Tekst proponowany przez Komisję

Poprawka

(1)  Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą praw podstawowych”) oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.

(1)  Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą praw podstawowych”) oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Prawo to jest również gwarantowane art. 8 Konwencji o ochronie praw człowieka i podstawowych wolności.

Tekst proponowany przez Komisję

Poprawka

(5)  W myśl spójnego podejścia do ochrony danych osobowych w całej Unii oraz swobodnego przepływu danych osobowych na terytorium Unii należy w miarę możliwości dostosować przepisy o ochronie danych dotyczące instytucji i organów unijnych z przepisami o ochronie danych przyjętymi w odniesieniu do sektora publicznego w państwach członkowskich. W każdym przypadku, w którym przepisy niniejszego rozporządzenia opierają się na tym samym założeniu, co przepisy rozporządzenia (UE) 2016/679, oba przepisy należy interpretować tak samo, w szczególności ze względu na fakt, że systematyka niniejszego rozporządzenia powinna być uznawana za tożsamą z systematyką rozporządzenia (UE) 2016/679.

(5)  W myśl spójnego podejścia do ochrony danych osobowych w całej Unii oraz swobodnego przepływu danych osobowych na terytorium Unii należy dostosować przepisy o ochronie danych dotyczące instytucji, organów, urzędów i jednostek organizacyjnych Unii Europejskiej do przepisów o ochronie danych przyjętych w odniesieniu do sektora publicznego w państwach członkowskich. W każdym przypadku, w którym przepisy niniejszego rozporządzenia opierają się na tym samym założeniu, co przepisy rozporządzenia (UE) 2016/679, oba przepisy należy, zgodnie z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej1a, interpretować tak samo, w szczególności ze względu na fakt, że systematyka niniejszego rozporządzenia powinna być uznawana za tożsamą z systematyką rozporządzenia (UE) 2016/679.

_________________

1a Wyrok Trybunału Sprawiedliwości z dnia 9 marca 2010 r. w sprawie C-518/07 Komisja przeciwko Niemcom, ECLI:EU:C:2010:125, pkt 26 i 28.

Tekst proponowany przez Komisję

Poprawka

(7a)  Ramy prawne regulujące ochronę danych podczas ich przetwarzania przez instytucje i organy Unii w ramach działań w dziedzinie wolności, bezpieczeństwa i sprawiedliwości oraz w dziedzinie wspólnej polityki zagranicznej i bezpieczeństwa są wciąż rozdrobnione, co skutkuje brakiem pewności prawa. Z tego względu niniejsze rozporządzenie powinno wprowadzić zharmonizowane zasady ochrony i swobodnego przepływu danych osobowych przetwarzanych przez instytucje i organy Unii, które realizują działania wchodzące w zakres części trzeciej tytuł V rozdziały 4 i 5 TFUE oraz tytułu V rozdział 2 TUE.

Tekst proponowany przez Komisję

Poprawka

(8)  W deklaracji nr 21 w sprawie ochrony danych osobowych w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej – załączonej do Aktu końcowego konferencji międzyrządowej, która przyjęła Traktat z Lizbony – konferencja uznała, że ze względu na szczególny charakter współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej konieczne może okazać się przyjęcie – na podstawie art. 16 TFUE – szczególnych przepisów o ochronie danych osobowych i swobodnym przepływie danych osobowych w tych dziedzinach. Niniejsze rozporządzenie powinno zatem mieć zastosowanie do agencji unijnych prowadzących działania w ramach współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej wyłącznie w zakresie, w jakim prawo Unii właściwe dla tego rodzaju agencji nie zawiera przepisów szczegółowych dotyczących przetwarzania danych osobowych.

(8)  W deklaracji nr 21 w sprawie ochrony danych osobowych w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej – załączonej do Aktu końcowego konferencji międzyrządowej, która przyjęła Traktat z Lizbony – konferencja uznała, że ze względu na szczególny charakter współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej konieczne może okazać się przyjęcie – na podstawie art. 16 TFUE – szczególnych przepisów o ochronie danych osobowych i swobodnym przepływie danych osobowych w tych dziedzinach. Ponadto wspólna polityka zagraniczna i bezpieczeństwa ma szczególny charakter, zatem mogą okazać się konieczne także szczególne zasady ochrony danych osobowych i zapewnienie swobodnego przepływu tych danych również w tej dziedzinie. Dlatego wskazane jest uregulowanie przetwarzania operacyjnych danych osobowych przez agencje unijne ustanowione na mocy części trzeciej tytuł V rozdziały 4 i 5 TFUE, a także w ramach misji, o których mowa w art. 42 ust. 1, art. 43 i 43 TUE, w drodze opracowania przepisów szczególnych, które stanowią odstępstwo od szeregu przepisów ogólnych niniejszego rozporządzenia.

Tekst proponowany przez Komisję

Poprawka

(14)  Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

(14)  Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy. Jednocześnie osoba, której dotyczą dane, powinna mieć prawo do wycofania zgody w dowolnym momencie, co nie powinno mieć wpływu na legalność przetwarzania dokonanego na podstawie zgody przed jej wycofaniem.

Tekst proponowany przez Komisję

Poprawka

(15)  Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być jasne, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób fizycznych, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Należy podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe. Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu lub przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.

(15)  Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne oraz odbywać się w ściśle określonych i wyraźnych celach. Dla osób fizycznych powinno być jasne, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób fizycznych, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących. Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Należy podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe. Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu, przed ich ujawnieniem w trakcie przekazania lub przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu.

Tekst proponowany przez Komisję

Poprawka

(18)  Prawo Unii obejmujące wewnętrzne przepisy, o których mowa w niniejszym rozporządzeniu, powinno być jasne i precyzyjne, a jego zastosowanie przewidywalne dla osób im podlegających – jak wymaga tego orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej i Europejskiego Trybunału Praw Człowieka.

(18)  Prawo Unii, o którym mowa w niniejszym rozporządzeniu, powinno być jasne i precyzyjne, a jego zastosowanie przewidywalne dla osób mu podlegających – zgodnie z wymogami Karty praw podstawowych i Konwencji o ochronie praw człowieka i podstawowych wolności.

Tekst proponowany przez Komisję

Poprawka

(20)  Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu. Zgodnie z dyrektywą Rady 93/13/EWG14 oświadczenie o wyrażeniu zgody przygotowane przez administratora powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych. Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

(20)  Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu. Zgodnie z dyrektywą Rady 93/13/EWG14 oświadczenie o wyrażeniu zgody przygotowane przez administratora powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora, zamierzone cele przetwarzania danych osobowych oraz kategorie odbiorców danych i być poinformowana o prawie do dostępu do danych i ich zmiany. Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

_________________

_________________

14 Dyrektywa Rady 93/13/EWG z dnia 5 kwietnia 1993 r. w sprawie nieuczciwych warunków w umowach konsumenckich (Dz.U. L 95 z 21.4.1993, s. 29).

14 Dyrektywa Rady 93/13/EWG z dnia 5 kwietnia 1993 r. w sprawie nieuczciwych warunków w umowach konsumenckich (Dz.U. L 95 z 21.4.1993, s. 29).

Tekst proponowany przez Komisję

Poprawka

(22)  Jeżeli odbiorcy posiadający jednostki organizacyjne w Unii i podlegający rozporządzeniu (UE) 2016/679 lub dyrektywie (UE) 2016/680 pragną, aby instytucje i organy unijne przekazywały im dane osobowe, powinni oni wykazać, że takie przekazywanie jest konieczne do osiągnięcia celu tych odbiorców oraz że jest proporcjonalne i nie wykracza poza zakres konieczny do osiągnięcia tego celu. Instytucje i organy unijne powinny wykazać taką konieczność, jeżeli same inicjują przekazywanie, zgodnie z zasadą przejrzystości.

(22)  Jeżeli odbiorcy posiadający jednostki organizacyjne w Unii i podlegający rozporządzeniu (UE) 2016/679 lub dyrektywie (UE) 2016/680 pragną, aby instytucje i organy unijne przekazywały im dane osobowe, powinni oni wystąpić do administratora danych z uzasadnionym wnioskiem o przekazanie danych osobowych, który powinien posłużyć administratorowi danych za podstawę do stwierdzenia, czy przekazanie jest konieczne do osiągnięcia celu tych odbiorców oraz czy jest proporcjonalne i nie wykracza poza zakres konieczny do osiągnięcia tego celu. Instytucje i organy unijne powinny wykazać taką konieczność, jeżeli same inicjują przekazywanie, zgodnie z zasadą przejrzystości.

Tekst proponowany przez Komisję

Poprawka

(23)  Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. Do takich danych osobowych powinny zaliczać się dane osobowe ujawniające pochodzenie rasowe lub etniczne, przy czym użycie w niniejszym rozporządzeniu terminu „pochodzenie rasowe” nie oznacza, że Unia akceptuje teorie sugerujące istnienie odrębnych ras ludzkich. Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Oprócz wymogów szczegółowych mających zastosowanie do przetwarzania danych wrażliwych zastosowanie powinny mieć zasady ogólne i inne przepisy niniejszego rozporządzenia, w szczególności jeżeli chodzi o warunki zgodności przetwarzania z prawem. Należy wyraźnie przewidzieć wyjątki od ogólnego zakazu przetwarzania takich szczególnych kategorii danych osobowych, m.in. w razie wyraźnej zgody osoby, której dane dotyczą, lub ze względu na szczególne potrzeby, w szczególności gdy przetwarzanie danych odbywa się w ramach uzasadnionych działań niektórych zrzeszeń lub fundacji, których celem jest umożliwienie korzystania z podstawowych wolności.

(23)  Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. Takich danych osobowych nie należy przetwarzać, chyba że ich przetwarzanie jest dozwolone w szczególnych przypadkach określonych w niniejszym rozporządzeniu. Do takich danych osobowych powinny zaliczać się dane osobowe ujawniające pochodzenie rasowe lub etniczne, przy czym użycie w niniejszym rozporządzeniu terminu „pochodzenie rasowe” nie oznacza, że Unia akceptuje teorie sugerujące istnienie odrębnych ras ludzkich. Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Oprócz wymogów szczegółowych mających zastosowanie do przetwarzania danych wrażliwych zastosowanie powinny mieć zasady ogólne i inne przepisy niniejszego rozporządzenia, w szczególności jeżeli chodzi o warunki zgodności przetwarzania z prawem. Należy wyraźnie przewidzieć wyjątki od ogólnego zakazu przetwarzania takich szczególnych kategorii danych osobowych, m.in. w razie wyraźnej zgody osoby, której dane dotyczą, lub ze względu na szczególne potrzeby, w szczególności gdy przetwarzanie danych odbywa się w ramach uzasadnionych działań niektórych zrzeszeń lub fundacji, których celem jest umożliwienie korzystania z podstawowych wolności.

Tekst proponowany przez Komisję

Poprawka

(23a)  Specjalne kategorie danych osobowych zasługujące na większą ochronę powinny być przetwarzane do celów zdrowotnych wyłącznie wtedy, gdy jest to konieczne do realizacji tych celów z korzyścią dla osób fizycznych i ogółu społeczeństwa, zwłaszcza w kontekście zarządzania usługami i systemami opieki zdrowotnej i społecznej. W niniejszym rozporządzeniu powinno się zatem zapewnić zharmonizowane warunki przetwarzania szczególnych kategorii danych osobowych dotyczących zdrowia ze względu na szczególne potrzeby, zwłaszcza gdy takie dane są przetwarzane w określonych celach zdrowotnych przez osoby podlegające prawnemu obowiązkowi zachowania tajemnicy zawodowej. W prawie Unii powinno się uwzględnić konkretne i odpowiednie środki, aby chronić prawa podstawowe i dane osobowe osób fizycznych.

Tekst proponowany przez Komisję

Poprawka

(24)  Niezbędne z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego może być przetwarzanie szczególnych kategorii danych osobowych bez zgody osoby, której dane dotyczą. Przetwarzanie takie powinno podlegać konkretnym, odpowiednim środkom chroniącym prawa i wolności osób fizycznych. W tym kontekście „zdrowie publiczne” należy interpretować zgodnie z definicją z rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1338/200815, czyli jako wszystkie elementy związane ze zdrowiem, mianowicie stan zdrowia, w tym zachorowalność i niepełnosprawność, czynniki warunkujące stan zdrowia, potrzeby w zakresie opieki zdrowotnej, zasoby opieki zdrowotnej, oferowane usługi opieki zdrowotnej i powszechny dostęp do nich, wydatki na opiekę zdrowotną i sposób jej finansowania oraz przyczyny zgonów. Przetwarzanie danych dotyczących zdrowia z uwagi na względy interesu publicznego nie powinno skutkować przetwarzaniem danych osobowych do innych celów przez osoby trzecie.

(24)  Niezbędne z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego może być przetwarzanie szczególnych kategorii danych osobowych bez zgody osoby, której dane dotyczą. Przetwarzanie takie powinno podlegać konkretnym, odpowiednim środkom chroniącym prawa i wolności osób fizycznych. W tym kontekście „zdrowie publiczne” należy interpretować zgodnie z definicją z rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1338/200815, czyli jako wszystkie elementy związane ze zdrowiem, mianowicie stan zdrowia, w tym zachorowalność i niepełnosprawność, czynniki warunkujące stan zdrowia, potrzeby w zakresie opieki zdrowotnej, zasoby opieki zdrowotnej, oferowane usługi opieki zdrowotnej i powszechny dostęp do nich, wydatki na opiekę zdrowotną i sposób jej finansowania oraz przyczyny zgonów. Przetwarzanie danych dotyczących zdrowia z uwagi na względy interesu publicznego nie powinno skutkować przetwarzaniem danych osobowych do innych celów.

__________________

__________________

15 Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 1338/2008 z dnia 16 grudnia 2008 r. w sprawie statystyk Wspólnoty w zakresie zdrowia publicznego oraz zdrowia i bezpieczeństwa w pracy (Dz.U. L 354 z 31.12.2008, s. 70).

15 Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 1338/2008 z dnia 16 grudnia 2008 r. w sprawie statystyk Wspólnoty w zakresie zdrowia publicznego oraz zdrowia i bezpieczeństwa w pracy (Dz.U. L 354 z 31.12.2008, s. 70).

Tekst proponowany przez Komisję

Poprawka

W aktach prawnych przyjętych na podstawie Traktatów lub w wewnętrznych przepisach instytucji i organów unijnych można przewidzieć ograniczenia dotyczące określonych zasad oraz prawa do informacji, dostępu do danych osobowych i ich sprostowania lub usuwania, prawa do przenoszenia danych, poufności łączności elektronicznej, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych oraz określonych powiązanych obowiązków administratorów, o ile jest to niezbędne i proporcjonalne w społeczeństwie demokratycznym, by zapewnić bezpieczeństwo publiczne, zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, ściganie czynów zabronionych, lub wykonywanie kar, w tym ochronę przed zagrożeniami dla bezpieczeństwa publicznego, włączając ochronę życia ludzkiego – w szczególności w odpowiedzi na klęski żywiołowe lub katastrofy spowodowane przez człowieka – i zapobieganie takim zagrożeniom, bezpieczeństwo wewnętrzne instytucji i organów unijnych, ochronę innych ważnych celów leżących w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnego interesu gospodarczego lub finansowego Unii lub państwa członkowskiego, prowadzenie rejestrów publicznych z uwagi na względy ogólnego interesu publicznego, ochronę osoby, której dane dotyczą, lub praw i wolności innych osób, w tym cele w dziedzinie ochrony socjalnej, zdrowia publicznego i cele humanitarne.

W aktach prawnych przyjętych na podstawie Traktatów można przewidzieć ograniczenia dotyczące określonych zasad oraz prawa do informacji, dostępu do danych osobowych i ich sprostowania lub usuwania, prawa do przenoszenia danych, poufności łączności elektronicznej, a także zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych oraz określonych powiązanych obowiązków administratorów, o ile jest to niezbędne i proporcjonalne w społeczeństwie demokratycznym, by zapewnić bezpieczeństwo publiczne, zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, ściganie czynów zabronionych, lub wykonywanie kar, w tym ochronę przed zagrożeniami dla bezpieczeństwa publicznego, włączając ochronę życia ludzkiego – w szczególności w odpowiedzi na klęski żywiołowe lub katastrofy spowodowane przez człowieka – i zapobieganie takim zagrożeniom, bezpieczeństwo wewnętrzne instytucji i organów unijnych, ochronę innych ważnych celów leżących w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnego interesu gospodarczego lub finansowego Unii lub państwa członkowskiego, prowadzenie rejestrów publicznych z uwagi na względy ogólnego interesu publicznego, ochronę osoby, której dane dotyczą, lub praw i wolności innych osób, w tym cele w dziedzinie ochrony socjalnej, zdrowia publicznego i cele humanitarne.

Tekst proponowany przez Komisję

Poprawka

Jeżeli w aktach prawnych przyjętych na podstawie Traktatów lub w wewnętrznych przepisach instytucji i organów unijnych nie przewidziano ograniczenia, instytucje i organy unijne mogą narzucić w danym przypadku ograniczenie doraźne dotyczące poszczególnych zasad i praw osoby, której dane dotyczą, jeżeli takie ograniczenie nie narusza istoty podstawowych praw i wolności oraz – w odniesieniu do danej operacji przetwarzania – stanowi w demokratycznym społeczeństwie niezbędny i proporcjonalny środek, który zapewnia realizację jednego bądź kilku celów wyszczególnionych w ust. 1. Takie ograniczenie należy zgłosić inspektorowi ochrony danych. Ograniczenia te powinny być zgodne z wymogami Karty praw podstawowych oraz Europejskiej konwencji o ochronie praw człowieka i podstawowych wolności.

skreśla się

Tekst proponowany przez Komisję

Poprawka

(39a)  Rozporządzenie (UE) 2016/679 przewiduje stosowanie przez administratorów danych zatwierdzonych mechanizmów certyfikacji w celu wykazania zgodności. Również instytucje i organy Unii powinny być w stanie wykazać zgodność z wymogami niniejszego rozporządzenia dzięki uzyskaniu certyfikacji zgodnie z art. 42 rozporządzenia (UE) 2016/679.

