Zakonodajna resolucija Evropskega parlamenta z dne 12. marca 2014 o predlogu direktive Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))
(Redni zakonodajni postopek: prva obravnava)
Evropski parlament,
– ob upoštevanju predloga Komisije Evropskemu parlamentu in Svetu (COM(2012)0010),
– ob upoštevanju člena 294(2) in člena 16(2) Pogodbe o delovanju Evropske unije, na podlagi katerih je Komisija podala predlog Parlamentu (C7‑0024/2012),
– ob upoštevanju člena 294(3) Pogodbe o delovanju Evropske unije,
– ob upoštevanju obrazloženih mnenj nemškega zveznega sveta in švedskega parlamenta v skladu s Protokolom št. 2 o uporabi načel subsidiarnosti in sorazmernosti, v katerih izjavljata, da osnutek zakonodajnega akta ni v skladu z načelom subsidiarnosti,
– ob upoštevanju mnenja Evropskega nadzornika za varstvo podatkov z dne 7. marca 2012(1),
– ob upoštevanju mnenja Agencije Evropske unije za temeljne pravice z dne 1. oktobra 2012,
– ob upoštevanju člena 55 Poslovnika,
– ob upoštevanju poročila Odbora za državljanske svoboščine, pravosodje in notranje zadeve in mnenja Odbora za pravne zadeve (A7-0403/2013),
1. sprejme stališče v prvi obravnavi, kakor je določeno v nadaljevanju;
2. poziva Komisijo, naj zadevo ponovno predloži Parlamentu, če namerava svoj predlog bistveno spremeniti ali nadomestiti z drugim besedilom;
3. naroči svojemu predsedniku, naj stališče Parlamenta posreduje Svetu in Komisiji ter nacionalnim parlamentom.
Stališče Evropskega parlamenta, sprejeto v prvi obravnavi dne 12. marca 2014 z namenom sprejetja Direktive 2014/…/EU Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov
(1) Varstvo fizičnih oseb pri obdelavi osebnih podatkov je temeljna pravica. Člen 8(1) Listine Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina) in člen 16(1) Pogodbe o delovanju Evropske unije določata, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj. Člen 8(2) Listine določa, da se morajo taki podatki obdelovati pošteno, za določene namene in na podlagi privolitve zadevne osebe ali na drugi legitimni podlagi, določeni z zakonom. [Sprememba 1]
(2) Obdelava osebnih podatkov je namenjena temu, da služi človeku; načela in predpisi o varstvu posameznikov pri obdelavi njihovih osebnih podatkov morajo ne glede na narodnost ali prebivališče fizičnih oseb spoštovati njihove temeljne pravice in svoboščine, predvsem pravico do varstva osebnih podatkov. To bi moralo prispevati k oblikovanju območja svobode, varnosti in pravice.
(3) Hiter tehnološki razvoj in globalizacija sta prinesla nove izzive za varstvo osebnih podatkov. Obseg zbiranja in izmenjave podatkov se je bistveno povečal. Tehnologija pristojnim organom omogoča, da v doslej največjem obsegu uporabljajo osebne podatke za izvajanje svojih dejavnosti.
(4) To zahteva lajšanje prostega pretoka podatkov, kadar je to potrebno in sorazmerno, med pristojnimi organi v Uniji ter prenosa v tretje države in mednarodne organizacije, pri čemer se zagotavlja visoka raven varstva osebnih podatkov. Zaradi takšnega razvoja je treba v Uniji oblikovati trden in skladnejši okvir za varstvo podatkov, ki ga podpira dosledno izvajanje. [Sprememba 2]
(5) Direktiva Evropskega parlamenta in Sveta 95/46/ES(3) se uporablja za vse postopke obdelave osebnih podatkov v državah članicah, tako v javnem kot zasebnem sektorju. Vendar se ne uporablja za obdelavo osebnih podatkov med dejavnostjo, ki ne sodi na področje uporabe zakonodaje Skupnosti, kot so dejavnosti na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja.
(6) Okvirni sklep Sveta 2008/977/PNZ(4) se uporablja na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja. Področje uporabe tega okvirnega sklepa je omejeno na obdelavo osebnih podatkov, ki se posredujejo ali do katerih se omogoči dostop med državami članicami.
(7) Zagotavljanje dosledne in visoke ravni varstva osebnih podatkov posameznikov ter spodbujanje izmenjave osebnih podatkov med pristojnimi organi držav članic je bistvenega pomena za zagotovitev učinkovitega pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja. Zato mora biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, enaka v vseh državah članicah. V vsej Uniji bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin fizičnih oseb pri obdelavi osebnih podatkov. Za učinkovito varstvo osebnih podatkov v Uniji ni potrebna samo krepitev pravic posameznikov, na katere se nanašajo osebni podatki, ter dolžnosti tistih, ki osebne podatke obdelujejo, ampak so potrebna tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili varstva osebnih podatkov v državah članicah. [Sprememba 3]
(8) Člen 16(2) Pogodbe o delovanju Evropske unije določa, da morata Evropski parlament in Svet določiti pravila o varstvu fizičnih oseb pri obdelavi osebnih podatkov ter pravila o prostem pretoku njihovih osebnih podatkov. [Sprememba 4]
(9) Na podlagi tega Uredba (EU) št. …/2012 Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov) določa splošna pravila varstva posameznikov pri obdelavi osebnih podatkov in zagotavljanja prostega pretoka osebnih podatkov v Uniji.
(10) V izjavi št. 21 o varstvu osebnih podatkov na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja, priloženi Sklepni listini medvladne konference, s katero je bila sprejeta Lizbonska pogodba, je konferenca potrdila, da bi lahko bila zaradi posebne narave pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja na teh področjih potrebna posebna pravila o varstvu osebnih podatkov in o prostem pretoku takih podatkov na podlagi člena 16 Pogodbe o delovanju Evropske unije.
(11) Zato bi morala posebna direktiva urediti posebno naravo teh področij in urejati posebna direktiva, ki bi morala tudi določati pravila v zvezi z varstvom posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij. [Sprememba 5]
(12) Da se s pravno izvršljivimi pravicami zagotovi enaka raven varstva posameznikov v Uniji in da se preprečijo razhajanja, ki ovirajo izmenjavo osebnih podatkov med pristojnimi organi, bi morala ta direktiva zagotoviti usklajene določbe za varstvo in prosti pretok osebnih podatkov na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja.
(13) Ta direktiva omogoča, da se pri uporabi njenih določb upošteva načelo javnega dostopa do uradnih dokumentov.
(14) Varstva, zagotovljenega s to direktivo, bi morale biti v zvezi z obdelavo osebnih podatkov deležne fizične osebe, ne glede na njihovo narodnost ali stalno prebivališče.
(15) Varstvo posameznikov bi moralo biti tehnološko nevtralno in neodvisno od uporabljenih metod, sicer bi to ustvarilo resno tveganje izogibanja izpolnjevanju obveznosti. Varstvo posameznikov bi moralo veljati za obdelavo osebnih podatkov s samodejnimi sredstvi in za ročno obdelavo, če podatki sestavljajo del zbirke ali so namenjeni oblikovanju dela zbirke. Zapisi ali nizi zapisov in njihove naslovnice, ki niso strukturirani v skladu s posebnimi merili, ne spadajo na področje uporabe te direktive. Ta direktiva se ne bi smela uporabljati za obdelavo osebnih podatkov med dejavnostjo, ki je zunaj področja uporabe prava Unije, zlasti v zvezi z nacionalno varnostjo, ali za podatke, ki jih obdelujejo institucije, organi, uradi in agencije Unije, kot sta Europol in Eurojust. Uredbo (ES) št. 45/2001 Evropskega parlamenta in Sveta(5) in posebne pravne akte, ki se uporabljajo za agencije, organe ali urade Unije, bi bilo treba uskladiti s to direktivo in uporabljati v skladu s to direktivo. [Sprememba 6]
(16) Načela varstva bi morala veljati za vse informacije v zvezi z določeno ali določljivo fizično osebo. Za odločitev, ali je fizična oseba določljiva, je treba upoštevati vsa sredstva, za katera se razumno pričakuje, da jih bo za določitev ali izpostavitev posameznika uporabil bodisi upravljavec bodisi katera koli druga oseba. Načela varstva podatkov se ne bi smela uporabljati za podatke, ki so spremenjeni v anonimne na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni več določljiv. Ta direktiva se ne bi smela uporabljati za anonimne podatke, tj. vse podatke, ki jih ni mogoče neposredno ali posredno, samostojno ali skupaj s povezanimi podatki povezati s fizično osebo. Glede na pomen razvoja informacijske družbe, metod za zajetje, prenos, spreminjanje, beleženje, shranjevanje ali posredovanje podatkov o lokaciji fizične osebe, ki se lahko uporabijo za različne namene, vključno za nadzorovanje ali ustvarjanje profilov, bi se morala ta direktiva uporabljati za obdelavo takih osebnih podatkov. [Sprememba 7]
(16a) Vsaka obdelava osebnih podatkov mora biti zakonita, poštena in pregledna glede na zadevne posameznike. Zlasti posebni nameni, za katere se podatki obdelujejo, bi morali biti izrecni in zakoniti ter določeni v času zbiranja podatkov. Osebni podatki bi morali biti ustrezni, primerni in omejeni na nujno potrebne za namene, za katere se obdelujejo. Zato je posebej treba zbrane podatke in obdobje njihove hrambe na omejiti na najmanjšo mogočo mero. Osebni podatki se lahko obdelujejo samo, če namena obdelave ni bilo mogoče doseči z drugimi sredstvi. Sprejeti bi se morali vsi smiselni ukrepi za popravek ali izbris netočnih osebnih podatkov. Za zagotovitev, da se podatki hranijo le toliko časa, kolikor je potrebno, bi moral upravljavec določiti roke za izbris ali občasno preverjanje. [Sprememba 8]
(17) Osebni podatki v zvezi z zdravjem bi morali obsegati zlasti vse podatke v zvezi z zdravstvenim stanjem posameznika, na katerega se nanašajo osebni podatki, informacije o registraciji posameznika za zagotavljanje zdravstvenih storitev; informacije o plačilih ali upravičenosti posameznika do zdravstvenega varstva; številko, znak ali posebno oznako, dodeljeno posamezniku za njegovo enolično identifikacijo v zdravstvene namene; vse informacije o posamezniku, zbrane med nudenjem zdravstvenih storitev posamezniku; informacije, pridobljene s testiranjem ali preiskavo dela telesa ali telesne snovi, vključno z biološkimi vzorci; istovetnost osebe, ki posamezniku nudi storitve zdravstvenega varstva, ali vse informacije, npr. o bolezni, invalidnosti, tveganju za nastanek bolezni, zdravstveni anamnezi, kliničnem zdravljenju ali o dejanskem fiziološkem ali biološkem stanju posameznika, na katerega se nanašajo osebni podatki, ne glede na vir teh podatkov, kot je npr. zdravnik ali drug zdravstveni delavec, bolnišnica, medicinski pripomoček ali diagnostični preskus in vitro.
(18) Vsaka obdelava osebnih podatkov mora biti poštena in zakonita glede na zadevne posameznike. Zlasti morajo biti posebni nameni, za katere se podatki obdelujejo, jasno določeni. [Sprememba 9]
(19) Za preprečevanje, preiskovanje in pregon kaznivih dejanj je potrebno, da pristojni organi ohranijo in obdelajo osebne podatke, zbrane v okviru preprečevanja, preiskovanja, odkrivanja ali pregona posebnih kaznivih dejanj, zunaj tega okvira, da razvijejo razumevanje kriminalnih pojavov in trendov, zberejo obveščevalne podatke o organiziranih kriminalnih mrežah ter povežejo različna odkrita kazniva dejanja. [Sprememba 10]
(20) Osebni podatki se ne smejo obdelovati za namene, ki niso skladni z namenom njihovega zbiranja. Osebni podatki morajo biti primerni, ustrezni in ne preobsežni za namene, za katere se osebni podatki obdelujejo. Sprejeti je treba vse potrebne ukrepe za zagotovitev, da se netočni osebni podatki popravijo ali izbrišejo. [Sprememba 11]
(20a) Zgolj dejstvo, da se dva namena nanašata na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, ne pomeni nujno, da sta skladna. Obstajajo pa primeri, v katerih bi morala biti nadaljnja obdelava za namene, ki niso skladni, dovoljena zaradi skladnosti s pravno obveznostjo, ki velja za upravljavca, da se zavarujejo življenjski interesi posameznika, na katerega se nanašajo osebni podatki, ali druge osebe, ali da se prepreči neposredna in resna ogroženost javne varnosti. Države članice bi zato morale imeti možnost sprejeti nacionalne zakone, ki v obsegu, ki je nujno potreben, zagotavljajo takšna odstopanja. Taki nacionalni zakoni bi morali vsebovati ustrezne zaščitne ukrepe. [Sprememba 12]
(21) Načelo točnosti podatkov bi bilo treba uporabljati ob upoštevanju narave in namena zadevne obdelave. Zlasti v sodnih postopkih izjave, ki vsebujejo osebne podatke, pogosto temeljijo na subjektivnem dojemanju posameznikov in v nekaterih primerih niso vedno preverljive. Zato se zahteva po točnosti ne sme nanašati na točnost izjave, ampak samo na dejstvo, da je bila podana določena izjava.
(22) Pri razlagi in uporabi splošnih načel v zvezi z obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, je treba upoštevati posebnosti sektorja, vključno s posebnimi zastavljenimi cilji. [Sprememba 13]
(23) Z obdelavo osebnih podatkov na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja je neločljivo povezano dejstvo, da se obdelujejo osebni podatki v zvezi z različnimi vrstami posameznikov, na katere se nanašajo osebni podatki. Zato je treba v največji možni meri jasno razlikovati med osebnimi podatki različnih vrst posameznikov, na katere se nanašajo osebni podatki, kot so osumljenci, osebe, obsojene za kaznivo dejanje, žrtve in tretje osebe, kot so priče, osebe, ki imajo pomembne informacije, ali stiki ter udeleženci pri kaznivem dejanju, povezani z osumljenci in obsojenimi storilci kaznivih dejanj. Države članice bi morale ob upoštevanju različnih namenov, za katere se podatki zbirajo, in ob zagotavljanju posebnih zaščitnih ukrepov za osebe, ki niso osumljene ali niso bile obsojene zaradi storitve kaznivega dejanja, zagotoviti posebna pravila o posledicah te kategorizacije. [Sprememba 14]
(24) Osebne podatke je treba v največji možni meri razlikovati glede na stopnjo njihove točnosti in zanesljivosti. Dejstva je treba razlikovati od osebnih ocen, da se zagotovijo tako varstvo posameznikov kot kakovost in zanesljivost informacij, ki jih obdelujejo pristojni organi.
(25) Da bi bila obdelava osebnih podatkov zakonita, bi morala biti dovoljena samo, če je potrebna za skladnost s predpisano obveznostjo, ki velja za upravljavca, za opravljanje nalog, ki jih pristojni organ na podlagi zakonodaje izvaja v javnem interesu na podlagi prava Unije ali prava držav članic, ali da se zavarujejo življenjski interesi posameznika, na katerega se nanašajo osebni podatki, ali drugih oseb ali da se prepreči neposredna in resna ogroženost javne varnosti ki bi moralo vsebovati izrecne in podrobne določbe vsaj glede namenov, osebnih podatkov, posebnih namenov in sredstev, imenovati ali dovoliti imenovanje upravljavca, postopke, ki se naj uporabljajo, in omejitev področja uporabe kakršne koli diskrecijske pravice, prenesene na pristojne organe v zvezi z dejavnostmi obdelave. [Sprememba 15]
(25a) Osebni podatki se ne bi smeli obdelovati za namene, ki niso skladni z namenom njihovega zbiranja. Pristojni organi lahko izvajajo nadaljnjo obdelavo, ki spada na področje uporabe te direktive, ni pa skladna s prvotnim namenom zbiranja, samo v posebnih primerih, ko je takšna obdelava nujna zaradi skladnosti s pravno obveznostjo upravljavca, ki temelji na pravu Unije ali pravu držav članic, da se zavarujejo življenjski interesi posameznika, na katerega se nanašajo osebni podatki, ali drugih oseb, ali da se prepreči neposredna in resna ogroženost javne varnosti. Dejstvo, da se podatki obdelujejo za namene kazenskega pregona, ne pomeni nujno, da je ta namen skladen s prvotnim namenom zbiranja. Pojem skladne rabe je treba razlagati restriktivno. [Sprememba 16]
(25b) Obdelavo osebnih podatkov, ki krši nacionalne določbe, sprejete v skladu s to direktivo, bi bilo treba ustaviti. [Sprememba 17]
(26) Posebno varstvo je potrebno za osebne Osebne podatke, ki so po svoji naravi posebej občutljivi v zvezi s temeljnimi pravicami ali zasebnostjo, vključno z genetskimi podatki in ranljivi glede temeljnih pravic ali zasebnosti, je treba še posebej varovati. Taki podatki se ne bi smeli obdelovati, razen če je obdelava izrecno določena s predpisom potrebna za opravljanje naloge v javnem interesu, na podlagi prava Unije ali prava držav članic, ki zagotavlja ustrezne ukrepe za varovanje temeljnjih pravic in pravnega interesa posameznika, na katerega se nanašajo osebni podatki; ali če je obdelava potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe; ali če je obdelava povezana s podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, objavi. Občutljive osebne podatke bi bilo treba obdelovati le, če dopolnjujejo druge osebne podatke, ki so se že obdelali za namene kazenskega pregona. Vsa odstopanja od te prepovedi obdelave občutljivih podatkov bi bilo treba razlagati restriktivno in ne bi smelo privesti do pogoste, množične ali strukturne obdelave občutljivih osebnih podatkov. [Sprememba 18]
(26a) Obdelava genetskih podatkov bi morala biti dovoljena le, če se med kazensko preiskavo ali sodnim postopkom pojavi genetska povezava. Genetske podatke bi bilo treba hraniti samo tako dolgo, kolikor je nujno potrebno za namene takšne preiskave ali postopka, medtem ko države članice uredijo podaljšano hrambo v skladu s pogoji, ki jih določa ta direktiva. [Sprememba 19]
(27) Vsaka fizična oseba bi morala imeti pravico, da se v zvezi z njo ne sprejme ukrep ni predmet ukrepa, ki delno ali v celoti temelji izključno na samodejni obdelavi, če ima škodljiv na oblikovanju profilov s pomočjo samodejne obdelave. Obdelava, ki ima pravni učinek na navedeno to osebo ali nanjo znatno vpliva, bi morala biti prepovedana, razen če tako določa zakon je dovoljena z zakonom in če je sprejet z ustreznimi so sprejeti ustrezni ukrepi za varovanje temeljnih pravic in pravnega interesa posameznika, na katerega se nanašajo osebni podatki, vključno s pravico do pridobitve pomembnih informacij o načinu profiliranja. Takšna obdelava v nobenem primeru ne bi smela vsebovati ali ustvarjati posebnih vrst podatkov oziroma diskriminirati na njihovi podlagi. [Sprememba 20]
(28) Da lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja svoje pravice, morajo biti vse informacije zanj lahko dostopne in lahko razumljive, kar vključuje tudi uporabo jasnega in preprostega jezika. Te informacije bi bilo treba prilagoditi potrebam osebe, na katero se podatki nanašajo, zlasti kadar so informacije posebej naslovljene na otroka. [Sprememba 21]
(29) Da bi lahko posameznik, na katerega se nanašajo osebni podatki, lažje uveljavljal pravice v okviru te direktive, je treba zagotoviti podrobnosti, vključno z mehanizmi za brezplačno zahtevo, predvsem za dostop do podatkov, popravke in izbris. Upravljavec bi moral biti zavezan k temu, da nemudoma in v roku enega meseca po prejemu zahteve odgovori na zahteve posameznika, na katerega se nanašajo osebni podatki. Kadar se osebni podatki obdelujejo s samodejnimi sredstvi, bi moral upravljavec zagotoviti sredstva za elektronsko vložitev zahtev. [Sprememba 22]
(30) Načelo poštene in pregledne obdelave zahteva, da je treba posameznike, na katere se nanašajo osebni podatki, obvestiti zlasti o obstoju postopka obdelave in njegovih namenih, o njegovi pravni podlagi, o času trajanja shranjevanja podatkov, o obstoju pravice do dostopa, popravkov ali izbrisa in o pravici do vložitve pritožbe. Poleg tega bi bilo treba posameznika, na katerega se nanašajo osebni podatki, v primeru oblikovanja profila obvestiti o tem in o predvidenih posledicah. Kadar se podatki zberejo od posameznika, na katerega se nanašajo osebni podatki, ga je treba obvestiti tudi o tem, ali je dolžan predložiti podatke, in o posledicah, če takih podatkov ne predloži. [Sprememba 23]
(31) Posameznikom, na katere se nanašajo osebni podatki, bi bilo treba informacije v zvezi z obdelavo osebnih podatkov, ki se nanje nanašajo, posredovati ob zbiranju podatkov, ali kadar se podatki ne pridobijo od posameznika, na katerega se nanašajo osebni podatki, ob beleženju ali v primernem roku po zbiranju, in sicer glede na posebne okoliščine, v katerih se podatki obdelajo.
