Rezolucja Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie roli Pakistanu w regionie i jego stosunków politycznych z UE (2013/2168(INI))

P7_TA(2014)0208 A7-0117/2014

Parlament Europejski,

–  uwzględniając art. 2 i 21 Traktatu o Unii Europejskiej (TUE) oraz Traktat o funkcjonowaniu Unii Europejskiej (TFUE),

–  uwzględniając pięcioletni plan zaangażowania przyjęty przez UE i Pakistan w lutym 2012 r.(1),

–  uwzględniając strategiczne ramy i plan działania UE dotyczące praw człowieka i demokracji (11855/2012), przyjęte przez Radę do Spraw Zagranicznych w dniu 25 czerwca 2012 r.(2),

–  uwzględniając europejską strategię bezpieczeństwa pt. „Bezpieczna Europa w lepszym świecie”, przyjętą przez Radę Europejską w dniu 12 grudnia 2003 r. oraz sprawozdanie na temat jej wdrażania pt. „Utrzymanie bezpieczeństwa w zmieniającym się świecie”, zatwierdzone przez Radę Europejską w dniach 11–12 grudnia 2008 r.,

–  uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 978/2012 z dnia 25 października 2012 r. wprowadzające ogólny system preferencji taryfowych(3), a zwłaszcza określające szczególne rozwiązanie motywacyjne dotyczące zrównoważonego rozwoju i dobrych rządów (GSP Plus),

–  uwzględniając załącznik VIII do powyższego rozporządzenia, zawierający wykaz konwencji ONZ/MOP dotyczących podstawowych praw człowieka i praw pracowniczych oraz środowiska naturalnego i zasad dobrych rządów, które Pakistan ratyfikował i zobowiązał się skutecznie wykonywać,

–  uwzględniając konkluzje Rady do Spraw Zagranicznych w sprawie Pakistanu z dnia 11 marca 2013 r.,

–  uwzględniając swoją rezolucję z dnia 7 lutego 2013 r. w sprawie niedawnych ataków na pracowników pomocy medycznej w Pakistanie(4), swoje stanowisko z dnia 13 września 2012 r. w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady wprowadzającego nadzwyczajne autonomiczne preferencje handlowe dla Pakistanu(5) oraz swoją rezolucję z dnia 15 grudnia 2011 r. w sprawie sytuacji kobiet w Afganistanie i Pakistanie(6), a także wizytę delegacji Podkomisji Praw Człowieka w Pakistanie w sierpniu 2013 r.,

–  uwzględniając sprawozdanie specjalnego sprawozdawcy ONZ ds. promocji i ochrony praw człowieka i podstawowych wolności podczas zwalczania terroryzmu, Bena Emmersona, z dnia 18 września 2013 r. oraz sprawozdanie specjalnego sprawozdawcy ONZ ds. pozasądowych, doraźnych i arbitralnych egzekucji, Christofa Heynsa, z dnia 13 września 2013 r.,

–  uwzględniając rezolucję Zgromadzenia Ogólnego ONZ 68/178 przyjętą w dniu 18 grudnia 2013 r. w sprawie ochrony praw człowieka i podstawowych wolności podczas zwalczania terroryzmu,

–  uwzględniając art.48 Regulaminu,

–  uwzględniając sprawozdanie Komisji Spraw Zagranicznych oraz opinię Komisji Rozwoju (A7-0117/2014),

A.  mając na uwadze, że strategiczna rola Pakistanu w regionie, jego stosunki z krajami sąsiadującymi oraz stosunki między UE a Pakistanem mają istotne i coraz większe znaczenie dla UE, zważywszy na kluczowe położenie tego kraju w samym centrum niestabilnego sąsiedztwa, jego główne znaczenie dla bezpieczeństwa i rozwoju Azji Środkowej i Południowej oraz jego ważną rolę w walce z terroryzmem, promowaniu nieproliferacji, zwalczaniu obrotu środkami odurzającymi i innych zagrożeń transnarodowych, które mają negatywny wpływ na bezpieczeństwo i dobrostan obywateli europejskich;

B.  mając na uwadze, że wybory parlamentarne, które odbyły się w maju 2013 r. były pierwszymi w historii nowożytnej Pakistanu, po których jeden wybrany demokratycznie rząd cywilny przekazał władzę kolejnemu rządowi, wyłonionemu w ten sam sposób; mając na uwadze, że proces demokratyczny w Pakistanie jest wspierany szerzej zakrojonymi zmianami społecznymi, które obejmują rozwój miejskiej klasy średniej, zwiększoną aktywność społeczeństwa obywatelskiego i niezależne środki przekazu;

C.  mając na uwadze, że polityczny i gospodarczy postęp tego kraju utrudniają szerzące się wewnętrzne i regionalne problemy związane z bezpieczeństwem, takie jak ekstremizm, przemoc na tle wyznaniowym, ataki samobójcze i ukierunkowane zabójstwa, jak również bezprawie na terytoriach plemiennych, a sytuację tę pogarsza jeszcze słabość organów ścigania i systemu sądownictwa karnego;

D.  mając na uwadze, że Pakistan jest jednym z krajów o największej na świecie liczbie ludności nieobjętej edukacją szkolną oraz że według szacunków do szkoły nie uczęszcza 12 mln dzieci, a około dwie trzecie kobiet i połowa mężczyzn w tym kraju są analfabetami; mając na uwadze, że zgodnie z raportem Światowego Forum Ekonomicznego w sprawie różnic w traktowaniu kobiet i mężczyzn Pakistan nadal zajmuje 134. miejsce spośród 135 ocenianych krajów;

E.  mając na uwadze, że zgodnie z ogólnym wskaźnikiem zagrożenia klimatycznego Pakistan jest jednym z dwunastu krajów, które w ostatnich dwudziestu latach najbardziej ucierpiały wskutek zmiany klimatu, kraj ten doświadczył dotkliwych powodzi i braku wody oraz jest bezpośrednio zagrożony topnieniem lodowców w pasmach Himalajów i Karakorum;

F.  mając na uwadze, że Pakistan to kraj na wpół uprzemysłowiony o średnio-niskich dochodach, w którym około jedna trzecia ludności żyje poniżej granicy ubóstwa; mając na uwadze, że według wskaźnika rozwoju społecznego (HDI) z 2012 r. Pakistan zajmuje 146. pozycję wśród 187 krajów, spadając z 145. pozycji, którą zajmował w roku 2011; mając na uwadze, że sytuację gospodarczą Pakistanu pogorszyły kolejne katastrofy naturalne, zaś niski poziom bezpieczeństwa, niestabilność i szerząca się w kraju korupcja spowalniają jego wzrost gospodarczy i ograniczają zdolność rządu do rozwijania państwa;

G.  mając na uwadze, że Pakistan narażony jest na wiele różnych zagrożeń, głównie na powodzie i trzęsienia ziemi; mając na uwadze, że niestabilna sytuacja w zakresie bezpieczeństwa oraz wyzwania społeczne, z jakimi boryka się Pakistan, działają jak katalizator, osłabiając to państwo; mając na uwadze, że wiele lat klęsk żywiołowych wyczerpało strategie obronne już i tak ubogich społeczności i drastycznie obniżyło ich odporność na klęski żywiołowe w przyszłości;

H.  mając na uwadze, że konstruktywny wkład Pakistanu jest niezbędny do zapewnienia pojednania, pokoju i stabilności politycznej w jego sąsiedztwie, w szczególności w Afganistanie, zwłaszcza w związku z planowanym wycofaniem oddziałów bojowych NATO w 2014 r.;

I.  mając na uwadze, że Pakistan jest jednym z największych odbiorców unijnej pomocy rozwojowej i humanitarnej, a także mając na uwadze, że UE jest największym rynkiem eksportowym Pakistanu;

J.  mając na uwadze, że Pakistan staje się coraz ważniejszym partnerem UE w zwalczaniu terroryzmu, rozprzestrzeniania broni jądrowej, handlu ludźmi, obrotu środkami odurzającymi i przestępczości zorganizowanej, a także w dążeniach do zapewnienia stabilności w regionie;

K.  mając na uwadze, że UE i Pakistan podjęły niedawno decyzję o pogłębieniu i rozszerzeniu swoich stosunków dwustronnych, czego przykładem jest pięcioletni plan zaangażowania, którego realizację rozpoczęto w lutym 2012 r., oraz pierwszy dialog strategiczny UE-Pakistan z czerwca 2012 r.;

L.  mając na uwadze, że przyjęty przez UE i Pakistan w 2012 r. pięcioletni plan zaangażowania ma na celu zbudowanie partnerstwa strategicznego i utworzenie partnerstwa na rzecz pokoju i rozwoju, opartego na wspólnych wartościach i zasadach;

M.  mając na uwadze, że począwszy od dnia 1 stycznia 2014 r. Pakistan został objęty specjalnym ogólnym systemem preferencji handlowych UE (GSP Plus);N. mając na uwadze, że we wrześniu 2012 r. zakłady Ali Enterprises w Karaczi, produkujące odzież dżinsową na rynek europejski, zostały zniszczone w wyniku pożaru, w którym zginęło 286 pracowników uwięzionych w budynku; mając na uwadze, że objęcie Pakistanu systemem GSP Plus może przyczynić się do ożywienia produkcji w sektorze włókienniczym oraz dodatkowo zwiększyć znaczenie poprawy w zakresie praw pracowniczych i warunków produkcji;

1.  podkreśla znaczenie wyborów z maja 2013 r. dla konsolidacji demokracji i rządów cywilnych w Pakistanie; zachęca elity polityczne w Pakistanie, aby wykorzystały ten impuls do dalszego umacniania instytucji demokratycznych, państwa prawa i cywilnej kontroli nad wszystkimi obszarami administracji publicznej, zwłaszcza nad siłami bezpieczeństwa i sądownictwem, wspierania bezpieczeństwa wewnętrznego i regionalnego, przeprowadzenia reform w obszarze sprawowania rządów w celu ożywienia wzrostu gospodarczego, wzmocnienia przejrzystości i walki z przestępczością zorganizowaną, a także do ograniczenia nierówności społecznych oraz do powstrzymania i naprawienia wszystkich szkód wynikających z naruszania praw człowieka;

2.  jest jednak zdania, że budowanie zrównoważonej demokracji i pluralistycznego społeczeństwa, a także zapewnienie większej sprawiedliwości społecznej, wyeliminowanie ogromnego ubóstwa i niedożywienia w niektórych częściach kraju, podniesienie poziomu kształcenia podstawowego i przygotowanie kraju na skutki zmiany klimatu będzie wymagało przeprowadzenia dogłębnych i trudnych reform obowiązującego w Pakistanie porządku politycznego i społeczno-gospodarczego, który nadal cechują feudalne struktury własności ziemi i lojalności politycznej, nierównomierne rozłożenie priorytetów między wydatkami na obronność a zapewnianiem opieki społecznej, kształcenia i rozwoju gospodarczego, jak również niesprawny system poboru dochodów, który regularnie przyczynia się do osłabiania zdolności państwa do dostarczania dóbr publicznych;

3.  wspiera wysiłki rządu pakistańskiego na rzecz opracowania skutecznych środków zapobiegania w przyszłości klęskom żywiołowym i monitorowania możliwości ich wystąpienia, a także środków służących skuteczniejszej koordynacji pomocy humanitarnej i współpracy w tym zakresie z podmiotami lokalnymi, międzynarodowymi organizacjami pozarządowymi i osobami zajmującymi się pozyskiwaniem funduszy, oraz zachęca do podejmowania takich wysiłków;

4.  ponownie stwierdza, że dobre sprawowanie rządów, rozliczalne instytucje reprezentujące całe społeczeństwo, rozdział władz oraz przestrzeganie praw podstawowych stanowią istotne aspekty służące zapewnieniu powiązań między rozwojem i bezpieczeństwem w Pakistanie; wyraża nadal przekonanie, że wybrane rządy cywilne, posiadające legitymację demokratyczną, przekazanie władzy prowincjom i skuteczny samorząd lokalny są najlepszymi sposobami pohamowania fali przemocy i ekstremizmu, przywrócenia władzy państwowej na terytoriach FATA oraz zapewnienia suwerenności i integralności terytorialnej Pakistanu;

5.  wspiera w tym kontekście zamiar rozpoczęcia przez rząd pakistański dialogu pokojowego z ugrupowaniem zbrojnym Tehrik-i-Taliban Pakistan (TTP, Talibski Ruch Pakistanu), pod warunkiem że przyczyni się to do trwałego politycznego rozwiązania kwestii działalności rebeliantów oraz zapewnienia stabilnego porządku demokratycznego, zapewniającego przestrzeganie praw człowieka; zwraca się jednak do negocjatorów, by wzięli pod uwagę fakt, że poziom edukacji – szczególnie wśród kobiet – jest absolutnie decydującym czynnikiem umożliwiającym rozwój społeczeństw, oraz by edukacja szkolna dziewcząt stała się zasadniczym elementem ich negocjacji;

6.  docenia stałe zobowiązanie Pakistanu do zwalczania terroryzmu po obu stronach jego granicy oraz zachęca władze Pakistanu do podjęcia odważniejszych działań mających na celu dalsze ograniczanie możliwości rekrutowania i szkolenia terrorystów na terytorium ich kraju, ponieważ przez ten proceder niektóre obszary Pakistanu stają się bezpiecznym schronieniem dla organizacji terrorystycznych, których celem jest destabilizacja kraju i regionu, a zwłaszcza Afganistanu;

7.  zauważa, że przywódca pakistańskich talibów Hakimullah Mehsud został zabity przez bezzałogowy statek powietrzny Stanów Zjednoczonych w dniu 1 listopada 2013 r., że parlament Pakistanu i nowy rząd oficjalnie sprzeciwili się takim interwencjom oraz że należy wyraźniej określić ograniczenia w wykorzystywaniu ataków z użyciem bezzałogowych statków powietrznych w prawie międzynarodowym;

8.  wzywa rząd Pakistanu do wywiązania się ze swoich zobowiązań dotyczących bezpieczeństwa i do przejęcia odpowiedzialności w tym zakresie poprzez dalsze angażowanie się w zwalczanie ekstremizmu, terroryzmu i radykalizacji dzięki wdrażaniu surowych i bezkompromisowych środków bezpieczeństwa i egzekwowaniu prawa, jak również poprzez zajęcie się kwestią nierówności i problemami społeczno-gospodarczymi, które mogą spotęgować radykalizację młodzieży pakistańskiej;

9.  zauważa, że rząd pakistański wyraźnie sprzeciwił się atakom amerykańskich bezzałogowych statków powietrznych na terytorium Pakistanu; z zadowoleniem przyjmuje rezolucję Zgromadzenia Ogólnego ONZ, w której wezwano do dalszego doprecyzowania ram prawnych mających zastosowanie do wykorzystywania uzbrojonych bezzałogowych statków powietrznych;

10.z  zadowoleniem przyjmuje wkład Pakistanu w budowanie państwowości i procesy pojednania w Afganistanie, w tym pomoc w ułatwieniu ponownego rozpoczęcia rozmów pokojowych; oczekuje, że Pakistan utrzyma swoją pozytywną postawę zarówno w okresie poprzedzającym wybory prezydenckie w Afganistanie, jak i w dalszej perspektywie czasowej; wyraża zaniepokojenie konkurencją geopolityczną między sąsiadującymi krajami o wpływy w Afganistanie po wycofaniu się oddziałów bojowych NATO;

11.  wyraża nadzieję, że Pakistan odegra konstruktywną rolę w propagowaniu stabilności w regionie, również w przypadku obecności NATO i państw członkowskich UE w Afganistanie w okresie po 2014 r., poprzez dalsze promowanie zaangażowania w Afganistanie z wykorzystaniem formy rozmów trójstronnych z Indiami, Turcją, Chinami, Rosją i Zjednoczonym Królestwem, a także poprzez wspieranie współpracy regionalnej w zwalczaniu handlu ludźmi oraz nielegalnego obrotu środkami odurzającymi i towarami;

12.  z zadowoleniem przyjmuje osiągnięty niedawno wyraźny postęp w dialogu między Pakistanem a Indiami, w szczególności w odniesieniu do stosunków handlowych i kontaktów międzyludzkich, który był możliwy dzięki konstruktywnej postawie obu stron; wyraża ubolewanie, że osiągnięcia wypracowane w ramach tego dialogu wciąż mogą zostać zniweczone w wyniku nieprzewidzianych zdarzeń, takich jak powtarzające się incydenty, do których dochodzi na linii kontroli rozdzielającej części Kaszmiru kontrolowane przez Pakistan i Indie; zwraca się do rządów obu krajów o zapewnienie odpowiednich struktur dowodzenia, odpowiedzialności sztabu wojskowego oraz dialogu między przedstawicielami środowisk wojskowych, aby uniknąć w przyszłości podobnych incydentów;

13.  uznaje uzasadniony interes Pakistanu w nawiązaniu stosunków strategicznych, gospodarczych i energetycznych z Chinami; uważa, że istotne jest, aby bliższe stosunki między Pakistanem a Chinami prowadziły do umacniania stabilności geopolitycznej w Azji Południowej;