Tekst proponowany przez Komisję

Poprawka

(42)  Dla zachowania zgodności z niniejszym rozporządzeniem, administratorzy powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni, a podmioty przetwarzające – rejestry kategorii czynności przetwarzania, za które są odpowiedzialne. Instytucje i organy unijne powinny być zobowiązane do współpracy z Europejskim Inspektorem Ochrony Danych i na jego żądanie powinny udostępniać mu swoje rejestry w celu monitorowania tych operacji przetwarzania. Instytucje i organy unijne powinny mieć możliwość ustanowienia centralnego rejestru prowadzonych przez nie czynności przetwarzania. Ze względu na przejrzystość powinny mieć również możliwość publicznego udostępnienia takiego rejestru.

(42)  Dla zachowania zgodności z niniejszym rozporządzeniem, administratorzy powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni, a podmioty przetwarzające – rejestry kategorii czynności przetwarzania, za które są odpowiedzialne. Instytucje i organy unijne powinny być zobowiązane do współpracy z Europejskim Inspektorem Ochrony Danych i na jego żądanie powinny udostępniać mu swoje rejestry w celu monitorowania tych operacji przetwarzania. Instytucje i organy unijne powinny ustanowić centralny rejestr prowadzonych przez nie czynności przetwarzania. Ze względu na przejrzystość powinny udostępnić taki rejestr publicznie.

Tekst proponowany przez Komisję

Poprawka

(47)  W rozporządzeniu (WE) nr 45/2001 przewidziano, że ogólnym obowiązkiem administratora jest zgłaszanie przetwarzania danych osobowych inspektorowi ochrony danych, który z kolei ma prowadzić rejestr zgłaszanych operacji przetwarzania. Obowiązek ten powodując jednak obciążenia administracyjne i finansowe i nie zawsze przyczyniał się do poprawy ochrony danych osobowych. Dlatego należy znieść te powszechne, ogólne obowiązki zgłaszania i zastąpić je skutecznymi procedurami i mechanizmami koncentrującymi się w zamian na tych rodzajach operacji przetwarzania, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Takie rodzaje operacji przetwarzania obejmują w szczególności operacje, które wiążą się w szczególności z użyciem nowych technologii lub które są nowe i nie zostały jeszcze poddane przez administratora ocenie skutków w zakresie ochrony danych lub stały się niezbędne z uwagi na upływ czasu od pierwotnego przetwarzania. W takim przypadku administrator powinien przed przetwarzaniem dokonać oceny skutków w zakresie ochrony danych, aby ocenić konkretne prawdopodobieństwo i powagę tego wysokiego ryzyka, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz źródła ryzyka. Ocena skutków powinna w szczególności obejmować planowane środki, zabezpieczenia i mechanizmy mające minimalizować to ryzyko, zapewniać ochronę danych osobowych oraz wykazać przestrzeganie niniejszego rozporządzenia.

(47)  W rozporządzeniu (WE) nr 45/2001 przewidziano, że ogólnym obowiązkiem administratora jest zgłaszanie przetwarzania danych osobowych inspektorowi ochrony danych, który z kolei prowadzi rejestr zgłaszanych operacji przetwarzania. Poza tym ogólnym obowiązkiem należy wprowadzić skuteczne procedury i mechanizmy monitorowania operacji przetwarzania, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Takie procedury muszą istnieć w szczególności tam, gdzie rodzaje operacji przetwarzania wiążą się z użyciem nowych technologii lub które są nowe i nie zostały jeszcze poddane przez administratora ocenie skutków w zakresie ochrony danych lub stały się niezbędne z uwagi na upływ czasu od pierwotnego przetwarzania. W takim przypadku administrator powinien przed przetwarzaniem dokonać oceny skutków w zakresie ochrony danych, aby ocenić konkretne prawdopodobieństwo i powagę tego wysokiego ryzyka, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz źródła ryzyka. Ocena skutków powinna w szczególności obejmować planowane środki, zabezpieczenia i mechanizmy mające minimalizować to ryzyko, zapewniać ochronę danych osobowych oraz wykazać przestrzeganie niniejszego rozporządzenia.

Tekst proponowany przez Komisję

Poprawka

(50)  Rozporządzeniem (UE) 2016/679 ustanowiono Europejską Radę Ochrony Danych jako niezależny organ Unii posiadający osobowość prawną. Europejska Rada Ochrony Danych powinna przyczyniać się do spójnego stosowania przepisów rozporządzenia (UE) 2016/679 i dyrektywy 2016/680 w całej Unii, m.in. poprzez doradzanie Komisji. Jednocześnie Europejski Inspektor Ochrony Danych powinien w dalszym ciągu wykonywać swoje funkcje nadzorcze i doradcze w odniesieniu do wszystkich instytucji i organów unijnych, w tym z inicjatywy własnej lub na wniosek. Aby zapewnić zgodność przepisów o ochronie danych w całej Unii, Komisja powinna mieć obowiązek przeprowadzania konsultacji po przyjęciu aktów ustawodawczych lub podczas opracowywania aktów delegowanych i aktów wykonawczych, o których mowa w art. 289, 290 i 291 TFUE, oraz po przyjęciu zaleceń i wniosków odnoszących się do umów z państwami trzecimi i organizacjami międzynarodowymi, o których mowa w art. 218 TFUE i które mają wpływ na prawo do ochrony danych osobowych. W takich przypadkach Komisja powinna mieć obowiązek skonsultowania się z Europejskim Inspektorem Ochrony Danych, z wyjątkiem przypadków, w odniesieniu do których w rozporządzeniu (UE) 2016/679 przewidziano obowiązek konsultacji z Europejską Radą Ochrony Danych, na przykład w przypadku decyzji stwierdzających odpowiedni stopień ochrony lub aktów delegowanych w sprawie standardowych znaków graficznych i wymogów dotyczących mechanizmów certyfikacji. Ponadto, jeżeli dany akt ma szczególne znaczenie dla ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych, Komisja powinna mieć możliwość skonsultowania się z Europejską Radą Ochrony Danych. W takich przypadkach Europejski Inspektor Ochrony Danych jako członek Europejskiej Rady Ochrony Danych powinien skoordynować swoje prace z pracami rady w celu wydania wspólnej opinii. Europejski Inspektor Ochrony Danych i w stosownych przypadkach Europejska Rada Ochrony Danych powinni przedstawić pisemne zalecenie w terminie ośmiu tygodni. W razie przypadku niecierpiącego zwłoki lub w innym uzasadnionym przypadku te ramy czasowe należy skrócić, na przykład gdy Komisja jest w trakcie prac nad aktami delegowanymi i wykonawczymi.

(50)  Rozporządzeniem (UE) 2016/679 ustanowiono Europejską Radę Ochrony Danych jako niezależny organ Unii posiadający osobowość prawną. Europejska Rada Ochrony Danych powinna przyczyniać się do spójnego stosowania przepisów rozporządzenia (UE) 2016/679 i dyrektywy 2016/680 w całej Unii, m.in. poprzez doradzanie Komisji. Jednocześnie Europejski Inspektor Ochrony Danych powinien w dalszym ciągu wykonywać swoje funkcje nadzorcze i doradcze w odniesieniu do wszystkich instytucji i organów unijnych, w tym z inicjatywy własnej lub na wniosek. Aby zapewnić zgodność przepisów o ochronie danych w całej Unii, Komisja powinna mieć obowiązek przeprowadzania konsultacji przy przyjmowaniu wniosków w sprawie aktów ustawodawczych lub podczas opracowywania aktów delegowanych i aktów wykonawczych, o których mowa w art. 289, 290 i 291 TFUE, oraz przy przyjmowaniu zaleceń i wniosków odnoszących się do umów z państwami trzecimi i organizacjami międzynarodowymi, o których mowa w art. 218 TFUE i które mają wpływ na prawo do ochrony danych osobowych. W takich przypadkach Komisja powinna mieć obowiązek skonsultowania się z Europejskim Inspektorem Ochrony Danych, z wyjątkiem przypadków, w odniesieniu do których w rozporządzeniu (UE) 2016/679 przewidziano obowiązek konsultacji z Europejską Radą Ochrony Danych, na przykład w przypadku decyzji stwierdzających odpowiedni stopień ochrony lub aktów delegowanych w sprawie standardowych znaków graficznych i wymogów dotyczących mechanizmów certyfikacji. Ponadto, jeżeli dany akt ma szczególne znaczenie dla ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych, Komisja powinna mieć możliwość skonsultowania się z Europejską Radą Ochrony Danych. W takich przypadkach Europejski Inspektor Ochrony Danych jako członek Europejskiej Rady Ochrony Danych powinien skoordynować swoje prace z pracami rady w celu wydania wspólnej opinii. Europejski Inspektor Ochrony Danych i w stosownych przypadkach Europejska Rada Ochrony Danych powinni przedstawić pisemne zalecenie w terminie ośmiu tygodni. W razie przypadku niecierpiącego zwłoki lub w innym uzasadnionym przypadku te ramy czasowe należy skrócić, na przykład gdy Komisja jest w trakcie prac nad aktami delegowanymi i wykonawczymi.

Tekst proponowany przez Komisję

Poprawka

(50a)  Zgodnie z art. 75 rozporządzenia (UE) 2016/679 Europejski Inspektor Ochrony Danych zapewnia obsługę sekretariatu Europejskiej Rady Ochrony Danych.

Tekst proponowany przez Komisję

Poprawka

(52)  Jeżeli instytucje i organy unijne przekazują dane osobowe administratorom, podmiotom przetwarzającym lub innym odbiorcom w państwach trzecich lub organizacjom międzynarodowym, nie należy obniżać stopnia ochrony osób fizycznych zapewnianego w Unii niniejszym rozporządzeniem, także w przypadkach dalszego przekazywania danych osobowych: z państwa trzeciego lub organizacji międzynarodowej administratorom lub pomiotom przetwarzającym w tym samym lub w innym państwie trzecim lub tej samej lub innej organizacji międzynarodowej. W każdym przypadku przekazywanie danych do państw trzecich i organizacji międzynarodowych może się odbywać wyłącznie w pełnej zgodzie z niniejszym rozporządzeniem. Przekazywanie może mieć miejsce wyłącznie w przypadkach, gdy administrator lub podmiot przetwarzający przestrzegają warunków określonych w przepisach niniejszego rozporządzenia dotyczących przekazywania danych osobowych państwom trzecim lub organizacjom międzynarodowym – z zastrzeżeniem pozostałych przepisów niniejszego rozporządzenia.

(52)  Jeżeli instytucje i organy unijne przekazują dane osobowe administratorom, podmiotom przetwarzającym lub innym odbiorcom w państwach trzecich lub organizacjom międzynarodowym, należy zagwarantować stopień ochrony osób fizycznych zapewniany w Unii niniejszym rozporządzeniem, także w przypadkach dalszego przekazywania danych osobowych: z państwa trzeciego lub organizacji międzynarodowej administratorom lub pomiotom przetwarzającym w tym samym lub w innym państwie trzecim lub tej samej lub innej organizacji międzynarodowej. W każdym przypadku przekazywanie danych do państw trzecich i organizacji międzynarodowych może się odbywać wyłącznie w pełnej zgodzie z niniejszym rozporządzeniem, rozporządzeniem (UE) 2016/679 oraz podstawowymi prawami i wolnościami zapisanymi w Karcie praw podstawowych. Przekazywanie może mieć miejsce wyłącznie w przypadkach, gdy administrator lub podmiot przetwarzający przestrzegają warunków określonych w przepisach niniejszego rozporządzenia dotyczących przekazywania danych osobowych państwom trzecim lub organizacjom międzynarodowym – z zastrzeżeniem pozostałych przepisów niniejszego rozporządzenia.

Tekst proponowany przez Komisję

Poprawka

(53)  Zgodnie z art. 45 rozporządzenia (UE) 2016/679 Komisja może uznać, że państwo trzecie, terytorium lub określony sektor w państwie trzecim, lub organizacja międzynarodowa zapewnia odpowiedni stopień ochrony danych. W takich przypadkach przekazywanie danych osobowych do tego państwa trzeciego lub tej organizacji międzynarodowej przez instytucję unijną lub organ unijny może się odbywać bez potrzeby uzyskania dodatkowego zezwolenia.

(53)  Zgodnie z art. 45 rozporządzenia (UE) 2016/679 lub art. 36 dyrektywy (UE) 2016/680 Komisja może uznać, że państwo trzecie, terytorium lub określony sektor w państwie trzecim, lub organizacja międzynarodowa zapewnia odpowiedni stopień ochrony danych. W takich przypadkach przekazywanie danych osobowych do tego państwa trzeciego lub tej organizacji międzynarodowej przez instytucję unijną lub organ unijny może się odbywać bez potrzeby uzyskania dodatkowego zezwolenia.

Tekst proponowany przez Komisję

Poprawka

(64a)  Komisja zaproponowała zmianę rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1024/2012 z dnia 25 października 2012 r. w sprawie współpracy administracyjnej za pośrednictwem systemu wymiany informacji na rynku wewnętrznym i uchylającego decyzję Komisji 2008/49/WE („rozporządzenie w sprawie IMI”), żeby umożliwić korzystanie z systemu IMI nie tylko właściwym organom państw członkowskich i Komisji, lecz również organom, jednostkom organizacyjnym i służbom Unii1a. W oczekiwaniu na tę zmianę Europejski Inspektor Ochrony Danych i Europejska Rada Ochrony Danych powinni mieć możliwość korzystania z systemu IMI do celów współpracy administracyjnej i wymiany informacji przewidzianych w ogólnym rozporządzeniu o ochronie danych, biorąc pod uwagę jego wejście w życie w dniu 25 maja 2018 r.

_________________

1a Zob. art. 36 wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie utworzenia jednolitego portalu cyfrowego zapewniającego dostęp do informacji, procedur, usług wsparcia i rozwiązywania problemów oraz w sprawie zmiany rozporządzenia (UE) nr 1024/2012 (COM(2017)0256 final, 2017/0086 (COD)).

Tekst proponowany przez Komisję

Poprawka

(65)  W niektórych przypadkach prawo Unii przewiduje model skoordynowanego nadzoru sprawowanego wspólnie przez Europejskiego Inspektora Ochrony Danych i krajowe organy nadzorcze. Ponadto Europejski Inspektor Ochrony Danych pełni rolę organu nadzorczego Europolu; istnieje również szczególny model współpracy z krajowymi organami nadzorczymi, który funkcjonuje poprzez radę współpracy pełniącą funkcję doradczą. Aby poprawić skuteczny nadzór i egzekwowanie przepisów prawa materialnego o ochronie danych, należy wprowadzić w Unii jednolity spójny model skoordynowanego nadzoru. W związku z tym Komisja powinna złożyć – w stosownych przypadkach – wnioski ustawodawcze w celu zmiany unijnych aktów prawnych, w których przewidziano model skoordynowanego nadzoru, aby dostosować je do skoordynowanego modelu nadzoru przewidzianego w niniejszym rozporządzeniu. Europejska Rada Ochrony Danych powinna funkcjonować jako jednolite forum, aby zapewnić skuteczny i skoordynowany nadzór całej rady.

(65)  W niektórych przypadkach prawo Unii przewiduje model skoordynowanego nadzoru sprawowanego wspólnie przez Europejskiego Inspektora Ochrony Danych i krajowe organy nadzorcze. Ponadto Europejski Inspektor Ochrony Danych pełni rolę organu nadzorczego Europolu; istnieje również szczególny model współpracy z krajowymi organami nadzorczymi, który funkcjonuje poprzez radę współpracy pełniącą funkcję doradczą. Aby poprawić skuteczny nadzór i egzekwowanie przepisów prawa materialnego o ochronie danych, niniejsze rozporządzenie powinno wprowadzić jednolity spójny model skoordynowanego nadzoru. Europejska Rada Ochrony Danych powinna funkcjonować jako jednolite forum, aby zapewnić skuteczny i skoordynowany nadzór całej rady.

Tekst proponowany przez Komisję

Poprawka

2.  Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.

2.  Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych zapisane w Karcie praw podstawowych, w szczególności ich prawo do ochrony danych osobowych.

Tekst proponowany przez Komisję

Poprawka

1.  Niniejsze rozporządzenie stosuje się do przetwarzania danych osobowych przez wszystkie instytucje i organy unijne, o ile takie przetwarzanie jest prowadzone podczas wykonywania czynności całkowicie lub częściowo podlegających prawu Unii.

1.  Niniejsze rozporządzenie stosuje się do przetwarzania danych osobowych przez wszystkie instytucje i organy unijne.

Tekst proponowany przez Komisję

Poprawka

2a.  Niniejsze rozporządzenie stosuje się również do agencji Unii prowadzących działania wchodzące w zakres części trzeciej tytuł V rozdziały 4 i 5 TFUE, m.in. w przypadku gdy akty założycielskie tych agencji Unii ustanawiają niezależny system ochrony danych do celów przetwarzania operacyjnych danych osobowych. Przepisy odnoszące się do konkretnego przetwarzania operacyjnych danych osobowych zawarte w aktach założycielskich tych agencji mogą uszczegółowiać i uzupełniać niniejsze rozporządzenie.

Tekst proponowany przez Komisję

Poprawka

a)  definicje zawarte w rozporządzeniu (UE) 2016/679 z wyjątkiem definicji „administratora” zawartej w art. 4 pkt 7 tego rozporządzenia;

a)  definicje zawarte w rozporządzeniu (UE) 2016/679 z wyjątkiem definicji „administratora” zawartej w art. 4 pkt 7, „głównego przedsiębiorstwa” zawartej w pkt 16, „przedsiębiorstwa” zawartej w pkt 18 i „grupy przedsiębiorstw” zawartej w pkt 19 tego rozporządzenia; definicję „łączności elektronicznej” zawartą w art. 4 ust. 2 lit. a) rozporządzenia (UE) XX/XXXX [rozporządzenia o prywatności elektronicznej];

Tekst proponowany przez Komisję

Poprawka

da)  „operacyjne dane osobowe” oznacza dane osobowe przetwarzane przez agencje unijne ustanowione na mocy części trzeciej tytuł V rozdziały 4 i 5 TFUE, a także w ramach misji, o których mowa w art. 42 ust. 1, art. 43 i 44 TUE, aby osiągnąć cele określone w aktach ustanawiających te agencje lub misje.