(32) Vsaka oseba mora imeti pravico dostopa do podatkov, ki so bili zbrani v zvezi z njo, in do enostavnega uveljavljanja te pravice, da bi se seznanila z obdelavo in preverila njeno zakonitost. Zato bi moral vsak Vsak posameznik, na katerega se nanašajo osebni podatki, bi moral imeti zato pravico do seznanitve, da je seznanjen s sporočilom in njegove pridobitve, zlasti o namenih, za katere se obdelujejo podatki, pravno podlago, v kakšnem obdobju, kateri prejemniki prejmejo podatke, tudi v tretjih državah, če pride v poštev, razumljivimi informacijami o logiki samodejne obdelave, in njenimi pomembnimi in predvidenimi posledicami in da takšno sporočilo pridobi, ter pravico, da se pritoži nadzornemu organu in pridobi njegove kontaktne podatke. Posameznikom, na katere se nanašajo osebni podatki, bi moralo biti omogočeno, da prejmejo kopijo svojih osebnih podatkov, ki se obdelujejo. [Sprememba 24]
(33) Državam članicam bi moralo biti dovoljeno sprejeti zakonodajne ukrepe za zadržanje,ali omejitev ali izpustitev informacij posameznikov, na katere se nanašajo osebni podatki, ali dostopa do njihovih osebnih podatkov, če je taka delna ali popolna omejitev, ki mora upoštevati temeljne pravice in pravni interes zadevne osebe, nujen in sorazmeren ukrep v demokratični družbi za preprečitev oviranja uradnih ali drugih zakonitih preiskav, poizvedb ali postopkov; izogibanje vplivu na preprečevanje, odkrivanje, preiskovanje in pregon kaznivih dejanj ali izvrševanje kazenskih sankcij; zaščito javne ali nacionalne varnosti; ali varstvo posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih. Upravitelj bi moral dejansko in posamezno preučiti vsak primer, da oceni, ali naj se dostop omeji delno ali v celoti. [Sprememba 25]
(34) Posameznika, na katerega se nanašajo osebni podatki, bi bilo treba o zavrnitvi ali omejitvi dostopa pisno obvestiti, tudi o dejanskem stanju ali pravni podlagi, na katerih temelji sklep.
(34a) Vsaka omejitev pravic osebe, na katero se nanašajo podatki, mora biti skladna z Listino in Evropsko konvencijo o človekovih pravicah, kot je pojasnjeno s sodno prakso Sodišča Evropske unije in Evropskega sodišča za človekove pravice, zlasti glede vsebine pravic in svoboščin. [Sprememba 26]
(35) Če so države članice sprejele zakonodajne ukrepe za delno ali popolno omejitev pravice dostopa, mora imeti posameznik, na katerega se nanašajo osebni podatki, pravico do tega, da od pristojnega nacionalnega nadzornega organa zahteva pregled zakonitosti obdelave. Posameznika, na katerega se nanašajo osebni podatki, bi bilo treba o tej pravici obvestiti. Kadar nadzorni organ izvede dostop v imenu posameznika, na katerega se nanašajo osebni podatki, mora nadzorni organ posameznika, na katerega se nanašajo osebni podatki, obvestiti vsaj o tem, da je opravil vsa potrebna preverjanja, in o rezultatu v zvezi z zakonitostjo zadevne obdelave. Nadzorni organ osebo, na katero se podatki nanašajo, obvesti tudi o pravici do uporabe pravnega sredstva. [Sprememba 27]
(36) Vsaka oseba mora bi morala imeti pravico do popravka netočnih ali nezakonito obdelanih osebnih podatkov, ki se nanašajo nanjo, in pravico do izbrisa, kadar obdelava takih podatkov ni skladna z glavnimi načeli določbami iz te direktive. O teh popravkih, dopolnitvah ali izbrisu bi bilo treba obvestiti prejemnike, ki so jim bili podatki posredovani, in tretje osebe, od katerih so netočni osebni podatki prišli. Upravljavci bi morali prav tako prenehati širiti te podatke. Če se osebni podatki obdelujejo med kazensko preiskavo in v kazenskem postopku, se lahko pravice do popravka, informacij, dostopa, izbrisa in omejitve obdelave uveljavljajo v skladu z nacionalnimi predpisi o sodnih postopkih. [Sprememba 28]
(37) Določiti bi bilo treba vse vidike pristojnosti in odgovornosti upravljavca za vsako obdelavo osebnih podatkov, ki jo izvede ali ki se izvede v njegovem imenu. Upravljavec bi moral zlasti zagotoviti skladnost vseh postopkov obdelave s pravili, sprejetimi v skladu s to direktivo in biti zmožen dokazati skladnost vsakega postopka z njimi. [Sprememba 29]
(38) Zaradi varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov je treba sprejeti primerne tehnične in organizacijske ukrepe, s čimer se zagotovi izpolnitev zahtev iz Direktive. Upravljavec bi moral za zagotovitev skladnosti z določbami predpisov, sprejetih v skladu s to direktivo, sprejeti politike in izvesti ustrezne ukrepe, ki izpolnjujejo zlasti načela o vgrajenem varstvu podatkov.
(39) Zaradi varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, ter pristojnosti in odgovornosti upravljavcev in obdelovalcev je treba na podlagi te direktive jasno določiti pristojnosti, tudi v primeru, če upravljavec skupaj z drugimi upravljavci določa namene, pogoje in sredstva obdelave ali če se postopek obdelave izvaja v imenu upravljavca. Oseba, na katero se podatki nanašajo, bi morala imeti pravico, da uveljavlja svoje pravice iz te direktive v zvezi z vsakim skupnim upravljavcem in proti vsakemu od njih. [Sprememba 30]
(40) Upravljavec ali obdelovalec bi moral dokumentirati postopke obdelave, da spremlja skladnost s to direktivo. Vsak upravljavec ali obdelovalec bi moral biti zavezan k sodelovanju z nadzornimi organi in na zahtevo omogočiti dostop do te dokumentacije, da bi tako lahko služila spremljanju postopkov obdelave.
(40a) O vsakem postopku obdelave osebnih podatkov bi bilo treba voditi evidenco, da se omogoči preverjanje zakonitosti obdelave podatkov, notranje spremljanje in zagotavljanje neoporečnosti in varnosti podatkov. Evidenco bi bilo treba dati na zahtevo na voljo nadzornemu organu za potrebe spremljanja skladnosti s pravili, ki jih določa ta direktiva. [Sprememba 31]
(40b) Upravljavec ali obdelovalec podatkov bi moral opraviti oceno učinka o varstvu podatkov, če je verjetno, da bodo postopki obdelave pomenili posebno tveganje za pravice in svoboščine oseb, na katere se podatki nanašajo, zaradi svoje narave, obsega ali namena, kar bi zlasti moralo vključevati predvidene ukrepe, zaščitne ukrepe in mehanizme za zagotavljanje varstva osebnih podatkov in dokazovanje skladnosti s to direktivo. Ocena učinka bi se morala nanašati na ustrezne sisteme in postopke obdelave osebnih podatkov, ne pa tudi na posamezne primere. [Sprememba 32]
(41) Upravljavec ali obdelovalec bi se moral v nekaterih primerih pred obdelavo posvetovati z nadzornim organom, da bi se s preprečevalnimi ukrepi zagotovilo učinkovito varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki. Kadar ocena učinka o varstvu podatkov pokaže, da postopki obdelave verjetno predstavljajo visoko stopnjo posebnega tveganja za pravice in svoboščine posameznika, na katerega se nanašajo podatki, bi moral nadzorni organ biti v položaju, da pred začetkom postopkov prepreči tvegano obdelavo, ki ni v skladu s to direktivo, in da predstavi predloge za odpravo takšnega stanja. Tako posvetovanje lahko prav tako poteka med pripravo bodisi ukrepa nacionalnega parlamenta bodisi ukrepa, temelječega na takem zakonodajnem ukrepu, ki opredeljuje naravo obdelave in določa ustrezne zaščitne ukrepe. [Sprememba 33]
(41a) Za ohranitev varnosti in preprečitev obdelave s kršitvijo te direktive bi moral upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja. Ti ukrepi bi morali zagotoviti ustrezno raven varnosti ob upoštevanju najsodobnejše tehnologije in stroškov njihovega izvajanja glede na tveganja in na naravo osebnih podatkov, ki jih je treba varovati. Pri določanju tehničnih standardov in organizacijskih ukrepov za zagotavljanje varnosti obdelave bi morali spodbujati tehnološko nevtralnost. [Sprememba 34]
(42) Kršitev varnosti osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnemu posamezniku povzroči veliko gospodarsko izgubo in družbeno škodo, vključno z okrnitvijo ugleda zlorabo identitete. Zato mora upravljavec takoj, ko ugotovi, da je do take kršitve prišlo, o njej obvestiti pristojni nacionalni organ. Posameznike, pri katerih bi lahko kršitev škodljivo vplivala na njihove osebne podatke ali zasebnost, je treba o tem nemudoma obvestiti, da lahko sprejmejo potrebne varnostne ukrepe. Za kršitev je treba domnevati, da škodljivo vpliva na osebne podatke ali zasebnost posameznika, kadar lahko vodi, na primer, do kraje ali zlorabe identitete, fizične škode, hudega poniževanja ali okrnitve ugleda v zvezi z obdelavo osebnih podatkov. Obvestilo bi moralo vsebovati informacije o ukrepih, ki jih je za obravnavanje kršitve sprejel ponudnik, in priporočila za zadevnega naročnika ali posameznika. Obvestila posamezniku, na katerega se nanašajo podatki, bi morala biti pripravljena takoj, ko je mogoče, ter v tesnem sodelovanju z nadzornim organom ter ob spoštovanju njegovih navodil. [Sprememba 35]
(43) Pri določanju podrobnih pravil o obliki zapisa in postopkih, ki se uporabljajo za obvestilo o kršitvi varnosti osebnih podatkov, bi bilo treba ustrezno upoštevati okoliščine kršitve, vključno s tem, ali so bili osebni podatki zaščiteni z ustreznimi tehničnimi zaščitnimi ukrepi, ki učinkovito zmanjšujejo verjetnost zlorabe. Poleg tega bi bilo treba pri takih pravilih in postopkih upoštevati pravni interes pristojnih organov, če bi zgodnje razkritje lahko po nepotrebnem oviralo preiskavo okoliščin kršitve.
(44) Upravljavec ali obdelovalec določi osebo, ki upravljavcu ali obdelovalcu pomaga pri spremljanju in dokazovanju skladnosti z določbami predpisov, sprejetih v skladu s to direktivo. Več subjektov lahko skupaj imenuje Kjer več pristojnih organov deluje pod nadzorom osrednjega organa, bi moral vsaj ta osrednji organ imenovati tako uradno osebo za varstvo podatkov. Uradnim osebam za varstvo podatkov mora biti omogočeno, da neodvisno in učinkovito opravljajo svoje dolžnosti in naloge, zlasti z vzpostavitvijo pravil za preprečitev nasprotij interesov z drugimi nalogami, ki jih opravlja uradna oseba za varstvo podatkov. [Sprememba 36]
(45) Države članice bi morale zagotoviti, da se prenos v tretjo državo izvede samo, če je to potrebno ta posebni prenos potreben za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij in če je upravljavec v tretji državi ali mednarodni organizaciji javni organ, pristojen v smislu te direktive. Prenos se lahko izvede v primerih, ko Komisija odloči, da zadevna tretja država ali mednarodna organizacija zagotavlja ustrezno raven varstva ali da so bili navedeni ustrezni zaščitni ukrepi ali da so bili po potrebi navedeni ustrezni zaščitni ukrepi s pravno zavezujočim instrumentom. Podatki, ki se posredujejo pristojnim javnim organom v tretjih državah, se ne bi smeli nadalje obdelovati, razen za namen, zaradi katerega so se prenesli. [Sprememba 37]
(45a) Nadaljnji prenosi, ki jih izvedejo pristojni organi v tretjih državah ali mednarodne organizacije, ki so jim bili osebni podatki posredovani, bi morali biti dovoljeni le, če je nadaljnji prenos nujen za enak posebni namen kot prvotni prenos in če je tudi drugi prejemnik pristojni javni organ. Nadaljnji prenosi ne bi smeli biti dovoljeni za namene splošnega kazenskega pregona. Pristojni organ, ki je izvedel prvotni prenos, bi moral soglašati z nadaljnjim prenosom. [Sprememba 38]
(46) Komisija se lahko odloči, da določena tretja država ali ozemeljska enota ali sektor za obdelavo v tretji državi ali mednarodna organizacija nudi zadostno raven varstva podatkov, s čimer zagotavlja pravno varnost in enotnost v Uniji v zvezi s tretjimi državami ali mednarodnimi organizacijami, za katere se šteje, da zagotavljajo tako raven varstva, pri čemer taka odločitev Komisije velja za celotno Unijo. V teh primerih za prenose osebnih podatkov v te države posebno pooblastilo ni potrebno.
(47) Komisija bi morala v skladu s temeljnimi vrednotami, na katerih temelji Unija, zlasti z varstvom človekovih pravic, upoštevati, na kakšen način se v tretjih državah spoštujejo načelo vladavine prava, dostop do sodnega varstva ter mednarodne norme in standardi človekovih pravic.
(48) Komisiji Komisija bi morala biti tudi zmožna ugotoviti, da tretja država ali ozemeljska enota ali sektor za obdelavo v tretji državi ali mednarodna organizacija ne nudi zadostne ravni varstva podatkov. Posledično bi moral biti prenos osebnih podatkov v navedeno tretjo državo prepovedan, razen če temelji na mednarodnem sporazumu, ustreznih zaščitnih ukrepih ali odstopanju. Oblikovati je treba določbo za postopke posvetovanj med Komisijo in takimi tretjimi državami ali mednarodnimi organizacijami. Vendar tak sklep Komisije ne posega v možnost izvedbe prenosov na podlagi ustreznih zaščitnih ukrepov s pomočjo pravno zavezujočih instrumentov ali na podlagi odstopanja, določenega v Direktivi. [Sprememba 39]
(49) Prenosi, ki ne temeljijo na takem sklepu o ustreznosti, morajo biti dovoljeni samo, če so bili v pravno zavezujočem pravnem aktu navedeni ustrezni zaščitni ukrepi, ki zagotavljajo varstvo osebnih podatkov, ali če je upravljavec ali obdelovalec ocenil vse okoliščine postopka prenosa podatkov ali niza postopkov prenosa podatkov in na podlagi te ocene meni, da obstajajo ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov. V primerih, v katerih ni razlogov za odobritev prenosa, je treba po potrebi omogočiti odstopanja, da se zavarujejo življenjski interesi posameznika, na katerega se nanašajo osebni podatki, oziroma druge osebe ali da se zaščiti pravni interes posameznika, na katerega se nanašajo osebni podatki, če to določa predpis države članice o posredovanju osebnih podatkov, ali kadar je to bistveno za preprečevanje neposredne in resne ogroženosti javne varnosti države članice ali tretje države ali v posameznih primerih za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij ali v posameznih primerih zaradi uveljavitve, izvajanja ali obrambe pravnih zahtevkov. [Sprememba 40]
(49a) V primerih, v katerih ni razlogov za odobritev prenosa, je treba omogočiti odstopanja, da se zavarujejo življenjski interesi posameznika, na katerega se nanašajo osebni podatki, oziroma druge osebe ali da se zaščiti pravni interes posameznika, na katerega se nanašajo osebni podatki, če to določa predpis države članice o posredovanju osebnih podatkov, ali kadar je to bistveno za preprečevanje neposredne in resne ogroženosti javne varnosti države članice ali tretje države ali v posameznih primerih za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij ali v posameznih primerih zaradi uveljavitve, izvajanja ali obrambe pravnih zahtevkov. Ta odstopanja bi bilo treba razlagati restriktivno in ne bi smela omogočati pogostih, množičnih in strukturnih prenosov osebnih podatkov, niti vsesplošnega prenosa podatkov, ki bi moral biti omejen na podatke, ki so nujno potrebni. Odločitev o prenosu podatkov bi morala sprejeti ustrezno pooblaščena oseba. Prenos bi bilo treba dokumentirati ter na zahtevo nadzornemu organu omogočiti, da spremlja zakonitost prenosa. [Sprememba 41]
(50) Pri čezmejnem prenosu osebnih podatkov se lahko poveča tveganje v zvezi z zmožnostjo posameznikov pri uveljavljanju pravic do varstva podatkov, da se zaščitijo pred nezakonito uporabo ali razkritjem navedenih podatkov. Hkrati lahko nadzorni organi ugotovijo, da ne morejo obravnavati pritožb ali izvesti preiskav v zvezi z dejavnostmi zunaj svojih mej. Nezadostna pooblastila za preprečevanje kršitev ali njihovo odpravo in neskladne pravne ureditve lahko ovirajo njihova prizadevanja za čezmejno sodelovanje. Zato obstaja potreba po spodbujanju tesnejšega sodelovanja med nadzornimi organi za varstvo podatkov za pomoč pri izmenjavi informacij s tujimi nadzornimi organi za varstvo podatkov.
(51) Ustanovitev nadzornih organov v državah članicah, ki popolnoma neodvisno opravljajo svoje naloge, je bistveni del varstva posameznikov pri obdelavi njihovih osebnih podatkov. Nadzorni organi bi morali spremljati uporabo določb te direktive in prispevati k njeni dosledni uporabi v Uniji za zaščito fizičnih oseb v zvezi z obdelavo njihovih osebnih podatkov. V ta namen je potrebno medsebojno sodelovanje nadzornih organov in njihovo sodelovanje s Komisijo. [Sprememba 42]
(52) Države članice lahko nadzornemu organu, ki je v državah članicah že ustanovljen na podlagi Uredbe (EU) št. …/2014, podelijo pristojnost za izvajanje nalog, ki jih izvajajo nacionalni nadzorni organi, ustanovljeni na podlagi te direktive.
(53) Državam članicam bi morala biti omogočena ustanovitev več kot enega nadzornega organa zaradi njegove umestitve v njihovo ustavno, organizacijsko in upravno strukturo. Vsakemu nadzornemu organu bi bilo treba zagotoviti zadostne finančne in človeške vire, prostore in infrastrukturo, vključno s tehničnimi zmogljivostmi, izkušnjami in strokovnostjo, ki so potrebni za učinkovito opravljanje njihovih nalog, vključno z nalogami v zvezi z medsebojno pomočjo in sodelovanjem z drugimi nadzornimi organi v vsej Uniji. [Sprememba 43]
(54) Vsaka država članica bi morala predpisati splošne pogoje za člane nadzornega organa, ki bi morali zlasti določati, da te člane imenuje parlament ali vlada države članice na podlagi posvetovanja s parlamentom, ter vsebovati pravila o osebnih kvalifikacijah in položaju teh članov. [Sprememba 44]
(55) Čeprav se ta direktiva uporablja tudi za dejavnosti nacionalnih sodišč, pa pristojnost nadzornih organov ne sme obsegati obdelave osebnih podatkov, kadar ta delujejo kot sodni organ, da se zaščiti neodvisnost sodnikov pri opravljanju njihovih sodnih nalog. Vendar bi mora biti ta izjema omejena na dejanska sodna opravila v sodnih postopkih in se ne bi smela uporabljati za druge dejavnosti, v katere bi lahko bili vključeni sodniki v skladu z nacionalno zakonodajo.
(56) Za zagotovitev doslednega spremljanja in izvajanja te direktive v vsej Uniji bi morali biti dolžnosti in učinkovita pooblastila nadzornih organov v vseh državah članicah enaki, vključno s z učinkovitimi pooblastili za preiskovanje, pooblastilom dostopa do vseh osebnih podatkov in vseh informacij, potrebnih za izvajanje vseh nadzornih funkcij, pooblastilom dostopa v vse prostore upravljavca ali obdelovalca podatkov, vključno z opremo za obdelavo podatkov, in pravno zavezujoče posredovanje, izdajo odločb in naložitev sankcij, zlasti v primerih pritožb posameznikov, ter za sodelovanje v sodnem postopku. [Sprememba 45]
(57) Vsak nadzorni organ bi moral obravnavati pritožbe, ki jih vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, in preiskati zadevo. Preiskavo na podlagi pritožbe bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen, saj je lahko odločba nadzornega organa predmet sodne presoje. Nadzorni organ bi moral posameznika, na katerega se nanašajo osebni podatki, v primernem roku obvestiti o stanju zadeve in odločitvi o pritožbi. Če mora nadzorni organ zadevo podrobneje preučiti ali se uskladiti z drugim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo osebni podatki, posredovati informacije o stanju zadeve med postopkom.
