Indeks 
 Prethodno 
 Sljedeće 
 Cjeloviti tekst 
Postupak : 2012/0010(COD)
Faze dokumenta na plenarnoj sjednici
Odabrani dokument : A7-0403/2013

Podneseni tekstovi :

A7-0403/2013

Rasprave :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13

Glasovanja :

PV 12/03/2014 - 8.12
Objašnjenja glasovanja

Doneseni tekstovi :

P7_TA(2014)0219

Usvojeni tekstovi
PDF 924kWORD 449k
Srijeda, 12. ožujka 2014. - Strasbourg
Obrada osobnih podataka u svrhu sprečavanja kaznenih djela ***I
P7_TA(2014)0219A7-0403/2013
Rezolucija
 Pročišćeni tekst

Zakonodavna rezolucija Europskog parlamenta od 12. ožujka 2014. o prijedlogu Direktive Europskog parlamenta i Vijeća o zaštiti pojedinaca pri obradi osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija te slobodnom kretanju takvih podataka (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))

(Redovni zakonodavni postupak: prvo čitanje)

Europski parlament,

–  uzimajući u obzir prijedlog Komisije upućen Europskom parlamentu i Vijeću (COM(2012)0010),

–  uzimajući u obzir članak 294. stavak 2. i članak 16. stavak 2. Ugovora o funkcioniranju Europske unije, u skladu s kojima je Komisija podnijela prijedlog Parlamentu (C7‑0024/2012),

–  uzimajući u obzir članak 294. stavak 3. Ugovora o funkcioniranju Europske unije,

–  uzimajući u obzir obrazložena mišljenja njemačkog Saveznog vijeća i švedskog Parlamenta, podnesena u okviru Protokola br. 2 o primjeni načela supsidijarnosti i proporcionalnosti, u kojima se izjavljuje da nacrt zakonodavnog akta nije u skladu s načelom supsidijarnosti,

–  uzimajući u obzir mišljenje europskog nadzornika za zaštitu podataka od 7. ožujka 2012.(1),

–  uzimajući u obzir mišljenje Agencije Europske unije za temeljna prava od 1. listopada 2012.;

–  uzimajući u obzir članak 55. Poslovnika,

–  uzimajući u obzir izvješće Odbora za građanske slobode, pravosuđe i unutarnje poslove i mišljenje Odbora za pravna pitanja (A7‑0403/2013),

1.  usvaja sljedeće stajalište u prvom čitanju;

2.  traži od Komisije da predmet ponovno uputi Parlamentu ako namjerava bitno izmijeniti svoj prijedlog ili ga zamijeniti drugim tekstom;

3.  nalaže svojem predsjedniku da stajalište Parlamenta proslijedi Vijeću, Komisiji i nacionalnim parlamentima.

(1) SL C 192, 30.6.2012., str. 7.


Stajalište Europskog parlamenta usvojeno u prvom čitanju 12. ožujka 2014. radi donoštenja Direktive 2014/.../EU Europskog parlamenta i Vijeća o zaštiti pojedinaca pri obradi osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija te slobodnom kretanju takvih podataka
P7_TC1-COD(2012)0010

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 16. stavak 2.,

uzimajući u obzir prijedlog Europske komisije,

nakon što se nacrt zakonodavnog akta proslijedio nacionalnim parlamentima,

uzimajući u obzir mišljenje Europskog nadzornika za zaštitu podataka(1),

djelujući u skladu s redovnim zakonodavnim postupkom(2),

budući da:

(1)  Zaštita fizičkih osoba pri obradi osobnih podataka temeljno je pravo. Člankom 8. stavkom 1. Povelje Europske unije o temeljnim pravima i člankom 16. stavkom 1. Ugovora o funkcioniranju Europske unije utvrđuje se da svaka osoba ima pravo na zaštitu osobnih podataka koji se tiču nje. Člankom 8. stavkom 2. Povelje utvrđuje se da se takvi podaci moraju obrađivati nepristrano za posebne svrhe i na temelju suglasnosti dotične osobe ili na nekoj drugoj zakonski utvrđenoj legitimnoj osnovi. [Am. 1]

(2)  Obrada osobnih podataka namijenjena je tome da služi čovjeku; načela i pravila o zaštiti pojedinaca pri obradi njihovih osobnih podataka trebala bi, bez obzira na državljanstvo ili boravište fizičkih osoba, uvažavati njihova temeljna prava i slobode, a posebno pravo na zaštitu osobnih podataka. Trebala bi pridonositi ostvarenju područja slobode, sigurnosti i pravde.

(3)  Brz tehnološki napredak i globalizacija stvorili su nove izazove za zaštitu osobnih podataka. Opseg prikupljanja i razmjene podataka drastično se povećava. Tehnologija nadležnim tijelima u provođenju njihovih aktivnosti omogućuje korištenje osobnih podataka u dosad nezapamćenim razmjerima.

(4)  To zahtijeva olakšanje slobodnog protoka podataka, kad je to nužno i razmjerno, među nadležnim tijelima unutar Unije i njihova prijenosa u treće zemlje i međunarodne organizacije uz istodobno osiguravanje visoke razine zaštite osobnih podataka. Ove Te promjene iziskuju izgradnju snažnoga i usklađenijeg okvira za zaštitu podataka u Uniji, koji bi podupirala dosljedna primjena. [Am. 2]

(5)  Direktiva 95/46/EZ Europskoga parlamenta i Vijeća(3) primjenjuje se na sve aktivnosti obrade osobnih podataka u državama članicama u javnom i privatnom sektoru. No Direktiva se ne primjenjuje na obrade osobnih podataka „tijekom aktivnosti koja je izvan područja primjene prava Zajednice”, kao što su aktivnosti na područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje.

(6)  Okvirna odluka Vijeća 2008/977/JHA(4) primjenjuje se na područja pravosudne suradnje u kaznenim stvarima i policijske suradnje. Područje primjene ove Okvirne odluke ograničeno je na obradu osobnih podataka koje države članice jedna drugoj prenose ili stavljaju na raspolaganje.

(7)  Osiguravanje usklađene dosljedne i visoke razine zaštite osobnih podataka pojedinaca i olakšavanje pojedinih osoba te ubrzavanje razmjene osobnih podataka među nadležnim tijelima vlastima država članica ključno je kako bi se zajamčila osigurala učinkovita pravosudna suradnja u kaznenim stvarima i policijska suradnja. policijskoj suradnji. Imajući u vidu taj cilj, razina zaštite prava i sloboda pojedinaca pri obradi osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija mora biti jednaka u svim državama članicama. U cijeloj Uniji trebalo bi osigurati dosljednu i ujednačenu primjenu pravila za zaštitu temeljnih prava i sloboda fizičkih osoba pri obradi osobnih podataka. Učinkovita zaštita osobnih podataka u cijeloj Uniji zahtijeva jačanje prava osoba čiji se podaci obrađuju i obveza onih koji osobne podatke obrađuju, ali i jednake ovlasti nadzora i jamčenja usklađenosti s pravilima za zaštitu osobnih podataka u državama članicama. [Am. 3]

(8)  Na temelju članka 16. stavka 2. Ugovora o funkcioniranju Europske unije Europski parlament i Vijeće trebali bi utvrditi pravila koja se odnose na zaštitu pojedinaca pri obradi osobnih podataka i pravila koja se odnose na slobodno kretanje slobodan protok njihovih osobnih podataka. [Am. 4]

(9)  Na temelju toga Uredba (EU) br. .../2014 Europskog parlamenta i Vijeća o zaštiti pojedinaca pri obradi osobnih podataka i slobodnom kretanju takvih podataka (Opća uredba o zaštiti podataka) utvrđuje općenita pravila za zaštitu pojedinaca pri obradi osobnih podataka i osiguranje slobodnog kretanja osobnih podataka unutar Unije.

(10)  U Izjavi 21 o zaštiti osobnih podataka na područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje, priloženoj završnom aktu međuvladine konferencije na kojoj je usvojen Ugovor iz Lisabona, konferencija je potvrdila da bi se određena pravila o zaštiti osobnih podataka i slobodnom kretanju takvih podataka na područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje na temelju članka 16. Ugovora o funkcioniranju Europske unije mogla pokazati neophodnima zbog specifične prirode tih područja.

(11)  Stoga bi posebnom direktivom trebalo odgovoriti na specifičnu prirodu tih područja i utvrditi pravila o zaštiti pojedinaca pri obradi osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija. [Am. 5]

(12)  Kako bi se pojedincima osigurala jednaka razina zaštite na temelju prava koja su zakonski ostvariva u cijeloj Uniji te se spriječila odstupanja koja ometaju razmjenu osobnih podataka među nadležnim tijelima, Direktiva bi trebala predvidjeti usklađena pravila za zaštitu i slobodno kretanje osobnih podataka na područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje.

(13)  Ovom se Direktivom omogućuje uzimanje u obzir načela javnog pristupa službenim dokumentima kod primjene odredaba koje su njome utvrđene.

(14)  Zaštita koju ova Direktiva pruža trebala bi se odnositi na fizičke osobe pri obradi osobnih podataka, bez obzira na njihovo državljanstvo ili mjesto boravišta.

(15)  Zaštita pojedinaca trebala bi biti tehnološki neutralna i ne ovisiti o tehnikama koje se koriste; u suprotnom, to bi izazvalo ozbiljan rizik od zaobilaženja propisa. Zaštita pojedinaca trebala bi se primjenjivati na obradu osobnih podataka automatiziranim sredstvima, ali i na ručnu obradu ako su podaci sadržani u sustavu podataka ili ih se u taj sustav namjerava unijeti. Dokumenti ili skupovi dokumenata kao i njihove naslovne stranice koje nisu strukturirane u skladu s posebnim kriterijima ne bi trebali pripadati području primjene ove Direktive. Ova se Direktiva ne bi trebala primjenjivati na obradu osobnih podataka u okviru aktivnosti koja nije u području primjene zakonodavstva Unije., osobito ako je riječ o nacionalnoj sigurnosti, ili na podatke koje obrađuju institucije,Uredbu (EZ) br. 45/2001 Europskog parlamenta i Vijeća(5) i posebne pravne instrumente koji se primjenjuju na agencije, tijela ili uredi i agencije Unije, kao što su Europol ili Eurojust ili urede Unije trebalo bi uskladiti s ovom Direktivom i primijeniti u skladu s njom. [Am. 6]

(16)  Načela zaštite trebala bi se primjenjivati na bilo koju informaciju koja se odnosi na identificiranu fizičku osobu ili fizičku osobu čiji se identitet može utvrditi. Kako bi se odredilo može li se fizičku osobu identificirati, trebalo bi uzeti u obzir sva sredstva koja nadzornik ili bilo koja druga osoba može opravdano koristiti kako bi identificirala pojedinca o kojemu je riječ ili izdvojila tu osobu. Načela zaštite podataka ne bi trebalo primjenjivati na podatke koji su anonimni na način da se osobu čiji se podaci obrađuju više ne može identificirati. Ova se Direktiva ne bi trebala primjenjivati na anonimne podatke, odnosno sve podatke koji se izravno ili neizravno te samostalno ili u kombinaciji sa srodnim podacima ne mogu povezati s tom fizičkom osobom. Uzimajući u obzir važnost trenutačnih razvojnih trendova u informacijskom društvu koji se odnose na tehnike prikupljanja, prijenosa, obrade, bilježenja, pohranjivanja ili slanja podataka o lokaciji fizičkih osoba, koji se mogu koristiti u različite svrhe, uključujući nadziranje ili izradu profila, ova Direktiva trebala bi se primjenjivati na obradu takvih osobnih podataka. [Am. 7]

(16a)  Svaka obrada osobnih podataka mora biti zakonita, poštena i transparentna u odnosu na dotične pojedince. Posebne svrhe obrade podataka osobito bi trebale biti izričite i legitimne te utvrđene u trenutku prikupljanja osobnih podataka. Osobni podaci trebali bi biti prikladni, relevantni i ograničeni na nužno potrebne za svrhe radi kojih se obrađuju. To posebno zahtijeva ograničavanje prikupljenih podataka i razdoblja njihova pohranjivanja na najmanju moguću mjeru. Osobni podaci trebali bi se obrađivati samo ako se svrha obrade ne može postići drugim sredstvima. Trebalo bi poduzeti sve odgovarajuće korake kako bi se osiguralo da se osobni podaci koji nisu točni isprave ili izbrišu. Kako bi se osiguralo da se podaci ne pohranjuju duže nego što je potrebno, nadzornik bi trebao odrediti rokove za njihovo brisanje ili redovitu reviziju. [Am. 8]

(17)  Osobni podaci koji se odnose na zdravlje trebali bi posebno sadržavati sve podatke koji se tiču zdravstvenog statusa osobe čiji se podaci obrađuju, informacije o prijavi pojedinca za pružanje zdravstvenih usluga, informacije o plaćanjima ili o tome ostvaruje li pojedinac pravo na zdravstvenu zaštitu, broj, simbol ili posebnu oznaku dodijeljenu pojedincu radi njegova jedinstvenog identificiranja u zdravstvene svrhe, svaku informaciju koja je tijekom pružanja zdravstvenih usluga pojedincu o njemu prikupljena, informacije dobivene testiranjem ili obavljanjem pretrage dijela tijela ili tjelesnog sadržaja, uključujući i biološke uzorke, utvrđivanje identiteta osobe kao pružatelja zdravstvene zaštite pojedincu ili svaku informaciju o primjerice bolesti, invalidnosti, riziku od razvoja bolesti, anamnezi, kliničkom liječenju ili trenutačnom fiziološkom ili biomedicinskom stanju osobe čiji se podaci obrađuju neovisno o njegovom izvoru, npr. liječniku ili drugom zdravstvenom djelatniku, bolnici, medicinskom uređaju ili dijagnostičkoj pretrazi „in vitro”.

(18)  Svaka obrada osobnih podataka mora biti poštena i zakonita prema pojedincima o kojima je riječ. Posebne namjene za koje se podaci obrađuju osobito bi trebale biti eksplicitne. [Am. 9]

(19)  Radi sprečavanja, istrage i progona kaznenih djela nužno je da nadležna tijela zadrže i obrađuju osobne podatke prikupljene u kontekstu sprečavanja, istrage, otkrivanja ili progona posebnih kaznenih djela izvan tog konteksta kako bi razvila razumijevanje o kaznenim fenomenima i trendovima, prikupila podatke o mrežama organiziranog kriminala i uspostavila veze između različitih otkrivenih kaznenih djela. [Am. 10]

(20)  Osobne podatke ne bi trebalo obrađivati u svrhe koje nisu u skladu sa svrhom u koju su prikupljeni. Osobni podaci trebali bi biti odgovarajući, relevantni i ne preopsežni u odnosu na svrhe u koje ih se obrađuje. Trebalo bi poduzeti sve odgovarajuće korake kako bi se osiguralo da se osobni podaci koji nisu točni isprave ili izbrišu. [Am. 11]

(20a)  Činjenica da se obje svrhe odnose na sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija ne znači nužno da su one usklađene. Međutim postoje slučajevi u kojima bi daljnja obrada u neusklađene svrhe trebala biti moguća ako je to potrebno da bi se ispunila pravna obveza kojoj nadzornik podliježe kako bi se zaštitili vitalni interesi osobe čiji se podaci obrađuju ili druge osobe, ili spriječile izravne i ozbiljne prijetnje javnoj sigurnosti. Zbog toga bi države članice trebale moći donositi nacionalne zakone kojima se omogućuju takva odstupanja u nužnoj mjeri. Takvi nacionalni zakoni trebali bi sadržavati odgovarajuće zaštitne mehanizme. [Am. 12]

(21)  Trebalo bi primijeniti načelo točnosti podataka uzimajući u obzir prirodu i svrhu predmetne obrade. Izjave koje sadržavaju osobne podatke temelje se, osobito u sudskim postupcima, na subjektivnoj percepciji pojedinaca i u nekim se slučajevima ne mogu uvijek provjeriti. Stoga se zahtjev za točnošću ne bi trebao odnositi na točnost izjave, već samo na činjenicu da je određena izjava dana.

(22)  Kod tumačenja i primjene općenitih načela obrade osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršenja kaznenopravnih sankcija trebalo bi uzeti u obzir posebne značajke toga područja, uključujući posebne ciljeve kojima se teži. [Am. 13]

(23)  Za obradu osobnih podataka na područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje svojstveno je da se obrađuju osobni podaci koji se odnose na različite kategorije osoba čiji se podaci obrađuju. Stoga bi što je više moguće trebalo praviti jasnu razliku između osobnih podataka različitih kategorija osoba čiji se podaci obrađuju, primjerice osumnjičenika, osoba osuđenih za kazneno djelo, žrtava i trećih strana, kao što su svjedoci, osobe koje posjeduju važne informacije ili kontakte te pomagači osumnjičenika i osuđenih počinitelja kaznenih djela. Države članice trebale bi utvrditi posebna pravila o posljedicama te kategorizacije uzimajući u obzir različite svrhe u koje se podaci prikupljaju te osiguravajući posebne zaštitne mehanizme za osobe koje nisu osumnjičene za počinjenje kaznenog djela ili koje za njega nisu osuđene. [Am. 14]

(24)  Trebalo bi što je više moguće praviti razliku među osobnim podacima prema stupnju njihove točnosti i pouzdanosti. Trebalo bi praviti razliku između činjenica i osobnih procjena kako bi se osigurale zaštita pojedinaca te kvaliteta i pouzdanost informacija koje obrađuju nadležna tijela.

(25)  Kako bi bila zakonita, obrada osobnih podataka trebala bi biti neophodna dopuštena samo onda kad je nužna za ispunjavanje pravne obveze kojoj nadzornik podliježe, izvršavanje zadataka nekog zadatka u interesu javnosti od strane nadležnog tijela na temelju prava Unije ili za zaštitu vitalnih interesa osobe čiji se podaci obrađuju ili druge osobe, ili za sprečavanje izravne i ozbiljne prijetnje javnoj sigurnosti.države članice, koje bi trebalo sadržavati izričite i detaljne odredbe najmanje o ciljevima, osobnim podacima i posebnim svrhama i sredstvima te kojim bi trebalo odrediti ili omogućiti određivanje nadzornika, postupaka koje treba provoditi, upotrebe i ograničenja primjene diskrecijskog prava dodijeljenog nadležnim tijelima u pogledu postupaka obrade. [Am. 15]

(25a)  Osobne podatke ne bi trebalo obrađivati u svrhe koje nisu u skladu sa svrhom u koju su prikupljeni. Daljnja obrada od strane nadležnih tijela u svrhu koja je dio područja primjene ove Direktive, a koja nije u skladu s prvotnom svrhom trebala bi biti dopuštena samo u posebnim slučajevima kad je takva obrada nužna za ispunjavanje pravne obveze kojoj nadzornik podliježe na temelju prava Unije ili prava države članice ili za zaštitu vitalnih interesa osobe čiji se podaci obrađuju ili druge osobe, ili za sprečavanje izravne i ozbiljne prijetnje javnoj sigurnosti. Činjenica da se podaci obrađuju u svrhu provedbe zakona ne znači nužno da je ta svrha u skladu s prvotnom. Koncept usklađene primjene treba tumačiti ograničeno. [Am. 16]

(25b)  Osobne podatke koji su obrađivani uz kršenje nacionalnih odredbi donesenih u skladu s ovom Direktivom ne bi više trebalo obrađivati. [Am. 17]

(26)  Osobni podaci koji su po svojoj prirodi osobito osjetljivi i ranjivi u pogledu temeljnih prava ili privatnosti, uključujući genetičke podatke, zaslužuju posebnu zaštitu. Takve podatke ne bi trebalo obrađivati osim ako njihova obrada nije posebno odobrena pravom nužna za izvršavanje nekog zadatka u javnom interesu, na temelju prava Unije ili prava države članice kojim se predviđaju odgovarajuće mjere zaštite temeljnih prava i legitimnih interesa osobe čiji se podaci obrađuju; ili je obrada neophodna za zaštitu vitalnih interesa osobe čiji se podaci obrađuju ili druge osobe; ili se obrada odnosi na podatke koje je objavila osoba čiji se podaci obrađuju. Osjetljive osobne podatke trebalo bi obrađivati samo ako se njima dopunjuju drugi osobni podaci koji su već obrađeni za potrebe provedbe zakona. Svako odstupanje od zabrane obrade osjetljivih podataka trebalo bi tumačiti ograničeno i ono ne bi trebalo dovesti do česte, opsežne i strukturne obrade osjetljivih osobnih podataka. [Am. 18]

(26a)  Obrada genetskih podataka trebala bi biti dopuštena samo ako postoji genetska veza koja se pojavi tijekom kaznene istrage ili sudskog postupka. Genetske podatke trebalo bi pohranjivati samo u razdoblju nužnom za potrebe takvih istraga i postupaka, dok države članice mogu utvrditi dulje trajanje pohranjivanja pod uvjetima utvrđenima ovom Direktivom. [Am. 19]

(27)  Svaka fizička osoba trebala bi imati pravo ne podlijegati mjeri koja se temelji jedino na automatiziranoj obradi ako na djelomičnom ili potpunom profiliranju automatiziranom obradom. Takvu obradu kojom se stvara štetan pravni učinak na tu osobu ili koja na na nju znatno utječe trebalo bi zabraniti osim ako je zakonski odobrena pravom i podliježe odgovarajućim mjerama zaštite temeljnih prava i legitimnih interesa osobe čiji se podaci obrađuju, uključujući pravo na važne informacije o logici korištenoj tijekom profiliranja. Takva obrada ni pod kojim uvjetima ne bi trebala sadržavati posebne kategorije podataka, stvarati ih ili na temelju njih diskriminirati. [Am. 20]

(28)  Kako bi osoba čiji se podaci obrađuju mogla ostvariti svoja prava, svaka informacija namijenjena njoj trebala bi biti lako dostupna i razumljiva te sročena jasnim i jednostavnim jezikom. Ta bi informacija trebala biti prilagođena potrebama osobe čiji se podaci obrađuju, posebno kad se upućuje djetetu. [Am. 21]

(29)  Trebalo bi osigurati modalitete kojima se osobi čiji se podaci obrađuju olakšava ostvarivanje njezinih prava u okviru ove Direktive, uključujući mehanizme za besplatan zahtjev, osobito za pristup podacima, njihovo ispravljanje i brisanje. Nadzornik bi trebao imati obvezu odgovoriti na zahtjeve osobe čiji se podaci obrađuju bez neopravdane odgode i u roku od jednoga mjeseca od primitka zahtjeva. Ako se osobni podaci obrađuju automatizirano, nadzornik bi trebao osigurati sredstva za podnošenje zahtjeva elektroničkim putem. [Am. 22]

(30)  Načelo poštene i transparentne obrade podataka zahtijeva da bi su osobe čiji se podaci obrađuju trebale biti posebno osobito obaviještene o postupku obrade i njezinim svrhama, duljini njezinoj svrsi, pravnoj osnovi, trajanju pohrane podataka, mogućnosti postojanju prava pristupa, ispravljanja ispravka ili brisanja podataka te o pravu na podnošenje žalbe. Osim toga, osoba čiji se podaci obrađuju trebala bi biti obaviještena ako se obavlja profiliranje te o njegovim planiranim učincima. Kada se podaci prikupljaju od osobe čiji se podaci obrađuju, osobu bi također trebalo obavijestiti o tome je li obvezna pružiti te podatke te o posljedicama njihova nepružanja. [Am. 23]

(31)  Osobi čiji se podaci obrađuju trebalo bi pružiti informacije vezane uz obradu osobnih podataka koji se odnose na osobu čiji se podaci obrađuju u vrijeme prikupljanja podataka ili, kada se podaci ne prikupljaju od osobe, u vrijeme bilježenja ili u razumnome roku nakon njihova prikupljanja uzimajući u obzir posebne okolnosti u kojima se podaci obrađuju.