Tekst proponowany przez Komisję

Poprawka

1.  Dane osobowe muszą być:

1.  Dane osobowe są:

Tekst proponowany przez Komisję

Poprawka

d)  prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe lub niekompletne w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

d)  prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

Tekst proponowany przez Komisję

Poprawka

2.  Zadania, o których mowa w ust. 1 lit. a), są określone w prawie Unii.

2.  Zadania, o których mowa w ust. 1 lit. a), są określone w prawie Unii. Podstawa przetwarzania, o której mowa w ust. 1 lit. b), jest ustanowiona w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator.

Tekst proponowany przez Komisję

Poprawka

Warunki wyrażenia zgody przez dzieci w przypadku usług społeczeństwa informacyjnego

Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego

Tekst proponowany przez Komisję

Poprawka

Artykuł 8a

Przekazywanie danych osobowych między instytucjami i organami unijnymi

Z zastrzeżeniem art. 4, 5, 6 i 10:

1. Dane osobowe są przekazywane w obrębie poszczególnych instytucji i organów unijnych lub do innych instytucji i organów unijnych tylko wówczas, gdy są konieczne do zgodnego z prawem wykonywania zadań należących do zakresu kompetencji odbiorcy.

2. Jeżeli dane są przekazywane na życzenie odbiorcy, zarówno administrator danych, jak i odbiorca ponoszą odpowiedzialność za zgodność ich przekazania z prawem.

Administrator danych jest zobowiązany sprawdzić uprawnienia odbiorcy i dokonać wstępnej oceny konieczności przekazania danych. Jeżeli powstają wątpliwości co do konieczności przekazania danych, administrator danych żąda od odbiorcy dalszych informacji.

Odbiorca zapewnia, że konieczność przekazania danych może zostać zweryfikowana po fakcie ich przekazania.

3. Odbiorca przetwarza dane osobowe tylko do celów, dla których zostały one przekazane.

Tekst proponowany przez Komisję

Poprawka

1.  Z zastrzeżeniem art. 4, 5, 6 i 10, dane osobowe przekazuje się odbiorcom posiadającym jednostkę organizacyjną w Unii i podlegającym rozporządzeniu (UE) 2016/679 lub prawu krajowemu przyjętemu zgodnie z dyrektywą (UE) 2016/680, wyłącznie jeżeli odbiorca stwierdzi:

1.  Z zastrzeżeniem art. 4, 5, 6, 10, 14, 15 ust. 3 i 16 ust. 4 dane osobowe przekazuje się odbiorcom posiadającym jednostkę organizacyjną w Unii i podlegającym rozporządzeniu (UE) 2016/679 lub prawu krajowemu przyjętemu zgodnie z dyrektywą (UE) 2016/680, wyłącznie jeżeli administrator danych stwierdzi na podstawie uzasadnionego wniosku odbiorcy:

Tekst proponowany przez Komisję

Poprawka

b)  że przekazanie danych jest niezbędne, jest proporcjonalne do celów przekazania oraz jeżeli nie ma powodu, by zakładać, że prawa i wolności oraz uzasadnione interesy, osoby której dane dotyczą, mogłyby zostać naruszone.

b)  że przekazanie danych jest proporcjonalne i niezbędne, aby służyć celom interesu publicznego, takim jak przejrzystość i dobra administracja, i jeżeli istnieje jakikolwiek powód, by zakładać, że uzasadnione interesy osoby, której dane dotyczą, mogłyby zostać naruszone po wyraźnym rozważeniu różnych sprzecznych interesów.

Tekst proponowany przez Komisję

Poprawka

a)  osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii przewiduje, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1; lub

(Nie dotyczy polskiej wersji językowej)  

Tekst proponowany przez Komisję

Poprawka

3.  Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii.

3.  Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego bądź przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego bądź przepisów ustanowionych przez właściwe organy krajowe.

Tekst proponowany przez Komisję

Poprawka

Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 5 ust. 1 można dokonywać wyłącznie, jeżeli jest ono dozwolone prawem Unii, które może obejmować przepisy wewnętrzne przewidujące odpowiednie szczególne zabezpieczenia praw i wolności osób, których dane dotyczą.

Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 5 ust. 1 dokonuje się wyłącznie, jeżeli jest ono dozwolone prawem Unii przewidującym odpowiednie szczególne zabezpieczenia praw i wolności osób, których dane dotyczą.

Tekst proponowany przez Komisję

Poprawka

Informacje podawane na mocy art. 15 i 16 oraz komunikacja i działania podejmowane na mocy art. 17–24 i 38 są wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może odmówić podjęcia działań w związku z żądaniem.

Informacje podawane na mocy art. 15 i 16 oraz komunikacja i działania podejmowane na mocy art. 17–24 i 38 są wolne od opłat.

Tekst proponowany przez Komisję

Poprawka

8.  Jeżeli Komisja przyjmuje akty delegowane zgodnie z art. 12 ust. 8 rozporządzenia (UE) 2016/679 określające informacje przedstawiane za pomocą znaków graficznych i procedury ustanowienia standardowych znaków graficznych, instytucje i organy unijne przekazują informacje zgodnie z art. 15 i 16 w połączeniu ze standardowymi znakami graficznymi.

8.  Komisja ma prawo przyjmować akty delegowane zgodnie z art. 12 ust. 8 rozporządzenia (UE) 2016/679 określające informacje przedstawiane za pomocą znaków graficznych i procedury ustanowienia standardowych znaków graficznych, a instytucje i organy unijne przekazują informacje zgodnie z art. 15 i 16 w połączeniu ze standardowymi znakami graficznymi.

Tekst proponowany przez Komisję

Poprawka

b)  udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania;

b)  udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania.

Tekst proponowany przez Komisję

Poprawka

c)  pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii; or

c)  pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii, któremu podlega administrator i które przewiduje odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą; or

Tekst proponowany przez Komisję

Poprawka

d)  dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii.

d)  dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii, w tym ustawowym obowiązkiem zachowania tajemnicy.

Tekst proponowany przez Komisję

Poprawka

5a.   W przypadkach, o których mowa w ust. 5 lit. b) administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadniony interes osoby, której dane dotyczą, w tym przy publicznym udostępnianiu informacji.

Tekst proponowany przez Komisję

Poprawka

b)  przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się ich usunięciu, żądając w zamian ograniczenia ich wykorzystywania;

b)  przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

Tekst proponowany przez Komisję

Poprawka

1.  Akty prawne przyjęte na podstawie Traktatów lub, w sprawach odnoszących się do działalności instytucji i organów unijnych, regulaminy przyjęte przez te ostatnie mogą ograniczyć zastosowanie art. 14–22, art. 34 i 38, a także art. 4 – o ile ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14–22 – w przypadku gdy ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

1.  Akty prawne przyjęte na podstawie Traktatów mogą ograniczyć zastosowanie art. 14–22 i 38, a także art. 4 – o ile ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14–22 – w przypadku gdy ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

Tekst proponowany przez Komisję

Poprawka

1a.   Akty przyjęte zgodnie z ust. 1, są jasne i precyzyjne. Ich stosowanie jest przewidywalne dla osób im podlegających.

Tekst proponowany przez Komisję

Poprawka

1b.  W szczególności akt prawny, o którym mowa w ust. 1, zawiera przepisy szczegółowe dotyczące w stosownych przypadkach co do minimum:

a) celów lub kategorii przetwarzania;

b) kategorii danych osobowych;

c) zakresu wprowadzonego ograniczenia;

d) zabezpieczeń przed nadużyciami lub niezgodnym z prawem dostępem bądź przekazywaniem;

e) określenia administratora lub kategorii administratorów;

f) okresów przechowywania oraz odnośnych zabezpieczeń z uwzględnieniem charakteru, zakresu i celów przetwarzania lub kategorii przetwarzania;

g) ryzyka naruszenia praw lub wolności osób, których dane dotyczą oraz

h) prawa osób, których dane dotyczą, do uzyskania informacji o ograniczeniach, o ile nie narusza to celu ograniczenia.

Tekst proponowany przez Komisję

Poprawka

2.  Jeżeli nie przewidziano ograniczenia w akcie prawnym przyjętym na podstawie Traktatów lub w przepisie wewnętrznym zgodnie z ust. 1, instytucje i organy unijne mogą ograniczyć zastosowanie art. 14–22, art. 34 i 38, a także art. 4 – w zakresie, w jakim ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14–22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności w odniesieniu do szczególnych operacji przetwarzania oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym jednemu celowi, o którym mowa w ust. 1, lub ich większej liczbie. Takie ograniczenie zgłasza się właściwemu inspektorowi ochrony danych.

skreśla się

Tekst proponowany przez Komisję

Poprawka

3.  W przypadku przetwarzania danych osobowych do celów badań naukowych lub historycznych lub do celów statystycznych prawo Unii, które może obejmować przepisy wewnętrzne, może przewidywać wyjątki od praw, o których mowa w art. 17, 18, 20 i 23, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 13, w zakresie, w jakim jest prawdopodobne, że prawa te uniemożliwią lub poważnie utrudnią realizację wspomnianych konkretnych celów, i jeżeli wyjątki takie są konieczne do realizacji tych celów.

3.  W przypadku przetwarzania danych osobowych do celów badań naukowych lub historycznych lub do celów statystycznych prawo Unii może przewidywać wyjątki od praw, o których mowa w art. 17, 18, 20 i 23, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 13, w zakresie, w jakim jest prawdopodobne, że prawa te uniemożliwią lub poważnie utrudnią realizację wspomnianych konkretnych celów, i jeżeli wyjątki takie są konieczne do realizacji tych celów.

Tekst proponowany przez Komisję

Poprawka

4.  W przypadku przetwarzania danych osobowych do celów archiwalnych w interesie publicznym prawo Unii, które może obejmować przepisy wewnętrzne, może przewidywać wyjątki od praw, o których mowa w art. 17, 18, 20 i 21, 22 i 23 z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 13, w zakresie, w jakim jest prawdopodobne, że prawa te uniemożliwią lub poważnie utrudnią realizację wspomnianych konkretnych celów, i jeżeli wyjątki takie są konieczne do realizacji tych celów.

4.  W przypadku przetwarzania danych osobowych do celów archiwalnych w interesie publicznym prawo Unii może przewidywać wyjątki od praw, o których mowa w art. 17, 18, 20 i 21, 22 i 23 z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 13, w zakresie, w jakim jest prawdopodobne, że prawa te uniemożliwią lub poważnie utrudnią realizację wspomnianych konkretnych celów, i jeżeli wyjątki takie są konieczne do realizacji tych celów.

Tekst proponowany przez Komisję

Poprawka

5.  Przepisy wewnętrzne, o których mowa w ust. 1, 3 i 4, są wystarczająco jasne i precyzyjne, by można je było w odpowiedni sposób opublikować.

skreśla się

Tekst proponowany przez Komisję

Poprawka

6.  Jeżeli nałożono ograniczenie zgodnie z ust. 1 lub 2, osoba, której dane dotyczą, zostaje poinformowana zgodnie z prawem Unii o podstawowych powodach, na których opiera się stosowanie ograniczenia, oraz jej prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych.

6.  Jeżeli nałożono ograniczenie zgodnie z ust. 1, osoba, której dane dotyczą, zostaje poinformowana zgodnie z prawem Unii o podstawowych powodach, na których opiera się stosowanie ograniczenia, oraz jej prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych.

Tekst proponowany przez Komisję

Poprawka

7.  Jeżeli osobie, której dane dotyczą, odmówiono dostępu do danych w oparciu o ograniczenie nałożone zgodnie z ust. 1 lub 2, Europejski Inspektor Ochrony Danych po rozważeniu skargi informuje ją, czy dane zostały przetworzone prawidłowo i jeżeli nie, czy dokonano koniecznych poprawek.

7.  Jeżeli osobie, której dane dotyczą, odmówiono dostępu do danych w oparciu o ograniczenie nałożone zgodnie z ust. 1, Europejski Inspektor Ochrony Danych po rozważeniu skargi informuje ją, czy dane zostały przetworzone prawidłowo i jeżeli nie, czy dokonano koniecznych poprawek.

Tekst proponowany przez Komisję

Poprawka

8.  Można wstrzymać przekazanie informacji, o których mowa w ust. 6 i 7 i w art. 46 ust. 2, pominąć je lub go odmówić, jeżeli unieważniłoby to skutek ograniczenia nałożonego zgodnie z ust. 1 lub 2.

8.  Można wstrzymać przekazanie informacji, o których mowa w ust. 6 i 7 i w art. 46 ust. 2, pominąć je lub go odmówić, jeżeli unieważniłoby to skutek ograniczenia nałożonego zgodnie z ust. 1.

Tekst proponowany przez Komisję

Poprawka

2a.  Wywiązywanie się przez administratora z ciążących na nim obowiązków można wykazać w drodze stosowania zatwierdzonych mechanizmów certyfikacji, o których mowa w art. 42 rozporządzenia (UE) 2016/679.

Tekst proponowany przez Komisję

Poprawka

2a.  Wywiązywanie się z obowiązków, o których mowa w art. 1 i 2, można wykazać za pomocą zatwierdzonego mechanizmu certyfikacji określonego w art. 42 rozporządzenia (UE) 2016/679.

Tekst proponowany przez Komisję

Poprawka

3.  Osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z niniejszego rozporządzenia wobec każdego ze współadministratorów, uwzględniając ich role określone w uzgodnieniach, o których mowa w ust. 1.

3.  Niezależnie od uzgodnień, o których mowa w ust. 1, osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z niniejszego rozporządzenia wobec każdego z administratorów.

Tekst proponowany przez Komisję

Poprawka

5.  Instytucje i organy unijne mogą podjąć decyzję o prowadzeniu swoich rejestrów czynności przetwarzania w rejestrze centralnym. W takim przypadku mogą również podjąć decyzję o publicznym udostępnieniu rejestru.

5.  Instytucje i organy unijne podejmują decyzję o prowadzeniu swoich rejestrów czynności przetwarzania w rejestrze centralnym i publicznym udostępnieniu rejestru.

Tekst proponowany przez Komisję

Poprawka

BEZPIECZEŃSTWO DANYCH OSOBOWYCH I POUFNOŚĆ ŁĄCZNOŚCI ELEKTRONICZNEJ

BEZPIECZEŃSTWO DANYCH OSOBOWYCH

Tekst proponowany przez Komisję

Poprawka

3a.  Wywiązywanie się z obowiązków, o których mowa w art. 1, można wykazać za pomocą zatwierdzonego mechanizmu certyfikacji określonego w art. 42 rozporządzenia (UE) 2016/679.

Tekst proponowany przez Komisję

Poprawka

Artykuł 33a

Wywiązywanie się z obowiązków, o których mowa w ust. 1 i 2, można wykazać w drodze przestrzegania zatwierdzonego kodeksu postępowania określonego w art. 42 rozporządzenia (UE) 2016/679.

Tekst proponowany przez Komisję

Poprawka

Artykuł 34

skreśla się

Poufność łączności elektronicznej

Instytucje i organy unijne zapewniają poufność łączności elektronicznej, w szczególności dzięki zabezpieczeniu swoich sieci łączności elektronicznej.

Tekst proponowany przez Komisję

Poprawka

Artykuł 36

skreśla się

Spisy użytkowników

1.  Dane osobowe zawarte są w spisach użytkowników i dostęp do takich spisów jest ograniczony do tego, co jest bezwzględnie konieczne do konkretnych celów spisu.

2.  Instytucje i organy unijne podejmą wszelkie dostępne środki, aby zapobiec użyciu danych osobowych zawartych w tych spisach, niezależnie od tego, czy są one ogólnodostępne czy nie, do celów marketingu bezpośredniego.

Tekst proponowany przez Komisję

Poprawka

POUFNOŚĆ ŁĄCZNOŚCI ELEKTRONICZNEJ

Tekst proponowany przez Komisję

Poprawka

Artykuł 38a

Poufność łączności elektronicznej

Instytucje i organy unijne zapewniają poufność łączności elektronicznej, w szczególności dzięki zabezpieczeniu swoich sieci łączności elektronicznej.

Tekst proponowany przez Komisję

Poprawka

Artykuł 38b

Spisy użytkowników

1. Dane osobowe zawarte są w spisach użytkowników i dostęp do takich spisów jest ograniczony do tego, co jest bezwzględnie konieczne do konkretnych celów spisu.

2. Instytucje i organy unijne podejmują wszelkie niezbędne działania, aby zapobiec wykorzystywaniu danych osobowych zawartych w tych spisach do celów marketingu bezpośredniego, niezależnie od tego, czy dane te są ogólnodostępne czy też nie.

Tekst proponowany przez Komisję

Poprawka

Instytucje i organy unijne informują Europejskiego Inspektora Ochrony Danych, gdy wdrażają środki administracyjne i wewnętrzne przepisy odnoszące się do przetwarzania danych osobowych, w których bierze udział instytucja unijna lub organ unijny, samodzielnie lub wspólnie z innymi.

Instytucje i organy unijne informują Europejskiego Inspektora Ochrony Danych, gdy wdrażają środki administracyjne odnoszące się do przetwarzania danych osobowych, w których bierze udział instytucja unijna lub organ unijny, samodzielnie lub wspólnie z innymi.

Tekst proponowany przez Komisję

Poprawka

1.  Komisja konsultuje się z Europejskim Inspektorem Ochrony Danych po przyjęciu wniosków w sprawie aktów ustawodawczych oraz zaleceń lub wniosków przedłożonych Radzie zgodnie z art. 218 TFUE oraz podczas opracowywania aktów delegowanych lub aktów wykonawczych, które mają wpływ na ochronę praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych.

1.  Komisja konsultuje się z Europejskim Inspektorem Ochrony Danych, przyjmując wnioski w sprawie aktów ustawodawczych oraz zalecenia lub wnioski przedłożone Radzie zgodnie z art. 218 TFUE oraz opracowując akty delegowane lub akty wykonawcze odnoszące się do ochrony praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych.

Tekst proponowany przez Komisję

Poprawka

4.  Inspektor ochrony danych może być członkiem personelu instytucji unijnej lub organu unijnego lub wykonywać zadania na podstawie zamówienia publicznego na usługi.

4.  Inspektor ochrony danych jest członkiem personelu instytucji unijnej lub organu unijnego. W wyjątkowych okolicznościach, biorąc pod uwagę rozmiar instytucji i organów unijnych i jeśli warunki określone w ust. 2 nie zostały spełnione, instytucje i organy te mogą wyznaczyć inspektora ochrony danych, który wypełnia swoje zadania na podstawie zamówienia publicznego na usługi.