(58) Nadzorni organi bi si morali medsebojno pomagati pri opravljanju svojih dolžnosti in zagotoviti medsebojno pomoč, da se zagotovita dosledna uporaba in izvajanje določb predpisov, sprejetih v skladu s to direktivo. Vsak nadzorni organ bi moral biti pripravljen za sodelovanje v skupnih operacijah. Zaprošeni nadzorni organ bi moral na zahtevo odgovoriti v določenem roku. [Sprememba 46]
(59) Evropski odbor za varstvo podatkov, ustanovljen z Uredbo (EU) št. …/2012 …/2014, bi moral prispevati k dosledni uporabi te direktive v vsej Uniji, vključno s svetovanjem Komisiji in institucijam Unije, spodbujanjem sodelovanja nadzornih organov v vsej Uniji in pripravo mnenja za Komisijo pri pripravi delegiranih in izvedbenih aktov na podlagi te direktive. [Sprememba 47]
(60) Vsak posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico do vložitve pritožbe pri nadzornem organu v kateri koli državi članici in pravico do pravnega sredstva v sodnem postopku, če meni, da so njegove pravice iz te direktive kršene, ali če nadzorni organ ne obravnava pritožbe ali ne ukrepa, kadar je tak ukrep potreben za zaščito pravic posameznika, na katerega se nanašajo osebni podatki.
(61) Vsak organ, organizacija ali združenje, katerega namen je varstvo pravic in interesov posameznikov, na katere se nanašajo osebni podatki, v zvezi z varstvom njihovih podatkov ki deluje v javnem interesu in ki je ustanovljen v skladu z nacionalno zakonodajo države članice, bi moral imeti pravico do vložitve pritožbe ali uveljavitve pravice do pravnega sredstva v sodnem postopku v imenu posameznikov, na katere se nanašajo osebni podatki, če ga ti za to ustrezno pooblastijo, ali do vložitve lastne pritožbe, neodvisno od pritožbe posameznika, na katerega se nanašajo osebni podatki, če meni, da je prišlo do kršitve varnosti osebnih podatkov. [Sprememba 48]
(62) Vsaka fizična ali pravna oseba bi morala imeti pravico do pravnega sredstva v sodnem postopku zoper odločbo nadzornega organa v zvezi z njo. Postopke zoper nadzorni organ je treba začeti pred sodišči države članice, v kateri ima nadzorni organ sedež.
(63) Države članice morajo zagotoviti, da zaradi učinkovitosti sodni postopki omogočajo hitro sprejetje ukrepov za odpravo ali preprečevanje kršitve te direktive.
(64) Vso škodo, tudi nepremoženjsko, ki jo oseba lahko utrpi zaradi nezakonite obdelave, bi moral povrniti upravljavec ali obdelovalec, vendar mu tega ni treba storiti, če dokaže, da ni odgovoren za škodo, predvsem kadar ugotovi napako na strani posameznika, na katerega se nanašajo osebni podatki, ali v primeru višje sile. [Sprememba 49]
(65) Kaznovati je treba vsako fizično ali pravno osebo, za katero velja zasebno ali javno pravo in ki ne ravna v skladu s to direktivo. Države članice bi morale zagotoviti, da so kazenske sankcije učinkovite, sorazmerne in odvračilne, ter sprejeti vse ukrepe za izvršitev kazenskih sankcij.
(65a) Prenos osebnih podatkov drugim organom ali zasebnim strankam v Uniji je prepovedan, razen če je prenos v skladu z zakonom, prejemnik pa ima sedež v državi članici, in noben poseben pravni interes posameznika, na katerega se nanašajo osebni podatki, ne preprečuje prenosa, ki je potreben v določenem primeru, ko upravljavec prenese podatke bodisi zaradi izvajanja naloge, ki mu je zakonito dodeljena, bodisi zaradi preprečevanja neposredne in resne ogroženosti javne varnosti ali preprečevanja resne kršitve pravic posameznikov. Upravljavec bi moral prejemnika obvestiti o namenu obdelave, nadzorni organ pa o prenosu. Prejemnika bi bilo treba obvestiti tudi o omejitvah pri obdelavi in zagotoviti, da so izpolnjene. [Sprememba 50]
(66) Da se dosežejo cilji te direktive, in sicer da se zaščitijo temeljne pravice in svoboščine fizičnih oseb in zlasti njihova pravica do varstva osebnih podatkov, ter da se zagotovi svobodna izmenjava osebnih podatkov s strani pristojnih organov v Uniji, je bi bilo treba na Komisijo prenesti pooblastila, da lahko v skladu s členom 290 Pogodbe o delovanju Evropske unije sprejema sprejme akte. Zlasti je bi bilo treba sprejeti delegirane akte , s katerimi bi se podrobneje določila merila in pogoji za postopke obdelave, pri katerih je potrebna ocena učinka o varstvu podatkov, merila in zahteve za kršitve varnosti osebnih podatkov, in v zvezi z obvestili o kršitvah varnosti osebnih podatkov, posredovanimi nadzornemu organu ustrezno ravnjo varstva, ki ga zagotovi tretja država ali ozemeljska enota ali sektor za obdelavo v tej tretji državi ali mednarodna organizacija. Prav tako je zlasti Zlasti je pomembno, da Komisija pri svojem pripravljalnem delu opravi med pripravo izvede ustrezna posvetovanja, vključno na ravni strokovnjakov tudi s strokovnjaki, zlasti pa Evropskim odborom za varstvo podatkov. Komisija mora bi morala pri pripravi in oblikovanju delegiranih aktov zagotoviti, da so ustrezni dokumenti predloženi Evropskemu parlamentu in Svetu predloženi istočasno, pravočasno in na ustrezen način. [Sprememba 51]
(67) Za zagotovitev enotnih pogojev za izvajanje te direktive v zvezi z dokumentiranjem s strani upravljavcev in obdelovalcev, varnostjo obdelovanja, zlasti v zvezi s standardi šifriranja,in obveščanjem nadzornega organa o kršitvah varnosti osebnih podatkov ter ustrezno ravnjo varstva, ki ga zagotovi tretja država ali ozemeljska enota ali sektor za obdelavo v tej tretji državi ali mednarodna organizacija, je treba na Komisijo prenesti izvedbena pooblastila. Ta pooblastila je bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije(6). [Sprememba 52]
(68) Postopek pregleda se uporabi za sprejetje ukrepov v zvezi z dokumentiranjem s strani upravljavcev in obdelovalcev, varnostjo obdelovanja,in obveščanjem nadzornega organa o kršitvah varnosti osebnih podatkov ter ustrezno ravnjo varstva, ki ga zagotovi tretja država ali ozemeljska enota ali sektor za obdelavo v tej tretji državi ali mednarodna organizacija, če je področje uporabe teh aktov splošno. [Sprememba 53]
(69) Komisija mora sprejeti izvedbene akte, ki se začnejo takoj uporabljati, na podlagi ustrezno utemeljenih nujnih primerov v zvezi s tretjo državo ali ozemeljsko enoto ali sektorjem za obdelavo v tej tretji državi ali mednarodno organizacijo, ki ne zagotavlja ustrezne ravni varstva. [Sprememba 54]
(70) Ker države članice ne morejo zadovoljivo doseči ciljev te direktive, tj. zaščititi temeljne pravice in svoboščine fizičnih oseb in zlasti njihovo pravico do varstva njihovih osebnih podatkov ter zagotoviti svobodno izmenjavo osebnih podatkov s strani pristojnih organov v Uniji, in temveč se lahko zato zaradi obsega ali učinkov ukrepov lažje dosežejo na ravni Unije, lahko Unija v skladu z načelom subsidiarnosti sprejme ukrepe, kot je določeno v členu 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti, kakor je določeno v navedenem členu, ta direktiva ne presega tistega, kar je potrebno za doseganje navedenega cilja navedenih ciljev. Države članice lahko zagotovijo višje standarde od teh, ki jih določa ta direktiva. [Sprememba 55]
(71) S to direktivo bi bilo treba razveljaviti Okvirni sklep 2008/977/PNZ.
(72) Posebne določbe v zvezi z obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, v aktih Unije, ki so bili sprejeti pred sprejetjem te direktive in urejajo obdelavo osebnih podatkov v državah članicah oziroma dostop določenih organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi pogodb, bi morale ostati nespremenjene. Komisija Ker člen 8 Listine in člen 16 PDEU določata, da bi morala biti temeljna pravica do varstva osebnih podatkov v Uniji zagotovljena na dosleden in enoten način, bi morala Komisija v dveh letih po začetku veljavnosti te direktive ovrednotiti položaj glede na odnos med to direktivo in akti, ki so bili sprejeti pred njenim sprejetjem te direktive in urejajo obdelavo osebnih podatkov v državah članicah oziroma dostop določenih organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi pogodb, da se oceni potreba po prilagoditvi teh posebnih določb tej direktivi in predložiti ustrezne predloge za zagotovitev doslednih in enotnih pravnih pravil o obdelavi podatkov v pristojnih organih ali o dostopu določenih organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi pogodb, pa tudi za obdelavo osebnih podatkov v institucijah, organih, uradih in agencijah Unije za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, ki spadajo na področje uporabe direktive. [Sprememba 56]
(73) Za zagotovitev celovitega in skladnega varstva osebnih podatkov v Uniji je treba v skladu s to direktivo spremeniti mednarodne sporazume, ki so jih Unija ali države članice sklenile pred začetkom veljavnosti te direktive. [Sprememba 57]
(74) Ta direktiva ne posega v pravila o boju proti spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji, kot so določena v Direktivi 2011/93/EU Evropskega parlamenta in Sveta(7).
(75) V skladu s členom 6a Protokola št. 21 o stališču Združenega kraljestva in Irske v zvezi z območjem svobode, varnosti in pravice, ki je priložen k Pogodbi o Evropski uniji in k Pogodbi o delovanju Evropske unije, pravila iz te direktive ne zavezujejo Združenega kraljestva in Irske, če ju ne zavezujejo pravila, ki urejajo oblike pravosodnega sodelovanja v kazenskih zadevah ali policijskega sodelovanja, v okviru katerih je treba upoštevati določbe predpisov, sprejetih na podlagi člena 16 Pogodbe o delovanju Evropske unije.
(76) Za Dansko v skladu s členoma 2 in 2a Protokola št. 22 o stališču Danske, ki je priložen k Pogodbi o Evropski uniji in Pogodbi o delovanju Evropske unije, ta direktiva ni zavezujoča niti se v njej ne uporablja. Ker ta direktiva nadgrajuje schengenski pravni red na podlagi naslova V tretjega dela Pogodbe o delovanju Evropske unije, se mora Danska v skladu s členom 4 navedenega protokola v šestih mesecih po sprejetju te direktive odločiti, ali jo bo prenesla v svoje nacionalno pravo. [Sprememba 58]
(77) Kar zadeva Islandijo in Norveško, ta direktiva pomeni razvoj določb schengenskega pravnega reda v smislu Sporazuma, sklenjenega med Svetom Evropske unije ter Republiko Islandijo in Kraljevino Norveško, o pridružitvi teh dveh držav k izvajanju, uporabi in razvoju schengenskega pravnega reda(8).
(78) Kar zadeva Švico, ta direktiva pomeni razvoj določb schengenskega pravnega reda v smislu Sporazuma med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda(9).
(79) Kar zadeva Lihtenštajn, ta direktiva pomeni razvoj določb schengenskega pravnega reda v smislu Protokola med Evropsko unijo, Evropsko skupnostjo, Švicarsko konfederacijo in Kneževino Lihtenštajn o pristopu Kneževine Lihtenštajn k Sporazumu med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda(10).
(80) Ta direktiva spoštuje temeljne pravice in upošteva načela, ki jih priznava Listina Evropske unije o temeljnih pravicah, kakor so vsebovani v Pogodbi, zlasti pravico do spoštovanja zasebnega in družinskega življenja, pravico do varstva osebnih podatkov, pravico do učinkovitega pravnega sredstva in do nepristranskega sojenja. Omejitve teh pravic so v skladu s členom 52(1) Listine, ker so potrebne za izpolnjevanje ciljev splošnega interesa, ki jih priznava Unija, ali zadovoljevanje potrebe po zaščiti pravic in svoboščin drugih.
(81) V skladu s skupno politično izjavo z dne 28. septembra 2011 držav članic in Komisije o obrazložitvenih dokumentih(11) se države članice zavezujejo, da bodo obvestilu o ukrepih za prenos v nacionalno zakonodajo v upravičenih primerih priložile enega ali več dokumentov, v katerih bo pojasnjeno razmerje med sestavnimi elementi direktive in ustreznimi deli nacionalnih pravnih aktov za prenos. Zakonodajalec meni, da je posredovanje takih dokumentov v primeru te direktive upravičeno.
(82) Ta direktiva državam članicam ne bi smela preprečevati uveljavljanja pravic posameznikov, na katere se nanašajo osebni podatki, do informacij, dostopa, popravka, izbrisa in omejitve njihovih osebnih podatkov, obdelanih v kazenskem postopku, in njihovih možnih omejitvah v zvezi s tem v nacionalnih predpisih o kazenskem postopku –
SPREJELA NASLEDNJO DIREKTIVO:
POGLAVJE I
SPLOŠNE DOLOČBE
Člen 1
Vsebina in cilji
1. Ta direktiva določa pravila v zvezi z varstvom posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali in izvrševanja kazenskih sankcij ter pogoje za prost pretok takih osebnih podatkov.
2. Države članice v skladu s to direktivo:
(a) varujejo temeljne pravice in svoboščine fizičnih oseb ter zlasti njihovo pravico do varstva njihovih osebnih podatkov in zasebnosti; in ter
(b) zagotovijo, da izmenjava osebnih podatkov med pristojnimi organi v Uniji ni niti omejena niti prepovedana iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov.
2a. Ta direktiva državam članicam ne preprečuje sprejetja višjih zaščitnih ukrepov od teh, ki jih določa ta direktiva. [Sprememba 59]
Člen 2
Področje uporabe
1. Ta direktiva se uporablja za obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene iz člena 1(1).
2. Ta direktiva se uporablja za obdelavo osebnih podatkov v celoti ali delno s samodejnimi sredstvi in za drugačno obdelavo kakor s samodejnimi sredstvi za osebne podatke, ki sestavljajo del zbirke ali so namenjeni oblikovanju dela zbirke.
3. Ta direktiva se ne uporablja za obdelavo osebnih podatkov:
(a) v okviru dejavnosti zunaj področja uporabe zakonodaje Unije, zlasti v zvezi z nacionalno varnostjo;.
(b) ki jo izvajajo institucije, organi, uradi in agencije Unije. [Sprememba 60]
Člen 3
Opredelitve pojmov
V tej direktivi:
(1) „posameznik, na katerega se nanašajo osebni podatki“ pomeni določeno fizično osebo ali fizično osebo, ki je neposredno ali posredno določljiva s sredstvi, za katera se razumno pričakuje, da jih bo uporabil upravljavec ali vsaka druga fizična ali pravna oseba, zlasti z navedbo identifikacijske številke, podatkov o lokaciji, spletnih identifikatorjev ali enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto navedene osebe;
(2) „osebni podatki“ pomeni vsako informacijo v zvezi s posameznikom, ki se nanaša na določeno ali določljivo fizično osebo (v nadaljnjem besxedilu: posameznik, na katerega se nanašajo osebni podatki); določljiva oseba je tista, ki se lahko neposredno ali posredno določi, zlasti s pomočjo identifikatorjev, kot so ime, identifikacijska številka, podatki o lokaciji, edinstveni identifikator ali eden ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno, družbeno ali spolno identiteto te osebe;
(2a) „psevdonimizirani podatki“ pomeni osebne podatke, ki jih brez dodatnih informacij ni mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje nepripisovanja;
(3) „obdelava“ pomeni vsak postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki ali nizi osebnih podatkov s samodejnimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali predelava, iskanje, vpogled, uporaba, razkritje s posredovanjem, širjenje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejitev, izbris ali uničenje;
(3a) „oblikovanje profilov“ pomeni vsako obliko samodejne obdelave osebnih podatkov za namene ocene nekaterih osebnih vidikov v zvezi s fizično osebo ali analiziranja ali predvidevanja zlasti uspešnosti pri delu, ekonomskega položaja, lokacije, zdravja, osebnega okusa, zanesljivosti ali vedenja fizične osebe;
(4) „omejitev obdelave“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;
(5) „zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki je dostopen v skladu s posebnimi merili, in sicer centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;
(6) „upravljavec“ pomeni pristojni javni organ, ki sam ali skupaj z drugimi določa namene, pogoje in sredstva obdelave osebnih podatkov; kadar namene, pogoje in sredstva obdelave določa zakonodaja Unije ali zakonodaja držav članic, lahko upravljavca ali posebna merila za njegovo imenovanje določi zakonodaja Unije ali zakonodaja držav članic;
(7) „obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali vsak drug organ, ki obdeluje osebne podatke v imenu upravljavca;
(8) „prejemnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali vsak drug organ, ki so mu bili podatki razkriti;
(9) „kršitev varnosti osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;
(10) „genetski podatki“ pomeni vse podatke ne glede na njihovo vrsto v zvezi z značilnostmi posameznika, ki so podedovane ali pridobljene v zgodnjem prenatalnem obdobju;
(11) „biometrični podatki“ pomeni vse osebne podatke v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo njegovo edinstveno identifikacijo, kot so podobe obraza ali daktiloskopski podatki;
(12) „podatki o zdravstvenem stanju“ pomeni vsako informacijo vse osebne podatke, ki se nanaša nanašajo na telesno ali duševno zdravje posameznika ali na izvajanje zdravstvenih storitev za posameznika;
(13) „otrok“ pomeni osebo, mlajšo od 18 let;
(14) „pristojni organi“ pomeni vsak javni organ, pristojen za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;
(15) „nadzorni organ“ pomeni javni organ, ki ga v skladu s členom 39 ustanovi država članica. [Sprememba 61]
POGLAVJE II
NAČELA
Člen 4
Načela v zvezi z obdelavo osebnih podatkov
Države članice zagotovijo, da so osebni podatki obvezno:
(a) obdelani pošteno in zakonito, pošteno in na pregleden ter preverljiv način v zvezi s posameznikom, na katerega se nanašajo osebni podatki;
(b) zbrani za določene, jasne in zakonite namene ter se ne smejo naprej obdelovati na način, ki je nezdružljiv s temi nameni;
(c) primerni, ustrezni in ne pretirani glede omejeni na nujno potrebne za namene, za katere se obdelujejo; obdelujejo se lahko samo in kolikor namenov ni bilo mogoče doseči z obdelavo informacij, ki niso osebni podatki;
(d) točni in po potrebi posodobljeni; sprejeti je treba vse primerne ukrepe za zagotovitev, da se netočni osebni podatki nemudoma izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo;
(e) shranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo;
(f) obdelani v okviru pristojnosti in odgovornosti upravljavca, ki zagotovi in lahko dokaže skladnost z določbami predpisov, sprejetih v skladu s to direktivo.;
(fa) obdelani na način, ki posamezniku, na katerega se nanašajo osebni podatki, dejansko omogoča uveljavljanje njegovih pravic iz členov 10 do 17;
(fb) obdelani na način, ki ščiti pred nedovoljeno ali nezakonito obdelavo ter pred naključno izgubo, uničenjem ali poškodbo z ustreznimi tehničnimi ali organizacijskimi ukrepi;
(fc) obdelani samo s strani tistega ustrezno pooblaščenega osebja pristojnih organov, ki jih potrebuje za opravljanje svojih nalog. [Sprememba 62]
Člen 4a
Dostop do podatkov, ki so bili prvotno obdelani za namene, ki niso našteti v členu 1(1)
1. Države članice zagotovijo, da lahko pristojni organi dostopajo do osebnih podatkov, ki so prvotno obdelani za namene, ki niso našteti v členu 1(1), samo, če so posebej pooblaščeni po pravu Unije ali pravu držav članic, ki mora izpolnjevati zahteve iz člena 7(1a), in morajo zagotoviti, da:
(a) je dostop dovoljen le ustrezno pooblaščenemu osebju pristojnega organa pri izvajanju njegovih nalog, če se v posebnem primeru na podlagi razumnih razlogov meni, da bo obdelava osebnih podatkov bistveno prispevala k preprečevanju, preiskovanju, odkrivanju ali pregonu kaznivih dejanj ali izvrševanju kazenskih sankcij;
(b) zahteva za dostop mora biti pisna in mora navesti pravno podlago zanjo;
(c) se mora pisna zahteva dokumentirati; ter
(d) se izvajajo ustrezni zaščitni ukrepi za zagotavljanje varstva temeljnih pravic in svoboščin pri obdelavi osebnih podatkov. Ti zaščitni ukrepi ne posegajo v posebne pogoje za dostop do osebnih podatkov, kot je sodna odobritev v skladu z zakonodajo držav članic, in jih dopolnjujejo.