14.  zauważa dążenia Pakistanu do pełnego członkostwa w Szanghajskiej Organizacji Współpracy (SOW) jako pożądany wyraz ambicji tego kraju, by bardziej angażować się w wielostronne inicjatywy; zwraca jednak uwagę na brak jakiegokolwiek formalnego mechanizmu współpracy między SOW a UE oraz wskazuje na rozbieżności w ich podstawach normatywnych i poglądach na kwestie o charakterze globalnym;

15.  wyraża zaniepokojenie w związku doniesieniami, że Pakistan rozważa eksportowanie broni jądrowej do państw trzecich; oczekuje, że UE i jej państwa członkowskie – pomimo iż oficjalnie zaprzeczono tym doniesieniom – przedstawią władzom Pakistanu jasne stanowisko, zgodnie z którym eksport broni jądrowej jest niedopuszczalny; wzywa Pakistan, który jest państwem posiadającym broń jądrową, do wprowadzenia prawnego zakazu eksportu wszelkich materiałów lub wiedzy fachowej związanych z bronią jądrową oraz do aktywnego udziału w wysiłkach podejmowanych na szczeblu międzynarodowym w zakresie nieproliferacji; uważa, że podpisanie i ratyfikacja Układu o nierozprzestrzenianiu broni jądrowej (NPT) przez Pakistan - jak również przez Indie - byłoby dowodem zdecydowanego zaangażowania na rzecz utrzymania pokojowych stosunków ze swoimi sąsiadami w regionie oraz wniosłoby niezwykle istotny wkład w bezpieczeństwo całego regionu;

16.  wyraża przekonanie, że walka z ekstremizmem i radykalizmem jest bezpośrednio związana z silniejszymi procesami demokratycznymi, oraz potwierdza, że UE jest żywo zainteresowana tym, aby Pakistan stał się krajem demokratycznym i bezpiecznym, w którym władza jest dobrze sprawowana, funkcjonuje niezależny system sądowy i dobre sprawowanie rządów i który przestrzega praworządności i praw człowieka, utrzymuje przyjazne stosunki z sąsiadami, a także wykazuje potencjał do stabilizacji sytuacji w regionie, oraz że Unia nieustannie wspiera działania w tym kierunku;

17.  przypomina, że stosunki między UE a Pakistanem rozwijały się tradycyjnie wokół zagadnień związanych z rozwojem i handlem; docenia istotny i trwały wkład unijnej współpracy na rzecz rozwoju i pomocy humanitarnej oraz z zadowoleniem przyjmuje decyzję o umożliwieniu Pakistanowi korzystanie od 2014 r. ze szczególnego rozwiązania motywacyjnego dotyczącego zrównoważonego rozwoju i dobrych rządów (GSP Plus); wzywa Pakistan do pełnej zgodności z właściwymi warunkami z tym związanymi, zwraca się do Komisji o zapewnienie ścisłego stosowania zwiększonego monitorowania przewidzianego w nowym rozporządzeniu dotyczącym GSP oraz podkreśla, że szczególną uwagę należy nadal poświęcić współpracy, w szczególności w obszarze kształcenia, budowania demokracji oraz przystosowywania się do zmiany klimatu;

18.  wyraża przekonanie, że należy pogłębiać stosunki między UE a Pakistanem i rozszerzać ich zakres poprzez rozwijanie dialogu politycznego i utrzymywanie w ten sposób leżących we wspólnym interesie stosunków między równymi partnerami; w tym kontekście z zadowoleniem przyjmuje przyjęcie pięcioletniego planu zaangażowania oraz rozpoczęcie dialogu strategicznego między UE a Pakistanem, co odzwierciedla coraz większe znaczenie współpracy politycznej i w zakresie bezpieczeństwa, dotyczącej m.in. polityki w dziedzinie walki z terroryzmem, rozbrojenia i nieproliferacji, a także migracji, kształcenia i kultury; oczekuje jednak większego postępu we wszystkich obszarach ujętych w planie zaangażowania;

19.  zachęca zarówno UE, jak i Pakistan do współpracy w procesie wdrażania oraz do regularnego monitorowania postępu, poprzez umacnianie wzajemnego dialogu między stronami w perspektywie długoterminowej;

20.  uważa, że przejście Pakistanu do demokracji stworzyło dla UE szansę na bardziej jednoznaczne zastosowanie politycznego podejścia w stosunkach dwustronnych i procesie zapewniania wsparcia; uważa, że w ramach wsparcia UE dla Pakistanu pierwszeństwo należy przyznać takim kwestiom, jak umacnianie instytucji demokratycznych na wszystkich szczeblach, zwiększanie potencjału państwa i zapewnianie dobrego sprawowania rządów, tworzenie skutecznych organów ścigania i cywilnych struktur zwalczania terroryzmu, w tym niezależnego sądownictwa, jak również wzmocnienie pozycji społeczeństwa obywatelskiego i wolności mediów;

21.  w tym kontekście z zadowoleniem przyjmuje kompleksowe programy wsparcia demokracji obowiązujące już w związku z realizacją zaleceń unijnych misji obserwacji wyborów z 2008 i 2013 r.;

22.  wzywa ESDZ i Komisję do realizowania szczegółowej i wielowymiarowej polityki wobec Pakistanu, uwzględniającej synergie między wszystkimi istotnymi instrumentami, którymi dysponuje UE, takimi jak dialog polityczny, współpraca w zakresie bezpieczeństwa, handel oraz wsparcie, zgodnie z całościowym podejściem UE do działań zewnętrznych oraz w związku z przygotowaniami do kolejnego szczytu UE-Pakistan;

23.  wzywa ponadto ESDZ, Komisję i Radę do dopilnowania, by polityka UE wobec Pakistanu była wpisana w kontekst i ramy szerzej zakrojonej strategii dla całego regionu, co pozwoli umocnić interesy UE w Azji Południowej i Środkowej; uważa za istotne, aby stosunki dwustronne UE z Pakistanem i sąsiadującymi krajami, w szczególności z Indiami, Chinami i Iranem, służyły również omawianiu i koordynowaniu polityki w odniesieniu do sytuacji w Afganistanie w celu zapewnienia ukierunkowanego podejścia; podkreśla w związku z tym potrzebę zwiększenia koordynacji polityki UE i Stanów Zjednoczonych oraz pogłębienia dialogu obu stron w zakresie kwestii dotyczących całego regionu;

24.  jest zdania, że przyszłe stosunki między UE a Pakistanem należy również rozpatrywać w kontekście ewoluujących narzędzi instytucjonalnych UE służących utrzymywaniu stosunków z państwami trzecimi, szczególnie w formie partnerstw strategicznych; ponownie wzywa do udoskonalenia tej formy pod względem koncepcyjnym oraz do ustanowienia bardziej przejrzystych i spójnych punktów odniesienia, które umożliwią ocenę m.in. tego, czy i na jakich warunkach Pakistan mógłby zostać uznany w przyszłości za strategicznego partnera UE;

25.  ponownie zdecydowanie stwierdza, że postęp w stosunkach dwustronnych zależy od poprawy sytuacji w zakresie praw człowieka w Pakistanie, szczególnie w odniesieniu do takich aspektów, jak likwidacja niewolniczej pracy, pracy dzieci oraz handlu ludźmi, powstrzymanie fali przemocy ze względu na płeć, zwiększenie praw kobiet i dziewcząt, w tym zapewnienie prawa dostępu do kształcenia, zapewnienie wolności wypowiedzi i niezależnych mediów, wspieranie tolerancji i ochrony mniejszości podatnych na zagrożenia poprzez skuteczne zwalczanie wszelkich form dyskryminacji; uznaje, że wymaga to położenia kresu kulturze bezkarności oraz rozwoju na wszystkich szczeblach wiarygodnego i dostępnego dla wszystkich systemu prawnego i sądowego;

26.  nadal jest głęboko zaniepokojony jakością kształcenia oraz powiązaną z tym niepokojącą sytuacją kobiet w wielu regionach Pakistanu; apeluje o konkretne i widoczne działania na rzecz poszanowania praw podstawowych kobiet w społeczeństwie, obejmujące wprowadzanie przepisów na rzecz zwalczania przemocy domowej, podejmowanie działań na rzecz usprawnienia dochodzeń i ścigania zabójstw honorowych i oblewania kwasem, a także przegląd przepisów umożliwiających bezkarność; podkreśla potrzebę zapewnienia lepszego dostępu do kształcenia i większej integracji kobiet na rynku pracy, a także zagwarantowania matkom lepszej opieki zdrowotnej;

27.  ponownie wyraża głębokie zaniepokojenie, że prawa pakistańskie zakazujące bluźnierstwa – mogące pociągać za sobą karę śmierci i często wykorzystywane do uzasadniania cenzury, kryminalizacji, prześladowań, a w niektórych przypadkach zabójstw członków mniejszości politycznych i religijnych – stanowią pole do nadużyć, które dotykają ludność wszystkich wyznań w Pakistanie; podkreśla, że odmowa przeprowadzenia reform lub uchylenia praw zakazujących bluźnierstwa prowadzi do powstawania atmosfery ciągłego zagrożenia dla społeczności mniejszościowych; wzywa rząd Pakistanu do wdrożenia moratorium na wykonywanie tych praw w ramach pierwszego kroku w kierunku przeglądu tych praw lub ich uchylenia oraz, w  stosownych przypadkach, do przeprowadzania dochodzeń dotyczących kampanii zastraszania, gróźb i przemocy wobec chrześcijan, ahmadyjczyków i innych szczególnie narażonych grup, a  także do ścigania winnych takich aktów;

28.  apeluje w szczególności do władz pakistańskich: o zatrzymanie i postawienie w stan oskarżenia tych, którzy podżegają do przemocy lub są odpowiedzialni za brutalne ataki na szkoły lub na grupy mniejszościowe, takie jak szyici, w tym społeczność Hazarów, ahmadyci i chrześcijanie, oraz o nakazanie siłom bezpieczeństwa objęcia aktywną ochroną osób, które doświadczają ataków ze strony grup ekstremistów; o uchwalenie przepisów wymierzonych przeciwko przemocy domowej; oraz o położenie kresu wymuszonym zaginięciom, egzekucjom pozasądowym oraz arbitralnym zatrzymaniom, zwłaszcza w Beludżystanie;

29.   potępia wszelkie ataki na chrześcijan i inne mniejszości religijne zamieszkujące Pakistan i oczekuje, że Pakistan zintensyfikuje swoje wysiłki w celu zapewnienia wolności religii i przekonań, m.in. poprzez złagodzenie rygorystycznych przepisów zakazujących bluźnierstwa, a także podejmowanie działań w kierunku zniesienia kary śmierci;

30.  z zadowoleniem przyjmuje przyjęcie w 2012 r. przepisów dotyczących utworzenia Krajowej Komisji Praw Człowieka i wzywa rząd do ustanowienia tej komisji, tak aby mogła rozpocząć działanie;

31.  zwraca uwagę, że UE jest głównym partnerem eksportowym dla towarów pakistańskich (22,6% w 2012 r.); jest zdania, że wspieranie Pakistanu w kwestiach handlowych przez UE powinno pomóc promować zróżnicowanie i  rozwój sposobów produkcji, w  tym przetwórstwa, ułatwić integrację regionalną i transfery technologii, wspomóc ustanowienie lub rozwój krajowej zdolności produkcyjnej, a także zmniejszyć nierówności w dochodach;

32.  przypomina, że unijnym rozwiązaniem GSP Plus, z którego Pakistan korzysta od początku 2014 r., objęte są jedynie kraje, które zobowiązały się w wiążący sposób do wdrożenia międzynarodowych konwencji dotyczących praw człowieka, praw pracowniczych, ochrony środowiska i dobrych rządów; podkreśla w szczególności obowiązki Pakistanu wynikające z konwencji, o których mowa w załączniku VIII, oraz przypomina Komisji o spoczywającym na niej obowiązku monitorowania ich skutecznego wykonywania; przypomina również, że kiedy dany kraj „nie przestrzega (...) wiążących zobowiązań”, rozwiązanie GSP Plus zostaje czasowo wycofane;

33.  wzywa władze Pakistanu do poczynienia skutecznych kroków na rzecz wdrożenia 36 konwencji MOP, które ten kraj ratyfikował, zwłaszcza w celu umożliwienia działania związków zawodowych, poprawy warunków pracy i norm bezpieczeństwa, zlikwidowania pracy dzieci i zwalczania najbardziej drastycznych form wykorzystywania 3 mln kobiet zatrudnionych w gospodarstwach domowych;

34.  wzywa rząd pakistański do przystąpienia zgodnie z obietnicami do programu „Lepsza praca” (ang. Better Work) prowadzonego przez MOP/MKF, aby dostarczyć dodatkowego bodźca do ulepszenia norm w zakresie zdrowia bezpieczeństwa pracowników; wzywa wszystkie podmioty, które są bezpośrednio lub pośrednio odpowiedzialne za pożar zakładów odzieżowych Ali Enterprises, w tym zaangażowaną w tę sprawę firmę audytorską Social Accountability i europejskich sprzedawców detalicznych, aby wreszcie rozpoczęły wypłatę osobom ocalonym z pożaru pełnego, długoterminowego i sprawiedliwego odszkodowania;

35.  zobowiązuje swojego przewodniczącego do przekazania niniejszej rezolucji rządowi i Zgromadzeniu Narodowemu Pakistanu, Radzie, Komisji, wiceprzewodniczącej Komisji / Wysokiej Przedstawiciel Unii do Spraw Zagranicznych i Polityki Bezpieczeństwa, Specjalnemu Przedstawicielowi UE ds. Praw Człowieka, a także rządom państw członkowskich.

(1) http://eeas.europa.eu/pakistan/docs/2012_feb_eu_pakistan_5_year_engagement_plan_en.pdf (2) http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/EN/foraff/131181.pdf (3) Dz.U. L 303 z 31.10.2012, s. 1. (4) Teksty przyjęte, P7_TA(2013)0060. (5) Dz.U. C 353 E z 3.12.2013, s. 323. (6) Dz.U. C 168 E z 14.6.2013, s. 119.

Rezolucja Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie tarczy antyrakietowej dla Europy oraz jej konsekwencji politycznych i strategicznych (2013/2170(INI))

P7_TA(2014)0209 A7-0109/2014

Parlament Europejski,

–  uwzględniając art. 42 ust. 7 Traktatu o Unii Europejskiej (TUE) i art. 222 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE),

–  uwzględniając art. 24 i 42 ust. 2 TUE, art. 122 i 196 TFUE oraz 37. Deklarację odnoszącą się do art. 222 TFUE,

–  uwzględniając europejską strategię bezpieczeństwa przyjętą przez Radę Europejską w dniu 12 grudnia 2003 r. oraz sprawozdanie w sprawie jej wdrożenia zatwierdzone przez Radę Europejską w dniach 11–12 grudnia 2008 r.,

–  uwzględniając strategię bezpieczeństwa wewnętrznego Unii Europejskiej, zatwierdzoną przez Radę Europejską w dniach 25–26 marca 2010 r.,

–  uwzględniając konkluzje Rady Europejskiej z dnia 19 grudnia 2013 r. w sprawie wspólnej polityki bezpieczeństwa i obrony,

–  uwzględniając strategiczną koncepcję obrony i bezpieczeństwa członków Organizacji Traktatu Północnoatlantyckiego, przyjętą podczas szczytu NATO w Lizbonie w dniach 19–20 listopada 2010 r.,

–  uwzględniając deklarację ze szczytu w Chicago wydaną przez szefów państw i rządów uczestniczących w posiedzeniu Rady Północnoatlantyckiej w Chicago w dniu 20 maja 2012 r.,

–  uwzględniając art.48 Regulaminu,

–  uwzględniając sprawozdanie Komisji Spraw Zagranicznych (A7-0109/2014),

A.  mając na uwadze, że kwestia obrony przed pociskami balistycznymi była już podnoszona w przeszłości, lecz stała się naprawdę aktualna w ostatnich latach ze względu na coraz liczniejsze zagrożenia związane z rozprzestrzenianiem broni jądrowej i innej broni masowego rażenia oraz rozprzestrzenianiem pocisków balistycznych, na które Organizacja Traktatu Północnoatlantyckiego (NATO) i jej europejscy sojusznicy muszą być w stanie skutecznie odpowiedzieć;

B.  mając na uwadze, że obrona przed pociskami balistycznymi i innymi rodzajami rakiet może stanowić pozytywny element rozwojowy europejskiego bezpieczeństwa w kontekście szybkich zmian międzynarodowych ram bezpieczeństwa, ponieważ szereg państw i podmiotów niepaństwowych pracuje nad technologiami rakietowymi i różnymi technologiami chemicznymi, biologicznymi, radiologicznymi i jądrowymi (CBRJ) zdolnymi dotrzeć do terytorium Europy;

C.  mając na uwadze, że NATO rozwija zdolność w dziedzinie obrony przed pociskami balistycznymi dla kontynuowania swojego podstawowego zadania wspólnej obrony w celu zapewnienia pełnego pokrycia i ochrony wszystkich społeczeństw, całego terytorium i wszystkich sił europejskich należących do NATO wobec rosnących zagrożeń stwarzanych przez rozprzestrzenianie pocisków balistycznych;

D.  mając na uwadze, że kluczowym wkładem USA w obronę przed pociskami balistycznymi jest potwierdzenie zaangażowania w sprawy NATO oraz bezpieczeństwo Europy i jej sojuszników, podkreśla znaczenie więzi transatlantyckiej, której towarzyszy sprzęt wojskowy już zainstalowany w Rumunii, a oczekiwany też w bliskiej przyszłości w Polsce;

