnych charakteryzujących się wysokim poziomem i należytą równowagą.

Sprawozdawca z ogromnym zadowoleniem przyjmuje wysiłki podjęte przez Komisję na rzecz stworzenia ujednoliconych ram ochrony danych i zharmonizowania różnych systemów w poszczególnych państwach członkowskich UE oraz wyraża nadzieję, że Rada także w pełni wywiąże się ze swoich obowiązków.

Zmiany zaproponowane przez sprawozdawcę

Sprawozdawca jest zdania, że kilka szczegółowych kwestii w proponowanej dyrektywie wymagało dalszego wyjaśnienia. Były to między innymi następujące kwestie:

- Każdy wyjątek od zasady należało odpowiednio uzasadnić, gdyż ochrona danych stanowi prawo podstawowe. Prawo to musi podlegać ochronie we wszystkich okolicznościach i postanowienia art. 52 karty praw podstawowych dopuszczającego ograniczenia mają w pełni zastosowanie. Ograniczenia takie powinny stanowić wyjątek od zasady ogólnej i nie mogą stać się zasadą same w sobie. W związku z tym ogólne i obszerne wyjątki nie są możliwe do przyjęcia.

- Jasna definicja zasad ochrony danych, takich jak elementy dotyczące przechowywania danych, przejrzystości, aktualizacji, zapewnienia danych prawidłowych, właściwych i niewykraczających poza ściśle określony zakres. Ponadto brakowało również przepisów stanowiących o obowiązku wykazania zgodności przez administratorów danych.

- Operacje przetwarzania danych osobowych muszą być zgodne z prawem, prowadzone rzetelnie i uczciwie wobec zainteresowanych osób. Konkretne cele przetwarzania danych powinny być jednoznaczne, zgodne z prawem i określone w momencie zbierania danych osobowych. Ponadto dane osobowe powinny być prawidłowe, właściwe i ograniczone do niezbędnego minimum odpowiadającego celom, do których są przetwarzane. Dane osobowe powinny być przetwarzane tylko wówczas, gdy celu przetwarzania nie można osiągnąć innymi środkami. Ponadto aby w ramach proponowanego systemu uniknąć przechowywania danych przez czas dłuższy, niż jest to konieczne, administrator powinien ustalić terminy usuwania danych lub okresowego przeglądu.

- Dane osobowe nie powinny być przetwarzane do celów niezgodnych z celem, w jakim zostały zebrane. To, że dane przetwarzane są dla potrzeb związanych z egzekwowaniem prawa, nie oznacza koniecznie, że cel ten jest zgodny z celem początkowym. Pojęcie przetwarzania danych zgodnie z celem musi być interpretowane w sposób rygorystyczny.

- Zasadnicze znaczenie ma, aby przekazywanie danych osobowych innym organom lub stronom prywatnym w Unii było zakazane, chyba że przekazanie jest zgodne z prawem, a odbiorca danych ma siedzibę w państwie członkowskim. Nie istnieje ponadto żaden szczególny uzasadniony interes podmiotu danych zapobiegający przekazaniu, a przekazanie jest niezbędne w konkretnym przypadku, gdy administrator przekazuje dane w celu wykonania zadania przyznanego mu zgodnie z prawem lub w celu zażegnania bezpośredniego i poważnego zagrożenia dla bezpieczeństwa publicznego, lub w celu zapobieżenia poważnemu naruszeniu praw osób fizycznych. Administrator powinien poinformować odbiorcę danych o celu przetwarzania i zawiadomić organ nadzorczy o przekazaniu, a odbiorca danych powinien zostać również poinformowany o ograniczeniach przetwarzania i powinien dopilnować, aby były one przestrzegane.

- Brakowało mechanizmu oceny w odniesieniu do właściwej oceny konieczności i proporcjonalności. Pytanie to jest niezbędne do oceny, czy przetwarzanie określonych danych jest w ogóle konieczne i osiąga swój cel. Ocena taka zapobiegłaby ponadto stworzeniu swoistego społeczeństwa „orwellowskiego”, gdzie ostatecznie wszystkie dane będą przetwarzane i analizowane. Zbieranie danych musi być niezbędne, aby uzasadnić dany cel przy uwzględnieniu, że cel ten nie może zostać osiągnięty innymi środkami, a istota sfery prywatnej osoby fizycznej jest zachowana. Proporcjonalność związana jest również z kwestią ponownego wykorzystania danych do celów innych niż te, dla których pierwotnie były one zgodnie z prawem przetwarzane w celu zapobiegania ogólnemu tworzeniu profili populacji.

- Rozwiązaniem pożądanym jest ustanowienie oceny skutków w zakresie ochrony danych, która powinna zostać przeprowadzona przez administratora lub podmioty przetwarzające i która powinna obejmować w szczególności przewidywane środki, gwarancje i mechanizmy mające zapewnić ochronę danych osobowych oraz umożliwiające wykazanie zgodności z niniejszą dyrektywą. Oceny skutków powinny dotyczyć właściwych systemów i procesów związanych z operacjami przetwarzania danych osobowych, a nie indywidualnych przypadków. Ponadto jeśli ocena skutków w zakresie ochrony danych wykaże, że operacje przetwarzania mogą się wiązać z wysokim poziomem konkretnych ryzyk dla praw i wolności podmiotów danych, organ nadzorczy powinien być w stanie zapobiec, przed rozpoczęciem operacji, ryzykownemu przetwarzaniu, które jest niezgodne z niniejszą dyrektywą, oraz przedstawić propozycje naprawienia tej sytuacji. Taka konsultacja może również zostać przeprowadzona w trakcie przygotowywania środka ustawodawczego przez parlament narodowy lub środka opartego na takim środku prawnym, który określa charakter przetwarzania danych oraz daje odpowiednie gwarancje.

- Brakowało jasnej definicji profilowania. Ewentualna taka definicja powinna odpowiadać zaleceniu Rady Europy CM/Rec(2010)13. Profilowanie w egzekwowaniu prawa musi być regulowane prawem, które ustanawia środki zabezpieczenia uzasadnionego interesu podmiotów danych, w szczególności poprzez umożliwienie im przedstawienia ich punktu widzenia. Wszelkie negatywne konsekwencje muszą być oceniane poprzez działania prowadzone przez człowieka. Jednocześnie profilowanie nie powinno stać się areną walki całkowicie niewinnych ludzi bez uzasadnionego powodu osobistego – nie powinno prowadzić do tak zwanego powszechnego Rasterfahndung.

- Proponowany system przekazywania danych osobowych do państw trzecich był słaby i nie miał wszystkich niezbędnych zabezpieczeń zapewniających ochronę praw osób, których dane będą przekazywane. System ten zapewniał ochronę na poziomie niższym niż proponowane rozporządzenie. Przykładowo wniosek Komisji pozwalałby na przekazanie danych organowi państwa trzeciego lub organizacji międzynarodowej, które nie są właściwe w zakresie egzekwowania prawa. Ponadto jeśli przekazanie takie oparte było na ocenie dokonywanej przez administratora danych (art. 35 ust. 1 lit. b), dyrektywa dopuszczała ewentualne przekazanie danych osobowych o charakterze masowym i hurtowym.

- Kwestią o nadrzędnym znaczeniu jest to, aby w przypadkach, w których brakuje podstawy do dokonywania przekazania, umożliwić zastosowanie odstępstwa w celu ochrony żywotnych interesów podmiotu danych lub innej osoby lub ochrony uzasadnionych interesów podmiotu danych. Odstępstwa, takie jak bezpieczeństwo publiczne państwa członkowskiego lub państwa trzeciego, należy interpretować w sposób rygorystyczny i nie powinny one umożliwiać częstego, masowego i zorganizowanego przekazywania danych osobowych ani hurtowego przekazywania danych, które powinno być ograniczone do ściśle niezbędnych danych. Ponadto decyzja o przekazaniu powinna być podejmowana przez należycie uprawnioną osobę, operacja przekazania musi być udokumentowana, a dokumentacja ta musi być udostępniana na żądanie organowi nadzorczemu w celu kontroli legalności przekazania.

- Umocowanie organów ds. ochrony danych w zakresie monitorowania i zapewniania zgodności z zasadami ochrony danych nie było należycie określone. W porównaniu z proponowanym rozporządzeniem kompetencje organów ds. ochrony danych nie były wyraźnie sformułowane. Nie było jasne, czy organy ds. ochrony danych mogłyby mieć dostęp do pomieszczeń administratora danych, jak zapisano w rozporządzeniu. Ponadto sankcje i środki egzekwowania zdawały się mniej szczegółowe.

- Wprowadzony został nowy artykuł dotyczący danych genetycznych. Przetwarzanie danych genetycznych powinno być dozwolone jedynie wówczas, gdy istnieje powiązanie dotyczące cech genetycznych, które pojawiło się w toku śledztwa lub postępowania sądowego. Dane genetyczne powinny być przechowywane wyłącznie tak długo, jak jest to bezwzględnie konieczne do celów takich śledztw i postępowań, przy czym państwa członkowskie mogą podjąć decyzję o dłuższym przechowywaniu zgodnie z warunkami określonymi w niniejszej dyrektywie.

- Sprawozdawca uważa, że proponowana dyrektywa w wielu aspektach nie spełniała wymogów dotyczących wysokiego poziomu ochrony danych, opisanego przez Komisję jako „mającego zasadnicze znaczenie” (zob. punkt 7 preambuły), i nie była z prawnego punktu widzenia dostosowana do przepisów proponowanego rozporządzenia. Sprawozdawca jest ponadto zdania, że kwestią najistotniejszą jest uznanie obu instrumentów prawnych (rozporządzenia w sprawie ochrony danych i przedmiotowej dyrektywy) za pakiet pod względem harmonogramu i końcowego przyjęcia.

Po okresie, w którym krajowe organy ścigania musiały dostosowywać poziom ochrony danych w zależności od sytuacji, z którą miały do czynienia (sytuacja wewnętrzna lub o charakterze transgranicznym, konwencja z Prüm, Europol, Eurojust), nareszcie trwały i spójny instrument może zapewnić pewność prawa, a jednocześnie może być konkurencyjny na arenie międzynarodowej oraz stanowić model ochrony danych w XXI wieku.


OPINIA Komisji Prawnej (16.4.2013)

dla Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych

w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych

(COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD))

Sprawozdawca komisji opiniodawczej: Axel Voss

ZWIĘZŁE UZASADNIENIE

Dobrze, że UE zamierza stworzyć kompleksowe, spójne i nowoczesne ramy w zakresie ochrony danych na wysokim poziomie, gdyż istnieje bardzo wiele wyzwań w związku z ochroną danych, jak np. globalizacja, rozwój technologiczny, przybierająca na sile aktywność w sieci, zastosowania w związku z coraz powszechniejszą działalnością kryminalną i wątpliwości dotyczące bezpieczeństwa.

Dlatego też w ramach odpowiednich przepisów europejskich (art. 16 TFUE oraz uznania prawa do ochrony danych osobowych w art. 8 karty praw podstawowych jako autonomicznych praw) każdemu należy zagwarantować pewność prawa oraz stworzyć warunki umożliwiające zaufanie do podmiotów odpowiedzialnych za przetwarzanie danych, a zwłaszcza do organów ścigania i wymiaru sprawiedliwości, gdyż nieprzestrzeganie przepisów dotyczących ochrony danych może poważnie zagrażać podstawowym prawom i wolnościom jednostki, a także wartościom państw członkowskich.

W związku z tym Parlament Europejski zawsze stał na stanowisku, że podstawowe prawo do ochrony danych i prawo do prywatności obejmuje ochronę osób przed inwigilacją oraz przed niezgodnym z prawem wykorzystywaniem ich danych przez samo państwo. Logicznym i konsekwentnym krokiem jest zatem zaproponowanie przez Komisję dyrektywy w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu takich danych, którą sprawozdawca przyjmuje z wielkim zadowoleniem.

W dziedzinie wykrywania przestępstw i wykonywania kar kryminalnych ochronę danych należy jednak pogodzić z innymi zadaniami państwa prawa wynikającymi z monopolu władzy państwa. Prawo do ochrony danych w dziedzinie zapobiegania zagrożeniom, zaprowadzania i gwarantowania bezpieczeństwa ogólnego oraz wykrywania przestępstw i wykonywania kar kryminalnych należy dostosować do zadań państwa, a także zadbać o to, aby państwo było w stanie realizować te zadania w interesie wszystkich obywateli.

Proces stanowienia prawa w dziedzinie ochrony danych na szczeblu europejskim charakteryzuje się ogólnie różnorodnością kompetencji. W dawnym pierwszym filarze istnieje wyraźnie zarysowująca się kompetencja wywodząca się z rynku wewnętrznego. W ramach dawnego trzeciego filaru na pierwszym miejscu stoi współpraca, a nie uwspólnotowienie. Dlatego też i w tej dziedzinie decyzja ramowa 2008/977/WSiSW była najskuteczniejszym instrumentem ustalenia minimalnych standardów.

Nie wolno też zapominać, że właśnie w przypadku współpracy policyjnej i sądowej tradycje prawne państw członkowskich UE przez stulecia rozwijały się zupełnie odmiennie, wobec czego ów bardzo drażliwy obszar wymaga, aby bardzo ostrożnie i co najwyżej stopniowo wprowadzać regulacje europejskie zmieniające ustalone struktury i tradycje krajowe.

Oprócz tego w odniesieniu do zakresu stosowania art. 16 TFUE w europejskim prawie do ochrony danych występuje sporna sytuacja, nierozstrzygnięta jeszcze w orzeczeniach sądów najwyższych i będąca przez to źródłem niepewności prawa, do której zdaniem sprawozdawcy należy podejść pragmatycznie.