2. Do osebnih podatkov, ki jih imajo zasebne stranke ali drugih javni organi, se dostopa le za namen preiskovanja ali pregona kaznivih dejanj v skladu z zahtevami glede nujnosti in sorazmernosti, ki jih določa pravo Unije ali pravo države članice, in sicer povsem v skladu s členom 7a. [Sprememba 63]
Člen 4b
Časovna omejitve hrambe in pregled
1. Države članice zagotovijo, da pristojni organi izbrišejo osebne podatke, obdelane v skladu s to direktivo, kadar niso več potrebni za namene, zaradi katerih so bili obdelani.
2. Države članice zagotovijo, da pristojni organi vzpostavijo mehanizme, s katerimi se zagotovi, da so časovne omejitve za izbris osebnih podatkov in za redni pregled potreb po hrambi podatkov v skladu s členom 4 določene, vključno z določitvijo obdobij hrambe različnih kategorij osebnih podatkov. Vzpostavijo se postopkovni ukrepi, da se zagotovi spoštovanje časovnih omejitev in intervalov rednih pregledov. [Sprememba 64]
Člen 5
Razlikovanje med različnimi vrstami Različne vrste posameznikov, na katere se nanašajo osebni podatki
1. Države članice zagotovijo, da upravljavec v največji možni meri jasno razlikuje med osebnimi podatki lahko pristojni organi za namene iz člena 1(1) obdelujejo osebne podatke naslednjih različnih vrst posameznikov, na katere se nanašajo osebni podatki, kot so upravljavec pa jasno razlikuje med temi vrstami:
(a) osebe, v zvezi s katerimi obstaja utemeljen sum, da so storile kaznivo dejanje ali ga nameravajo storiti;
(b) osebe, ki so bile obsojene za kaznivo dejanje;
(c) žrtve kaznivega dejanja ali osebe, v zvezi s katerimi zaradi nekaterih dejstev obstajajo razlogi za utemeljen sum, da bi lahko postale žrtve kaznivega dejanja; ter
(d) tretje osebe, povezane s kaznivim dejanjem, kot so osebe, od katerih bi se lahko zahtevalo pričanje v preiskavah v zvezi s kaznivimi dejanji ali poznejšimi kazenskimi postopki, ali osebe, ki lahko zagotovijo informacije o kaznivih dejanjih, ali stiki ali sodelavci osebe iz odstavkov (a) in (b); ter.
(e) osebe, ki ne spadajo v nobeno od vrst posameznikov iz tega člena.
2. Osebni podatki posameznikov, na katere se nanašajo osebni podatki, ki niso navedeni v odstavku 1, se lahko obdelujejo samo, če:
(a) je to nujno za preiskavo ali kazenski pregon posebnega kaznivega dejanja, da se oceni pomen podatkov za eno od skupin iz odstavka 1; ali
(b) če je takšna obdelava neizogibna za usmerjene, preventivne namene ali za namene analize kaznivih dejanj, če in dokler je ta namen zakonit, natančno opredeljen in določen, obdelava pa strogo omejena na oceno pomena podatkov za eno od skupin iz odstavka 1. To je treba redno, najmanj vsakih šest mesecev preverjati. Vsaka nadaljnja uporaba je prepovedana.
3. Države članice zagotovijo, da za nadaljnjo obdelavo osebnih podatkov, ki se nanašajo na posameznike, na katere se nanašajo osebni podatki, iz točk (c) in (d) odstavka 1, v skladu z zakonodajo držav članic veljajo dodatne omejitve in zaščitni ukrepi. [Sprememba 65]
Člen 6
Različne stopnje točnosti in zanesljivosti osebnih podatkov
1. Države članice zagotovijo, da se različne vrste točnost in zanesljivost osebnih podatkov, ki se obdelujejo, v največji možni meri razlikujejo glede na njihovo stopnjo točnosti in zanesljivosti.
2. Države članice zagotovijo, da se osebni podatki, ki temeljijo na dejstvih, v največji možni meri razlikujejo od osebnih podatkov, ki temeljijo na osebnih mnenjih, glede na njihovo stopnjo točnosti in zanesljivosti.
2a. Države članice zagotovijo, da se osebni podatki, ki niso točni, popolni ali posodobljeni, ne posredujejo ali dajo na voljo. V ta namen pristojni organi ocenijo kakovost osebnih podatkov, preden se ti posredujejo ali dajo na voljo. Pri vsakem prenosu podatkov se po možnosti dodajo razpoložljive informacije, ki državi članici prejemnici omogočajo oceno stopnje točnosti, popolnosti, posodobljenosti in zanesljivosti podatkov. Osebni podatki se ne posredujejo brez zahteve pristojnega organa, zlasti ne podatki, ki so jih prvotno imele fizične osebe.
2b. Če se izkaže, da so bili posredovani netočni podatki ali da so bili podatki posredovani nezakonito, je to treba nemudoma sporočiti prejemniku. Prejemnik je dolžan te podatke nemudoma popraviti v skladu z odstavkom 1 in členom 15 ali jih izbrisati v skladu s členom 16. [Sprememba 66]
Člen 7
Zakonitost obdelave
1. Države članice zagotovijo, da je obdelava osebnih podatkov zakonita le, če je potrebna in v obsegu, v katerem se izvaja na podlagi prava Unije ali prava držav članic, in je potrebna:
(a) za opravljanje naloge, ki jo na podlagi zakonodaje izvaja pristojni organ za namene iz člena 1(1); ali
(b) zaradi skladnosti s pravno obveznostjo upravljavca; ali
(c) za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe; ali
(d) za preprečitev neposredne in resne ogroženosti javne varnosti.
1a. Zakonodaja držav članic, ki ureja obdelavo osebnih podatkov na področju uporabe te direktive, vsebuje izrecne in podrobne določbe, ki določajo vsaj:
(a) namene obdelave;
(b) osebne podatke, ki se jih obdela;
(c) posebne namene in sredstva za obdelavo;
(d) imenovanje upravljavca ali posebnih meril za njegovo imenovanje;
(f) postopek, ki ga je treba uporabljati za obdelavo;
(g) dovoljeno uporabo pridobljenih osebnih podatkov;
(h) omejitve kakršne koli diskrecijske pravice, podeljene pristojnim organom v zvezi z dejavnostmi obdelave. [Sprememba 67]
Člen 7a
Nadaljnja obdelava za namene, ki niso skladni
1. Države članice zagotovijo, da se smejo osebni podatki nadalje obdelovati za druge namene iz člena 1(1), ki niso skladni za namene, za katere so se ti podatki prvotno zbrali, le v primeru in obsegu, v katerem je:
(a) namen v demokratični družbi nujno potreben in sorazmeren in v skladu s pravom Unije ali države članice potreben za zakonit, natančno opredeljen in določen namen;
(b) obdelava strogo omejena na obdobje, ki ni daljše od časa, potrebnega za poseben postopek obdelave osebnih podatkov;
(c) vsaka nadaljnja uporaba za druge namene prepovedana.
Država članica se pred vsako obdelavo posvetuje s pristojnim nacionalnim nadzornim organom in opravi oceno učinka na varstvo podatkov.
2. Poleg zahtev iz člena 7(1a) zakonodaja držav članic, na podlagi katere se dovoli nadaljnja obdelava iz odstavka 1, vsebuje izrecne in podrobne določbe, ki podrobno opredeljujejo vsaj:
(a) posebne namene in načine te obdelave;
(b) da se dostop dovoli le ustrezno pooblaščenemu osebju pristojnega organa pri izvajanju njegovih nalog, če se v posebnem primeru na podlagi razumnih razlogov meni, da bi obdelava osebnih podatkov bistveno prispevala k preprečevanju, preiskovanju, odkrivanju ali pregonu kaznivih dejanj ali izvrševanju kazenskih sankcij; ter
(c) da se določijo ustrezni zaščitni ukrepi za zagotavljanje varstva temeljnih pravic in svoboščin pri obdelavi osebnih podatkov.
Države članice lahko v skladu z nacionalno zakonodajo zahtevajo, da za dostop do osebnih podatkov veljajo dodatni pogoji, kot je sodna odobritev.
3. Države članice lahko dovolijo tudi nadaljnjo obdelavo osebnih podatkov za zgodovinske, statistične ali znanstvene namene, če določijo ustrezne zaščitne ukrepe, kot je anonimiziranje podatkov. [Sprememba 68]
Člen 8
Obdelava posebnih vrst osebnih podatkov
1. Države članice prepovejo obdelavo osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično prepričanje, vero ali filozofsko prepričanje, spolno usmerjenost ali spolno identiteto, članstvo in dejavnosti v sindikatu, genetske podatke ali podatke ter obdelavo biometričnih podatkov ali podatkov v zvezi z zdravstvenim zdravjem ali spolnim življenjem.
2. Odstavek 1 se ne uporablja, kadar:
(a) je obdelava dovoljena z zakonom sorazmerna in nujno potrebna za opravljanje nalog s strani pristojnega organa za namene iz člena 1(1) na podlagi prava Unije ali države članice, ki zagotavlja posebne ustrezne zaščitne ukrepe za zaščito pravnih interesov posameznika, na katerega se nanašajo osebni podatki, tudi posebno odobritev sodnega organa, če to predpisuje nacionalno pravo; ali
(b) je obdelava potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe; ali
(c) je obdelava povezana s podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, objavi, če so pomembni in nujni za predvideni namen v določenem primeru. [Sprememba 69]
Člen 8a
Obdelava genetskih podatkov za namene kazenske preiskave ali sodnega postopka
1. Države članice zagotovijo, da se lahko genetski podatki uporabijo le za določitev genetske povezave v okviru predložitve dokazov, preprečevanja grožnje za javno varnost ali preprečevanja izvršitve posameznega kaznivega dejanja. Genetski podatki se ne smejo uporabiti za ugotavljanje drugih značilnosti, ki so lahko povezane z genetiko.
2. Države članice zagotovijo, da se smejo genetski podatki ali informacije, ki izhajajo iz njihove analize, hraniti samo toliko časa, kot je to potrebno za namene, za katere se ti podatki obdelujejo, in če je zadevni posameznik obsojen hudega kaznivega dejanja zoper življenje, integriteto ali varnost oseb, za kar veljajo strogi roki shranjevanja, ki se določijo s pravom države članice.
3. Države članice zagotovijo, da se genetski podatki ali informacije, ki izhajajo iz njihove analize, shranijo za daljše obdobje le, če genetskih podatkov ni mogoče povezati s posameznikom, zlasti če se pridobijo na kraju izvršitve kaznivega dejanja. [Sprememba 70]
Člen 9
Ukrepi na podlagi oblikovanja profilov in samodejna obdelava
1. Države članice zagotovijo, da se ukrepi, ki imajo škodljiv pravni učinek na posameznika, na katerega se nanašajo osebni podatki, ali ki nanj znatno vplivajo in delno ali v celoti temeljijo zgolj na samodejni obdelavi osebnih podatkov za namene ocene nekaterih osebnih vidikov posameznika, na katerega se nanašajo osebni podatki, prepovejo, razen če so dovoljeni z zakonom, ki opredeljuje ukrepe za zaščito pravnega interesa posameznika, na katerega se nanašajo osebni podatki.
2. Samodejna obdelava osebnih podatkov za namene ocene nekaterih osebnih vidikov posameznika, na katerega se nanašajo osebni podatki, ne temelji zgolj na posebnih vrstah osebnih podatkov iz člena 8.
2a. Samodejna obdelava osebnih podatkov za namene izločanja posameznika, na katerega se nanašajo osebni podatki, brez začetnega suma, da je posameznik, na katerega se nanašajo osebni podatki, morda storil ali bo storil kaznivo dejanje, je zakonita le, če je nujno potrebna in v obsegu, v katerem je nujno potrebna, za preiskavo hujšega kaznivega dejanja ali preprečevanje očitne in neposredne nevarnosti za javno varnost, obstoj države ali življenje oseb, ugotovljene na podlagi dejanskih znakov.
2b. V vsakem primeru je prepovedano oblikovanje profilov, ki ima (namerno ali ne) za posledico diskriminacijo posameznikov na podlagi rasnega ali etničnega porekla, političnega prepričanja, vere ali prepričanja, članstva v sindikatu, spola ali spolne usmerjenosti ali ki (namerno ali ne) privede do ukrepov, ki imajo takšne posledice. [Sprememba 71]
Člen 9a
Splošna načela v zvezi s pravicami posameznikov, na katere se nanašajo osebni podatki
1. Države članice zagotovijo, da je osnova za varstvo podatkov jasna in vsebuje nedvoumne pravice za posameznika, na katerega se nanašajo osebni podatki, ki jih upravljavec podatkov spoštuje. Namen določb te direktive je okrepiti, pojasniti, zagotoviti in, kjer je ustrezno, kodificirati omenjene pravice.
2. Države članice zagotovijo, da te pravice vsebujejo, med drugim, zagotavljanje jasnih in lahko razumljivih informacij v zvezi z obdelavo osebnih podatkov posameznika, na katerega se nanašajo osebni podatki, pravico do dostopa, popravkov in brisanja osebnih podatkov, pravico do pridobitve podatkov, pravico do vložitve pritožbe pri pristojnem organu za varstvo podatkov in do sprožitve pravnega postopka ter pravico do nadomestila in odškodnine zaradi nezakonitega postopka obdelave. Te pravice se na splošno zagotavljajo brezplačno. Upravljavec podatkov se na zahtevo posameznika, na katerega se nanašajo osebni podatki, odzove v razumnem roku. [Sprememba 72]
POGLAVJE III
PRAVICE POSAMEZNIKA, NA KATEREGA SE NANAŠAJO OSEBNI PODATKI
Člen 10
Načini uveljavljanja pravic posameznika, na katerega se nanašajo osebni podatki
1. Države članice zagotovijo, da ima upravljavec izvede vse primerne ukrepe za natančne, pregledne, jasne in lahko dostopne politike v zvezi z obdelavo osebnih podatkov in za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki.
2. Države članice zagotovijo, da upravljavec posamezniku, na katerega se nanašajo osebni podatki, vse informacije in vsa sporočila v zvezi z obdelavo osebnih podatkov posreduje v razumljivi obliki, pri čemer uporabi jasen in preprost jezik, zlasti če so te informacije posebej namenjene otroku.
3. Države članice zagotovijo, da upravljavec izvede vse primerne ukrepe za določitev postopkov določi postopke za zagotavljanje informacij iz člena 11 in za uveljavljanje pravic posameznikovposameznika, na katere katerega se nanašajo osebni podatki, iz členov 12 do 17. Kadar se osebni podatki obdelujejo s samodejnimi sredstvi, upravljavec zagotovi sredstva za elektronsko vložitev zahtev.
4. Države članice zagotovijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, nemudoma obvesti o nadaljnjih ukrepih v zvezi z njegovo zahtevo, v vsakem primeru pa najpozneje en mesec po prejemu zahteve. Informacije se predložijo v pisni obliki. Kadar posameznik, na katerega se nanašajo osebni podatki, vloži zahtevo v elektronski obliki, se informacije predložijo v elektronski obliki.
5. Države članice zagotovijo, da so informacije in vsi ukrepi upravljavca v zvezi z zahtevo iz odstavkov 3 in 4 brezplačni. Če so zahteve nadležne očitno čezmerne, zlasti zaradi njihove ponavljajoče se narave ali velikosti ali obsega zahteve, lahko upravljavec zaračuna razumno pristojbino za zagotavljanje, ki upošteva administrativne stroške zagotavljanja informacij ali izvajanje izvajanja zahtevanih ukrepov ali pa ne izvede ukrepa. V tem primeru nosi breme dokazovanja nadležne očitno čezmerne narave zahteve upravljavec.
5a. Države članice lahko določijo, da lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja svojo pravico neposredno pri upravljavcu ali s posredovanjem pristojnega nacionalnega nadzornega organa. Če nadzorni organ posreduje na zahtevo posameznika, na katerega se nanašajo osebni podatki, slednjega obvesti o preverjanjih, ki so bila izvedena. [Sprememba 73]
Člen 11
Informacije, ki se zagotovijo posamezniku, na katerega se nanašajo osebni podatki
1. Države članice zagotovijo, da upravljavec pri zbiranju osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, sprejme vse ustrezne ukrepe, da posamezniku, na katerega se nanašajo osebni podatki, zagotovi vsaj naslednje:
(a) informacije o identiteti upravljavca in uradne osebe za varstvo podatkov ter njune kontaktne podatke;
(b) pravno podlago in informacije o namenih obdelave osebnih podatkov;
(c) informacije o roku shranjevanja osebnih podatkov;
(d) informacije o obstoju pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek, izbris ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki;
(e) informacije o pravici do vložitve pritožbe pri nadzornem organu iz člena 39 in njegove kontaktne podatke;
(f) informacije o prejemnikih ali vrstah prejemnikov osebnih podatkov, tudi v tretjih državah ali mednarodnih organizacijah, ter o tem, komu je dovoljen dostop do podatkov v skladu z zakonodajo te tretje države ali s pravili mednarodne organizacije, o obstoju ali neobstoju sklepa Komisije o ustreznosti ali, v primeru prenosov iz člena 35 ali 36, o načinih za pridobitev kopije o ustreznih zaščitnih ukrepih, uporabljenih pri prenosu;
(fa) če upravljavec obdeluje osebne podatke, kot je opisano v členu 9(1), informacije o obstoju obdelave za vrste ukrepov iz člena 9(1) in želenih učinkih take obdelave na posameznika, na katerega se nanašajo osebni podatki, ter informacije o logiki, ki se uporablja pri oblikovanju profilov, in pravici do človeškega ovrednotenja,
(fb) informacije o varnostnih ukrepih, ki se izvajajo za varstvo osebnih podatkov;
(g) vse nadaljnje informacije, če so te nadaljnje informacije potrebne za zagotovitev poštene obdelave glede na posameznika, na katerega se nanašajo osebni podatki, pri čemer se upoštevajo posebne okoliščine, v katerih se obdelujejo osebni podatki.
2. Če se osebni podatki zbirajo od posameznika, na katerega se nanašajo osebni podatki, upravljavec posameznika, na katerega se nanašajo osebni podatki, poleg informacij iz odstavka 1 obvesti o tem, ali je zagotovitev osebnih podatkov obvezna ali prostovoljna in o možnih posledicah, če se taki podatki ne zagotovijo.
3. Upravljavec zagotovi informacije iz odstavka 1:
(a) ob pridobitvi osebnih podatkov od posameznika, na katerega se nanašajo osebni podatki; ali
(b) kadar se osebni podatki ne zberejo od posameznika, na katerega se nanašajo osebni podatki, med beleženjem ali v primernem roku po zbiranju glede na posebne okoliščine, v katerih se podatki obdelajo.
4. Države članice lahko v posameznem primeru sprejmejo zakonodajne ukrepe za zadržanje,ali omejitev ali opustitev zagotovitve informacij posameznikom, na katere se nanašajo osebni podatki, če je taka delna ali popolna omejitev, ki mora upoštevati temeljne pravice in pravni interes zadevne osebe, nujen in sorazmeren ukrep v demokratični družbi:
(a) za preprečitev oviranja uradnih in zakonitih preiskav, poizvedb ali postopkov;
(b) za izogibanje vplivu na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;
(c) za zaščito javne varnosti;
(d) za zaščito nacionalne varnosti;
(e) za zaščito pravic in svoboščin drugih.
5. Države članice zagotovijo, da upravljavec v vsakem posameznem primeru s konkretnim in posameznim pregledom oceni, ali velja delna ali popolna omejitev zaradi enega izmed razlogov iz odstavka 4. Države članice lahko z zakonom določijo tudi vrste obdelave podatkov, ki se lahko v celoti ali delno obravnavajo kot izjeme iz točk (a), (b), (c) in (d) odstavka 4. [Sprememba 74]
Člen 12
Pravica do dostopa za posameznika, na katerega se nanašajo osebni podatki
1. Države članice določijo pravico posameznika, na katerega se nanašajo osebni podatki, da od upravljavca pridobi potrditev, ali se v zvezi z njim obdelujejo osebni podatki ali ne. Če se taki osebni podatki obdelujejo, upravljavec zagotovi, če še ni bilo zagotovljeno, naslednje:
(- a) sporočilo o osebnih podatkih, ki se obdelujejo, in o vseh dostopnih informacijah v zvezi z njihovim virom, in, če pride v poštev, razumljive informacije o logiki, ki jo vsebuje vsaka samodejna obdelava;
(- aa) informacije o pomenu in predvidenih posledicah take obdelave, vsaj v primeru ukrepov iz člena 9;
(a) informacije o namenih obdelave in pravni podlagi za obdelavo;
(b) informacije o vrstah zadevnih osebnih podatkov;
(c) informacije o prejemnikih ali vrstah prejemnikov, ki so jim bili posredovani osebni podatki, zlasti prejemnikih v tretjih državah;
(d) informacije o roku shranjevanja osebnih podatkov;
(e) informacije o obstoju pravice, da od upravljavca zahteva popravek, izbris ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki;
(f) informacije o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;.