Tekst proponowany przez Komisję

Poprawka

5.  Inspektor ochrony danych oraz jego pracownicy są zobowiązani do zachowania tajemnicy lub poufności co do wykonywania swoich zadań, zgodnie z prawem Unii.

5.  Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii.

Tekst proponowany przez Komisję

Poprawka

ga)  zapewnianie, że operacje przetwarzania nie wpływają negatywnie na prawa i wolności osób, których dane dotyczą.

Tekst proponowany przez Komisję

Poprawka

1.  Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa posiadają zapewniony odpowiedni stopień ochrony, a dane osobowe są przekazywane jedynie po to, aby umożliwić wykonywanie zadań wchodzących w zakres kompetencji administratora.

1.  Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 lub art. 36 dyrektywy (UE) 2016/680, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa posiadają zapewniony odpowiedni stopień ochrony, a dane osobowe są przekazywane jedynie po to, aby umożliwić wykonywanie zadań wchodzących w zakres kompetencji administratora. Takie przekazanie nie wymaga specjalnego zezwolenia.

Tekst proponowany przez Komisję

Poprawka

1.  W razie braku decyzji na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.

1.  W razie braku decyzji na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679 lub art. 36 ust. 3 dyrektywy (UE) 2016/680 administrator lub podmiot przetwarzający mogą – w odnośnym zakresie tych aktów prawnych – przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej wyłącznie, gdy zapewnią odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej.

Tekst proponowany przez Komisję

Poprawka

1.  W razie braku decyzji określonej w art. 45 ust. 3 rozporządzenia (UE) 2016/679 lub braku odpowiednich zabezpieczeń określonych w art. 49 jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej mogą nastąpić wyłącznie pod warunkiem, że:

1.  W razie braku decyzji określonej w art. 45 ust. 3 rozporządzenia (UE) 2016/679 lub art. 36 ust. 3 dyrektywy (UE) 2016/680 lub braku odpowiednich zabezpieczeń określonych w art. 49 jednorazowe lub wielokrotne przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może – w odnośnym zakresie tych aktów prawnych – nastąpić wyłącznie pod warunkiem, że:

Tekst proponowany przez Komisję

Poprawka

1.  Parlament Europejski i Rada powołują Europejskiego Inspektora Ochrony Danych w drodze wspólnego porozumienia na okres pięciu lat, na podstawie listy ustalonej przez Komisję po ogłoszeniu publicznego naboru dla kandydatów. Nabór kandydatów umożliwia zainteresowanym osobom w całej Unii złożenie ich wniosków. Lista kandydatów ustalona przez Komisję jest publikowana. Na podstawie listy ustalonej przez Komisję właściwa komisja Parlamentu Europejskiego może podjąć decyzję o przeprowadzeniu przesłuchania w celu wyrażenia swoich preferencji.

1.  Parlament Europejski i Rada powołują Europejskiego Inspektora Ochrony Danych w drodze wspólnego porozumienia na okres pięciu lat, na podstawie listy ustalonej wspólnie przez Parlament Europejski, Radę i Komisję po ogłoszeniu publicznego naboru dla kandydatów. Nabór kandydatów umożliwia zainteresowanym osobom w całej Unii złożenie ich wniosków. Lista kandydatów jest publikowana i figuruje na niej co najmniej pięciu kandydatów. Właściwa komisja Parlamentu Europejskiego może podjąć decyzję o przeprowadzeniu przesłuchania kandydatów figurujących na liście w celu wyrażenia swoich preferencji.

Tekst proponowany przez Komisję

Poprawka

2.  Na liście ustalonej przez Komisję, na podstawie której wybiera się Europejskiego Inspektora Ochrony Danych, znajdują się osoby, których niezależność jest niekwestionowana i o których wiadomo, że mają doświadczenie i umiejętności wymagane do pełnienia obowiązków Europejskiego Inspektora Ochrony Danych, ponieważ na przykład należą lub należały do organów nadzorczych ustanowionych w art. 41 rozporządzenia (UE) 2016/679.

2.  Na liście ustalonej wspólnie przez Parlament Europejski, Radę i Komisję, na podstawie której wybiera się Europejskiego Inspektora Ochrony Danych, znajdują się osoby, których niezależność jest niekwestionowana i o których wiadomo, że posiadają wiedzę fachową w dziedzinie ochrony danych oraz doświadczenie i umiejętności wymagane do pełnienia obowiązków Europejskiego Inspektora Ochrony Danych, ponieważ na przykład należą lub należały do organów nadzorczych ustanowionych w art. 41 rozporządzenia (UE) 2016/679.

Tekst proponowany przez Komisję

Poprawka

4.  Europejski Inspektor Ochrony Danych jest wspomagany przez sekretariat. Urzędnicy i inni pracownicy sekretariatu są powoływani przez Europejskiego Inspektora Ochrony Danych, który jest ich przełożonym. Działają oni pod jego wyłącznym kierownictwem. Ich liczba jest wyznaczana każdego roku w czasie procedury budżetowej.

4.  Europejski Inspektor Ochrony Danych jest wspomagany przez sekretariat. Urzędnicy i inni pracownicy sekretariatu są powoływani przez Europejskiego Inspektora Ochrony Danych, który jest ich przełożonym. Działają oni pod jego wyłącznym kierownictwem. Ich liczba jest wyznaczana każdego roku w czasie procedury budżetowej. Artykuł 75 ust. 2 rozporządzenia (UE) 2016/679 stosuje się do personelu Europejskiego Inspektora Ochrony Danych uczestniczącego w wykonywaniu zadań, które na mocy prawa Unii powierza się Europejskiej Radzie Ochrony Danych.

Tekst proponowany przez Komisję

Poprawka

e)  uzyskiwanie dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego.

e)  uzyskiwanie dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z prawem unijnym.

Tekst proponowany przez Komisję

Poprawka

ba)  zatwierdzanie operacji przetwarzania, o których mowa w art. 40 ust. 4;

Tekst proponowany przez Komisję

Poprawka

Współpraca z krajowymi organami nadzorczymi

Współpraca między Europejskim Inspektorem Ochrony Danych a krajowymi organami nadzorczymi

Tekst proponowany przez Komisję

Poprawka

Europejski Inspektor Ochrony Danych współpracuje z organami nadzorczymi utworzonymi na mocy art. 41 rozporządzenia (UE) 2016/679 oraz art. 51 dyrektywy (UE) 2016/680 (zwanymi dalej „krajowymi organami nadzorczymi”), a także ze wspólnym organem nadzorczym utworzonym na mocy art. 25 decyzji Rady 2009/917/WSiSW21 w zakresie niezbędnym do wykonywania odnośnych obowiązków tych organów, w szczególności poprzez wzajemne przekazywanie istotnych informacji, wzywanie krajowych organów nadzorczych do wykonywania ich uprawnień lub odpowiadanie na wezwania takich organów.

Europejski Inspektor Ochrony Danych współpracuje z organami nadzorczymi utworzonymi na mocy art. 51 rozporządzenia (UE) 2016/679 oraz art. 41 dyrektywy (UE) 2016/680 (zwanymi dalej „krajowymi organami nadzorczymi”) w zakresie niezbędnym do wykonywania odnośnych obowiązków tych organów, w szczególności poprzez wzajemne przekazywanie istotnych informacji, wzajemne wzywanie do wykonywania swoich uprawnień lub odpowiadanie na wzajemne wezwania.

_________________

21 Decyzja Rady 2009/917/WSiSW z dnia 30 listopada 2009 r. w sprawie stosowania technologii informatycznej do potrzeb celnych, Dz.U. L 323 z 10.12.2009, s. 20–30.

Tekst proponowany przez Komisję

Poprawka

Europejski Inspektor Ochrony Danych i Europejska Rada Ochrony Danych mogą korzystać z systemu wymiany informacji na rynku wewnętrznym stworzonego na mocy rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1024/2012 z dnia 25 października 2012 r. w sprawie współpracy administracyjnej za pośrednictwem systemu wymiany informacji na rynku wewnętrznym i uchylającego decyzję Komisji 2008/49/WE („rozporządzenie w sprawie IMI”) do celów współpracy administracyjnej i wymiany informacji zgodnie z art. 60–62, 64, 65 i 70 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679.

Tekst proponowany przez Komisję

Poprawka

1.  W przypadku, w którym w danym akcie Unii zamieszczono odwołanie do niniejszego artykułu, Europejski Inspektor Ochrony Danych czynnie współpracuje z krajowymi organami nadzorczymi, aby zapewnić skuteczny nadzór nad dużymi systemami informatycznymi lub agencjami unijnymi.

1.  W przypadku, w którym unijny akt przewiduje, że Europejski Inspektor Ochrony Danych nadzoruje przetwarzanie danych osobowych na szczeblu Unii, a krajowe organy nadzorcze nadzorują przetwarzanie danych osobowych na szczeblu krajowym, Europejski Inspektor Ochrony Danych i krajowe organy nadzorcze, działając w granicach swoich kompetencji, aktywnie współpracują ze sobą w ramach swoich obowiązków, aby zapewnić skuteczny i skoordynowany nadzór nad dużymi systemami informatycznymi lub organami, urzędami i agencjami unijnymi.

Tekst proponowany przez Komisję

Poprawka

2.  Działając w zakresie swoich odpowiednich kompetencji i w ramach swoich obowiązków, Europejski Inspektor Ochrony Danych może prowadzić wymianę odpowiednich informacji, pomagać w przeprowadzaniu audytów i inspekcji, badać trudności w interpretacji lub stosowaniu niniejszego rozporządzenia i innych aktów Unii mających zastosowanie, analizować problemy związane z przeprowadzaniem niezależnego nadzoru lub korzystaniem z praw przez osoby, których dane dotyczą, sporządzać zharmonizowane wnioski dotyczące rozwiązań wszelkich problemów oraz propagować wiedzę na temat praw do ochrony danych, zależnie od potrzeb, wraz z krajowymi organami nadzoru.

2.  Działając w zakresie swoich odpowiednich kompetencji i w ramach swoich obowiązków, prowadzą one wymianę odpowiednich informacji, pomagają sobie wzajemnie w przeprowadzaniu audytów i inspekcji, badają trudności w interpretacji lub stosowaniu niniejszego rozporządzenia i innych aktów Unii mających zastosowanie, analizują problemy związane z przeprowadzaniem niezależnego nadzoru lub korzystaniem z praw przez osoby, których dane dotyczą, sporządzają zharmonizowane wnioski dotyczące rozwiązań wszelkich problemów oraz propagują wiedzę na temat praw do ochrony danych, zależnie od potrzeb.

Tekst proponowany przez Komisję

Poprawka

3.  Do celów określonych w ust. 2 Europejski Inspektor Ochrony Danych spotyka się z krajowymi organami nadzorczymi co najmniej dwa razy w roku w ramach Europejskiej Rady Ochrony Danych. Koszty tych spotkań i ich obsługa leżą w gestii Europejskiej Rady Ochrony Danych. Podczas pierwszego spotkania zostaje przyjęty regulamin wewnętrzny. Dalsze metody pracy opracowywane są wspólnie, w zależności od potrzeb.

3.  Do celów określonych w ust. 2 Europejski Inspektor Ochrony Danych i krajowe organy nadzorcze spotykają się co najmniej dwa razy w roku w ramach Europejskiej Rady Ochrony Danych. Koszty tych spotkań i ich obsługa leżą w gestii Europejskiej Rady Ochrony Danych. Do tych celów Europejska Rada Ochrony Danych może w zależności od potrzebopracować dalsze metody pracy.

Tekst proponowany przez Komisję

Poprawka

ROZDZIAŁ VIIIa

Przetwarzanie operacyjnych danych osobowych

Tekst proponowany przez Komisję

Poprawka

Artykuł 69a

Zakres stosowania

W drodze odstępstwa od art. 4, 5, 6, 7, 8, 10, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 41, 43, 49, 50 i 51 postanowienia niniejszego rozdziału mają zastosowanie do przetwarzania operacyjnych danych osobowych przez agencje Unii ustanowione na mocy rozdziału 4 i 5 w tytule V części trzeciej TFUE i przez misje, o których mowa w art. 42 ust. 1 i art. 43 i 44 TUE.

Przepisy odnoszące się do przetwarzania operacyjnych danych osobowych zawarte w aktach założycielskich tych agencji mogą uszczegółowiać i uzupełniać niniejsze rozporządzenie.

Tekst proponowany przez Komisję

Poprawka

Artykuł 69b

Zasady dotyczące przetwarzania operacyjnych danych osobowych

1.  Operacyjne dane osobowe są

a)  przetwarzane zgodnie z prawem i rzetelnie („zgodność z prawem i rzetelność”);

b)  gromadzone w konkretnych, jawnych i zgodnych z prawem celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami, pod warunkiem że agencje i misje unijne zapewnią odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą, w szczególności, by zagwarantować, że dane nie są przetwarzane do żadnych innych celów („zasada celowości”);

c)  adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);

d)  prawidłowe i w razie potrzeby uaktualniane, przy czym podejmuje się wszelkie rozsądne działania, aby operacyjne dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

e)  przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez czas nie dłuższy niż jest to konieczne do celów, dla których operacyjne dane osobowe są przetwarzane;

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo operacyjnych danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

2.  Agencje lub misje unijne udostępniają publicznie dokument, w którym przedstawione są w zrozumiały sposób przepisy dotyczące przetwarzania operacyjnych danych osobowych oraz dostępne środki umożliwiające osobom, których dane dotyczą, korzystanie z przysługujących im praw.

Tekst proponowany przez Komisję

Poprawka

Artykuł 69c

Zgodność przetwarzania z prawem

Przetwarzanie jest zgodne z prawem wyłącznie wówczas i w zakresie, w jakim jest ono niezbędne do wykonania zadania realizowanego przez agencje i misje unijne oraz ma podstawę w prawie Unii. Unijne prawo określające i uzupełniające przepisy niniejszego rozporządzenia w odniesieniu do przetwarzania danych w zakresie stosowania niniejszego rozdziału określa powody przetwarzania, operacyjne dane osobowe mające podlegać przetwarzaniu oraz cele przetwarzania.

Tekst proponowany przez Komisję

Poprawka

Artykuł 69d

Rozróżnianie poszczególnych kategorii osób, których dane dotyczą

Agencje lub misje unijne wyraźnie rozróżniają operacyjne dane osobowe poszczególnych kategorii osób, których dane dotyczą, takich jak:

a)  osoby, które są podejrzane o popełnienie przestępstwa podlegającego kompetencjom agencji lub misji unijnych lub o branie w nim udziału, lub osoby, które były skazane za takie przestępstwo,

b)  osoby, w przypadku których istnieją przesłanki faktyczne lub uzasadnione powody, by sądzić, że popełnią one przestępstwa, w odniesieniu do których agencje lub misje unijne są właściwe;

c)  osoby, które padły ofiarą jednego z analizowanych przestępstw, lub osoby, w odniesieniu do których pewne fakty dają podstawy, by sądzić, iż mogły być ofiarami przestępstwa;

d)  osoby, które mogą być wezwane do złożenia zeznań w dochodzeniach w związku z przestępstwami lub w dalszym postępowaniu karnym;

e)  osoby, które mogą dostarczyć informacji dotyczących przestępstwa, oraz

f)  osoby, które mają kontakty lub powiązania z jedną z osób określonych w lit. a) lub b).

Tekst proponowany przez Komisję

Poprawka

Artykuł 69e

Rozróżnianie poszczególnych rodzajów operacyjnych danych osobowych i weryfikacja jakości operacyjnych danych osobowych

Agencje i misje unijne dokonują rozróżnienia pomiędzy operacyjnymi danymi osobowymi opartymi na faktach a operacyjnymi danymi osobowymi opartymi na indywidualnych ocenach. Agencje i misje unijne przetwarzają operacyjne dane osobowe w taki sposób, by w stosownym przypadku można było ustalić, który organ dostarczył dane lub skąd je uzyskano. Agencje i misje unijne zapewniają, by nieprawidłowe, niepełne lub nieaktualne już operacyjne dane osobowe nie były przekazywane ani udostępniane. W tym celu agencje i misje unijne weryfikują jakość operacyjnych danych osobowych przed ich przesłaniem lub udostępnieniem. W miarę możliwości, we wszystkich przypadkach przesyłania operacyjnych danych osobowych agencje i misje unijne dodają niezbędne informacje pozwalające odbiorcy ocenić stopień prawidłowości, kompletności, wiarygodności i aktualności operacyjnych danych osobowych. Jeżeli okaże się, że przesłano nieprawidłowe operacyjne dane osobowe lub że operacyjne dane osobowe przesłano niezgodnie z prawem, należy o tym niezwłocznie powiadomić odbiorcę. W takim przypadku operacyjne dane osobowe należy sprostować, usunąć lub ograniczyć ich przetwarzanie.

Tekst proponowany przez Komisję

Poprawka

Artykuł 69f

Szczególne warunki przetwarzania

Jeżeli agencje i misje unijne przewidują szczególne warunki przetwarzania danych, informują odbiorcę takich operacyjnych danych osobowych o tych warunkach i o obowiązku ich przestrzegania. Agencje i misje unijne spełniają szczególne warunki przetwarzania przewidziane przez organ krajowy zgodnie z art. 9 ust. 3 i 4 dyrektywy (UE) 2016/680.

Tekst proponowany przez Komisję

Poprawka

Artykuł 69g

Przekazywanie operacyjnych danych osobowych innym instytucjom i organom unijnym

Agencje i misje unijne przekazują operacyjne dane osobowe innym instytucjom i organom unijnym, wyłącznie jeżeli dane te są konieczne do wykonywania ich zadań lub zadań agencji i misji unijnych, które są odbiorcami danych. Jeżeli operacyjne dane osobowe są przesyłane na wniosek innej instytucji lub innego organu Unii, zarówno administrator, jak i odbiorca ponoszą odpowiedzialność za zgodność tego przesłania z prawem. Agencje i misje unijne są zobowiązane do sprawdzenia kompetencji tej innej instytucji lub tego innego organu i dokonują wstępnej oceny konieczności przesłania danych. Jeżeli pojawią się wątpliwości co do konieczności przekazania danych, agencje i misje unijne żądają dalszych informacji od odbiorcy. Inne instytucje i organy unijne dopilnowują, by można było następnie sprawdzić, czy przekazanie danych jest niezbędne. Inne instytucje i organy unijne przetwarzają dane osobowe wyłącznie w celach, w których zostały one przekazane.