Wniosek Komisji w sprawie dyrektywy włącza w zakres jej stosowania międzypaństwową wymianę danych, natomiast na podstawie art. 16 II TFUE Unia Europejska dysponuje jedynie kompetencjami w zakresie stosowania prawa unijnego. Nie obejmują one jednak międzypaństwowego przetwarzania danych policyjnych (art. 87 TFUE).

Charakterystyczną cechą ochrony danych jest jej horyzontalne działanie i możliwość oddziaływania na obszary nienależące do wyłącznych kompetencji Komisji, a także dodatkowo możliwość jej konfliktu z zasadą pomocniczości.

Z uwagi na powyższe sprawozdawca uważa, że dyrektywa powinna wprowadzać jedynie minimalne standardy. W praktyce kwestia „jedynie transgranicznej” lub „również międzypaństwowej” ochrony danych traci w ten sposób na aktualności. Skuteczniejszą ochronę danych można jak najbardziej utrzymać.

Aby jednak zachować równowagę w stosunku do ochrony danych jako prawa podstawowego, konieczne jest wzmocnienie praw jednostki i ich jasne sformułowanie w dyrektywie. Niezbędna jest zasada przejrzystości i zasada kontroli, ale zasady te nie mogą być sprzeczne z przeciwdziałaniem zagrożeniom i ściganiem przestępstw.

W celu zagwarantowania równowagi między utrzymaniem monopolu władzy, zapewnieniem bezpieczeństwa i porządku publicznego oraz fizycznej nienaruszalności jednostki a prawem do ochrony danych zdaniem sprawozdawcy należy wprowadzić zmiany wymienione poniżej.

Rozdział I

- W zakresie stosowania uwzględnia się zapobieganie zagrożeniom (art. 1).

- Państwom członkowskim wyraźnie pozwala się na ustalanie wyższych standardów (art. 1). Celem dyrektywy nie jest harmonizacja, lecz ustalenie minimalnych standardów.

- W zakres stosowania włącza się organy, instytucje, urzędy i agencje UE (art. 2).

Rozdział II

- Główną część zasad przetwarzania danych dostosowuje się pod względem językowym do podstawowego rozporządzenia dotyczącego ochrony danych. Zgodnie z podejściem „pakietowym” zasady te powinny być ze sobą zgodne (art. 4).

- Skreśla się art. 5, gdyż prowadziłby on do większej biurokracji i zwiększenia kosztów ponoszonych przez państwa członkowskie, choć jednocześnie nie przewiduje się w nim skutków prawnych.

- Celowość przetwarzania danych to ważna zasada prawa o ochronie danych. Artykuły 6 i 7 poddano gruntownej zmianie oraz rozszerzono je na podstawie decyzji ramowej 2008/977/WSiSW (art. 8 o dokładności danych, art. 3 o celowości i art. 13 o celowości w odniesieniu do danych z innych państw UE).

Rozdział III

Zmiany w rozdziale III mają na celu podkreślenie konieczności indywidualnego zainteresowania oraz indywidualnego, rzeczywistego zapytania dotyczącego przechowywanych danych.

- Możliwość ograniczenia prawa do uzyskania informacji (art. 12) dotyczy jedynie przypadków rozpatrywanych indywidualnie, co prowadzi do wzmocnienia praw jednostkowych.

- W przypadku braku odpowiedniego zapytania prawo do informacji w momencie gromadzenia danych ogranicza się na korzyść regulacji w państwach członkowskich.

- Prawo usunięcia lub poprawienia danych zostaje przeformułowane oraz wzmocnione. Jednocześnie wprowadza się wyjątki w odniesieniu do prawa usunięcia, takie jak np. prawny obowiązek przechowywania danych.

Rozdział IV

- Skreśla się art. 20 (Współadministratorzy), gdyż obniża on standard ochrony danych. W stosunkach zewnętrznych z korzyścią dla osób fizycznych należy utrzymać wspólną odpowiedzialność obydwu administratorów.

- Artykuł 23 (Dokumentacja) skraca się w oparciu o art. 10 decyzji ramowej 2008/977/WSiSW. W związku z tym skreśla się art. 24 (Prowadzenie ewidencji).

- Artykuł 27 (Bezpieczeństwo przetwarzania) zostaje dostosowany do brzmienia art. 22 decyzji ramowej.

- Wprowadza się art. 28a (nowy) dotyczący oceny skutków w zakresie ochrony danych, którego tekst pochodzi z art. 23 decyzji ramowej 2008/977/WSiSW.

- Zgodnie z nowymi przepisami naruszenia ochrony danych osobowych zgłasza się jedynie organowi nadzorczemu, a nie osobie fizycznej jako podmiotowi danych (art. 28 i 29).

Rozdział V

- Do art. 35b przechodzą postanowienia zawarte w art. 13 decyzji ramowej oraz wprowadza się w nim szczególne regulacje dotyczące postępowania z danymi pochodzącymi z innych państw członkowskich.

- Art. 36 zostaje przeformułowany. W ściśle ograniczonych przypadkach i po spełnieniu rygorystycznych warunków musi istnieć możliwość przekazania danych państwom trzecim mimo negatywnej decyzji o właściwości takiego postępowania, aby chronić dobra najwyższej wartości (zdrowie i życie).

Rozdział VIII

- Skreśla się prawo do składania skarg przez podmioty prawne, o którym mowa w art. 50. O możliwości złożenia skargi musi decydować osobiste zainteresowanie i zasada indywidualnego przypadku.

Akty delegowane i wykonawcze

- W związku z tą kwestią chodzi o wprowadzenie do wniosku Komisji zmian, które sprawią, że w odniesieniu do aktów delegowanych i wykonawczych będą obowiązywać jednolite przepisy i nie będzie miała miejsca utrata kompetencji. Podobnie jak w zmianach planowanych w związku z podstawowym projektem rozporządzenia dotyczącego ochrony danych (COM(2012)0011) preferuje się w tym przypadku akty delegowane lub decyzję przekazuje się na szczebel państw członkowskich.

Odpowiedzialność pozaumowna

- Komisja Europejska może podjąć niewłaściwą decyzję dotyczącą adekwatności stopnia ochrony danych w państwie trzecim lub w organizacji międzynarodowej, co doprowadzi do powstania szkód. Przypadek taki należy uregulować w dyrektywie.

POPRAWKI

Komisja Prawna zwraca się do Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych, jako do komisji przedmiotowo właściwej, o naniesienie w swoim sprawozdaniu następujących poprawek:

Poprawka  1

Wniosek dotyczący dyrektywy

Motyw 7

Tekst proponowany przez Komisję

Poprawka

(7) Zapewnienie spójnego, wysokiego poziomu ochrony danych osobowych osób fizycznych oraz ułatwienie wymiany danych osobowych między właściwymi organami państw członkowskich ma zasadnicze znaczenie dla zagwarantowania skutecznej współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej. Aby osiągnąć ten cel konieczne jest zapewnienie we wszystkich państwach członkowskich równorzędnego poziomu ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy w celu zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania i w celu wykonywania kar kryminalnych oraz swobodnego przepływu tych danych. Skuteczna ochrona danych osobowych w całej Unii wymaga wzmocnienia praw podmiotów danych oraz obowiązków podmiotów, które przetwarzają dane osobowe, lecz także równorzędnych uprawnień w zakresie monitorowania i zapewnienia zgodności z przepisami o ochronie danych osobowych w państwach członkowskich.

(7) Zapewnienie spójnego, wysokiego poziomu ochrony danych osobowych osób fizycznych oraz ułatwienie wymiany danych osobowych między właściwymi organami państw członkowskich ma zasadnicze znaczenie dla zagwarantowania skutecznej współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej. Aby osiągnąć ten cel konieczne jest zapewnienie we wszystkich państwach członkowskich minimalnych standardów we wszystkich przypadkach przetwarzania danych osobowych przez właściwe organy w celu zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania i w celu wykonywania kar kryminalnych.

Poprawka  2

Wniosek dotyczący dyrektywy

Motyw 15

Tekst proponowany przez Komisję

Poprawka

(15) Ochrona osób fizycznych powinna być neutralna pod względem technologicznym i nie powinna zależeć od zastosowanych technik, ponieważ w przeciwnym razie wystąpiłoby poważne ryzyko obchodzenia prawa. Ochrona osób fizycznych powinna mieć zastosowanie do przetwarzania danych osobowych w sposób zautomatyzowany, jak również ręcznego przetwarzania, jeśli dane znajdują się lub mają znajdować się w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są zorganizowane według określonych kryteriów, nie powinny wchodzić w zakres niniejszej dyrektywy. Dyrektywa nie powinna mieć zastosowania do przetwarzania danych w toku działalności leżącej poza zakresem prawa Unii, w szczególności dotyczącej bezpieczeństwa narodowego, ani do przetwarzania danych przez instytucje, organy, biura i agencje Unii, takie jak Europol czy Eurojust.

(15) Ochrona osób fizycznych powinna być neutralna pod względem technologicznym i nie powinna zależeć od zastosowanych technik, ponieważ w przeciwnym razie wystąpiłoby poważne ryzyko obchodzenia prawa. Ochrona osób fizycznych powinna mieć zastosowanie do przetwarzania danych osobowych w sposób zautomatyzowany, jak również ręcznego przetwarzania, jeśli dane znajdują się lub mają znajdować się w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są zorganizowane według określonych kryteriów, nie powinny wchodzić w zakres niniejszej dyrektywy. Dyrektywa nie powinna mieć zastosowania do przetwarzania danych w toku działalności leżącej poza zakresem prawa Unii, w szczególności dotyczącej bezpieczeństwa narodowego.

Poprawka  3

Wniosek dotyczący dyrektywy

Motyw 16

Tekst proponowany przez Komisję

Poprawka

(16) Zasady ochrony powinny być stosowane do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych. Aby ustalić, czy można zidentyfikować daną osobę fizyczną, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator lub inna osoba w celu zidentyfikowania tej osoby. Zasady ochrony nie powinny być stosowane do danych zanonimizowanych w taki sposób, że podmiot danych, nie może być już zidentyfikowany.

(16) Zasady ochrony powinny być stosowane do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych. Aby ustalić, czy można zidentyfikować daną osobę fizyczną, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator lub inna współpracująca z nim osoba w celu zidentyfikowania tej osoby. Zasady ochrony nie powinny być stosowane do danych zanonimizowanych w taki sposób, że podmiot danych, nie może być już zidentyfikowany.

Poprawka  4

Wniosek dotyczący dyrektywy

Motyw 23

Tekst proponowany przez Komisję

Poprawka

(23) Nieodłączną cechę przetwarzania danych osobowych w obszarze współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej jest to, że przetwarzane są dane osobowe należące do różnych kategorii osób, których dane dotyczą. Należy zatem wprowadzić w możliwie największym stopniu rozróżnienie między danymi osobowymi dotyczącymi różnych kategorii osób, takich jak podejrzani, osoby skazane za przestępstwo, pokrzywdzeni i osoby trzecie, takie jak świadkowie, osoby posiadające istotne informacje lub kontakty oraz wspólnicy podejrzanych i skazanych przestępców.

skreślony

Poprawka  5

Wniosek dotyczący dyrektywy

Motyw 24

Tekst proponowany przez Komisję

Poprawka

(24) Na tyle na ile to możliwe należy rozróżniać dane osobowe ze względu na stopień ich dokładności i wiarygodności. Fakty należy rozróżnić od osobistych osądów, w celu zagwarantowania zarówno ochrony osób fizycznych, jak i jakości i wiarygodności informacji przetwarzanych przez właściwe organy.

skreślony

Poprawka  6

Wniosek dotyczący dyrektywy

Motyw 43

Tekst proponowany przez Komisję

Poprawka

(43) Przy określaniu szczegółowych przepisów dotyczących formy i procedur mających zastosowanie przy zgłaszaniu naruszeń ochrony danych osobowych należy odpowiednio uwzględnić okoliczności naruszenia, w tym zbadać, czy dane osobowe były zabezpieczone właściwymi technicznymi środkami ochrony, skutecznie ograniczającymi prawdopodobieństwo niewłaściwego wykorzystania danych. W tych przepisach i procedurach należy ponadto uwzględnić słuszne interesy właściwych organów, w przypadkach gdy przedwczesne ujawnienie mogłoby niepotrzebnie utrudnić badanie okoliczności naruszenia.

skreślony

Poprawka  7

Wniosek dotyczący dyrektywy

Motyw 45

Tekst proponowany przez Komisję

Poprawka

(45) Państwa członkowskie powinny zadbać o to, by przekazywanie danych dokonywane było wyłącznie w przypadku, gdy jest to konieczne do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz gdy administrator w państwie trzecim lub organizacji międzynarodowej jest właściwym organem w rozumieniu niniejszej dyrektywy. Przekazywanie może mieć miejsce w przypadkach, w których Komisja zdecydowała, że dane państwo trzecie lub organizacja międzynarodowa zapewnia odpowiedni poziom ochrony lub gdy wprowadzono odpowiednie gwarancje.

(45) Państwa członkowskie powinny zadbać o to, by przekazywanie danych dokonywane było wyłącznie w przypadku, gdy jest to konieczne do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz gdy administrator w państwie trzecim lub organizacji międzynarodowej jest właściwym organem w rozumieniu niniejszej dyrektywy.