(g) sporočilo o osebnih podatkih, ki se obdelujejo, in o vseh dostopnih informacijah v zvezi z njihovim virom.
2. Države članice določijo pravico posameznika, na katerega se nanašajo osebni podatki, da od upravljavca pridobi kopijo osebnih podatkov, ki se obdelujejo. Kadar posameznik, na katerega se nanašajo osebni podatki, zahtevo predloži v elektronski obliki, se informacije zagotovijo v elektronski obliki, razen če jih posameznik, na katerega se nanašajo osebni podatki, zahteva v drugačni obliki. [Sprememba 75]
Člen 13
Omejitve pravice do dostopa
1. Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi posamezniku, na katerega se nanašajo osebni podatki, glede na posamezen primer popolnoma ali delno omejijo pravico do dostopa, če in dokler je taka delna ali popolna omejitev, ki mora upoštevati temeljne pravice in pravni interes zadevne osebe, izključno nujen in sorazmeren ukrep v demokratični družbi:
(a) za preprečitev oviranja uradnih in zakonitih preiskav, poizvedb ali postopkov;
(b) za izogibanje vplivu na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;
(c) za zaščito javne varnosti;
(d) za zaščito nacionalne varnosti;
(e) za zaščito pravic in svoboščin drugih.
2. Države članice zagotovijo, da upravljavec v vsakem posameznem primeru s konkretnim in posameznim pregledom oceni, ali velja delna ali popolna omejitev zaradi enega izmed razlogov iz odstavka 1. Države članice lahko predpišejo z zakonom določijo tudi vrste obdelave podatkov, ki se lahko v celoti ali delno obravnavajo kot izjeme iz točk od (a) do (d) odstavka 1.
3. Države članice v primerih iz odstavkov 1 in 2 določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, brez nepotrebnega odlašanja pisno obvesti o vsaki zavrnitvi ali omejitvi dostopa, o razlogih utemeljitvi za zavrnitev ter o možnostih za vložitev pritožbe pri nadzornem organu in uveljavitev pravnega sredstva v sodnem postopku. Informacije o dejanskem stanju ali pravni podlagi, na katerih temelji odločitev, se lahko izpustijo, če bi zagotovitev takih informacij razvrednotila namen iz odstavka 1.
4. Države članice zagotovijo, da upravljavec dokumentira oceno iz odstavka 2 in razloge, zakaj ni obvestil posameznika, na katerega se nanašajo osebni podatki, je omejil obveščanje o dejanskem stanju ali pravni podlagi, na katerih temelji odločitev. Ti podatki so na voljo nacionalnim nadzornim organom. [Sprememba 76]
Člen 14
Načini uveljavljanja pravice do dostopa
1. Države članice posamezniku, na katerega se nanašajo osebni podatki, zagotovijo pravico, da, zlasti v primerih iz člena 13 členov 12 in 13, od nadzornega organa kadarkoli zahteva pregled zakonitosti obdelave.
2. Države članice zagotovijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o pravici do zahteve po posredovanju nadzornega organa v skladu z odstavkom 1.
3. Če posameznik, na katerega se nanašajo osebni podatki, uveljavlja pravico iz odstavka 1, ga nadzorni organ obvesti vsaj o tem, da je izvedel vsa potrebna preverjanja, in o izidu v zvezi z zakonitostjo zadevne obdelave. Nadzorni organ tudi obvesti posameznika, na katerega se nanašajo osebni podatki, o njegovi pravici do uporabe pravnega sredstva.
3a. Države članice lahko določijo, da lahko posameznik, na katerega se nanašajo osebni podatki, to pravico uveljavlja neposredno pri upravljavcu ali s posredovanjem pristojnega nacionalnega nadzornega organa.
3b. Države članice zagotovijo, da veljajo razumni časovni roki, v katerih upravljavec odgovori na zahteve posameznika, na katerega se nanašajo osebni podatki, v zvezi z njegovo pravico do dostopa. [Sprememba 77]
Člen 15
Pravica do popravka in dopolnitve
1. Države članice zagotovijo, da ima posameznik, na katerega se nanašajo osebni podatki, pravico pri upravljavcu doseči popravek ali dopolnitev netočnih ali nepopolnih osebnih podatkov v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima pravico do dopolnitve nepopolnih osebnih podatkov, zlasti z izjavo o dopolnitvi ali popravku.
2. Države članice zagotovijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, z utemeljitvijo pisno obvesti o vsaki zavrnitvi popravka ali dopolnitve, razlogih za zavrnitev ter možnostih za vložitev pritožbe pri nadzornem organu in uveljavitev pravnega sredstva v sodnem postopku.
2a. Države članice zagotovijo, da upravljavec o vseh popravkih, ki jih opravi, obvesti vsakega prejemnika, ki so mu bili podatki razkriti, razen če se izkaže, da to ni mogoče ali je za to potreben nesorazmeren napor.
2b. Države članice zagotovijo, da upravljavec o popravku netočnih osebnih podatkov obvesti tretjo stranko, od katere so netočni osebni podatki prišli.
2c. Države članice zagotovijo, da lahko posameznik, na katerega se nanašajo osebni podatki, to pravico uveljavlja tudi s posredovanjem pristojnega nacionalnega nadzornega organa. [Sprememba 78]
Člen 16
Pravica do izbrisa
1. Države članice zagotovijo, da ima posameznik, na katerega se nanašajo osebni podatki, pravico pri upravljavcu doseči izbris osebnih podatkov v zvezi z njim, če obdelava ni skladna z določbami predpisov, sprejetih v skladu s členom 4(a) do (e) ter členoma 7 in 8 členi 4, 6, 7 in 8 te direktive.
2. Upravljavec izvede izbris nemudoma. Prav tako preneha širiti te podatke.
(a) posameznik, na katerega se nanašajo osebni podatki, oporeka njihovi točnosti, in sicer za čas, ki upravljavcu omogoča preveriti točnost podatkov;
(b) je treba osebne podatke ohraniti za namene dokazovanja;ali za zaščito ključnih interesov posameznika, na katerega se nanašajo osebni podatki.
(c) posameznik, na katerega se nanašajo osebni podatki, nasprotuje njihovemu izbrisu in namesto tega zahteva omejitev njihove uporabe.
3a. Če je obdelava osebnih podatkov omejena v skladu z odstavkom 3, upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o preklicu omejitve obdelave.
4. Države članice zagotovijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, z utemeljitvijo pisno obvesti o vsaki zavrnitvi izbrisa ali označevanja omejitve obdelave, razlogih za zavrnitev ter možnostih za vložitev pritožbe pri nadzornem organu in uveljavitev pravnega sredstva v sodnem postopku.
4a. Države članice zagotovijo, da upravljavec obvesti prejemnike, katerim so bili ti podatki posredovani, o vseh izbrisih ali omejitvah, narejenih v skladu z odstavkom 1, razen če je to nemogoče ali je za to potreben nesorazmeren napor. Upravljavec obvesti posameznika, na katerega se nanašajo osebni podatki, o teh tretjih strankah.
4b. Države članice lahko določijo, da lahko posameznik, na katerega se nanašajo osebni podatki, to pravico uveljavlja neposredno pri upravljavcu ali s posredovanjem pristojnega nacionalnega nadzornega organa. [Sprememba 79]
Člen 17
Pravice posameznika, na katerega se nanašajo osebni podatki, v kazenski preiskavi in kazenskem postopku
Države članice lahko zagotovijo, da se pravice do informacij, dostopa, popravkov, izbrisa in omejitve obdelave iz členov 11 do 16 izvedejo v skladu z nacionalnimi predpisi o sodnih postopkih, če so osebni podatki v sodni odločbi ali sodnem spisu, ki se obdela med kazensko preiskavo in kazenskim postopkom.
POGLAVJE IV
UPRAVLJAVEC IN OBDELOVALEC
ODDELEK 1
SPLOŠNE OBVEZNOSTI
Člen 18
Pristojnost upravljavca
1. Države članice zagotovijo, da upravljavec sprejme politike in izvede ustrezne ukrepe za zagotovitev obdelave osebnih podatkov v skladu z določbami predpisov, sprejetih v skladu s to direktivo, tako v času določanja sredstev za obdelavo kot v času same obdelave, pri čemer mora biti zmožen to na pregleden način tudi dokazati za vsako posamezno operacijo.
2. Ukrepi iz odstavka 1 obsegajo zlasti:
(a) hranjenje dokumentacije iz člena 23;
(aa) izvajanje ocene učinka o varstvu podatkov iz člena 25a;
(b) skladnost z zahtevami za predhodno posvetovanje v skladu s členom 26;
(c) izvajanje zahtev za varnost podatkov iz člena 27;
(d) imenovanje uradne osebe za varstvo podatkov v skladu s členom 30.;
(da) oblikovanje in izvajanje posebnih zaščitnih ukrepov v zvezi z obravnavanjem osebnih podatkov, ki se nanašajo na otroke, kjer je to primerno.
3. Upravljavec uporabi mehanizme za zagotovitev preverjanja ustreznosti in učinkovitosti ukrepov iz odstavka 1 tega člena. Če je to preverjanje sorazmerno, ga izvedejo neodvisni notranji ali zunanji revizorji. [Sprememba 80]
Člen 19
Vgrajeno varstvo podatkov
1. Države članice zagotovijo, da upravljavec in morebitni obdelovalec ob upoštevanju doseženega razvoja tehnologije in stroškov izvajanja izvede, trenutnih tehničnih spoznanj, najboljših mednarodnih praks in tveganj, ki se pojavljajo ob obdelavi podatkov, v času določanja namena obdelave in sredstev zanjo ter v času same obdelave izvajata ustrezne in sorazmerne tehnične in organizacijske ukrepe in postopke na tak način, da obdelava ustreza zahtevam določb predpisov, sprejetih v skladu s to direktivo, in zagotavlja zaščito pravic posameznika, na katerega se nanašajo osebni podatki, zlasti v zvezi z načeli iz člena 4. Zasnova pri varstvu podatkov še posebej upošteva upravljanje življenjskega cikla osebnih podatkov od njihovega zbiranja do obdelave in do izbrisa, pri čemer je sistematično osredotočena na celovite postopkovne varovalke, kar zadeva natančnost, zaupnost, integriteto, fizično varnost in izbris osebnih podatkov. Če je upravljavec izvedel oceno učinka o varstvu podatkov v skladu s členom 25a, se rezultati te ocene upoštevajo pri razvijanju omenjenih ukrepov in postopkov.
2. Upravljavec uporabi mehanizme za zagotovitev zagotovi, da se privzeto obdelajo samo tisti osebni podatki, ki so potrebni za vsak poseben namen obdelave, zlasti pa se ne smejo zbirati, hraniti ali širiti v večji meri, kot je za te namene obdelave nujno potrebno, kar velja tako za količino podatkov kot trajanje njihove hrambe. Ti mehanizmi zagotovijo zlasti, da osebni podatki privzeto niso dostopni nedoločenemu številu posameznikov in da lahko posamezniki, na katere se nanašajo osebni podatki, nadzorujejo razširjanje svojih osebnih podatkov. [Sprememba 81]
Člen 20
Skupni upravljavci
1. Države članice zagotovijo, da skupni upravljavci, kadar upravljavec določi namene, pogoje in sredstva obdelave osebnih podatkov skupaj z drugimi, z medsebojnim s pravno zavezujočim dogovorom določijo svoje naloge za skladnost z določbami predpisov, sprejetih v skladu s to direktivo, zlasti v zvezi s postopki in mehanizmi za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki.
2. Če posameznik, na katerega se nanašajo osebni podatki, ni bil obveščen, kateri izmed skupnih upravljavcev je zanj odgovoren v skladu z odstavkom 1, lahko uveljavi svoje pravice v okviru te direktive v zvezi z vsakim od dveh ali več skupnih upravljavcev ali proti njim. [Sprememba 82]
Člen 21
Obdelovalec
1. Kadar se postopek izvede v imenu upravljavca, države članice določijo, da mora upravljavec izbrati izbere obdelovalca, ki zagotovi zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov in postopkov na tak način, da obdelava ustreza zahtevam določb predpisov, sprejetih v skladu s to direktivo, in zagotovi zaščito pravic posameznika, na katerega se nanašajo osebni podatki, zlasti glede tehničnih varnostnih ukrepov in organizacijskih ukrepov, ki urejajo obdelavo, ki jo je treba izvesti, ter za zagotovitev skladnosti s temi ukrepi.
2. Države članice zagotovijo, da mora izvajanje obdelave prek s pomočjo obdelovalca urejati pogodba ali pravni akt, ki določa obveznosti obdelovalca do upravljavca, predvsem da obdelovalec deluje samo po navodilih upravljavca, zlasti kadar je prenos uporabljenih osebnih podatkov prepovedan.:
(a) deluje samo po navodilih upravljavca;
(b) zaposluje le osebje, ki se je zavezalo k zaupnosti ali ga k zaupnosti zavezuje zakon;
(c) izvede vse potrebne ukrepe iz člena 27;
(d) vključi drugega obdelovalca le z dovoljenjem upravljavca, ki ga zato pravočasno obvesti o tem, da namerava vključiti drugega obdelovalca, tako da ima upravljavec možnost temu nasprotovati;
(e) kolikor je to mogoče zaradi narave obdelave, v dogovoru z upravljavcem sprejme potrebne tehnične in organizacijske zahteve za izpolnitev obveznosti upravljavca glede odgovarjanja na zahteve pri uveljavljanju pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III;
(f) upravljavcu pomaga pri izpolnjevanju obveznosti iz členov 25a do 29;
(g) po končani obdelavi upravljavcu preda vse rezultate in ne obdeluje osebnih podatkov na druge načine ter uniči obstoječe kopije, razen če zakonodaja Unije ali države članice predpisuje njihovo hrambo;
(h) da upravljavcu in nadzornemu organu na voljo vse informacije, potrebne za preverjanje izpolnjevanja obveznosti iz tega člena;
(i) upošteva načelo vgrajenega in privzetega varstva podatkov.
2a. Upravljavec in obdelovalec pisno dokumentirata navodila upravljavca in obveznost obdelovalca iz odstavka 2.
3. Če obdelovalec obdela osebne podatke, katerih obdelave upravljavec od njega ni zahteval, se obdelovalec v zvezi s to obdelavo obravnava kot upravljavec in zanj veljajo pravila o skupnih upravljavcih iz člena 20. [Sprememba 83]
Člen 22
Obdelava pod vodstvom upravljavca in obdelovalca
1. Države članice zagotovijo, da lahko obdelovalec in vsaka oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca, ki ima dostop do osebnih podatkov, osebne podatke obdelata samo po navodilih upravljavca ali če to zahteva zakonodaja Unije ali nacionalna zakonodaja.
1a. Če je obdelovalec odločilna stranka v zvezi z namenom, sredstvi ali metodami obdelave podatkov ali to postane oziroma ne deluje izključno po navodilih upravljavca, se obravnava kot skupni upravljavec v skladu s členom 20. [Sprememba 84]
Člen 23
Dokumentacija
1. Države članice zagotovijo, da vsak upravljavec in obdelovalec ohrani dokumentacijo vseh sistemov in postopkov obdelave v okviru svoje pristojnosti.
2. Dokumentacija vsebuje vsaj naslednje informacije o:
(a) imenu upravljavca ali katerega koli skupnega upravljavca ali obdelovalca in njegove kontaktne podatke;
(aa) pravno zavezujočem dogovoru v primeru skupnih upravljavcev; seznamu obdelovalcev in del, ki jih opravljajo obdelovalci;
(b) namenih obdelave;
(ba) navedbi delov organizacije upravljavca ali obdelovalca, ki je odgovorna za obdelovanje osebnih podatkov za poseben namen;
(bb) opisu kategorije ali kategorij posameznikov, na katere se nanašajo osebni podatki, in podatkov ali kategorij podatkov, ki se nanašajo nanje;
(c) prejemnikih ali vrstah prejemnikov osebnih podatkov;
(ca) po potrebi, obstoju oblikovanja profilov, ukrepov, ki temeljijo na oblikovanju profilov, in mehanizmov za nasprotovanje oblikovanju profilov;
(cb) razumljive informacije o logiki samodejne obdelave podatkov;
(d) prenosih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije., ter pravni podlagi za prenos podatkov; če prenos temelji na členu 35 ali členu 36 te direktive, je treba to vsebinsko pojasniti;
(da) rokih za izbris različnih vrst podatkov;
(db) rezultatih preverjanj ukrepov iz člena 18(1);
(dc) navedbi pravne podlage postopka obdelave, za katero so podatki namenjeni.
3. Upravljavec in obdelovalec nadzornemu organu na zahtevo omogočita dostop do celotne dokumentacije. [Sprememba 85]
Člen 24
Vodenje evidenc
1. Države članice zagotovijo vodenje evidenc vsaj o naslednjih postopkih obdelave: zbiranje, predelava, vpogled, razkritje, kombiniranje ali izbris. Evidence vpogleda in razkritja kažejo zlasti namen, datum in čas takih postopkov ter v največji možni meri istovetnost osebe, ki je vpogledala v osebne podatke ali jih je razkrila, in identiteto prejemnikov tovrstnih podatkov.
2. Evidence se uporabljajo izključno za preverjanje zakonitosti obdelave podatkov, notranje spremljanje ter zagotavljanje neoporečnosti in varnosti podatkov ali za revizije, ki jih izvaja uradna oseba za varstvo podatkov ali organ za varstvo podatkov.
2a. Upravljavec in obdelovalec nadzornemu organu na zahtevo omogočita dostop do dokumentacije. [Sprememba 86]
Člen 25
Sodelovanje z nadzornim organom
1. Države članice zagotovijo, da upravljavec in obdelovalec pri opravljanju svojih dolžnosti na zahtevo sodelujeta z nadzornim organom, zlasti z zagotavljanjem vseh informacij, ki jih nadzorni organ potrebuje za opravljanje svojih dolžnosti iz točke (a) člena 46(2) in zagotavljanjem dostopa, kakor je določen v točki (b) člena 46(2).
2. Kot odziv na izvajanje pooblastil nadzornega organa iz točk (a) in (b) člena 46 46(1) upravljavec in obdelovalec nadzornemu organu odgovorita v primernem roku, ki ga določi nadzorni organ. Odgovor vključuje opis sprejetih ukrepov in doseženih rezultatov kot odziv na pripombe nadzornega organa. [Sprememba 87]
Člen 25a
Ocena učinka na varstvo podatkov
1. Države članice zagotovijo, da, kadar postopki obdelave zaradi svoje narave, obsega ali namenov verjetno predstavljajo posebno tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, upravljavec ali obdelovalec v imenu upravljavca izvede oceno učinka predvidenih sistemov ali postopkov obdelave na varstvo osebnih podatkov pred začetkom novih postopkov obdelave ali čim prej, v primeru obstoječih postopkov obdelave.
2. Posebna tveganja iz odstavka 1 so zlasti verjetna pri naslednjih postopkih obdelave:
(a) obdelava osebnih podatkov v zbirki velikega obsega za namene preprečevanja, odkrivanja, preiskovanja ali pregona kaznivih dejanj in izvrševanja kazenskih sankcij;
(b) obdelava posebnih vrst osebnih podatkov iz člena 8, osebnih podatkov v zvezi z otroki ter biometričnih podatkov in podatkov o lokaciji za namene preprečevanja, odkrivanja, preiskovanja ali pregona kaznivih dejanj in izvrševanja kazenskih sankcij;
(c) ocenjevanje osebnih vidikov, povezanih s fizično osebo, ali analiziranje oziroma zlasti predvidevanje vedenja fizične osebe, ki temelji na samodejni obdelavi in verjetno vodi do ukrepov, katerih posledica so pravni učinki za posameznika ali znatni vpliv nanj;
(d) spremljanje javno dostopnih območij, zlasti z uporabo optično-elektronskih naprav (video nadzor); ali
(e) drugi postopki obdelave, za katere se zahteva posvetovanje z nadzornim organom v skladu s členom 26(1).