E.  mając na uwadze, że wspólna polityka bezpieczeństwa i obrony będzie rozwijana w pełnej komplementarności z NATO w uzgodnionych ramach strategicznego partnerstwa UE–NATO, co potwierdziła Rada Europejska w dniu 19 grudnia 2013 r.;

1.  uważa, że wraz z rozwojem i wdrażaniem technologii obrony przed pociskami balistycznymi w bezpieczeństwo Europy wnoszona jest nowa dynamika, której konsekwencją jest konieczność uwzględniania przez państwa członkowskie skutków, jakie na ich własne bezpieczeństwo wywiera obrona przed pociskami balistycznymi;

2.  przypomina, że środki obrony przed pociskami balistycznymi NATO są rozwijane i opracowywane w celu chronienia państw należących do NATO przed potencjalnymi atakami przy użyciu pocisków balistycznych; wzywa wiceprzewodniczącą/ wysoką przedstawiciel do kontynuowania strategicznego partnerstwa z NATO, uwzględniając kwestię obrony przed pociskami balistycznymi, co powinno doprowadzić do zadbania o pełny zakres i ochronę dla wszystkich państw członkowskich UE, unikając tym samym sytuacji, w której zapewniane im bezpieczeństwo byłoby w jakikolwiek sposób zróżnicowane;

3.  z zadowoleniem wita osiągnięcie tymczasowej zdolności przez system NATO obrony przed pociskami balistycznymi, który zapewni maksymalny zasięg i ochronę przed atakiem balistycznym możliwe w ramach dostępnych środków dla ludności, terytoriów i sił zbrojnych we wszystkich południowych krajach europejskich będących członkami NATO; przychylnie odnosi się też do celu zapewnienia do końca dekady pełnego zasięgu i ochrony państwom europejskim będącym członkami NATO;

4.  podkreśla, że inicjatywy UE, takie jak Pooling & Sharing, mogą okazać się pomocne przy wzmacnianiu współpracy państw członkowskich w ramach obrony przed pociskami balistycznymi, także w zakresie prowadzenia wspólnych prac badawczo-rozwojowych; w długookresowej perspektywie współpraca taka mogłaby przyczynić się również do dalszej konsolidacji europejskiego przemysłu obronnego;

5.  wzywa Europejską Służbę Działań Zewnętrznych, Komisję, Europejską Agencję Obrony i Radę do ujęcia kwestii obrony przed pociskami balistycznymi w przyszłych strategiach, analizach i białych księgach dotyczących bezpieczeństwa;

6.  podkreśla, że wskutek kryzysu finansowego i oszczędności budżetowych wykorzystuje się niewystarczającą ilość zasobów w celu utrzymania wystarczających możliwości w zakresie obrony, co prowadzi do ograniczenia potencjału militarnego i przemysłowego UE;

7.  podkreśla, że plan obrony przed pociskami balistycznymi NATO nie jest w żadnym wypadku wymierzony w Rosję oraz że NATO jest gotowe współpracować z Rosją w oparciu o założenie kompatybilności pomiędzy dwoma niezależnymi systemami obrony antyrakietowej, tj. systemem NATO obrony przed pociskami balistycznymi i systemem obronnym Rosji; podkreśla fakt, że mimo iż skuteczna współpraca z Rosją mogłaby przynieść wymierne korzyści, musi ona być prowadzona w oparciu o pełną wzajemność i przejrzystość, gdyż rosnące wzajemne zaufanie jest kluczowe dla stopniowego rozwijania takiej współpracy; zauważa w tym kontekście, że przesunięcie rosyjskich rakiet bliżej NATO i granic UE przynosi skutki odwrotne do zamierzonych;

8.  zobowiązuje swojego przewodniczącego do przekazania niniejszej rezolucji przewodniczącemu Rady Europejskiej, wiceprzewodniczącej Komisji/ wysokiej przedstawiciel Unii do spraw zagranicznych i polityki bezpieczeństwa, Radzie, Komisji, parlamentom państw członkowskich, Zgromadzeniu Parlamentarnemu NATO oraz Sekretarzowi Generalnemu NATO.

Rezolucja Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie obecnej sytuacji i przyszłych perspektyw europejskiego sektora rybołówstwa w ramach umowy o wolnym handlu między UE a Tajlandią (2013/2179(INI))

P7_TA(2014)0210 A7-0130/2014

Parlament Europejski,

–  uwzględniając art. 3 ust. 5 Traktatu o Unii Europejskiej w odniesieniu do stosunków zewnętrznych UE,

–  uwzględniając rozporządzenie Rady (WE) nr 1005/2008 z dnia 29 września 2008 r. ustanawiające wspólnotowy system zapobiegania nielegalnym, nieraportowanym i nieuregulowanym połowom oraz ich powstrzymywania i eliminowania(1) (rozporządzenie NNN),

–  uwzględniając komunikat Komisji z dnia 25 października 2011 r. pt. „Odnowiona strategia UE na lata 2011-14 dotycząca społecznej odpowiedzialności przedsiębiorstw” (COM(2011)0681),

–  uwzględniając pytania pisemne E-000618/2013 z dnia 22 stycznia 2013 r. w sprawie nadużyć w łańcuchach zaopatrywania handlu detalicznego oraz E-002894/2013 z dnia 13 marca 2013 r. w sprawie umowy o wolnym handlu z Tajlandią i pracy dzieci w przemyśle konserwowym, a także odpowiedzi Komisji na te pytania;

–  uwzględniając rezolucję z dnia 22 listopada 2012 r. w sprawie zewnętrznego wymiaru wspólnej polityki rybołówstwa(2),

–  uwzględniając art. 48 Regulaminu,

–  uwzględniając sprawozdanie Komisji Rybołówstwa oraz opinię Komisji Handlu Międzynarodowego (A7-0130/2014),

A.  mając na uwadze, że sektor rybołówstwa w Europie wychodzi z kryzysu, który ma także wpływ na sektor połowów, sektor wytwórczy i akwakulturę, oraz że ta sytuacja znacznie osłabia jego konkurencyjność, zwłaszcza w obliczu postępującej liberalizacji rynku światowego, podczas gdy niektóre kraje rozwijające się, które dysponują bogactwem zasobów morskich, zaczynają stawać się nowymi potęgami w dziedzinie rybołówstwa;

B.  mając na uwadze, że rybołówstwo i przemysł przetwórczy w Europie mają zasadnicze znaczenie dla bezpieczeństwa dostaw żywności europejskim obywatelom oraz stanowią podstawowe źródło utrzymania na terenach przybrzeżnych, które są silnie uzależnione od tej działalności; mając na uwadze, że przetrwanie sektora będzie zagrożone, jeśli UE zliberalizuje handel produktami rybołówstwa z krajami rozwijającymi się, które pragną eksportować swoje produkty na kluczowy rynek wspólnotowy, zwłaszcza jeżeli zaproponowana zostanie im zerowa stawka celna;

C.  mając na uwadze, że UE jest największym światowym importerem produktów rybołówstwa, a jej zależność od importu sprawia, że rynek wspólnotowy jest bardzo atrakcyjny dla eksporterów, szczególnie mając na uwadze, że popyt na produkty rybołówstwa rośnie w UE w tempie 1,5% rocznie;

D.  mając na uwadze, że Tajlandia jest głównym producentem tuńczyka konserwowego na świecie (46% światowej produkcji) oraz że eksport tuńczyka konserwowego do UE z Tajlandii przekracza 90 000 ton rocznie i stanowi niemal 20 % całkowitego importu wspólnotowego z krajów trzecich, a głównymi rynkami zbytu eksportowanych produktów rybołówstwa z Tajlandii są Stany Zjednoczone, UE i Japonia;

E.  mając na uwadze, że Tajlandia jest głównym światowym importerem świeżego, schłodzonego i mrożonego tuńczyka na potrzeby swojego przemysłu konserwowego;

F.  mając na uwadze, że 80% spożywanego tuńczyka to tuńczyk w puszkach, oraz że zgodnie z najnowszymi dostępnymi danymi pochodzącymi z bazy FISHSTAT Organizacji Narodów Zjednoczonych ds. Wyżywienia i Rolnictwa (FAO) 21% światowej produkcji konserw i przetworów z tuńczyka ma miejsce w UE, podczas gdy pozostałe 79% jest produkowane w krajach trzecich, z których większość to kraje rozwijające się;

G.  mając na uwadze handlowe, gospodarcze i strategiczne znaczenie Tajlandii dla UE i istotne korzyści wynikające z umowy o wolnym handlu między UE a Tajlandią dla całej gospodarki UE;

H.  mając na uwadze, że UE wspiera integrację regionalną wśród państw należących do ASEAN (Stowarzyszenie Narodów Azji Południowo-Wschodniej) oraz mając na uwadze, że umowa o wolnym handlu z Tajlandią stanowi kluczowy filar tego procesu, przy czym ostatecznym celem pozostaje zawarcie w przyszłości umowy o wolnym handlu między regionami;

I.  mając na uwadze, że od 2007 r. priorytetowym celem UE było zawarcie umowy o wolnym handlu z państwami grupy ASEAN z zamiarem objęcia nią Indonezji, Malezji, Filipin, Singapuru, Tajlandii, Brunei i Wietnamu; mając na uwadze, że brak postępów w negocjacjach tej regionalnej umowy skutkuje rozpoczęciem negocjacji dwustronnych z państwami grupy ASEAN, w tym z Tajlandią, przy politycznym zobowiązaniu do zawarcia umowy o wolnym handlu w okresie dwóch lat;

J.  mając na uwadze, że w przypadku zaliczenia Tajlandii, Indonezji i Filipin do regionu Środkowego i Zachodniego Pacyfiku produkcja tuńczyka konserwowego w tym regionie stanowi ponad połowę światowej produkcji;

K.  mając na uwadze, że zmianom w sektorze produkcji tuńczyka konserwowego i filetów z tuńczyka towarzyszy tendencja do zaopatrywania się na skalę światową u państw wytwarzających te produkty po niskich kosztach produkcji, niewiele wyższych niż koszty surowca (na przykład Tajlandia, Filipiny, Indonezja, Papua-Nowa Gwinea i Ekwador), oraz że liczba państw zajmujących się produkcją i eksportem tuńczyka konserwowego zwiększa się;

L.  mając na uwadze, że Tajlandia i Filipiny są głównymi eksporterami przetworów i konserw z tuńczyka do UE, oraz że import z Tajlandii zwiększył się o 20%, podczas gdy import z Filipin zmalał o 5%;

M.  mając na uwadze, że obniżenie stawek w odniesieniu do konserw i przetworów z tuńczyka miałoby wpływ na preferencje taryfowe dla krajów AKP i beneficjentów ogólnego systemu preferencji taryfowych (GSP+), zgodnie z którym państwa trzecie zobowiązują się – w zamian za przyznanie im preferencji taryfowych – do stosowania określonej polityki w dziedzinach takich jak poszanowanie praw człowieka, prawo pracy, środowisko naturalne i dobre rządy;

N.  mając na uwadze, że obniżenie stawek taryfowych wprowadziłoby także zakłócenia na rynku europejskim, ponieważ przemysł produkujący konserwy z tuńczyka w UE koncentruje się w większości w regionach silnie zależnych od rybołówstwa, takich jak Galicja, Bretania, Azory (jeden z regionów najbardziej oddalonych), Kraj Basków czy Sardynia; mając na uwadze, że UE jest drugim na świecie producentem tuńczyka konserwowego, a od dawna prowadzona działalność w tym sektorze ma kluczowe znaczenie zarówno dla tworzenia wartości dodanej, jak i miejsc pracy na terytorium UE, przy jednoczesnym zagwarantowaniu poszanowania najwyższych norm socjalnych, środowiskowych i higieniczno-sanitarnych;

O.  mając na uwadze, że głównym celem preferencyjnych reguł pochodzenia jest wprowadzenie wystarczającego powiązania ekonomicznego między produktami importowanymi do UE a państwami korzystającymi z przyznanych przez UE preferencji, aby zapewnić, że preferencje te nie są w sposób niesłuszny wykorzystywane na korzyść innych państw niż te, dla których zostały przeznaczone;

P.  mając na uwadze, że mówiąc o handlu produktami rybołówstwa, mamy na myśli handel zasobami naturalnymi, których zrównoważony charakter uzależniony jest od bardzo wielu czynników, w tym dobrego zarządzania i zrównoważonego wykorzystywania zasobów rybnych, kontroli legalności połowów, zanieczyszczenia, zmiany klimatu i popytu rynkowego; mając na uwadze, że wszystkie te czynniki zewnętrzne mają wpływ na międzynarodowy handel produktami rybołówstwa, oraz że w związku z tym produkty te należy uznać za wrażliwe, przez co powinny zostać objęte szczególną ochroną;

Q.  mając na uwadze, że wystarczające i ciągłe zaopatrzenie w podstawowe surowce jest konieczne dla utrzymania i napędzania rozwoju gospodarczego przedsiębiorstw przetwarzających tuńczyka w UE;

R.  mając na uwadze, że zdaniem Światowej Organizacji Handlu (ŚOH) liberalizacja handlu jest narzędziem wzrostu, który ma na celu zrównoważony rozwój filara społecznego, gospodarczego i środowiskowego;

S.  mając na uwadze, że przepisy handlowe są w związku z tym podstawowym i zasadniczym narzędziem do zapewnienia, by handel przynosił korzyści, a także do wypełnienia celów w zakresie ochrony zdrowia i środowiska naturalnego, przy jednoczesnym zagwarantowaniu właściwego zarządzania zasobami naturalnymi;

T.  mając na uwadze, że globalizacja w dużej mierze zwiększyła ilość ryb wprowadzanych do obrotu międzynarodowego oraz że powszechne są obawy, że wiele państw zajmujących się produkcją nie ma wystarczających środków, by w sposób zrównoważony zarządzać zasobami ryb lub je w ten sposób poławiać, by zapewnić właściwy poziom ochrony higieniczno-sanitarnej, złagodzić oddziaływanie rybołówstwa i akwakultury na środowisko naturalne oraz by zapewnić poszanowanie praw człowieka w ujęciu ogólnym, a w szczególności propagowanie praw pracowniczych i warunków socjalnych;

U.  mając na uwadze, że niektórzy partnerzy handlowi UE wykazują braki w odniesieniu do zrównoważonego rozwoju rybołówstwa w jego trzech głównych aspektach: społecznym, gospodarczym i środowiskowym;

V.  mając na uwadze, że zrównoważone zarządzanie zasobami tuńczyka jest zapewnione przez pięć regionalnych organizacji ds. rybołówstwa (RFMO) zajmujących się połowami tuńczyka; mając na uwadze, że współpraca międzynarodowa między państwami a RFMO ma zasadnicze znaczenie dla zapewnienia zrównoważonego pozyskiwania tego surowca;

W.  mając na uwadze, że w ostatnim czasie zarówno MOP, jak i różne organizacje pozarządowe uwidoczniły poważne uchybienia w warunkach socjalnych, pracowniczych i w zakresie poszanowania praw człowieka w tajskim przemyśle rybołówstwa; mając na uwadze, że w mediach podkreśla się, co zostało potwierdzone przez rząd Tajlandii, że pewien sektor tajskiego przemysłu rybołówstwa wykorzystuje pracę przymusową imigrantów będących ofiarami handlu ludźmi oraz że dwa międzynarodowe przedsiębiorstwa produkujące tuńczyka konserwowanego w Tajlandii wykorzystują dzieci w charakterze siły roboczej;

X.  mając na uwadze, że według FAO często zdarza się, że tajskie statki rybackie są konfiskowane przez sąsiednie państwa nadbrzeżne, a ich kapitanów oskarża się o nielegalny połów lub nielegalne wtargnięcie do specjalnej strefy ekonomicznej tych państw;

Y.  mając na uwadze, że w 2013 r. władze Hiszpanii zakazały rozładunku tuńczyka pochodzącego ze statków zajmujących się połowami tuńczyka pod banderą Ghany i wprowadzenia go do obrotu w związku z udziałem tych statków w nielegalnych, nieraportowanych i nieuregulowanych połowach (NNN) z powodu niespełnienia środków zarządzania przewidzianych przez Międzynarodową Komisję ds. Ochrony Tuńczyka Atlantyckiego (ICCAT), oraz mając na uwadze, że w połowach tuńczyka prowadzonych przez większość tych statków uczestniczyły prywatne przedsiębiorstwa z Tajlandii;

Z.  mając na uwadze, że w ostatnich miesiącach w UE odrzucono liczne partie tuńczyka konserwowanego importowanego z Tajlandii ze względu na niewłaściwą obróbkę termiczną ― niezbędną, by zneutralizować mikroorganizmy, które w przeciwnym razie mogą stanowić zagrożenie dla zdrowia ludzkiego;

1.  wnioskuje o traktowanie produktów rybnych takich jak tuńczyk konserwowany importowany z Tajlandii, które mogą zakłócać produkcję w UE i unijny rynek tych produktów, jako produktów wrażliwych; uważa ponadto, że wszelkie decyzje dotyczące szerszego dostępu tajskiego tuńczyka przetworzonego i konserwowanego powinny być podejmowane po rygorystycznej ocenie skutków oraz w ścisłej współpracy z przemysłem w celu dokonania analizy i oceny wpływu, jaki szerszy dostęp może wywrzeć na unijny przemysł przetwórczy i sprzedaż w UE produktów żywnościowych pochodzących z morza;