Tekst proponowany przez Komisję

Poprawka

Artykuł 69h

Przetwarzanie szczególnych kategorii operacyjnych danych osobowych

Przetwarzanie operacyjnych danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe lub przynależność do związków zawodowych, a także przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, operacyjnych danych osobowych dotyczących zdrowia lub operacyjnych danych osobowych dotyczących życia seksualnego lub orientacji seksualnej osoby fizycznej jest zabronione, chyba że jest bezwzględnie niezbędne i proporcjonalne do zapobiegania przestępczości objętej celami agencji lub misji unijnych oraz gdy dane te uzupełniają inne dane osobowe przetwarzane przez agencje i misje unijne. Zabrania się selekcji konkretnej grupy osób wyłącznie na podstawie takich danych osobowych. Inspektor ochrony danych jest niezwłocznie informowany o zastosowaniu niniejszego artykułu. Operacyjnych danych osobowych, o których mowa w akapicie powyżej, nie przekazuje się państwom członkowskim, organom Unii, państwom trzecim ani organizacjom międzynarodowym, chyba że takie przekazanie jest absolutnie niezbędne i proporcjonalne w poszczególnych przypadkach dotyczących przestępczości objętej celami agencji i misji unijnych i zgodnie z rozdziałem V.

Tekst proponowany przez Komisję

Poprawka

Artykuł 69i

Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie

Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji agencji i misji unijnych, która to decyzja opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby negatywne skutki prawne lub w podobny sposób istotnie na nią wpływa.

Tekst proponowany przez Komisję

Poprawka

Artykuł 69j

Informacje udostępniane lub przekazywane osobie, której dane dotyczą

1.  Agencje i misje unijne udostępniają osobie, której dane dotyczą, przynajmniej następujące informacje:

a)  tożsamość i dane kontaktowe agencji lub misji unijnej;

b)  dane kontaktowe inspektora ochrony danych;

c)  cele przetwarzania, do których mają posłużyć operacyjne dane osobowe;

d)  informacje o prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych i jego dane kontaktowe;

e)  informacje o prawie do żądania od agencji i misji unijnych dostępu do operacyjnych danych osobowych osoby, której dane dotyczą, ich sprostowania lub usunięcia i ograniczenia ich przetwarzania.

2.  Oprócz informacji, o których mowa w ust. 1, w konkretnych przypadkach agencje i misje unijne przekazują osobie, której dane dotyczą, następujące dalsze informacje umożliwiające korzystanie z przysługujących jej praw:

a)  podstawa prawna przetwarzania;

b)  okres przechowywania operacyjnych danych osobowych lub, gdy nie jest to możliwe, kryteria służące określeniu tego okresu;

c)  kategorie odbiorców operacyjnych danych osobowych, w tym w państwach trzecich lub organizacjach międzynarodowych;

d)  w razie potrzeby dalsze informacje, zwłaszcza gdy operacyjne dane osobowe są zbierane bez wiedzy osoby, której dotyczą.

3.  Agencje i misje unijne mogą opóźnić, ograniczyć lub pominąć informowanie osoby, której dane dotyczą, zgodnie z ust. 2 w takim zakresie i przez taki czas, w jakim odnośny środek jest przewidziany w akcie prawnym przyjętym na mocy Traktatów oraz jest działaniem koniecznym i proporcjonalnym w społeczeństwie demokratycznym, z należytym uwzględnieniem praw podstawowych i uzasadnionych interesów danej osoby fizycznej, aby:

a)  uniemożliwić utrudnianie czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub procedur;

b)  uniemożliwić utrudnianie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar;

c)  chronić bezpieczeństwo publiczne państw członkowskich;

d)  chronić bezpieczeństwo narodowe państw członkowskich;

e)  chronić prawa i wolności innych osób.

Tekst proponowany przez Komisję

Poprawka

Artykuł 69k

Prawo dostępu przysługujące osobie, której dane dotyczą

Każda osoba, której dane dotyczą, jest uprawniona do uzyskania od agencji i misji unijnych potwierdzenia, czy są przetwarzane operacyjne dane osobowe na jej temat, oraz jest uprawniona do uzyskania dostępu do następujących informacji:

a)  cele i podstawa prawna operacji przetwarzania;

b)  kategorie odnośnych operacyjnych danych osobowych;

c)  informacje o odbiorcach lub kategoriach odbiorców, którym operacyjne dane osobowe zostały ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

d)  planowany okres przechowywania operacyjnych danych osobowych;

e)  informacje o prawie do złożenia do agencji i misji unijnych wniosku o sprostowanie lub usunięcie operacyjnych danych osobowych lub ograniczenie przetwarzania operacyjnych danych osobowych dotyczących tej osoby;

f)  informacje o prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych i jego dane kontaktowe;

g)  przekazanie operacyjnych danych osobowych podlegających przetwarzaniu i wszelkich dostępnych informacji o ich źródłach.

Tekst proponowany przez Komisję

Poprawka

Artykuł 69l

Ograniczenia prawa dostępu

1.  Agencje i misje unijne mogą ograniczyć w całości lub w części prawo dostępu osoby, której dane dotyczą, w takim stopniu i przez taki okres, w jakim takie częściowe lub całkowite ograniczenie jest przewidziane w akcie prawnym przyjętym na mocy Traktatów oraz jest działaniem niezbędnym i proporcjonalnym w społeczeństwie demokratycznym, z należytym uwzględnieniem praw podstawowych i uzasadnionych interesów danej osoby fizycznej, aby:

a)  uniemożliwić utrudnianie czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub procedur;

b)  uniemożliwić utrudnianie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar;

c)  chronić bezpieczeństwo publiczne państw członkowskich;

d)  chronić bezpieczeństwo narodowe państw członkowskich;

f)  chronić prawa i wolności innych osób.

2.  W przypadkach, o których mowa w ust. 1, agencje i misje unijne bez zbędnej zwłoki informują na piśmie osobę, której dane dotyczą, o każdej odmowie lub o każdym ograniczeniu dostępu i o przyczynach tej odmowy lub tego ograniczenia. Informacje takie można pominąć, jeżeli ich udzielenie godziłoby w którykolwiek z celów, o których mowa w ust. 1. Agencje i misje unijne informują osobę, której dane dotyczą, o możliwości wniesienia skargi do Europejskiego Inspektora Ochrony Danych lub środka zaskarżenia do Trybunału Sprawiedliwości Unii Europejskiej. Agencje i misje unijne dokumentują faktyczne lub prawne powody, na jakich opiera się decyzja. Informacje te są udostępniane Europejskiemu Inspektorowi Ochrony Danych na jego wniosek.

Tekst proponowany przez Komisję

Poprawka

Artykuł 69m

Prawo do sprostowania lub usunięcia operacyjnych danych osobowych oraz ograniczenia ich przetwarzania

1.  Każda osoba, której dane dotyczą, ma prawo żądać od agencji i misji unijnych niezwłocznego sprostowania dotyczących jej operacyjnych danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo uzyskania uzupełnienia niekompletnych operacyjnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia. Agencje i misje unijne usuwają bez zbędnej zwłoki operacyjne dane osobowe, a osoba, której dane dotyczą, ma prawo uzyskać od agencji i misji unijnych usunięcie bez zbędnej zwłoki operacyjnych danych osobowych na jej temat, jeżeli przetwarzanie narusza przepisy art. 68b, 69c lub 69h, lub jeżeli operacyjne dane osobowe muszą zostać usunięte w celu wypełnienia obowiązku prawnego ciążącego na agencjach i misjach unijnych.

a)  osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych, a ich prawidłowości lub nieprawidłowości nie można stwierdzić; lub

b)  dane osobowe muszą zostać zachowane do celów dowodowych.

2.  Jeżeli przetwarzanie jest ograniczone na mocy akapitu pierwszego lit. a), przed zniesieniem tego ograniczenia agencje i misje unijne informują o tym osobę, której dane dotyczą. Dane, do których dostęp ograniczono, mogą być przetwarzane wyłącznie w celu, ze względu na który ich usunięcie nie było możliwe.

3.  Agencje i misje unijne informują na piśmie osobę, której dane dotyczą, o każdej odmowie sprostowania lub usunięcia operacyjnych danych osobowych lub ograniczenia przetwarzania danych oraz o przyczynach tej odmowy. Agencje i misje unijne mogą w całości lub w części ograniczyć obowiązek udzielania takich informacji, jeżeli takie ograniczenie jest działaniem niezbędnym i proporcjonalnym w społeczeństwie demokratycznym, z należytym uwzględnieniem praw podstawowych i uzasadnionych interesów danej osoby fizycznej, aby:

a)  uniemożliwić utrudnianie czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub procedur;

b)  uniemożliwić utrudnianie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar;

c)  chronić bezpieczeństwo publiczne państw członkowskich;

d)  chronić bezpieczeństwo narodowe państw członkowskich;

f)  chronić prawa i wolności innych osób.

4.  Agencje i misje unijne informują osobę, której dane dotyczą, o możliwości wniesienia skargi do Europejskiego Inspektora Ochrony Danych lub środka zaskarżenia do Trybunału Sprawiedliwości Unii Europejskiej.

5.  Agencje i misje unijne informują o sprostowaniu nieprawidłowych danych osobowych właściwy organ, od którego pochodzą nieprawidłowe operacyjne dane osobowe.

6.  Agencje i misje unijne, w przypadkach sprostowania lub usunięcia operacyjnych danych osobowych lub ograniczenia ich przetwarzania na podstawie ust. 1, 2 i 3, powiadamiają o tym odbiorców i informują ich, że muszą dokonać sprostowania lub usunięcia operacyjnych danych osobowych lub ograniczenia przetwarzania operacyjnych danych osobowych, za które odpowiadają.

Tekst proponowany przez Komisję

Poprawka

Artykuł 69n

Wykonywanie praw osoby, której dane dotyczą, i weryfikacja przez Europejskiego Inspektora Ochrony Danych

W przypadkach, o których mowa w art. 69j ust. 3, art. 69k i art. 69m ust. 4, osoba, której dane dotyczą, może wykonywać swoje prawa także za pośrednictwem Europejskiego Inspektora Ochrony Danych.

Agencje i misje unijne informują osobę, której dane dotyczą, o możliwości wykonywania przysługujących jej praw za pośrednictwem Europejskiego Inspektora Ochrony Danych na mocy ust. 1.

W razie wykonywania prawa, o którym mowa w ust. 1, Europejski Inspektor Ochrony Danych informuje osobę, której dane dotyczą, przynajmniej o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji lub przeglądu. Europejski Inspektor Ochrony Danych informuje osobę, której dane dotyczą, także o przysługującym jej prawie do wniesienia środka prawnego do Trybunału Sprawiedliwości Unii Europejskiej.

Tekst proponowany przez Komisję

Poprawka

Artykuł 69o

Ewidencja czynności

Agencje i misje unijne prowadzą ewidencję następujących operacji przetwarzania prowadzonych w zautomatyzowanych systemach przetwarzania: zbieranie, modyfikowanie, dostęp, przeglądanie, ujawnianie wraz z przekazywaniem, łączenie i usuwanie operacyjnych danych osobowych.

Ewidencja przeglądania i ujawniania pozwala ustalić zasadność oraz datę i godzinę przeprowadzenia takich operacji, tożsamość osoby, która przeglądała lub ujawniła operacyjne dane osobowe, oraz, w miarę możliwości, tożsamość odbiorców takich operacyjnych danych osobowych. Z ewidencji tej korzysta się wyłącznie w celu kontroli ochrony danych oraz w celu zapewnienia właściwego przetwarzania danych jak również integralności danych i ich zabezpieczenia. Wyklucza się możliwość zmiany takiej ewidencji. Wpisy do ewidencji są usuwane po trzech latach, chyba że są wciąż potrzebne do trwających kontroli. Agencje i misje unijne udostępniają ewidencję Europejskiemu Inspektorowi Ochrony Danych i swoim inspektorom ochrony danych na żądanie.

Tekst proponowany przez Komisję

Poprawka

Artykuł 69p

Przekazywanie operacyjnych danych osobowych państwom trzecim i organizacjom międzynarodowym

1.  Z zastrzeżeniem wszelkich możliwych ograniczeń na podstawie art. 691 agencje lub misje unijne mogą przekazywać operacyjne dane osobowe organowi państwa trzeciego lub organizacji międzynarodowej w zakresie, w jakim jest to niezbędne do wykonywania zadań agencji lub misji unijnych, w oparciu o jedną z następujących podstaw:

a)  decyzję Komisji przyjętą na podstawie art. 36 dyrektywy (UE) 2016/680 uznającą, że dane państwo trzecie lub terytorium, lub sektor, w którym odbywa się przetwarzanie danych w tym państwie trzecim, lub dana organizacja międzynarodowa zapewnia odpowiedni poziom ochrony (zwaną dalej „decyzją stwierdzająca odpowiedni stopień ochrony”);

b)  umowę międzynarodową zawartą między Unią a danym państwem trzecim lub organizacją międzynarodową na podstawie art. 218 TFUE zakładającą odpowiednie zabezpieczenia w odniesieniu do ochrony prywatności oraz podstawowych praw i wolności osób fizycznych;

c)  umowę o współpracy umożliwiającą wymianę operacyjnych danych osobowych zawartą – przed datą wejścia w życie odpowiedniego aktu ustanawiającego agencje unijne – między agencjami lub misjami unijnymi a danym państwem trzecim lub organizacją międzynarodową zgodnie z art. 23 decyzji 2009/371/JHA. Agencje i misje unijne mogą zawierać porozumienia administracyjne w celu wykonania takich umów lub decyzji stwierdzających odpowiedni stopień ochrony.

2.  W stosownym przypadku dyrektor wykonawczy informuje zarząd o wymianie operacyjnych danych osobowych na podstawie decyzji stwierdzających odpowiedni stopień ochrony zgodnie z ust. 1 lit. a).

3.  Agencje i misje unijne publikują na swojej stronie internetowej i uaktualniają wykaz decyzji stwierdzających odpowiedni stopień ochrony, umów, porozumień administracyjnych i innych instrumentów dotyczących przekazywania operacyjnych danych osobowych zgodnie z ust. 1.

4.  Do dnia 14 czerwca 2021 r. Komisja dokonuje oceny postanowień zawartych w umowach o współpracy, o których mowa w ust. 1 lit. c), w szczególności postanowień dotyczących ochrony danych. Komisja informuje Parlament Europejski i Radę o rezultacie tej oceny i w stosownych przypadkach może przedłożyć Radzie zalecenie w sprawie decyzji upoważniającej do rozpoczęcia negocjacji w celu zawarcia umowy międzynarodowej, o której mowa w ust. 1 lit. b).

5.  Na zasadzie odstępstwa od ust. 1, w stosownym przypadku, dyrektor wykonawczy, rozpatrując każdy przypadek indywidualnie, może zatwierdzić przekazanie operacyjnych danych osobowych państwu trzeciemu lub organizacji międzynarodowej, jeżeli przekazanie:

a)  jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby;

b)  jest niezbędne do zabezpieczenia uzasadnionych interesów osoby, której dane dotyczą, jeżeli prawo państwa członkowskiego przekazującego dane osobowe tak stanowi;

c)  ma zasadnicze znaczenie dla zapobieżenia bezpośredniemu i poważnemu zagrożeniu dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego;

d)  jest niezbędne w indywidualnych przypadkach do zapobiegania przestępstwom, prowadzenia postępowań przygotowawczych w ich sprawie, wykrywania ich i ścigania albo wykonywania kar; lub

e)  jest niezbędne w indywidualnych przypadkach do ustalenia, dochodzenia lub obrony roszczeń w związku z zapobieganiem określonemu przestępstwu, prowadzeniem postępowania przygotowawczego w jego sprawie, wykryciem go lub ściganiem albo wykonaniem konkretnej kary.

Operacyjnych danych osobowych nie przekazuje się, jeżeli dyrektor wykonawczy stwierdzi, że podstawowe prawa i wolności osoby, której dane dotyczą, są nadrzędne wobec interesu publicznego przemawiającego za przekazaniem, o którym mowa w lit. d) i e).

Odstępstw na podstawie niniejszego ustępu nie stosuje się do systematycznego, masowego lub strukturalnego przekazywania danych.

6.  Na zasadzie odstępstwa od ust. 1, w stosownym przypadku, zarząd w porozumieniu z EIOD może wyrazić zgodę, na okres nieprzekraczający jednego roku, z możliwością odnowienia, na zestaw przekazań zgodnie z ust. 5 lit. a)–e), uwzględniając istnienie odpowiednich zabezpieczeń w odniesieniu do ochrony prywatności oraz podstawowych praw i wolności osób fizycznych. Taka zgoda musi być należycie uzasadniona i udokumentowana.

7.  Dyrektor wykonawczy informuje zarząd i Europejskiego Inspektora Ochrony Danych możliwie jak najszybciej o przypadkach, w których zastosowano ust. 5.

8.  Agencje i misje unijne prowadzą szczegółową ewidencję wszystkich operacji przekazania dokonanych na mocy niniejszego artykułu.

Tekst proponowany przez Komisję

Poprawka

Rozdział IX a

Przegląd

Tekst proponowany przez Komisję

Poprawka

Artykuł 70a

Klauzula przeglądowa

1.  Najpóźniej do dnia 1 czerwca 2021 r., a następnie co pięć lat, Komisja przedkłada Parlamentowi Europejskiemu sprawozdanie w sprawie stosowania niniejszego rozporządzenia, w razie potrzeby wraz z odpowiednimi wnioskami ustawodawczymi.

2.  W ramach oceny ex post, o której mowa w ust. 1, zwraca się szczególną uwagę na kwestię odpowiedniego zakresu niniejszego rozporządzenia i jego spójności z innymi aktami ustawodawczymi w dziedzinie ochrony danych, a także ocenia w szczególności wdrożenie rozdziału V niniejszego rozporządzenia.