Poprawka  8

Wniosek dotyczący dyrektywy

Motyw 55

Tekst proponowany przez Komisję

Poprawka

(55) Niniejsza dyrektywa ma zastosowanie także do działalności sądów krajowych, natomiast właściwość organów nadzorczych nie powinna obejmować przetwarzania danych osobowych wykorzystywanych przez sądy w ramach sprawowania wymiaru sprawiedliwości, by chronić niezawisłość sędziów podczas wykonywania przez nich zadań sądowych. Wyjątek ten powinien być jednak ściśle ograniczony do rzeczywistych zadań sądowych w sprawach sądowych i nie powinien mieć zastosowania do innych działań, w których sędziowie mogą brać udział, zgodnie z prawem krajowym.

(55) Niniejsza dyrektywa ma zastosowanie także do działalności sądów krajowych, natomiast właściwość organów nadzorczych nie powinna obejmować przetwarzania danych osobowych wykorzystywanych przez sądy w ramach sprawowania wymiaru sprawiedliwości, by chronić niezawisłość sędziów podczas wykonywania przez nich zadań sądowych.

Poprawka  9

Wniosek dotyczący dyrektywy

Motyw 70

Tekst proponowany przez Komisję

Poprawka

(70) Ponieważ cele niniejszego rozporządzenia, mianowicie ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych, oraz zapewnienie swobodnego przepływu danych osobowych w ramach całej Unii, nie mogą zostać osiągnięte w wystarczającym stopniu przez państwa członkowskie, natomiast z uwagi na skalę i skutki proponowanego działania możliwe jest lepsze ich osiągnięcie na szczeblu unijnym, Unia może przyjąć środki zgodnie z zasadą pomocniczości, o której mowa w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsza dyrektywa nie wychodzi poza zakres niezbędny do osiągnięcia tego celu.

skreślony

Poprawka  10

Wniosek dotyczący dyrektywy

Motyw 73

Tekst proponowany przez Komisję

Poprawka

(73) Aby zagwarantować całościową i spójną ochronę danych osobowych w Unii umowy międzynarodowe zawarte przez państwa członkowskie przed wejściem w życie niniejszej dyrektywy powinny zostać zmienione zgodnie z niniejszą dyrektywą.

skreślony

Poprawka  11

Wniosek dotyczący dyrektywy

Artykuł 1 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Niniejsza dyrektywa ustanawia przepisy dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania i wykonywania kar kryminalnych.

1. Niniejsza dyrektywa ustanawia przepisy dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania zagrożeniom wynikającym z przestępstw, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania i wykonywania kar kryminalnych.

Uzasadnienie

W ramach zapobiegania zagrożeniom przez policję pojawiają się trudności z rozgraniczeniem zakresu stosowania dyrektywy i rozporządzenia. Jeżeli dane zagrożenie nie podlega karze i w konsekwencji policja nie zapobiega czynowi karalnemu w rozumieniu art. 1 ust. 1 projektu dyrektywy, wówczas dyrektywa nie ma zastosowania (przykłady: rejestr osób zaginionych, samobójcy). Przepisy rozporządzenia podstawowego dotyczącego ochrony danych są całkowicie nieadekwatne w kontekście zapobiegania zagrożeniom.

Poprawka  12

Wniosek dotyczący dyrektywy

Artykuł 1 – ustęp 1 – wprowadzenie

Tekst proponowany przez Komisję

Poprawka

2. Zgodnie z niniejszą dyrektywą państwa członkowskie:

2. Przepisy minimalne zawarte w niniejszej dyrektywie nie uniemożliwiają państwom członkowskim utrzymania lub wprowadzenia regulacji dotyczących ochrony danych osobowych gwarantujących wyższy standard ochrony.

Uzasadnienie

Celem dyrektywy powinno być ustalenie ogólnoeuropejskiego minimalnego standardu ochrony, a nie zastąpienie istniejących regulacji krajowych. Dlatego też państwom członkowskim należy wyraźnie pozwolić na stanowienie bardziej rygorystycznych przepisów.

Poprawka  13

Wniosek dotyczący dyrektywy

Artykuł 1 – ustęp 2 – litera b

Tekst proponowany przez Komisję

Poprawka

b) zapewniają, by wymiana danych osobowych przez właściwe organy w Unii nie była ani ograniczana, ani zakazywana z przyczyn związanych z ochroną osób fizycznych w zakresie przetwarzania danych osobowych.

skreślona

Poprawka  14

Wniosek dotyczący dyrektywy

Artykuł 2 – ustęp 3 – litera b

Tekst proponowany przez Komisję

Poprawka

b) przez instytucje, organy i jednostki organizacyjne Unii.

skreślona

Uzasadnienie

Instytucje i organy UE również powinny wchodzić w zakres stosowania dyrektywy.

Poprawka  15

Wniosek dotyczący dyrektywy

Artykuł 3 – ustęp 1 – punkt 1

Tekst proponowany przez Komisję

Poprawka

(1) „podmiot danych” oznacza zidentyfikowaną osobę fizyczną lub osobę fizyczną, którą można zidentyfikować, bezpośrednio lub pośrednio, za pomocą wszelkich środków, które z rozsądnym prawdopodobieństwem mogą być użyte przez administratora lub inną osobę fizyczną bądź prawną, szczególnie przez odniesienie do numeru identyfikacyjnego, danych dotyczących lokalizacji, identyfikatora online lub też przynajmniej jednego czynnika charakterystycznego dla fizycznej, fizjologicznej, genetycznej, umysłowej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby;

(1) „podmiot danych” oznacza zidentyfikowaną osobę fizyczną lub osobę fizyczną, którą można zidentyfikować, bezpośrednio lub pośrednio, za pomocą wszelkich środków, które z rozsądnym prawdopodobieństwem mogą być użyte przez administratora lub inną współpracującą z nim osobę fizyczną bądź prawną, szczególnie przez odniesienie do numeru identyfikacyjnego, danych dotyczących lokalizacji, identyfikatora online lub też przynajmniej jednego czynnika charakterystycznego dla fizycznej, fizjologicznej, genetycznej, umysłowej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby;

Poprawka  16

Wniosek dotyczący dyrektywy

Artykuł 3 – ustęp 1 – punkt 9 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

(9a) „zgoda podmiotu danych” oznacza dobrowolne, szczególne, świadome i wyraźne oświadczenie woli, przez które podmiot danych, w drodze oświadczenia lub wyraźnego działania potwierdzającego, wyraża zgodę na przetwarzanie dotyczących go danych osobowych;

Uzasadnienie

Poprawka ta wprowadza zgodę podmiotu danych w ściśle wytyczonych granicach. Choć w zasadzie nie można porównywać możliwości obywatela i państwa w tym zakresie, w pojedynczych przypadkach zgoda może stanowić uzasadnienie np. masowych testów DNA.

Poprawka  17

Wniosek dotyczący dyrektywy

Artykuł 3 – ustęp 1 – punkt 14

Tekst proponowany przez Komisję

Poprawka

(14) „właściwe organy” oznaczają każdy organ publiczny właściwy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania oraz wykonywania kar kryminalnych;

(14) „właściwe organy” oznaczają każdy organ publiczny właściwy do celów zapobiegania zagrożeniom, prowadzenia dochodzeń w sprawie przestępstw, wykrywania ich lub ścigania, lub wykonywania kar kryminalnych, w tym również instytucje, organy, urzędy i agencje Unii Europejskiej;

Poprawka  18

Wniosek dotyczący dyrektywy

Artykuł 4 – ustęp 1 – litera a

Tekst proponowany przez Komisję

Poprawka

a) przetwarzane rzetelnie i zgodnie z prawem;

a) przetwarzane zgodnie z prawem, rzetelnie oraz w sposób przejrzysty i umożliwiający weryfikację w odniesieniu do podmiotu danych;

Poprawka  19

Wniosek dotyczący dyrektywy

Artykuł 4 – litera c

Tekst proponowany przez Komisję

Poprawka

c) prawidłowe, właściwe oraz by nie wykraczały poza zakres niezbędny do celów, dla których są przetwarzane;

c) prawidłowe, właściwe oraz ograniczone do minimum niezbędnego do celów, dla których są przetwarzane; dane te muszą być przetwarzane jedynie wtedy, gdy przetwarzanie anonimowe nie wystarczy do osiągnięcia wyznaczonych celów i tylko przez okres, w którym tych celów nie można osiągnąć, przetwarzając informacje, które nie obejmują danych osobowych;

Poprawka  20

Wniosek dotyczący dyrektywy

Artykuł 4 – litera e

Tekst proponowany przez Komisję

Poprawka

e) przechowywane w formie umożliwiającej identyfikację podmiotów danych przez czas nie dłuższy niż jest to konieczne do celów, dla których dane są przetwarzane;

e) przechowywane w formie umożliwiającej identyfikację podmiotów danych przez czas nie dłuższy niż jest to konieczne do osiągnięcia celów, dla których dane są przetwarzane;

Uzasadnienie

W wyniku tej poprawki dopasowuje się brzmienie dyrektywy do tekstu rozporządzenia o ochronie danych. Zgodnie z tzw. podejściem pakietowym w obydwu aktach prawnych powinny obowiązywać te same zasady dotyczące przetwarzania danych.

Poprawka  21

Wniosek dotyczący dyrektywy

Artykuł 4 – litera f

Tekst proponowany przez Komisję

Poprawka

f) przetwarzane pod nadzorem i na odpowiedzialność administratora, który zapewnia zgodność z przepisami przyjętymi na mocy niniejszej dyrektywy.

f) przetwarzane i wykorzystywane jedynie przez odpowiednich pracowników właściwych organów w ramach wykonywania przez nich czynności służbowych;

Poprawka  22

Wniosek dotyczący dyrektywy

Artykuł 4 – litera f

Tekst proponowany przez Komisję

Poprawka

f) przetwarzane pod nadzorem i na odpowiedzialność administratora, który zapewnia zgodność z przepisami przyjętymi na mocy niniejszej dyrektywy.

f) przetwarzane pod nadzorem i na odpowiedzialność administratora, który zapewnia i wykazuje zgodność z przepisami przyjętymi na mocy niniejszej dyrektywy.

Poprawka  23

Wniosek dotyczący dyrektywy

Artykuł 5 – ustęp 1 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

1a. Państwa członkowskie mogą w miarę możliwości wprowadzić szczegółowe zasady dotyczące kategoryzacji danych, w tym również wynikających stąd konsekwencji, a także uwzględnić przy tym różne cele, w związku z którymi dane są gromadzone, w tym również warunki gromadzenia danych, okres ich zatrzymywania, możliwe ograniczenia praw podmiotu danych do dostępu i informacji oraz warunki dostępu do danych przez właściwe organy.

Poprawka  24

Wniosek dotyczący dyrektywy

Artykuł 6 – nagłówek

Tekst proponowany przez Komisję

Poprawka

Różne stopnie dokładności i wiarygodności danych osobowych

Poprawność merytoryczna

Poprawka  25

Wniosek dotyczący dyrektywy

Artykuł 6 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie zapewniają by, na ile to możliwe, różne kategorie danych osobowych poddawanych przetwarzaniu były rozróżniane według stopnia ich dokładności i wiarygodności.

1. Właściwe organy dbają o to, aby dane osobowe w miarę możliwości były poprawne merytorycznie, kompletne i w razie konieczności aktualne.

Poprawka  26

Wniosek dotyczący dyrektywy

Artykuł 6 – ustępy 2 i 2 a (nowy)

Tekst proponowany przez Komisję

Poprawka

2. Państwa członkowskie zapewniają, na ile to możliwe, rozróżnienie między danymi osobowymi opartymi na faktach i danymi osobowymi opartymi na indywidualnej ocenie.

2. Właściwe organy dbają o to, aby nieprawidłowe, niepełne lub nieaktualne już dane osobowe nie były przekazywane ani udostępniane. W tym celu właściwe organy w miarę możliwości weryfikują jakość danych osobowych przed ich przekazaniem lub udostępnieniem. Ilekroć przekazuje się dane, dołącza się do nich w miarę możliwości informacje, dzięki którym odbierające je państwo członkowskie może ocenić stopień dokładności, kompletności, aktualności i wiarygodności tych danych. Jeżeli dane osobowe przekazuje się w braku uprzedniego wniosku, odbierający je organ bezzwłocznie sprawdza, czy dane te są potrzebne w celach, w których zostały przekazane.

 

2a. Jeżeli stwierdzono, że przekazano dane nieprawidłowe lub że dane przekazano nielegalnie, należy o tym bezzwłocznie poinformować odbiorcę. Odbiorca ma obowiązek bezzwłocznego poprawienia tych danych zgodnie z ust. 1 i art. 15 lub ich usunięcia zgodnie z art. 16.

Uzasadnienie

Podstawą tekstu jest art. 8 decyzji ramowej 2008/977/WSiSW, a celem zakaz przekazywania merytorycznie niepoprawnych danych.

Poprawka  27

Wniosek dotyczący dyrektywy

Artykuł 7 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 7a

 

Legalność przetwarzania i celowość

 

1. Przetwarzanie danych osobowych jest legalne tylko wówczas, gdy ma miejsce z poszanowaniem wymienionych poniżej zasad.

 

2. Właściwe organy mogą gromadzić dane osobowe tylko do ściśle określonych, jednoznacznych i legalnych celów w ramach wykonywania swoich zadań. Legalnym celom służy gromadzenie danych zwłaszcza w związku z:

 

a) wykonaniem zadania realizowanego przez właściwy organ, w oparciu o prawo, do celów określonych w art. 1 ust. 1; lub

 

b) wypełnianiem obowiązku prawnego ciążącego na administratorze; lub

 

c) ochroną odpowiednich interesów podmiotu danych; lub

 

d) ochroną uzasadnionych interesów innej osoby, chyba że wymagający ochrony interes danego podmiotu danych w zrezygnowaniu z przetwarzania danych jednoznacznie przeważa;

 

e) zapobieganiem zagrożeniu bezpieczeństwa publicznego.