3. Ocena zajema vsaj:
(a) sistematični opis predvidenih postopkov obdelave;
(b) oceno nujnosti in sorazmernosti postopkov obdelave glede na njihov namen;
(c) oceno tveganj za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in ukrepov, predvidenih za obravnavo tveganj in zmanjšanje obsega osebnih podatkov, ki se obdelujejo, na najmanjšo možno mero;
(d) varnostne ukrepe ter mehanizme za zagotavljanje varstva osebnih podatkov in za dokazovanje skladnosti z določbami, sprejetimi v skladu s to direktivo, ob upoštevanju pravic in pravnih interesov posameznikov, na katere se nanašajo osebni podatki, ter drugih zadevnih oseb;
(e) splošno navedbo rokov za izbris različnih vrst podatkov;
(f) po potrebi seznam predvidenih prenosov podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije, v primeru prenosov iz člena 36(2) pa tudi dokumentacijo o ustreznih zaščitnih ukrepih.
4. Če je upravljavec ali obdelovalec imenoval uradno osebo za varstvo podatkov, je ta vključena v postopek ocene učinka.
5. Države članice zagotovijo, da se upravljavec posvetuje z javnostjo glede predvidene obdelave brez poseganja v zaščito javnega interesa ali varnosti postopkov obdelave.
6. Ocena je brez poseganja v zaščito javnega interesa ali varnosti postopkov obdelave enostavno dostopna javnosti.
7. Na Komisijo se prenese pooblastilo, da po tem, ko zaprosi za mnenje Evropskega odbora za varstvo podatkov, v skladu s členom 56 sprejme delegirane akte za nadaljnjo opredelitev meril in pogojev za postopke obdelave, ki verjetno predstavljajo posebna tveganja iz odstavkov 1 in 2, ter zahtev za oceno iz odstavka 3, vključno s pogoji za nadgradljivost, preverjanje in možnost revizije. [Sprememba 88]
Člen 26
Predhodno posvetovanje z nadzornim organom
1. Države članice zagotovijo, da se upravljavec ali obdelovalec pred obdelavo osebnih podatkov, ki bodo del nove zbirke, posvetuje z nadzornim organom za zagotovitev skladnosti predvidene obdelave z določbami, sprejetimi v skladu s to direktivo, in zlasti ublažitev tveganj za posameznike, na katere se nanašajo osebni podatki, če:
(a) bodo obdelane posebne vrste podatkov iz člena 8; ocena učinka o varstvu podatkov iz člena 25a kaže, da postopki obdelave zaradi svoje narave, obsega in/ali namenov verjetno predstavljajo visoko raven posebnih tveganj; ali
(b) vrsta obdelave, predvsem zaradi uporabe novih tehnologij, mehanizmov ali postopkov, sicer vključuje posebna tveganja za temeljne pravice in svoboščine ter zlasti za varstvo osebnih podatkov posameznika, na katerega se nanašajo osebni podatki. je po mnenju nadzornega organa potrebno predhodno posvetovanje o določenih postopkih obdelave, ki bodo zaradi svoje narave, obsega ali namenov verjetno predstavljali posebna tveganja za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.
1a. Kadar nadzorni organ v skladu s svojimi pristojnostmi odloči, da predvidena obdelava ni v skladu z določbami, sprejetimi v skladu s to direktivo, zlasti kadar tveganja niso ustrezno opredeljena ali ublažena, predvideno obdelavo prepove in poda ustrezne predloge za odpravo neskladnosti.
2. Države članice lahko zagotovijo, da nadzorni organ po posvetovanju z Evropskim odborom za varstvo podatkov oblikuje seznam postopkov obdelave, o katerih se je treba v skladu z odstavkom 1s točko (b) odstavka 1 predhodno posvetovati.
2a. Države članice zagotovijo, da upravljavec ali obdelovalec nadzornemu organu predloži oceno učinka o varstvu podatkov v skladu s členom 25a, na zahtevo pa tudi druge informacije, ki bodo nadzornemu organu omogočile, da oceni skladnost obdelave in zlasti tveganja za varstvo osebnih podatkov posameznika, na katerega se nanašajo osebni podatki, ter s tem povezane zaščitne ukrepe.
2b. Če nadzorni organ meni, da predvidena obdelava ni v skladu z določbami, sprejetimi v skladu s to direktivo ali da tveganja niso ustrezno opredeljena ali ublažena, poda ustrezne predloge za odpravo neskladnosti.
2c. Države članice se lahko pri pripravi zakonodajnega ukrepa, ki bo sprejet v nacionalnem parlamentu, ali ukrepa na podlagi takega zakonodajnega ukrepa, ki določa naravo obdelave, posvetujejo z nadzornim organom in tako zagotovijo skladnost predvidene obdelave v okviru te direktive ter zlasti ublažijo tveganja za posameznike, na katere se nanašajo osebni podatki. [Sprememba 89]
ODDELEK 2
VARNOST PODATKOV
Člen 27
Varnost obdelave
1. Države članice določijo, da morata upravljavec in obdelovalec izvajati izvajata ustrezne tehnične in organizacijske ukrepe in postopke za zagotovitev ravni varnosti, ustrezne tveganjem, ki jih pomenita obdelava in narava podatkov, ki jih je treba varovati, pri čemer se upoštevajo doseženi razvoj tehnologije in stroški za njihovo izvajanje.
2. V zvezi s samodejno obdelavo podatkov vsaka država članica zagotovi, da upravljavec ali obdelovalec po oceni tveganj izvede ukrepe, katerih namen je:
(a) nepooblaščenim osebam onemogočiti dostop do opreme za obdelavo podatkov, ki se uporablja za obdelavo osebnih podatkov (nadzor dostopa do opreme);
(b) preprečiti nepooblaščeno branje, prepisovanje, spreminjanje ali odnašanje nosilcev podatkov (nadzor nosilcev podatkov);
(c) preprečiti nepooblaščeno vnašanje podatkov v podatkovne zbirke in nepooblaščeno pregledovanje, spreminjanje ali brisanje shranjenih osebnih podatkov (nadzor shranjevanja);
(d) nepooblaščenim osebam, ki uporabljajo opremo za prenos podatkov, preprečiti uporabo sistemov za samodejno obdelavo podatkov (nadzor uporabnikov);
(e) zagotoviti, da imajo osebe, pooblaščene za uporabo samodejnega sistema obdelave podatkov, dostop samo do podatkov, ki jih zajema njihovo pooblastilo za dostop (nadzor dostopa do podatkov);
(f) zagotoviti možnost preverjanja in ugotavljanja, katerim organom so osebni podatki bili ali bi lahko bili poslani oziroma jim je bil ali bi jim lahko bil omogočen dostop do njih prek opreme za prenos podatkov (nadzor prenosa);
(g) zagotoviti, da se lahko naknadno preveri in ugotovi, kateri osebni podatki so bili vneseni v sisteme za samodejno obdelavo podatkov ter kdaj in kdo jih je vnesel (nadzor vnosa);
(h) preprečiti nepooblaščeno branje, prepisovanje, spreminjanje ali izbris osebnih podatkov med pošiljanjem osebnih podatkov ali med premeščanjem nosilcev podatkov (nadzor premeščanja);
(i) zagotoviti, da se lahko nameščeni sistemi v primeru prekinitve ponovno vzpostavijo (obnova);
(j) zagotoviti, da funkcije sistema delujejo, da se pojavljanje napak v funkcijah sporoči (zanesljivost) in da shranjeni osebni podatki ne morejo postati neuporabni zaradi okvare sistema (neoporečnost).;
(ja) zagotoviti, da so bili pri obdelavi občutljivih osebnih podatkov v skladu s členom 8 uvedeni dodatni varnostni ukrepi za zagotovitev spremljanja tveganj in zmožnosti za preventivno, korektivno in blažilno ukrepanje v skoraj realnem času, če se odkrijejo šibke točke ali incidenti, ki bi lahko predstavljali tveganja za podatke.
2a. Države članice zagotovijo, da je lahko za obdelovalca imenovana le oseba, ki zagotovi, da bo izvajala potrebne tehnične in organizacijske ukrepe iz odstavka 1 in upoštevala navodila iz točke (a) člena 21(2). Pristojni organ pri tem nadzoruje obdelovalca.
3. Komisija lahko po potrebi sprejme izvedbene akte za določitev zahtev iz odstavkov 1 in 2, glede na različne okoliščine, zlasti standarde šifriranja. Navedeni izvedbeni akti se sprejmejo v skladu postopkom pregleda iz člena 57(2). [Sprememba 90]
Člen 28
Obveščanje nadzornega organa o kršitvi varnosti osebnih podatkov
1. Države članice zagotovijo, da mora upravljavec v primeru kršitve varnosti osebnih podatkov o kršitvi nemudoma brez nepotrebnega odlašanja, in če je mogoče, najpozneje v 24 urah po odkritju kršitve obvestiti nadzorni organ. Upravljavec nadzornemu organu na zahtevo predloži primerno utemeljitev v primerih, kadar nadzorni organ ni bil obveščen v 24 urah zamude.
2. Obdelovalec takoj po odkritjuob ugotovitvi kršitve varnosti osebnih podatkov na to opozori brez nepotrebnega odlašanja in o tem obvesti upravljavca.
3. Obvestilo iz odstavka 1 vsebuje vsaj:
(a) opis kršitve varnosti osebnih podatkov, vključno z vrstami in številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrstami in številom zadevnih evidenc podatkov;
(b) sporočilo o istovetnosti in kontaktnih podatkih uradne osebe za varstvo podatkov iz člena 30 ali drugi kontaktni točki, pri katerih je mogoče pridobiti več informacij;
(d) opis možnih posledic kršitve varnosti osebnih podatkov;
(e) opis ukrepov, ki jih upravljavec predlaga ali sprejme za obravnavanje kršitve varnosti osebnih podatkov in ublažitev njenih učinkov.
Če vseh informacij ni mogoče posredovati brez nepotrebnega odlašanja, lahko upravljavec obvestilo dopolni v naslednjem koraku.
4. Države članice zagotovijo, da upravljavec dokumentira vsako kršitev varnosti osebnih podatkov, kar vključuje dejstva v zvezi s kršitvijo, njene učinke in sprejete popravne ukrepe. Ta dokumentacija mora biti zadostna, da nadzornemu organu omogočati omogoči, da preveri skladnost s tem členom. Dokumentacija vključuje samo informacije, potrebne za ta namen.
4a. Nadzorni organ vodi javni register o vrstah prijavljenih kršitev.
5. Komisija, po zaprositvi Evropskega odbora za varstvo podatkov za mnenje, je pooblaščena za sprejetje delegiranih aktov v skladu s členom 56 za namen nadaljnje določitve meril in zahtev za ugotavljanje kršitve varnosti podatkov iz odstavkov 1 in 2 ter za posebne okoliščine, v katerih se od upravljavca in obdelovalca zahteva, da predložita obvestilo o kršitvi varnosti osebnih podatkov.
6. Komisija lahko določi standardno obliko takega obvestila nadzornemu organu, postopke, ki se uporabljajo za zahtevo po obvestilu, ter obliko in načine dokumentiranja iz odstavka 4, vključno z roki za zagotovitev informacij iz dokumentacije. Navedeni izvedbeni akti se sprejmejo v skladu postopkom pregleda iz člena 57(2). [Sprememba 91]
Člen 29
Obveščanje posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov
1. Če je verjetno, da kršitev varnosti osebnih podatkov škodljivo vpliva na varstvo osebnih podatkov ali, zasebnost pravice ali legitimne interese posameznika, na katerega se nanašajo osebni podatki, države članice zagotovijo, da upravljavec po predložitvi obvestila iz člena 28 posamezniku, na katerega se nanašajo osebni podatki, nemudoma brez nepotrebnega odlašanja pošlje sporočilo o kršitvi varnosti osebnih podatkov.
2. Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 je razumljivo ter je napisano v jasnem in preprostem jeziku. opisuje Opisuje kršitev varnosti osebnih podatkov ter vsebuje vsaj informacije in priporočila iz točk (b) in, (c) in (d) člena 28(3) in informacije o pravicah posameznika, na katerega se nanašajo osebni podatki, tudi o pravnem varstvu.
3. Posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov ni treba obvestiti, če je upravljavec nadzornemu organu zadovoljivo dokazal, da je izvedel ustrezne tehnološke zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila kršena varnost. Zaradi takih tehnoloških zaščitnih ukrepov bi morali biti podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih.
3a. Brez poseganja v obveznost upravljavca, da o kršitvi varnosti osebnih podatkov obvesti posameznika, na katerega se nanašajo osebni podatki, lahko nadzorni organ v primeru, da upravljavec posameznika, na katerega se nanašajo osebni podatki, ni obvestil o kršitvi varnosti osebnih podatkov, to od njega zahteva po proučitvi morebitnih škodljivih učinkov kršitve.
4. Obveščanje posameznika, na katerega se nanašajo osebni podatki, se lahko zaradi razlogov iz člena 11(4) zadrži,ali omeji ali opusti. [Sprememba 92]
ODDELEK 3
URADNA OSEBA ZA VARSTVO PODATKOV
Člen 30
Imenovanje uradne osebe za varstvo podatkov
1. Države članice zagotovijo, da upravljavec ali obdelovalec imenuje uradno osebo za varstvo podatkov.
2. Uradna oseba za varstvo podatkov se imenuje na podlagi strokovnih odlik in zlasti strokovnega znanja o zakonodaji in praksah varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 32. Stopnja potrebnega strokovnega znanja se določi zlasti v skladu z izvedeno obdelavo podatkov in varstvom, ki je potrebno pri osebnih podatkih, obdelanih s strani upravljavca ali obdelovalca.
2a. Države članice zagotovijo, da upravljavec ali obdelovalec zagotovi, da so vse druge poklicne dolžnosti uradne osebe za varstvo podatkov združljive z njenimi nalogami in dolžnostmi kot uradne osebe za varstvo podatkov ter da zaradi tega ne pride do nasprotja interesov.
2b. Uradna oseba za varstvo podatkov se imenuje za obdobje vsaj štirih let. Uradna oseba za varstvo podatkov se lahko ponovno imenuje za nadaljnja obdobja. Med mandatom je lahko uradna oseba za varstvo podatkov razrešena s funkcije samo, če več ne izpolnjuje pogojev, zahtevanih za opravljanje njenih nalog.
2c. Države članice posamezniku, na katerega se nanašajo osebni podatki, zagotovijo pravico, da stopi v stik z uradno osebo za varstvo podatkov glede vseh vprašanj, povezanih z obdelavo njegovih osebnih podatkov.
3. Uradna oseba za varstvo podatkov se lahko določi za več subjektov, pri čemer se upošteva organizacijska struktura pristojnega organa.
3a. Države članice zagotovijo, da upravljavec ali obdelovalec sporoči ime in kontaktne podatke uradne osebe za varstvo podatkov nadzornemu organu in javnosti. [Sprememba 93]
Člen 31
Položaj uradne osebe za varstvo podatkov
1. Države članice določijo, da upravljavec ali obdelovalec zagotovi, da je uradna oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.
2. Upravljavec ali obdelovalec zagotovi, do so uradni osebi za varstvo podatkov zagotovljena vsa sredstva za učinkovito in neodvisno opravljanje dolžnosti in nalog iz člena 32 ter da uradna oseba za varstvo podatkov ne prejema nikakršnih navodil v zvezi z opravljanjem funkcije.
2a. Upravljavec ali obdelovalec podpirata uradno osebo za varstvo podatkov pri opravljanju njenih nalog in zagotovita vsa sredstva, tudi osebje, prostore, opremo, redno strokovno usposabljanje in morebitne druge vire, potrebne za opravljanje dolžnosti in nalog iz člena 32 ter za ohranjanje njenega strokovnega znanja. [Sprememba 94]
Člen 32
Naloge uradne osebe za varstvo podatkov
Države članice zagotovijo, da upravljavec ali obdelovalec uradni osebi za varstvo podatkov zaupa vsaj naslednje naloge:
(a) krepitev ozaveščenosti, obveščanje in svetovanje upravljavcu ali obdelovalcu v zvezi z njegovimi obveznostmi v skladu z določbami predpisov, sprejetih v skladu s to direktivo, zlasti kar zadeva tehnične in organizacijske ukrepe in postopke, ter dokumentiranje te dejavnosti in prejetih odgovorov;
(b) spremljanje izvajanja in uporabe politik v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, usposabljanjem uslužbencev, vključenih v postopke obdelave, in s tem povezanimi revizijami;
(c) spremljanje izvajanja in uporabe določb predpisov, sprejetih v skladu s to direktivo, zlasti v zvezi z zahtevami, povezanimi z vgrajenim varstvom podatkov in varnostjo podatkov, ter v zvezi z informacijami posameznikov, na katere se nanašajo osebni podatki, in njihovimi zahtevami pri uveljavljanju pravic na podlagi določb predpisov, sprejetih v skladu s to direktivo;
(d) zagotavljanje ohranjanja dokumentacije iz člena 23;
(e) spremljanje dokumentiranja, obveščanja in posredovanja sporočil o kršitvah varnosti osebnih podatkov iz členov 28 in 29;
(f) spremljanje uporabe ocene učinka o varstvu podatkov s strani upravljavca ali obdelovalca in prijave nadzornemu organu za predhodno posvetovanje, če se to zahteva v skladu s členom 26 26(1);
(g) spremljanje odgovora na zahteve nadzornega organa in sodelovanje, v okviru pristojnosti uradne osebe za varstvo podatkov, z nadzornim organom na zahtevo slednjega ali na njegovo lastno pobudo;
(h) delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo in posvetovanje z nadzornim organom na pobudo uradne osebe za varstvo podatkov, če je to primerno. [Sprememba 95]
POGLAVJE V
PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE ALI MEDNARODNE ORGANIZACIJE
Člen 33
Splošna načela za prenose osebnih podatkov
1. Države članice predvidijo, da lahko pristojni organi vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, vključno z nadaljnjim prenosom v drugo tretjo državo ali mednarodno organizacijo, izvede samo, če:
(a) je poseben prenos potreben za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij; ter
(aa) se podatki prenesejo upravljavcu v tretji državi ali mednarodni organizaciji, ki je javni organ, pristojen za namene iz člena 1(1); ter
(ab) upravljavec in obdelovalec izpolnjujeta pogoje iz tega poglavja, vključno z nadaljnjim prenosom osebnih podatkov iz tretje države ali mednarodne organizacije v drugo tretjo državo ali drugo mednarodno organizacijo; ter
(b) upravljavec in obdelovalec ravnata v skladu s pogoji iz tega poglavja.z drugimi določbami, sprejetimi v skladu s to direktivo; ter
(ba) ni ogrožena raven varstva posameznikov, na katere se nanašajo osebni podatki, ki jo v Uniji zagotavlja ta direktiva; ter
(bb) je Komisija v skladu s pogoji in postopkom iz člena 34 odločila, da zadevna tretja država ali mednarodna organizacija zagotavlja ustrezno raven varstva; ali
(bc) so bili v pravno zavezujočem pravnem aktu iz člena 35 navedeni ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov.
2. Države članice zagotovijo, da se lahko nadaljnji prenosi iz odstavka 1 tega člena izvedejo samo, če sta poleg pogojev iz navedenega odstavka izpolnjena naslednja pogoja:
(a) nadaljnji prenos je potreben za isti posebni namen kot prvotni prenos; ter
(b) pristojni organ, ki je izvedel prvotni prenos, dovoli nadaljnji prenos. [Sprememba 96]
Člen 34
Prenosi s sklepom o ustreznosti
1. Države članice zagotovijo možnost prenosa osebnih podatkov v tretjo državo ali mednarodno organizacijo, če je Komisija v skladu s členom 41 Uredbe (EU) št. …/2012 ali v skladu z odstavkom 3 tega člena odločila, da zadevna tretja država, zadevna ozemeljska enota, zadevni sektor za obdelavo v tej tretji državi ali zadevna mednarodna organizacija zagotavlja ustrezno raven varstva. Za tak prenos ni potrebno nobeno dodatno posebno pooblastilo.
2. Če v skladu s členom 41 Uredbe (EU) št. …/2012 ni bil sprejet noben sklep, Komisija oceni ustreznostPri ocenjevanju ustreznosti ravni varstva, pri čemerKomisija upošteva naslednje elemente:
(a) načelo vladavine prava, ustrezno veljavno zakonodajo, tako splošno kot sektorsko, tudi glede javne varnosti, obrambe, nacionalne varnosti in kazenskega prava ter glede izvajanja te zakonodaje in varnostnih ukrepov, ki se upoštevajo v navedeni državi ali mednarodni organizaciji; prav tako sodno prakso ter učinkovite in izvršljive pravice vključno z učinkovitim upravnim in sodnim varstvom za posameznike, na katere se nanašajo osebni podatki, zlasti za tiste posameznike, na katere se nanašajo osebni podatki, ki imajo stalno prebivališče v Uniji in katerih osebni podatki se prenašajo;
(b) obstoj in učinkovito delovanje enega ali več neodvisnih nadzornih organov v zadevni tretji državi ali zadevni mednarodni organizaciji, ki so pristojni za zagotavljanje skladnosti s predpisi o varstvu podatkov, vključno z zadostnimi pooblastili za sankcioniranje, za pomoč in svetovanje posamezniku, na katerega se nanašajo osebni podatki, pri uveljavljanju njegovih pravic ter za sodelovanje z nadzornimi organi Unije in držav članic; ter
(c) mednarodne obveznosti, ki jih je prevzela zadevna tretja država ali zadevna mednarodna organizacija, zlasti vse pravno zavezujoče konvencije ali instrumente v zvezi z varstvom osebnih podatkov.