3.  Najpóźniej do dnia 1 czerwca 2021 r., a następnie co pięć lat, Komisja przedkłada Parlamentowi Europejskiemu sprawozdanie w sprawie stosowania rozdziału VIII niniejszego rozporządzenia oraz w sprawie stosowanych kar i sankcji.

Uzasadnienie

W kontekście lepszego stanowienia prawa, a w szczególności skutecznego wykorzystania narzędzia, jakim są oceny ex post, aby ująć cały cykl legislacyjny, należy zwrócić szczególną uwagę na transpozycję, wdrożenie i egzekwowanie prawa UE, a ogólnie – na monitorowanie wpływu, funkcjonowania i skuteczności tego prawa. Kompleksowa klauzula przeglądowa, w której wymaga się odpowiedniej oceny stosowania niniejszego rozporządzenia, jego zakresu i przewidzianej derogacji uprawnień i która nakłada proporcjonalne obowiązki w zakresie sprawozdawczości, służy temu celowi.

Tekst proponowany przez Komisję

Poprawka

Artykuł 70b

Przegląd aktów prawnych Unii

Do dnia 25 maja 2021 r. Komisja dokonuje przeglądu innych aktów prawnych regulujących przetwarzanie danych osobowych, przyjętych na mocy traktatów, w szczególności przez agencje utworzone na podstawie rozdziału 4 i 5 tytułu V części trzeciej TFUE, w celu oceny konieczności dostosowania ich do niniejszego rozporządzenia, a w razie potrzeby przedstawia niezbędną propozycję zmiany takich aktów, aby zapewnić spójne podejście do kwestii ochrony danych osobowych wchodzących w zakres zastosowania niniejszego rozporządzenia.

Tekst proponowany przez Komisję

Poprawka

Artykuł 71 a

Zmiany w rozporządzeniu (WE) nr 1987/2006

W rozporządzeniu Parlamentu Europejskiego i Rady (WE) nr 1987/20061a wprowadza się następujące zmiany:

art. 46 otrzymuje brzmienie:

„Krajowe organy nadzorcze i Europejski Inspektor Ochrony Danych, działając w granicach swoich kompetencji, współpracują ze sobą zgodnie z art. 62 [nowego rozporządzenia nr 45/2001]”.

_________________

1a Rozporządzenie (WE) nr 1987/2006 Parlamentu Europejskiego i Rady z dnia 20 grudnia 2006 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II) (Dz.U. L 381 z 28.12.2006, s. 4).

Tekst proponowany przez Komisję

Poprawka

Artykuł 71b

Zmiany w decyzji Rady 2007/533/WSiSW

W decyzji 2007/533/WPZiB1a wprowadza się następujące zmiany:

art. 62 otrzymuje brzmienie:

„Krajowe organy nadzorcze i Europejski Inspektor Ochrony Danych, działając w granicach swoich kompetencji, współpracują ze sobą zgodnie z art. 62 [nowego rozporządzenia nr 45/2001]”.

_________________

1a Decyzja Rady 2007/533/WSiSW z dnia 12 czerwca 2007 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II) (Dz.U. L 205 z 7.8.2007, s. 63).

Tekst proponowany przez Komisję

Poprawka

Artykuł 71c

Zmiany w rozporządzeniu (WE) nr 767/2008

W rozporządzeniu Parlamentu Europejskiego i Rady (WE) nr 767/20081a wprowadza się następujące zmiany:

art. 43 otrzymuje brzmienie:

„Krajowe organy nadzorcze i Europejski Inspektor Ochrony Danych, działając w granicach swoich kompetencji, współpracują ze sobą zgodnie z art. 62 [nowego rozporządzenia nr 45/2001]”.

_________________

1a Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 767/2008 z dnia 9 lipca 2008 r. w sprawie Wizowego Systemu Informacyjnego (VIS) oraz wymiany danych pomiędzy państwami członkowskimi na temat wiz krótkoterminowych (rozporządzenie w sprawie VIS), (Dz.U. L 218 z 13.8.2008, s. 60).

Tekst proponowany przez Komisję

Poprawka

Artykuł 71d

Zmiany w rozporządzeniu Rady (WE) nr 515/97

W rozporządzeniu Rady (WE) nr 515/971a wprowadza się następujące zmiany:

art. 37 ust. 4 otrzymuje brzmienie:

„Krajowe organy nadzorcze i Europejski Inspektor Ochrony Danych, działając w granicach swoich kompetencji, współpracują ze sobą zgodnie z art. 62 [nowego rozporządzenia nr 45/2001]”.

_________________

1a Rozporządzenie Rady (WE) nr 515/97 z dnia 13 marca 1997 r. w sprawie wzajemnej pomocy między organami administracyjnymi państw członkowskich i współpracy między państwami członkowskimi a Komisją w celu zapewnienia prawidłowego stosowania przepisów prawa celnego i rolnego (Dz.U. L 82 z 22.3.1997, s. 1).

Tekst proponowany przez Komisję

Poprawka

Artykuł 71e

Zmiany w decyzji Rady 2009/917/WSiSW

W decyzji 2009/917/WPZiB1a wprowadza się następujące zmiany:

(1)  skreśla się art. 25.

(2)  art. 26 ust. 2 i 3 otrzymują brzmienie:

„Krajowe organy nadzorcze i Europejski Inspektor Ochrony Danych, działając w granicach swoich kompetencji, współpracują ze sobą zgodnie z art. 62 [nowego rozporządzenia nr 45/2001]”.

_________________

1a Decyzja Rady 2009/917/WSiSW z dnia 30 listopada 2009 r. w sprawie stosowania technologii informatycznej do potrzeb celnych (Dz.U. L 323 z 10.12.2009, s. 20).

Tekst proponowany przez Komisję

Poprawka

Artykuł 71f

Zmiany w rozporządzeniu (UE) nr 1024/2012

W rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 1024/20121a wprowadza się następujące zmiany:

w art. 21 skreśla się ust. 3 i 4.

_________________

1a Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1024/2012 z dnia 25 października 2012 r. w sprawie współpracy administracyjnej za pośrednictwem systemu wymiany informacji na rynku wewnętrznym i uchylające decyzję Komisji 2008/49/WE („rozporządzenie w sprawie IMI”) (Dz.U. L 316 z 14.11.2012, s. 1).

Tekst proponowany przez Komisję

Poprawka

Artykuł 71g

Zmiany w rozporządzeniu wykonawczym Komisji (UE) 2015/2447

W rozporządzeniu wykonawczym Komisji (UE) 2015/24471a wprowadza się następujące zmiany:

w art. 83 skreśla się ust. 8.

_________________

1a Rozporządzenie wykonawcze Komisji (UE) 2015/2447 z dnia 24 listopada 2015 r. ustanawiające szczegółowe zasady wykonania niektórych przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 952/2013 ustanawiającego unijny kodeks celny (Dz.U. L 343 z 29.12.2015, s. 558).

Tekst proponowany przez Komisję

Poprawka

Artykuł 71h

Zmiany w rozporządzeniu (UE) nr 2016/794

W rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 2016/7941a wprowadza się następujące zmiany:

(1)  skreśla się art. 25, 28, 30, 36, 37, 40, 41 oraz 46;

(2)  art. 44 otrzymuje brzmienie:

„Krajowe organy nadzorcze i Europejski Inspektor Ochrony Danych, działając w granicach swoich kompetencji, współpracują ze sobą zgodnie z art. 62 [nowego rozporządzenia nr 45/2001]”.

_________________

1a Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/794 z dnia 11 maja 2016 r. w sprawie Agencji Unii Europejskiej ds. Współpracy Organów Ścigania (Europol), zastępujące i uchylające decyzje Rady 2009/371/WSiSW, 2009/934/WSiSW, 2009/935/WSiSW, 2009/936/WSiSW i 2009/968/WSiSW (Dz.U. L 135 z 24.5.2016, s. 53).

Tekst proponowany przez Komisję

Poprawka

Artykuł 71i

Zmiany w rozporządzeniu Rady (UE) nr 2017/XX

W rozporządzeniu Rady (UE) nr 2017/...1a wprowadza się następujące zmiany:

(1)  skreśla się art. 36e, 36f, 37, 37b, 37c, 37cc, 37ccc, 37d, 37e, 37f, 37g, 37h, 37i, 37j, 37k, 37n, 37o, 41, 41a, 41b, 43a, 43b, 43c, 43d, 43e i 46;

(2)  art. 45 otrzymuje brzmienie:

„Krajowe organy nadzorcze i Europejski Inspektor Ochrony Danych, działając w granicach swoich kompetencji, współpracują ze sobą zgodnie z art. 62 [nowego rozporządzenia nr 45/2001]”.

_________________

1a Rozporządzenie Rady (UE) nr 2017/... z dnia ...wdrażające wzmocnioną współpracę w zakresie ustanowienia Prokuratury Europejskiej (Dz.U. L ...).

Tekst proponowany przez Komisję

Poprawka

Artykuł 71j

Zmiany w rozporządzeniu Rady (UE) nr 2017/XX

W rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 2017/...1a wprowadza się następujące zmiany:

(1)  skreśla się art. 27, 29, 30, 31, 33, 36 i 37;

(2)  art. 35 otrzymuje brzmienie:

„Krajowe organy nadzorcze i Europejski Inspektor Ochrony Danych, działając w granicach swoich kompetencji, współpracują ze sobą zgodnie z art. 62 [nowego rozporządzenia nr 45/2001]”.

_________________

1a Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2017/... w sprawie Agencji Unii Europejskiej ds. Współpracy Wymiarów Sprawiedliwości w Sprawach Karnych (Eurojust) (Dz.U. L ...).

Tekst proponowany przez Komisję

Poprawka

Artykuł 71k

Zmiany w rozporządzeniu (UE) nr 2017/XX w sprawie systemu Eurodac

W rozporządzeniu Parlamentu Europejskiego i Rady (UE) nr 2017/...1a wprowadza się następujące zmiany:

(1)  skreśla się art. 29, 30, 31 i 39;

(2)  art. 34 otrzymuje brzmienie:

„Krajowe organy nadzorcze i Europejski Inspektor Ochrony Danych, działając w granicach swoich kompetencji, współpracują ze sobą zgodnie z art. 62 [nowego rozporządzenia nr 45/2001]”.

_________________

1a Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/... w sprawie ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania [rozporządzenia (UE) nr 604/2013 w sprawie ustanowienia kryteriów i mechanizmów ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca], na potrzeby identyfikowania nielegalnie przebywających obywateli państw trzecich lub bezpaństwowców oraz w sprawie występowania o porównanie z danymi Eurodac przez organy ścigania państw członkowskich i Europol na potrzeby ochrony porządku publicznego (Dz.U. L ...).

Tekst proponowany przez Komisję

Poprawka

(1)  Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą praw podstawowych”) oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących.

(1)  Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej (zwanej dalej „Kartą praw podstawowych”) oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Prawo to jest również gwarantowane art. 8 europejskiej konwencji praw człowieka.

Tekst proponowany przez Komisję

Poprawka

(2)  W rozporządzeniu (WE) nr 45/2001 Parlamentu Europejskiego i Rady11 zapewnia się osobom fizycznym prawa możliwe do wyegzekwowania na drodze prawnej, określa się zobowiązania administratorów w instytucjach i organach unijnych odnoszące się do przetwarzania danych osobowych oraz tworzy się niezależny organ nadzorczy – Europejskiego Inspektora Ochrony Danych – odpowiedzialny za monitorowanie przetwarzania danych osobowych przez instytucje i organy unijne. Rozporządzenie nie ma jednak zastosowania do przetwarzania danych osobowych w toku prowadzenia przez instytucje i organy unijne działalności nieobjętej zakresem stosowania prawa Unii.

(2)  W rozporządzeniu (WE) nr 45/2001 Parlamentu Europejskiego i Rady11 zapewnia się osobom fizycznym prawa możliwe do wyegzekwowania na drodze prawnej, określa się zobowiązania administratorów w instytucjach i organach unijnych odnoszące się do przetwarzania danych osobowych oraz tworzy się niezależny organ nadzorczy – Europejskiego Inspektora Ochrony Danych – odpowiedzialny za monitorowanie przetwarzania danych osobowych przez instytucje i organy unijne. Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 45/2001 służy osiągnięciu jednocześnie dwóch celów: celu ochrony podstawowego prawa do ochrony danych oraz celu zagwarantowania swobodnego przepływu danych osobowych na całym terytorium Unii. Rozporządzenie nie ma jednak zastosowania do przetwarzania danych osobowych w toku prowadzenia przez instytucje i organy unijne działalności nieobjętej zakresem stosowania prawa Unii.

_________________

_______________

11 Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1).

11 Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1).

Tekst proponowany przez Komisję

Poprawka

(5)  W myśl spójnego podejścia do ochrony danych osobowych w całej Unii oraz swobodnego przepływu danych osobowych na terytorium Unii należy w miarę możliwości dostosować przepisy o ochronie danych dotyczące instytucji i organów unijnych do przepisów o ochronie danych przyjętych w odniesieniu do sektora publicznego w państwach członkowskich. W każdym przypadku, w którym przepisy niniejszego rozporządzenia opierają się na tym samym założeniu, co przepisy rozporządzenia (UE) 2016/679, oba przepisy należy interpretować tak samo, w szczególności ze względu na fakt, że systematyka niniejszego rozporządzenia powinna być uznawana za tożsamą z systematyką rozporządzenia (UE) 2016/679.

(5)  W myśl spójnego podejścia do ochrony danych osobowych w całej Unii oraz swobodnego przepływu danych osobowych na terytorium Unii należy w miarę możliwości dostosować przepisy o ochronie danych dotyczące instytucji, organów, urzędów i agencji unijnych do przepisów o ochronie danych przyjętych w odniesieniu do sektora publicznego w państwach członkowskich. W każdym przypadku, w którym przepisy niniejszego rozporządzenia opierają się na tym samym założeniu, co przepisy rozporządzenia (UE) 2016/679, oba przepisy należy, zgodnie z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej1a, interpretować tak samo, w szczególności ze względu na fakt, że systematyka niniejszego rozporządzenia powinna być uznawana za tożsamą z systematyką rozporządzenia (UE) 2016/679.

_________________

1a Wyrok Trybunału Sprawiedliwości z dnia 9 marca 2010 r. w sprawie C-518/07 Komisja przeciwko Niemcom, ECLI:EU:C:2010:125, pkt 26 i 28.

Tekst proponowany przez Komisję

Poprawka

(10)  Jeżeli w akcie ustanawiającym agencję unijną prowadzącą działania wchodzące w zakres stosowania tytułu V rozdziały 4 i 5 Traktatu ustanawia się niezależny system ochrony danych do celów przetwarzania operacyjnych danych osobowych, niniejsze rozporządzenie nie powinno mieć wpływu na tego rodzaju systemy. Zgodnie z art. 62 dyrektywy (UE) 2016/680 Komisja powinna jednak do dnia 6 maja 2019 r. przeprowadzić przegląd aktów unijnych regulujących przetwarzanie danych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, i w stosownych przypadkach przedstawić niezbędne wnioski dotyczące zmiany aktów w celu zapewnienia spójnego podejścia do ochrony danych osobowych w ramach współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej.

(10)  Jeżeli w akcie ustanawiającym agencję unijną prowadzącą działania wchodzące w zakres stosowania tytułu V rozdziały 4 i 5 Traktatu ustanawia się niezależny system ochrony danych do celów przetwarzania operacyjnych danych osobowych, niniejsze rozporządzenie nie powinno mieć wpływu na tego rodzaju systemy, o ile są one zgodne z postanowieniami rozporządzenia (UE) 2016/679. Zgodnie z art. 62 dyrektywy (UE) 2016/680 Komisja powinna jednak do dnia 6 maja 2019 r. przeprowadzić przegląd aktów unijnych regulujących przetwarzanie danych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym do celów ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, i w stosownych przypadkach przedstawić niezbędne wnioski dotyczące zmiany aktów w celu zapewnienia spójnego podejścia do ochrony danych osobowych w ramach współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej.

Uzasadnienie

Każdy system ochrony danych musi być spójny z ogólnym rozporządzeniem o ochronie danych.

Tekst proponowany przez Komisję

Poprawka

(14)  Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, w odniesieniu do której wyrażono zgodę.

(14)  Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele. Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, w odniesieniu do której wyrażono zgodę. Jednocześnie osoba, której dotyczą dane, powinna mieć prawo do wycofania zgody w dowolnym momencie, co nie ma wpływu na legalność przetwarzania dokonanego na podstawie zgody przed jej wycofaniem.

Tekst proponowany przez Komisję

Poprawka

(18)  Prawo Unii obejmujące wewnętrzne przepisy, o których mowa w niniejszym rozporządzeniu, powinno być jasne i precyzyjne, a jego zastosowanie przewidywalne dla osób im podlegających – jak wymaga tego orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej i Europejskiego Trybunału Praw Człowieka.

(18)  Prawo Unii powinno być jasne i precyzyjne, a jego zastosowanie przewidywalne dla osób mu podlegających, jak wymaga tego orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej i Europejskiego Trybunału Praw Człowieka.

Tekst proponowany przez Komisję

Poprawka

(23)  Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. Do takich danych osobowych powinny zaliczać się dane osobowe ujawniające pochodzenie rasowe lub etniczne, przy czym użycie w niniejszym rozporządzeniu terminu „pochodzenie rasowe” nie oznacza, że Unia akceptuje teorie sugerujące istnienie odrębnych ras ludzkich. Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Oprócz wymogów szczegółowych mających zastosowanie do przetwarzania danych wrażliwych zastosowanie powinny mieć zasady ogólne i inne przepisy niniejszego rozporządzenia, w szczególności jeżeli chodzi o warunki zgodności przetwarzania z prawem. Należy wyraźnie przewidzieć wyjątki od ogólnego zakazu przetwarzania takich szczególnych kategorii danych osobowych, m.in. w razie wyraźnej zgody osoby, której dane dotyczą, lub ze względu na szczególne potrzeby, w szczególności gdy przetwarzanie danych odbywa się w ramach uzasadnionych działań niektórych zrzeszeń lub fundacji, których celem jest umożliwienie korzystania z podstawowych wolności.