 

3. Przetwarzanie danych osobowych musi być zgodne z celami, dla których zostały one zebrane. Dane wolno poddać dalszemu przetwarzaniu w innym celu, o ile:

 

a) służy ono celom zgodnym z prawem (ust. 2);

 

b) jest ono niezbędne dla potrzeb tego innego celu;

 

c) nie jest ono niezgodne z celami, dla których dane zebrano.

 

4. Ponadto w ramach odstępstwa od ust. 3 możliwe jest poddanie danych osobowych dalszemu przetwarzaniu do celów historycznych, statystycznych lub naukowych, o ile państwa członkowskie przewidują odpowiednie gwarancje, takie jak anonimizacja danych.

Poprawka  28

Wniosek dotyczący dyrektywy

Artykuł 7 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 7 b

 

Szczególne wymagania w przypadku danych osobowych z innych państw członkowskich

 

W przypadku danych osobowych przekazanych lub udostępnionych przez właściwy organ innego państwa członkowskiego należy ponadto, jako uzupełnienie do ogólnych zasad dotyczących przetwarzania danych, zwracać uwagę na kwestie wymienione poniżej.

 

1. Dane osobowe można przekazywać podmiotom niepublicznym tylko wówczas, gdy:

 

a) właściwy organ państwa członkowskiego, z którego uzyskano odnośne dane, wyraził zgodę na ich przekazanie zgodnie ze swoim prawem krajowym;

 

b) nie istnieje żaden szczególny uzasadniony interes podmiotu danych zapobiegający przekazaniu; oraz

 

c) w szczególnych przypadkach przekazanie danych ma dla właściwego organu, który przekazuje dane podmiotowi niepublicznemu, zasadnicze znaczenie z uwagi na:

 

(i) wykonywanie zadań przyznanych mu zgodnie z prawem;

 

(ii) zapobieganie przestępstwom, ich wykrywanie lub ściganie, lub wykonywanie sankcji karnych;

 

(iii) zapobieganie bezpośrednim poważnym zagrożeniom bezpieczeństwa publicznego lub

 

(iv) zapobieżenie poważnemu naruszeniu praw osób fizycznych.

 

Właściwy organ przekazujący dane podmiotowi niepublicznemu informuje go o wyłącznych celach, do jakich dane te mogą zostać wykorzystane.

 

2. Jeżeli spełnione są warunki określone w art. 7 ust. 3, dane osobowe mogą podlegać dalszemu przetwarzaniu jedynie do następujących celów innych niż cele, w związku z którymi dane te przekazano lub udostępniono:

 

a) zapobieganie przestępstwom, ich ściganie, wykrywanie lub karanie, lub wykonywanie sankcji karnych – w odniesieniu do przestępstw i sankcji karnych innych niż te, w stosunku do których przekazano lub udostępniono przedmiotowe dane;

 

b) inne postępowania sądowe i administracyjne bezpośrednio związane z zapobieganiem przestępstwom, ich ściganiem, wykrywaniem lub karaniem, lub z wykonywaniem sankcji karnych;

 

c) zapobieżenie bezpośredniemu i poważnemu zagrożeniu bezpieczeństwa publicznego; lub

 

d) w każdym innym celu – wyłącznie za uprzednią zgodą państwa członkowskiego przekazującego dane lub za zgodą osoby, której dotyczą dane, udzieloną zgodnie z prawem krajowym.

 

Powyższe nie narusza przepisów art. 7 ust. 4.

 

3. Jeżeli zgodnie z prawem krajowym przekazującego państwa członkowskiego w określonych przypadkach do wymiany danych między właściwymi organami w tym państwie członkowskim mają zastosowanie szczególne ograniczenia w przetwarzaniu danych, organ przekazujący informuje odbiorcę o takich ograniczeniach. Odbiorca dba o to, aby te ograniczenia dotyczące przetwarzania były przestrzegane.

Uzasadnienie

Zmiany wprowadzone w tym artykule służą włączeniu regulacji z art. 13 decyzji ramowej 2008/977/WSiSW, dotyczących postępowania z danymi pochodzącymi z innych państw członkowskich, a także szczególnej ochronie tych danych. Celem artykułu 7b jest jednocześnie ochrona państwa członkowskiego, z którego dane pochodzą, oraz stworzenie atmosfery zaufania niezbędnej do wymiany danych wewnątrz Unii, dzięki której przekazane dane nie będą podlegać dalszemu przetwarzaniu wedle uznania państwa otrzymującego dane.

Poprawka  29

Wniosek dotyczący dyrektywy

Artykuł 7 c (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 7c

 

Ustalenie terminów usunięcia danych i przeglądu

 

Ustala się odpowiednie terminy usunięcia danych osobowych lub okresowego przeglądu mającego na celu ustalenie potrzeby dalszego przechowywania danych. Przestrzeganie tych terminów zapewniają odpowiednie rozwiązania proceduralne.

Uzasadnienie

Tekst poprawki przejęto z art. 5 decyzji ramowej 2008/977/WSiSW.

Poprawka  30

Wniosek dotyczący dyrektywy

Artykuł 8

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie zabraniają przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, wierzenia religijne lub przekonania filozoficzne, przynależność do związków zawodowych, jak również przetwarzania danych genetycznych lub danych dotyczących zdrowia i życia seksualnego.

Przetwarzanie danych osobowych, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, światopogląd lub przynależność do związków zawodowych, oraz danych osobowych dotyczących stanu zdrowia i życia seksualnego jest dozwolone tylko wówczas, gdy:

2. Ustęp 1 nie ma zastosowania, w przypadku gdy:

 

a) na przetwarzanie zezwala prawo przewidujące odpowiednie gwarancje;

a) przetwarzanie jest niezbędne i zezwala na nie prawo przewidujące odpowiednie gwarancje; lub

b) przetwarzanie jest niezbędne w celu ochrony żywotnych interesów podmiotu danych lub innej osoby;

b) przetwarzanie jest niezbędne w celu ochrony żywotnych interesów podmiotu danych lub innej osoby;

c) przetwarzanie dotyczy danych osobowych, które zostały wyraźnie podane do publicznej wiadomości przez podmiot danych.

c) przetwarzanie dotyczy danych osobowych, które zostały wyraźnie podane do publicznej wiadomości przez podmiot danych.

Uzasadnienie

Artykuł ten przeformułowano na wzór art. 6 decyzji ramowej 2008/977/WSiSW. Choć w odniesieniu do swojej systematyki odbiega on od zakazu w projekcie dyrektywy, przetwarzanie danych wymagających szczególnej ochrony wciąż jest dozwolone jedynie po spełnieniu ściśle określonych warunków. Z uwagi na duże znaczenie dowodów w postaci śladów DNA usuwa się ponownie wprowadzony przez Komisję zasadniczy zakaz przetwarzania danych genetycznych.

Poprawka  31

Wniosek dotyczący dyrektywy

Artykuł 9 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie stanowią przepisy przewidujące, że środki wywołujące niekorzystne skutki prawne dla podmiotu danych, lub mające na tę osobę istotny wpływ i oparte wyłącznie na automatycznym przetwarzaniu danych mającym służyć ocenie niektórych aspektów o charakterze osobistym podmiotu danych, jest zakazane, chyba że zostanie dopuszczone prawem, które przewiduje również gwarancje słusznych interesów podmiotu danych.

1. Środki wywołujące niekorzystne skutki prawne dla podmiotu danych lub mające na tę osobę istotny wpływ i oparte wyłącznie na automatycznym przetwarzaniu danych mającym służyć ocenie niektórych aspektów o charakterze osobistym podmiotu danych są dozwolone tylko wówczas, gdy jest to dopuszczone prawem, które przewiduje gwarancje słusznych interesów podmiotu danych.

Uzasadnienie

Celem poprawki jest powrót do sformułowań decyzji ramowej (2008/977/WSiSW). Profilowanie wciąż jest dopuszczalne jedynie pod warunkiem spełnienia surowych warunków, mimo że odchodzi się od wprowadzania zakazu.

Poprawka  32

Wniosek dotyczący dyrektywy

Artykuł 9 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. Automatyczne przetwarzanie danych osobowych, które ma służyć ocenie niektórych aspektów osobistych osoby fizycznej, nie opiera się jedynie na szczególnych kategoriach danych osobowych, o których mowa w art. 8.

skreślony

Uzasadnienie

W ust. 2 wręcz zachęca się do profilowania na dużą skalę i łatwo można by obejść zawarte w nim postanowienia.

Poprawka  33

Wniosek dotyczący dyrektywy

Artykuł 10 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie stanowią przepisy przewidujące, że administrator podejmuje wszystkie rozsądne kroki, aby dysponować przejrzystymi i łatwo dostępnymi politykami w zakresie przetwarzania danych osobowych i wykonywania praw przez podmioty danych.

1. Państwa członkowskie stanowią przepisy przewidujące, że administrator podejmuje wszelkie odpowiednie kroki, których podjęcia można żądać, aby dysponować przejrzystymi i łatwo dostępnymi politykami w zakresie przetwarzania danych osobowych i wykonywania praw przez podmioty danych.

Poprawka  34

Wniosek dotyczący dyrektywy

Artykuł 10 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. Państwa członkowskie stanowią przepisy przewidujące, że wszelkie informacje i komunikaty dotyczące przetwarzania danych osobowych mają być przekazywane przez administratora podmiotowi danych w czytelnej formie, w jasnym i prostym języku.

2. Państwa członkowskie stanowią przepisy przewidujące, że wszelkie informacje i komunikaty dotyczące przetwarzania danych osobowych mają być przekazywane przez administratora podmiotowi danych w czytelnej formie, w jak najjaśniejszym i prostym języku.

Poprawka  35

Wniosek dotyczący dyrektywy

Artykuł 10 – ustęp 4

Tekst proponowany przez Komisję

Poprawka

4. Państwa członkowskie stanowią przepisy przewidujące, że administrator niezwłocznie informuje podmiot danych o sposobie reakcji na jego wniosek.

skreślony

Poprawka  36

Wniosek dotyczący dyrektywy

Artykuł 12 – ustęp 1 – litera a (nowa)

Tekst proponowany przez Komisję

Poprawka

 

a) wszelkie dane osobowe podlegające przetwarzaniu i wszelkie dostępne informacje o ich źródle;

Poprawka  37

Wniosek dotyczący dyrektywy

Artykuł 12 – ustęp 1 – litera g

Tekst proponowany przez Komisję

Poprawka

g) przekazanie danych osobowych podlegających przetwarzaniu i wszelkich dostępnych informacji o ich źródle.

skreślona

Uzasadnienie

Przedmiotowa kwestia dotyczy zasadniczego prawa dostępu podmiotu danych, więc powinna być wymieniona na początku listy.

Poprawka  38

Wniosek dotyczący dyrektywy

Artykuł 13 – ustęp 1 – wprowadzenie

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie mogą przyjąć środki legislacyjnej ograniczające, w całości lub w części, prawo dostępu podmiotu danych o ile takie częściowe lub całkowite ograniczenie stanowi konieczny i proporcjonalny środek w demokratycznym społeczeństwie, przy należytym uwzględnieniu słusznych interesów danej osoby:

1. Państwa członkowskie mogą przyjąć środki legislacyjnej ograniczające w konkretnym przypadku, w całości lub w części, prawo dostępu podmiotu danych w zakresie i przez okres, w którym takie częściowe lub całkowite ograniczenie stanowi konieczny i proporcjonalny środek w demokratycznym społeczeństwie, przy należytym uwzględnieniu słusznych interesów danej osoby:

Poprawka  39

Wniosek dotyczący dyrektywy

Artykuł 13 – ustęp 1 – litera b

Tekst proponowany przez Komisję

Poprawka

b) aby zapobiec negatywnemu wpływowi na zapobieganie przestępstwom, wykrywanie ich, prowadzenie dochodzeń w ich sprawie i ich ściganie lub wykonywanie kar kryminalnych;

b) aby zapobiec negatywnemu wpływowi na zapobieganie zagrożeniom, wykrywanie przestępstw, prowadzenie dochodzeń w ich sprawie i ich ściganie lub wykonywanie kar kryminalnych;

Poprawka  40

Wniosek dotyczący dyrektywy

Artykuł 13 – ustęp 1 – litera e

Tekst proponowany przez Komisję

Poprawka

e) aby chronić prawa i wolności innych osób.

e) aby chronić podmiot danych lub prawa i wolności innych osób.

Poprawka  41

Wniosek dotyczący dyrektywy

Artykuł 13 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. Państwa członkowskie mogą ustalić przepisami prawa kategorie przetwarzania danych, które mogą zostać objęte w całości lub części wyjątkami przewidzianymi w ust. 1.

skreślony

Uzasadnienie

Odmówienie informacji zawsze musi zależeć od konkretnej sytuacji.

Poprawka  42

Wniosek dotyczący dyrektywy

Artykuł 14 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie stanowią przepisy przewidujące że podmiot danych, ma prawo do zwrócenia się, w szczególności w przypadkach, o których mowa w art. 13, do organu nadzorczego o sprawdzenie zgodności z prawem przetwarzania.

1. Państwa członkowskie stanowią przepisy przewidujące, że w granicach ustalonych na mocy art. 12 i 13 podmiot danych ma prawo zwrócenia się do organu nadzorczego o sprawdzenie zgodności z prawem przetwarzania.

Poprawka  43

Wniosek dotyczący dyrektywy

Artykuł 14 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. Państwa członkowskie stanowią, że administrator informuje podmiot danych o prawie od zwrócenia się do organu nadzorczego o interwencję na mocy ust. 1.

2. Państwa członkowskie stanowią, że w odpowiedzi na zapytanie administrator informuje podmiot danych o prawie do zwrócenia się do organu nadzorczego o interwencję na mocy ust. 1.