(32)  Svaka bi osoba trebala imati pravo na pristup podacima koji se o njoj prikupljaju i ostvarivanje toga prava na jednostavan način kako bi znala da je obrada zakonita i to mogla potvrditi. Svaka osoba čiji se podaci obrađuju trebala bi stoga imati pravo znati i primiti obavijest biti obaviještena posebno o tome u koje se svrhe podaci obrađuju, koja je pravna osnova, na koje razdoblje podaci se obrađuju te tko su primatelji podataka, također uključujući primatelje u trećim zemljama, koje se razumljive informacije o logici korištenoj u svakoj automatskoj obradi podataka i po potrebi predviđeni učinci takve obrade te bi trebala imati pravo uložiti žalbu nadzornom tijelu i znati njegove kontaktne podatke. Osobe čiji se podaci obrađuju trebale bi imati mogućnost dobiti primiti kopiju svojih osobnih podataka koji se obrađuju. [Am. 24]

(33)  Državama članicama trebalo bi omogućiti donošenje zakonodavnih mjera za odgađanje ili ograničavanje ili ispuštanje informacija o osobama čiji se podaci obrađuju ili pristupa njihovim osobnim podacima u takvoj mjeri da i sve dok takvo djelomično ili potpuno ograničavanje čini neophodnu i proporcionalnu mjeru u demokratskom društvu uz dužno poštovanje temeljnih prava i legitimnih interesa dotične osobe radi sprečavanja ometanja službenih ili sudskih istraga, istraga ili postupaka, izbjegavanja dovođenja u pitanje sprečavanja, otkrivanja, istrage i progona kaznenih djela ili radi izvršavanja kaznenopravnih sankcija, zaštite javne ili nacionalne sigurnosti ili zaštite osobe čiji se podaci obrađujuzaštite prava i sloboda ostalih. Nadzornik bi konkretnim i pojedinačnim ispitivanjem svakog slučaja trebao procijeniti treba li primijeniti djelomično ili potpuno ograničavanje prava pristupa. [Am. 25]

(34)  Svako odbijanje ili ograničavanje pristupa, uključujući činjenične ili zakonske razloge na kojima se ta odluka temelji, pismenim bi se putem trebalo priopćiti osobi čiji se podaci obrađuju.

(34a)  Svako ograničavanje prava osobe čiji se podaci obrađuju mora biti u skladu s Poveljom Europske unije o temeljnim pravima i Europskom konvencijom o zaštiti ljudskih prava, pojašnjenima sudskom praksom Suda Europske unije i Europskog suda za ljudska prava, a njime se posebno mora poštovati bit prava i sloboda. [Am. 26]

(35)  Ako su države članice usvojile zakonodavne mjere kojima potpuno ili djelomično ograničavaju pravo na pristup, osoba čiji se podaci obrađuju trebala bi imati pravo zatražiti od nadležnog nacionalnog nadzornog tijela da provjeri zakonitost obrade. Osoba čiji se podaci obrađuju trebala bi biti obaviještena o tome pravu. Kada nadzorno tijelo ostvaruje pristup u ime osobe čiji se podaci obrađuju, trebalo bi obavijestiti osobu čiji se podaci obrađuju barem o tome da je poduzelo sve neophodne provjere te joj priopćiti ishod glede zakonitosti predmetne obrade. Nadzorno bi tijelo također trebalo obavijestiti osobu čiji se podaci obrađuju o njezinu pravu na pravni lijek. [Am. 27]

(36)  Svaka osoba trebala bi imati pravo na ispravak netočnih ili nezakonito obrađenih osobnih podataka o sebi i pravo na njihovo brisanje kada obrada takvih podataka nije u skladu s temeljnim načelima odredbama utvrđenima ovom Direktivom. O ispravku, dopunjavanju ili brisanju trebalo bi obavijestiti primatelje kojima su ti podaci otkriveni te treće strane od kojih potječu netočni podaci. Nadzornici te podatke također ne bi trebali prenositi dalje. Kada se osobne podatke obrađuje u okviru kaznene istrage i postupaka, ispravljanje, pravo na informiranje, pristup, brisanje i ograničavanje obrade mogu se provoditi primjenjivati u skladu s nacionalnim pravilima o sudskom postupanju o sudskim postupcima. [Am. 28]

(37)  Trebalo bi utvrditi sveobuhvatnu odgovornost nadzornika za svaku obradu osobnih podataka koju provodi nadzornik ili za obradu koja se provodi u njegovo ime. Nadzornik bi posebno trebao osigurati i biti obvezan moći dokazati usklađenost svakog postupka obrade s pravilima usvojenima u skladu s ovom Direktivom. [Am. 29]

(38)  Zaštita prava i sloboda osoba čiji se podaci obrađuju pri obradi osobnih podataka zahtijeva poduzimanje odgovarajućih tehničkih i organizacijskih mjera kako bi se osiguralo ispunjavanje zahtjeva ove Direktive. Kako bi se osigurala usklađenost s odredbama usvojenima u skladu s ovom Direktivom, nadzornik bi trebao usvojiti politike i provoditi odgovarajuće mjere koje posebno ispunjavaju načela zaštite podataka pomoću tehnike i integrirane zaštite.

(39)  Zaštita prava i sloboda osoba čiji se podaci obrađuju kao i odgovornost nadzornika i obrađivača zahtijevaju jasnu raspodjelu odgovornosti u okviru ove Direktiveskladu s ovom Direktivom, uključujući i slučaj kada nadzornik utvrđuje svrhe, uvjete i sredstva obrade zajedno s ostalim nadzornicima ili kada se postupak obrade provodi u ime nadzornika. Osoba čiji se podaci obrađuju trebala bi imati pravo ostvariti svoja prava iz ove Direktive u odnosu na svakog zajedničkog nadzornika i protiv njega. [Am. 30]

(40)  Aktivnosti obrade trebao bi dokumentirati nadzornik ili obrađivač kako bi se nadzirala usklađenost postupka s ovom Direktivom. Svaki nadzornik i obrađivač trebali bi biti obvezni surađivati s nadzornim tijelom i na zahtjev dostaviti ovu dokumentaciju kako bi mogla poslužiti za nadzor postupaka obrade.

(40a)  Svaki postupak obrade osobnih podataka trebalo bi evidentirati kako bi se omogućili provjera zakonitosti obrade i samonadzor te osigurala odgovarajuća cjelovitost i sigurnost podataka. Tu bi evidenciju na zahtjev trebalo staviti na raspolaganje nadzornom tijelu radi praćenja usklađenosti s pravilima utvrđenima ovom Direktivom. [Am. 31]

(40b)  Nadzornik ili obrađivač trebao bi izvršiti procjenu učinka zaštite podataka ako je vjerojatno da postupci obrade zbog svoje prirode, opsega ili svrhe predstavljaju poseban rizik za prava i slobode osoba čiji se podaci obrađuju, a ta bi procjena posebno trebala uključivati predviđene mjere, jamstva i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje usklađenosti s ovom Direktivom. Procjene učinka trebale bi se odnositi na relevantne sustave i procese obrade osobnih podataka, ali ne na pojedinačne slučajeve. [Am. 32]

(41)  Kako bi se preventivnim mjerama osigurala učinkovita zaštita prava i sloboda osoba čiji se podaci obrađuju, u određenim bi se slučajevima nadzornik ili obrađivač trebao prije postupka obrade konzultirati s nadzornim tijelom. Osim toga, kad procjena učinka zaštite podataka pokazuje da postupci obrade mogu predstavljati visok stupanj određenih rizika za prava i slobode osoba čiji se podaci obrađuju, nadzorno tijelo trebalo bi prije početka postupka moći spriječiti riskantnu obradu koja nije u skladu s ovom Direktivom te dati prijedloge za rješavanje takve situacije. Takvo savjetovanje može se provesti tijekom pripreme zakonodavne mjere nacionalnog parlamenta ili mjere koja se temelji na takvoj zakonodavnoj mjeri i kojom se utvrđuje priroda obrade te predviđaju odgovarajuće mjere zaštite. [Am. 33]

(41a)  Kako bi se očuvala sigurnost i spriječila obrada kojom se krši ova Direktiva, nadzornik ili obrađivač trebali bi procijeniti rizike povezane s obradom i provesti mjere za njihovo ublažavanje. Tim bi se mjerama trebala osigurati odgovarajuća razina sigurnosti, uzimajući u obzir razvoj tehnologije i troškove njihove provedbe u odnosu na rizike i vrstu osobnih podataka koji se trebaju zaštititi. Pri utvrđivanju tehničkih standarda i organizacijskih mjera za osiguravanje sigurnosti obrade trebalo bi promicati tehnološku neutralnost. [Am. 34]

(42)  Povreda osobnih podataka može, ako se ne rješava pravovremeno i na odgovarajući način, rezultirati štetom te također povredom ugleda dotičnog pojedinca. dotičnom pojedincu prouzročiti znatan gospodarski gubitak i društvenu štetu, uključujući i zlouporabu identiteta. Stoga, čim nadzornik uoči da je takva povreda nastala, trebao bi je prijaviti nadležnom nacionalnom tijelu. Pojedince čije osobne podatke ili privatnost takva povreda može ugroziti trebalo bi bez nepotrebnog odgađanja obavijestiti kako bi im se omogućilo poduzimanje neophodnih mjera opreza. Povredu bi trebalo smatrati štetnom za osobne podatke ili privatnost pojedinca u slučajevima kada primjerice može rezultirati krađom identiteta ili prijevarom, fizičkom povredom, velikim poniženjem ili povredom ugleda u vezi s obradom osobnih podataka. Obavijest bi trebala sadržavati informacije o mjerama koje poduzima pružatelj radi rješavanja pitanja povrede te preporuke za dotičnog pretplatnika ili pojedinca. Osobu čiji se podaci obrađuju trebalo bi obavijestiti što je prije moguće, u tijesnoj suradnji s nadzornim tijelom i pridržavajući se smjernica koje je ono izdalo. [Am. 35]

(43)  Pri uspostavljanju detaljnih pravila o formatu i postupcima primjenjivima na prijave povreda osobnih podataka, dužnu pozornost trebalo bi pridati okolnostima povrede te također tome jesu li osobni podaci bili zaštićeni odgovarajućim mjerama tehničke zaštite kojima se učinkovito ograničava vjerojatnost zlouporabe. Povrh toga, takva pravila i postupci trebali bi uzeti u obzir legitimne interese nadležnih tijela u slučajevima kada rano otkrivanje može nepotrebno ometati istragu o okolnostima povrede.

(44)  Nadzornik ili obrađivač trebao bi odrediti osobu koja će pomagati nadzorniku ili obrađivaču pri nadziranju i dokazivanju usklađenosti s odredbama donesenima u skladu s ovom Direktivom. Ako nekoliko nadležnih tijela djeluje pod nadzorom središnjeg tijela, službenika za zaštitu podataka može zajednički trebalo bi imenovati barem to središnje tijelo. nekoliko subjekata nadležnog tijela. Službenici za zaštitu podataka moraju biti u stanju položaju obavljati svoje dužnosti i zadatke neovisno i učinkovito, posebno uspostavom pravila kojima se izbjegava sukob interesa u odnosu na druge zadatke koje obavlja službenik za zaštitu podataka. [Am. 36]

(45)  Države članice trebale bi osigurati da se prijenos podataka u treće zemlje neku treću zemlju provodi samo ako je taj konkretni prijenos neophodan za sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija te da ako je nadzornik u toj trećoj zemlji ili međunarodnoj organizaciji javno tijelo koje je nadležno u smislu ove Direktive. Prijenos podataka može se provoditi u slučajevima kada je Komisija utvrdila da dotična treća zemlja ili međunarodna organizacija jamči odgovarajuću razinu zaštite ili nakon što su pružene odgovarajuće mjere zaštite ili ako su pravno obvezujućim instrumentom osigurane odgovarajuće mjere zaštite. Podatke prenesene nadležnim javnim tijelima u trećim zemljama ne bi trebalo dalje obrađivati u svrhu drugačiju od one u koju su preneseni. [Am. 37]

(45a)  Daljnji prijenos od nadležnih tijela u trećim zemljama ili međunarodnih organizacija kojima su osobni podaci preneseni trebao bi biti dopušten samo ako je nužan za istu određenu svrhu kao i prvotni prijenos te ako je drugi primatelj također nadležno javno tijelo. Daljnji prijenos ne bi trebao biti dopušten za potrebe opće provedbe zakona. Nadležno tijelo koje je obavilo izvorni prijenos trebalo bi pristati na daljnji prijenos. [Am. 38]

(46)  Komisija može odlučiti s učinkom na cijelu Uniju da određene treće zemlje ili teritorij ili područje na kojemu se provodi obrada u trećoj zemlji, ili međunarodna organizacija pruži odgovarajuću razinu zaštite podataka a time i pravnu sigurnost te ujednačenost u cijeloj Uniji kad je riječ o trećim zemljama ili međunarodnim organizacijama za koje se smatra da pružaju takvu razinu zaštite. U takvim se slučajevima prijenosi osobnih podataka u ove zemlje mogu provesti bez prethodnog ishođenja bilo kakvog dodatnog odobrenja.

(47)  U skladu s temeljnim vrijednostima na kojima počiva Unija, posebno zaštitom ljudskih prava, Komisija bi trebala uzimati u obzir na kakav se način se u toj trećoj zemlji poštuju vladavina prava, pristup pravosuđu te međunarodne norme i standardi o ljudskim pravima.

(48)  Komisija bi isto tako trebala moći prepoznati kada treća zemlja ili teritorij ili područje na kojem se provodi obrada u toj trećoj zemlji ili međunarodna organizacija ne pruža odgovarajuću razinu zaštite podataka. Prijenos osobnih podataka u tu treću zemlju tada bi trebalo zabraniti osim kada se temelji na međunarodnom sporazumu, odgovarajućim mjerama zaštite ili odstupanju. Trebalo bi predvidjeti postupke savjetovanja između Komisije i takvih trećih zemalja ili međunarodnih organizacija. No takva odluka Komisije ne dovodi u pitanje mogućnost obavljanja prijenosa pravno obvezujućim instrumentima na temelju odgovarajućih mjera zaštite ili na temelju odstupanja utvrđenoga ovom Direktivom. [Am. 39]

(49)  Prijenose koji se ne temelje na takvoj odluci o primjerenosti trebalo bi odobriti samo u slučajevima kada su pravno obvezujućim instrumentom osigurane odgovarajuće mjere zaštite koje jamče zaštitu osobnih podataka ili u slučajevima kada je nadzornik ili obrađivač procijenio sve okolnosti vezane uz postupak prijenosa podataka ili postupke prijenosa skupa podataka i na temelju ove procjene smatra da postoje odgovarajuće mjere zaštite u vezi sa zaštitom kojima se jamči zaštita osobnih podataka. U slučajevima kada ne postoje razlozi za odobravanje prijenosa, trebalo bi prema potrebi omogućiti odstupanja kako bi se zaštitili vitalni interesi osobe čiji se podaci obrađuju ili druge osobe, ili kako bi se zaštitili legitimni interesi osobe čiji se podaci obrađuju kada je pravom države članice koja obavlja prijenos osobnih podataka tako predviđeno, ili kada je to neophodno za sprečavanje neposredne i ozbiljne prijetnje javnoj sigurnosti države članice ili treće zemlje, ili u pojedinim slučajevima u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija, ili u pojedinim slučajevima radi uspostavljanja, izvršavanja ili obrane pravnih zahtjeva. [Am. 40]

(49a)  U slučajevima kada ne postoje razlozi za odobravanje prijenosa, trebalo bi prema potrebi omogućiti odstupanja kako bi se zaštitili vitalni interesi osobe čiji se podaci obrađuju ili druge osobe, ili kako bi se zaštitili legitimni interesi osobe čiji se podaci obrađuju kada je pravom države članice koja obavlja prijenos osobnih podataka tako predviđeno, ili kada je to neophodno za sprečavanje neposredne i ozbiljne prijetnje javnoj sigurnosti države članice ili treće zemlje, ili u pojedinim slučajevima u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija, ili u pojedinim slučajevima radi uspostavljanja, izvršavanja ili obrane pravnih zahtjeva. Ta bi se odstupanja trebala tumačiti ograničeno i ne bi trebala omogućiti česte, opsežne i strukturne prijenose osobnih podataka ni masovne prijenose podataka koji bi trebali biti ograničeni na podatke koji su nužno potrebni. Osim toga, odluku o prijenosu trebala bi donijeti propisno ovlaštena osoba i taj se prijenos mora dokumentirati te bi na zahtjev trebao biti stavljen na raspolaganje nadzornom tijelu radi praćenja zakonitosti prijenosa. [Am. 41

]

(50)  Prekogranično kretanje osobnih podataka može dodatno ugroziti sposobnost pojedinaca da ostvaruju prava na zaštitu podataka kako bi se zaštitili od nezakonitog korištenja ili otkrivanja tih podataka. Nadzorne vlasti istodobno mogu ustanoviti da nisu u mogućnosti obrađivati žalbe ili provoditi istrage vezane uz aktivnosti izvan svojih granica. Nedovoljne ovlasti za sprečavanje i preinaku i neusklađeni pravni režimi mogu također otežati njihova nastojanja ostvarivanja suradnje u prekograničnom kontekstu. Stoga postoji potreba za promicanjem bliskije suradnje među nadzornim tijelima za zaštitu podataka, što bi im pomoglo u razmjeni informacija s nadzornim tijelima za zaštitu podataka u inozemstvu.

(51)  Uspostava nadzornih tijela u državama članicama koja potpuno samostalno provode svoje funkcije ključna je sastavnica zaštite pojedinaca pri obradi njihovih osobnih podataka. Nadzorna bi tijela trebala nadzirati primjenu odredaba u skladu s ovom Direktivom i pridonositi njezinoj dosljednoj primjeni u cijeloj Uniji kako bi zaštitila fizičke osobe pri obradi njihovih osobnih podataka. U tu bi svrhu nadzorna tijela trebala surađivati jedna s drugimai s Komisijom. [Am. 42]

(52)  Nadzornome tijelu koje je u okviru Uredbe (EU).../2012 već uspostavljeno u državama članicama, države članice mogu povjeriti nadležnost za zadatke koje trebaju provoditi nacionalna nadzorna tijela koja treba uspostaviti u skladu s ovom Direktivom.

(53)  Državama članicama trebalo bi odobriti uspostavljanje više od jednoga nadzornoga tijela, što bi odražavalo njihovu ustavnu, organizacijsku i administrativnu strukturu. Svakom nadzornom tijelu trebalo bi omogućiti odgovarajuće financijske i ljudske resurse, prostor i infrastrukturu, uključujući tehničke mogućnosti, iskustvo i vještine, koji su neophodni za učinkovito obavljanje njihovih zadataka, uključujući i zadatke vezane uz međusobnu pomoć i suradnju s ostalim nadzornim tijelima u cijeloj Uniji. [Am. 43]

(54)  Opći uvjeti za članove nadzornoga tijela trebali bi biti utvrđeni pravom u svakoj državi članici i njima bi posebno trebalo predvidjeti da te članove imenuje ili parlament ili, na temelju savjetovanja s parlamentom, vlada dotične države članice te bi trebali obuhvaćati pravila o osobnim kvalifikacijama članova i njihovu položaju. [Am. 44]

(55)  Premda se ova Direktiva također primjenjuje na aktivnosti nacionalnih sudova, nadležnost nadzornih tijela ne bi trebala pokrivati obradu osobnih podataka kada sudovi djeluju u okviru svoje sudske nadležnosti kako bi se zaštitila neovisnost sudaca u provođenju njihovih pravosudnih zadataka. No ovo izuzeće trebalo bi ograničiti na izvorne pravosudne aktivnosti u sudskim postupcima i ne primjenjivati ga na ostale aktivnosti u koje bi se suci u skladu s nacionalnim pravom mogli uključiti.