2.  apeluje, by wprowadzanie konserw i przetworów z tajskich ryb i owoców morza na rynek UE objęte było obecnie obowiązującą stawką i – w związku z tym – by zostały one wyłączone z procesu obniżania stawek taryfowych; zaleca ustanowienie długich okresów przejściowych i zobowiązań do częściowej liberalizacji, w tym nałożenie kwot, w przypadku konserw i przetworów wytwarzanych z europejskich ryb i owoców morza, jeżeli miałyby zostać obniżone taryfy celne, tak aby zagwarantować konkurencyjność unijnego przemysłu produkcji tuńczyka i chronić tę ważną działalność i jej wymiar społeczny (25 tys. bezpośrednich miejsc pracy i 54 tys. pośrednich miejsc pracy);

3.  wymaga, by w stosownych przypadkach, przed przyznaniem jakiegokolwiek rodzaju zwolnień taryfowych lub wprowadzeniem innych przepisów, przeprowadzić dogłębną ocenę oddziaływania, w której analizowano by i wartościowano wpływ, jaki mogłyby one wywrzeć na przemysł wytwórczy i wprowadzanie do obrotu produktów pochodzących z połowów w UE;

4.  w odniesieniu do wrażliwych produktów rybnych wzywa do bezwzględnego przestrzegania ścisłych i spójnych reguł pochodzenia bez dopuszczania wyjątków oraz do ścisłego ograniczenia kumulacji w odniesieniu do tych produktów, w przypadku których Tajlandia jest przede wszystkim krajem przetwarzania, a nie krajem połowu;

5.  domaga się, aby import tuńczyka w puszce i innych produktów rybnych z Tajlandii w miarę możliwości podlegał tym samym warunkom konkurencji co warunki obowiązujące w stosunku do produktów rybnych z UE; uważa, że wymóg ten oznacza w szczególności, iż umowa o wolnym handlu musi zawierać ambitny rozdział poświęcony handlowi i zrównoważonemu rozwojowi, na mocy którego Tajlandia zobowiązałaby się do przestrzegania, upowszechniania i wdrażania norm pracy, w tym również norm dotyczących pracy przymusowej i pracy dzieci, uznanych na szczeblu międzynarodowym, które zapisano w podstawowych konwencjach Międzynarodowej Organizacji Pracy; jest również zdania, że z całą surowością należy zagwarantować poszanowanie praw człowieka, ochronę środowiska oraz zachowanie i zrównoważone wykorzystywanie zasobów rybnych, walkę z nielegalnymi, nieraportowanymi i nieuregulowanymi połowami oraz zgodność z przepisami sanitarnymi i fitosanitarnymi UE; uważa wobec tego, że Komisja powinna regularnie składać na ręce Parlamentu Europejskiego sprawozdania na temat wypełniania przez Tajlandię wyżej wymienionych obowiązków;

6.  wzywa Komisję do zapewnienia skutecznego wdrożenia rozporządzenia w sprawie nielegalnych, nieraportowanych i nieuregulowanych połowów oraz zagwarantowania, że negocjacje dotyczące umowy o wolnym handlu doprowadzą do umieszczenia w treści umowy wyraźnego odniesienia do tego rozporządzenia;

7.  uważa, że najlepszym sposobem zapewnienia pełnej współpracy Tajlandii w zwalczaniu połowów NNN jest dodanie w tekście umowy wyraźnego odniesienia do unijnego rozporządzenia w sprawie połowów NNN;

8.  wnioskuje o włączenie do umowy o wolnym handlu wymogu przestrzegania konwencji Międzynarodowej Organizacji Pracy, a także zapisu o większej przejrzystości, kontroli, nadzoru i możliwości ustalenia pochodzenia produktów w tajskim przemyśle rybołówstwa, tak aby móc monitorować działalność rybacką;

9.  nalega na zapewnienie możliwości ustalenia pochodzenia produktów jako podstawowego elementu ochrony zdrowia ludzkiego i środowiska naturalnego, a także jako zasadniczego czynnika będącego podstawowym narzędziem kontroli nad nielegalnymi połowami;

10.  wymaga, by umowa o wolnym handlu była spójna z innymi politykami wspólnotowymi oraz promowała strategie dotyczące społecznej odpowiedzialności przedsiębiorstw; wzywa do wprowadzenia klauzul ochronnych;

11.  podkreśla, że decyzja Parlamentu o wyrażeniu zgody na zawarcie umowy o wolnym handlu będzie uwzględniać ogólny wynik negocjacji, w tym również w odniesieniu do sektora rybołówstwa.

12.  wymaga przestrzegania zasady wzajemności w odniesieniu do dostępu do rynków oraz wyeliminowania wszelkiego rodzaju dyskryminacji w sferze usług;

13.  ma nadzieję, że Tajlandia – jako największy światowy eksporter tuńczyka konserwowanego – będzie uczestniczyła w działaniach trzech RFMO zajmujących się połowami tuńczyka w tym regionie i z nimi współpracowała, a mianowicie: z Międzyamerykańską Komisją ds. Tuńczyka Tropikalnego, z Komisją ds. Rybołówstwa na Zachodnim i Środkowym Pacyfiku oraz z Regionalną Organizacją ds. Zarządzania Rybołówstwem na Południowym Pacyfiku, a także z regionalną organizacją ds. rybołówstwa działającą na obszarze Oceanu Indyjskiego, której jest członkiem;

14.  wzywa do prowadzenia polityki ochrony i zrównoważonego zarządzania zasobami rybołówstwa;

15.  zobowiązuje swojego przewodniczącego do przekazania niniejszej rezolucji Radzie i Komisji.

(1) Dz.U. L 286 z 29.10.2008, s. 1. (2) Teksty przyjęte, P7_TA(2012)0461.

Rezolucja Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie europejskiego dziedzictwa gastronomicznego: aspekty kulturowe i edukacyjne (2013/2181(INI))

P7_TA(2014)0211 A7-0127/2014

Parlament Europejski,

–  uwzględniając sprawozdanie swojej Komisji Ochrony Środowiska Naturalnego, Zdrowia Publicznego i Bezpieczeństwa Żywności w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie przekazywania konsumentom informacji na temat żywności (COM(2008)0040)(1),

–  uwzględniając raport UNESCO z 2002 r. dotyczący odżywiania,

–  uwzględniając raport Światowej Organizacji Zdrowia (WHO) dotyczący polityki żywieniowej dla szkół,

–  uwzględniając białą księgę Komisji z dnia 30 maja 2007 r. pt. „Strategia dla Europy w sprawie zagadnień zdrowotnych związanych z odżywianiem, nadwagą i otyłością” (COM(2007)0279),

–  uwzględniając konkluzje zorganizowanej przez WHO europejskiej konferencji ministerialnej w sprawie odżywiania i chorób niezakaźnych w kontekście programu Zdrowie 2020, która odbyła się w Wiedniu w dniach 4–5 lipca 2013 r.,

–  uwzględniając konwencję UNESCO w sprawie ochrony niematerialnego dziedzictwa kulturowego z dnia 17 października 2003 r.,

–  uwzględniając wpisanie diety śródziemnomorskiej na Listę Reprezentatywną Niematerialnego Dziedzictwa Kulturowego Ludzkości UNESCO w dniu 16 listopada 2010 r. oraz w dniu 4 grudnia 2013 r.,

–  uwzględniając wpisanie francuskiej gastronomii na Listę Reprezentatywną Niematerialnego Dziedzictwa Kulturowego Ludzkości UNESCO (decyzja 5.COM 6.14),

–  uwzględniając art. 48 Regulaminu,

–  uwzględniając sprawozdanie Komisji Kultury i Edukacji (A7-0127/2014),

Aspekty edukacyjne

A.  mając na uwadze, że zarówno obecny, jak i przyszły stan zdrowia oraz samopoczucie ludności są uzależnione od sposobu odżywiania się i środowiska, a więc od rodzaju rolnictwa, rybołówstwa i hodowli;

B.  mając na uwadze, że Światowa Organizacja Zdrowia (WHO) w swojej ogólnoświatowej inicjatywie promocji zdrowia w szkole uznaje placówki oświatowe za ważną przestrzeń, w której zdobywa się wiedzę teoretyczną i praktyczną na temat zdrowia, żywienia, żywności i gastronomii;

C.  mając na uwadze, że złe odżywianie może mieć dramatyczne konsekwencje; mając na uwadze, że europejscy ministrowie zdrowia podczas europejskiej konferencji ministerialnej zorganizowanej przez WHO w lipcu 2013 r. zaapelowali o powszechną mobilizację „w zwalczaniu otyłości oraz złego odżywiania”, które są przyczyną epidemii chorób niezakaźnych, takich jak choroby sercowo-naczyniowe, cukrzyca lub rak;

D.  mając na uwadze, że obraz ciała i jedzenia przedstawiany w społeczeństwie jako norma może prowadzić do poważnych zaburzeń żywieniowych i psychologicznych, takich jak anoreksja czy bulimia; mając zatem na uwadze konieczność poruszania tych kwestii zwłaszcza wśród nastolatków;

E.  mając na uwadze, że według Europejskiej Rady Informacji o Żywności (EUFIC) w 2006 r. w Europie około 33 mln osób były zagrożone niedożywieniem; mając na uwadze, że od początku kryzysu sytuacja uległa jeszcze pogorszeniu;

F.  mając na uwadze, że dzieciństwo to decydujący okres w nauczaniu zdrowych nawyków i przekazywaniu wiedzy pozwalającej na przyjęcie zdrowego stylu życia, oraz mając na uwadze, że szkoła jest jednym z miejsc, w których można skutecznie kształtować nawyki zdrowotne przyszłych pokoleń w długofalowej perspektywie;

G.  mając na uwadze, że placówki oświatowe dysponują przestrzenią oraz narzędziami, które mogą pomóc w zdobywaniu wiedzy na temat żywności oraz jej przygotowywania, a także mogą służyć wpajaniu nawyków żywieniowych, które, w połączeniu z regularną, umiarkowaną aktywnością fizyczną, pozwolą na prowadzenie zdrowego stylu życia;

H.  mając na uwadze, że informowanie, edukacja i podnoszenie świadomości to elementy strategii UE mającej pomagać państwom członkowskim w zmniejszaniu szkodliwych skutków spożywania alkoholu (COM(2006)0625) oraz że strategia ta promuje odpowiednie zachowania konsumpcyjne, oraz mając na uwadze, że w dniu 5 czerwca 2001 r. Rada wydała zalecenie dotyczące spożycia alkoholu przez osoby młode, w szczególności dzieci i młodzież, w którym mowa jest o promowaniu edukacji przy zachowaniu międzysektorowego podejścia;

I.  mając na uwadze, że podczas spotkania europejskiej sieci fundacji na rzecz żywienia (European Nutrition Foundations Network) pt. „Odżywianie w europejskich szkołach: rola fundacji” stwierdzono potrzebę włączenia do programu nauczania wiedzy o żywieniu, zarówno jeśli chodzi o odżywanie się, jak i o gastronomię, oraz jednomyślnie postanowiono przedstawić tę potrzebę Parlamentowi Europejskiemu i Komisji;

J.  mając na uwadze, że różne instytucje krajowe niektórych państw wystąpiły z inicjatywą uznania diety śródziemnomorskiej za niematerialne dziedzictwo kulturowe ludzkości UNESCO, co oznacza promowanie i ustanawianie wzorców zachowań mających na celu zapewnienie zdrowego stylu życia, przy zachowaniu w pełni przekrojowego podejścia uwzględniającego aspekty edukacyjne, żywnościowe, szkolne, rodzinne, żywieniowe, terytorialne, krajobrazowe itd.;

K.  mając na uwadze, że dieta śródziemnomorska to zrównoważony i zdrowy sposób żywienia i styl życia, związany bezpośrednio z zapobieganiem przewlekłym chorobom oraz promowaniem zdrowia zarówno w środowisku szkolnym, jak i rodzinnym;

L.  mając na uwadze, że celem europejskich programów „Food at School” jest zapewnienie, by jedzenie serwowane w szkolnych stołówkach zawierało wszystkie niezbędne składniki wartościowej i zrównoważonej diety; mając na uwadze, że szeroko rozumiana edukacja uwzględniająca także aspekt żywieniowy popularyzuje wśród uczniów zdrowy styl życia opierający się na zrównoważonej diecie;

M.  mając na uwadze, że solidna edukacja w zakresie żywienia zapewnia obywatelom również wiedzę o związkach między żywnością a zasadami trwałego rozwoju w produkcji żywności i stanem naszej planety;

N.  mając na uwadze, że w licznych przypadkach wzrost cen posiłków w szkolnych stołówkach oraz cen żywności utrudnia pewnej liczbie gospodarstw domowych, a w szczególności dzieciom, dostęp do zrównoważonego i wartościowego pożywienia;

O.  mając na uwadze, że media i reklama wpływają na wzorce konsumpcyjne obywateli;

P.  mając również na uwadze, że w zdobywaniu właściwej wiedzy na temat używanych produktów oraz ich właściwości i walorów smakowych kluczowym elementem jest rozwój systemów odpowiedniego i jasnego dla wszystkich konsumentów etykietowania z podawaniem składu produktów i ich pochodzenia;

Q.  mając na uwadze, że kształcenie pracowników sektora gastronomicznego ma swój wkład w przekazywanie wiedzy o gastronomii europejskiej, podkreślanie jej wartości, zapewnianie jej trwałości i jej rozwój;

Aspekty kulturowe

R.  mając na uwadze, że gastronomia stanowi połączenie wiedzy, doświadczenia, sztuki oraz rzemiosła, które pozwalają odżywiać się zdrowo i przyjemnie;

S.  mając na uwadze, że gastronomia stanowi część naszej tożsamości oraz jest istotnym elementem dziedzictwa kulturowego Europy i państw członkowskich;

T.  mając na uwadze, że Unia Europejska promuje identyfikację, obronę i międzynarodową ochronę oznaczeń geograficznych, nazw pochodzenia oraz tradycyjnych specjalności wytwarzanych z produktów rolno-spożywczych;

U.  mając na uwadze, że gastronomia nie jest tylko elitarną sztuką przygotowywania pożywienia, lecz zaangażowanym sposobem doceniania wartości i jakości wykorzystywanych surowców oraz dostrzegania potrzeby doskonałości na wszystkich etapach przetwarzania produktów spożywczych, w tym poszanowania zwierząt oraz przyrody;

V.  mając na uwadze, że gastronomia jest ściśle powiązana z rolnictwem poszczególnych regionów europejskich i z ich lokalnymi produktami;

W.  mając na uwadze, że konieczna jest ochrona rytuałów i zwyczajów związanych z lokalną i regionalną gastronomią oraz zachęta do rozwoju gastronomii europejskiej;

X.  mając na uwadze, że gastronomia stanowi jedną z najważniejszych form wyrazu kulturowego oraz że ten termin nie odnosi się jedynie do haute cuisine, lecz do wszelkich form kulinarnych w różnych regionach i w różnych warstwach społecznych, w tym również do form tradycyjnej kuchni lokalnej;

Y.  mając na uwadze, że tradycyjna kuchnia stanowi dziedzictwo kulinarne i kulturowe, którego przetrwanie jest bardzo często zagrożone w związku z inwazją ustandaryzowanej żywności;

Z.  mając na uwadze, że jakość, renoma i różnorodność gastronomii europejskiej wymagają europejskiej produkcji żywności odpowiedniej jakości i w wystarczającej ilości;

Aa.  mając na uwadze, że gastronomię utożsamia się z różnymi aspektami żywienia oraz że opiera się ona na trzech podstawowych filarach: zdrowiu, nawykach żywieniowych i przyjemności; mając na uwadze, że znajomość zwyczajów obowiązujących przy stole jest w wielu krajach nośnikiem zażyłości oraz ważnym elementem wychowania społecznego; mając ponadto na uwadze, że poznawanie różnych kultur gastronomicznych stanowi rodzaj wymiany międzykulturowej; mając na uwadze, że pozytywnie wpływa to na relacje społeczne i rodzinne;

Ab.  mając na uwadze doniosłość uznania diety śródziemnomorskiej za niematerialne dziedzictwo kulturowe UNESCO, rozumianej jako zbiór informacji, umiejętności, praktyk, rytuałów, tradycji i symboli związanych z uprawą rolną, rybołówstwem, hodowlą zwierząt, a także z formą przechowywania, przetwarzania, gotowania, dzielenia i spożywania żywności;

Ac.  mając na uwadze, że zwyczaje żywieniowe mieszkańców Europy stanowią bogatą spuściznę społeczno-kulturową, którą należy przekazywać z pokolenia na pokolenie, oraz mając na uwadze, że szkoła, tak samo jak rodzina, jest idealnym środowiskiem do przekazywania tej wiedzy;

Ad.  mając na uwadze, że gastronomia staje się jednym z głównych czynników przyciągających ruch turystyczny, a wzajemne oddziaływanie pomiędzy turystyką, gastronomią i odżywianiem ma bardzo pozytywny wpływ na promocję turystyki;

Ae.  mając na uwadze, że przyszłe pokolenia trzeba uwrażliwić na bogactwo gastronomii z ich regionu i, w ujęciu ogólnym, gastronomii europejskiej;