Poprawka  44

Wniosek dotyczący dyrektywy

Artykuł 14 – ustęp 3 – akapit pierwszy a

Tekst proponowany przez Komisję

Poprawka

 

Państwa członkowskie decydują, czy podmiot danych może dochodzić tego prawa bezpośrednio u administratora danych czy za pośrednictwem właściwego krajowego organu nadzorczego.

Uzasadnienie

Niniejsza poprawka służy wprowadzeniu systemu wniosków w sprawie pośredniego dostępu podmiotu danych. W tym celu wykorzystano w niej brzmienie decyzji ramowej z 2008 r.

Poprawka  45

Wniosek dotyczący dyrektywy

Artykuł 15 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie stanowią przepisy przewidujące, że podmiot danych, ma prawo do uzyskania od administratora poprawienia niedokładnych danych osobowych, które go dotyczą. Podmiot danych, ma prawo do uzyskania uzupełnienia niekompletnych danych osobowych, w szczególności w drodze sprostowania.

1. Państwa członkowskie stanowią przepisy przewidujące, że podmiot danych ma prawo domagać się poprawienia niedokładnych danych osobowych, które go dotyczą. Podmiot danych, ma prawo do uzyskania uzupełnienia niekompletnych danych osobowych, w szczególności w drodze sprostowania.

Poprawka  46

Wniosek dotyczący dyrektywy

Artykuł 15 – ustępy 2 i 2 a (nowy)

Tekst proponowany przez Komisję

Poprawka

2. Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje podmiot danych, na piśmie, o wszelkich odmowach poprawienia danych, o przyczynach odmowy oraz możliwości złożenia skargi do organu nadzorczego i wystąpienia o sądowy środek ochrony prawnej.

2. Państwa członkowskie decydują, czy osoba, której dotyczą dane, może dochodzić tego prawa bezpośrednio u administratora danych czy za pośrednictwem właściwego organu nadzorczego.

 

2a. Jeżeli podmiot danych dochodzi swoich praw bezpośrednio u administratora danych, który odmówi poprawienia lub uzupełnienia danych, wówczas administrator ma obowiązek poinformować podmiot danych na piśmie o odmowie poprawienia danych, o przyczynach odmowy oraz o możliwości złożenia skargi do organu nadzorczego i wystąpienia o sądowy środek ochrony prawnej.

Uzasadnienie

O szczegółach powinny móc decydować państwa członkowskie.

Poprawka  47

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie stanowią przepisy przewidujące, że podmiot danych ma prawo uzyskania od administratora usunięcia danych osobowych odnoszących się do niego, jeżeli przetwarzanie jest niezgodne z przepisami przyjętymi na mocy art. 4 lit. a)-e), art. 7 i 8 niniejszej dyrektywy.

1. Państwa członkowskie stanowią przepisy przewidujące, że podmiot danych ma prawo uzyskania od administratora usunięcia danych osobowych odnoszących się do niego, jeżeli przetwarzanie jest niezgodne z przepisami przyjętymi na mocy art. 4, 6, 7 i 8 niniejszej dyrektywy.

Uzasadnienie

Zmiana służy rozszerzeniu zakresu stosowania i wzmacnia prawa indywidualne.

Poprawka  48

Wniosek dotyczący dyrektywy

Artykuł 16 – ustępy 2 i 2 a (nowy)

Tekst proponowany przez Komisję

Poprawka

2. Administrator usuwa dane niezwłocznie.

2. Państwa członkowskie decydują, czy podmiot danych może dochodzić tego prawa bezpośrednio u administratora danych czy za pośrednictwem właściwego krajowego organu nadzorczego.

 

2a. Jeżeli podmiot danych dochodzi swoich praw bezpośrednio u administratora danych, który odmówi poprawienia lub uzupełnienia danych, wówczas administrator ma obowiązek poinformować podmiot danych na piśmie o odmowie poprawienia danych, o przyczynach odmowy oraz o możliwości złożenia skargi do organu nadzorczego i wystąpienia o sądowy środek ochrony prawnej.

Poprawka  49

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 3 – wprowadzenie

Tekst proponowany przez Komisję

Poprawka

3. Zamiast usunąć je, administrator oznacza dane osobowe jeżeli:

3. Zamiast usunąć je, administrator ogranicza przetwarzanie danych osobowych, jeżeli:

Poprawka  50

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 3 – litera c

Tekst proponowany przez Komisję

Poprawka

c) podmiot danych sprzeciwia się ich usunięciu, występując w zamian o ograniczenie ich używania.

c) usunięcie danych zaszkodziłoby wymagającym ochrony interesom podmiotu danych lub podmiot danych sprzeciwia się ich usunięciu, występując w zamian o ograniczenie ich używania.

Poprawka  51

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 3 – litery c a do c c (nowe)

Tekst proponowany przez Komisję

Poprawka

 

ca) obowiązki prawne w zakresie dokumentacji lub przechowywania danych uniemożliwiają usunięcie danych; w takim przypadku z danymi należy postępować tak, jak wymagają tego obowiązki prawne w zakresie dokumentacji lub przechowywania danych;

 

cb) przechowuje się je w celu zabezpieczenia danych lub kontroli ochrony danych;

 

cc) usunięcie danych możliwe jest jedynie przy niewspółmiernie wysokim nakładzie środków, np. z powodu szczególnej formy przechowywania danych.

Poprawka  52

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 3 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

3a. Dane ograniczonego stosowania można wykorzystać tylko do celu, w związku z którym zaniechano usunięcia danych. Wolno je wykorzystywać również w takim zakresie, w jakim jest to niezbędne w celu dostarczenia brakujących dowodów.

Uzasadnienie

W poprawce wyjaśnia się, jakie skutki prawne powinno mieć zablokowanie danych.

Poprawka  53

Wniosek dotyczący dyrektywy

Artykuł 16 – ustęp 4

Tekst proponowany przez Komisję

Poprawka

4. Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje podmiot danych, na piśmie o wszelkich odmowach usunięcia lub oznaczenia danych, o przyczynach odmowy oraz możliwości złożenia skargi do organu nadzorczego i wystąpienia o sądowy środek ochrony prawnej.

4. Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje podmiot danych na piśmie o wszelkich odmowach usunięcia lub ograniczenia danych, o przyczynach odmowy oraz możliwości złożenia skargi do organu nadzorczego i wystąpienia o sądowy środek ochrony prawnej.

Poprawka  54

Wniosek dotyczący dyrektywy

Artykuł 17 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

Państwa członkowskie mogą ustanowić przepisy przewidujące, że prawa do informacji, dostępu, poprawienia, usunięcia i ograniczenia przetwarzania, o których mowa w art. 11-16 wykonywane są zgodnie z krajowymi przepisami postępowania karnego, jeżeli dane osobowe zawarte w orzeczeniu lub protokole sądowym przetwarzanym w toku dochodzenia i postępowania karnego.

Państwa członkowskie mogą ustanowić przepisy przewidujące, że informowanie, dostęp, poprawianie, usuwanie lub ograniczenie przetwarzania, o czym mowa w art. 11–16, odbywa się zgodnie z krajowymi przepisami prawa procesowego, jeżeli chodzi o dane osobowe zawarte w orzeczeniu sądowym lub w protokole sądowym dotyczącym wydania orzeczenia sądowego.

Uzasadnienie

Artykuł ten powinien obejmować wszystkie sądy, a nie jedynie postępowania karne.

Poprawka  55

Wniosek dotyczący dyrektywy

Artykuł 18 – ustęp 3

Tekst proponowany przez Komisję

Poprawka

3. Administrator wdraża mechanizmy służące zapewnieniu weryfikacji skuteczności środków, o których mowa w ust. 1 niniejszego artykułu. Jeżeli jest to proporcjonalne, weryfikacja ta prowadzona jest przez niezależnych wewnętrznych lub zewnętrznych audytorów.

skreślony

Uzasadnienie

Skreśla się artykuł 18 ust. 3, gdyż w przeciwnym razie istnieje ryzyko powstania chaosu weryfikacyjnego. Inspektor ochrony danych i organ nadzorczy powinni wystarczyć do zagwarantowania ochrony danych, a dalsi zewnętrzni lub wewnętrzni weryfikatorzy nie są potrzebni i mogą nawet wprowadzać zamieszanie.

Poprawka  56

Wniosek dotyczący dyrektywy

Artykuł 21 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie stanowią przepisy przewidujące, że gdy operacja przetwarzania realizowana jest w imieniu administratora, administrator musi wybrać podmiot przetwarzający dający wystarczające gwarancje wdrożenia odpowiednich środków i procedur technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom przepisów przyjętych na mocy niniejszej dyrektywy oraz gwarantowało ochronę praw osób, których dane dotyczą.

1. Państwa członkowskie stanowią przepisy przewidujące, że gdy operacja przetwarzania realizowana jest w imieniu administratora, administrator musi wybrać podmiot przetwarzający dający wystarczające gwarancje, że

 

a) wdrażane są środki oraz procedury techniczne i organizacyjne zgodnie z art. 27 ust. 1;

 

b) przetwarzanie będzie odpowiadać wymogom przepisów przyjętych na mocy niniejszej dyrektywy oraz zagwarantuje ochronę praw osób, których dane dotyczą; oraz

 

c) podmiot danych będzie postępował zgodnie z poleceniami administratora danych.

Uzasadnienie

Zmiany wprowadzone w artykule wynikają z decyzji ramowej 2008/977/WSiSW, od której nie ma powodu odstępować. Część ustępu znajdującego się w tekście Komisji przeniesiono do lit. a) i b) poprawki Parlamentu.

Poprawka  57

Wniosek dotyczący dyrektywy

Artykuł 21 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. Państwa członkowskie stanowią przepisy przewidujące, że przetwarzanie przez podmiot przetwarzający musi być regulowane aktem prawnym wiążącym podmiot przetwarzający z administratorem i zawierającym w szczególności zapis, że podmiot przetwarzający działa wyłącznie na polecenie administratora, w szczególności gdy przekazywanie danych osobowych jest zakazane.

2. Przetwarzanie przez podmiot przetwarzający musi być regulowane aktem prawnym lub pisemną umową przewidującą, że podmiot przetwarzający działa wyłącznie na polecenie administratora.

Uzasadnienie

Zmiany wprowadzone w artykule wynikają z decyzji ramowej 2008/977/WSiSW, od której nie ma powodu odstępować.

Poprawka  58

Wniosek dotyczący dyrektywy

Artykuł 23 – ustępy 1 oraz 1 a i 1 b (nowe)

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie przyjmują przepisy przewidujące, że każdy administrator i podmiot przetwarzający prowadzą dokumentację wszystkich systemów i procedur przetwarzania, za które są odpowiedzialni.

1. Wszelkie właściwe organy prowadzą szczegółową dokumentację wszystkich systemów i procedur przetwarzania, za które są odpowiedzialne.

 

1a. Przypadki przekazania danych osobowych należy odnotować lub udokumentować do celów weryfikacji zgodności z prawem przetwarzania danych, monitorowania własnej działalności oraz zagwarantowania odpowiedniej integralności i bezpieczeństwa danych.

 

1b. Wpisy oraz dokumentację przygotowane w ten sposób należy udostępniać na żądanie właściwemu organowi nadzorczemu. Organ nadzorczy wykorzystuje te informacje wyłącznie w celu kontroli zgodności z prawem przetwarzania danych oraz w celu zagwarantowania integralności i bezpieczeństwa danych.

Uzasadnienie

Na podstawie art. 10 decyzji ramowej 2008/977/WSiSW. W niniejszej poprawce skreślono obowiązki na szczeblu krajowym i zawarto odniesienie jedynie do transgranicznego przekazywania danych, co udaremnia realizację celu przedmiotowej dyrektywy, oddala ją od rozporządzenia i całego tak zwanego zharmonizowanego pakietu. W powyższej poprawce przewiduje się przynajmniej niektóre przepisy na szczeblu krajowym, chociaż pożądane byłoby przywrócenie oryginału w celu harmonizacji z tekstem rozporządzenia.

Poprawka  59

Wniosek dotyczący dyrektywy

Artykuł 27 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie stanowią przepisy przewidujące, że administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, by zapewnić poziom bezpieczeństwa stosowny do ryzyk związanych z przetwarzaniem oraz charakterem danych osobowych, które należy chronić, uwzględniając najnowsze osiągnięcia techniczne oraz koszty ich wprowadzenia.

1. Państwa członkowskie stanowią przepisy przewidujące, że administrator wdraża środki techniczne i organizacyjne w celu zapobieżenia:

 

a) niezamierzonemu lub niedozwolonemu zniszczeniu danych osobowych;

 

b) niezamierzonej utracie danych osobowych;

 

c) nieuprawnionemu wprowadzeniu zmian do danych osobowych;

 

d) nieuprawnionemu przekazaniu danych osobowych lub nieuprawnionemu dostępowi do nich, zwłaszcza jeżeli w związku z przetwarzaniem dane są przekazywane w sieci lub udostępniane w ramach bezpośredniego automatycznego dostępu;

 

e) każdej innej formie niedozwolonego przetwarzania danych osobowych.

 

Biorąc pod uwagę poziom rozwoju techniki i koszty ich wdrożenia, środki takie muszą zapewniać poziom bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem i charakterem danych podlegających ochronie.

Uzasadnienie

Podstawą zmian wprowadzonych do tego artykułu jest art. 22 ust. 1 decyzji ramowej.