(56)  Kako bi osigurala usklađeno praćenje i provedbu ove Direktive u cijeloj Uniji, nadzorna bi tijela trebala imati iste dužnosti i učinkovite ovlasti u svakoj državi članici, uključujući učinkovite istražne ovlasti, ovlast za pristup svim osobnim podacima i svim informacijama potrebnima za obavljanje svake nadzorne funkcije, ovlast za pristup svim prostorijama nadzornika ili obrađivača podataka, uključujući ovlast za obradu podataka, ovlast obavljanja pravno obvezujuće intervencije, donošenja odluka i sankcija, posebno u slučaju žalbi pojedinaca, te ovlasti uključivanja u pravne postupke. [Am. 45]

(57)  Svako nadzorno tijelo trebalo bi razmotriti žalbe koje uloži bilo koja osoba čiji se podaci obrađuju i istražiti slučaj. Istragu pokrenutu na temelju žalbe, koja podliježe sudskom preispitivanju, trebalo bi provesti u mjeri koja je za određeni slučaj primjerena. Nadzorno tijelo trebalo bi obavijestiti osobu čiji se podaci obrađuju o tijeku i ishodu žalbe u razumnome roku. Ako slučaj zahtijeva daljnju istragu ili usklađivanje s drugim nadzornim tijelom, osobi čiji se podaci obrađuju trebalo bi pružiti informacije o trenutačnom stanju.

(58)  Nadzorna tijela trebala bi si međusobno pomagati u obavljanju svojih dužnosti i pružati si međusobnu pomoć kako bi zajamčila usklađenu primjenu i provedbu odredaba usvojenih u skladu s ovom Direktivom. Svako nadzorno tijelo trebalo bi biti spremno sudjelovati u zajedničkim operacijama. Nadzorno tijelo kojemu je upućen zahtjev trebalo bi biti dužno odgovoriti na njega u utvrđenom roku. [Am. 46]

(59)  Europski odbor za zaštitu podataka uspostavljen Uredbom (EU).../20122014 trebao bi pridonositi usklađenoj primjeni ove Direktive u cijeloj Uniji, a usto i savjetovati Komusiju i institucije Unije, promicati suradnju među nadzornim tijelima u cijeloj Uniji te davati mišljenje Komisiji prilikom pripreme delegiranih i provedbenih akata koji se temelje na ovoj Direktivi. [Am. 47]

(60)  Svaka osoba čiji se podaci obrađuju trebala bi imati pravo uložiti žalbu nadzornome tijelu u bilo kojoj državi članici te pravo na pravni lijek ako smatra da su joj prava prema ovoj Direktivi povrijeđena ili u slučaju kada nadzorno tijelo ne reagira na žalbu ili ne djeluje kada je takvo djelovanje neophodno za zaštitu prava osobe čiji se podaci obrađuju.

(61)  Svako tijelo, organizacija ili udruga kojoj je cilj zaštiti prava i interese osoba čiji se podaci obrađuju s obzirom na zaštitu njihovih podataka te je osnovana Sva tijela, organizacije ili udruge koji djeluju u javnom interesu te su osnovani u skladu s pravom države članice trebali bi imati pravo uložiti žalbu ili ostvariti pravo na pravni lijek u ime osoba čiji se podaci obrađuju ako su ih te osobe propisno ovlastile, ili bi trebali imati pravo, neovisno o žalbi osobe čiji se podaci obrađuju, uložiti vlastitu žalbu ako smatraju da je došlo do povrede osobnih podataka. [Am. 48]

(62)  Svaka fizička ili pravna osoba trebala bi imati pravo na pravni lijek protiv odluka nadzornoga tijela koje se na nju odnose. Postupke protiv nadzornoga tijela trebalo bi pokretati pred sudovima država članica u kojima je to nadzorno tijelo uspostavljeno.

(63)  Države članice trebale bi osigurati da sudski postupci, kako bi bili učinkoviti, omoguće brzo donošenje mjera za otklanjanje ili sprečavanje povrede ove Direktive.

(64)  Svaku štetu, uključujući nenovčanu štetu, koju osoba može pretrpjeti kao rezultat nezakonite obrade trebao bi nadoknaditi nadzornik ili obrađivač, kojega se može izuzeti od odgovornosti ako dokaže da nije odgovoran za štetu, a posebno ako utvrdi pogrešku osobe čiji se podaci obrađuju ili u slučaju više sile. [Am. 49]

(65)  Sankcije bi trebalo nametnuti svakoj fizičkoj ili pravnoj osobi, neovisno o tome podliježe li privatnom ili javnom pravu, koja se ne pridržava ove Direktive. Države članice trebale bi zajamčiti učinkovite, proporcionalne i destimulirajuće sankcije i moraju poduzeti sve mjere za njihovu provedbu.

(65a)  Prijenos osobnih podataka drugim tijelima ili privatnim stranama u Uniji je zabranjen osim ako je u skladu sa zakonom, ako primatelj ima poslovni nastan u nekoj državi članici, ako ga ni jedan legitimni posebni interes osobe čiji se podaci obrađuju ne sprečava te ako je u određenom slučaju taj prijenos nužno potreban nadzorniku koji prenosi podatke radi obavljanja zadatka koji mu je zakonom dodijeljen ili sprečavanja neposredne i ozbiljne prijetnje javnoj sigurnosti ili sprečavanja ozbiljne povrede prava pojedinaca. Nadzornik bi trebao obavijestiti primatelja o svrsi obrade, a nadzorno tijelo o prijenosu. Primatelj bi također trebao biti obaviješten o ograničenjima pri obradi te osigurati da se ona poštuju. [Am. 50]

(66)  Kako bi se ostvarili ciljevi iz ove Direktive, odnosno zaštitila temeljna ljudska prava i slobode fizičkih osoba, posebno njihovo pravo na zaštitu osobnih podataka, te kako bi se osigurala slobodna razmjena osobnih podataka među nadležnim tijelima unutar Unije, trebalo bi na Komisiju prenijeti ovlast donošenja akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije. Delegirane akte ponajprije bi trebalo donositi na temelju obavijesti nadzornome tijelu o povredi osobnih podataka. trebalo bi donijeti osobito kako bi se dodatno definirali kriteriji i uvjeti postupaka obrade za koje je potrebna procjena učinka zaštite podataka, kriteriji i uvjeti povrede podataka te oni koji se odnose na odgovarajuću razinu zaštite koju osigurava treća zemlja ili teritorij ili sektor na kojemu se vrši obrada u toj trećoj zemlji ili međunarodna organizacija. Posebno je Osobito važno da Komisija tijekom svog pripremnog pripremnoga rada provede odgovarajuća savjetovanja, također uključujući i ona na stručnoj razini, naročito s Europskim odborom za zaštitu podataka. . Kod pripremanja i sastavljanja delegiranih akata Komisija bi trebala osigurati istodobnu, pravovremenu i primjerenu dostavu relevantnih dokumenata Europskom parlamentu i Vijeću. [Am. 51]

(67)  Kako bi se osigurali jedinstveni uvjeti provedbe ove Direktive kad je riječ o dokumentaciji od strane nadzornika i obrađivača, u pogledu sigurnosti obrade, osobito vezane uz standarde u pogledu standarda šifriranja, obavještavanju i obavještavanja nadzornog tijela o povredi osobnih podataka nadzornome tijelu i odgovarajućoj razini zaštite osiguranoj od strane treće zemlje ili teritorija ili područja na kojemu se obrada unutar te treće zemlje provodi, ili međunarodne organizacije, , provedbene ovlasti provedbe trebalo bi povjeriti dodijeliti Komisiji. Te bi se ovlasti trebalo bi provoditi trebale izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. kojom se utvrđuju pravila i opća načela vezana uz mehanizme kojima države članice nadziru provedbu izvršnih ovlasti od strane Komisije(6). [Am. 52]

(68)  Postupak ispitivanja trebalo bi primjenjivati za donošenje mjera u pogledu sigurnosti obrade i obavještavanja vezanih uz dokumentaciju nadzornika i obrađivača, sigurnost obrade, obavještavanje nadzornog tijela o povredi osobnih podataka , pod uvjetom da nadzornome tijelu, odgovarajuću razinu zaštite osiguranu od strane treće zemlje ili teritorija ili područja na kojemu se obrada unutar te treće zemlje provodi, ili međunarodne organizacije ako su ti akti općeg opsega imaju opće područje primjene. [Am. 53]

(69)  Komisija bi trebala prihvatiti provedbene akte koji se mogu odmah primijeniti ako za to postoje hitni razlozi, kada u propisno opravdanim slučajevima treća zemlja ili teritorij ili područje na kojemu se u toj trećoj zemlji provodi obrada, ili međunarodna organizacija ne jamči odgovarajuću razinu zaštite. [Am. 54]

(70)  Budući da države članice ne mogu u dostatnoj mjeri ostvariti ciljeve ove Direktive, a to su zaštita temeljnih prava i sloboda fizičkih osoba, posebno njihova prava na zaštitu osobnih podataka i osiguranje slobodne razmjene osobnih podataka među nadležnim tijelima unutar Unije, nego se zbog opsega i učinka djelovanja mogu bolje ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti kao što je utvrđeno člankom 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti iz navedenoga članka kao što je utvrđeno tim člankom, ova Direktiva ne prelazi okvire onog granice onoga što je neophodno kako bi ostvarila taj cilj potrebno za ostvarivanje tih ciljeva. Države članice mogu osigurati više standarde od onih koji su utvrđeni ovom Direktivom. [Am. 55]

(71)  Okvirnu bi se odluku 2008/977/JHA ovom Direktivom trebalo staviti izvan snage.

(72)  Posebne odredbe u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija u aktima Unije usvojenima prije datuma donošenja ove Direktive, kojima se uređuje obrada osobnih podataka među državama članicama ili pristup imenovanih tijela država članica informacijskim sustavima uspostavljenima u skladu s Ugovorima, trebale bi ostati nepromijenjene. Budući da se člankom 8. Povelje i člankom 16. UFEU-a predviđa da bi temeljno pravo na zaštitu osobnih podataka trebalo osigurati na dosljedan i homogen način diljem Unije, Komisija bi u roku od dvije godine nakon stupanja na snagu ove Direktive trebala procijeniti situaciju na području odnosa između ove Direktive i akata donesenih prije datuma njezina donošenja kojima se uređuje obrada osobnih podataka među državama članicama ili pristup imenovanih tijela država članica informacijskim sustavima uspostavljenima u skladu s Ugovorima te bi trebala dati odgovarajuće prijedloge u cilju osiguravanja dosljednih i homogenih pravnih propisa koji se odnose na obradu osobnih podataka u nadležnim tijelima ili pristup imenovanih tijela država članica informacijskim sustavima uspostavljenima u skladu s Ugovorima te obradu osobnih podataka od strane institucija, tijela, ureda i agencija Unije za potrebe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija u okviru područja primjene ove Direktive. kako bi ocijenila potrebu za usklađivanjem tih posebnih odredaba s ovom Direktivom. [Am. 56]

(73)  Kako bi se osigurala sveobuhvatna i usklađena zaštita osobnih podataka u Uniji, međunarodne sporazume koje su Unija ili države članice sklopile prije stupanja na snagu ove Direktive trebalo bi izmijeniti u skladu s ovom Direktivom. [Am. 57]

(74)  Ova Direktiva ne dovodi u pitanje pravila o suzbijanju seksualnog zlostavljanja i iskorištavanja djece te dječje pornografije, kao što je utvrđeno Direktivom 2011/93/EU Europskog parlamenta i Vijeća.(7)

(75)  U skladu s člankom 6.a Protokola br.21 o stajalištu Ujedinjene Kraljevine i Irske s obzirom na područje slobode, sigurnosti i pravde, priloženog uz Ugovor o Europskoj uniji i Ugovor o funkcioniranju Europske unije, Ujedinjenu Kraljevinu i Irsku ne obvezuju pravila utvrđena ovom Direktivom ako Ujedinjenu Kraljevinu i Irsku ne obvezuju pravila koja uređuju oblike pravosudne suradnje u kaznenim stvarima ili policijske suradnje za koje se traži usklađenost s odredbama utvrđenima na temelju članka 16. Ugovora o funkcioniranju Europske unije.

(76)  U skladu s člancima 2. i 2.a Protokola br. 22 o stajalištu Danske, priloženog Ugovoru o Europskoj uniji i Ugovoru o funkcioniranju Europske unije, za Dansku ova Direktiva nije obvezujuća niti se ona na nju primjenjuje. S obzirom na to da ova Direktiva predstavlja daljnji razvoj šengenske pravne stečevine, u skladu s glavom V. trećeg dijela Ugovora o funkcioniranju Europske unije, Danska, u skladu s člankom 4. toga Protokola, u roku od šest mjeseci nakon donošenja ove Direktive odlučuje hoće li je prenijeti u svoje nacionalno pravo. [Am. 58]

(77)  Kad je u riječ o Islandu i Norveškoj, ova Direktiva predstavlja razvoj odredaba šengenske pravne stečevine u smislu Sporazuma između Vijeća Europske Unije te Republike Islanda i Kraljevine Norveške o njihovom pridruživanju provedbi, primjeni i razvoju šengenske pravne stečevine(8).

(78)  Kad je u riječ o Švicarskoj, ova Direktiva predstavlja razvoj odredaba šengenske pravne stečevine u smislu Sporazuma između Europske Unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju šengenske pravne stečevine(9).

(79)  Kad je riječ o Lihtenštajnu, ova Direktiva predstavlja razvoj odredaba šengenske pravne stečevine u smislu Protokola koji je sklopljen između Europske unije, Europske zajednice, Švicarske Konfederacije i Kneževine Lihtenštajn o priključivanju Kneževine Lihtenštajna Sporazumu između Europske unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju šengenske pravne stečevine(10).

(80)  Ova Direktiva poštuje temeljna prava i uvažava načela priznata Poveljom, kao što je navedeno u Ugovoru, a riječ je o pravu na poštovanje privatnog i obiteljskog života, pravu na zaštitu osobnih podataka, učinkovit pravni lijek i pravično suđenje. Ograničenja ovih prava u skladu su s člankom 52. stavkom 1. Povelje jer su nužna za ostvarivanje ciljeva od općeg interesa priznatih od strane Unije ili potrebe za zaštitom prava i sloboda drugih.

(81)  U skladu sa Zajedničkom političkom deklaracijom od 28. rujna 2011. država članica i Komisije o obrazloženjima(11) u opravdanim se slučajevima države članice pridružuju obavještavanju o svojim mjerama za prijenos s pomoću jednoga ili više dokumenata, kojima se objašnjava odnos između sastavnih dijelova Direktive i odgovarajućih dijelova nacionalnih instrumenata za prijenos. Uzimajući u obzir ovu Direktivu zakonodavac drži da je prijenos takvih dokumenata opravdan.

(82)  Ova Direktiva ne bi trebala sprečavati države članice da u nacionalne propise o kaznenom postupku uvode ostvarivanje prava osoba čiji se podaci obrađuju na informacije, pristup, ispravljanje, brisanje i ograničavanje svojih osobnih podataka obrađivanih tijekom kaznenih postupaka, kao i moguća ograničenja tih prava,

DONIJELI SU OVU DIREKTIVU:

POGLAVLJE I.

OPĆE ODREDBE

Članak 1.

Predmet i ciljevi

1.  Ovom Direktivom utvrđuju se pravila o zaštiti pojedinaca pri obradi osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela i izvršavanja kaznenopravnih sankcija te uvjeti slobodnog protoka takvih osobnih podataka. [Am. 59]

2.  U skladu s ovom Direktivom države članice:

(a)  štite temeljna prava i slobode fizičkih osoba, a posebno njihovo pravo na zaštitu osobnih podataka i privatnosti; te

(b)  osiguravaju da se razmjena osobnih podataka među nadležnim tijelima unutar Unije ne ograniči niti zabrani iz razloga povezanih sa zaštitom pojedinaca pri obradi osobnih podataka.

2a.  Ova Direktiva ne sprečava države članice u tome da osiguraju bolje zaštitne mehanizme od onih koji su utvrđeni ovom Direktivom. [Am. 59]

Članak 2.

Područje primjene

1.  Ova Direktiva primjenjuje se na obradu osobnih podataka od strane nadležnih tijela u svrhe navedene u članku 1. stavku 1.

2.  Ova Direktiva primjenjuje se na obradu osobnih podataka koji se u cijelosti ili djelomično obrađuju automatski te na neautomatsku obradu osobnih podataka koji čine dio sustava podataka ili će činiti dio sustava podataka.

3.  Ova Direktiva ne primjenjuje se na obradu osobnih podataka:

(a)  u okviru aktivnosti koja je izvan područja primjene zakonodavstva Unije, a posebno u vezi s nacionalnom sigurnošću;

(b)  od strane institucija, tijela, ureda i agencija Unije. [Am. 60]

Članak 3.

Definicije

U smislu ove Direktive:

(1)  „osoba čiji se podaci obrađuju” znači identificirana fizička osoba ili fizička osoba koju se može izravno ili neizravno identificirati sredstvima koja bi mogao koristiti nadzornik ili bilo koja druga fizička ili pravna osoba, posebno navođenjem identifikacijskog broja, podataka o lokaciji, mrežnih identifikatora ili jednog ili više čimbenika značajnih za tjelesni, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet te osobe;

(2)  „osobni podaci” znači bilo koji podaci koji se odnose na fizičku osobu koja je identificirana ili ju je moguće identificirati („osoba čiji se podaci obrađuju”); osoba koju je moguće identificirati je osoba koju je moguće izravno ili neizravno identificirati, osobito pozivanjem na identifikator poput imena, identifikacijskog broja, podataka o lokaciji, jedinstvenog identifikatora ili na jedan ili više činitelja specifičnih za fizički, fiziološki, genetski, mentalni, gospodarski, kulturni, društveni ili rodni identitet te osobe;

(2a)  „pseudonimni podaci” znači osobni podaci koji se ne mogu povezati s određenom osobom čiji se podaci obrađuju bez korištenja dodatnih informacija dok god se takve dodatne informacije čuvaju odvojeno i dok su podložne tehničkim i organizacijskim mjerama za osiguravanje nepovezivanja;

(3)  „obrada” znači bilo koji postupak ili skup postupaka koji se provode nad osobnim podacima ili skupom osobnih podataka, bilo automatskim putem ili ne, kao što je prikupljanje, bilježenje, organiziranje, strukturiranje, pohrana, prilagođavanje ili mijenjanje, vraćanje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenje ili stavljanje na raspolaganje na drugi način, poravnavanje ili kombiniranje, zatim ograničavanje, brisanje ili uništavanje;

(3a)  „profiliranje” znači bilo koji oblik automatizirane obrade osobnih podataka radi procjene određenih osobnih karakteristika fizičke osobe ili radi analize ili predviđanja posebice u vezi s radnim učinkom te fizičke osobe, financijskom situacijom, lokacijom, zdravljem, osobnim sklonostima, pouzdanošću ili ponašanjem;

(4)  „ograničavanje obrade” znači obilježavanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti;

(5)  „sustav podataka” znači bilo koji strukturirani skup osobnih podataka koji su dostupni prema posebnim mjerilima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

(6)  „nadzornik” znači nadležno javno tijelo koje samo ili zajedno s drugima utvrđuje svrhu, uvjete i načine obrade osobnih podataka; ako su svrha, uvjeti i načini obrade utvrđeni zakonodavstvom Unije ili zakonodavstvom države članice, imenovanje nadzornika ili posebna mjerila za njegovo imenovanje mogu se utvrditi zakonodavstvom Unije ili zakonodavstvom države članice;

(7)  „obrađivač” znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo koje obrađuje osobne podatke u ime nadzornika;

(8)  „primatelj” znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo kojem se otkrivaju osobni podaci;

(9)  „povreda osobnih podataka” znači slučajno ili nezakonito uništavanje, gubitak, izmjena, neovlašteno otkrivanje kršenje sigurnosti uslijed kojeg dolazi do slučajnog ili nezakonitog uništavanja, gubitka, izmjene, neovlaštenog otkrivanja podataka ili dopuštenje pristupa osobnim podacima koji se prenose, pohranjuju ili obrađuju na bilo koji način;

(10)  „genetski podaci” znači svi podaci bilo koje vrste koji se odnose na osobine pojedinca koje se nasljeđuju ili stječu tijekom ranog prenatalnog razvoja;

(11)  „biometrijski podaci” znači bilo koji osobni podaci koji se odnose na tjelesne ili fiziološke osobine pojedinca ili na osobine vezane uz ponašanje, a koje omogućuju jedinstvenu identifikaciju, poput slika lica ili daktiloskopskih podataka;

(12)  „podaci o zdravstvenom stanju” znači bilo koji osobni podatak koji se odnosi na tjelesno ili duševno zdravlje pojedinca ili na pružanje zdravstvenih usluga pojedincu;

(13)  „dijete” znači svaka osoba mlađa od 18 godina;

(14)  „nadležna tijela” znači svako javno tijelo nadležno za sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija;

(15)  „nadzorno tijelo” znači javno tijelo koje je osnovala država članica u skladu s člankom 39. [Am. 61]

POGLAVLJE II.

NAČELA

Članak 4.

Načela obrade osobnih podataka

Države članice osiguravaju da osobni podaci moraju:

(a)  biti obrađeni pošteno i u skladu sa zakonom, pošteno, transparentno i na provjerljiv način u odnosu na osobu čiji se podaci obrađuju;

(b)  biti prikupljeni u posebne, izričite i zakonite svrhe te da ih se dalje ne obrađuje na način koji bi bio nespojiv s tim svrhama;

(c)  biti primjereni relevantni te ne smiju biti pretjerani, relevantni i ograničeni na nužni minimum u odnosu na svrhu radi koje se obrađuju biti obrađeni samo i dok god se ta svrha ne može ispuniti obradom informacija koje ne uključuju osobne podatke;

(d)  biti točni i, po potrebi, ažurirani; potrebno je poduzeti sve razumne mjere kako bi se osobni podaci koji su netočni bez odgode izbrisali ili ispravili, uzimajući u obzir svrhu radi koje se obrađuju;

(e)  se čuvati u obliku koji omogućuje identifikaciju osoba čiji se podaci obrađuju, ne duže nego što je nužno u svrhe radi kojih se osobni podaci obrađuju;

(f)  se obrađivati uz odgovornost nadzornika koji mora osigurati osigurava i u stanju je dokazati postupanje u skladu s odredbama donesenima u skladu s ovom Direktivom.