Af.  mając na uwadze, że gastronomia przyczynia się do promocji dziedzictwa wielu regionów;

Ag.  mając na uwadze znaczenie promowania produktów lokalnych i regionalnych w celu zachowania z jednej strony dziedzictwa gastronomicznego, a z drugiej strony zagwarantowania producentom uczciwego wynagrodzenia oraz dostępności tych produktów dla jak największej liczby osób;

Ah.  mając na uwadze, że gastronomia jest źródłem bogactw kulturowych oraz gospodarczych dla regionów Unii Europejskiej;

Ai.  mając na uwadze, że dziedzictwo europejskie to zbiór elementów materialnych i niematerialnych, do którego w przypadku gastronomii i żywności zaliczają się również kształtowany krajobraz oraz obszary, z których pochodzą spożywane produkty;

Aj.  mając na uwadze, że trwałość, różnorodność i bogactwo kulturowe gastronomii europejskiej zależy od dostępności lokalnych produktów wysokiej jakości;

Aspekty edukacyjne

1.  wzywa państwa członkowskie do wprowadzenia wiedzy o żywności, zdrowym odżywianiu i nawykach żywieniowych oraz związanych z tym praktycznych doświadczeń do programów nauczania obowiązujących od najmłodszych lat, z uwzględnieniem aspektów historycznych, terytorialnych i kulturowych, a także w oparciu o doświadczenie, dzięki czemu poprawiłby się stan zdrowia oraz samopoczucie ludności i jakość żywności, a także wzrósłby szacunek dla środowiska; pochwala programy nauczania gastronomicznego realizowane przez szkoły w niektórych państwach członkowskich, z których część zakłada współpracę z renomowanymi szefami kuchni; podkreśla wagę połączenia edukacji na temat zdrowego żywienia ze zwalczaniem stereotypów mogących prowadzić do poważnych zaburzeń żywieniowych i psychologicznych, takich jak anoreksja lub bulimia;

2.  podkreśla również znaczenie wprowadzenia w życie zaleceń WHO dotyczących zwalczania otyłości i niewłaściwego odżywiania; wyraża zaniepokojenie problemem niedożywienia w Europie i jego pogłębieniem się od początku kryzysu i nalega, by państwa członkowskie umożliwiły wszystkim zdrowe żywienie, na przykład zapewniając powszechny dostęp do szkolnych lub miejskich stołówek oferujących wysokiej jakości posiłki;

3.  podkreśla konieczność wzbogacenia programu nauczania o informacje dotyczące kultury kulinarnej (zwłaszcza lokalnej), procesu przygotowania, produkcji, przechowywania i dystrybucji żywności, społeczno-kulturowego znaczenia żywności oraz praw konsumenta; sugeruje państwom członkowskim wprowadzenie do programów nauczania warsztatów mających na celu rozwój zmysłów, zwłaszcza smaku, przez połączenie walorów odżywczych produktów spożywczych z regionalnym i krajowym dziedzictwem gastronomicznym;

4.  zaznacza, że w niektórych państwach europejskich wiedza o odżywianiu znajduje się już w programach nauczania, a w innych nie jest obowiązkowa, jednak przekazuje się ją za pomocą różnych środków, takich jak programy przygotowane przez władze lokalne czy podmioty prywatne;

5.  zwraca uwagę na potrzebę edukowania w szkołach w zakresie odżywiania oraz nauczania o odpowiednim, jednocześnie zdrowym i przyjemnym, żywieniu;

6.  wskazuje, że należy położyć większy nacisk na uprawianie sportów i aktywność fizyczną w szkołach podstawowych i średnich w całej Europie;

7.  przypomina, że dobre odżywianie dzieci wpływa korzystnie na ich samopoczucie oraz ułatwia przyswajanie wiedzy, a także wzmacnia ich odporność i sprzyja prawidłowemu rozwojowi;

8.  wskazuje, że nawyki żywieniowe wykształcone w dzieciństwie mogą wpływać na preferencje i wybory żywieniowe – a także sposoby przygotowywania i spożywania posiłków – w dorosłym życiu; dzieciństwo jest więc momentem kluczowym dla wykształcenia smaku, a szkoła ważnym miejscem odkrywania przed uczniami różnorodności produktów i gastronomii;

9.  uważa, że należy realizować programy edukacyjne i uświadamiające na temat skutków niewłaściwego spożywania alkoholu oraz promować właściwe, inteligentne zachowania konsumpcyjne, upowszechniając znajomość specyfiki win, ich oznaczeń geograficznych, odmian winorośli, procesów produkcji oraz znaczenia tradycyjnych określeń;

10.  zwraca się do Komisji o wspieranie projektów obejmujących wymianę informacji i praktyk w obszarze odżywiania, żywności i gastronomii, na przykład w ramach sektora Edukacja szkolna (Comenius) programu Erasmus+; wzywa ponadto UE i państwa członkowskie do promowania wymiany międzykulturowej w sektorach zaopatrzenia w żywność, żywności i gastronomii z wykorzystaniem możliwości oferowanych przez program Erasmus+ w zakresie wysokiej jakości szkoleń, mobilności i praktyk zawodowych dla osób uczących się i wykwalifikowanych pracowników;

11.  zauważa, że edukacja w dziedzinie odżywiania i gastronomii, w tym poszanowania przyrody i środowiska, powinna zakładać udział rodzin, nauczycieli, wspólnoty edukacyjnej i wszystkich osób zawodowo zajmujących się edukacją, a także wykorzystanie stosownych kanałów informacyjnych;

12.  zwraca uwagę na przydatność technologii informacyjno-komunikacyjnych (ICT) jako dobrego narzędzia do wspierania nauki; zachęca do tworzenia interaktywnych platform mających ułatwiać dostęp do europejskiego, krajowego i regionalnego dziedzictwa gastronomicznego oraz jego rozpowszechnianie, aby promować zachowanie oraz przekazywanie tradycyjnych umiejętności wśród profesjonalistów, rzemieślników i obywateli;

13.  wzywa Komisję, Radę i państwa członkowskie do rozważenia przyjęcia surowszych wytycznych odnośnie do treści oraz reklam na temat produktów spożywczych, zwłaszcza pod kątem żywienia;

14.  przypomina państwom członkowskim, by zadbały o zakaz reklamowania i sponsorowania niezdrowej żywności w szkołach;

15.  wzywa państwa członkowskie do zorganizowania we współpracy z dietetykami i z lekarzami odpowiednich szkoleń dla nauczycieli, dzięki którym będą oni mogli poprawnie przekazywać wiedzę o żywieniu w szkołach i na uczelniach; zauważa, że żywienie i środowisko są współzależne, i w związku z tym wzywa również do aktualizacji wiedzy na temat środowiska naturalnego;

16.  wzywa Komisję oraz Radę do przeanalizowania systemów szkolenia pracowników sektora gastronomicznego; zachęca państwa członkowskie do promowania takich szkoleń; podkreśla, że szkolenia te powinny dotyczyć gastronomii lokalnej i europejskiej, różnorodności produktów, procesów przygotowania, produkcji, konserwacji oraz dystrybucji produktów spożywczych;

17.  podkreśla, że szkolenia pracowników sektora gastronomicznego powinny kłaść akcent na „domowe”, lokalne i zróżnicowane produkty spożywcze;

18.  nakłania państwa członkowskie do wymiany wiedzy oraz najlepszych praktyk w obrębie działań związanych z gastronomią oraz do wspierania wzajemnego poznawania gastronomii między regionami; nakłania również do wymiany najlepszych praktyk lub do zwrócenia uwagi na możliwość skrócenia łańcucha żywnościowego poprzez większe wykorzystanie lokalnych produktów sezonowych;

19.  zwraca uwagę na potrzebę promocji zdrowego żywienia w szkołach z wykorzystaniem programów finansowanych w ramach wspólnej polityki rolnej na lata 2014–2020;

20.  przypomina, że uznanie diety śródziemnomorskiej oraz francuskiej tradycji biesiadnej za niematerialne dziedzictwo kulturowe ludzkości UNESCO doprowadziło do powstania instytucji i organizacji promujących edukację w zakresie walorów i nawyków zdrowej, zrównoważonej diety, wiedzę na jej temat oraz jej praktykowanie;

Aspekty kulturowe

21.  podkreśla konieczność pogłębiania wiedzy na temat różnorodności i jakości regionów, krajobrazów oraz produktów, które są podstawą gastronomii europejskiej, stanowiącej część naszego dziedzictwa kulturowego oraz będącej podstawą swoistego stylu życia, uznanego na arenie międzynarodowej; podkreśla, że czasami wymaga to poszanowania lokalnych zwyczajów;

22.  zaznacza, że gastronomia stanowi źródło wzrostu gospodarczego i wzrostu zatrudnienia w licznych sektorach gospodarki, takich jak branża restauracyjna, turystyczna, rolno-spożywcza czy badawcza; zauważa, że gastronomia może wpłynąć na rozwinięcie także wyostrzonego zmysłu ochrony przyrody i środowiska, co ostatecznie przekłada się na bardziej autentyczny i mniej przetworzony z użyciem dodatków i konserwantów smak pożywienia;

23.  podkreśla znaczenie gastronomii dla wspierania sektora usług hotelarskich w całej Europie i vice versa;

24.  docenia rolę, jaką wykwalifikowani i uzdolnieni szefowie kuchni odgrywają w ochronie i eksporcie dziedzictwa gastronomicznego UE, oraz podkreśla znaczenie utrzymania wiedzy fachowej z zakresu sztuki kulinarnej jako istotnego czynnika zapewniającego wartość dodaną, zarówno pod względem edukacyjnym, jak i ekonomicznym;

25.  przyjmuje z zadowoleniem inicjatywy mające na celu promocję europejskiego dziedzictwa gastronomicznego, takie jak lokalne i regionalne festiwale kulinarne, które są zarówno przejawem poszanowania środowiska i naszego najbliższego otoczenia dzięki umacnianiu koncepcji bliskości, jak i gwarantem większego zaufania ze strony konsumenta; zachęca do włączania do tych inicjatyw aspektów europejskich;

26.  przyjmuje z zadowoleniem trzy wprowadzone w UE systemy oznaczeń geograficznych i tradycyjnych specjalności, czyli chronioną nazwę pochodzenia (ChNP), chronione oznaczenie geograficzne (ChOG) oraz gwarantowaną tradycyjną specjalność, które zwiększają wartość europejskich produktów rolniczych na szczeblu UE i międzynarodowym; wzywa państwa członkowskie i regiony do tworzenia oznaczeń ChNP, zwłaszcza wspólnych oznaczeń ChNP dla produktów o tym samym charakterze, pochodzących z transgranicznych obszarów geograficznych;

27.  pochwala inicjatywy takie jak „slow food”, pozwalające docenić społeczne i kulturowe znaczenie jedzenia, oraz inicjatywę „Wine in Moderation”, promującą cechujący się umiarem styl życia i umiarkowane spożywanie alkoholu;

28.  podkreśla rolę Akademii Gastronomicznych, europejskiej sieci fundacji na rzecz żywienia oraz Międzynarodowej Akademii Gastronomicznej w Paryżu w badaniach nad dziedzictwem gastronomicznym i rozpowszechnianiu go;

29.  domaga się od państw członkowskich sformułowania i wdrożenia polityki mającej na celu wzmocnienie pod względem jakościowym i ilościowym branży gastronomicznej, również w odniesieniu do jej wpływu na ofertę turystyczną w ramach rozwoju kulturowego i gospodarczego różnych regionów;

30.  podkreśla, że gastronomia to doskonały „kulturowy produkt eksportowy” UE i poszczególnych państw członkowskich;

31.  wzywa państwa członkowskie do wspierania inicjatyw związanych z agroturystyką, sprzyjających poznawaniu dziedzictwa kulturowego i krajobrazowego, zapewniających regionalne wsparcie oraz wpływających na rozwój obszarów wiejskich;

32.  wzywa państwa członkowskie i Komisję Europejską do zajęcia się aspektami kulturowymi gastronomii oraz do promowania nawyków żywieniowych, których celem jest zdrowie konsumentów, wymiana międzykulturowa oraz promocja regionów, przy jednoczesnym zachowaniu przyjemności płynącej z jedzenia, wspólnego biesiadowania i życia społecznego;

33.  nakłania państwa członkowskie do współpracy i wspierania inicjatyw mających na celu zapewnienie wysokiej jakości, różnorodności i wyjątkowości tradycyjnych produktów lokalnych, regionalnych i krajowych, aby w ten sposób walczyć z ujednoliceniem, które w długofalowej perspektywie doprowadziłoby do zubożenia europejskiego dziedzictwa gastronomicznego;

34.  zachęca Komisję, Radę i państwa członkowskie, by w celu podtrzymania europejskiej różnorodności kulinarnej w refleksji na temat polityki żywnościowej uwzględniły również potrzebę wspierania europejskiej produkcji żywności zgodnej z zasadami trwałego rozwoju, zróżnicowanej, charakteryzującej się odpowiednią jakością i dostarczanej w wystarczającej ilości;

35.  nakłania Komisję i państwa członkowskie do wzmocnienia procesu uznawania i znakowania europejskiej produkcji żywności, aby zwiększyć wartość jej produktów, lepiej informować konsumentów oraz chronić różnorodność gastronomii europejskiej;

36.  podkreśla konieczność uznawania i zwiększania wartości produkcji gastronomicznej odpowiedniej jakości; wzywa Komisję, Radę i państwa członkowskie do refleksji nad wprowadzeniem systemu informowania konsumentów przez restauratorów o daniach przygotowanych na miejscu z nieprzetworzonych surowców;

37.  zachęca Komisję, Radę i państwa członkowskie do przeanalizowania wpływu przyjmowanych przez nie przepisów na wydajność, różnorodność i jakość produkcji żywności w Unii Europejskiej oraz do przeciwdziałania fałszowaniu produktów;

38.  popiera wszelkie działania, które mogą podjąć państwa członkowskie i ich regiony, aby promować i chronić obszary, krajobrazy oraz produkty stanowiące ich lokalne dziedzictwo gastronomiczne; wzywa regiony, by w powiązaniu z lokalnymi producentami promowały gastronomię lokalną i dietetyczną w szkołach i w żywieniu zbiorowym w celu zachowania i podkreślania wartości regionalnego dziedzictwa gastronomicznego, stymulowania lokalnego rolnictwa oraz skrócenia łańcuchów dostaw;

39.  wzywa państwa członkowskie do podjęcia działań w celu zachowania dziedzictwa europejskiego związanego z gastronomią, takich jak piecza nad dziedzictwem architektonicznym w postaci tradycyjnych bazarów z żywnością, winiarni lub innych obiektów oraz ochrona przyrządów i maszyn związanych z żywnością i gastronomią;

40.  podkreśla wagę identyfikowania, katalogowania, przekazywania i rozpowszechniania bogactwa kulturowego gastronomii europejskiej; zachęca do utworzenia europejskiego obserwatorium gastronomii;

41.  sugeruje, by Komisja Europejska uwzględniła europejską gastronomię w swoich programach i inicjatywach kulturalnych;

42.  z zadowoleniem przyjmuje wpisanie na Listę Reprezentatywną Niematerialnego Dziedzictwa Kulturowego Ludzkości UNESCO francuskiej tradycji biesiadnej, diety śródziemnomorskiej, tradycyjnej kuchni meksykańskiej i chorwackiego piernika oraz namawia państwa członkowskie, by mając na względzie ochronę swoich tradycji i zwyczajów kulinarnych, ubiegały się o ich przyjęcie do konwencji UNESCO w sprawie ochrony niematerialnego dziedzictwa kulturowego;

43.  zachęca, by europejskie miasta ubiegały się o tytuł Miasta Gastronomii UNESCO w ramach programu Sieć Miast Kreatywnych;

o
o   o

44.  zobowiązuje swojego przewodniczącego do przekazania niniejszej rezolucji Radzie i Komisji, a także rządom i parlamentom państw członkowskich.

(1) Dz.U. C 33 E z 5.2.2013, s. 360.

Rezolucja ustawodawcza Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie wniosku dotyczącego rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD))	P7_TA(2014)0212 A7-0402/2013
SPROSTOWANIA COR01

(Zwykła procedura ustawodawcza: pierwsze czytanie)

Parlament Europejski,

–  uwzględniając wniosek Komisji przedstawiony Parlamentowi Europejskiemu i Radzie (COM(2012)0011),

–  uwzględniając art. 294 ust. 2, art. 16 ust. 2 oraz art. 114 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej, zgodnie z którymi Komisja przedstawiła wniosek Parlamentowi (C7‑0025/2012),

–  uwzględniając art. 294 ust. 3 Traktatu o funkcjonowaniu Unii Europejskiej,

–  uwzględniając uzasadnione opinie przedstawione – na mocy protokołu (nr 2) w sprawie stosowania zasad pomocniczości i proporcjonalności – przez belgijską Izbę Reprezentantów, niemiecką Radę Federalną, francuski Senat, włoską Izbę Deputowanych oraz szwedzki Parlament, w których stwierdzono, że projekt aktu ustawodawczego jest niezgodny z zasadą pomocniczości,

–  uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego z dnia 23 maja 2012 r.(1),

–  uwzględniając opinię Komitetu Regionów,

–  uwzględniając opinię Europejskiego Inspektora Ochrony Danych z dnia 7 marca 2012 r.(2),

–  uwzględniając opinię Agencji Praw Podstawowych Unii Europejskiej z dnia 1 października 2012 r.,

–  uwzględniając art. 55 Regulaminu,

–  uwzględniając sprawozdanie Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych oraz opinie Komisji Zatrudnienia i Spraw Socjalnych, Komisji Przemysłu, Badań Naukowych i Energii, Komisji Rynku Wewnętrznego i Ochrony Konsumentów oraz Komisji Prawnej (A7-0402/2013),

1.  zatwierdza poniższe stanowisko w pierwszym czytaniu;

2.  zwraca się do Komisji o ponowne przekazanie mu sprawy, jeśli uzna ona za stosowne wprowadzić znaczące zmiany do swojego wniosku lub zastąpić go innym tekstem;

3.  zobowiązuje swojego przewodniczącego do przekazania stanowiska Parlamentu Radzie i Komisji, a także parlamentom narodowym.