Poprawka  60

Wniosek dotyczący dyrektywy

Artykuł 27 – ustęp 2 – wprowadzenie

Tekst proponowany przez Komisję

Poprawka

2. W odniesieniu do automatycznego przetwarzania danych każde państwo członkowskie stanowi przepisy przewidujące, że administrator lub podmiot przetwarzający, po ocenie ryzyk, wdraża środki służące:

2. W odniesieniu do automatycznego przetwarzania danych każde państwo członkowskie wdraża odpowiednie środki służące:

Poprawka  61

Wniosek dotyczący dyrektywy

Artykuł 27 – ustęp 2 – litera j

Tekst proponowany przez Komisję

Poprawka

j) zapewnieniu wykonywania przez system swoich funkcji i zgłaszania występujących w nich błędów (niezawodność) oraz zapobieżeniu uszkodzeniom przechowywanych danych spowodowanym błędnym działaniem systemu (integralność).

j) zapewnieniu wykonywania przez system swoich funkcji i zgłaszania występujących w nich błędów (niezawodność) oraz zapobieżeniu uszkodzeniom przechowywanych danych spowodowanym błędnym działaniem systemu (integralność).

(Nie dotyczy wersji polskiej).

Poprawka  62

Wniosek dotyczący dyrektywy

Artykuł 27 – ustęp 3

Tekst proponowany przez Komisję

Poprawka

3. Komisja może przyjąć, w razie potrzeby, akty wykonawcze mające na celu sprecyzowanie wymogów ustanowionych w ust. 1 i 2 obowiązujących w różnych sytuacjach, w szczególności standardów szyfrowania. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 57 ust. 2.

3. Państwa członkowskie mogą przyjąć, w razie potrzeby, przepisy mające na celu sprecyzowanie wymogów ustanowionych w ust. 1 i 2 obowiązujących w różnych sytuacjach, w szczególności standardów szyfrowania.

Poprawka  63

Wniosek dotyczący dyrektywy

Artykuł 28 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie stanowią przepisy przewidujące, że w przypadku naruszenia ochrony danych osobowych, administrator zgłasza organowi nadzorczemu takie naruszenie bez nieuzasadnionej zwłoki i, w jeśli to możliwe, nie później niż w ciągu 24 godzin od momentu dowiedzenia się o tym naruszeniu. Na żądanie organu nadzorczego administrator dostarcza umotywowane wyjaśnienie w przypadkach, w których zgłoszenie nie zostało przekazane w ciągu 24 godzin.

1. Państwa członkowskie stanowią przepisy przewidujące, że w przypadku naruszenia ochrony danych osobowych administrator zgłasza organowi nadzorczemu takie naruszenie bez nieuzasadnionej zwłoki po dowiedzeniu się o tym naruszeniu. W przypadku najpoważniejszych naruszeń państwa członkowskie stanowią przepisy przewidujące, że administrator zgłasza takie naruszenie organowi nadzorczemu nie później niż w ciągu 24 godzin od momentu dowiedzenia się o tym naruszeniu.

Uzasadnienie

Wymóg, aby administratorzy danych powiadamiali o wszelkich naruszeniach nie później niż w ciągu 24 godzin od momentu dowiedzenia się o nich, jak również wymóg dostarczenia umotywowanego wyjaśnienia mają charakter zbyt biurokratyczny.

Poprawka  64

Wniosek dotyczący dyrektywy

Artykuł 28 – ustęp 5

Tekst proponowany przez Komisję

Poprawka

5. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 56 w celu doprecyzowania kryteriów i wymogów dotyczących stwierdzenia naruszenia ochrony danych osobowych, o którym mowa w ust. 1 i 2, oraz szczególnych okoliczności, w których administrator i podmiot przetwarzający mają obowiązek zawiadomić o naruszeniu ochrony danych osobowych.

skreślony

Uzasadnienie

Kryteria i wymogi dotyczące stwierdzenia naruszenia ochrony danych w wystarczający sposób określono już w ust. 1. Proponowane przekazanie uprawnień ustawodawczych z pewnością dotyczyłoby istotnych elementów, których nie można delegować i które powinny być określone w akcie podstawowym. Odpowiednie zmiany proponuje się również w rozporządzeniu w sprawie ogólnej ochrony danych.

Poprawka  65

Wniosek dotyczący dyrektywy

Artykuł 28 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 28 a

 

Uprzednia konsultacja

 

Państwa członkowskie dopilnowują, aby przed przetworzeniem danych osobowych, które znajdą się w nowym, mającym dopiero powstać zbiorze danych, zasięgano opinii właściwych krajowych organów nadzorczych, jeżeli:

 

a) przetwarzane są dane ze szczególnych kategorii, o których mowa w art. 8, lub

 

b) sposób przetwarzania, w szczególności stosowanie nowych technologii, mechanizmów lub procedur, niesie ze sobą określone ryzyko dla podstawowych praw i wolności osób, których dotyczą dane, a zwłaszcza ich prywatności.

Uzasadnienie

Na podstawie tekstu artykułu 13 decyzji ramowej 2008/977/WSiSW.

Poprawka  66

Wniosek dotyczący dyrektywy

Artykuł 31 – ustęp 2 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

2a. Inspektor ochrony danych nie może być poszkodowany z powodu wypełniania swoich obowiązków. Zwolnienie inspektora ochrony danych jest zabronione podczas wykonywania przez niego czynności służbowych oraz jeden rok po ich zakończeniu, chyba że zaszły fakty upoważniające administratora do udzielenia wypowiedzenia z ważnych powodów.

Poprawka  67

Wniosek dotyczący dyrektywy

Artykuł 33 – litera a

Tekst proponowany przez Komisję

Poprawka

a) przekazanie jest konieczne do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo do wykonywania kar kryminalnych;

a) przekazanie jest konieczne do zapobiegania zagrożeniom, prowadzenia dochodzeń w sprawie przestępstw, wykrywania ich lub ścigania albo do wykonywania kar kryminalnych; oraz

Poprawka  68

Wniosek dotyczący dyrektywy

Artykuł 33 – litera b

Tekst proponowany przez Komisję

Poprawka

b) administrator i podmiot przetwarzający spełniają warunki ustanowione w niniejszym rozdziale.

b) przestrzega się warunków ustanowionych w niniejszym rozdziale.

Poprawka  69

Wniosek dotyczący dyrektywy

Artykuł 34 – ustęp 2 – wprowadzenie

Tekst proponowany przez Komisję

Poprawka

2. W przypadku braku przyjęcia decyzji zgodnie z art. 41 rozporządzenia (UE) …./2012 Komisja ocenia, czy zapewniono odpowiedni poziom ochrony danych, uwzględniając następujące elementy:

2. W przypadku braku przyjęcia decyzji zgodnie z art. 41 rozporządzenia (UE) nr …/2012 Komisja ocenia, czy zapewniono odpowiedni poziom ochrony danych, uwzględniając wszelkie okoliczności, jakie ogólnie mogą odgrywać rolę w przypadku przekazywania danych lub w odniesieniu do kategorii przekazywania danych i jakie można poddać ocenie w oderwaniu od konkretnych operacji przekazania danych. Ocena uwzględnia w szczególności następujące elementy:

Poprawka  70

Wniosek dotyczący dyrektywy

Artykuł 34 – ustęp 3

Tekst proponowany przez Komisję

Poprawka

3. Komisja może zdecydować, w zakresie, niniejszej dyrektywy, że państwo trzecie, terytorium lub sektor przetwarzający dane w państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony w rozumieniu ust. 2. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 57 ust. 2.

3. Komisja jest upoważniona do przyjmowania aktów delegowanych zgodnie z art. 56 w celu uzupełnienia wykazu zamieszczonego w załączniku [x], obejmującego państwa trzecie, terytoria lub sektory przetwarzania w państwach trzecich, lub organizacje międzynarodowe, które zapewniają odpowiedni poziom ochrony w rozumieniu ust. 2. Ustalając poziom ochrony, Komisja musi brać pod uwagę, czy odpowiednie przepisy ustawodawcze, zarówno ogólne, jak i sektorowe, obowiązujące w państwie trzecim lub w organizacji międzynarodowej, gwarantują skuteczne i egzekwowalne prawa, w tym skuteczne administracyjne i sądowe środki odwoławcze, podmiotom danych, zwłaszcza tym, których dane osobowe są przekazywane.

Uzasadnienie

Ze względu na swoje dalekosiężne skutki ewentualne ustalenia wykraczają poza wymóg jednolitych warunków wdrożenia, wobec czego owe inne niż istotne elementy muszą być przedmiotem przekazania uprawnień ustawodawczych, zgodnie z art. 290 TFUE. Odpowiednie zmiany proponuje się również w rozporządzeniu w sprawie ogólnej ochrony danych.

Poprawka  71

Wniosek dotyczący dyrektywy

Artykuł 34 – ustęp 4

Tekst proponowany przez Komisję

Poprawka

4. Akty wykonawcze określają geograficzny i sektorowy zakres ich stosowania oraz, w odpowiednich przypadkach, wskazują organ nadzorczy wymieniony w ust. 2 lit. b).

4. Zgodnie z art. 340 ust. 2 TFUE oraz utrwalonym orzecznictwem Trybunału Sprawiedliwości Unia, stosownie do ogólnych zasad wspólnych dla przepisów prawnych państw członkowskich, odpowiada za wszelkie szkody spowodowane przez jej instytucje w ramach wykonywania obowiązków, w tym również za szkody wynikające z bezprawnego wykorzystania danych osobowych po dokonaniu niewłaściwych ustaleń stosownie do art. 2 i 3.

Uzasadnienie

Należy podkreślić pozaumowną odpowiedzialność Unii w przypadku niewłaściwych ustaleń poczynionych w oparciu o kryteria określone w ust. 2 i 3.

Poprawka  72

Wniosek dotyczący dyrektywy

Artykuł 34 – ustęp 5

Tekst proponowany przez Komisję

Poprawka

5. Komisja może zdecydować, w zakresie niniejszej dyrektywy, że państwo trzecie, terytorium lub sektor przetwarzający dane w państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony w rozumieniu ust. 2, w szczególności w przypadkach w których odnośne przepisy ogólne i sektorowe obowiązujące w państwie trzecim lub organizacji międzynarodowej nie gwarantują skutecznych i egzekwowalnych praw, w tym prawa do skutecznych administracyjnych i sądowych środków ochrony prawnej podmiotom danych, w szczególności podmiotom danych mającym miejsce zamieszkania w Unii, których dane osobowe są przekazywane. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 57 ust. 2 lub, w wyjątkowo naglących przypadkach w odniesieniu do osób fizycznych w zakresie ich prawa do ochrony danych osobowych, zgodnie z procedurą, o której mowa w art. 57 ust. 3.

skreślony

Poprawka  73

Wniosek dotyczący dyrektywy

Artykuł 34 – ustęp 6

Tekst proponowany przez Komisję

Poprawka

6. Państwa członkowskie zapewniają, by, w przypadku gdy Komisja podejmie decyzję na mocy art. 5, wszelkie operacje przekazywania danych osobowych do państwa trzeciego, terytorium lub do sektora przetwarzającego dane w tym państwie lub do organizacji międzynarodowej były zakazane, przy czym decyzja ta obowiązuje bez uszczerbku dla operacji przekazywania na mocy art. 35 ust 1 lub zgodnie z art. 36. We właściwym czasie Komisja przystępuje do konsultacji z państwem trzecim lub organizacją międzynarodową w celu zaradzenia sytuacji wynikającej z decyzji podjętej na mocy ust. 5 niniejszego artykułu.

skreślony

Poprawka  74

Wniosek dotyczący dyrektywy

Artykuł 34 – ustęp 8

Tekst proponowany przez Komisję

Poprawka

8. Komisja monitoruje stosowanie aktów wykonawczych, o których mowa w ust. 3 i 5.

skreślony

Poprawka  75

Wniosek dotyczący dyrektywy

Artykuł 35

Tekst proponowany przez Komisję

Poprawka

Artykuł 35

skreślony

Operacje przekazywania dzięki odpowiednim gwarancjom

 

1. W przypadkach, w których Komisja nie podjęła decyzji na mocy art. 34, państwa członkowskie stanowią przepisy przewidujące, że dane osobowe mogą być przekazywane do odbiorców w państwie trzecim lub organizacji międzynarodowej, jeżeli:

 

a) w prawnie wiążącym instrumencie zapewniono odpowiednie gwarancje w zakresie ochrony danych osobowych; lub

 

b) administrator lub podmiot przetwarzający ocenili wszystkie okoliczności towarzyszące przekazaniu danych osobowych, stwierdzając, że istnieją odpowiednie gwarancje w zakresie ochrony danych osobowych.

 

2. Decyzja o przekazaniu danych na mocy ust. 1 lit. b) musi zostać podjęta przez należycie upoważnionych pracowników. Te operacje przekazywania muszą być dokumentowane a dokumentacja musi być udostępniana na wniosek organowi nadzorczemu.

 

Poprawka  76

Wniosek dotyczący dyrektywy

Artykuł 35 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 35a

 

Przekazywanie danych na podstawie odpowiednich gwarancji

 

1. Jeśli Komisja nie podjęła decyzji na mocy art. 34, dane osobowe mogą być przekazywane do odbiorców w państwie trzecim lub organizacji międzynarodowej, jeżeli:

 

a) w prawnie wiążącym instrumencie zapewniono odpowiednie gwarancje w zakresie ochrony danych osobowych;

 

b) administrator lub podmiot przetwarzający ocenili wszystkie okoliczności towarzyszące przekazaniu danych osobowych (art. 34 ust. 2) i stwierdzili, że istnieją odpowiednie gwarancje w zakresie ochrony danych osobowych; lub

 

c) przekazanie danych osobowych byłoby dopuszczalne w danym przypadku (art. 36), nawet gdyby Komisja stwierdziła brak odpowiedniego poziomu ochrony.