(fa)  se obrađivati na način kojim se učinkovito omogućava osobi čiji se podaci obrađuju ostvarivanje njezinih prava opisanih u člancima od 10. do 17.;

(fb)  se obrađivati na način kojim se štite od neovlaštene i nezakonite obrade te od slučajnog gubitka, uništavanja ili oštećivanja primjenom odgovarajućih tehničkih ili organizacijskih mjera;

(fc)  ih obrađivati samo propisno ovlašteno osoblje nadležnih tijela kojemu su potrebni za obavljanje svojih zadataka. [Am. 62]

Članak 4.a

Pristup podacima prvobitno obrađenima u svrhe drugačije od onih navedenih u članku 1. stavku 1.

1.  Države članice osiguravaju da nadležna tijela mogu imati pristup osobnim podacima koji su prvobitno obrađeni u svrhe drugačije od onih navedenih u članku 1. stavku 1. samo ako su zato posebno ovlaštena zakonodavstvom Unije ili države članice koje mora zadovoljiti uvjete utvrđene u članku 7. stavku 1.a te moraju osigurati:

(a)  da je pristup dopušten samo propisno ovlaštenom osoblju nadležnih tijela pri obavljanju njihovih zadataka ako u određenom slučaju postoje opravdani razlozi vjerovati da će obrada osobnih podataka znatno doprinijeti sprečavanju, otkrivanju, istrazi i progonu kaznenih djela ili izvršavanju kaznenopravnih sankcija;

(b)  da zahtjev za pristup mora biti u pisanom obliku i da se mora pozivati na pravnu osnovu za zahtjev;

(c)  da pisani zahtjev mora biti dokumentiran te

(d)  da su primijenjeni zaštitni mehanizmi kako bi se osigurala zaštita temeljnih prava i sloboda u pogledu obrade osobnih podataka. Tim zaštitnim mehanizmima ne dovode se u pitanje posebni uvjeti pristupa osobnim podacima, kao što je sudsko ovlaštenje u skladu sa zakonodavstvom države članice, te se tim mehanizmima ti uvjeti dopunjuju.

2.  Osobnim podacima koje posjeduju privatne strane ili druga javna tijela pristupa se samo radi istrage ili progona kaznenih djela u skladu s uvjetima nužnosti i proporcionalnosti koji će se utvrditi zakonodavstvom Unije i koje će u okviru zakonodavstva države članice utvrditi svaka država članica, pri čemu će se u potpunosti poštovati članak 7.a.

Članak 4.b

Rokovi za pohranjivanje i reviziju

1.  Države članice osiguravaju da nadležna tijela brišu osobne podatke obrađene u skladu s ovom Direktivom ako više nisu potrebni u svrhu u koju su obrađeni.

2.  Države članice osiguravaju da nadležna tijela uspostave mehanizme kako bi se u skladu s člankom 4. osiguralo određivanje rokova za brisanje osobnih podataka i redovitu reviziju potrebe njihova pohranjivanja, uključujući točno utvrđivanje razdoblja pohranjivanja različitih kategorija osobnih podataka. Uspostavljaju se postupovne mjere kako bi se osiguralo poštovanje tih rokova ili razdoblja redovite revizije. [Am. 64]

Članak 5.

Različite kategorije Razlika između različitih kategorija osoba čiji se podaci obrađuju

1.  Države članice osiguravaju da, koliko je god to moguće, nadzornik napravi jasnu razliku između osobnih podataka nadležna tijela u svrhe navedene u članku 1. stavku 1. mogu obrađivati osobne podatke sljedećih različitih kategorija osoba čiji se podaci obrađuju, kao što sua nadzornik pravi jasnu razliku između tih kategorija:

(a)  osobe za koje postoje ozbiljni razumni razlozi vjerovati da su počinile ili će počiniti kazneno djelo;

(b)  osobe osuđene za kazneno djelo;

(c)  žrtve kaznenog djela ili osobe za koje određene činjenice daju razlog vjerovati da bi ta mogle biti žrtva kaznenog djela te

(d)  treće strane u kaznenim djelima, kao što su osobe koje se može pozvati da svjedoče u istragama vezanima uz kaznena djela ili naknadnom kaznenom postupku, osoba koja može dati informacije o kaznenim djelima ili kontakt osoba ili suradnik osobe iz stavaka (a) i (b); i

(e)  osobe koje se ne ubrajaju ni u jednu od gore spomenutih kategorija.

2.  Osobni podaci drugih osoba čiji se podaci obrađuju od onih navedenih u stavku 1. mogu se obrađivati samo:

(a)  dok je to nužno za istragu ili progon određenog kaznenog djela radi procjene relevantnosti podataka za jednu od kategorija navedenih u stavku 1. ili

(b)  ako je takva obrada prijeko potrebna u ciljane preventivne svrhe ili u svrhu kaznene analize, ako i sve dok je ta svrha zakonita, propisno definirana i specifična, a obrada strogo ograničena na procjenu relevantnosti podataka za jednu od kategorija navedenih u stavku 1. To podliježe redovitoj reviziji najmanje svakih šest mjeseci. Svaka druga upotreba je zabranjena.

3.  Države članice osiguravaju da se na daljnju obradu osobnih podataka osoba iz stavka 1. točaka (c) i (d) primjenjuju dodatna ograničenja i zaštitni mehanizmi u skladu sa zakonodavstvom države članice. [Am. 65]

Članak 6.

Različite razine točnosti i pouzdanosti osobnih podataka

1.  Države članice osiguravaju da se različite kategorije točnost i pouzdanost osobnih podataka koji se obrađuju što je više moguće razlikuju prema njihovoj razini točnosti i pouzdanosti.

2.  Države članice osiguravaju da se osobni podaci utemeljeni na činjenicama što je više moguće razlikuju od osobnih podataka utemeljenih na osobnim procjenama, u skladu sa stupnjem njihove točnosti i pouzdanosti.

2a.  Države članice osiguravaju da se osobni podaci koji su netočni, nepotpuni ili neažurirani više ne prenose ili ne stavljaju na raspolaganje. U tu svrhu nadležna tijela procjenjuju kvalitetu osobnih podataka prije njihova prenošenja ili stavljanja na raspolaganje. Što je više moguće, pri svim prenošenjima podataka dodaju se dostupne informacije koje državi članici primateljici omogućuju ocjenjivanje stupnja točnosti, potpunosti i pouzdanosti podataka, kao i u kojoj su mjeri ažurirani. Osobni podaci, a posebno oni koje prvobitno posjeduju privatne strane, ne prenose se bez zahtjeva nadležnog tijela.

2b.  Pokaže li se da su preneseni podaci netočni ili da su podaci preneseni nezakonito, primatelj mora biti obaviješten bez odgode. Primatelj ima obvezu bez odgode ispraviti podatke u skladu sa stavkom 1. i člankom 15. ili ih izbrisati u skladu s člankom 16. [Am. 66]

Članak 7.

Zakonitost obrade podataka

1.  Države članice osiguravaju zakonitu obradu osobnih podataka samo ako je obrada nužna i u mjeri u kojoj je to nužnota obrada utemeljena na zakonodavstvu Unije ili države članice u svrhe utvrđene u članku 1. stavku 1. te ako je nužna::

(a)  za izvršavanje zadaće od strane obavljanje zadatka nadležnog tijela na temelju zakona u svrhe navedene u članku 1. stavku 1; ili

(b)  radi poštovanja zakonske obveze kojoj nadzornik podliježe; ili

(c)  radi zaštite vitalnih interesa osobe čiji se podaci obrađuju ili druge osobe; ili

(d)  za sprečavanje izravne i ozbiljne prijetnje javnoj sigurnosti.

1a.  Zakonodavstvo države članice kojim se uređuje obrada osobnih podataka u okviru područja primjene ove Direktive sadrži izričite i detaljne odredbe kojima se utvrđuje najmanje sljedeće:

(a)  ciljevi obrade;

(b)  osobni podaci koji se obrađuju;

(c)  posebne svrhe i načini obrade;

(d)  imenovanje nadzornika ili posebni kriteriji za imenovanje nadzornika;

(e)  kategorije propisno ovlaštenog osoblja nadležnih tijela za obradu osobnih podataka;

(f)  postupak koji se primjenjuje u obradi podataka;

(g)  moguća upotreba dobivenih osobnih podataka;

(h)  ograničenja razmjera diskrecije dodijeljene nadležnim tijelima u odnosu na aktivnosti obrade. [Am. 67]

Članak 7.a

Daljnja obrada u neusklađene svrhe

1.  Države članice osiguravaju da se osobni podaci mogu dalje obrađivati u drugu svrhu utvrđenu člankom 1. stavkom 1. koja nije u skladu sa svrhama za koje su podaci prvobitno prikupljeni samo ako i u mjeri u kojoj:

(a)  je ta svrha nužna i razmjerna u demokratskom društvu te u skladu sa zakonodavstvom Unije ili države članice potrebna u zakonitu, propisno definiranu i specifičnu svrhu;

(b)  je obrada strogo ograničena na razdoblje koje nije duže od razdoblja potrebnog za određeni postupak obrade podataka;

(c)  je daljnja upotreba u druge svrhe zabranjena.

Prije svake obrade država članica savjetuje se s nadležnim nacionalnimnadzornim tijelom i provodi procjenu učinka zaštite podataka.

2.  Uz uvjete utvrđene u članku 7. stavku 1.a zakonodavstvo države članice kojim se odobrava daljnja obrada iz stavka 1. sadrži izričite i detaljne odredbe kojima se utvrđuje najmanje sljedeće:

(a)  posebne svrhe i načini te konkretne obrade;

(b)  da je pristup dopušten samo propisno ovlaštenom osoblju nadležnih tijela pri obavljanju njihovih zadataka ako u određenom slučaju postoje opravdani razlozi vjerovati da će obrada osobnih podataka znatno doprinijeti sprečavanju, otkrivanju, istrazi i progonu kaznenih djela ili izvršavanju kaznenopravnih sankcija te

(c)  da su uspostavljeni zaštitni mehanizmi kako bi se osigurala zaštita temeljnih prava i sloboda u pogledu obrade osobnih podataka.

Države članice mogu zahtijevati da pristup osobnim podacima podliježe dodatnim uvjetima kao što je sudsko odobrenje, u skladu sa svojim nacionalnim zakonodavstvom.

3.  Države članice također mogu dopustiti daljnju obradu osobnih podataka u povijesne, statističke ili znanstvene svrhe pod uvjetom da uspostave odgovarajuće zaštitne mehanizme, kao što je osiguravanje anonimnosti podataka. [Am. 68]

Članak 8.

Obrada posebnih kategorija osobnih podataka

1.  Države članice dužne su zabraniti zabranjuju obradu osobnih podataka kojima se otkrivaju rasno ili etničko porijeklo, politička mišljenja, vjera ili filozofska uvjerenja, spolna orijentacija ili rodni identitet, članstvo i aktivnosti u sindikatu te obradu genetskih obrada biometrijskih podataka ili podataka o zdravstvenom stanju ili spolnom životu.

2.  Stavak 1. ne primjenjuje se ako:

(a)  je obrada dopuštena zakonom koji predviđa odgovarajuće nužna i razmjerna za obavljanje zadatka nadležnih tijela u svrhe iz članka 1. stavka 1. na temelju zakonodavstva Unije ili zakonodavstva države članice kojim se osiguravaju posebne i primjerene mjere zaštite legitimnih interesa osobe čiji se podaci obrađuju, uključujući posebno odobrenje sudskog tijela ako je potrebno u skladu s nacionalnim zakonodavstvom; ili

(b)  je obrada nužna da bi se zaštitili vitalni interesi osobe čiji se podaci obrađuju ili druge osobe; ili

(c)  se obrada odnosi na podatke koje je objavila osoba čiji se podaci obrađuju, pod uvjetom da su relevantni i nužni u svrhu kojoj se teži u određenom slučaju. [Am. 69]

Članak 8.a

Obrada genetskih podataka u svrhu kaznene istrage ili sudskog postupka

1.  Države članice osiguravaju da se genetski podaci mogu koristiti samo za utvrđivanje genetske veze u okviru navođenja dokaza, sprečavanja prijetnje javnoj sigurnosti ili sprečavanja počinjenja određenog kaznenog djela. Genetski podaci ne smiju se koristiti za utvrđivanje drugih obilježja koja mogu biti genetski povezana.

2.  Države članice osiguravaju da se genetski podaci ili informacije koji su rezultat njihove analize mogu zadržati samo onoliko koliko je nužno u svrhe u koje se podaci obrađuju i ako je dotični pojedinac osuđen za ozbiljno kazneno djelo usmjereno protiv života, integriteta ili sigurnosti osoba, što podliježe strogim razdobljima pohranjivanja koja se utvrđuju zakonodavstvom države članice.

3.  Države članice osiguravaju da se genetski podaci ili informacije koji su rezultat njihove analize pohranjuju na duže razdoblje samo kad se genetski podaci ne mogu pripisati određenoj osobi, posebno kad su pronađeni na mjestu zločina. [Am. 70]

Članak 9.

Mjere utemeljene na profiliranju i automatiziranoj obradi podataka

1.  Države članice osiguravaju zabranu mjera koje proizvode nepovoljan pravni učinak na osobu čiji se podaci obrađuju ili znatno utječu na nju te se djelomično ili potpuno temelje isključivo na automatiziranoj obradi osobnih podataka radi procjene određenih osobnih aspekata osobe čiji se podaci obrađuju osim ako nisu dopuštene zakonom kojim se istovremeno predviđaju mjere zaštite legitimnih interesa osobe čiji se podaci obrađuju.

2.  Automatizirana obrada osobnih podataka radi procjene određenih osobnih aspekata osobe čiji se podaci obrađuju ne smije se temeljiti samo temelji se na posebnim kategorijama osobnih podataka iz članka 8.

2a.  Automatizirana obrada osobnih podataka radi izdvajanja osobe čiji se podaci obrađuju bez postojanja početne sumnje da je ta osoba možda počinila ili će počiniti kazneno djelo zakonita je samo ako i u mjeri u kojoj je nužna za istragu ozbiljnog kaznenog djela ili sprečavanje jasne i neposredne opasnosti, utvrđene na temelju činjenica, za javnu sigurnost, postojanje države ili život osoba.

2b.  U svim slučajevima zabranjuje se profiliranje koje s namjerom ili na drugi način ima učinak diskriminacije pojedinaca na temelju rasnog ili etničkog porijekla, političkih mišljenja, vjere ili uvjerenja, članstva u sindikatu, rodne ili spolne opredijeljenosti, ili koje s namjerom ili na drugi način rezultira mjerama koje imaju takav učinak. [Am. 71]

Članak 9.a

Opća načela koja se odnose na prava osobe čiji se podaci obrađuju

1.  Države članice osiguravaju da je temelj zaštite podataka jasan i da obuhvaća nedvosmislena prava osobe čiji se podaci obrađuju, a koje poštuje nadzornik podataka. Odredbama ove Direktive ta se prava nastoji osnažiti, pojasniti, zajamčiti i po potrebi kodificirati.

2.  Države članice osiguravaju da takva prava među ostalim uključuju pružanje jasnih i lako razumljivih informacija u vezi s obradom podataka osobe čiji se podaci obrađuju, pravo pristupa njezinim podacima te pravo njihova ispravljanja i brisanja, pravo na dobivanje podataka, pravo podnošenja žalbe nadležnom tijelu za zaštitu podataka i pokretanja sudskog postupka kao i pravo na naknadu pretrpljene štete zbog nezakonitog postupka obrade. Ta se prava općenito ostvaruju besplatno. Nadzornik podataka odgovara na zahtjeve osobe čiji se podaci obrađuju u razumnom roku. [Am. 72]

POGLAVLJE III.

PRAVA OSOBE ČIJI SE PODACI OBRAĐUJU

Članak 10.

Načini ostvarivanja prava osobe čiji se podaci obrađuju

1.  Države članice osiguravaju da nadzornik poduzme sve razumne korake u svrhu ostvarivanja transparentnih raspolaže konciznim, transparentnim, jasnim i lako dostupnim politika mjerama obrade osobnih podataka i ostvarivanja prava osoba čiji se podaci obrađuju.

2.  Države članice osiguravaju da nadzornik osobi čiji se podaci obrađuju na razumljiv način te koristeći jasan i jednostavan jezik pruži svaku informaciju i svaku obavijest vezanu uz obradu osobnih podataka, posebno ako se ta informacija upućuje djetetu.

3.  Države članice osiguravaju da nadzornik uspostavi postupke poduzme sve razumne korake za uspostavljanje postupaka za pružanje informacija iz članka 11. i za ostvarivanje prava osoba osobe čiji se podaci obrađuju iz članaka 12. do 17. Ako se osobni podaci automatizirano obrađuju, nadzornik osigurava sredstva za podnošenje zahtjeva elektroničkim putem.

4.  Države članice osiguravaju da nadzornik osobu čiji se podaci obrađuju bez nepotrebnog kašnjenja odgode obavijesti o mjerama koje su poduzete u vezi s njezinim zahtjevom, a u svakom slučaju najkasnije mjesec dana od primitka zahtjeva. Te se informacije dostavljaju pisanim putem. Ako osoba čiji se podaci obrađuju podnese zahtjev u elektroničkom obliku, informacije se daje elektroničkim putem.

5.  Države članice osiguravaju besplatno pružanje informacija i besplatno obavljanje svih zadataka koje obavlja nadzornik, a koji su vezani uz zahtjev iz stavaka 3. i 4. Ako su zahtjevi zlorabeći očigledno pretjerani, posebno zbog toga što se ponavljaju ili zbog njihove veličine ili obujma, nadzornik može naplatiti razumnu naknadu za pružanje informacija ili obavljanje zatraženog zadatka uzimajući u obzir administrativne troškove. ili ne mora obaviti zatraženi zadatak. U tom je slučaju nadzornik odgovoran za dokazivanje činjenice da je zahtjev pretjeran.snosi teret dokazivanja zlorabeće prirode zahtjeva.

5a.  Države članice mogu odrediti da osoba čiji se podaci obrađuju može svoj zahtjev uputiti izravno nadzorniku ili putem posrednika, nadležnog nacionalnog nadzornog tijela. Ako nadzorno tijelo djeluje na zahtjev osobe čiji se podaci obrađuju, nadzorno tijelo osobu čiji se podaci obrađuju obavještava o provedenim provjerama. [Am. 73]

Članak 11.

Informacije namijenjene osobi čiji se podaci obrađuju

1.  Ako se prikupljaju osobni podaci koji su vezani uz osobu čiji se podaci obrađuju, države članice moraju osigurati da nadzornik poduzme sve odgovarajuće mjere da osobi čiji se podaci obrađuju pruži barem informacije o:

(a)  identitetu i kontaktnim podacima nadzornika i službenika za zaštitu podataka;

(b)  pravnoj osnovi i svrhama obrade kojoj su ti osobni podaci namijenjeni;

(c)  razdoblju u kojem će osobni podaci biti pohranjeni;

(d)  postojanju prava da se od nadzornika zatraži pristup osobnim podacima koji se tiču osobe čiji se podaci obrađuju, njihov ispravak, brisanje ili ograničavanje obrade;

(e)  pravu na žalbu nadzornom tijelu iz članka 39. i kontaktnim podacima nadzornog tijela;

(f)  primateljima ili kategorijama primatelja osobnih podataka, uključujući i primatelje u trećim zemljama ili međunarodnim organizacijama i o tome tko je ovlašten imati pristup tim podacima na temelju zakona dotične treće zemlje ili pravila dotične međunarodne organizacije, postojanju ili nepostojanju odluke Komisije o odgovarajućoj razini zaštite ili, u slučaju prijenosa iz članka 35. ili 36., sredstvima za dobivanje kopije odgovarajuće mjere zaštite za prijenos;;

(fa)  ako nadzornik obrađuje osobne podatke kako je opisano u članku 9. stavku 1., informacijama o postojanju obrade za mjeru tipa na koji se upućuje u članku 9. stavku 1. i željenim učincima te obrade na osobu čiji se podaci obrađuju, informacije o logici korištenoj za profiliranje i pravu na dobivanje ljudske ocjene;

(fb)  informacijama o sigurnosnim mjerama poduzetim za zaštitu osobnih podataka;

(g)  sve dodatne informacije potrebne kako bi se osigurala poštena obrada u odnosu na osobu čiji se podaci obrađuju, uzimajući u obzir posebne okolnosti u kojima se obrađuju osobni podaci.

2.  Ako se osobni podaci prikupljaju od osobe čiji se podaci obrađuju, nadzornik osobi čiji se podaci obrađuju uz informacije iz stavka 1. mora pružiti i informaciju o tome je li pružanje osobnih podataka obavezno ili dobrovoljno te koje su moguće posljedice u slučaju uskraćivanja tih podataka.

3.  Nadzornik je dužan pružiti informacije iz stavka 1.:

(a)  u trenutku kada se osobni podaci prikupe od osobe čiji se podaci obrađuju, ili

(b)  ako se osobni podaci ne prikupljaju od osobe čiji se podaci obrađuju, u trenutku bilježenja ili u razumnom vremenskom roku nakon prikupljanja, uzimajući u obzir posebne okolnosti u kojima se podaci obrađuju.

4.  Države članice mogu donijeti zakonodavne mjere kojima se u specifičnom slučaju može odgoditi ili ograničiti ili uskratiti pružanje informacija osobi čiji se podaci obrađuju u tolikoj mjeri i sve dok takvo djelomično ili potpuno ograničavanje čini neophodnu i proporcionalnu mjeru u demokratskom društvu uz dužno poštovanje temeljnih prava i legitimnih interesa dotične osobe:

(a)  kako bi se izbjeglo ometanje službenih, sudskih ili drugih istraga ili postupaka;

(b)  kako bi se izbjeglo dovođenje u pitanje sprečavanja, otkrivanja, istraživanja i progona kaznenih djela ili za izvršavanje kaznenopravnih sankcija;

(c)  kako bi se zaštitila javna sigurnost;

(d)  kako bi se zaštitila nacionalna sigurnost;

(e)  kako bi se zaštitila prava i slobode drugih.