(23)  Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe w świetle podstawowych praw i wolności, wymagają szczególnej ochrony, gdyż kontekst ich przetwarzania może powodować poważne ryzyko dla podstawowych praw i wolności. Takich danych osobowych nie należy przetwarzać, chyba że ich przetwarzanie jest dozwolone w szczególnych przypadkach określonych w niniejszym rozporządzeniu. Do takich danych osobowych powinny zaliczać się dane osobowe ujawniające pochodzenie rasowe lub etniczne, przy czym użycie w niniejszym rozporządzeniu terminu „pochodzenie rasowe” nie oznacza, że Unia akceptuje teorie sugerujące istnienie odrębnych ras ludzkich. Przetwarzanie fotografii nie powinno zawsze stanowić przetwarzania szczególnych kategorii danych osobowych, gdyż fotografie są objęte definicją „danych biometrycznych” tylko w przypadkach, gdy są przetwarzane specjalnymi metodami technicznymi, umożliwiającymi jednoznaczną identyfikację osoby fizycznej lub potwierdzenie jej tożsamości. Oprócz wymogów szczegółowych mających zastosowanie do przetwarzania danych wrażliwych zastosowanie powinny mieć zasady ogólne i inne przepisy niniejszego rozporządzenia, w szczególności jeżeli chodzi o warunki zgodności przetwarzania z prawem. Należy wyraźnie przewidzieć wyjątki od ogólnego zakazu przetwarzania takich szczególnych kategorii danych osobowych, m.in. w razie wyraźnej zgody osoby, której dane dotyczą, lub ze względu na szczególne potrzeby, w szczególności gdy przetwarzanie danych odbywa się w ramach uzasadnionych działań niektórych zrzeszeń lub fundacji, których celem jest umożliwienie korzystania z podstawowych wolności.

Tekst proponowany przez Komisję

Poprawka

(23a)  Specjalne kategorie danych osobowych zasługujące na większą ochronę powinny być przetwarzane do celów zdrowotnych wyłącznie wtedy, gdy jest to konieczne do realizacji tych celów z korzyścią dla osób fizycznych i ogółu społeczeństwa, zwłaszcza w kontekście zarządzania usługami i systemami opieki zdrowotnej i społecznej. W niniejszym rozporządzeniu powinno się zatem uwzględnić zharmonizowane warunki przetwarzania szczególnych kategorii danych osobowych dotyczących zdrowia ze względu na szczególne potrzeby, w szczególności gdy dane takie są przetwarzane w określonych celach zdrowotnych przez osoby podlegające prawnemu obowiązkowi zachowania tajemnicy zawodowej. W prawie Unii powinno się uwzględnić konkretne, odpowiednie środki ochrony praw podstawowych i danych osobowych osób fizycznych.

Tekst proponowany przez Komisję

Poprawka

(24)  Niezbędne z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego może być przetwarzanie szczególnych kategorii danych osobowych bez zgody osoby, której dane dotyczą. Przetwarzanie takie powinno podlegać konkretnym, odpowiednim środkom chroniącym prawa i wolności osób fizycznych. W tym kontekście „zdrowie publiczne” należy interpretować zgodnie z definicją z rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1338/200815, czyli jako wszystkie elementy związane ze zdrowiem, mianowicie stan zdrowia, w tym zachorowalność i niepełnosprawność, czynniki warunkujące stan zdrowia, potrzeby w zakresie opieki zdrowotnej, zasoby opieki zdrowotnej, oferowane usługi opieki zdrowotnej i powszechny dostęp do nich, wydatki na opiekę zdrowotną i sposób jej finansowania oraz przyczyny zgonów. Przetwarzanie danych dotyczących zdrowia z uwagi na względy interesu publicznego nie powinno skutkować przetwarzaniem danych osobowych do innych celów przez osoby trzecie.

(24)  Niezbędne z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego może być przetwarzanie szczególnych kategorii danych osobowych bez zgody osoby, której dane dotyczą. Przetwarzanie takie powinno podlegać proporcjonalnym, konkretnym i odpowiednim środkom chroniącym prawa i wolności osób fizycznych. W tym kontekście „zdrowie publiczne” należy interpretować zgodnie z definicją z rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1338/200815, czyli jako wszystkie elementy związane ze zdrowiem, mianowicie stan zdrowia, w tym zachorowalność i niepełnosprawność, czynniki warunkujące stan zdrowia, potrzeby w zakresie opieki zdrowotnej, zasoby opieki zdrowotnej, oferowane usługi opieki zdrowotnej i powszechny dostęp do nich, wydatki na opiekę zdrowotną i sposób jej finansowania oraz przyczyny zgonów. Przetwarzanie danych dotyczących zdrowia z uwagi na względy interesu publicznego nie powinno skutkować dalszym przetwarzaniem do innych celów.

_________________

_________________

15 Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 1338/2008 z dnia 16 grudnia 2008 r. w sprawie statystyk Wspólnoty w zakresie zdrowia publicznego oraz zdrowia i bezpieczeństwa w pracy (Dz.U. L 354 z 31.12.2008, s. 70).

15 Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 1338/2008 z dnia 16 grudnia 2008 r. w sprawie statystyk Wspólnoty w zakresie zdrowia publicznego oraz zdrowia i bezpieczeństwa w pracy (Dz.U. L 354 z 31.12.2008, s. 70).

Uzasadnienie

Dane dotyczące zdrowia są wyjątkowo problematyczne i ich przetwarzanie wymaga ograniczenia do tego, co absolutnie niezbędne. Dane takie nie powinny zwłaszcza dostać się w ręce osób trzecich, które mogłyby poddać je dalszemu przetwarzaniu.

Tekst proponowany przez Komisję

Poprawka

W aktach prawnych przyjętych na podstawie Traktatów lub w wewnętrznych przepisach instytucji i organów unijnych można przewidzieć ograniczenia dotyczące określonych zasad oraz prawa do informacji, dostępu do danych osobowych i ich sprostowania lub usuwania, prawa do przenoszenia danych, poufności łączności elektronicznej, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych oraz określonych powiązanych obowiązków administratorów, o ile jest to niezbędne i proporcjonalne w społeczeństwie demokratycznym, by zapewnić bezpieczeństwo publiczne, zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, ściganie czynów zabronionych, lub wykonywanie kar, w tym ochronę przed zagrożeniami dla bezpieczeństwa publicznego, włączając ochronę życia ludzkiego – w szczególności w odpowiedzi na klęski żywiołowe lub katastrofy spowodowane przez człowieka – i zapobieganie takim zagrożeniom, bezpieczeństwo wewnętrzne instytucji i organów unijnych, ochronę innych ważnych celów leżących w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnego interesu gospodarczego lub finansowego Unii lub państwa członkowskiego, prowadzenie rejestrów publicznych z uwagi na względy ogólnego interesu publicznego, ochronę osoby, której dane dotyczą, lub praw i wolności innych osób, w tym cele w dziedzinie ochrony socjalnej, zdrowia publicznego i cele humanitarne.

W aktach prawnych przyjętych na podstawie Traktatów można przewidzieć ograniczenia dotyczące określonych zasad oraz prawa do informacji, dostępu do danych osobowych i ich sprostowania lub usuwania, prawa do przenoszenia danych, poufności łączności elektronicznej, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych oraz określonych powiązanych obowiązków administratorów, o ile jest to niezbędne i proporcjonalne w społeczeństwie demokratycznym, by zapewnić bezpieczeństwo publiczne, zapobieganie przestępczości, prowadzenie postępowań przygotowawczych, ściganie czynów zabronionych, lub wykonywanie kar, w tym ochronę przed zagrożeniami dla bezpieczeństwa publicznego, włączając ochronę życia ludzkiego – w szczególności w odpowiedzi na klęski żywiołowe lub katastrofy spowodowane przez człowieka – i zapobieganie takim zagrożeniom, bezpieczeństwo wewnętrzne instytucji i organów unijnych, ochronę innych ważnych celów leżących w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności ważnego interesu gospodarczego lub finansowego Unii lub państwa członkowskiego, prowadzenie rejestrów publicznych z uwagi na względy ogólnego interesu publicznego, ochronę osoby, której dane dotyczą, lub praw i wolności innych osób, w tym cele w dziedzinie ochrony socjalnej, zdrowia publicznego i cele humanitarne.

Tekst proponowany przez Komisję

Poprawka

Jeżeli w aktach prawnych przyjętych na podstawie Traktatów lub w wewnętrznych przepisach instytucji i organów unijnych nie przewidziano ograniczenia, instytucje i organy unijne mogą narzucić w danym przypadku ograniczenie doraźne dotyczące poszczególnych zasad i praw osoby, której dane dotyczą, jeżeli takie ograniczenie nie narusza istoty podstawowych praw i wolności oraz – w odniesieniu do danej operacji przetwarzania – stanowi w demokratycznym społeczeństwie niezbędny i proporcjonalny środek, który zapewnia realizację jednego bądź kilku celów wyszczególnionych w ust. 1. Takie ograniczenie należy zgłosić inspektorowi ochrony danych. Ograniczenia te powinny być zgodne z wymogami Karty praw podstawowych oraz Europejskiej konwencji o ochronie praw człowieka i podstawowych wolności.

skreśla się

Tekst proponowany przez Komisję

Poprawka

(42)  Dla zachowania zgodności z niniejszym rozporządzeniem, administratorzy powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni, a podmioty przetwarzające – rejestry kategorii czynności przetwarzania, za które są odpowiedzialne. Instytucje i organy unijne powinny być zobowiązane do współpracy z Europejskim Inspektorem Ochrony Danych i na jego żądanie powinny udostępniać mu swoje rejestry w celu monitorowania tych operacji przetwarzania. Instytucje i organy unijne powinny mieć możliwość ustanowienia centralnego rejestru prowadzonych przez nie czynności przetwarzania. Ze względu na przejrzystość powinny mieć również możliwość publicznego udostępnienia takiego rejestru.

(42)  Dla zachowania zgodności z niniejszym rozporządzeniem, administratorzy powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni, a podmioty przetwarzające – rejestry kategorii czynności przetwarzania, za które są odpowiedzialne. Instytucje i organy unijne powinny być zobowiązane do współpracy z Europejskim Inspektorem Ochrony Danych i na jego żądanie powinny udostępniać mu swoje rejestry w celu monitorowania tych operacji przetwarzania. Instytucje i organy unijne powinny mieć możliwość ustanowienia centralnego rejestru prowadzonych przez nie czynności przetwarzania. Ze względu na przejrzystość powinny również udostępnić taki rejestr do wiadomości publicznej. Osoby, których dane dotyczą, powinny mieć możliwość zapoznania się z danymi zapisanymi w tym rejestrze za pośrednictwem inspektora ochrony danych administratora danych.

Tekst proponowany przez Komisję

Poprawka

(46)  Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej sobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z Europejskim Inspektorem Ochrony Danych, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania.

(46)  Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej sobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna być poufna i powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z Europejskim Inspektorem Ochrony Danych, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania.

Tekst proponowany przez Komisję

Poprawka

(52)  Jeżeli instytucje i organy unijne przekazują dane osobowe administratorom, podmiotom przetwarzającym lub innym odbiorcom w państwach trzecich lub organizacjom międzynarodowym, nie należy obniżać stopnia ochrony osób fizycznych zapewnianego w Unii niniejszym rozporządzeniem, także w przypadkach dalszego przekazywania danych osobowych: z państwa trzeciego lub organizacji międzynarodowej administratorom lub pomiotom przetwarzającym w tym samym lub w innym państwie trzecim lub tej samej lub innej organizacji międzynarodowej. W każdym przypadku przekazywanie danych do państw trzecich i organizacji międzynarodowych może się odbywać wyłącznie w pełnej zgodzie z niniejszym rozporządzeniem. Przekazywanie może mieć miejsce wyłącznie w przypadkach, gdy administrator lub podmiot przetwarzający przestrzegają warunków określonych w przepisach niniejszego rozporządzenia dotyczących przekazywania danych osobowych państwom trzecim lub organizacjom międzynarodowym – z zastrzeżeniem pozostałych przepisów niniejszego rozporządzenia.

(52)  Jeżeli instytucje i organy unijne przekazują dane osobowe administratorom, podmiotom przetwarzającym lub innym odbiorcom w państwach trzecich lub organizacjom międzynarodowym, należy zagwarantować stopień ochrony osób fizycznych zapewniany w Unii niniejszym rozporządzeniem, także w przypadkach dalszego przekazywania danych osobowych: z państwa trzeciego lub organizacji międzynarodowej administratorom lub pomiotom przetwarzającym w tym samym lub w innym państwie trzecim lub tej samej lub innej organizacji międzynarodowej. W każdym przypadku przekazywanie danych do państw trzecich i organizacji międzynarodowych może się odbywać wyłącznie w pełnej zgodzie z niniejszym rozporządzeniem, rozporządzeniem (UE) 2016/679 oraz przy poszanowaniu podstawowych praw i wolności przewidzianych w Karcie praw podstawowych Unii Europejskiej. Przekazywanie może mieć miejsce wyłącznie w przypadkach, gdy administrator lub podmiot przetwarzający przestrzegają warunków określonych w przepisach niniejszego rozporządzenia dotyczących przekazywania danych osobowych państwom trzecim lub organizacjom międzynarodowym – z zastrzeżeniem pozostałych przepisów niniejszego rozporządzenia.

Tekst proponowany przez Komisję

Poprawka

(54)  W razie braku stwierdzenia odpowiedniego stopnia ochrony danych administrator lub podmiot przetwarzający powinni zastosować środki rekompensujące brak ochrony danych w państwie trzecim, zapewniając osobie, której dane dotyczą, odpowiednie zabezpieczenia. Takie odpowiednie zabezpieczenia mogą polegać na skorzystaniu ze standardowych klauzul ochrony danych przyjętych przez Komisję, standardowych klauzul ochrony danych przyjętych przez Europejskiego Inspektora Ochrony Danych lub klauzul umownych dopuszczonych przez Europejskiego Inspektora Ochrony Danych. Jeżeli podmiot przetwarzający nie jest instytucją unijną ani organem unijnym, na takie odpowiednie zabezpieczenia mogą również składać się wiążące reguły korporacyjne, kodeksy postępowania i mechanizmy certyfikacji stosowane na potrzeby międzynarodowego przekazywania danych zgodnie z rozporządzeniem (UE) 2016/679. Zabezpieczenia te powinny zapewniać, by przestrzegane były wymogi ochrony danych oraz prawa osób, których dane dotyczą, takie same jak w przypadku przetwarzania wewnątrzunijnego, w tym zapewniać możliwość skorzystania z egzekwowalnych praw osoby, której dane dotyczą, i skutecznych środków ochrony prawnej – w tym prawa do skutecznych administracyjnych lub sądowych środków zaskarżenia i do żądania odszkodowania – w Unii lub w państwie trzecim. Powinny one dotyczyć w szczególności przestrzegania ogólnych zasad związanych z przetwarzaniem danych osobowych oraz zasad uwzględniania ochrony danych w fazie projektowania i domyślnej ochrony danych. Również instytucje i organy unijne mogą przekazywać dane organom lub podmiotom publicznym w państwach trzecich lub organizacjom międzynarodowym o analogicznych obowiązkach lub funkcjach, w tym na podstawie przepisów, które powinny znaleźć się w uzgodnieniach administracyjnych, takich jak protokoły ustaleń, i które powinny przewidywać egzekwowalne i skuteczne prawa osób, których dane dotyczą. Jeżeli zabezpieczenia zawarte są w niewiążących prawnie uzgodnieniach administracyjnych, należy uzyskać zezwolenie Europejskiego Inspektora Ochrony Danych.

skreśla się

Tekst proponowany przez Komisję

Poprawka

1.  W niniejszym rozporządzeniu ustanawia się przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez unijne instytucje, organy i jednostki organizacyjne oraz przepisy o swobodnym przepływie danych osobowych między nimi lub do odbiorców posiadających jednostkę organizacyjną w Unii podlegającym rozporządzeniu (UE) 2016/67918 lub przepisom prawa krajowego przyjętego zgodnie z dyrektywą (UE) 2016/68019.

1.  W niniejszym rozporządzeniu ustanawia się przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez unijne instytucje, organy, urzędy i agencje oraz przepisy o swobodnym przepływie danych osobowych między nimi lub do odbiorców posiadających jednostkę organizacyjną w Unii.

_________________

18 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG), Dz.U. L 119 z 4.5.2016, s. 1–88.

19 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.U. L 119 z 4.5.2016, s. 89)

Tekst proponowany przez Komisję

Poprawka

2.  Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.

2.  Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych ustanowione w Karcie, w szczególności ich prawo do ochrony danych osobowych.

Tekst proponowany przez Komisję

Poprawka

2a.  Niniejsze rozporządzenie stosuje się również do agencji Unii prowadzących działania wchodzące w zakres części trzeciej tytuł V rozdziały 4 i 5 TFUE, m.in. w przypadku gdy akty założycielskie tych agencji Unii ustanawiają niezależny system ochrony danych do celów przetwarzania operacyjnych danych osobowych. Przepisy niniejszego rozporządzenia mają pierwszeństwo w razie konfliktu z przepisami aktów założycielskich tych agencji unijnych.

Tekst proponowany przez Komisję

Poprawka

d)  prawidłowe oraz, w razie konieczności, aktualizowane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe lub niekompletne w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);

(Nie dotyczy polskiej wersji językowej)  

Tekst proponowany przez Komisję

Poprawka

Warunki wyrażenia zgody przez dzieci w przypadku usług społeczeństwa informacyjnego

Warunki wyrażenia zgody przez dziecko w przypadku usług społeczeństwa informacyjnego

Uzasadnienie

Terminu tego używa się również w ogólnym rozporządzeniu o ochronie danych, art. 8, i spójność wymaga, aby używać go w przedmiotowym rozporządzeniu.

Tekst proponowany przez Komisję

Poprawka

Przekazywanie danych osobowych odbiorcom innym niż instytucje i organy unijne posiadającym jednostkę organizacyjną w Unii i podlegającym rozporządzeniu (UE) 2016/679 lub dyrektywie (UE) 2016/680

Przekazywanie danych osobowych odbiorcom innym niż instytucje i organy unijne posiadającym jednostkę organizacyjną w Unii

Tekst proponowany przez Komisję

Poprawka

b)  że przekazanie danych jest niezbędne, jest proporcjonalne do celów przekazania oraz jeżeli nie ma powodu, by zakładać, że prawa i wolności oraz uzasadnione interesy, osoby której dane dotyczą, mogłyby zostać naruszone.

b)  że przekazanie danych jest absolutnie niezbędne z uwagi na cele odbiorcy oraz że nie ma żadnego powodu, by zakładać, że prawa i wolności oraz uzasadnione interesy osoby, której dane dotyczą, mogłyby zostać naruszone w wyniku żądanego przekazania danych lub w wyniku dalszego korzystania – którego można rozsądnie oczekiwać – przez odbiorcę z tych danych osobowych.