Poprawka  77

Wniosek dotyczący dyrektywy

Artykuł 35 b (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 35b

 

Przekazywanie danych osobowych pochodzących z innych państw członkowskich

 

1. Państwa członkowskie wprowadzają przepisy przewidujące, że każda podejmowana przez właściwy organ operacja przekazywania danych osobowych, które zostały przekazane lub udostępnione przez właściwy organ innego państwa członkowskiego, co obejmuje również wtórne przekazanie danych państwu trzeciemu lub organizacji międzynarodowej, jest dopuszczalna tylko wówczas, gdy:

 

a) odbiorca w państwie trzecim lub międzynarodowy organ odbierający odpowiada za zapobieganie zagrożeniom, prowadzenie dochodzeń w sprawie przestępstw, wykrywanie ich i ściganie lub za wykonywanie kar kryminalnych;

 

b) państwo członkowskie, od którego uzyskano odnośne dane, wyraziło zgodę na ich dalsze przekazanie zgodnie ze swoim prawem krajowym; oraz

 

c) również państwo członkowskie (w przypadkach określonych w art. 34a ust. 3 i art. 35b i 35c), które przekazało dane, uważa, że zgodnie z jego prawem krajowym gwarancje mające służyć ochronie przekazanych danych są odpowiednie.

 

2. Wtórne przekazywanie danych bez uprzedniej zgody, o której mowa w ust. 1 lit. b), dopuszczalne jest jedynie wtedy, gdy przekazanie jest niezbędne dla zażegnania bezpośredniego i poważnego zagrożenia bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego, lub ważnych interesów państwa członkowskiego, a uprzedniej zgody nie można uzyskać na czas. Niezwłocznie informuje się o tym organ odpowiedzialny za wydanie zgody.

 

3. Na zasadzie odstępstwa od ust. 1 lit. c) wtórne przekazywanie danych osobowych jest dopuszczalne tylko wówczas, gdy przewiduje je prawo krajowe państwa członkowskiego przekazującego dane:

 

a) z powodu ochrony żywotnych i słusznych interesów podmiotu danych; lub

 

b) z powodu uzasadnionych interesów, a zwłaszcza ważnego interesu publicznego.

 

4. Przekazywanie danych podmiotom niepublicznym jest dopuszczalne jedynie po spełnieniu warunków określonych w art. 7a ust. 1 i art. 7b.

Uzasadnienie

Artykuł 35 b odpowiada artykułowi 13 decyzji ramowej oraz dotyczy uregulowania postępowania z danymi pochodzącymi z innych państw członkowskich, a także chroni te dane w szczególny sposób. Celem tych przepisów jest jednocześnie ochrona państwa członkowskiego, z którego dane pochodzą, oraz stworzenie przy tym atmosfery zaufania niezbędnej do wymiany danych wewnątrz Unii, dzięki której przekazane dane nie będą podlegać dalszemu przetwarzaniu wedle uznania państwa otrzymującego dane.

Poprawka  78

Wniosek dotyczący dyrektywy

Artykuł 36

Tekst proponowany przez Komisję

Poprawka

Artykuł 36

skreślony

Odstępstwa

 

W drodze odstępstwa od art. 34 i 35 państwa członkowskie stanowią przepisy przewidujące, że dane osobowe mogą być przekazywane do państwa trzeciego lub organizacji międzynarodowej wyłącznie pod warunkiem, że:

 

a) przekazanie jest niezbędne dla ochrony żywotnych interesów podmiotu danych lub innej osoby;

 

b) przekazanie jest niezbędne dla zabezpieczenia słusznych interesów podmiotu danych, jeżeli prawo państwa członkowskiego przekazującego dane osobowe tak stanowi; lub

 

c) przekazanie danych jest konieczne dla zapobieżenia bezpośredniemu i poważnemu zagrożeniu dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego; lub

 

d) przekazanie jest konieczne w indywidualnych przypadkach do zapobiegania przestępstwom, prowadzenia śledztw i dochodzeń w ich sprawie, wykrywania ich lub ścigania albo do wykonywania kar kryminalnych; lub

 

e) przekazanie jest konieczne w indywidualnych przypadkach dla ustalenia, wykonania lub obrony roszczeń prawnych dotyczących zapobieżenia konkretnemu przestępstwu, prowadzenia dochodzenia w jego sprawie, wykrycia go lub ścigania albo wykonania konkretnej kary kryminalnej.

 

Poprawka  79

Wniosek dotyczący dyrektywy

Artykuł 36 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Artykuł 36a

 

Wyjątki dotyczące przekazywania danych po wyważeniu interesów w konkretnym przypadku

 

1. Jeżeli zgodnie z art. 34 ust. 5 Komisja stwierdziła, że nie istnieje odpowiedni poziom ochrony, dane osobowe nie są przekazywane zainteresowanemu państwu trzeciemu, obszarowi lub sektorowi przetwarzania w tym państwie trzecim ani zainteresowanej organizacji międzynarodowej, o ile w danym konkretnym przypadku słuszny interes podmiotu danych w niedopuszczeniu do przekazania danych jest ważniejszy od szczególnego interesu publicznego w przekazaniu danych.

 

2. Odpowiedni poziom ochrony, o którym mowa w danym konkretnym przypadku, jest jednym z czynników branych pod uwagę w ramach wyważania sprzecznych interesów. Weryfikacji mającej doprowadzić do sprawdzenia, czy w danym konkretnym przypadku istnieje odpowiedni poziom ochrony, dokonuje się przy uwzględnieniu wszystkich okoliczności mających znaczenie w związku z zamierzonym przekazaniem danych, a w szczególności:

 

a) rodzaju danych, które mają zostać przekazane;

 

b) przeznaczenia i celu; oraz

 

c) okresu przetwarzania planowanego w państwie trzecim.

 

3. W drodze odstępstwa od art. 1 i art. 35 państwa członkowskie mogą ustanowić przepisy przewidujące, że przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej jest dopuszczalne tylko wówczas, gdy:

 

a) jest niezbędne ze względu na żywotne i słuszne interesy podmiotu danych lub innej osoby, w szczególności jeżeli chodzi o zdrowie i życie;

 

b) przekazanie jest niezbędne dla zabezpieczenia słusznych interesów podmiotu danych, jeżeli prawo państwa członkowskiego przekazującego dane osobowe tak stanowi; lub

 

c) jest konieczne do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo do wykonywania kar kryminalnych; lub

 

d) przekazanie jest konieczne w indywidualnych przypadkach dla ustalenia, wykonania lub obrony roszczeń prawnych dotyczących zapobieżenia konkretnemu przestępstwu, prowadzenia dochodzenia w jego sprawie, wykrycia go lub ścigania albo wykonania konkretnej kary kryminalnej.

 

4. W konkretnym przypadku poziom ochrony może zostać uznany za odpowiedni zwłaszcza wówczas, gdy dane państwo trzecie, obszar, sektor przetwarzania lub podmiot między- bądź ponadpaństwowy w tym państwie trzecim albo dana organizacja międzynarodowa w danym konkretnym przypadku gwarantuje odpowiednią ochronę przekazywanych danych.

Uzasadnienie

Przeformułowanie art. 36 stanowi logiczną kontynuację art. 34 i 35. W ściśle ograniczonych przypadkach i po spełnieniu bardzo rygorystycznych warunków musi istnieć możliwość przekazania danych państwom trzecim mimo negatywnej decyzji o właściwości takiego postępowania, aby chronić dobra najwyższej wartości (takie jak zdrowie i życie).

Poprawka  80

Wniosek dotyczący dyrektywy

Artykuł 37

Tekst proponowany przez Komisję

Poprawka

Państwa członkowskie stanowią, że administrator informuje odbiorcę danych osobowych o wszelkich ograniczeniach przetwarzania oraz podejmuje wszystkie rozsądne kroki na rzecz zapewnienia, by ograniczenia te były przestrzegane.

Państwa członkowskie stanowią, że administrator informuje odbiorcę danych osobowych o wszelkich ograniczeniach przetwarzania oraz podejmuje wszystkie rozsądne kroki na rzecz zapewnienia, by ograniczenia te były przestrzegane. Zdanie 1 ma zastosowanie również w odniesieniu do ograniczeń przetwarzania, których zgodnie z art. 7a ust. 3 musi przestrzegać administrator.

Uzasadnienie

Jeżeli dane są przekazywane w granicach UE, krajowe ograniczenia przetwarzania powinny obowiązywać tym bardziej, kiedy dane te przekazuje się następnie państwu trzeciemu. W przeciwnym razie brak byłoby zaufania dla wymiany danych wewnątrz UE.

Poprawka  81

Wniosek dotyczący dyrektywy

Artykuł 38 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. Do celów ust. 1, Komisja podejmie odpowiednie kroki, by poprawić współpracę z państwami trzecimi lub organizacjami międzynarodowymi, w szczególności ich organami nadzorczymi, jeśli Komisja zdecydowała, że zapewniają one odpowiedni poziom ochrony w rozumieniu art. 34 ust. 3.

2. Do celów ust. 1 Komisja – w ramach zakresu stosowania niniejszej dyrektywy – podejmuje odpowiednie kroki, by poprawić współpracę z państwami trzecimi lub organizacjami międzynarodowymi, w szczególności ich organami nadzorczymi, jeśli Komisja zdecydowała, że zapewniają one odpowiedni poziom ochrony w rozumieniu art. 34 ust. 3. Komisja przestrzega przy tym kompetencji państw członkowskich oraz środków prawnych i fizycznych wdrażanych w ramach wykonywania tych kompetencji.

Poprawka  82

Wniosek dotyczący dyrektywy

Artykuł 41 – ustęp 5

Tekst proponowany przez Komisję

Poprawka

5. W przypadku wygaśnięcia kadencji lub rezygnacji członka pełni on nadal swoje obowiązki do czasu wyznaczenia nowego członka.

5. W przypadku wygaśnięcia kadencji lub rezygnacji członka pełni on nadal, na własną prośbę, swoje obowiązki do czasu wyznaczenia nowego członka.

Uzasadnienie

W przypadku zwolnienia z powodu poważnych uchybień bezwarunkowa kontynuacja sprawowanej funkcji do czasu wyznaczenia następcy może być nie do zaakceptowania. Dlatego też dalsze sprawowanie funkcji powinno być możliwe jedynie „na własną prośbę”.

Poprawka  83

Wniosek dotyczący dyrektywy

Artykuł 44 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie stanowią przepisy przewidujące, że każdy organ nadzorczy wykonuje, na terytorium swojego państwa członkowskiego, uprawnienia powierzone mu zgodnie z niniejszą dyrektywą.

1. Państwa członkowskie stanowią przepisy przewidujące, że każdy organ nadzorczy wykonuje, na terytorium swojego państwa członkowskiego, co najmniej uprawnienia powierzone mu zgodnie z niniejszą dyrektywą.

Poprawka  84

Wniosek dotyczący dyrektywy

Artykuł 45 – ustęp 1 – litera a

Tekst proponowany przez Komisję

Poprawka

a) monitoruje i zapewnia stosowanie przepisów przyjętych na mocy niniejszej dyrektywy oraz środków służących jej wdrożeniu;

a) monitoruje i zapewnia stosowanie co najmniej przepisów przyjętych na mocy niniejszej dyrektywy oraz środków służących jej wdrożeniu;

Poprawka  85

Wniosek dotyczący dyrektywy

Artykuł 45 – ustęp 1 – litera b

Tekst proponowany przez Komisję

Poprawka

b) rozpatruje skargi złożone przez podmioty danych lub jakiekolwiek zrzeszenie reprezentujące podmiot danych i należycie przez niego upoważnione, zgodnie z art. 50; prowadzi, w odpowiednim zakresie, dochodzenie w danej sprawie oraz informuje podmiot danych lub zrzeszenie o postępach oraz sposobie rozstrzygnięcia skargi w rozsądnym terminie, w szczególności gdy niezbędne jest dalsze dochodzenie lub koordynacja z innym organem nadzorczym;

b) rozpatruje skargi złożone przez podmioty danych, prowadzi, w odpowiednim zakresie, dochodzenie w danej sprawie oraz informuje podmiot danych lub zrzeszenie o postępach oraz sposobie rozstrzygnięcia skargi w rozsądnym terminie, w szczególności gdy niezbędne jest dalsze dochodzenie lub koordynacja z innym organem nadzorczym;

Uzasadnienie

Zmiana wynika ze skreślenia prawa do składania skarg przez podmioty prawne w art. 50.

Poprawka  86

Wniosek dotyczący dyrektywy

Artykuł 45 – ustęp 1 – litera e

Tekst proponowany przez Komisję

Poprawka

e) prowadzi postępowania bądź z własnej inicjatywy, bądź na podstawie skargi, lub też na wniosek innego organu nadzorczego oraz informuje podmiot danych, jeżeli złożył on skargę, o rezultatach dochodzenia w rozsądnym terminie;

e) prowadzi postępowania na podstawie skargi lub też na wniosek innego organu nadzorczego oraz informuje podmiot danych, jeżeli złożył on skargę, o rezultatach dochodzenia w rozsądnym terminie; organ nadzorczy może prowadzić takie dochodzenie w granicach wyznaczonych przepisami prawa krajowego również z własnej inicjatywy;

Poprawka  87

Wniosek dotyczący dyrektywy

Artykuł 46 – litera c

Tekst proponowany przez Komisję

Poprawka

c) uprawnienie do wszczynania postępowań prawnych w przypadku naruszenia przepisów przyjętych na mocy niniejszej dyrektywy lub do powiadamiania organów sądowych o takich naruszeniach.

c) uprawnienie do wszczynania postępowań prawnych w przypadku naruszenia przepisów przyjętych na mocy niniejszej dyrektywy lub do powiadamiania organów sądowych o takich naruszeniach. Od decyzji organu nadzorczego, stanowiących podstawę skargi, przysługuje odwołanie do sądu.