5.  Države članice osiguravaju da nadzornik u svakom pojedinom slučaju konkretnom i individualnom ocjenom ocijeni primjenjuje li se djelomično ili potpuno ograničenje iz stavka 4. Države članice mogu zakonom odrediti kategorije obrade podataka koje mogu u cijelosti ili djelomično biti obuhvaćene izuzećima iz točaka (a), (b), (c) i (d) stavka 4. [Am. 74]

Članak 12.

Pravo osobe čiji se podaci obrađuju na pristup podacima

1.  Države članice dužne su osobi čiji se podaci obrađuju osigurati pravo da od nadzornika dobije potvrdu o tome obrađuju li se ili ne osobni podaci koji se na nju odnose. Ako se obrađuju osobni podaci koji se na nju odnose, nadzornik je dužan, ako to već nije učinjeno, pružiti informacije o:

(- a) obavijesti o osobnim podacima koji se obrađuju i svim drugim dostupnim informacijama u pogledu njihova izvora i, po potrebi, razumljivim informacijama o logici korištenoj u svakoj automatskoj obradi podataka;

(- aa) važnosti i predviđenim posljedicama takve obrade, barem u slučaju mjera navedenih u članku 9.

(a)  svrsi obrade i pravnoj osnovi obrade;

(b)  kategorijama dotičnih osobnih podataka;

(c)  primateljima ili kategorijama primatelja kojima su otkriveni osobni podaci, a posebno primateljima u trećim zemljama;

(d)  razdoblju u kojem će osobni podaci biti pohranjeni;

(e)  postojanju prava da se od nadzornika zatraži ispravak, brisanje ili ograničavanje obrade osobnih podataka koji se tiču osobe čiji se podaci obrađuju;

(f)  pravu na žalbu nadzornom tijelu i kontaktnim podacima nadzornog tijela;

(g)  osobnim podacima koji se obrađuju i o svim dostupnim informacijama o njihovom izvoru.

2.  Države članice dužne su osobi čiji se podaci obrađuju osigurati pravo da od nadzornika dobije kopiju osobnih podataka koji se obrađuju. Ako osoba čiji se podaci obrađuju podnese zahtjev u elektroničkom obliku, informacije treba pružiti u elektroničkom obliku, osim ako osoba čiji se podaci obrađuju ne zatraži drugačije. [Am. 75]

Članak 13.

Ograničenja prava pristupa

1.  Države članice mogu donijeti zakonodavne mjere kojima se osobi čiji se podaci obrađuju u cijelosti ili djelomično, ovisno o pojedinom slučaju, može ograničiti pravo pristupa u tolikoj mjeri i u razdoblju u kojima takvo djelomično ili potpuno ograničavanje čini strogo neophodnu i proporcionalnu mjeru u demokratskom društvu uz dužno poštovanje temeljnih prava i legitimnih interesa dotične osobe:

(a)  kako bi se izbjeglo ometanje službenih, sudskih ili drugih istraga ili postupaka;

(b)  kako bi se izbjeglo dovođenje u pitanje sprečavanja, otkrivanja, istrage i progona kaznenih djela ili izvršavanja kaznenopravnih sankcija;

(c)  kako bi se zaštitila javna sigurnost;

(d)  kako bi se zaštitila nacionalna sigurnost;

(e)  kako bi se zaštitila prava i slobode drugih.

2.  Države članice osiguravaju da nadzornik u svakom pojedinom slučaju konkretnom i individualnom ocjenom ocijeni primjenjuje li se djelomično ili potpuno ograničenje iz stavka 1. Države članice mogu također zakonom odrediti kategorije obrade podataka koje mogu u cijelosti ili djelomično biti obuhvaćene izuzećima iz točaka od (a) do (d) stavka 1.

3.  U slučajevima iz stavaka 1. i 2. države članice osiguravaju da nadzornik osobu čiji se podaci obrađuju bez nepotrebne odgode pisanim putem obavijesti o svakom uskraćivanju ili ograničavanju pristupa, o razlozima obrazloženim razlozima takvog uskraćivanja te o mogućnostima ulaganja žalbe nadzornom tijelu i traženja pravnog lijeka. Informacije o činjeničnim ili pravnim razlozima na kojima se temelji ta odluka mogu se uskratiti ako bi pružanje takvih informacija dovelo u pitanje jednu od svrha iz stavka 1.

4.  Države članice osiguravaju da nadzornik zabilježi ocjenu iz stavka 2. i razloge uskraćivanja ograničavanja informacija o činjeničnim ili pravnim razlozima na kojima se temelji odluka. Ti se podaci stavljaju na raspolaganje nadležnim nacionalnim nadzornim tijelima. [Am. 76]

Članak 14.

Načini ostvarivanja prava pristupa

1.  Države članice osobi čiji se podaci obrađuju u svakom trenutku osiguravaju pravo da, posebno u slučajevima iz članka članaka 12. i 13., od nadzornog tijela zatraži provjeru zakonitosti obrade.

2.  Države članice osiguravaju da nadzornik osobu čiji se podaci obrađuju obavijesti o postojanju prava na traženje posredovanja nadzornog tijela u skladu sa stavkom 1.

3.  Pri ostvarivanju prava iz stavka 1. nadzorno tijelo osobu čiji se podaci obrađuju obavještava barem o tome da je obavilo sve potrebne provjere te o rezultatu u pogledu zakonitosti dotične obrade. Nadzorno tijelo također obavještava osobu čiji se podaci obrađuju o njezinu pravu na pravni lijek.

3a.  Države članice mogu odrediti da osoba čiji se podaci obrađuju može svoj zahtjev uputiti izravno nadzorniku ili putem posrednika, nadležnog nacionalnog nadzornog tijela.

3b.  Država članica osigurava da nadzornik raspolaže s dovoljno vremena za odgovor na zahtjeve osobe čiji se podaci obrađuju koji se odnose na njezino pravo pristupa. [Am. 77]

Članak 15.

Pravo na ispravljanje i dopunjavanje podataka

1.  Države članice dužne su osobi čiji se podaci obrađuju osigurati pravo da od nadzornika traži ispravak ili dopunjavanje osobnih podataka koji se na nju odnose, a koji su netočni ili nepotpuni, Osoba čiji se podaci obrađuju ima pravo zahtijevati nadopunu nepotpunih osobnih podataka, posebno izjavom o izmjenama ili dopunama.

2.  Države članice osiguravaju da nadzornik osobu čiji se podaci obrađuju pisanim putem uz obrazloženo opravdanje obavijesti o svakom uskraćivanju ispravka ili dopune podataka, o razlozima takvog uskraćivanja te o mogućnostima ulaganja žalbe nadzornom tijelu i traženja pravnog lijeka.

2a.  Države članice osiguravaju da nadzornik o svakom provedenom ispravku obavijesti primatelja kojem su podaci objavljeni, osim ako to nije moguće ili iziskuje prekomjeran napor.

2b.  Država članica osigurava da nadzornik o ispravku netočnih osobnih podataka obavijesti treću stranu na koju se netočni podaci odnose.

2c.  Države članice osiguravaju da osoba čiji se podaci obrađuju može svoj zahtjev uputiti i putem posrednika, nadležnog nacionalnog nadzornog tijela. [Am. 78]

Članak 16.

Pravo na brisanje podataka

1.  Države članice dužne su osobi čiji se podaci obrađuju osigurati pravo da od nadzornika zatraži brisanje osobnih podataka koji se na nju odnose ako obrada podataka nije u skladu s odredbama donesenima u skladu s člancima člankom 4.., 6. i točkama od (a) do (e), te člancima 7.do i 8. ove Direktive.

2.  Nadzornik je dužan bez odlaganja izvršiti brisanje podataka. Isto tako, nadzornik te podatke ne širi dalje.

3.  Nadzornik je umjesto brisanja dužan obilježiti osobne podatke ograničiti obradu osobnih podataka ako:

(a)  osoba čiji se podaci obrađuju osporava njihovu točnost, na razdoblje u kojem nadzornik može provjeriti točnost tih podataka;

(b)  osobni podaci moraju biti sačuvani kao dokaz ili za zaštitu vitalnih interesa osobe čiji se podaci obrađuju ili druge osobe.

(c)  se osoba čiji se podaci obrađuju protivi njihovu brisanju i umjesto toga traži njihovo ograničeno korištenje.

3a.  Ako je obrada osobnih podataka ograničena u skladu sa stavkom 3., nadzornik treba obavijestiti osobu čiji se podaci obrađuju prije uklanjanja ograničenja obrade.

4.  Države članice osiguravaju da nadzornik osobu čiji se podaci obrađuju pisanim putem uz obrazloženo opravdanje obavijesti o svakom uskraćivanju brisanja ili obilježavanja ispravka ili ograničenju obrade podataka, o razlozima takvog uskraćivanja te o mogućnostima ulaganja žalbe nadzornom tijelu i traženja pravnog lijeka.

4a.  Države članice osiguravaju da nadzornik obavijesti primatelja kojem su podaci poslani o svakom brisanju ili ograničenju obavljenom na osnovi stavka 1., osim ako se to ne pokaže nemogućim ili iziskuje prekomjeran napor. Nadzornik obavještava osobu čiji se podaci obrađuju o tim trećim stranama.

4b.  Države članice mogu odrediti da osoba čiji se podaci obrađuju može svoj zahtjev uputiti izravno nadzorniku ili putem posrednika, nadležnog nacionalnog nadzornog tijela. [Am. 79]

Članak 17.

Prava osobe čiji se podaci obrađuju u kaznenim istragama i postupcima

Države članice mogu osigurati da se pravo na informacije, pristup podacima, njihovo ispravljanje i brisanje te pravo na ograničenje obrade iz članaka od 11. do 16. provode u skladu s nacionalnim propisima o sudskim postupcima ako su osobni podaci sadržani u sudskoj odluci ili dokumentu obrađenom u tijeku kaznenih istraga i postupaka.

POGLAVLJE IV.

NADZORNIK I OBRAĐIVAČ

ODJELJAK 1.

OPĆE OBVEZE

Članak 18.

Odgovornost nadzornika

1.  Države članice dužne su osigurati da nadzornik donese politike i provede odgovarajuće mjere, te da bude u mogućnosti transparentno pokazati za svaki postupak obrade, kako bi se osiguralo da se obrada osobnih podataka odvija u skladu s odredbama donesenima u skladu s ovom Direktivom, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade.

2.  Mjere iz stavka 1. posebno uključuju:

(a)  vođenje dokumentacije kako je navedeno u članku 23.;

(aa)  provođenje procjene učinka zaštite podataka u skladu s člankom 25.a;

(b)  poštovanje zahtjeva za prethodno savjetovanje u skladu s člankom 26.;

(c)  provedbu zahtjeva za sigurnost podataka koji su određeni člankom 27.;

(d)  imenovanje službenika za zaštitu podataka u skladu s člankom 30.

(da)  po potrebi, sastavljanje i provedbu posebnih mjera zaštite u vezi s obradom osobnih podataka djece.

3.  Nadzornik provodi mehanizme kako bi se osigurala provjera primjerenosti i učinkovitosti mjera iz stavka 1. ovog članka. Ako je razmjerno, tu provjeru provode nezavisni unutarnji ili vanjski revizori. [Am. 80]

Članak 19.

Tehnička i integrirana zaštita podataka

1.  Države članice osiguravaju da, uzimajući u obzir posljednja dostignuća, trenutačno tehničko znanje, najbolje prakse u svijetu i rizike koje predstavlja obrada podataka i trošak provedbe, nadzornik i obrađivač, ako postoji, u trenutku određivanja svrha i sredstava obrade i u trenutku same obrade, provode provodi i proporcionalne odgovarajuće tehničke i organizacijske mjere i postupke na način koji će osigurati da obrada zadovolji uvjete odredbi donesenih u skladu s ovom Direktivom i osigura zaštitu prava osobe čiji se podaci obrađuju, osobito u vezi s načelima iz članka 4. Pri tehničkoj zaštiti podataka posebna se pozornost posvećuje upravljanju cjelokupnim životnim ciklusom osobnih podataka, od prikupljanja preko obrade do brisanja, pri čemu se sustavno usredotočuje na sveobuhvatne postupovne mjere zaštite u pogledu točnosti, pouzdanosti, cjelovitosti, fizičke zaštite i brisanja osobnih podatka. Ako je nadzornik proveo procjenu učinka zaštite podataka u skladu s člankom 25.a, rezultati se uzimaju u obzir pri razvoju tih mjera i postupaka.

2.  Nadzornik provodi mehanizme kojima će se osigurati osigurava da se automatski obrađuju samo oni osobni podaci koji su nužni za svrhu obrade i da se prije svega ne prikupljaju, zadržavaju ili šire duže nego što je nužno u tu svrhu, a to se odnosi i na količinu podataka i na razdoblje njihove pohrane. Tim se mehanizmima posebno treba osigurati da osobni podaci ne budu automatski dostupni neograničenom broju osoba i da su osobe čiji se podaci obrađuju u mogućnosti nadzirati širenje svojih osobnih podataka. [Am. 81]

Članak 20.

Zajednički nadzornici

1.  Države članice osiguravaju da, ako nadzornik zajedno s ostalima određuje svrhu, uvjete i sredstva obrade osobnih podataka, zajednički nadzornici međusobnim dogovorom odrede pojedinačne odgovornosti za usklađenost s odredbama donesenima u skladu s ovom Direktivom, posebice u vezi sa pravno obvezujućim postupcima i mehanizmima za ostvarivanje prava osobe čiji se podaci obrađuju.

2.  Osim ako je osoba čiji se podaci obrađuju obaviještena o tome koji je od zajedničkih nadzornika nadležan na temelju stavka 1., osoba čiji se podaci obrađuju može svoja prava iz ove Direktive ostvariti u odnosu na odnosno protiv bilo koja dva ili više zajedničkih nadzornika. [Am. 82]

Članak 21.

Obrađivač

1.  Države članice osiguravaju da, ako se postupak obrade provodi u ime nadzornika, nadzornik mora izabrati izabire obrađivača koji može u dovoljnoj mjeri jamčiti provedbu odgovarajućih tehničkih i organizacijskih mjera i postupaka na način da obrada bude u skladu s uvjetima odredbi donesenih u skladu s ovom Direktivom i osigura zaštitu prava osobe čiji se podaci obrađuju, posebno u pogledu tehničkih sigurnosnih mjera i organizacijskih mjera kojima se upravlja provođenjem obrade i pridržavanja tih mjera..

2.  Države članice osiguravaju da se obrađivačevo provođenje obrade temelji na ugovoru ili pravnom aktu kojim se obrađivač obvezuje prema nadzorniku te se posebice utvrđuje da obrađivač djeluje samo prema uputama nadzornika, posebice ako je zabranjen prijenos osobnih podataka.

(a)  djeluje samo prema uputama nadzornika;

(b)  zapošljava osoblje koje se složilo da podliježe obvezi povjerljivosti ili zakonski podliježe obvezi povjerljivosti;

(c)  poduzima sve potrebne mjere u skladu s člankom 27.;

(d)  angažira drugog obrađivača samo uz dozvolu nadzornika i stoga na vrijeme obavještava nadzornika o namjeri da angažira drugog obrađivača kako bi ovaj imao vremena uložiti prigovor;

(e)  ako je moguće, s obzirom na prirodu obrade, u dogovoru s nadzornikom određuje nužne tehničke i organizacijske preduvjete za ispunjenje nadzornikove obveze da odgovori na zahtjeve za korištenje prava osobe čiji se podaci obrađuju utvrđenih u poglavlju III.;

(f)  pomaže nadzorniku kako bi se osigurala usklađenost s obvezama u skladu s člancima 25.a do 29.;

(g)  vraća sve rezultate nadzorniku na kraju obrade, ne obrađuje osobne podatke na drugi način i briše postojeće kopije osim ako pravo Unije ili države članice ne propisuje pohranjivanje podataka;

(h)  nadzorniku i nadzornom tijelu ustupa sve informacije potrebne za provjeru usklađenosti s obvezama utvrđenim ovim člankom;

(i)  uzima u obzir načelo tehničke i integrirane zaštite podataka.

2a.  Nadzornik i obrađivač trebaju u pisanom obliku zabilježiti nadzornikove upute i obrađivačeve obveze iz stavka 2.

3.  Ako obrađivač obrađuje osobne podatke na način koji ne odgovara uputama nadzornika, obrađivač će se smatrati nadzornikom pri takvoj obradi te podliježe pravilima o zajedničkim nadzornicima utvrđenima člankom 20. [Am. 83]

Članak 22.

Obrada pod vodstvom nadzornika i obrađivača

1.  Države članice osiguravaju da obrađivač i svaka osoba koja djeluje pod vodstvom nadzornika ili obrađivača i koja ima pristup osobnim podacima te osobne podatke može obrađivati samo ako to zatraži nadzornik ili ako to nalaže zakonodavstvo Unije ili države članice.

1a.  Ako obrađivač jest ili postane strana koja utvrđuje svrhu, sredstva ili metode obrade podataka ili ne djeluje isključivo prema uputama nadzornika, on se smatra zajedničkim nadzornikom u smislu članka 20. [Am. 84]

Članak 23.

Dokumentacija

1.  Države članice osiguravaju da svaki nadzornik i obrađivač vodi dokumentaciju o svim sustavima i postupcima obrade pod svojom nadležnošću.

2.  Dokumentacija mora sadržavati barem sljedeće informacije:

(a)  ime i kontaktne podatke nadzornika ili svakog zajedničkog nadzornika ili obrađivača;

(aa)  pravno obvezujući sporazum u slučaju zajedničkih obrađivača; popis obrađivača i aktivnosti koje provode obrađivači;

(b)  svrhu obrade;

(ba)  indikaciju dijelova organizacije nadzornika ili obrađivača kojima je povjerena obrada osobnih podataka za pojedinu svrhu;

(bb)  opis kategorije ili kategorija subjekata podataka i podataka ili kategorija podataka koji se na njih odnose;

(c)  primatelje ili kategorije primatelja osobnih podataka;

(ca)  prema potrebi, informacije o postojanju profiliranja, mjerama koje se temelje na oblikovanju profila i mehanizmima za prigovor na profiliranje;

(cb)  lako razumljive informacije o logici svake automatizirane obrade;

(d)  podatke o prijenosu podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije i pravnu osnovu za prijenos podataka; podrobno objašnjenje daje se kad se prijenos vrši na temelju članaka 35. ili 36. ove Direktive;

(da)  rokove za brisanje raznih kategorija podataka;

(db)  rezultate provjere mjera iz članka 18. stavka 1.;

(dc)  pravnu osnovu za postupak obrade kojem su podaci namijenjeni.

3.  Nadzornik i obrađivač moraju na zahtjev ustupiti svu dokumentaciju nadzornom tijelu. [Am. 85]

Članak 24.

Vođenje evidencije

1.  Države članice osiguravaju vođenje evidencije barem o sljedećim postupcima obrade: prikupljanju, mijenjanju, obavljanju uvida, otkrivanju, kombiniranju ili brisanju. Evidencija o obavljanju uvida i otkrivanju mora prikazati posebice svrhu, datum i vrijeme takvih postupaka te, koliko je to moguće, identitet osobe koja je obavila uvid ili otkrila osobne podatke te identitet primatelja tih podataka.

2.  Evidencija se koristi isključivo u svrhe provjere zakonitosti obrade podataka, samonadzora i osiguravanja cjelovitosti i sigurnosti podataka, ili za potrebe revizije koju provodi ili službenik za zaštitu podataka ili tijelo za zaštitu podataka.

2a.  Nadzornik i obrađivač moraju na zahtjev raspoloživu evidenciju ustupiti nadzornom tijelu. [Am. 86]

Članak 25.

Suradnja s nadzornim tijelom

1.  Države članice osiguravaju da nadzornik i obrađivač na zahtjev surađuju s nadzornim tijelom u vršenju njegovih dužnosti, posebno pružajući sve informacije koje su potrebne nadzornom tijelu u vršenju njegovih dužnosti iz članka 46. stavka 2. točke (a) i dajući pristup kako je propisano člankom 46. stavkom 2. točkom (b).

2.  Kao odgovor na izvršavanje ovlasti nadzornog tijela koje su predviđene točkama (a) i (b) članka 46. stavka 1., nadzornik i obrađivač u razumnom roku, koji će odrediti nadzorno tijelo, odgovaraju nadzornom tijelu. Odgovor uključuje opis poduzetih mjera i postignutih rezultata kao odgovor na opaske nadzornog tijela. [Am. 87]

Članak 25.a

Procjena učinka zaštite podataka

1.  Države članice osiguravaju da nadzornik ili obrađivač, koji postupa u ime nadzornika, provede procjenu utjecaja predviđenih sustava i postupaka obrade na zaštitu osobnih podataka ako je vjerojatno da postupci obrade predstavljaju poseban rizik za prava i slobode osoba čiji se podaci obrađuju zbog svoje prirode, opsega ili svrhe, a procjena se provodi prije novih postupaka obrade ili što je prije moguće kad se radi o tekućim postupcima obrade.

2.  Osobito sljedeći postupci obrade mogu predstavljati poseban rizik na koji se upućuje u stavku 1.:

(a)  obrada osobnih podataka u opsežnim sustavima podataka za potrebe sprečavanja, otkrivanja, istrage ili kaznenog progona kaznenih djela i izvršavanja kaznenopravnih sankcija;

(b)  obrada posebnih kategorija osobnih podataka na koje se upućuje u članku 8., osobnih podataka djece i biometrijskih podataka i podataka o lokaciji za potrebe sprečavanja, otkrivanja, istrage ili kaznenog progona kaznenih djela i izvršavanja kaznenopravnih sankcija;

(c)  ocjena osobnih aspekata koji se odnose na fizičku osobu ili služe za analizu, a posebno za predviđanje ponašanja fizičke osobe, što se temelji na automatskoj obradi i vjerojatno može dovesti do mjera koje proizvode pravne učinke za pojedinca ili na njega znatno utječu;

(d)  nadzor javno dostupnih područja, posebno ako se koriste optičko-elektronički uređaji (video-nadzor); ili

(e)  drugi postupci obrade za koje je potrebno savjetovanje s nadzornim tijelom u skladu s člankom 26. stavkom 1.