Tekst proponowany przez Komisję

Poprawka

Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 5 ust. 1 można dokonywać wyłącznie, jeżeli jest ono dozwolone prawem Unii, które może obejmować przepisy wewnętrzne przewidujące odpowiednie szczególne zabezpieczenia praw i wolności osób, których dane dotyczą.

Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 5 ust. 1 można dokonywać wyłącznie, jeżeli jest ono dozwolone prawem Unii, które przewiduje odpowiednie szczególne zabezpieczenia praw i wolności osób, których dane dotyczą.

Tekst proponowany przez Komisję

Poprawka

b)  udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania;

b)  udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych lub o ile obowiązek, o którym mowa w ust. 1 niniejszego artykułu, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadniony interes osoby, której dane dotyczą, w tym udostępnia informacje publicznie;

Tekst proponowany przez Komisję

Poprawka

1.  Akty prawne przyjęte na podstawie Traktatów lub, w sprawach odnoszących się do działalności instytucji i organów unijnych, regulaminy przyjęte przez te ostatnie mogą ograniczyć zastosowanie art. 14–22, art. 34 i 38, a także art. 4 – o ile ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14–22 – w przypadku gdy ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

1.  Akty prawne przyjęte na podstawie Traktatów mogą ograniczyć zastosowanie art. 14–22 i 38, a także art. 4 – o ile ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14–22 – w przypadku gdy ograniczenie takie nie narusza istoty podstawowych praw i wolności oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym:

Uzasadnienie

Celem poprawki jest dostosowanie przepisów niniejszego rozporządzenia do postanowień ogólnego rozporządzenia o ochronie danych w wyniku opinii wydanej przez Europejskiego Inspektora Ochrony Danych.

Tekst proponowany przez Komisję

Poprawka

1a.  W szczególności akt prawny, o którym mowa w ust. 1, musi zawierać szczegółowe przepisy dotyczące w stosownych przypadkach co do minimum:

a)   celów przetwarzania lub kategorii przetwarzania;

b)   kategorii danych osobowych;

c)   zakresu wprowadzonego ograniczenia;

d)   zabezpieczeń przed nadużyciami lub niezgodnym z prawem dostępem lub przekazywaniem;

e)   określenia administratora lub kategorii administratorów;

f)   okresów przechowywania oraz mających zastosowanie zabezpieczeń z uwzględnieniem charakteru, zakresu i celów przetwarzania lub kategorii przetwarzania;

g)   ryzyka naruszenia praw lub wolności osoby, której dane dotyczą oraz

h)   prawa osób, której dane dotyczą, do uzyskania informacji o ograniczeniach, o ile nie narusza to celu ograniczenia.

Tekst proponowany przez Komisję

Poprawka

2.  Jeżeli nie przewidziano ograniczenia w akcie prawnym przyjętym na podstawie Traktatów lub w przepisie wewnętrznym zgodnie z ust. 1, instytucje i organy unijne mogą ograniczyć zastosowanie art. 14–22, art. 34 i 38, a także art. 4 – w zakresie, w jakim ich przepisy odpowiadają prawom i obowiązkom przewidzianym w art. 14–22 – jeżeli ograniczenie takie nie narusza istoty podstawowych praw i wolności w odniesieniu do szczególnych operacji przetwarzania oraz jest w demokratycznym społeczeństwie środkiem niezbędnym i proporcjonalnym, służącym jednemu celowi, o którym mowa w ust. 1, lub ich większej liczbie. Takie ograniczenie zgłasza się właściwemu inspektorowi ochrony danych.

skreśla się

Tekst proponowany przez Komisję

Poprawka

3.  W przypadku przetwarzania danych osobowych do celów badań naukowych lub historycznych lub do celów statystycznych prawo Unii, które może obejmować przepisy wewnętrzne, może przewidywać wyjątki od praw, o których mowa w art. 17, 18, 20 i 23, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 13, w zakresie, w jakim jest prawdopodobne, że prawa te uniemożliwią lub poważnie utrudnią realizację wspomnianych konkretnych celów, i jeżeli wyjątki takie są konieczne do realizacji tych celów.

3.  W przypadku przetwarzania danych osobowych do celów badań naukowych lub historycznych lub do celów statystycznych prawo Unii może przewidywać wyjątki od praw, o których mowa w art. 17, 18, 20 i 23, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 13, w zakresie, w jakim jest prawdopodobne, że prawa te uniemożliwią lub poważnie utrudnią realizację wspomnianych konkretnych celów, i jeżeli wyjątki takie są konieczne do realizacji tych celów.

Tekst proponowany przez Komisję

Poprawka

4.  W przypadku przetwarzania danych osobowych do celów archiwalnych w interesie publicznym prawo Unii, które może obejmować przepisy wewnętrzne, może przewidywać wyjątki od praw, o których mowa w art. 17, 18, 20 i 21, 22 i 23 z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 13, w zakresie, w jakim jest prawdopodobne, że prawa te uniemożliwią lub poważnie utrudnią realizację wspomnianych konkretnych celów, i jeżeli wyjątki takie są konieczne do realizacji tych celów.

4.  W przypadku przetwarzania danych osobowych do celów archiwalnych w interesie publicznym prawo Unii może przewidywać wyjątki od praw, o których mowa w art. 17, 18, 20 i 21, 22 i 23 z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 13, w zakresie, w jakim jest prawdopodobne, że prawa te uniemożliwią lub poważnie utrudnią realizację wspomnianych konkretnych celów, i jeżeli wyjątki takie są konieczne do realizacji tych celów.

Tekst proponowany przez Komisję

Poprawka

5.  Przepisy wewnętrzne, o których mowa w ust. 1, 3 i 4, są wystarczająco jasne i precyzyjne, by można je było w odpowiedni sposób opublikować.

skreśla się

Tekst proponowany przez Komisję

Poprawka

6.  Jeżeli nałożono ograniczenie zgodnie z ust. 1 lub 2, osoba, której dane dotyczą, zostaje poinformowana zgodnie z prawem Unii o podstawowych powodach, na których opiera się stosowanie ograniczenia, oraz jej prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych.

6.  Jeżeli nałożono ograniczenie zgodnie z ust. 1, osoba, której dane dotyczą, zostaje poinformowana zgodnie z prawem Unii o podstawowych powodach, na których opiera się stosowanie ograniczenia, oraz jej prawie do wniesienia skargi do Europejskiego Inspektora Ochrony Danych.

Tekst proponowany przez Komisję

Poprawka

7.  Jeżeli osobie, której dane dotyczą, odmówiono dostępu do danych w oparciu o ograniczenie nałożone zgodnie z ust. 1 lub 2, Europejski Inspektor Ochrony Danych po rozważeniu skargi informuje ją, czy dane zostały przetworzone prawidłowo i jeżeli nie, czy dokonano koniecznych poprawek.

7.  Jeżeli osobie, której dane dotyczą, odmówiono dostępu do danych w oparciu o ograniczenie nałożone zgodnie z ust. 1, Europejski Inspektor Ochrony Danych po rozważeniu skargi informuje ją, czy dane zostały przetworzone prawidłowo i jeżeli nie, czy dokonano koniecznych poprawek.

Tekst proponowany przez Komisję

Poprawka

8.  Można wstrzymać przekazanie informacji, o których mowa w ust. 6 i 7 i w art. 46 ust. 2, pominąć je lub go odmówić, jeżeli unieważniłoby to skutek ograniczenia nałożonego zgodnie z ust. 1 lub 2.

8.  Można wstrzymać przekazanie informacji, o których mowa w ust. 6 i 7 i w art. 46 ust. 2, pominąć je lub go odmówić, jeżeli unieważniłoby to skutek ograniczenia nałożonego zgodnie z ust. 1.

Tekst proponowany przez Komisję

Poprawka

(5)  Instytucje i organy unijne mogą podjąć decyzję o prowadzeniu swoich rejestrów czynności przetwarzania w rejestrze centralnym. W takim przypadku mogą również podjąć decyzję o publicznym udostępnieniu rejestru.

(5)  Instytucje i organy unijne rejestrują czynności przetwarzania w rejestrze centralnym. Ze względu na przejrzystość powinny również udostępnić taki rejestr do wiadomości publicznej, tak by osoby, których dotyczą dane, mogły mieć do niego dostęp, przy jednoczesnym zadbaniu o to, by taki dostęp nie miał negatywnego wpływu na inne osoby, których dotyczą dane.

Tekst proponowany przez Komisję

Poprawka

5a.  Osoby, których dotyczą dane, mają możliwość zapoznania się z danymi zapisanymi w rejestrze centralnym, o którym mowa w ust. 5, za pośrednictwem inspektora ochrony danych administratora danych.

Tekst proponowany przez Komisję

Poprawka

Instytucje i organy unijne zapewniają poufność łączności elektronicznej, w szczególności dzięki zabezpieczeniu swoich sieci łączności elektronicznej.

Instytucje i organy unijne zapewniają poufność łączności elektronicznej zgodnie z rozporządzeniem (UE) 2017/XXXX.

Uzasadnienie

Szczegółowym wnioskiem ustawodawczym dotyczącym poufności łączności elektronicznej będzie rozporządzenie opierające się na wniosku Komisji COM(2017)0010 i dlatego należy wprowadzić stosowne odesłanie.

Tekst proponowany przez Komisję

Poprawka

Artykuł 36

skreśla się

Spisy użytkowników

1.   Dane osobowe zawarte są w spisach użytkowników i dostęp do takich spisów jest ograniczony do tego, co jest bezwzględnie konieczne do konkretnych celów spisu.

2.   Instytucje i organy unijne podejmą wszelkie dostępne środki, aby zapobiec użyciu danych osobowych zawartych w tych spisach, niezależnie od tego, czy są one ogólnodostępne czy nie, do celów marketingu bezpośredniego.

Tekst proponowany przez Komisję

Poprawka

2.  Jeżeli akt, o którym mowa w ust. 1, ma szczególne znaczenie dla ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych, Komisja może również skonsultować się z Europejską Radą Ochrony Danych. W takich przypadkach Europejski Inspektor Ochrony Danych i Europejska Rada Ochrony Danych koordynują swoje prace w celu wydania wspólnej opinii.

2.  Jeżeli akt, o którym mowa w ust. 1, ma szczególne znaczenie dla ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych, Komisja konsultuje się również z Europejską Radą Ochrony Danych. W takich przypadkach Europejski Inspektor Ochrony Danych i Europejska Rada Ochrony Danych koordynują swoje prace w celu wydania wspólnej opinii.

Tekst proponowany przez Komisję

Poprawka

4.  Inspektor ochrony danych może być członkiem personelu instytucji unijnej lub organu unijnego lub wykonywać zadania na podstawie zamówienia publicznego na usługi.

4.  Inspektor ochrony danych jest członkiem personelu instytucji, organu, urzędu lub agencji Unii.

Uzasadnienie

Outsourcing zadań należących do inspektora ochrony danych jest nieodpowiedni w przypadku instytucji unijnej.

Tekst proponowany przez Komisję

Poprawka

ba)  zadbanie o to, by operacje przetwarzania nie wpływały negatywnie na podstawowe prawa i wolności osób, których dane dotyczą;

Tekst proponowany przez Komisję

Poprawka

1.  Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa posiadają zapewniony odpowiedni stopień ochrony, a dane osobowe są przekazywane jedynie po to, aby umożliwić wykonywanie zadań wchodzących w zakres kompetencji administratora.

1.  Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja przyjęła akt wykonawczy na podstawie art. 45 ust. 3 rozporządzenia (UE) 2016/679, który stanowi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa posiadają zapewniony odpowiedni stopień ochrony, a dane osobowe są przekazywane jedynie po to, aby umożliwić wykonywanie zadań wchodzących w zakres kompetencji administratora. W akcie wykonawczym przewiduje się mechanizm okresowego przeglądu – przynajmniej raz na cztery lata – podczas którego uwzględnia się wszelkie mające znaczenie zmiany w państwie trzecim lub organizacji międzynarodowej. W akcie wykonawczym wskazuje się ponadto terytorialny i sektorowy zakres jego stosowania oraz organ nadzorczy. Zastosowanie ma rozdział V rozporządzenia (UE) 2016/679.

Uzasadnienie

Przepisy dotyczące przekazywania danych osobowych do krajów trzecich lub instytucji krajów trzecich muszą być spójne z odpowiednimi przepisami ogólnego rozporządzenia o ochronie danych, aby nie tworzyć luk prawnych ani niespójności prawnej. W szczególności należy podkreślić wagę mechanizmu umożliwiającego przegląd.

Tekst proponowany przez Komisję

Poprawka

1.  Parlament Europejski i Rada powołują Europejskiego Inspektora Ochrony Danych w drodze wspólnego porozumienia na okres pięciu lat, na podstawie listy ustalonej przez Komisję po ogłoszeniu publicznego naboru dla kandydatów. Nabór kandydatów umożliwia zainteresowanym osobom w całej Unii złożenie ich wniosków. Lista kandydatów ustalona przez Komisję jest publikowana. Na podstawie listy ustalonej przez Komisję właściwa komisja Parlamentu Europejskiego może podjąć decyzję o przeprowadzeniu przesłuchania w celu wyrażenia swoich preferencji.

1.  Parlament Europejski i Rada powołują Europejskiego Inspektora Ochrony Danych w drodze wspólnego porozumienia na okres pięciu lat, na podstawie listy ustalonej wspólnie przez Parlament Europejski, Radę i Komisję po ogłoszeniu publicznego naboru dla kandydatów. Nabór kandydatów umożliwia zainteresowanym osobom w całej Unii złożenie ich wniosków. Lista kandydatów jest publikowana i figuruje na niej co najmniej pięciu kandydatów. Właściwa komisja Parlamentu Europejskiego może podjąć decyzję o przeprowadzeniu przesłuchania kandydatów w celu wyrażenia swoich preferencji.

Tekst proponowany przez Komisję

Poprawka

2.  Na liście ustalonej przez Komisję, na podstawie której wybiera się Europejskiego Inspektora Ochrony Danych, znajdują się osoby, których niezależność jest niekwestionowana i o których wiadomo, że mają doświadczenie i umiejętności wymagane do pełnienia obowiązków Europejskiego Inspektora Ochrony Danych, ponieważ na przykład należą lub należały do organów nadzorczych ustanowionych w art. 41 rozporządzenia (UE) 2016/679.

2.  Na liście ustalonej wspólnie przez Parlament Europejski, Radę i Komisję, na podstawie której wybiera się Europejskiego Inspektora Ochrony Danych, znajdują się osoby, których niezależność jest niekwestionowana i o których wiadomo, że posiadają wiedzę fachową w dziedzinie ochrony danych oraz doświadczenie i umiejętności wymagane do pełnienia obowiązków Europejskiego Inspektora Ochrony Danych, ponieważ na przykład należą lub należały do organów nadzorczych ustanowionych w art. 41 rozporządzenia (UE) 2016/679.

Tekst proponowany przez Komisję

Poprawka

1a.  Jeżeli osoba, której dane dotyczą, jest dzieckiem, państwa członkowskie przewidują szczególne zabezpieczenia, zwłaszcza w odniesieniu do pomocy prawnej.

Uzasadnienie

Dzieci mogą być bardziej narażone na zagrożenia niż dorośli, wobec czego państwa członkowskie powinny przewidzieć szczególne klauzule ochronne, zwłaszcza w odniesieniu do pomocy prawnej i ochrony, aby zagwarantować przestrzeganie praw dziecka.

Tekst proponowany przez Komisję

Poprawka

Rozdział IX a

Artykuł 70a

Klauzula przeglądowa

1.   Najpóźniej do dnia 1 czerwca 2021 r., a następnie co pięć lat, Komisja przedkłada Parlamentowi Europejskiemu sprawozdanie w sprawie stosowania niniejszego rozporządzenia, w razie potrzeby wraz z odpowiednimi wnioskami ustawodawczymi.

2.   W ramach oceny ex post, o której mowa w ust. 1, zwraca się szczególną uwagę na kwestię odpowiedniego zakresu niniejszego rozporządzenia i spójności z innymi aktami ustawodawczymi w dziedzinie ochrony danych, a także ocenia w szczególności wdrożenie rozdziału V niniejszego rozporządzenia.

3.   Najpóźniej do dnia 1 czerwca 2021 r., a następnie co pięć lat, Komisja przedkłada Parlamentowi Europejskiemu sprawozdanie w sprawie stosowania rozdziału VIII niniejszego rozporządzenia oraz w sprawie stosowanych kar i sankcji.

Uzasadnienie

W kontekście lepszego stanowienia prawa, a w szczególności skutecznego wykorzystania narzędzia, jakim są oceny ex post, aby ująć cały cykl legislacyjny, należy zwrócić szczególną uwagę na transpozycję, wdrożenie i egzekwowanie prawa UE, a ogólnie – na monitorowanie wpływu, funkcjonowania i skuteczności tego prawa. Kompleksowa klauzula przeglądowa, w której wymaga się odpowiedniej oceny stosowania niniejszego rozporządzenia, jego zakresu i przewidzianej derogacji uprawnień i która nakłada proporcjonalne obowiązki w zakresie sprawozdawczości, służy temu celowi.

Tekst proponowany przez Komisję

Poprawka

Artykuł 72a

Przegląd aktów prawnych Unii

Do dnia 25 maja 2021 r. Komisja dokonuje przeglądu innych aktów prawnych regulujących przetwarzanie danych osobowych, przyjętych na mocy traktatów, w szczególności przez agencje utworzone na podstawie rozdziału 4 i 5 tytułu V części trzeciej TFUE, w celu oceny konieczności dostosowania ich do niniejszego rozporządzenia, a w razie potrzeby przedstawia niezbędne propozycje zmiany takich aktów, aby zapewnić spójne podejście do kwestii ochrony danych osobowych wchodzących w zakres zastosowania niniejszego rozporządzenia.