Uzasadnienie

Wprowadzona gwarancja prawna to rzecz oczywista, a sformułowanie przejęto z art. 25 ust. 2 lit. c) decyzji ramowej 2008/977/WSiSW.

Poprawka  88

Wniosek dotyczący dyrektywy

Artykuł 49 – ustęp 1 – litera a

Tekst proponowany przez Komisję

Poprawka

a) doradzanie Komisji we wszelkich sprawach związanych z ochroną danych osobowych w Unii, w tym na temat wszelkich proponowanych zmian w niniejszej dyrektywie;

a) doradzanie instytucjom europejskim we wszelkich sprawach związanych z ochroną danych osobowych w Unii, w tym na temat wszelkich proponowanych zmian w niniejszej dyrektywie;

Poprawka  89

Wniosek dotyczący dyrektywy

Artykuł 52 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

Bez uszczerbku dla jakichkolwiek dostępnych administracyjnych środków ochrony prawnej, w tym prawa do złożenia skargi do organu nadzorczego, państwa członkowskie stanowią przepisy przewidujące dla każdej osoby fizycznej prawo do sądowego środka ochrony prawnej, jeżeli uważa ona, że jej prawa ustanowione w przepisach przyjętych na mocy niniejszej dyrektywy zostały naruszone w rezultacie przetwarzania jej danych osobowych niezgodnie z tymi przepisami.

Bez uszczerbku dla jakichkolwiek dostępnych administracyjnych środków ochrony prawnej, w tym prawa do złożenia skargi do organu nadzorczego, państwa członkowskie stanowią przepisy przewidujące dla każdej osoby fizycznej prawo do sądowego środka ochrony prawnej, jeżeli jej prawa ustanowione w przepisach przyjętych na mocy niniejszej dyrektywy zostały naruszone w rezultacie przetwarzania jej danych osobowych niezgodnie z tymi przepisami.

Poprawka  90

Wniosek dotyczący dyrektywy

Artykuł 54 – ustęp 1

Tekst proponowany przez Komisję

Poprawka

1. Państwa członkowskie zapewniają, by każdej osobie, która poniosła szkodę wskutek niezgodnej z prawem operacji przetwarzania danych lub innej czynności niezgodnej z przepisami krajowymi przyjętymi na mocy niniejszej dyrektywy, przysługiwało prawo do uzyskania odszkodowania od administratora lub podmiotu przetwarzającego za poniesioną szkodę.

1. Państwa członkowskie zapewniają, by każdej osobie, która poniosła szkodę wskutek niezgodnej z prawem operacji przetwarzania danych lub innej czynności niezgodnej z przepisami krajowymi przyjętymi na mocy niniejszej dyrektywy, przysługiwało prawo do uzyskania odszkodowania od administratora lub podmiotu przetwarzającego za poniesioną szkodę zgodnie z prawem krajowym.

Poprawka  91

Wniosek dotyczący dyrektywy

Artykuł 54 – ustęp 1 a (nowy)

Tekst proponowany przez Komisję

Poprawka

 

1 a. Jeżeli dane osobowe zostały przekazane przez właściwy organ państwa członkowskiego, odbiorca, ponosząc zgodnie z prawem krajowym odpowiedzialność wobec poszkodowanego, nie może na swoją obronę powoływać się na zarzut nieścisłości otrzymanych danych. Jeżeli odbiorca wypłaci odszkodowanie za szkodę spowodowaną korzystaniem z danych otrzymanych nieprawidłowo, właściwy organ, który dane te przekazał, zwraca odbiorcy kwotę wypłaconego odszkodowania, przy czym należy uwzględnić ewentualne uchybienia po stronie odbiorcy.

Uzasadnienie

Por. art. 19 ust. 1 i 2 decyzji ramowej 2008/977/WSiSW.

Poprawka  92

Wniosek dotyczący dyrektywy

Artykuł 55

Tekst proponowany przez Komisję

Poprawka

Państwa członkowskie ustanawiają przepisy dotyczące kar mających zastosowanie w przypadku naruszenia przepisów przyjętych na mocy niniejszej dyrektywy i podejmują wszelkie niezbędne środki w celu zapewnienia ich wdrożenia. Przewidziane kary muszą być skuteczne, proporcjonalne i odstraszające.

Państwa członkowskie przyjmują odpowiednie środki gwarantujące pełne stosowanie postanowień niniejszej dyrektywy oraz ustanawiają w szczególności przepisy dotyczące kar mających zastosowanie w przypadku naruszenia przepisów przyjętych na mocy niniejszej dyrektywy i podejmują wszelkie niezbędne środki w celu zapewnienia ich wdrożenia. Przewidziane kary muszą być skuteczne, proporcjonalne i odstraszające.

Uzasadnienie

Por. art. 24 decyzji ramowej 2008/977/WSiSW.

Poprawka  93

Wniosek dotyczący dyrektywy

Artykuł 56 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. Uprawnienia do przyjęcia aktów delegowanych, o których mowa w art. 28 ust. 5, powierza się Komisji na czas nieokreślony od dnia wejścia w życie niniejszej dyrektywy.

2. Uprawnienia do przyjęcia aktów delegowanych, o których mowa w art. 34 ust. 3, powierza się Komisji na czas nieokreślony od dnia wejścia w życie niniejszej dyrektywy.

Uzasadnienie

Poprawka wynika ze skreślenia delegowania w art. 28 ust. 5 oraz ze zmiany z aktów wykonawczych na delegowane w art. 34 ust. 3.

Poprawka  94

Wniosek dotyczący dyrektywy

Artykuł 56 – ustęp 3

Tekst proponowany przez Komisję

Poprawka

3. Przekazanie uprawnień, o którym mowa w art. 28 ust. 5, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień Decyzja o odwołaniu staje się skuteczna od następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w określonym w tej decyzji późniejszym terminie Nie wpływa ona na ważność jakichkolwiek już obowiązujących aktów delegowanych.

3. Przekazanie uprawnień, o którym mowa w art. 34 ust. 3, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień Decyzja o odwołaniu staje się skuteczna od następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w określonym w tej decyzji późniejszym terminie.. Nie wpływa ona na ważność jakichkolwiek już obowiązujących aktów delegowanych.

Uzasadnienie

Poprawka wynika ze skreślenia delegowania w art. 28 ust. 5 oraz ze zmiany z aktów wykonawczych na delegowane w art. 34 ust. 3.

Poprawka  95

Wniosek dotyczący dyrektywy

Artykuł 56 – ustęp 5

Tekst proponowany przez Komisję

Poprawka

5. Akt delegowany przyjęty na podstawie art. 28 ust. 5 wchodzi w życie tylko jeśli Parlament Europejski albo Rada nie wyraziły sprzeciwu w terminie dwóch miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub jeśli, przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o 2 miesiące z inicjatywy Parlamentu Europejskiego lub Rady.

5. Akt delegowany przyjęty na podstawie art. 34 ust. 3 wchodzi w życie tylko jeśli Parlament Europejski albo Rada nie wyraziły sprzeciwu w terminie dwóch miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub jeśli, przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o 2 miesiące z inicjatywy Parlamentu Europejskiego lub Rady.

Uzasadnienie

Poprawka wynika ze skreślenia delegowania w art. 28 ust. 5 oraz ze zmiany z aktów wykonawczych na delegowane w art. 34 ust. 3.

Poprawka  96

Wniosek dotyczący dyrektywy

Artykuł 57 – ustęp 2

Tekst proponowany przez Komisję

Poprawka

2. W przypadku odesłania do niniejszego ustępu stosuje się art. 5 rozporządzenia (UE) nr 182/2011.

skreślony

Uzasadnienie

Poprawka ta wynika ze zmian w art. 34 ust. 5.

Poprawka  97

Wniosek dotyczący dyrektywy

Artykuł 60

Tekst proponowany przez Komisję

Poprawka

Umowy międzynarodowe zawarte przez państwa członkowskie przed wejściem w życie niniejszej dyrektywy zostają zmienione, w razie potrzeby, w ciągu pięciu lat od daty wejście w życie niniejszej dyrektywy.

1. Umowy międzynarodowe zawarte przez państwa członkowskie przed wejściem w życie niniejszej dyrektywy zostają zmienione, w razie potrzeby, w ciągu dziesięciu lat od daty wejście w życie niniejszej dyrektywy, chyba że i tak podlegają odrębnej kontroli.

 

2. Niezależnie od ust. 1 w przypadku negatywnej decyzji o stosowności odnośnego postępowania postanowienia zawarte w art. 36 mają analogicznie zastosowanie w stosunku do umów międzynarodowych zawartych przed wejściem w życie niniejszej dyrektywy.

Uzasadnienie

Pięcioletni okres dostosowawczy jest za krótki ze względu na wielość i kompleksowość obowiązujących umów międzynarodowych. Regulacje zawarte w art. 36 nie mogą obowiązywać jedynie w stosunkach między państwami członkowskimi, lecz analogicznie muszą mieć również zastosowanie w stosunku do obowiązujących umów międzynarodowych.

Poprawka  98

Wniosek dotyczący dyrektywy

Załącznik [x] (nowy)

Tekst proponowany przez Komisję

Poprawka

 

Załącznik [x]

 

Wykaz obejmujący państwa trzecie, terytoria lub sektory przetwarzania w państwach trzecich, lub organizacje międzynarodowe, które zapewniają odpowiedni poziom ochrony w rozumieniu art. 34 ust. 2

Uzasadnienie

Poprawka ta wynika ze zmian w art. 34.

PROCEDURA

Tytuł

Ochrona osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych (dyrektywa)

Odsyłacze

COM(2012)0010 – C7-0024/2012 – 2012/0010(COD)

Komisja przedmiotowo właściwa

Data ogłoszenia na posiedzeniu

LIBE

16.2.2012

 

 

 

Opinia wydana przez

Data ogłoszenia na posiedzeniu

JURI

14.6.2012

Sprawozdawca(czyni) komisji opiniodawczej

Data powołania

Axel Voss

14.6.2012

Rozpatrzenie w komisji

18.12.2012

21.2.2013

 

 

Data przyjęcia

19.3.2013

 

 

 

Wynik głosowania końcowego

+:

–:

0:

14

9

0

Posłowie obecni podczas głosowania końcowego

Raffaele Baldassarre, Luigi Berlinguer, Sebastian Valentin Bodu, Françoise Castex, Christian Engström, Marielle Gallo, Lidia Joanna Geringer de Oedenberg, Sajjad Karim, Klaus-Heiner Lehne, Jiří Maštálka, Alajos Mészáros, Bernhard Rapkay, Evelyn Regner, Francesco Enrico Speroni, Rebecca Taylor, Alexandra Thein, Rainer Wieland, Cecilia Wikström, Tadeusz Zwiefka

Zastępca(y) obecny(i) podczas głosowania końcowego

Piotr Borys, Eva Lichtenberger, Axel Voss

Zastępca(y) (art. 187 ust. 2) obecny(i) podczas głosowania końcowego

Ricardo Cortés Lastra


PROCEDURA

Tytuł

Ochrona osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych (dyrektywa)

Odsyłacze

COM(2012)0010 – C7-0024/2012 – 2012/0010(COD)

Data przedstawienia w PE

25.1.2012

 

 

 

Komisja przedmiotowo właściwa

       Data ogłoszenia na posiedzeniu

LIBE

16.2.2012

 

 

 

Komisja(e) wyznaczona(e) do wydania opinii

       Data ogłoszenia na posiedzeniu

JURI

14.6.2012

 

 

 

Sprawozdawca(y)

       Data powołania

Dimitrios Droutsas

25.4.2012

 

 

 

Rozpatrzenie w komisji

27.2.2012

31.5.2012

9.7.2012

19.9.2012

 

5.11.2012

10.1.2013

21.1.2013

20.3.2013

 

7.5.2013

9.7.2013

21.10.2013

 

Data przyjęcia

21.10.2013

 

 

 

Wynik głosowania końcowego

+:

–:

0:

29

20

3

Posłowie obecni podczas głosowania końcowego

Jan Philipp Albrecht, Roberta Angelilli, Edit Bauer, Rita Borsellino, Emine Bozkurt, Arkadiusz Tomasz Bratkowski, Salvatore Caronna, Philip Claeys, Carlos Coelho, Agustín Díaz de Mera García Consuegra, Ioan Enciu, Cornelia Ernst, Tanja Fajon, Kinga Gál, Kinga Göncz, Sylvie Guillaume, Salvatore Iacolino, Sophia in ‘t Veld, Juan Fernando López Aguilar, Baroness Sarah Ludford, Clemente Mastella, Véronique Mathieu Houillon, Anthea McIntyre, Nuno Melo, Roberta Metsola, Louis Michel, Claude Moraes, Georgios Papanikolaou, Carmen Romero López, Judith Sargentini, Birgit Sippel, Wim van de Camp, Axel Voss, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra

Zastępca(y) obecny(i) podczas głosowania końcowego

Alexander Alvaro, Silvia Costa, Dimitrios Droutsas, Evelyne Gebhardt, Monika Hohlmeier, Jan Mulder, Raül Romeva i Rueda, Carl Schlyter, Marco Scurria

Zastępca(y) (art. 187 ust. 2) obecny(i) podczas głosowania końcowego

Jean-Pierre Audy, Pilar Ayuso, Miloslav Ransdorf, Britta Reimers, Kay Swinburne, Rafał Trzaskowski

Data złożenia

22.11.2013

Informacja prawna - Polityka ochrony prywatności