3.  Procjena obavezno sadrži:

(a)  sustavni opis predviđenih postupaka obrade;

(b)  procjenu neophodnosti i proporcionalnosti postupaka obrade u odnosu prema svrsi;

(c)  procjenu rizika za prava i slobode osoba čiji se podaci obrađuju i mjere predviđene za rješavanje tih rizika i što je moguće veće smanjenje količine osobnih podataka koji se obrađuju;

(d)  sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s odredbama utvrđenim ovom Direktivom uzimajući u obzir prava i legitimne interese osoba čiji se podaci obrađuju i drugih uključenih osoba;

(e)  opću naznaku vremenskog roka za brisanje različitih kategorija podataka;

(f)  ako je potrebno, popis predviđenih prijenosa podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 36. stavka 2., dokumentaciju o odgovarajućoj zaštiti;

4.  Ako je nadzornik ili obrađivač odredio službenika za zaštitu podataka, on je uključen u postupak procjene učinka.

5.  Države članice osiguravaju da se nadzornik savjetuje s javnošću o predviđenoj obradi, čime se ne dovodi u pitanje zaštita javnog interesa ili sigurnost postupaka obrade.

6.  Ne dovodeći u pitanje zaštitu javnog interesa ili sigurnost postupaka obrade, procjena se javnosti treba učiniti lako dostupnom.

7.  Komisija je, nakon što zatraži mišljenje Europskog odbora za zaštitu podataka, ovlaštena donositi delegirane akte u skladu s člankom 56. u svrhu dodatnog određivanja kriterija i preduvjeta za postupke obrade koji vjerojatno predstavljaju određeni rizik iz stavaka 1. ili 2. i preduvjete za procjenu iz stavka 3., uključujući uvjete za mogućnost nadogradnje, provjeru i mogućnost revizije. [Am. 88]

Članak 26.

Prethodno savjetovanje s nadzornim tijelom

1.  Države članice osiguravaju da se nadzornik ili obrađivač savjetuje s nadzornim tijelom prije obrade osobnih podataka koji će biti dio novog sustava podataka kako bi se osiguralo usklađivanje planirane obrade s odredbama usvojenim ovom Uredbom, a posebno kako bi se ublažili rizici za osobe čiji se podaci obrađuju ako:

(a)  se obrađuju posebne kategorije procjena učinka zaštite podataka u skladu s člankom 25.a upućuje na to da postupci obrade zbog svoje prirode, opsega i/ili svrhe vjerojatno predstavljaju visoku razinu specifičnih rizika; ili navedene u članku 8.;

(b)  vrsta nadzorno tijelo smatra da je nužno provesti prethodno savjetovanje o specifičnim postupcima obrade, koji bi vjerojatno mogli predstavljati specifičan rizik za posebno zbog korištenja novih tehnologija, mehanizama ili postupaka, predstavlja posebne opasnosti za temeljna prava i slobode osoba čiji se podaci obrađuju zbog svoje prirode, opsega ili svrhea posebno za zaštitu njihovih osobnih podataka.

1a.  Ako nadležno nadzorno tijelo u skladu sa svojim ovlastima utvrdi da predviđena obrada nije u skladu s odredbama usvojenim na temelju ove Direktive, posebno ako su rizici nedovoljno utvrđeni ili umanjeni, ono zabranjuje predviđenu obradu i iznosi odgovarajuće prijedloge za uklanjanje te neusklađenosti.

2.  Države članice mogu osigurati osiguravaju da nadzorno tijelo, nakon savjetovanja s Europskim odborom za zaštitu podataka, uspostavi popis postupaka obrade za koje je potrebno obaviti prethodno savjetovanje u skladu sa stavkom s točkom (b) stavka 1.

2a.  Države članice osiguravaju da nadzornik ili obrađivač nadzornom tijelu dostavljaju procjenu učinka zaštite podataka u skladu s člankom 25.a i, na zahtjev, pružaju sve informacije pomoću kojih će nadzorno tijelo moći procijeniti usklađenost obrade te posebno rizike za zaštitu osobnih podataka osoba čiji se podaci obrađuju i povezane mjere zaštite.

2b.  Ako nadzorno tijelo smatra da predviđena obrada nije u skladu s odredbama usvojenim na osnovi ove Direktive ili da rizici nisu utvrđeni ili ublaženi u dovoljnoj mjeri, ono daje odgovarajuće prijedloge za ispravljanje te nesukladnosti.

2c.  Države članice mogu se savjetovati s nadzornim tijelom pri pripremi zakonodavne mjere koja će se usvojiti u nacionalnom parlamentu ili mjere koja se temelji na toj zakonodavnoj mjeri, a koja određuje prirodu obrade, kako bi se osigurala usklađenost predviđene obrade na temelju ove Direktive, a posebno kako bi se umanjili rizici za osobe čiji se podaci obrađuju. [Am. 89]

ODJELJAK 2.

SIGURNOST PODATAKA

Članak 27.

Sigurnost obrade podataka

1.  Države članice osiguravaju da nadzornik i obrađivač provedu odgovarajuće tehničke i organizacijske mjere i postupke kako bi se osigurala razina sigurnosti koja odgovara rizicima obrade i prirodi osobnih podataka koje je potrebno zaštititi, uzimajući u obzir posljednja dostignuća i trošak provedbe.

2.  U pogledu automatizirane obrade podataka svaka država članice dužna je osigurati da nadzornik ili obrađivač nakon procjene rizika provede mjere čija je svrha sljedeće:

(a)  neovlaštenim osobama zabraniti pristup opremi za obradu koja se koristi za obradu osobnih podataka (nadzor pristupa opremi);

(b)  spriječiti neovlašteno čitanje, kopiranje, mijenjanje ili uklanjanje nosača podataka (nadzor nosača podataka);

(c)  spriječiti neovlašteno unošenje podataka te neovlašteno pregledavanje, mijenjanje ili brisanje pohranjenih osobnih podataka (nadzor pohrane);

(d)  onemogućiti korištenje sustava automatizirane obrade podataka neovlaštenim osobama koje se koriste opremom za prijenos podataka (nadzor korisnika);

(e)  osigurati da osobe koje su ovlaštene za korištenje sustava automatizirane obrade podataka imaju pristup samo podacima koji su predviđeni njihovim odobrenjem za pristup (nadzor pristupa podacima);

(f)  osigurati mogućnost da se provjeri i utvrdi kojim tijelima su osobni podaci preneseni ili bi mogli biti preneseni ili stavljeni na raspolaganje korištenjem opreme za prijenos podataka (nadzor prijenosa);

(g)  osigurati mogućnost da se naknadno provjeri i utvrdi koji su osobni podaci uneseni u sustave automatizirane obrade podataka te tko ih je i kada unio (nadzor unosa);

(h)  spriječiti neovlašteno čitanje, kopiranje, mijenjanje ili brisanje osobnih podataka tijekom prijenosa osobnih podataka ili prijenosa nosača podataka (nadzor prijenosa);

(i)  osigurati mogućnost ponovne uspostave instaliranih sustava u slučaju prekida (spašavanje);

(j)  osigurati da sustav dobro funkcionira, da se pojave grešaka u funkcioniranju sustava prijave (pouzdanost) i da se pohranjeni osobni podaci ne mogu ugroziti zbog lošeg funkcioniranju sustava (cjelovitost).

(ja)  osigurati da u slučaju osjetljive obrade osobnih podataka u skladu s člankom 8. postoje dodatne mjere sigurnosti radi osiguravanja svijesti o situaciji u pogledu rizika i sposobnosti poduzimanja preventivnih, korektivnih i ublažavajućih mjera u gotovo stvarnom vremenu protiv slabih točaka ili zamijećenih incidenata koji bi mogli predstavljati rizik za podatke;

2a.  Države članice osiguravaju da obrađivači mogu biti imenovani samo ako jamče da poštuju potrebne tehničke i organizacijske mjere prema stavku 1. i da djeluju u skladu s uputama prema članku 21. stavku 2. točki (a). Nadležno tijelo nadzire obrađivače u vezi s time.

3.  Komisija može po potrebi donijeti provedbene akte radi određivanja preduvjeta utvrđenih stavcima 1. i 2. za različite situacije, posebno za standarde kodiranja. Ti provedbeni akti donose se u skladu s postupkom provjere navedenim u članku 57. stavku 2. [Am. 90]

Članak 28.

Obavještavanje nadzornog tijela o povredi osobnih podataka

1.  Države članice osiguravaju da nadzornik u slučaju povrede osobnih podataka bez odgode i, a ako je to moguće, najkasnije u 24 sata nakon što je saznao za povredu osobnih podataka, o povredi obavijesti nadzorno tijelo. Nadzornik je dužan nadzornom tijelu na zahtjev priložiti obrazloženo opravdanje u slučaju kašnjenjada se obavijest ne podnese unutar 24 sata.

2.  Obrađivač bez odgode upozorava i obavještava nadzornika nakon što sazna za povredu osobnih podataka.

3.  Obaviješću iz stavka 1. mora se barem:

(a)  opisati priroda povrede osobnih podataka uključujući kategorije i broj dotičnih osoba čiji se podaci obrađuju te kategorije i broj dotičnih podataka;

(b)  navesti identitet i kontaktne podatke službenika za zaštitu podataka iz članka 30. ili drugu kontaktnu točku na kojoj se mogu dobiti dodatne informacije;

(c)  predložiti mjere kojima bi se ublažili mogući štetni učinci povrede osobnih podataka;

(d)  opisati moguće posljedice povrede osobnih podataka;

(e)  opisati mjere koje je nadzornik predložio ili poduzeo kao odgovor na povredu osobnih podataka i ublažavanje njezinih učinaka.

Ako se sve informacije ne mogu dati bez nepotrebnog odgađanja, nadzornik može obavijest kasnije dopuniti.

4.  Države članice osiguravaju da nadzornik zabilježi svaku povredu osobnih podataka, uključujući činjenice povezane s povredom, njezine posljedice i poduzete mjere za ispravljanje situacije. Pomoću dokumentacije Ta dokumentacija mora biti dostatna da se nadzornom se tijelu treba omogući provjera usklađenosti s ovim člankom. Dokumentacija treba sadržavati samo informacije potrebne u tu svrhu.

4a.  Nadzorno tijelo vodi javnu evidenciju o tipovima zabilježenih povreda.

5.  Komisija je, nakon što zatraži mišljenje Europskog odbora za zaštitu podataka, ovlaštena donijeti delegirane akte u skladu s člankom 56. u svrhu dodatnog određivanja kriterija i preduvjeta za utvrđivanje povrede podataka iz stavaka 1. i 2. te za posebne okolnosti u kojima nadzornik i obrađivač moraju prijaviti povredu osobnih podataka.

6.  Komisija može odrediti standardni obrazac za takvu obavijest nadzornom tijelu, postupke koji se primjenjuju na obvezu obavještavanja te oblik i načine dokumentiranja iz stavka 4., uključujući vremenski rok za brisanje navedenih informacija. Navedeni provedbeni akti donose se u skladu s postupkom provjere navedenim u članku 57. stavku 2. [Am. 91]

Članak 29.

Obavještavanje osobe čiji se podaci obrađuju o povredi osobnih podataka

1.  Države članice osiguravaju da u slučaju kad je vjerojatno da će povreda osobnih podataka nepovoljno djelovati na zaštitu osobnih podataka, privatnost, prava ili legitimne interese osobe čiji se podaci obrađuju, nadzornik bez daljnjeg odlaganja nakon podnošenja obavijesti iz članka 28. obavijesti osobu čiji se podaci obrađuju o povredi osobnih podataka.

2.  Obavijest osobi čiji se podaci obrađuju iz stavka 1. je sveobuhvatna i sročena jasnim i jednostavnim jezikom. Njome se opisuje priroda povrede osobnih podataka i ona sadrži barem informacije i preporuke iz točaka (b), (c) i (d) članka 28. stavka 3. te informacije o pravima osoba čiji se podaci obrađuju, uključujući sudsku zaštitu.

3.  Obavještavanje osobe čiji se podaci obrađuju o povredi osobnih podataka nije potrebno ako nadzornik dokaže da je proveo odgovarajuće tehnološke mjere zaštite, kojima je nadzorno tijelo zadovoljno, te da su te mjere primijenjene na dotične osobne podatke pogođene povredom osobnih podataka. Navedene tehničke mjere zaštite trebaju podatke učiniti nedostupnima svim osobama koje nisu ovlaštene pristupiti im.

3a.  Ne dovodeći u pitanje nadzornikovu obvezu da osobu čiji se podaci obrađuju obavijesti o povredi osobnih podataka, ako nadzornik osobi na koju se podaci odnose još nije dostavio podatke koji su predmet povrede osobnih podataka, nadzorno tijelo, nakon razmatranja mogućeg štetnog učinka povrede, može od njega zatražiti da to učini.

4.  Pružanje obavijesti osobi čiji se podaci obrađuju može se odgoditi ili ograničiti ili uskratiti na temelju razloga navedenih u članku 11. stavku 4. [Am. 92]

ODJELJAK 3.

SLUŽBENIK ZA ZAŠTITU PODATAKA

Članak 30.

Imenovanje službenika za zaštitu podataka

1.  Države članice osiguravaju da nadzornik ili obrađivač imenuje službenika za zaštitu podataka.

2.  Službenik za zaštitu podataka imenuje se na temelju stručnih kvalifikacija i, naročito, stručnog znanja prava i praksi na području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 32. Potrebna razina stručnog znanja utvrdit će se u odnosu na obradu podataka koja se provodi te na zaštitu koju za obrađene osobne podatke zahtijeva nadzornik ili obrađivač.

2a.  Države članice osiguravaju da se nadzornik ili obrađivač pobrinu da su sve druge profesionalne dužnosti službenika za zaštitu podataka u skladu sa zadaćama i dužnostima te osobe kao službenika za zaštitu podataka te da ne izazovu sukob interesa.

2b.  Službenik za zaštitu podataka imenuje se na razdoblje od najmanje četiri godine. Službenik za zaštitu podataka može se ponovno imenovati u daljnjim mandatima. Službenika za zaštitu podataka tijekom mandata može se otpustiti samo ako više ne ispunjava uvjete potrebne za obavljanje svojih dužnosti.

2c.  Države članice osiguravaju da osoba čiji se podaci obrađuju ima pravo na kontaktiranje službenika u vezi sa svim pitanjima povezanim s obradom njezinih osobnih podataka.

3.  Službenik za zaštitu podataka može biti imenovan za nekoliko subjekata, uzimajući u obzir organizacijsku strukturu nadležnog tijela.

3a.  Države članice osiguravaju da nadzornik ili obrađivač dostavi ime i kontaktne podatke službenika za zaštitu podataka nadzornom tijelu i javnosti. [Am. 93]

Članak 31.

Položaj službenika za zaštitu podataka

1.  Države članice osiguravaju da se nadzornik ili obrađivač pobrine da se službenik za zaštitu podataka primjereno i pravovremeno uključi u sva pitanja povezana sa zaštitom osobnih podataka.

2.  Nadzornik ili obrađivač osigurava da se službeniku za zaštitu podataka stave na raspolaganje sredstva za djelotvorno i neovisno obavljanje dužnosti i zadaća iz članka 32. te da ne prima upute o načinu na koji treba vršiti svoju dužnost.

2a.  Nadzornik ili obrađivač podržavaju službenika za zaštitu podataka pri obavljanju zadataka te mu osiguravaju sva sredstva, uključujući osoblje, prostor, opremu, stalno stručno usavršavanje i druga sredstva potrebna za obavljanje dužnosti i zadataka iz članka 32. i održavanje stručnog znanja. [Am. 94]

Članak 32.

Zadaće službenika za zaštitu podataka

Države članice osiguravaju da nadzornik ili obrađivač službeniku za zaštitu podataka povjeri barem sljedeće zadaće:

(a)  podizanje svijesti, izvještavanje i savjetovanje nadzornika ili obrađivača o njihovim obvezama u skladu s odredbama donesenima u skladu s ovom Direktivom, osobito glede tehničkih i organizacijskih mjera i postupaka, te dokumentiranje te aktivnosti i primljenih odgovora;

(b)  nadziranje provedbe i primjene politika u vezi sa zaštitom osobnih podataka, uključujući određivanje odgovornosti, izobrazbu osoblja uključenog u postupke obrade i povezane revizije;

(c)  nadziranje provedbe i primjene odredbi donesenih u skladu s ovom Direktivom, posebice u vezi sa zahtjevima za integriranu strategiju zaštite podataka, tehničku zaštitu podataka i sigurnost podataka te u vezi s informiranjem osoba čiji se podaci obrađuju i njihovim zahtjevima za ostvarivanje vlastitih prava u skladu s odredbama donesenima u skladu s ovom Direktivom;

(d)  osiguranje vođenja dokumentacije kako je navedeno u članku 23.;

(e)  nadziranje dokumentiranja i obavještavanja o slučajevima povrede osobnih podataka u skladu s člancima 28. i 29.;

(f)  nadziranje provođenja procjene učinka zaštite podataka od strane nadzornika ili obrađivača te prijave za prethodno savjetovanje s nadzornim tijelom ako je to potrebno u skladu s člankom 26. stavkom 1.;

(g)  nadziranje odgovaranja na zahtjeve nadzornog tijela te, u okviru nadležnosti službenika za zaštitu podataka, suradnja s nadzornim tijelom na njegov zahtjev ili na vlastitu inicijativu;

(h)  djelovanje kao kontaktna točka za nadzorno tijelo za pitanja u vezi s obradom te, ako je potrebno, savjetovanje s nadzornim tijelom na vlastitu inicijativu. [Am. 95]

POGLAVLJE V.

PRIJENOS OSOBNIH PODATAKA U TREĆE ZEMLJE ILI MEĐUNARODNE ORGANIZACIJE

Članak 33.

Opća načela za prijenos osobnih podataka

1.  Države članice osiguravaju da je svaki prijenos, od strane nadležnih tijela, osobnih podataka koji se obrađuju ili će se obrađivati nakon prijenosa u treću zemlju ili međunarodnu organizaciju, uključujući daljnji prijenos u još jednu treću zemlju ili međunarodnu organizaciju moguć samo ako:

(a)  je taj specifičan prijenos nužan radi sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija; i

(aa)  se podaci daju nadzorniku u trećoj zemlji ili međunarodnoj organizaciji koji predstavlja javno tijelo nadležno za potrebe utvrđene u članku 1. stavku 1.; i

(ab)  uvjete utvrđene u ovom poglavlju ispunjavaju i nadzornik i obrađivač, a to podrazumijeva i daljnji prijenos osobnih podataka iz treće zemlje ili međunarodne organizacije drugoj trećoj zemlji ili drugoj međunarodnoj organizaciji; te da

(b)  nadzornik i obrađivač djeluju u skladu s uvjetima utvrđenima ovim poglavljem. ostalim odredbama donesenim na temelju ove Direktive; i

(ba)  razina zaštite osobnih podataka pojedinaca zajamčena u Uniji ovom Direktivom nije ugrožena; te da

(bb)  je Komisija na temelju uvjeta i postupka iz članka 34. odlučila da predmetna treća zemlja ili međunarodna organizacija osiguravaju odgovarajuću razinu zaštite; ili

(bc)  su pravno obvezujućim instrumentom kako se upućuje u članku 35. osigurane odgovarajuće mjere zaštite u pogledu zaštite osobnih podataka;

2.  Države članice osiguravaju da se dodatni daljnji prijenosi iz stavka 1. ovog članka mogu obaviti samo ako je, uz uvjete iz tog stavka, ispunjeno sljedeće:

(a)  daljnji prijenos neophodan je za istu specifičnu svrhu kao i izvorni transfer; i

(b)  nadležno tijelo koje je obavilo izvorni prijenos odobrava daljnji prijenos. [Am. 96]

Članak 34.

Prijenosi na temelju odluke o odgovarajućoj razini zaštite

1.  Države članice osiguravaju da je prijenos osobnih podataka u treću zemlju ili međunarodnu organizaciju moguć samo ako Komisija odluči u skladu s člankom 41. Uredbe (EU) .../2012 ili u skladu sa stavkom 3. ovog članka da ta treća zemlja, teritorij ili područje na kojem se vrši obrada unutar te treće zemlje, ili dotična međunarodna organizacija, jamči odgovarajuću razinu zaštite. Za takav prijenos nije potrebno dodatno posebno odobrenje.

2.  Ako ne postoji odluka donesena u skladu s člankom 41. Uredbe (EU) ..../2012, Komisija ocjenjuje prikladnost Pri ocjenjivanju odgovarajuće razine zaštite, uzimajući u obzir Komisija poštuje sljedeće elemente:

(a)  vladavinu prava, relevantno važeće zakonodavstvo, kako opće tako i sektorsko, uključujući ono o javnoj sigurnosti, obrani, nacionalnoj sigurnosti i kaznenom pravu te provedbu tog zakonodavstva i sigurnosne mjere koje se poštuju u toj zemlji ili međunarodnoj organizaciji, presedane iz sudske prakse kao i djelotvorna i ostvariva prava, uključujući djelotvornu upravnu i sudsku zaštitu osobe čiji se podaci obrađuju, naročito za one koje imaju boravište u Uniji i čiji se osobni podaci prenose;

(b)  postojanje i učinkovito djelovanje jednog ili više neovisnih nadzornih tijela u dotičnoj trećoj zemlji ili međunarodnoj organizaciji čija je odgovornost osigurati poštovanje propisa o zaštiti podataka, uključujući dovoljne ovlasti sankcioniranja, pružiti pomoć osobi čiji se podaci obrađuju i savjetovati je o ostvarivanju njezinih prava te surađivati s nadzornim tijelima Unije i država članica; te

(c)  međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela, posebice sve pravno obvezujuće konvencije ili instrumente u vezi sa zaštitom osobnih podataka.