3. Komisija lahko Na Komisijo se, po zaprositvi Evropskega odbora za varstvo podatkov za mnenje, prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 56, s katerimi v okviru te direktive odloči, da tretja država ali ozemeljska enota ali sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva v smislu odstavka 2. Takšni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 57(2).
4. V izvedbenih delegiranih aktih se določi njihova ozemeljska in sektorska uporaba, po potrebi pa se opredelijoin opredeli nadzorni organ iz točke (b) odstavka 2.
4a. Komisija redno spremlja razvoj dogodkov, ki bi lahko vplivali na izpolnjevanje elementov iz odstavka 2 v tretjih državah in mednarodnih organizacijah, v zvezi s katerimi je bil sprejet delegiran akt v skladu z odstavkom 3.
5. Komisija lahko Na Komisijo se prenese pooblastilo za sprejemanje delegiranih aktov v skladu s členom 56, s katerimi v okviru te direktive odloči, da tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija ne zagotavlja ustrezne ravni varstva v smislu odstavka 2, zlasti kadar ustrezna zakonodaja, tako splošna kot sektorska, ki velja v tretji državi ali mednarodni organizaciji, ne zagotavlja učinkovitih in izvršljivih pravic, vključno z učinkovitim upravnim in sodnim varstvom za posameznike, na katere se nanašajo osebni podatki, zlasti za tiste posameznike, na katere se nanašajo osebni podatki, katerih osebni podatki se prenašajo. Takšni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 57(2) ali v izjemno nujnih primerih za posameznike glede na njihovo pravico do varstva osebnih podatkov v skladu s postopkom iz člena 57(3).
6. Če Komisija v skladu z odstavkom 5 tako odloči, države članice zagotovijo, da je vsak prenos osebnih podatkov v zadevno tretjo državo, v zadevno ozemeljsko enoto, v zadevni sektor za obdelavo v navedeni tretji državi ali v zadevno mednarodno organizacijo prepovedan, države članice zagotovijo, da ta odločitev ne posega v prenose iz člena 35(1) ali da je v skladu s členom 36. Komisija v primernem roku začne izvajati posvetovanja s tretjo državo ali mednarodno organizacijo v zvezi z urejanjem položaja, ki je posledica sklepa iz odstavka 5 tega člena.
7. Komisija v Uradnem listu Evropske unije objavi seznam navedenih tretjih držav, ozemeljskih enot in sektorjev za obdelavo v tretji državi ali mednarodni organizaciji, v zvezi s katerimi se odloči, ali je ustrezna raven varstva dosežena ali ne.
8. Komisija spremlja uporabo izvedbenih delegiranih aktov iz odstavkov 3 in 5. [Sprememba 97]
Člen 35
Prenosi z ustreznimi zaščitnimi ukrepi
1. Če Komisija ni sprejela nobenega sklepa v skladu s členom 34 ali če sprejme sklep, države članice zagotovijo, da se lahko prenos tretja država ali ozemeljska enota v tej tretji državi ali mednarodna organizacija ne zagotavlja ustrezne ravni varstva v skladu s členom 34(5), upravljavec ali obdelovalec osebnih podatkov prejemniku tej tretji državi, ozemeljski enoti v tretji državi ali mednarodni organizaciji izvede ne sme prenesti, če:ni v zvezi z varstvom osebnih podatkov navedel ustreznih zaščitnih ukrepov v pravno zavezujočem aktu.
(a) so bili v pravno zavezujočem pravnem aktu navedeni ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov; ali
(b) je upravljavec ali obdelovalec ocenil vse okoliščine v zvezi s prenosom osebnih podatkov in sklene, da v zvezi z varstvom osebnih podatkov obstajajo ustrezni zaščitni ukrepi.
2. Odločitev za prenose na podlagi odstavka 1(b) sprejmejo ustrezno pooblaščeni uslužbenci. Te prenose je treba dokumentirati, pri čemer mora biti dokumentacija na voljo na zahtevo nadzornega organa. Prenose mora predhodno odobriti nadzorni organ. [Sprememba 98]
Člen 36
Odstopanja
1. Če Komisija v skladu s členom 34(5) odloči, da raven varstva ni ustrezna, se osebni podatki ne prenesejo zadevni tretji državi ali mednarodni organizaciji, če tudi v posameznem primeru zakoniti interesi posameznika, na katerega se nanašajo osebni podatki, do neizvršitve prenosa prevladujejo nad javnim interesom do prenosa podatkov.
2. Z odstopanjem od členov 34 in 35 države članice zagotovijo, da se lahko prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo izvede samo, če:
(a) je prenos potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe; ali
(b) je prenos potreben za zaščito pravnega interesa posameznika, na katerega se nanašajo osebni podatki, če to določa zakonodaja države članice, ki prenaša osebne podatke; ali
(c) je prenos podatkov bistvenega pomena za preprečitev neposredne in resne ogroženosti javne varnosti države članice ali tretje države; ali
(d) je prenos v posameznih primerih potreben za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij; ali
(e) je prenos v posameznih primerih potreben zaradi uveljavitve, izvajanja ali obrambe pravnih zahtevkov v zvezi s preprečevanjem, preiskovanjem, odkrivanjem ali pregonom kaznivih dejanj ali izvrševanjem posebne kazenske sankcije.
2a. Obdelava na podlagi odstavka 2 mora imeti pravno podlago v pravu Unije ali v pravu države članice, ki zavezuje upravljavca. To pravo mora izpolnjevati cilj javnega interesa ali zadovoljevati potrebo po varstvu pravic in svoboščin drugih, spoštovati bistvo pravice do varstva osebnih podatkov in biti sorazmerno z legitimnim ciljem, ki se ga poskuša uresničiti.
2b. Vsi prenosi osebnih podatkov, v zvezi s katerimi je bila sprejeta odločitev na podlagi odstopanj, so ustrezno utemeljeni in omejeni na zares nujne prenose. Pogosti obsežni prenosi podatkov niso dovoljeni.
2c. Odločitev za prenose na podlagi odstavka 2 sprejmejo ustrezno pooblaščeni uslužbenci. Prenose je treba dokumentirati, pri čemer mora biti dokumentacija na voljo na zahtevo nadzornega organa, vključno z datumom in uro prenosa, podatki o organu prejemniku, utemeljitvijo prenosa in prenesenimi podatki. [Sprememba 99]
Člen 37
Posebni pogoji za prenos osebnih podatkov
Države članice zagotovijo, da upravljavec prejemnika osebnih podatkov obvesti o vseh omejitvah in sprejme vse primerne ukrepe za zagotovitev, da se te omejitve upoštevajo. Upravljavec obvesti prejemnika osebnih podatkov tudi o vsaki posodobitvi, popravku ali izbrisu podatkov, prejemnik pa ga ustrezno obvesti v primeru nadaljnjega prenosa podatkov. [Sprememba 100]
Člen 38
Mednarodno sodelovanje za varstvo osebnih podatkov
1. Komisija in države članice v zvezi s tretjimi državami in mednarodnimi organizacijami sprejmejo ustrezne ukrepe, da:
(a) oblikujejo učinkovite mehanizme mednarodnega sodelovanja za spodbujanje zagotovitev uveljavljanja zakonodaje o varstvu osebnih podatkov; [Sprememba 101]
(b) zagotovijo mednarodno medsebojno pomoč pri uveljavljanju zakonodaje o varstvu osebnih podatkov, vključno z obveščanjem, posredovanjem pritožbe, pomočjo pri preiskavah in izmenjavo informacij, v zvezi s čimer se uporabljajo ustrezni zaščitni ukrepi za varstvo osebnih podatkov ter drugih temeljnih pravic in svoboščin;
(c) ustrezne zainteresirane strani vključijo v razpravo in dejavnosti, katerih cilj je pospeševanje mednarodnega sodelovanja pri uveljavljanju zakonodaje o varstvu osebnih podatkov;
(d) spodbudijo izmenjavo in dokumentiranje zakonodaje in prakse za varstvo osebnih podatkov.;
(da) razjasnijo spore v zvezi s sodno pristojnostjo in se o njih posvetujejo s tretjimi državami. [Sprememba 102]
2. Komisija za namene iz odstavka 1 sprejme ustrezne ukrepe za spodbujanje odnosa s tretjimi državami ali z mednarodnimi organizacijami in zlasti z njihovimi nadzornimi organi, če je Komisija odločila, da zagotavljajo ustrezno raven varstva v smislu člena 34(3).
Člen 38a
Poročilo Komisije
Komisija v rednih časovnih presledkih Evropskemu parlamentu in Svetu predloži poročilo o uporabi členov 33 do 38. Prvo poročilo predloži najpozneje štiri leta po začetku veljavnosti te direktive. Komisija lahko v ta namen zahteva informacije od držav članic in nadzornih organov, ki jih zagotovijo brez nepotrebnega odlašanja. Poročilo se javno objavi. [Sprememba 103]
POGLAVJE VI
NEODVISNI NADZORNI ORGANI
ODDELEK 1
STATUS NEODVISNOSTI
Člen 39
Nadzorni organ
1. Vsaka država članica določi, da je eden ali več javnih organov pristojnih za spremljanje uporabe določb predpisov, sprejetih v skladu s to direktivo, in za prispevanje k dosledni uporabi Direktive v Uniji za zaščito temeljnih pravic in svoboščin fizičnih oseb v zvezi z obdelavo njihovih osebnih podatkov ter za zagotovitev prostega pretoka osebnih podatkov v Uniji. V ta namen je potrebno medsebojno sodelovanje nadzornih organov in sodelovanje s Komisijo.
2. Države članice lahko določijo, da nadzorni organ, ustanovljen v državah članicah v skladu z Uredbo (EU) št. …/2012, prevzame pristojnost izvajanja nalog nadzornega organa, ki bo ustanovljen v skladu z odstavkom 1 tega člena.
3. Če je v državi članici ustanovljen več kot en nadzorni organ, ta država članica določi nadzorni organ, ki deluje kot enotna kontaktna točka za učinkovito udeležbo navedenih organov v Evropskem odboru za varstvo podatkov.
Člen 40
Neodvisnost
1. Države članice zagotovijo, da nadzorni organ pri izvajanju svojih nalog in pooblastil, ki so mu bili zaupani, ravna popolnoma neodvisno, ne glede na ureditve o sodelovanju v skladu s Poglavjem VII te direktive. [Sprememba 104]
2. Vsaka država članica zagotovi, da člani nadzornega organa pri izvajanju svojih nalog nikogar ne prosijo za navodila in jih od nikogar ne sprejemajo ter so povsem neodvisni in nepristranski. [Sprememba 105]
3. Člani nadzornega organa se vzdržijo vsakega delovanja, ki je nezdružljivo z njihovimi dolžnostmi, in se v času svojega mandata ne ukvarjajo z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim.
4. Člani nadzornega organa po prenehanju svojega mandata ravnajo neoporečno in preudarno glede sprejemanja imenovanj in ugodnosti.
5. Vsaka država članica zagotovi, da so nadzornemu organu na voljo zadostni človeški, tehnični in finančni viri, prostori in infrastruktura, ki so potrebni za učinkovito izvajanje njegovih nalog in pooblastil, vključno s tistimi, ki se izvedejo v smislu medsebojne pomoči, sodelovanja in dejavne udeležbe v Evropskem odboru za varstvo podatkov.
6. Vsaka država članica zagotovi, da ima nadzorni organ svoje osebje, člane katerega imenuje in usmerja vodja nadzornega organa.
7. Države članice zagotovijo, da se izvaja finančni nadzor nadzornega organa, kar pa ne vpliva na njegovo neodvisnost. Države članice zagotovijo, da ima nadzorni organ ločene letne proračune. Proračuni se objavijo.
Člen 41
Splošni pogoji za člane nadzornega organa
1. Države članice zagotovijo, da člane nadzornega organa imenuje parlament ali vlada zadevne države članice.
2. Člani se izberejo izmed oseb, o neodvisnosti katerih ni nikakršnih dvomov ter ki dokazujejo izkušnje in strokovnost, potrebne za opravljanje njihovih dolžnosti.
3. Dolžnosti člana prenehajo v primeru prenehanja mandata, odstopa ali prisilne razrešitve v skladu z odstavkom 5.
4. Pristojno nacionalno sodišče lahko razreši člana ali mu odvzame pravico do pokojnine ali do drugih podobnih ugodnosti, če član ne izpolnjuje več pogojev, ki se zahtevajo za opravljanje njegovih dolžnosti, ali če je zagrešil hujšo kršitev.
5. Če članu mandat preneha ali če član odstopi, še naprej opravlja svoje dolžnosti, dokler ni imenovan nov član.
Člen 42
Pravila o ustanovitvi nadzornega organa
Vsaka država članica predpiše:
(a) ustanovitev in status nadzornega organa v skladu s členoma 39 in 40;
(b) kvalifikacije, izkušnje in strokovnost, ki se zahtevajo za opravljanje dolžnosti članov nadzornega organa;
(c) pravila in postopke za imenovanje članov nadzornega organa ter pravila o ukrepih ali delu, ki so nezdružljivi z dolžnostmi urada;
(d) trajanje mandata članov nadzornega organa, ki ni krajši od štirih let, razen pri prvem imenovanju po začetku veljavnosti te direktive, del katerega lahko traja krajše obdobje;
(e) ali se lahko člani nadzornega organa ponovno imenujejo;
(f) uredbe in skupne pogoje, ki urejajo dolžnosti članov in uslužbencev nadzornega organa;
(g) pravila in postopke o prenehanju dolžnosti članov nadzornega organa, tudi če ne izpolnjujejo več pogojev, ki se zahtevajo za opravljanje njihovih dolžnosti, ali če so zagrešili hujšo kršitev.
Člen 43
Poklicna molčečnost
Države članice določijo, da so člani in osebje nadzornega organa v skladu z nacionalno zakonodajo in prakso tako v času svojega mandata kot po njegovem prenehanju dolžni varovati poklicno molčečnost v zvezi z vsemi zaupnimi informacijami, s katerimi so se seznanili v času opravljanja svojih uradnih dolžnosti, ter svoje naloge opravljati na neodvisen in pregleden način, kot je določeno v tej direktivi. [Sprememba 106]
ODDELEK 2
DOLŽNOSTI IN POOBLASTILA
Člen 44
Pristojnost
1. Države članice zagotovijo, da je vsak nadzorni organ na ozemlju svoje države članice izvaja sposoben izvrševati naloge in izvajati pooblastila, ki so mu bila podeljena v skladu s to direktivo. [Sprememba 107]
2. Države članice zagotovijo, da nadzorni organ ni pristojen za nadzor postopkov obdelave sodišč, kadar delujejo kot sodni organ.
Člen 45
Dolžnosti
1. Države članice zagotovijo, da nadzorni organ:
(a) spremlja in zagotavlja uporabo določb predpisov, sprejetih v skladu s to direktivo, in njene izvedbene ukrepe;
(b) obravnava pritožbe, ki jih v skladu s členom 50 vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, ali združenje, ki ga je ta posameznik, na katerega se nanašajo osebni podatki, ustrezno pooblastil za zastopanje, v ustreznem obsegu preuči zadevo ter posameznika, na katerega se nanašajo osebni podatki, ali združenje v primernem roku obvesti o stanju zadeve in odločitvi o pritožbi, zlasti če je potrebna podrobnejša preučitev ali uskladitev z drugim nadzornim organom;
(c) preverja zakonitost obdelave podatkov v skladu s členom 14 ter posameznika, na katerega se nanašajo osebni podatki, v primernem roku obvesti o izidu pregleda ali o razlogih, zaradi katerih se pregled ni izvedel;
(d) zagotavlja medsebojno pomoč drugim nadzornim organom ter doslednost pri uporabi in izvajanju določb predpisov, sprejetih v skladu s to direktivo;
(e) na lastno pobudo ali na podlagi pritožbe ali na zahtevo drugega nadzornega organa izvaja preiskave in, preglede in revizije ter o izidu v primernem roku obvesti posameznika, na katerega se nanašajo osebni podatki, če je vložil pritožbo;
(f) spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij;
(g) institucijam in organom držav članic svetuje o zakonodajnih in upravnih ukrepih, ki so povezani z varstvom pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov;
(h) svetuje o postopkih obdelave v skladu s členom 26;
(i) sodeluje pri dejavnostih Evropskega odbora za varstvo podatkov.
2. Vsak nadzorni organ spodbuja ozaveščenost javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo osebnih podatkov. Posebna pozornost se nameni dejavnostim, ki izrecno obravnavajo otroke.
3. Nadzorni organ na zahtevo posamezniku, na katerega se nanašajo osebni podatki, svetuje pri uveljavljanju pravic, določenih v določbah predpisov, sprejetih v skladu s to direktivo, in v zvezi s tem po potrebi sodeluje z nadzornimi organi v drugih državah članicah.
4. Nadzorni organ za pritožbe iz točke (b) odstavka 1 zagotovi obrazec za vložitev pritožbe, ki se lahko izpolni elektronsko, pri čemer niso izključena druga komunikacijska sredstva.
5. Države članice zagotovijo, da je opravljanje dolžnosti nadzornega organa za posameznika, na katerega se nanašajo osebni podatki, brezplačno.
6. Če so zahteve nadležne očitno čezmerne, zlasti zaradi njihove svoje ponavljajoče se narave, lahko nadzorni organ zaračuna razumno pristojbino ali ne izvede ukrepa, ki ga zahteva posameznik, na katerega se nanašajo osebni podatki. Takšna pristojbina ne presega stroškov izvedbe zahtevanega ukrepa. V tem primeru nosi breme dokazovanja nadležne očitno čezmerne narave zahteve nadzorni organ. [Sprememba 108]
Člen 46
Pooblastila
1. Države članice zagotovijo, da se vsakemu nadzornemu organu podelijo predvsem je vsak nadzorni organ pristojen, da:
(a) preiskovalna pooblastila, kot so pooblastila za dostop do podatkov o vsebini postopkov obdelave, in pooblastila za zbiranje vseh informacij, ki so potrebne za izvajanje njegovih nadzornih nalog; upravljavca ali obdelovalca obvesti o domnevni kršitvi predpisov, ki urejajo obdelavo osebnih podatkov, in po potrebi upravljavcu ali obdelovalcu odredi, da na določen način odpravi to kršitev in tako izboljša varstvo posameznika, na katerega se nanašajo osebni podatki;
(b) učinkovita pooblastila za posredovanje, kot je dajanje mnenj pred izvajanjem obdelave, in zagotavljanje ustrezne objave takih mnenj, odrejanje omejitve, izbrisa ali uničenja podatkov, naložitev začasne ali dokončne prepovedi obdelave, opozarjanje ali opominjanje upravljavca, ali predložitev zadeve nacionalnim parlamentom ali drugim političnim institucijam; upravljavcu naloži izpolnitev zahtev posameznika, na katerega se nanašajo osebni podatki, po izvrševanju njegovih pravic v skladu s to direktivo, vključno s pravicami iz členov 12 do 17, če je pri zavrnitvi teh zahtev prišlo do kršenja teh določb;
(c) pooblastila za sodelovanje v sodnih postopkih, kadar so kršene določbe predpisov, sprejetih v skladu s to direktivo, ali za seznanitev pravosodnih organov s temi kršitvami. upravljavcu ali obdelovalcu naloži, da zagotovita informacije v skladu s členom 10(1) in (2) ter členi 11, 28 in 29;
(d) zagotovi skladnost z mnenji o predhodnih posvetovanjih iz člena 26;
(e) opozori ali opomni upravljavca ali obdelovalca;
(f) odredi popravek, izbris ali uničenje vseh podatkov, pri obdelavi katerih so bile kršeni predpisi, sprejeti na podlagi te direktive, in o takih ukrepih obvesti tretje strani, ki so jim bili podatki razkriti;
(g) začasno ali dokončno prepove obdelavo;
(h) prekine prenose podatkov prejemniku v tretji državi ali mednarodni organizaciji;
(i) o zadevi obvesti nacionalni parlament, vlado ali druge javne ustanove ter javnost.