Stanowisko Parlamentu Europejskiego przyjęte w pierwszym czytaniu w dniu 12 marca 2014 r. w celu przyjęcia rozporządzenia Parlamentu Europejskiego i Rady (UE) nr .../2014 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych)

(Tekst mający znaczenie dla EOG)

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16 ust. 2 i art. 114 ust. 1,

uwzględniając wniosek Komisji Europejskiej,

po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,

uwzględniając opinię Europejskiego Komitetu Ekonomiczno-Społecznego(3),

po konsultacji z Komitetem Regionów,

uwzględniając opinię Europejskiego Inspektora Ochrony Danych(4),

stanowiąc zgodnie ze zwykłą procedurą ustawodawczą(5),

a także mając na uwadze, co następuje:

(1)  Ochrona osób fizycznych w zakresie przetwarzania danych osobowych jest prawem podstawowym. Artykuł 8 ust. 1 Karty praw podstawowych i art. 16 ust. 1 Traktatu stanowią, iż każda osoba ma prawo do ochrony danych osobowych, które jej dotyczą.

(2)  Przetwarzanie danych osobowych ma służyć człowiekowi, zaś zasady i przepisy dotyczące ochrony osób fizycznych w odniesieniu do przetwarzania ich danych osobowych powinny, niezależnie od obywatelstwa czy miejsca stałego zamieszkania osób fizycznych, szanować ich podstawowe prawa i wolności, szczególnie prawo do ochrony danych osobowych. Powinno ono również przyczyniać się do stworzenia obszaru wolności, bezpieczeństwa i sprawiedliwości oraz unii gospodarczej, osiągnięcia postępu gospodarczego i społecznego, wzmocnienia i konwergencji gospodarek na rynku wewnętrznym, a także do poprawy zamożności ludzi.

(3)  Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady(6) ma na celu harmonizację ochrony podstawowych praw i wolności osób fizycznych w zakresie przetwarzania danych oraz zagwarantowanie swobodnego przepływu danych osobowych między państwami członkowskimi.

(4)  Integracja gospodarcza i społeczna będąca wynikiem funkcjonowania rynku wewnętrznego doprowadziła do znacznego zwiększenia transgranicznego przepływu danych osobowych. Zwiększyła się także wymiana danych między podmiotami gospodarczymi i społecznymi oraz publicznymi i prywatnymi w całej Unii. Prawo Unii wymaga, by organy krajowe poszczególnych państw członkowskich współpracowały ze sobą i prowadziły wymianę danych osobowych w celu wykonywania swoich obowiązków lub realizacji zadań w imieniu organów innych państw członkowskich.

(5)  Szybki rozwój technologiczny i globalizacja przyniosły nowe wyzwania w zakresie ochrony danych osobowych. Niezwykle wzrosła skala wymiany i zbierania danych. Technologia umożliwia zarówno przedsiębiorcom prywatnym, jak i organom publicznym wykorzystywanie danych osobowych do wykonywania powierzonych im zadań na niespotykaną dotąd skalę. Osoby fizyczne coraz częściej udostępniają informacje osobowe publicznie i globalnie. Technologia całkowicie zmieniła zarówno gospodarkę, jak i życie społeczne, i wymaga dalszego ułatwienia swobodnego przepływu danych w Unii oraz przekazywania ich do państw trzecich i organizacji międzynarodowych, przy równoczesnym zagwarantowaniu wysokiego poziomu ochrony danych osobowych.

(6)  Przemiany te wymagają stworzenia stabilnych i bardziej spójnych ram ochrony danych w Unii, popartych zdecydowanym egzekwowaniem, uwzględniając wagę zbudowania zaufania, które umożliwi rozwój gospodarki cyfrowej na rynku wewnętrznym. Osoby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi. Należy ponadto wzmocnić poczucie pewności prawa i jego praktycznego stosowania u osób fizycznych, podmiotów gospodarczych i organów publicznych.

(7)  Cele i zasady dyrektywy 45/96/WE nie zmieniły się, co jednak nie zapobiegło rozdrobnieniu wdrażania przepisów dotyczących ochrony danych w Unii, ugruntowaniu niepewności prawnej oraz upowszechnieniu istniejącego w społeczeństwie poglądu, zgodnie z którym z ochroną osób fizycznych wiążą się istotne zagrożenia, dotyczące w szczególności działalności w internecie. Różnice w zakresie poziomu ochrony praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych, w zakresie przetwarzania danych osobowych, udzielanej w państwach członkowskich mogą uniemożliwić swobodny przepływ danych osobowych w całej Unii. Różnice te mogą zatem stanowić przeszkodę w prowadzeniu działalności gospodarczej na szczeblu Unii, zakłócać konkurencję i utrudniać organom wykonywanie ich obowiązków wynikających z przepisów prawa unijnego. Ta różnica w poziomie ochrony wynika z istnienia różnic we wdrażaniu i stosowaniu dyrektywy 95/46/WE.

(8)  Aby zapewnić spójny i wysoki poziom ochrony osób fizycznych oraz usunąć przeszkody w przepływie danych osobowych, należy zapewnić we wszystkich państwach członkowskich równorzędny poziom ochrony praw i wolności osób fizycznych w zakresie przetwarzania tych danych. Spójne i jednolite stosowanie przepisów dotyczących ochrony podstawowych praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych powinno być zagwarantowane w całej Unii.

(9)  Skuteczna ochrona danych osobowych w całej Unii wymaga wzmocnienia i doprecyzowania praw podmiotów danych oraz obowiązków podmiotów, które przetwarzają dane osobowe i kierują tym procesem, lecz także równorzędnych uprawnień w zakresie monitorowania i zapewnienia zgodności z przepisami w zakresie ochrony danych osobowych oraz równorzędnych sankcji wobec osób naruszających te przepisy w państwach członkowskich.

(10)  Artykuł 16 ust. 2 Traktatu powierza Parlamentowi Europejskiemu i Radzie ustanowienie przepisów dotyczących ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu takich danych.

(11)  W celu zapewnienia spójnego poziomu ochrony osób fizycznych w całej Unii oraz zapobiegania różnicom, które hamowałyby swobodny przepływ danych w ramach rynku wewnętrznego, należy przyjąć rozporządzenie, które zagwarantuje przedsiębiorcom, w tym mikroprzedsiębiorcom oraz małym i średnim przedsiębiorcom pewność prawną i przejrzystość i które zapewni ten sam poziom prawnie egzekwowalnych uprawnień i obowiązków administratorów i podmiotów przetwarzających osobom fizycznym we wszystkich państwach członkowskich, umożliwi spójne monitorowanie przetwarzania danych osobowych, stosowanie równoważnych sankcji we wszystkich państwach członkowskich oraz skuteczną współpracę organów nadzorczych różnych państw członkowskich. W związku ze szczególną sytuacją mikroprzedsiębiorców oraz małych i średnich przedsiębiorców niniejsze rozporządzenia przewiduje szereg odstępstw. Ponadto zachęca się instytucje i organy Unii, państwa członkowskie i ich organy nadzorcze, by wzięły pod uwagę szczególne potrzeby mikroprzedsiębiorców oraz małych i średnich przedsiębiorców, jeśli chodzi o zastosowanie niniejszego rozporządzenia. Pojęcie mikroprzedsiębiorców oraz małych i średnich przedsiębiorców powinno opierać się na zaleceniu Komisji 2003/361/WE(7).

(12)  Ochrona zapewniona na mocy niniejszego rozporządzenia dotyczy osób fizycznych, niezależnie od ich obywatelstwa lub miejsca zamieszkania, w zakresie przetwarzania danych osobowych. Jeśli chodzi o przetwarzanie danych, które dotyczą osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych dotyczących firmy, formy prawnej i danych kontaktowych osoby prawnej, nie podlegają one ochronie udzielanej na mocy niniejszego rozporządzenia. Przepis ten powinien mieć także zastosowanie wtedy, gdy firma osoby prawnej obejmuje nazwisko jednej lub większej liczby osób fizycznych.

(13)  Ochrona osób fizycznych powinna być technologicznie neutralna i nie powinna zależeć od stosowanych technik, ponieważ w przeciwnym razie wystąpiłoby poważne ryzyko obchodzenia prawa. Ochrona osób fizycznych powinna mieć zastosowanie do przetwarzania danych osobowych w sposób zautomatyzowany, jak również ręcznego przetwarzania, jeśli dane znajdują się lub mają znajdować się w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są zorganizowane według określonych kryteriów, nie powinny wchodzić w zakres niniejszego rozporządzenia.

(14)  Rozporządzenie nie odnosi się do kwestii ochrony podstawowych praw i wolności lub swobodnego przepływu danych dotyczących działalności, która nie wchodzi w zakres prawa unijnego, ani też nie obejmuje przetwarzania danych osobowych przez instytucje, organy i jednostki administracyjne Unii, które podlegają przepisom rozporządzenia . Rozporządzenie (WE) nr 45/2001 lub przetwarzania danych osobowych przez państwa członkowskie podczas prowadzenia działalności związanej ze wspólną polityką zagraniczną i bezpieczeństwa Unii Parlamentu Europejskiego i Rady(8) należy dostosować do niniejszego rozporządzenia i stosować zgodnie z niniejszym rozporządzeniem. [Popr. 1]

(15)  Niniejsze rozporządzenie nie powinno mieć zastosowania do przetwarzania przez osobę fizyczną danych osobowych o charakterze wyłącznie osobistym, rodzinnym lub domowym, takich jak korespondencja i przechowywanie adresów, które są przetwarzane w celach niezarobkowych, zatem lub sprzedaż prywatna, bez związku z działalnością zawodową lub handlową. Wyjątek ten nie powinien mieć także zastosowania do administratorów lub podmiotów przetwarzających, którzy zapewniają środki na przetwarzanie danych osobowych w celach osobistych lub domowych. Niniejsze rozporządzenie powinno jednak mieć zastosowanie do administratorów i podmiotów przetwarzających dających możliwość przetwarzania danych osobowych na potrzeby takiej działalności osobistej lub domowej. [Popr. 2]

(16)  Ochrona osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy w celu zapobiegania przestępstwom, ich ścigania, wykrywania lub karania albo w celu wykonywania kar kryminalnych oraz swobodnym przepływem takich danych podlegają szczególnemu instrumentowi prawnemu na szczeblu Unii. Z tego względu niniejsze rozporządzenie nie powinno mieć zastosowania do przetwarzania do wyżej wspomnianych celów. Jednak dane przetwarzane przez organy publiczne na mocy niniejszego rozporządzenia, wykorzystywane w celu zapobiegania przestępstwom, ich ścigania, wykrywania lub karania albo w celu wykonywania kar kryminalnych, powinny podlegać bardziej szczegółowemu instrumentowi prawnemu na szczeblu Unii (dyrektywa Parlamentu Europejskiego i Rady 2014/.../UE w sprawie ochrony osób fizycznych w odniesieniu do przetwarzania danych osobowych przez właściwe organy w celu zapobiegania, ustalania, wykrywania lub ścigania przestępstw lub wykonywania kar oraz swobodnego przepływu takich danych).

(17)  Przepisy niniejszego rozporządzenia pozostają bez uszczerbku dla stosowania dyrektywy 2000/31/WE Parlamentu Europejskiego i Rady(9), w szczególności zasad odpowiedzialności usługodawców będących pośrednikami, o których mowa w art. 12-15 tej dyrektywy.

(18)  Niniejsze rozporządzenie pozwala na uwzględnienie zasady publicznego dostępu do dokumentów urzędowych przy stosowaniu przepisów tego rozporządzenia. Dane osobowe zawarte w dokumentach znajdujących się w posiadaniu organu publicznego lub podmiotu publicznego mogą zostać ujawnione przez dany organ lub podmiot zgodnie z prawem UE lub państwa członkowskiego dotyczącym publicznego dostępu do dokumentów urzędowych, co godzi prawo do ochrony danych z prawem publicznego dostępu do dokumentów urzędowych oraz stanowi właściwe wyważenie różnych występujących interesów. [Popr. 3]

(19)  Każde przetwarzanie danych osobowych w kontekście działalności prowadzonej w siedzibie administratora lub podmiotu przetwarzającego w Unii powinno odbywać się zgodnie z niniejszym rozporządzeniem, niezależnie od tego, czy samo przetwarzanie ma miejsce w Unii czy poza nią. Siedziba zakłada skuteczne i faktycznie prowadzenie działalności poprzez stabilne rozwiązania. Forma prawna takich rozwiązań, niezależnie od tego, czy chodzi o oddział czy spółkę zależną posiadającą osobowość prawną, nie jest w tym względzie czynnikiem decydującym.

(20)  By nie dopuścić do pozbawienia osób fizycznych ochrony, która przysługuje im na mocy niniejszego rozporządzenia, przetwarzanie danych osobowych podmiotów danych, które mają miejsce zamieszkania w Unii, przez administratora niemającego siedziby w Unii, powinno podlegać niniejszemu rozporządzeniu, w przypadku gdy przetwarzanie wiąże się z oferowaniem towarów lub usług – niezależnie od tego, czy wiąże się to z płatnością, czy też nie – podmiotom danych lub monitorowaniem zachowania tych osób. Aby stwierdzić, czy administrator oferuje takim podmiotom danych w Unii towary lub usługi, należy ustalić, czy jest oczywiste, że planuje on oferować usługi podmiotom danych w co najmniej jednym państwie członkowskim Unii. [Popr. 4]

(21)  Aby stwierdzić, czy przetwarzanie można uznać za „monitorowanie zachowania” podmiotów danych, należy upewnić się, czy osoby fizyczne można wyszukać w internecie, korzystając z – niezależnie od pochodzenia danych – lub czy zbierane są inne dane na ich temat, w tym z publicznych rejestrów i ogłoszeń w Unii, które są dostępne poza Unią, w tym z zamiarem wykorzystania lub potencjalnego późniejszego wykorzystania technik przetwarzania danych, które polegają na przypisaniu „profilu” , w szczególności w celu podejmowania decyzji dotyczących tej osoby, analizowania jej preferencji osobistych, zachowań i postaw lub ich przewidywania. [Popr. 5]

(22)  W miejscu, w którym na mocy prawa międzynarodowego publicznego stosuje się prawo krajowe państwa członkowskiego, na przykład na terenie misji dyplomatycznej lub placówki konsularnej, niniejsze rozporządzenie powinno także mieć zastosowanie do administratora niemającego siedziby w Unii.