3.  Komisija može donijeti je ovlaštena, nakon što zatraži mišljenje Europskog odbora za zaštitu podataka, donositi delegirane akte u skladu s člankom 56. kako bi donijela odluku unutar područja primjene ove Direktive da treća zemlja, teritorij ili područje na kojem se vrši obrada unutar te zemlje podataka u dotičnoj trećoj zemlji ili međunarodna organizacija jamči osiguravaju odgovarajuću razinu zaštite u smislu stavka 2. Navedeni provedbeni akti donose se u skladu s postupkom provjere navedenim u članku 57. stavku 2.

4.  U provedbenom delegiranom aktu precizira se njegova zemljopisna i sektorska primjena i, po potrebi, utvrđuje nadzorno tijelo iz točke (b) stavka 2.

4a.  Komisija na trajnoj osnovi prati tijek razvoja, koji bi mogao utjecati na elemente popisane u stavku 2., u trećim zemljama i međunarodnim organizacijama u odnosu na koje je na temelju stavka 3. donesen delegirani akt.

5.  Komisija može donijeti ima ovlasti donositi delegirane akte u skladu s člankom 56. kako bi donijela odluku unutar područja primjene ove Direktive da treća zemlja ili teritorij ili područje na kojem se vrši obrada unutar te treće zemlje ili međunarodna organizacija ne jamči odgovarajuću razinu zaštite u smislu stavka 2., posebno u slučajevima kada relevantno zakonodavstvo, kako opće tako i sektorsko, koje je na snazi u trećoj zemlji ili međunarodnoj organizaciji ne jamči djelotvorna i ostvariva prava, uključujući djelotvornu upravnu i sudsku zaštitu za osobe čiji se podaci obrađuju, naročito za one čiji se osobni podaci prenose. Ti provedbeni akti donose se u skladu s postupkom provjere navedenim u članku 57. stavku 2. ili, u iznimno hitnim situacijama za pojedince glede njihova prava na zaštitu osobnih podataka, u skladu s postupkom navedenim u članku 57. stavku 3.

6.  Države članice osiguravaju da se, ako Komisija donese odluku u skladu sa stavkom 5. zabrani zabranjuje svaki prijenos osobnih podataka u treću zemlju ili teritorij ili područje na kojem se vrši obrada unutar te treće zemlje ili u dotičnu međunarodnu organizaciju, ta odluka ne dovodi u pitanje prijenose iz članka 35. stavka 1. ili je u skladu s člankom 36.. U primjereno vrijeme Komisija započinje savjetovanja s trećom zemljom ili međunarodnom organizacijom koja se odnose na rješavanje situacije nastale zbog Odluke donesene u skladu sa stavkom 5. ovog članka.

7.  U Službenom listu Europske unije Komisija objavljuje popis trećih zemalja, teritorija, područja na kojima se vrši obrada u trećoj zemlji ili međunarodnih organizacija u vezi s kojima je utvrdila osiguravaju li odgovarajuću razinu zaštite ili ne.

8.  Komisija nadzire primjenu provedbenih delegiranih akata iz članaka 3. i 5. [Am. 97]

Članak 35.

Prijenosi s odgovarajućim mjerama zaštite

1.  Ako Komisija ne donese nije donijela nikakvu odluku u skladu s člankom 34., države članice osiguravaju prijenos osobnih podataka primatelju ili odluči da treća zemlja ili teritorij u toj trećoj zemlji ili međunarodnoj organizaciji ako: međunarodna organizacija ne osiguravaju dostatnu razinu zaštite u skladu s člankom 34. stavkom 5., nadzornik ili obrađivač može prenijeti osobne podatke u treću zemlju ili teritorij u toj trećoj zemlji ili međunarodnu organizaciju samo ako je u vezi sa zaštitom osobnih podataka u pravno obvezujućem instrumentu osigurao odgovarajuće mjere zaštite.

(a)  su pravno obvezujućim instrumentom osigurane odgovarajuće mjere zaštite u pogledu zaštite osobnih podataka; ili

(b)  je nadzornik ili obrađivač procijenio sve okolnosti u vezi s prijenosom osobnih podataka i zaključio da postoje odgovarajuće mjere zaštite u pogledu zaštite osobnih podataka.

2.  Odluke o prijenosima iz stavka 1. točke (b) donosi propisno ovlašteno osoblje. Navedeni prijenosi moraju se dokumentirati, a dokumentacija mora bi dostupna na zahtjev nadzornog tijela. Navedene prijenose prije prijenosa mora odobriti nadzorno tijelo. [Am. 98]

Članak 36.

Odstupanja

1.  Ako Komisija na temelju članka 34. stavka 5. zaključi da ne postoji odgovarajuća razina zaštite, osobni podaci ne smiju se prenijeti dotičnoj trećoj zemlji ili međunarodnoj organizaciji ako, u predmetnom slučaju, legitimni interes osobe čiji se podaci obrađuju da se taj prijenos spriječi prevaguje nad javnim interesom u prijenosu tih podataka.

2.   Odstupajući od članaka 34. i 35. države članice osiguravaju mogućnost prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju samo ako je:

(a)  prijenos nužan da bi se zaštitili vitalni interesi osobe čiji se podaci obrađuju ili druge osobe; ili

(b)  prijenos nužan da bi se zaštitili legitimni interesi osobe čiji se podaci obrađuju kada je zakonodavstvom države članice koja obavlja prijenos osobnih podataka tako predviđeno; ili

(c)  prijenos podataka ključan da bi se spriječila neposredna i ozbiljna prijetnja javnoj sigurnosti države članice ili treće zemlje; ili

(d)  prijenos nužan u pojedinačnim slučajevima radi sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija; ili

(e)  prijenos nužan u pojedinačnim slučajevima radi uspostave, izvršenje ili obrane zakonskog prava u vezi sa sprečavanjem, istragom, otkrivanjem ili progonom posebnog kaznenog djela ili izvršavanjem posebne kaznenopravne sankcije.

2a.  Pravna osnova za obradu na temelju stavka 2. mora biti zakonodavstvo Unije ili zakonodavstvo države članice kojemu podliježe nadzornik; to zakonodavstvo mora ispunjavati cilj u javnom interesu ili potrebu da se zaštite prava i sloboda drugih, da se poštuje bit prava na zaštitu osobnih podataka i mora biti proporcionalno s legitimnim ciljem koji se želi postići.

2b.  Svi prijenosi osobnih podataka o kojima je odluka donesena na temelju odstupanja moraju biti valjano opravdani i ograničeni na nužno potrebne slučajeve, a česti masovni prijenosi podataka nisu dopušteni.

2c.  Odluke o prijenosima iz stavka 2. donosi propisno ovlašteno osoblje. Ti prijenosi moraju biti dokumentirani, a dokumentacija mora na zahtjev biti na raspolaganju nadzornom tijelu, uključujući datum i vrijeme prijenosa, informacije o tijelu primatelju, razlog prijenosa i prenesene podatke. [Am. 99]

Članak 37.

Posebni uvjeti prijenosa osobnih podataka

Države članice osiguravaju da nadzornik obavijesti primatelja osobnih podataka o svim ograničenjima u obradi i da poduzme sve razumne mjere kako bi osigurao da se ta ograničenja zadovolje. Isto tako, nadzornik obavještava primatelja osobnih podataka o svim ažuriranjima, ispravcima ili brisanjima podataka, a primatelj pak šalje odgovarajuću obavijest u slučaju da su podati proslijeđeni dalje. [Am. 100]

Članak 38.

Međunarodna suradnja za zaštitu osobnih podataka

1.  Komisija i države članice u odnosu na treće zemlje i međunarodne organizacije poduzimaju odgovarajuće korake kako bi:

(a)  razvile djelotvorne mehanizme međunarodne suradnje kako bi se olakšalo osiguralo provođenje zakonodavstva za zaštitu osobnih podataka; [Am. 101]

(b)  osigurale međunarodnu uzajamnu pomoć u primjeni zakonodavstva o zaštiti osobnih podataka, uključujući obavještavanjem, upućivanjem žalbi, pomoći u istragama i razmjenom informacija, u skladu s odgovarajućim mjerama zaštite osobnih podataka i drugim temeljnim pravima i slobodama;

(c)  uključile relevantne dionike u rasprave i aktivnosti čiji je cilj produbiti međunarodnu suradnju u primjeni zakonodavstva o zaštiti osobnih podataka;

(d)  promicale razmjenu i dokumentaciju zakonodavstva i prakse u vezi sa zaštitom osobnih podataka.

(da)  razjasnilo i savjetovalo o sukobima nadležnosti s trećim zemljama. [Am. 102]

2.  U svrhe stavka 1. Komisija poduzima odgovarajuće korake kako bi unaprijedila odnose s trećim zemljama ili međunarodnim organizacijama, a posebno njihovim nadzornim tijelima ako Komisija smatra da oni osiguravaju odgovarajuću razinu zaštite u smislu članka 34. stavka 3.

Članak 38.a

Izvješće Komisije

Komisija Europskom parlamentu i Vijeću redovito podnosi izvješće o primjeni članaka 33. do 38. Prvo izvješće podnosi se najkasnije četiri godine nakon stupanja na snagu ove Direktive. U tu svrhu Komisija može zatražiti informacije od država članica i nadzornih tijela, koji joj te informacije prosljeđuju bez nepotrebnog odlaganja. Izvješće se objavljuje. [Am. 103]

POGLAVLJE VI.

NEOVISNA NADZORNA TIJELA

ODJELJAK 1.

NEOVISNI STATUS

Članak 39.

Nadzorno tijelo

1.  Svaka država članica osigurava da jedno ili više javnih tijela bude odgovorno za nadzor primjene odredbi donesenih u skladu s ovom Direktivom i za doprinos njezinoj dosljednoj primjeni u cijeloj Uniji kako bi se zaštitila temeljna prava i slobode fizičkih osoba pri obradi njihovih osobnih podataka i olakšao slobodan protok osobnih podataka unutar Unije. U tu svrhu nadzorna tijela moraju surađivati jedna s drugima i s Komisijom.

2.  Države članice mogu osigurati da nadzorno tijelo osnovano u državi članici u skladu s Uredbom (EU)..../2012 preuzme odgovornost za zadaće nadzornog tijela koje se osniva u skladu sa stavkom 1. ovog članka.

3.  Ako u jednoj državi članici postoji više od jednog nadzornog tijela, ta država članica određuje nadzorno tijelo koje djeluje kao jedinstvena kontaktna točka za djelotvorno sudjelovanje tih tijela u Europskom odboru za zaštitu podataka.

Članak 40.

Neovisnost

1.  Države članice osiguravaju da nadzorno tijelo djeluje potpuno neovisno u provođenju dužnosti i ovlasti koje su mu povjerene, bez obzira na organizaciju suradnje u skladu s poglavljem VII. ove Direktive. [Am. 104]

2.  Svaka država članica dužna je osigurati da članovi nadzornog tijela pri provođenju svojih dužnosti ne traže upute ni od koga niti ih i od koga primaju te da zadrže punu neovisnost i nepristranost. [Am. 105.

3.  Članovi nadzornog tijela moraju se suzdržati od svih radnji koje su nespojive s njihovim dužnostima te se tijekom svog mandata ne smiju baviti bilo kakvom nespojivom djelatnošću, bilo da je profitabilna ili ne.

4.  Članovi nadzornog tijela moraju se nakon isteka svog mandata ponašati časno i diskretno u pogledu prihvaćanja imenovanja i koristi.

5.  Svaka država članica osigurava da nadzorno tijelo raspolaže odgovarajućim ljudskim, tehničkim i financijskim resursima, prostorom i infrastrukturom potrebnom za djelotvorno izvršavanje njegovih dužnosti i ovlasti, uključujući i one koje se provode u okviru uzajamne pomoći, suradnje i aktivnog sudjelovanja u Europskom odboru za zaštitu podataka.

6.  Svaka država članica osigurava da nadzorno tijelo obavezno raspolaže vlastitim osobljem koje imenuje i kojim upravlja voditelj nadzornog tijela.

7.  Države članice osiguravaju da nadzorno tijelo podliježe financijskoj kontroli koja ne smije utjecati na njegovu neovisnost. Države članice osiguravaju da nadzorno tijelo raspolaže vlastitim godišnjim proračunom. Taj proračun se objavljuje.

Članak 41.

Opći uvjeti za članove nadzornog tijela

1.  Države članice osiguravaju da članove nadzornog tijela imenuje ili parlament ili vlada dotične države članice.

2.  Članovi se biraju među osobama čija je neovisnost neupitna i koje su pokazale iskustvo i vještine potrebne za vršenje svojih dužnosti.

3.  Dužnost člana prestaje istekom mandata, ostavkom ili obaveznim umirovljenjem u skladu sa stavkom 5.

4.  Nadležni nacionalni sud člana može razriješiti dužnosti ili mu može uskratiti pravo na mirovinu ili druge koristi umjesto mirovine ako više ne ispunjava uvjete potrebne za vršenje dužnosti ili je počinio ozbiljnu povredu radne dužnosti.

5.  Ako mandat člana istekne ili on odstupi, dužan je nastaviti s vršenjem svojih dužnosti do imenovanja novog člana.

Članak 42.

Pravila osnivanja nadzornog tijela

Svaka država članica zakonom predviđa:

(a)  osnivanje i status nadzornog tijela u skladu s člancima 39. i 40.;

(b)  kvalifikacije, iskustvo i vještine koji su potrebni za izvršavanje dužnosti članova nadzornog tijela;

(c)  pravila i postupke za imenovanje članova nadzornog tijela te pravila o radnjama ili djelatnostima koje su nespojive sa službenim dužnostima;

(d)  trajanje mandata članova nadzornog tijela u razdoblju od najmanje četiri godine, osim za prvo imenovanje nakon stupanja na snagu ove Direktive kada to razdoblje može biti kraće;

(e)  mogu li se članovi nadzornog tijela ponovno imenovati;

(f)  pravila i opće uvjete kojima se uređuju dužnosti članova i osoblja nadzornog tijela;

(g)  pravila i postupke o isteku dužnosti članova nadzornog tijela uključujući i situaciju u kojoj oni više ne ispunjavaju uvjete koji su potrebni za vršenje dužnosti ili su počinili ozbiljnu povredu radne dužnosti.

Članak 43.

Profesionalna tajna

Države članice osiguravaju da se članovi i osoblje nadzornog tijela kako tijekom tako i nakon isteka svog mandata odnosno radnog odnosa, te u skladu s nacionalnim zakonodavstvom i praksom, obvežu profesionalnom tajnom u pogledu svake povjerljive informacije koju saznaju u obavljanju svoje službene dužnosti, a da svoju dužnost obavljaju neovisno i transparentno kako je utvrđeno ovom Direktivom. [Am. 106]

ODJELJAK 2.

DUŽNOSTI I OVLASTI

Članak 44.

Nadležnost

1.  Države članice osiguravaju da svako nadzorno tijelo bude nadležno za obavljanje dužnosti i izvršavanje ovlasti na području svoje države članice izvršava ovlasti koje su mu povjerene u skladu s ovom Direktivom. [Am. 107]

2.  Države članice osiguravaju da nadzorna tijela nisu nadležna za nadzor postupaka obrade koju provode sudovi kada djeluju u okviru svoje sudske nadležnosti.

Članak 45.

Dužnosti

1.  Države članice osiguravaju da nadzorno tijelo:

(a)  nadzire i osigurava primjenu odredbi donesenih u skladu s ovom Direktivom i njezinih provedbenih mjera;

(b)  razmotri žalbe koje uloži svaka osoba čiji se podaci obrađuju ili udruga koja predstavlja osobu čiji se podaci obrađuju i koju je ta osoba propisno ovlastila u skladu s člankom 50., da istraži to pitanje u primjerenoj mjeri i u razumnom roku obavijesti osobu čiji se podaci obrađuju ili udrugu o tijeku i ishodu žalbe, posebno ako je nužna daljnja istraga ili koordinacija s drugim nadzornim tijelom;

(c)  provjeri zakonitost obrade podataka u skladu s člankom 14. i osobu čiji se podaci obrađuju u razumnom roku obavijesti o ishodu provjere ili razlozima zbog kojih provjera nije provedena;

(d)  drugim nadzornim tijelima pruži uzajamnu pomoć i osigura usklađenu primjenu i provođenje odredbi donesenih u skladu s ovom Direktivom;

(e)  provodi istrage, preglede i revizije bilo na vlastitu inicijativu, na temelju žalbe ili na zahtjev drugog nadzornog tijela te da dotičnu osobu čiji se podaci obrađuju, ako je osoba čiji se podaci obrađuju uložila žalbu, u razumnom roku obavijesti o ishodu istrage;

(f)  nadzire razvoj važnih događaja ako oni imaju utjecaj na zaštitu osobnih podataka, posebno razvoj informacijskih i telekomunikacijskih tehnologija;

(g)  daje savjete institucijama i tijelima država članica o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca pri obradi osobnih podataka;

(h)  daje savjete o postupcima obrade u skladu s člankom 26.;

(i)  sudjeluje u aktivnostima Europskog odbora za zaštitu podataka.

2.  Svako nadzorno tijelo mora promicati svijest javnosti o opasnostima, pravilima, mjerama zaštite i pravima vezanima uz obradu osobnih podataka. Posebna pozornost pridaje se aktivnostima koje se izričito odnose na djecu.

3.  Nadzorno tijelo na zahtjev savjetuje svaku osobu čiji se podaci obrađuju u ostvarivanju prava utvrđenih odredbama donesenima u skladu s ovom Direktivom te po potrebi u tu svrhu surađuje s nadzornim tijelima u drugim državama članicama.

4.  Za žalbe iz točke (b) stavka 1. nadzorno tijelo dužno je osigurati obrazac za podnošenje žalbe koji se može ispuniti elektronički, pri čemu se ne isključuju druga sredstva komunikacije.

5.  Države članice osiguravaju besplatno obavljanje dužnosti nadzornog tijela za osobu čiji se podaci obrađuju.

6.  Ako su zahtjevi zlorabeći, očigledno pretjerani, posebno zbog toga što se ponavljaju, nadzorno tijelo može naplatiti uslugu ili ne mora obaviti zadatak koji je tražila osoba čiji se podaci obrađuju razumnu naknadu. Iznos naknade ne prelazi troškove obavljanja traženih zadaća. U tom slučaju nadzorno tijelo snosi teret dokazivanja zlorabeće očigledno pretjerane prirode zahtjeva. [Am. 108]

Članak 46.

Ovlasti

1.   Države članice osiguravaju da svako nadzorno tijelo mora imati naročito ima ovlasti:

(a)  istražne ovlasti, kao što su ovlasti da pristupi podacima koji su predmet postupka obrade i ovlasti da prikupi sve informacije koje su potrebne za izvršavanje njegovih nadzornih zadaća; da obavijesti nadzornika ili obrađivača o navodnom kršenju odredbi kojima se uređuje obrada osobnih podataka i po potrebi nadzorniku ili obrađivaču naloži da na određen način ukloni to kršenje kako bi se poboljšala zaštita osobe čiji se podaci obrađuju.

(b)  djelotvorne ovlasti za posredovanje, kao što su izdavanje mišljenja prije provođenja obrade te osiguravanje prikladnog objavljivanja takvih mišljenja, nalaganje ograničenja, brisanja ili uništavanja podataka, uvođenje privremene ili potpune zabrane obrade, upozoravanje ili izricanje opomena nadzorniku ili upućivanje predmeta nacionalnim parlamentima ili drugim političkim institucijama; da naloži nadzorniku da postupi u skladu sa zahtjevom osobe čiji se podaci obrađuju da ostvari svoja prava iz ove Direktive, uključujući prava dana člancima 12. do 17. ako su ti zahtjevi odbijeni zbog kršenja tih odredbi;

(c)  ovlast da sudjeluje u pravnim postupcima u slučaju povrede odredbi donesenih u skladu s ovom Direktivom ili da o toj povredi obavijesti sudske vlasti. da naloži nadzorniku ili obrađivaču da pruži informacije na temelju članka 10. stavaka 1. i 2. te članaka 11., 28. i 29.;

(d)  da osigura postupanje u skladu s mišljenjem o prethodnim savjetovanjima na koja se upućuje u članku 26.;

(e)  upozori ili opomene nadzornika ili obrađivača;

(f)  naredi ispravljanje, brisanje ili uništenje svih podataka koji su bili obrađeni uz kršenje odredbi usvojenih na temelju ove Direktive te da o takvim mjerama obavijesti treće strane kojima su podaci bili otkriveni;

(g)  privremeno ili konačno zabrani obradu;

(h)  prekine prijenose podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji;

(i)  da o tome obavijesti nacionalne parlamente, vlade i ostale javne institucije te javnost.

2.  Svako nadzorno tijelo ima istražne ovlasti da od nadzornika ili obrađivača dobije:

(a)  pristup svim osobnim podacima i svim informacijama potrebnim za obavljanje svojih dužnosti nadzora;

(b)  pristup svim prostorijama, uključujući svoj opremi i uređajima za obradu podataka, u skladu s nacionalnim zakonodavstvom, ako postoje razumne osnove za sumnju da se tamo obavljaju radnje koje predstavljaju kršenje odredbi usvojenih na temelju ove Direktive, ne dovodeći u pitanje sudsko odobrenje ako to iziskuje nacionalno zakonodavstvo.

3.  Ne dovodeći u pitanje članak 43., države članice osiguravaju da se na zahtjev nadzornih tijela ne postavljaju dodatni uvjeti čuvanja tajnosti.

4.  Države članice mogu odrediti obavezu dodatne sigurnosne provjere u skladu s nacionalnim zakonodavstvom za pristup povjerljivim informacijama razine koja odgovara stupnju tajnosti „EU CONFIDENTIAL” ili višem. Ako prema zakonu države članice relevantnog nadzornog tijela nije potrebna dodatna sigurnosna provjera, to moraju priznati sve ostale države članice.

5.  Svako nadzorno tijelo ovlašteno je da o kršenjima odredbi usvojenih na temelju ove Direktive upozna sudske vlasti, sudjeluje u pravnim postupcima i pokrene postupak pred nadležnim sudom na temelju članka 53. stavka 2.