2. Vsak nadzorni organ ima preiskovalna pooblastila, da od upravljavca ali obdelovalca pridobi:
(a) dostop do vseh osebnih podatkov in vseh informacij, potrebnih za opravljanje svojih nadzornih nalog;
(b) dostop do vseh njegovih prostorov, vključno z vso opremo in sredstvi za obdelavo podatkov, v skladu z nacionalnim pravom, kadar obstajajo utemeljeni razlogi za domnevo, da se izvaja dejavnost, s katero se kršijo predpisi, sprejeti na podlagi te direktive, brez poseganja v sodno odobritev, če to predpisuje nacionalno pravo.
3. Države članice brez poseganja v člen 43 zagotovijo, da se na zahtevo nadzornih organov ne izdajo dodatne zahteve o varovanju poklicne molčečnosti.
4. Države članice lahko zagotovijo, da je v skladu z nacionalno zakonodajo potrebno dodatno varnostno preverjanje za dostop do informacij, za katere je določena podobna stopnja tajnosti, kot je EU CONFIDENTIAL ali višja stopnja. Če zakonodaja države članice za pristojni nadzorni organ ne predpisuje dodatnega varnostnega preverjanja, morajo to priznati vse druge države članice.
5. Vsak nadzorni organ je pristojen, da pravosodne organe opozori na kršitev predpisov, sprejetih v skladu s to direktivo, ter da sodeluje v sodnih postopkih in vloži tožbo pri pristojnem sodišču v skladu s členom 53(2).
6. Vsak nadzorni organ je pristojen za izrekanje kazni v zvezi z upravnimi kršitvami. [Sprememba 109]
Člen 46a
Prijave kršitev
1. Države članice zagotovijo, da nadzorni organi upoštevajo smernice, ki jih je izdal Evropski odbor za varstvo podatkov v skladu s členom 66(4b) Uredbe (EU) št. ..../2014, in vzpostavijo učinkovite mehanizme za spodbujanje zaupnega poročanja o kršitvah te direktive.
2. Države članice zagotovijo, da pristojni organi vzpostavijo ustrezne mehanizme za spodbujanje zaupnega poročanja o kršitvah te direktive. [Sprememba 110]
Člen 47
Poročilo o dejavnostih
Države članice zagotovijo, da vsak nadzorni organ vsaki dve leti pripravi letno poročilo o svojih dejavnostih. Poročilo se da na voljo javnosti, pristojnemu parlamentu, Komisiji in Evropskemu odboru za varstvo podatkov. Vsebuje informacije o tem, v kakšnem obsegu so pristojni organi v okviru svojih pristojnosti dostopali do podatkov fizičnih oseb za preiskovanje ali pregon kaznivih dejanj. [Sprememba 111]
POGLAVJE VII
SODELOVANJE
Člen 48
Medsebojna pomoč
1. Države članice določijo, da nadzorni organi drug drugemu zagotovijo medsebojno pomoč ter tako na dosleden način izvajajo in uporabljajo določbe predpisov v skladu s to direktivo, in uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za izvedbo predhodnih posvetovanj, pregledov in preiskav.
2. Države članice zagotovijo, da nadzorni organ sprejme vse ustrezne ukrepe, potrebne za odgovor na zahtevo drugega nadzornega organa. Takšni ukrepi lahko vključujejo zlasti prenos pomembnih informacij ali izvršilne ukrepe, s katerimi se zagotovi prenehanje ali prepoved dejavnosti obdelave, ki so v nasprotju s to direktivo, in sicer nemudoma in najpozneje mesec dni po prejetju zahteve.
2a. Zahteva za pomoč vsebuje vse potrebne informacije, vključno z namenom in obrazložitvijo zahteve. Izmenjane informacije se uporabljajo samo v zvezi z zadevami, za katere so bile zahtevane.
2b. Nadzorni organ, ki prejme zahtevo za pomoč, te ne sme zavrniti, razen če:
(a) ni pristojen za obravnavanje zahtevka; ali
(b) izpolnitev zahteve ne bi bila skladna s predpisi, sprejetimi v skladu s to direktivo.
3. Zaprošeni nadzorni organ obvesti nadzorni organ prosilec o rezultatih ali, odvisno od posameznega primera, o napredku ali sprejetih ukrepih, da se ugodi zahtevi nadzornega organa prosilca.
3a. Nadzorni organi informacije, za katere je zaprosil drug nadzorni organ, posredujejo z elektronskimi sredstvi, v najkrajšem možnem času in v standardizirani obliki.
3b. Za noben ukrep, sprejet na podlagi zahteve za medsebojno pomoč, se ne zaračuna pristojbina. [Sprememba 112]
Člen 48a
Skupno ukrepanje
1. Države članice zagotovijo, da lahko za okrepitev sodelovanja in medsebojne pomoči nadzorni organi izvajajo skupne izvršilne ukrepe in druge skupne ukrepe, pri katerih imenovani člani nadzornih organov drugih držav članic ali njihovi zaposleni sodelujejo pri dejavnostih na ozemlju države članice.
2. Države članice zagotovijo, da je lahko v primerih, ko utegnejo biti zaradi obdelave podatkov prizadeti posamezniki, na katere se nanašajo osebni podatki, v drugi državi članici ali drugih državah članicah, pristojni nadzorni organ povabljen k sodelovanju pri skupnih ukrepih. Pristojni nadzorni organ lahko k sodelovanju pri zadevnih ukrepih povabi nadzorne organe vsake od teh držav članic, v primerih, ko je sam povabljen, pa se nemudoma odzove na prošnjo nadzornega organa za sodelovanje pri ukrepih.
1. Evropski odbor za varstvo podatkov, ustanovljen z Uredbo (EU) št. …/2012…/2014, v zvezi z obdelavo v okviru področja uporabe te direktive opravlja naslednje naloge:
(a) Komisiji institucijam Unije svetuje o vseh vprašanjih v zvezi z varstvom osebnih podatkov v Uniji, tudi o vseh predlogih sprememb te direktive;
(b) na zahtevo Komisije, Evropskega parlamenta ali Sveta, na lastno pobudo ali na pobudo katerega od svojih članov preuči vsako vprašanje, ki se nanaša na uporabo določb predpisov, sprejetih v skladu s to direktivo, ter izda smernice, priporočila in najboljše prakse, namenjene nadzornim organom za spodbuditev dosledne uporabe teh določb, tudi o uporabi izvršilnih pristojnosti;
(c) pregleda praktično uporabo smernic, priporočil in najboljših praks iz točke (b) ter o tem redno poroča Komisiji;
(d) Komisiji poda mnenje o ravni varstva v tretjih državah ali mednarodnih organizacijah;
(e) spodbuja sodelovanje ter učinkovito dvostransko in večstransko izmenjavo informacij in praks med nadzornimi organi, vključno z usklajevanjem skupnega ukrepanja in drugih skupnih dejavnosti, za kar se odloči na prošnjo enega ali več nadzornih organov;
(f) spodbuja skupne programe usposabljanja ter pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi organi tretjih držav ali mednarodnih organizacij;
(g) spodbuja izmenjavo znanja in dokumentacije z nadzornimi organi za varstvo podatkov po svetu, vključno z zakonodajo in prakso na področju varstva osebnih podatkov.;
(ga) Komisiji poda mnenje pri pripravi delegiranih in izvedbenih aktov v skladu s to direktivo.
2. Če Evropski parlament, Svet ali Komisija od Evropskega odbora za varstvo podatkov zahteva nasvet, lahko določi rok, v katerem Evropski odbor za varstvo podatkov zagotovi tak nasvet, pri čemer se upošteva nujnost zadeve.
3. Evropski odbor za varstvo podatkov Komisiji in odboru iz člena 57(1) posreduje svoja mnenja, smernice, priporočila in najboljše prakse ter jih objavi.
4. Komisija Evropski odbor za varstvo podatkov obvesti o ukrepu, ki ga je sprejela na podlagi mnenj, smernic, priporočil in najboljših praks, ki jih je izdal Evropski odbor za varstvo podatkov. [Sprememba 114]
POGLAVJE VIII
PRAVNA SREDSTVA, ODGOVORNOST IN SANKCIJE
Člen 50
Pravica do vložitve pritožbe pri nadzornem organu
1. Brez poseganja v vsako drugo pravno sredstvo v upravnem ali sodnem postopku države članice zagotovijo pravico vsakega posameznika, na katerega se nanašajo osebni podatki, da pri nadzornem organu v kateri koli državi članici vloži pritožbo, če meni, da obdelava osebnih podatkov v zvezi z njim ni skladna z določbami predpisov, sprejetih v skladu s to direktivo.
2. Države članice zagotovijo, da ima vsak organ, organizacija ali združenje, katerega cilj je zaščita pravic in interesov posameznikov, na katere se nanašajo osebni podatki, v zvezi z varstvom njihovih osebnih podatkov, in ki deluje v javnem interesu in je ustanovljen v skladu z nacionalno zakonodajo, pravico do vložitve pritožbe pri nadzornem organu v kateri koli državi članici v imenu enega ali več posameznikov, na katere se nanašajo osebni podatki, če meni, da so bile zaradi obdelave osebnih podatkov kršene pravice posameznika, na katerega se nanašajo osebni podatki, iz te direktive., Organizacija ali združenje mora dobiti ustrezno pooblastilo posameznika, na katerega se nanašajo osebni podatki. [Sprememba 115]
3. Države članice zagotovijo, da ima vsak organ, organizacija ali združenje iz odstavka 2, neodvisno od pritožbe posameznika, na katerega se nanašajo osebni podatki, pravico, da pri nadzornem organu v kateri koli državi članici vloži pritožbo, če meni, da je prišlo do kršitve varnosti osebnih podatkov.
Člen 51
Pravica do pravnega sredstva v sodnem postopku zoper nadzorni organ
1. Države članice zagotovijo, da ima vsaka fizična ali pravna oseba pravico do pravnega sredstva v sodnem postopku zoper odločitve nadzornega organa, ki jo zadevajo.
2. Vsak Države članice zagotovijo, da ima vsak posameznik, na katerega se nanašajo osebni podatki, ima pravico do pravnega sredstva v sodnem postopku, s katerim zahteva ukrepanje nadzornega organa v zvezi s pritožbo, če ta ne odloči o potrebni zaščiti njegovih pravic, ali če nadzorni organ posameznika, na katerega se nanašajo osebni podatki, v treh mesecih ne obvesti o stanju zadeve ali odločitvi o pritožbi v skladu s točko (b) člena 45(1).
3. Države članice zagotovijo možnost, da se pred sodišči države članice, v kateri ima nadzorni organ sedež, začne postopek zoper nadzorni organ.
3a. Države članice zagotovijo, da se izvršijo pravnomočne odločbe sodišča iz tega člena. [Sprememba 116]
Člen 52
Pravica do pravnega sredstva v sodnem postopku zoper upravljavca ali obdelovalca
1. Brez poseganja v katero koli dostopno upravno sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu, države članice zagotovijo pravico vsake fizične osebe do pravnega sredstva v sodnem postopku, če meni, da so bile njene pravice iz določb predpisov, sprejetih v skladu s to direktivo, kršene zaradi obdelave njenih osebnih podatkov, ki ni bila skladna z navedenimi določbami.
1a. Države članice zagotovijo, da se izvršijo pravnomočne odločbe sodišča iz tega člena. [Sprememba 117]
Člen 53
Splošna pravila za postopke pred sodiščem
1. Države članice zagotovijo, da ima vsak organ, organizacija ali združenje iz člena 50(2) pravico do uveljavljanja pravic iz členov 51 in, 52in 54,v imenu če ima za to pooblastilo enega ali več posameznikov, na katere se nanašajo osebni podatki. [Sprememba 118]
2. Vsak Države članice zagotovijo, da ima vsak nadzorni organ ima pravico do sodelovanja v sodnih postopkih in vložitve tožbe pri sodišču za izvrševanje določb predpisov, sprejetih v skladu s to direktivo, ali za zagotovitev doslednosti varstva osebnih podatkov v Uniji. [Sprememba 119]
3. Države članice zagotovijo, da sodno varstvo, ki ga določa nacionalna zakonodaja, omogoča hitro sprejetje ukrepov, vključno z začasnimi ukrepi, namenjenimi ustavitvi izvajanja domnevne kršitve in preprečitvi nadaljnjega oškodovanja zadevnih interesov.
Člen 54
Odgovornost in pravica do odškodnine
1. Države članice zagotovijo, da ima vsak posameznik, ki je utrpel škodo, tudi nepremoženjsko, zaradi nezakonitega postopka obdelave ali dejanja, ki je nezdružljivo z določbami predpisov, sprejetih v skladu s to direktivo, pravico od upravljavca ali obdelovalca dobiti zahtevati odškodnino za nastalo škodo. [Sprememba 120]
2. Če je v obdelavo vključenih več upravljavcev ali obdelovalcev, je vsak upravljavec ali obdelovalec solidarno odgovoren za celoten znesek škode.
3. Upravljavec ali obdelovalec je lahko v celoti ali delno prost te odgovornosti, če dokaže, da ni odgovoren za dogodek, ki je povzročil škodo.
Člen 55
Kazenske sankcije
Države članice določijo pravila o kazenskih sankcijah, ki se uporabljajo za kršitve določb predpisov, sprejetih v skladu s to direktivo, in sprejmejo vse ukrepe, potrebne za zagotovitev njihovega izvajanja. Določene kazenske sankcije morajo biti učinkovite, sorazmerne in odvračilne.
POGLAVJE VIIIa
POSREDOVANJE OSEBNIH PODATKOV DRUGIM STRANEM
Člen 55a
Posredovanje osebnih podatkov drugim organom ali zasebnim stranem v Uniji
1. Države članice zagotovijo, da upravljavec ne posreduje oziroma ne naroči obdelovalcu, naj posreduje osebne podatke fizični ali pravni osebi, za katero ne veljajo določbe predpisov, sprejetih v skladu s to direktivo, razen če:
(a) je posredovanje skladno s pravom Unije ali pravom države članice; ter
(b) ima prejemnik sedež v državi članici Evropske unije; ter
(c) ni posebnih zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, ki bi preprečevali posredovanje; ter
(d) je posredovanje potrebno v posebnem primeru za upravljavca, ki posreduje osebne podatke zaradi:
(i) izvajanja naloge, ki mu je bila zakonito dodeljena; ali
(ii) preprečevanja neposredne in resne nevarnosti za javno varnost; ali
2. Upravljavec obvesti prejemnika o namenih, za katere se lahko osebni podatki izključno obdelujejo.
3. Upravljavec o takšnem posredovanju obvesti nadzorni organ.
4. Upravljavec obvesti prejemnika o omejitvah obdelave podatkov in zagotovi upoštevanje teh omejitev. [Sprememba 121]
POGLAVJE IX
DELEGIRANI AKTI IN IZVEDBENI AKTI
Člen 56
Prenos pooblastila
1. Pooblastilo za sprejemanje delegiranih aktov se na Komisijo prenese pod pogoji iz tega člena.
2. Pooblastilo za sprejemanje delegiranih aktov iz člena 25a(7), člena 28(5), člena 34(3) in člena 34(5) se na Komisijo prenese za nedoločen čas od dne začetka veljavnosti te direktive.
3. Evropski parlament ali Svet lahko kadar koli prekliče pooblastilo iz člena 25a(7), člena 28(5), člena 34(3) in člena 34(5). S sklepom o preklicu preneha veljati pooblastilo iz navedenega sklepa. Preklic začne veljati dan po objavi sklepa v Uradnem listu Evropske unije ali na poznejši datum, ki je v njem naveden. Sklep ne vpliva na veljavnost že veljavnih delegiranih aktov.
4. Komisija takoj po sprejetju delegiranega akta o tem hkrati obvesti Evropski parlament in Svet.
5. Delegirani akt, sprejet v skladu s členom 25a(7), členom 28(5), členom 34(3) in členom 34(5), začne veljati le, če mu Evropski parlament ali Svet v dveh šestih mesecih od obvestila, ki sta ga prejela v zvezi z navedenim aktom, ne nasprotujeta ali če sta pred iztekom tega roka oba obvestila Komisijo, da mu ne bosta nasprotovala. Navedeni rok se na pobudo Evropskega parlamenta ali Sveta podaljša za dva meseca šest mesecev. [Sprememba 122]
Člen 56a
Rok za sprejetje delegiranih aktov
Komisija sprejme delegirane akte v skladu s členom 25a(7) in členom 28(5) do [šest mesecev pred datumom iz člena 62(1)]. Komisija lahko rok iz tega odstavka podaljša za šest mesecev. [Sprememba 123]
Člen 57
Postopek v odboru
1. Komisiji pomaga odbor. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.
2. Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.
3. Pri sklicevanju na ta odstavek se uporablja člen 8 Uredbe (EU) št. 182/2011 v povezavi s členom 5 Uredbe. [Sprememba 124]
POGLAVJE X
KONČNE DOLOČBE
Člen 58
Razveljavitev
1. Okvirni sklep 2008/977/PNZ se razveljavi.
2. Sklicevanja na razveljavljeni okvirni sklep iz odstavka 1 se štejejo kot sklicevanja na to direktivo.
Člen 59
Povezava s predhodno sprejetimi akti Unije za pravosodno sodelovanje v kazenskih zadevah in policijsko sodelovanje
Posebne določbe o varstvu osebnih podatkov v zvezi z obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij v aktih Unije, ki so bili sprejeti pred dnem sprejetja te direktive, ki ureja obdelavo osebnih podatkov v državah članicah in dostop določenih organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi Pogodb, ostanejo nespremenjene.
Člen 60
Povezava s predhodno sklenjenimi mednarodnimi sporazumi na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja
Mednarodni sporazumi, ki jih države članice sklenejo pred začetkom veljavnosti te direktive, se po potrebi spremenijo v petih letih po začetku veljavnosti te direktive.
Člen 61
Ocena
1. Komisija po zaprositvi Evropskega odbora za varstvo podatkov za mnenje oceni uporabo in izvajanje te direktive. Komisija to stori v tesnem sodelovanju z državami članicami, kar vključuje napovedane in nenapovedane obiske. Med postopkom sta Evropski parlament in Svet redno obveščena ter imata tudi dostop do zadevnih dokumentov.
2. Komisija v treh dveh letih po začetku veljavnosti te direktive pregleda druge akte, ki jih je sprejela Evropska unija in urejajo obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanje kazenskih sankcij, zlasti akte iz člena 59, ki jih je sprejela Unija, da se oceni potreba po njihovi uskladitvi s to direktivo in se po potrebi oblikujejo ustrezni predlogi za spremembo teh aktov, da se zagotovi dosleden pristop k varstvu ter pripravi ustrezne predloge z namenom zagotavljanja doslednih in enotnih pravnih predpisov, ki zadevajo obdelavo osebnih podatkov s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali za izvrševanje kazenskih sankcij v okviru področja uporabe te direktive.
2a. Komisija v dveh letih po začetku veljavnosti te direktive predstavi primerne predloge revizije pravnega okvira, ki se uporablja, ko institucije, organi, uradi in agencije Unije obdelujejo osebne podatke za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, da se zagotovijo dosledna in enotna pravna pravila, povezana s temeljno pravico do varstva osebnih podatkov v Uniji.
3. Komisija redno predloži poročila o oceni in pregledu te direktive v skladu z odstavkom 1 Evropskemu parlamentu in Svetu. Prva poročila predloži najpozneje štiri leta po začetku veljavnosti te direktive. Nadaljnja poročila nato predloži vsaka štiri leta. Komisija po potrebi predloži ustrezne predloge z namenom spremembe te direktive in uskladitve drugih pravnih aktov. Poročilo se javno objavi. [Sprememba 125]
Člen 62
Izvajanje
1. Države članice najpozneje do ...(12) sprejmejo in objavijo zakone in druge predpise, potrebne za uskladitev s to direktivo. Komisiji nemudoma sporočijo besedilo navedenih predpisov.
Navedene predpise uporabljajo od ...+.
Države članice se v sprejetih predpisih sklicujejo na to direktivo ali pa sklic nanjo navedejo ob njihovi uradni objavi. Način sklicevanja določijo države članice.
2. Države članice Komisiji sporočijo besedilo glavnih predpisov nacionalne zakonodaje, ki jih sprejmejo na področju, ki ga obsega ta direktiva.
Člen 63
Začetek veljavnosti in uporaba
Ta direktiva začne veljati prvi dan po objavi v Uradnem listu Evropske unije.
Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281, 23.11.1995, str. 31).
Okvirni sklep Sveta 2008/977/PNZ z dne 27. novembra 2008 o varstvu osebnih podatkov, ki se obdelujejo v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah (UL L 350, 30.12.2008, str. 60).
Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12.1.2001, str. 1).
Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).
Direktiva 2011/92/EU Evropskega parlamenta in Sveta z dne 13. decembra 2011 o boju proti spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji in nadomestitvi Okvirnega sklepa Sveta 2004/68/PNZ (UL L 335, 17.12.2011, str. 1).