(23)  Zasady ochrony danych należy stosować do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych. Aby ustalić, czy można zidentyfikować daną osobę fizyczną, należy wziąć pod uwagę wszystkie racjonalnie prawdopodobne sposoby, jakimi mogą posłużyć się administrator lub inna osoba ktokolwiek w celu bezpośredniego lub pośredniego zidentyfikowania lub wyodrębnienia tej osoby. Aby ustalić, czy dany sposób może z racjonalnym prawdopodobieństwem posłużyć do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do zidentyfikowania danej osoby, oraz uwzględnić zarówno technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony nie powinny być zatem stosowane do danych zanonimizowanych w taki sposób, że podmiot danych nie może być już zidentyfikowany anonimowych, które są informacjami nieodnoszącymi się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych danych, w tym do celów statystycznych i naukowych. [Popr. 6]

(24)  Osoby fizyczne korzystające z usług internetowych można identyfikować na podstawie Niniejsze rozporządzenie powinno mieć zastosowanie do przetwarzania z użyciem identyfikatorów internetowych, które znajdują się w urządzeniach, aplikacjach, narzędziach i protokołach, takich jak adresy IP lub identyfikatory plików cookie , oraz identyfikatory radiowe, chyba że identyfikatory te nie odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Mogą one zostawiać ślady, które, w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskanymi przez serwery, mogą być wykorzystywane do tworzenia profili poszczególnych osób i ich identyfikacji. W wyniku tego numery identyfikacyjne, dane dotyczące lokalizacji, identyfikatory internetowe lub inne szczególne czynniki jako takie niekonieczne muszą być uważane za dane osobowe w każdych okolicznościach. [Popr. 7]

(25)  Zgoda powinna być wyraźnie wyrażona w dowolny właściwy sposób umożliwiający swobodne i świadome wyrażenie woli przez podmiot danych bądź w formie oświadczenia, bądź w drodze wyraźnego działania potwierdzającego podmiotu będącego konsekwencją wyboru dokonanego przez podmiot danych, przy jednoczesnym zagwarantowaniu, że osoby fizyczne są świadome, iż wyrażają zgodę na przetwarzanie danych osobowych, w tym poprzez zaznaczenie . Wyraźne działanie potwierdzające może polegać na zaznaczeniu okna wyboru podczas przeglądania strony internetowej lub też inne oświadczenie na innym oświadczeniu bądź zachowanie zachowaniu, które w tym kontekście wyraźnie oznacza akceptację przez podmiot danych proponowanego przetwarzania jego danych osobowych. Milczenie, samo skorzystanie z usługi lub bezczynność nie powinny zatem stanowić zgody. Zgoda powinna obejmować całość przetwarzania dokonanego w tym samym celu lub w tych samych celach. Jeśli zgoda podmiotu danych ma być wyrażona w następstwie elektronicznego wniosku, wniosek taki musi być jasny, zwięzły i nie powodować niepotrzebnego przerwania świadczenia usługi, której dotyczy. [Popr. 8]

(26)  Dane osobowe dotyczące zdrowia powinny w szczególności obejmować wszelkie dane dotyczące stanu zdrowia podmiotu danych, informacje na temat rejestracji osoby fizycznej w celu świadczenia usług zdrowotnych; informacje o płatnościach danej osoby fizycznej za opiekę zdrowotną lub kwalifikowaniu się danej osoby do korzystania z opieki zdrowotnej; numer, symbol lub oznaczenie przypisane danej osobie wyłącznie w celu identyfikowania jej dla potrzeb świadczenia opieki zdrowotnej; wszelkie informacje na temat tej osoby zebrane w okresie świadczenia opieki zdrowotnej na jej rzecz; informacje pochodzące z badań laboratoryjnych lub lekarskich dotyczących części ciała lub płynów ustrojowych, w tym próbek biologicznych; informacje umożliwiające identyfikację osoby świadczącej usługi opieki zdrowotnej na rzecz danego pacjenta oraz wszelkie informacje np. na temat choroby, niepełnosprawności, ryzyka choroby, historii medycznej, leczenia klinicznego lub aktualnego stanu fizjologicznego lub biomedycznego podmiotu danych, niezależnie od ich źródła, którym może być np. lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne, badanie diagnostyczne in vitro.

(27)  Siedzibę administratora w Unii należy ustalić na podstawie obiektywnych kryteriów. Powinna ona zakładać skuteczne i faktycznie zarządzanie, polegające na podejmowaniu najważniejszych decyzji dotyczących celów, warunków i środków przetwarzania w drodze stabilnych rozwiązań. Takie kryterium nie powinno zależeć od tego, czy przetwarzanie danych osobowych jest faktycznie dokonywane w tej lokalizacji; obecność i wykorzystanie środków technicznych i technologii do celów przetwarzania danych osobowych lub działalności w zakresie przetwarzania nie stanowią, same w sobie, takiej siedziby, nie są więc kryteriami wyznaczającymi siedzibę. Siedzibą podmiotu przetwarzającego powinno być miejsce jego zarządu w Unii.

(28)  Grupa przedsiębiorstw powinna obejmować przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane, przy czym przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które wywiera dominujący wpływ na inne przedsiębiorstwa ze względu, między innymi, na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność lub też uprawnienia do wdrożenia przepisów dotyczących ochrony danych osobowych.

(29)  Na szczególną ochronę danych osobowych zasługują dzieci, które mogą być w mniejszym stopniu świadome zagrożeń, konsekwencji, gwarancji i swoich praw związanych z przetwarzaniem danych osobowych. Aby stwierdzić, czy dana osoba jest dzieckiem, w niniejszym rozporządzeniu należy przyjąć definicję określoną w Konwencji Narodów Zjednoczonych o prawach dziecka. Jeżeli przetwarzanie danych opiera się na zgodzie podmiotu danych dotyczącej oferowania towarów lub usług bezpośrednio dziecku, zgoda powinna być udzielana lub aprobowana przez rodzica lub opiekuna dziecka, w przypadku gdy dziecko nie przekroczyło 13 roku życia. Gdy zamierzonymi odbiorcami są dzieci, należy używać języka dostosowanego do wieku. W mocy powinny pozostawać inne podstawy do zgodnego z prawem przetwarzania, takie jak względy interesu publicznego, np. w kontekście usług w zakresie zapobiegania lub doradztwa oferowanych bezpośrednio dziecku. [Popr. 9]

(30)  Wszelkie operacje przetwarzania danych osobowych powinny być zgodne z prawem, prowadzone rzetelnie i uczciwie wobec zainteresowanych osób. W szczególności konkretne cele przetwarzania danych powinny być jednoznaczne, zgodne z prawem i określone w momencie zbierania danych. Dane powinny być ścisłe, właściwe i ograniczone do minimum niezbędnego do celów, dla których dane są przetwarzane, co wymaga w szczególności dopilnowania, by zebrane dane nie wykraczały poza określony zakres i by okres przechowywania danych był ograniczony do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko wówczas, gdy celu przetwarzania nie można osiągnąć innymi środkami. Należy podjąć wszelkie stosowne kroki gwarantujące poprawienie lub usunięcie nieścisłych danych osobowych. Aby uniknąć przechowywania danych przez czas dłuższy niż jest to konieczne, administrator powinien ustalić termin usuwania danych lub okresowego przeglądu.

(31)  Aby przetwarzanie danych osobowych było zgodne z prawem, powinno odbywać się na podstawie zgody osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej przez prawo: czy to przepisów niniejszego rozporządzenia czy to innych przepisów prawa Unii lub państw członkowskich, o których mowa w tym rozporządzeniu. W przypadku dziecka lub osoby nieposiadającej zdolności do czynności prawnych właściwe prawo Unii lub państwa członkowskiego powinno określać warunki udzielania lub aprobowania zgody przez tę osobę. [Popr. 10]

(32)  Jeśli przetwarzanie odbywa się na podstawie zgody podmiotu danych, ciężar udowodnienia, że podmiot danych wyraził zgodę na operację przetwarzania, spoczywa na administratorze. W szczególności w przypadku pisemnego oświadczenia złożonego w innej sprawie odpowiednie gwarancje powinny zapewniać, aby podmiot danych był świadomy wyrażenia zgody oraz jej zakresu. Aby zapewnić zgodność z zasadą minimalizacji danych, ciężaru dowodu nie należy rozumieć jako wymogu pozytywnej identyfikacji podmiotów danych, chyba że jest to konieczne. Podobnie jak warunki prawa cywilnego (np. dyrektywa Rady 93/13/EWG(10)), zasady ochrony danych powinny być jak najbardziej jasne i przejrzyste. Nie powinny one obejmować klauzul ukrytych lub niekorzystnych. Nie można udzielić zgody na przetwarzanie danych osobowych osób trzecich. [Popr. 11]

(33)  W celu zapewnienia dobrowolnej zgody należy wyjaśnić, że zgoda nie stanowi ważnej podstawy prawnej, jeśli dana osoba nie może dokonać rzeczywistego i wolnego wyboru, a następnie nie może odmówić ani odwołać zgody bez poniesienia szkody. Chodzi tu zwłaszcza o przypadek, gdy administrator jest organem publicznym, który może nałożyć obowiązek na mocy swoich odpowiednich uprawnień publicznych, i zgoda nie może być uznana za udzieloną dobrowolnie. Wykorzystanie domyślnych opcji, które podmiot danych zobowiązany jest zmodyfikować w celu wniesienia sprzeciwu wobec przetwarzania, takich jak z góry zaznaczone pola wyboru, nie oznacza dobrowolnej zgody. Zgoda na przetwarzanie dodatkowych danych osobowych, które nie są konieczne do świadczenia usługi, nie powinna być wymagana w celu skorzystania z usługi. Gdy zgoda zostaje wycofana, może to umożliwić zaprzestanie świadczenia lub niewykonanie usługi, która jest zależna od tych danych. Jeżeli zrealizowanie zamierzonego celu nie jest jasno stwierdzone, administrator powinien w regularnych odstępach czasu przekazywać podmiotowi danych informacje o przetwarzaniu oraz zwracać się o ponowne potwierdzenie zgody. [Popr. 12]

(34)  Zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w sytuacji wyraźnego braku równowagi między podmiotem danych a administratorem. Dotyczy to w szczególności przypadku, gdy między podmiotem danych a administratorem istnieje stosunek zależności, między innymi wtedy, gdy dane osobowe pracowników są przetwarzane przez pracodawcę w kontekście zatrudnienia Jeśli administrator jest organem publicznym, brak równowagi wystąpiłby wyłącznie w przypadku operacji przetwarzania szczególnych danych, gdy organ publiczny może nałożyć obowiązek na mocy odpowiednich uprawnień publicznych a zgody nie można uznać za wyrażoną dobrowolnie, uwzględniając interes podmiotu danych. [Popr. 13]

(35)  Przetwarzanie powinno być zgodne z prawem tam, gdzie jest konieczne w kontekście umowy lub zamiaru zawarcia umowy.

(36)  Jeśli przetwarzanie odbywa się w ramach wypełnienia przez administratora ciążącego na nim obowiązku prawnego lub jeśli przetwarzanie jest konieczne w celu wykonania zadania realizowanego w interesie publicznym lub wykonania władzy publicznej, podstawę prawną przetwarzania powinny stanowić przepisy prawa Unii lub państwa członkowskiego, które spełniają wymagania Karty w zakresie ograniczeń praw i wolności. Powinno to obejmować również układy zbiorowe, które mogą być uznane na mocy prawa krajowego za ogólnie obowiązujące. Prawo Unii lub prawo krajowe powinno określić, czy administratorem wykonującym zadanie realizowane w interesie publicznym lub w celu wykonania władzy publicznej powinien być organ administracji publicznej czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu prywatnemu, jak np. zrzeszenie zawodowe. [Popr. 14]

(37)  Przetwarzanie danych osobowych powinno być również uznawane za zgodne z prawem, jeśli jest konieczne w celu ochrony interesu, który ma istotne znaczenie dla życia podmiotu danych.

(38)  Słuszny Uzasadniony interes administratora lub – w przypadku ujawnienia – strony trzeciej, której ujawniono dane, może stanowić podstawę prawną przetwarzania, pod warunkiem że odpowiada racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem oraz że interesy lub podstawowe prawa i wolności podmiotu danych, nie mają charakteru nadrzędnego. Wymagałoby to przeprowadzenia rzetelnej oceny, w szczególności w sytuacji, gdy podmiotem danych jest dziecko, zważywszy że dzieci wymagają szczególnej ochrony. O ile interesy lub podstawowe prawa i wolności podmiotu danych nie przeważają, należy zakładać, że przetwarzanie ograniczone do danych pseudonimicznych odpowiada racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem. Podmiot danych powinien mieć prawo wniesienia sprzeciwu wobec przetwarzania ze względu na swoją szczególną sytuacją i w sposób wolny od opłat. Aby zapewnić przejrzystość, administrator powinien być zobowiązany do wyraźnego poinformowania podmiotu danych o słusznych uzasadnionych interesach realizowanych przez administratora, oraz o prawie wniesienia sprzeciwu, a także powinien być zobowiązany do udokumentowania tych słusznych uzasadnionych interesów. Interesy i prawa podstawowe podmiotu danych mogłyby w szczególności być nadrzędne w stosunku do interesu administratora danych, jeżeli dane osobowe są przetwarzane w sytuacji, gdy podmioty danych nie mają racjonalnych podstaw, by oczekiwać dalszego przetwarzania. Zważywszy, że ustawodawca określa w przepisach podstawę prawną przetwarzania danych przez organy publiczne, ta podstawa prawa określa w przepisach ustawodawca, ten argument prawny nie powinna powinien mieć zastosowania do przetwarzania danych przez organy publiczne w ramach wykonywania powierzonych im zadań. [Popr. 15]

(39)  Przetwarzanie danych w zakresie bezwzględnie koniecznym i proporcjonalnym do celów zapewnienia bezpieczeństwa sieci i informacji, tj. zapewnienia odporności sieci lub systemu informacyjnego, na danym poziomie ufności, na zdarzenia przypadkowe lub podstępne działania niezgodne z prawem albo podstępne, naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych oraz związanych z nimi usług oferowanych lub dostępnych poprzez te sieci i systemy, przez organy publiczne, zespoły reagowania na incydenty komputerowe (CERT), zespoły reagowania na komputerowe incydenty naruszające bezpieczeństwo (CSIRT), dostawców sieci i usług łączności elektronicznej oraz dostawców technologii i usług w zakresie bezpieczeństwa, stanowi słuszny uzasadniony interes danego administratora. Mogłoby to na przykład obejmować zapobieganie nieupoważnionemu dostępowi do sieci łączności elektronicznej oraz rozprowadzaniu złośliwych kodów oraz przerywanie ataków wywołujących „blokadę usługi”, a także przeciwdziałanie uszkodzeniu systemów komputerowych i łączności elektronicznej. Zasada ta ma także zastosowanie do przetwarzania danych osobowych w celu ograniczenia niewłaściwego dostępu do publicznie dostępnych sieci lub systemów informacyjnych oraz ich niewłaściwego wykorzystywania, jak tworzenie czarnych list identyfikatorów elektronicznych. [Popr. 16]

(39a)  O ile interesy lub podstawowe prawa i wolności podmiotu danych nie przeważają, należy zakładać, że zapobieganie szkodom lub ograniczanie szkód po stronie administratora danych jest prowadzone w uzasadnionym interesie administratora danych lub – w przypadku ujawnienia – strony trzeciej, której ujawniono dane, oraz że odpowiada ono racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem. Ta sama zasada ma zastosowanie również do egzekwowania roszczeń prawnych przeciw podmiotowi danych, jak ściąganie należności lub roszczenie o odszkodowanie cywilne i wyrównanie szkody. [Popr. 17]

(39b)  O ile interesy lub podstawowe prawa i wolności podmiotu danych nie przeważają, należy zakładać, że przetwarzanie danych osobowych do celu marketingu bezpośredniego dotyczącego własnych lub podobnych produktów i usług lub do celów bezpośredniego marketingu drogą pocztową jest prowadzone w uzasadnionym interesie administratora lub – w przypadku ujawnienia – strony trzeciej, której ujawniono dane, oraz odpowiada racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem, jeżeli zamieszczono bardzo wyraźnie widoczne informacje na temat prawa do sprzeciwu i na temat źródła danych osobowych. Przetwarzanie biznesowych danych kontaktowych powinno być ogólnie uznawane za prowadzone w uzasadnionym interesie administratora lub – w przypadku ujawnienia – strony trzeciej, której ujawniono dane, oraz za odpowiadające racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem. To samo powinno mieć zastosowanie do przetwarzania danych osobowych wyraźnie ujawnionych przez podmiot danych. [Popr. 18]

(40)  Przetwarzanie danych osobowych do innych celów powinno być dozwolone jedynie wtedy, gdy jest ono zgodne z celami, dla których dane zostały pierwotnie zebrane, w szczególności jeśli przetwarzanie jest niezbędne do celów badań historycznych, statystycznych lub naukowych. Jeśli ten inny cel nie jest zgodny z celem pierwotnym, w którym dane zostały zebrane, administrator powinien uzyskać zgodę podmiotu danych na realizację tego celu lub powinien oprzeć przetwarzanie na innej uzasadnionej podstawie zgodnego z prawem przetwarzania, w szczególności przewidzianej przez prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator. W każdym przypadku należy zapewnić stosowanie zasad wskazanych w niniejszym rozporządzeniu, w szczególności w zakresie poinformowania podmiotu danych o tych innych celach. [Popr. 19]

(41)  Dane osobowe, które z racji swego charakteru są szczególnie wrażliwe i narażone na ryzyko w kontekście podstawowych praw lub prywatność, zasługują na szczególną ochronę. Dane te nie powinny być przetwarzane, chyba że podmiot danych wyraźnie wyrazi na to zgodę. Należy jednak wyraźnie wskazać odstępstwa od tego zakazu ze względu na szczególne potrzeby, zwłaszcza wtedy gdy przetwarzanie danych odbywa się w ramach zgodnych z prawem działań niektórych zrzeszeń lub fundacji, których celem jest umożliwienie realizacji podstawowych wolności. [Popr. 20]

(42)  Należy także zezwolić na odstępstwa od zakazu przetwarzania wrażliwych kategorii danych, jeśli odbywa się ono na podstawie przepisów prawa i z zastrzeżeniem odpowiednich gwarancji, w celu ochrony danych osobowych i innych podstawowych praw, jeśli jest to uzasadnione interesem publicznym, w szczególności w celach związanych z opieką zdrowotną, w tym zdrowiem publicznym i ochroną socjalną oraz zarządzaniem usługami opieki zdrowotnej, zwłaszcza by zapewnić odpowiednią jakość i zasadność ekonomiczną procedur stosowanych do rozstrzygania roszczeń w sprawie świadczeń i usług w ramach systemu ubezpieczeń zdrowotnych, lub w celach badań historycznych, statystycznych i naukowych lub dla służb archiwistycznych. [Popr. 21]

(43)  Ponadto przetwarzanie danych osobowych przez organy publiczne dla osiągnięcia przez oficjalnie uznane związki religijne celów określonych w prawie konstytucyjnym lub prawie międzynarodowym publicznym, odbywa się ze względu na interes publiczny.