6.  Svako nadzorno tijelo ovlašteno je za kažnjavanje upravnih prijestupa. [Am. 109]

Članak 46.a

Izvještaji o kršenjima

1.  Države članice osiguravaju da nadzorna tijela uzmu u obzir smjernice Europskog odbora za zaštitu podataka donesene na temelju članka 66. stavka 4.b Uredbe (EU) ..../2013 i uspostavljaju učinkovite mehanizme za poticanje povjerljivog izvještavanja o povredama ove Direktive.

2.  Države članice osiguravaju da nadležna tijela uspostave učinkovite mehanizme za poticanje povjerljivog izvještavanja o povredama ove Direktive. [Am. 110]

Članak 47.

Izvješće o aktivnostima

Države članice osiguravaju da svako nadzorno tijelo sastavi godišnje izvješće o svojim aktivnostima barem svake dvije godine. Izvješće mora biti dostupno javnosti, nadležnom Parlamentu, Komisiji i Europskom odboru za zaštitu podataka.Ono sadrži informacije o opsegu u kojem su nadležna tijela u okviru svojih nadležnosti imala pristup podacima privatnih stranaka za istragu ili progon kaznenih djela. [Am. 111]

POGLAVLJE VII.

SURADNJA

Članak 48.

Uzajamna pomoć

1.  Države članice osiguravaju da nadzorna tijela jedno drugome pružaju pomoć kako bi se dosljedno provele i primijenile odredbe u skladu s ovom Direktivom te uvode mjere za djelotvornu međusobnu suradnju. Uzajamna pomoć uključuje posebice zahtjeve za informacije i mjere nadzora, kao što su zahtjevi za prethodno savjetovanje, pregledavanje i istrage.

2.  Države članice osiguravaju da nadzorno tijelo poduzme sve odgovarajuće mjere koje su potrebne da odgovori na zahtjev drugog nadzornog tijela. Te mjere posebno mogu uključivati prijenos relevantnih informacija ili prisilne mjere za hitno okončanje ili zabranu postupaka obrade koji su u suprotnosti s ovom Direktivom, a najkasnije mjesec dana nakon primitka zahtjeva.

2a.  Zahtjev za pomoć sadrži sve potrebne informacije, uključujući namjenu i obrazloženje zahtjeva. Razmijenjene informacije koriste se jedino u onu svrhu za koju su zatražene.

2b.  Nadzorno tijelo koje primi zahtjev za pomoć taj zahtjev ne smije odbiti, osim u sljedećim slučajevima:

(a)  ako nije nadležno za rješavanje zahtjeva; ili

(b)  ako bi poštovanje zahtjeva bilo nespojivo s odredbama usvojenim na temelju ove Uredbe.

3.  Nadzorno tijelo kojemu je zahtjev upućen obavještava nadzorno tijelo koje je uputilo zahtjev o ishodima ili, ovisno o slučaju, o tijeku ili mjerama poduzetim kako bi se udovoljilo zahtjevu dotičnoga nadzornog tijela.

3a.  Nadzorna tijela informacije koje je zatražilo drugo nadzorno tijelo prosljeđuju elektroničkim sredstvima, u najkraćem mogućem roku i u standardiziranom obliku.

3b.  Ni za kakvu mjeru poduzetu na temelju zahtjeva za uzajamnu pomoć ne naplaćuje se naknada. [Am. 112]

Članak 48.a

Zajedničke operacije

1.  Države članice osiguravaju da, kako bi pojačale suradnju i uzajamnu pomoć, nadzorna tijela mogu provoditi zajedničke mjere prisile i ostale zajedničke operacije u kojima imenovani članovi ili osoblje nadzornih tijela drugih država članica sudjeluju u operacijama na teritoriju jedne države članice.

2.  Države članice osiguravaju da, u slučajevima kad postoji vjerojatnost da će postupci obrade utjecati na osobe čiji se podaci obrađuju iz druge države članice ili drugih država članica, nadležna tijela mogu biti pozvana da sudjeluju u zajedničkim operacijama. Nadležno nadzorno tijelo može pozvati nadzorno tijelo svake od tih država članica da sudjeluje u odgovarajućoj operaciji, a u slučaju kad je pozvano bez odgode se odziva na zahtjev nadzornog tijela koji se odnosi na sudjelovanje u operacijama.

3.  Države članice određuju praktične aspekte posebnih mjera suradnje. [Am. 113]

Članak 49.

Zadaće Europskog odbora za zaštitu podataka

1.  Europski odbor za zaštitu podataka osnovan Uredbom (EU).../20122013 obavlja sljedeće zadaće u vezi s obradom unutar područja primjene ove Direktive:

(a)  savjetuje Komisiju institucije Unije o svim pitanjima vezanima uz zaštitu osobnih podataka u Uniji kao i o svakoj predloženoj izmjeni ove Direktive;

(b)  na zahtjev Komisije, Europskog parlamenta ili Vijeća ili na vlastitu inicijativu ili inicijativu jednog od svojih članova razmatra svako pitanje u vezi s primjenom odredbi donesenih u skladu s ovom Direktivom te izdaje smjernice, preporuke i primjere najbolje prakse upućene nadzornim tijelima kako bi se potakla dosljedna primjena tih odredbi, uključujući i primjenu ovlasti prisile;

(c)  provjerava primjenu smjernica, preporuka i primjera najbolje prakse iz točke (b) i o tome redovito izvještava Komisiju;

(d)  Komisiji daje mišljenje o razini zaštite u trećim zemljama ili međunarodnim organizacijama;

(e)  promiče suradnju i djelotvornu bilateralnu i multilateralnu razmjenu informacija i prakse među nadzornim tijelima, uključujući koordinaciju zajedničkog djelovanja i ostalih zajedničkih aktivnosti, ako tako odluči slijedom zahtjeva jednog ili više nadzornih tijela;

(f)  promiče zajedničke programe izobrazbe i olakšava razmjenu osoblja među nadzornim tijelima te po potrebi s nadzornim tijelima trećih zemalja ili međunarodnih organizacija;

(g)  promiče razmjenu znanja i dokumentacije s nadzornim tijelima za zaštitu podataka u cijelom svijetu, uključujući i zakonodavstvo i praksu u vezi sa zaštitom podataka.

(ga)  daje mišljenje Komisiji prilikom pripreme delegiranih i provedbenih akata koji se temelje na ovoj Direktivi;

2.  Ako Europski parlament, Vijeće ili Komisija zatraži zahtjev od Europskog odbora za zaštitu podataka, može zadati vremenski rok u kojem Europski odbor za zaštitu podataka mora pružiti traženi savjet, uzimajući u obzir žurnost slučaja.

3.  Europski odbor za zaštitu podataka svoja mišljenja, smjernice, preporuke i primjere najbolje prakse šalje Komisiji i odboru iz članka 57. stavka 1. te ih objavljuje.

4.  Komisija Europski odbor za zaštitu podataka obavještava o mjerama koje je poduzela nakon što je Europski odbor za zaštitu podataka izdao mišljenja, smjernice, preporuke i primjere najbolje prakse. [Am. 114]

POGLAVLJE VIII.

PRAVNI LIJEKOVI, ODGOVORNOST I SANKCIJE

Članak 50.

Pravo žalbe nadzornom tijelu

1.  Ne dovodeći u pitanje bilo koje druge pravne lijekove u upravnom ili sudskom postupku države članice svakoj osobi čiji se podaci obrađuju osiguravaju pravo na žalbu nadzornom tijelu u bilo kojoj državi članici ako osoba čiji se podaci obrađuju smatra da obrada osobnih podataka vezanih uz nju nije u skladu s odredbama donesenima u skladu s ovom Direktivom.

2.  Države članice svakom tijelu, organizaciji ili udruzi čiji je cilj zaštititi prava i interese osoba čiji se podaci obrađuju u vezi sa zaštitom njihovih osobnih podataka i koja je osnovana koje djeluju u javnom interesu i koje su osnovane u skladu sa zakonodavstvom države članice osiguravaju pravo žalbe nadzornom tijelu u bilo kojoj državi članici u ime jedne ili više osoba čiji se podaci obrađuju ako smatra da su prava osobe čiji se podaci obrađuju u sklopu ove Direktive povrijeđena uslijed obrade osobnih podataka. Takva organizacija ili udruga mora biti propisno ovlaštena od strane osobe/osoba čiji se podaci obrađuju. [Am. 115]

3.  Države članice svakom tijelu, organizaciji ili udruzi iz stavka 2. osiguravaju pravo da neovisno o žalbi osobe čiji se podaci obrađuju uloži žalbu nadzornom tijelu u bilo kojoj državi članici ako smatra da je došlo do kršenja povjerljivosti osobnih podataka.

Članak 51.

Pravo na pravni lijek protiv nadzornog tijela

1.  Države članice osiguravaju svakoj fizičkoj ili pravnoj osobi pravo na pravni lijek protiv odluka nadzornog tijela koje se na njih odnose.

2.  Države članice osiguravaju da svaka osoba čiji se podaci obrađuju ima pravo na pravni lijek kojim od nadzornog tijela zahtjeva odgovor na žalbu ako ne postoji odluka koja je potrebna da bi se zaštitila njihova njezina prava ili ako nadzorno tijelo osobu čiji se podaci obrađuju u roku od tri mjeseca ne obavijesti o tijeku ili ishodu žalbe u skladu s točkom (b) članka 45. stavka 1.

3.  Države članice osiguravaju da se postupak protiv nadzornog tijela pokrene pred sudovima države članice u kojoj nadzorno tijelo ima poslovni nastan.

3a.  Države članice osiguravaju izvršavanje konačnih odluka sudova na koje se upućuje u ovom članku. [Am. 116]

Članak 52.

Pravo na pravni lijek protiv nadzornika ili obrađivača

1.  Ne dovodeći u pitanje svaki dostupan pravni lijek u upravnom postupku, uključujući pravo na žalbu nadzornom tijelu, države članice svakoj fizičkoj osobi osiguravaju pravo na pravni lijek pred sudom ako ona smatra da su povrijeđena njezina prava utvrđena odredbama donesenima u skladu s ovom Direktivom uslijed obrade njezinih osobnih podataka koja nije u skladu s navedenim odredbama.

1a.  Države članice osiguravaju izvršavanje konačnih odluka sudova na koje se upućuje u ovom članku. [Am. 117]

Članak 53.

Zajednička pravila za sudske postupke

1.  Države članice svakom tijelu, organizaciji ili udruzi iz članka 50. stavka 2. osiguravaju pravo da u ime na nalog jedne ili više osoba čiji se podaci obrađuju ostvari prava iz članaka 51., i 52. i 54. [Am. 118]

2.  Države članice osiguravaju da svako nadzorno tijelo ima pravo sudjelovati u sudskim postupcima i pokretati postupak pred sudom kako bi se provele odredbe donesene u skladu s ovom Direktivom ili kako bi se osigurala dosljedna zaštita osobnih podataka u Uniji. [Am. 119]

3.  Države članice osiguravaju da sudski postupci koji postoje u okviru nacionalnog zakonodavstva omoguće brzo usvajanje mjera, uključujući privremene mjere čiji je cilj ukloniti svaku navodnu povredu prava i spriječiti svako daljnje oštećenje zastupljenih interesa.

Članak 54.

Odgovornost i pravo na odštetu

1.  Države članice osiguravaju da svaka osoba koja je pretrpjela štetu, uključujući financijsku štetu, zbog nezakonitog postupka obrade ili zbog radnje koja je nespojiva s odredbama donesenima u skladu s ovom Direktivom ima pravo na zatražiti odštetu od nadzornika ili obrađivača za štetu koja joj je nanesena. [Am. 120]

2.  Ako je u obradu uključeno više nadzornika ili obrađivača, svaki je nadzornik ili obrađivač zajednički i pojedinačno odgovoran za ukupan iznos štete.

3.  Nadzornik ili obrađivač može se izuzeti od odgovornosti u cjelini ili djelomično ako dokaže da nije odgovoran za događaj koji je prouzročio štetu.

Članak 55.

Sankcije

Države članice utvrđuju pravila o sankcijama koje se primjenjuju na povrede odredbi donesenih u skladu s ovom Direktivom te poduzimaju sve potrebne mjere kako bi se osigurala njihova provedba. Predviđene sankcije moraju biti učinkovite, proporcionalne i odvraćajuće.

Poglavlje VIII.a

Prijenos osobnih podataka drugim strankama

Članak 55.a

Prijenos osobnih podataka drugim tijelima ili privatnim strankama u Uniji

1.  Države članice osiguravaju da nadzornik ne prenese ili obrađivaču ne naloži prenošenje osobnih podataka fizičkoj ili pravnoj osobi koja ne podliježe odredbama usvojenim na temelju ove Direktive, osim u sljedećim slučajevima:

(a)  prijenos je u skladu sa zakonodavstvom Unije ili sa zakonodavstvom država članica; i

(b)  primatelj ima boravište ili poslovni nastan u državi članici Europske unije; te

(c)  nikakvi zakoniti posebni interesi osobe čiji se podaci obrađuju ne sprečavaju prenošenje; i

(d)  prijenos je u konkretnom slučaju neophodan nadzorniku koji prenosi osobne podatke zbog:

(i)  obavljanja zadatka koji mu je zakonito dodijeljen; ili

(ii)  sprečavanja neposredne i ozbiljne opasnosti za javnu sigurnost; ili

(iii)  sprečavanja ozbiljne povrede prava pojedinaca.

2.  Nadzornik obavještava primatelja o razlogu zbog kojeg se osobni podaci isključivo mogu obraditi.

3.  Nadzornik obavještava nadzorno tijelo o takvim prijenosima.

4.  Nadzornik obavještava primatelja o ograničenjima u obradi i osigurava zadovoljavanje tih ograničenja. [Am. 121]

POGLAVLJE IX

DELEGIRANI AKTI I PROVEDBENI AKTI

Članak 56.

Prenošenje ovlasti

1.  Ovlast donositi delegirane akte povjerena je Komisiji prema uvjetima utvrđenim ovim člankom.

2.  Prenošenje ovlasti Ovlast za donošenje delegiranih akata iz članka 25.a stavka 7., članka 28. stavka 5., članka 34. stavka 3. i članka 34. stavka 5. povjereno je Komisiji na neodređeno razdoblje od datuma stupanja na snagu ove Direktive.

3.  Europski parlament ili Vijeće u svakom trenutku mogu opozvati prenošenje ovlasti iz članka 25.a stavka 7., članka 28. stavka 5., članka 34. stavka 3. i članka 34. stavka 5. Odlukom o opozivu prestaje prenošenje poništenju prekida se delegiranje ovlasti navedene u toj odluci. koje je u njoj navedeno. Odluka proizvodi pravne učinke na dan nakon njezine objave u Službenom listu Europske unije ili na kasniji datum koji je u njoj naveden. Odluka ne utječe na valjanost delegiranih akata koji su već na snazi.

4.  Komisija je dužna odmah po donošenju delegiranog akta obavijestiti istovremeno Europski parlament i Vijeće.

5.  Delegirani akt donesen u skladu s člankom 25.a stavkom 7., člankom 28. stavkom 5., člankom 34. stavkom 3. i člankom 34. stavkom 5.. stupa na snagu samo ako ni Europski parlament ni Vijeće ne izraze prigovor u roku od 2 mjeseca šest mjeseci od datuma slanja obavijesti o tom aktu Europskom parlamentu i Vijeću ili ako i Europski parlament i Vijeće prije isteka tog roka obavijeste Komisiju da neće ulagati prigovor. Navedeni rok produžuje se za 2 mjeseca šest mjeseci na zahtjev Europskog parlamenta ili Vijeća. [Am. 122]

Članak 56.a

Rok za donošenje delegiranih akata

1.  Komisija donosi delegirane akte na osnovi članka 25.a stavka 7. i članka 28. stavka 5. u razdoblju do [šest mjeseci prije datuma iz članka 62. stavka 1.]. Komisija može rok iz ovog stavka produžiti za šest mjeseci. [Am. 123]

Članak 57.

Postupak u odboru

1.  Komisiji pomaže odbor. Taj odbor je odbor u smislu Uredbe (EU) br. 182/2011.

2.  Kod upućivanja na ovaj stavak primjenjuje se članak 5. Uredbe (EU) br. 182/2011.

3.  Kod upućivanja na ovaj stavak primjenjuje se članak 8. Uredbe (EU) br. 182/2011 u vezi s njezinim člankom 5. [Am. 124]

POGLAVLJE X.

ZAVRŠNE ODREDBE

Članak 58.

Stavljanje izvan snage

1.  Okvirna odluka Vijeća 2008/977/JHA stavlja se izvan snage.

2.  Upućivanje na okvirnu odluku iz stavka 1. koja je stavljena izvan snage smatra se upućivanjem na ovu Direktivu.

Članak 59.

Odnos s prethodno donesenim aktima Unije za pravosudnu suradnju u kaznenim stvarima i policijsku suradnju

Posebne odredbe za zaštitu osobnih podataka pri obradi osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija u aktima Unije koji su doneseni prije datuma donošenja ove Direktive i kojima se uređuje obrada osobnih podataka među državama članicama i pristup imenovanih tijela država članica informacijskim sustavima uspostavljenima u skladu s Ugovorima unutar područja primjene ove Direktive ostaju nepromijenjene.

Članak 60.

Odnos s prethodno sklopljenim međunarodnim sporazumima na području pravosudne suradnje u kaznenim stvarima i policijske suradnje

Međunarodni sporazumi koje su države članice sklopile prije stupanja na snagu ove Direktive mijenjaju se, po potrebi, u roku od pet godina nakon stupanja na snagu ove Direktive.

Članak 61.

Ocjena

1.  Nakon što zatraži mišljenje Europskog odbora za zaštitu podataka, Komisija vrši ocjenu primjene ocjenjuje primjenu i provedbu ove Direktive. Komisija provodi usklađivanje u tijesnoj suradnji s država članicama i uključuju najavljene i nenajavljene posjete. Europski parlament i Vijeće obavještavaju se tijekom cijelog postupka i imaju pristup relevantnim dokumentima.

2.  Komisija u roku od tri dvije godine nakon stupanja na snagu ove Direktive revidira druge akte koje je donijela Europska unija i koji uređuju obradu osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija, posebno akte iz članka 59., i daje odgovarajuće prijedloge koje je Unija donijela kako bi osigurala dosljedne i homogene pravne propise koji se procijenila potreba da se usklade s ovom Direktivom i kako bi se, po potrebi, donijeli potrebni prijedlozi za izmjenom tih akata da bi se osigurao dosljedan pristup u vezi sa zaštitom odnose na obradu osobnih podataka u nadležnim tijelima za potrebe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanje kaznenopravnih sankcija unutar područja primjene ove Direktive.

2a.  Komisija u roku od dvije godine od stupanja na snagu ove Direktive podnosi odgovarajuće prijedloge za reviziju zakonskog okvira mjerodavnog za obradu osobnih podataka od strane institucija, tijela, ureda i agencija Unije, a za potrebe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija kako bi se osigurali dosljedni i homogeni pravni propisi u vezi s temeljnim pravom na zaštitu osobnih podataka u Uniji.

3.  Komisija Europskom parlamentu i Vijeću u redovitim vremenskim razmacima podnosi izvješća o ocjeni i reviziji ove Direktive u skladu sa stavkom 1. Prvo izvješće podnosi se najkasnije četiri godine nakon stupanja na snagu ove Direktive. Daljnja izvješća podnose se svake četiri godine nakon toga. Komisija po potrebi podnosi odgovarajuće prijedloge radi izmjene ove Direktive i usklađivanja drugih pravnih instrumenata. Izvješće se objavljuje. [Am. 125]

Članak 62.

Provedba

1.  Države članice dužne su najkasnije do ...(12) donijeti i objaviti zakone, propise i administrativne odredbe potrebne za usklađivanje s ovom Direktivom. Tekst tih odredbi odmah šalju Komisiji.

Navedene odredbe moraju se primjenjivati od...

Kad države članice donesu navedene odredbe, te odredbe moraju sadržavati uputu na ovu Direktivu ili se ta uputa mora navesti prilikom njihove službene objave. Države članice određuju način na koji se te upute vrše.

2.  Države članice Komisiji šalju tekst glavnih odredbi nacionalnog zakonodavstva koje donesu na području obuhvaćenom ovom Direktivom.

Članak 63.

Stupanje na snagu i primjena

Ova Direktiva stupa na snagu prvog dana od dana njezine objave u Službenom listu Europske unije.

Članak 64.

Adresati

Ova je Direktiva upućena državama članicama.

Sastavljeno,

Za Europski parlament Za Vijeće

Predsjednik Predsjednik

(1)1 SL C 192, 30.6.2012., str. 7.
(2) Stajalište Europskog parlamenta od 12. ožujka 2014.
(3) Direktiva 95/46/EZ Europskoga parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca pri obradi osobnih podataka i slobodnom kretanju takvih podataka (SL L 281, 23.11.1995., str. 31.)
(4)Okvirna odluka Vijeća 2008/977/JHA od 27. studenoga 2008. o zaštiti osobnih podataka obrađivanih u okviru policijske i pravosudne suradnje u kaznenim stvarima (SL L 350, 30.12.2008., str. 60.)
(5) Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (SL L 8, 12.1.2001., str. 1.)
(6) Uredba (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).
(7) Direktiva 2011/93/EU Europskog parlamenta i Vijeća od 13. prosinca 2011. o suzbijanju seksualnog zlostavljanja i seksualnog iskorištavanja djece i dječje pornografije te o zamjeni Okvirne odluke Vijeća 2004/68/PUP (SL L335, 17.12.2011., str. 1.).
(8) SL L 176, 10.7.1999., str. 36.
(9) SL L 53, 27.2.2008., str. 52.
(10) SL L 160, 18.6.2011., str. 21.
(11) SL C 369, 17.12.2011., str. 14.
(12) Dvije godine nakon dana stupanja na snagu ove Direktive

Pravna obavijest - Politika zaštite privatnosti