(44)  W przypadku gdy w trakcie działań wyborczych funkcjonowanie systemu demokratycznego w niektórych państwach członkowskich wymaga zbierania przez partie polityczne danych na temat opinii politycznych obywateli, przetwarzanie tych danych może być dozwolone ze względu na interes publiczny, pod warunkiem ustanowienia odpowiednich gwarancji.

(45)  Jeśli dane przetwarzane przez administratora nie pozwalają mu na zidentyfikowanie osoby fizycznej, nie ma on obowiązku uzyskania dodatkowych informacji w celu identyfikacji podmiotu danych wyłącznie ze względu na konieczność przestrzegania przepisu niniejszego rozporządzenia. W przypadku wniosku o dostęp, administrator powinien być upoważniony do zwracania się do podmiotu danych o udzielenie dalszych informacji, które umożliwią mu znalezienie danych osobowych, o które zwraca się wnioskodawca. Jeśli istnieje możliwość, aby podmiot danych udzielił takich informacji, administratorzy nie powinni przywoływać braku informacji jako powodu odmownego rozpatrzenia wniosku o dostęp. [Popr. 22]

(46)  Zasada przejrzystości wymaga, by wszelkie informacje przekazywane zarówno opinii publicznej, jak i podmiotowi danych, były łatwo dostępne i zrozumiałe, oraz by napisano je jasnym i prostym językiem. Dotyczy to w szczególności takich sytuacji jak np. reklama w internecie, w których duża liczba podmiotów i złożoność technologiczna praktyki utrudnia podmiotowi danych uzyskanie wiadomości o tym, że dane osobowe go dotyczące są zbierane, kto je zbiera oraz w jakich celach, oraz zrozumienie tego. Zważywszy, że dzieci zasługują na szczególną ochronę, wszelkie informacje i komunikaty, których przetwarzanie jest adresowane konkretnie do dziecka, powinny być tworzone w jasnym i prostym języku, który jest zrozumiały dla dziecka.

(47)  Należy opracować sposoby ułatwienia podmiotowi danych korzystania z praw przysługujących mu na mocy niniejszego rozporządzenia, włączając w tym mechanizmy składania wniosków, wolnych od opłat, dotyczących zapewniające uzyskiwanie, bezpłatnie, w szczególności dostępu do danych, oraz możliwości ich poprawiania ich, i usuwania oraz wykonywania , a także wykonywanie prawa do wniesienia sprzeciwu. Administrator powinien być zobowiązany do udzielania odpowiedzi na wnioski podmiotów danych w określonym rozsądnym terminie oraz podania przyczyn ewentualnego braku zastosowania się do wniosku danego podmiotu danych. [Popr. 23]

(48)  Zasady rzetelnego i przejrzystego przetwarzania wymagają, by podmiot danych był informowany w szczególności o prowadzeniu operacji przetwarzania i jej celach, o prawdopodobnym okresie przechowywania danych do poszczególnych celów, o tym, czy dane mają być przekazane stronom trzecim lub krajom trzecim, o istnieniu środków umożliwiających wniesienie sprzeciwu i o przysługującym mu prawie dostępu, poprawienia lub usunięcia danych oraz prawie do złożenia skargi. W przypadku konieczności uzyskania danych od podmiotu danych, należy go także poinformować o tym, że czy ma on obowiązek przekazać dane, oraz o konsekwencjach braku przekazania takich danych. Informacje te powinny być przekazywane – co może również oznaczać dostępne w każdej chwili – podmiotowi danych po przekazaniu uproszczonych informacji w formie standardowych ikon. Powinno to również oznaczać, że dane osobowe są przetwarzane w taki sposób, aby skutecznie umożliwić podmiotowi danych korzystanie z przysługujących mu praw. [Popr. 24]

(49)  Informacje dotyczące przetwarzania danych osobowych odnoszących się do podmiotu danych powinny być mu przekazane w momencie zbierania danych lub, jeśli dane nie są uzyskiwane od tego podmiotu, w rozsądnym terminie, zależnie od okoliczności sprawy. Jeśli dane można zgodnie z prawem ujawnić innemu odbiorcy, w momencie pierwszorazowego ujawnienia danych temu odbiorcy należy przekazać stosowne informacje podmiotowi danych.

(50)  Nakładanie tego obowiązku nie jest jednak konieczne, jeśli podmiot danych dysponuje zapoznał się już tymi informacjami z tymi informacjami lub jeśli rejestracja bądź ujawnienie danych są wyraźnie przewidziane przez przepisy prawa, lub jeśli przekazanie informacji podmiotowi danych okazuje się niemożliwe lub wiąże się z niewspółmiernie dużym wysiłkiem. Ten ostatni wariant dotyczy sytuacji, w której przetwarzanie odbywa się w celach związanych z dokumentacją, statystyką lub w celach badań naukowych – w takim przypadku można wziąć pod uwagę liczbę podmiotów danych, wiek danych oraz przyjęte środki wyrównawcze. [Popr. 25]

(51)  Każdej osobie powinno przysługiwać prawo dostępu do danych zebranych na jej temat, a wykonanie tego prawa powinno być na tyle łatwe, by każda osoba była świadoma przetwarzania i mogła zweryfikować jego zgodność z prawem. Dlatego też każdy podmiot danych powinien mieć prawo do wiedzy i uzyskania wiadomości w szczególności o celach, dla których dane są przetwarzane, przez jaki szacowany okres, jacy odbiorcy otrzymują dane, o ogólnych zasadach przetwarzania danych oraz ewentualnych skutkach tego przetwarzania, nawet tylko na podstawie profilowania. Prawo to nie powinno negatywnie wpływać na prawa i wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące na przykład w odniesieniu do praw autorskich chroniących oprogramowanie. Powyżej omówione względy nie powinny jednak powodować odmowy udzielenia podmiotowi danych wszystkich informacji. [Popr. 26]

(52)  Administrator powinien skorzystać ze wszystkich uzasadnionych środków w celu weryfikacji tożsamości podmiotu danych, który żąda dostępu, w szczególności w kontekście usług internetowych i identyfikatorów internetowych. Administrator nie powinien zatrzymywać danych osobowych wyłącznie po to, by móc odpowiadać na potencjalne wnioski.

(53)  Każda osoba powinna mieć prawo do poprawienia dotyczących jej danych osobowych oraz „prawo do bycia zapomnianym usunięcia danych”, jeśli przechowywanie tych danych nie jest zgodne z niniejszym rozporządzeniem. W szczególności podmioty danych powinny mieć prawo do tego, by ich dane osobowe zostały usunięte i nie były dalej przetwarzane, jeśli dane te nie są już konieczne do celów, dla których dane są zbierane lub przetwarzane w inny sposób, jeśli podmioty danych odwołały zgodę na przetwarzanie lub jeśli wnoszą sprzeciw wobec przetwarzania danych osobowych ich dotyczących, lub jeśli przetwarzanie ich danych osobowych nie jest zgodne z niniejszym rozporządzeniem z innego powodu. Prawo to ma szczególne znaczenie wtedy, gdy podmiot danych wyraził zgodę jako dziecko, nie będąc w pełni świadomy ryzyk związanych z przetwarzaniem, a w późniejszym czasie chce usunąć takie dane osobowe, zwłaszcza z internetu. Dalsze przechowywanie danych powinno być jednak dopuszczalne, jeśli jest ono niezbędne do celów dokumentacji, statystyki i badań naukowych, realizacji interesu publicznego w dziedzinie zdrowia publicznego, wykonania prawa wolności wypowiedzi, jeśli wymagają tego przepisy prawa lub jeśli są powody ograniczenia przetwarzania danych zamiast ich usunięcia. Prawo do usunięcia danych nie ma również zastosowania, gdy zatrzymanie danych osobowych jest niezbędne w celu wykonania umowy z podmiotem danych lub gdy istnieje obwiązek prawny zatrzymania tych danych. [Popr. 27]

(54)  Aby wzmocnić „prawo do bycia zapomnianym usunięcia danych” w internecie, prawo do usunięcia danych powinno być także rozszerzone w taki sposób, by administrator, który upublicznił dane bez uzasadnienia prawnego, miał obowiązek poinformować osoby trzecie, które przetwarzają te dane, że podmiot przetwarzający dane złożył wniosek o usunięcie wszelkich linków do danych, kopii lub replikacji tych danych osobowych. Aby zapewnić przekazanie tych informacji, administrator powinien podjąć wszelkie racjonalne kroki, w tym środki techniczne, dotyczące danych, za których publikację odpowiada administrator. Jeśli chodzi o publikowanie danych osobowych przez osoby trzecie, administratora należy uznać za odpowiedzialnego za publikację tych danych, jeśli wyraził on zgodę na publikację tych danych przez osobę trzecią poczynić wszelkie niezbędne kroki w celu doprowadzenia do usunięcia danych, w tym przez strony trzecie, bez uszczerbku dla przysługującego podmiotowi danych prawa do wystąpienia o odszkodowanie. [Popr. 28]

(54a)  Dane, które kwestionuje podmiot danych i których ścisłość lub nieścisłość nie może zostać stwierdzona, należy zablokować do wyjaśnienia sprawy. [Popr. 29]

(55)  W celu dalszego wzmocnienia kontroli nad własnymi danymi oraz prawa dostępu, podmioty danych powinny mieć prawo, w przypadku gdy dane osobowe są przetwarzane w sposób elektroniczny oraz w zorganizowanym i powszechnie używanym formacie, do otrzymania kopii dotyczących ich danych także w takim powszechnie używanym formacie elektronicznym. Podmiot danych powinien także móc przekazywać dane, które dostarczył, ze zautomatyzowanej aplikacji, takiej jak sieć społeczna, do innej. Administratorów danych należy zachęcać do opracowywania interoperacyjnych formatów umożliwiających przenoszenie danych. Powinno to mieć zastosowanie wtedy, gdy podmiot danych dostarczył dane do automatycznego systemu przetwarzania na podstawie swojej zgody lub w związku z wykonaniem umowy. Dostawcy usług społeczeństwa informacyjnego nie powinni uzależniać świadczenia swoich usług od przekazywania tych danych. [Popr. 30]

(56)  W przypadkach, w których dane osobowe mogłyby być przetwarzane zgodnie z prawem w celu ochrony żywotnych interesów podmiotu danych lub gdy jest to uzasadnione interesem publicznym, wykonywaniem władzy publicznej lub słusznymi interesami administratora, każdemu podmiotowi danych powinno jednak przysługiwać prawo wniesienia sprzeciwu wobec przetwarzania danych go dotyczących w prosty, skuteczny i wolny od opłat sposób. Ciężar dowodu w zakresie wykazania, że słuszne uzasadnione interesy administratora mogą mieć charakter nadrzędny wobec interesów lub podstawowych praw i wolności podmiotu danych, spoczywa na administratorze. [Popr. 31]

(57)  Jeśli dane osobowe przetwarzane są do celów marketingu bezpośredniego, podmiot danych powinien mieć ma prawo wniesienia sprzeciwu wobec takiego przetwarzania w prosty, skuteczny i wolny od opłat , administrator powinien wyraźnie poinformować o nim podmiot danych w zrozumiały sposób i w zrozumiałej formie, jasnym i prostym językiem, oraz powinien wyraźnie wyodrębnić tę informację od innych informacji. [Popr. 32]

(58)  Bez uszczerbku dla zgodności przetwarzania danych z prawem, każda osoba fizyczna powinna mieć prawo niepodlegania środkowi opartemu na profilowaniu dokonywanym poprzez automatyczne przetwarzanie do sprzeciwu wobec profilowania. Taki środek powinien Profilowanie, które prowadzi do środków wywołujących skutki prawne dotyczące podmiotu danych lub ma podobnie istotny wpływ na interesy, prawa lub wolności tego podmiotu danych, powinno być jednak dozwolony dozwolone jedynie wtedy, gdy jest wyraźnie przewidziany przewidziane przez przepisy prawa, stosowany stosowane w toku zawierania lub wykonywania umowy lub gdy podmiot danych wyraził na niego nie zgodę. W każdym przypadku takie przetwarzanie powinno stanowić przedmiot odpowiednich gwarancji, w tym konkretnych informacji podmiotu danych i prawa do interwencji oceny ze strony człowieka, a środek ten nie powinien dotyczyć dzieci. Takie środki nie powinny prowadzić do dyskryminacji osób ze względu na rasę lub pochodzenie etniczne, poglądy polityczne, religię lub przekonania, członkostwo w związkach zawodowych, orientację seksualną lub tożsamość płciową. [Popr. 33]

(58a)   Należy zakładać, że profilowanie oparte wyłącznie na przetwarzaniu danych pseudonimicznych nie ma istotnego wpływu na interesy, prawa lub wolności podmiotu danych. Gdy profilowanie – niezależnie od tego, czy jest oparte na pojedynczym źródle danych pseudonimicznych, czy też na agregacji danych pseudonimicznych z różnych źródeł – umożliwia administratorowi przypisanie danych pseudonimicznych do konkretnego podmiotu danych, przetwarzane dane nie mogą już być uznawane za pseudonimiczne. [Popr. 34]

(59)  Ograniczenia dotyczące szczególnych zasad i praw do informacji, dostępu, poprawiania i usuwania lub prawa przenoszenia dostępu do danych i ich otrzymywania, prawa wniesienia sprzeciwu, środków opartych na profilowaniu profilowania, a także informowania podmiotu danych o naruszeniu ochrony danych osobowych oraz pewnych powiązanych obowiązków administratorów mogą być nałożone przez prawo Unii lub państwa członkowskiego, w zakresie w jakim jest to konieczne i proporcjonalne w demokratycznym społeczeństwie, by zagwarantować bezpieczeństwo publiczne, w tym ochronę życia ludzkiego, zwłaszcza w ramach reagowania na klęski żywiołowe lub katastrofy wywołane przez człowieka, możliwość zapobiegania przestępstwom lub naruszeniom zasad etyki w przypadku zawodów regulowanych, ich ścigania i karania, inne szczególne i dobrze zdefiniowane publiczne interesy Unii lub państwa członkowskiego, w szczególności ważny interes gospodarczy lub finansowy Unii lub państwa członkowskiego, ochronę podmiotu danych lub też prawa i wolności innych osób. Ograniczenia te powinny być zgodne z wymogami Karty oraz Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. [Popr. 35]

(60)  Należy obciążyć administratora całkowitą odpowiedzialnością za przetwarzanie danych osobowych prowadzone przez niego samego lub w jego imieniu, w szczególności w kwestiach takich jak dokumentacja, bezpieczeństwo danych, ocena skutków, inspektor ochrony danych oraz nadzór sprawowany przez organy do spraw ochrony. W szczególności administrator powinien zapewnić zgodność takiej operacji przetwarzania z niniejszym rozporządzeniem i mieć obowiązek wykazania tej zgodności być w stanie wykazać tę zgodność. Powinno to być weryfikowane przez niezależnych audytorów wewnętrznych lub zewnętrznych. [Popr. 36]

(61)  Ochrona praw i wolności podmiotów danych w zakresie przetwarzania danych osobowych wymaga podjęcia odpowiednich środków technicznych i organizacyjnych, zarówno przy przygotowywaniu przetwarzania, jak i podczas samego przetwarzania, w celu zagwarantowania spełnienia wymogów niniejszego rozporządzenia. By zapewnić i wykazać zgodność z niniejszym rozporządzeniem, administrator powinien przyjąć wewnętrzne zasady polityki i wdrożyć odpowiednie środki, które są w szczególności zgodne z zasadą uwzględnienia ochrony danych już w fazie projektowania oraz zasadą domyślnej ochrony danych. Zasada uwzględniania ochrony danych już w fazie projektowania wymaga wbudowania ochrony danych w cały cykl życia technologii, od wczesnego etapu projektowania, aż po ostateczne uruchamianie, stosowanie i ostateczne usuwanie. Powinno to obejmować również odpowiedzialność za produkty i usługi, z których korzysta administrator lub podmiot przetwarzający. Zasada domyślnej ochrony danych wymaga, aby ustawienia dotyczące prywatności w usługach i produktach były domyślnie zgodne z ogólnymi zasadami ochrony danych, takimi jak zasada minimalizacji danych i zasada celowości. [Popr. 37]

(62)  Ochrona praw i wolności podmiotów danych, a także zobowiązania i odpowiedzialność administratorów i podmiotów przetwarzających, także w odniesieniu do monitorowania przez organy nadzorcze i środków przez nie stosowanych, wymaga dokonania w niniejszym rozporządzeniu jasnego przydziału obowiązków, w tym w przypadku gdy administrator określa cele, warunki i sposoby przetwarzania wspólnie z innymi administratorami oraz gdy operacja przetwarzania jest dokonywana w imieniu administratora. Porozumienie między współadministratorami powinno odzwierciedlać faktyczną rolę i wzajemne relacje współadministratorów. Przetwarzanie danych osobowych zgodnie z niniejszym rozporządzeniem powinno obejmować zezwolenie administratorowi na przekazywanie danych współadministratorowi lub podmiotowi przetwarzającemu w celu przetworzenia danych w jego imieniu. [Popr. 38]

(63)  Jeśli administrator niemający siedziby w Unii przetwarza dane osobowe podmiotów danych mających miejsce zamieszkania w Unii, a jego działalność w zakresie przetwarzania wiąże się z oferowaniem towarów lub usług tym podmiotom lub monitorowaniem ich zachowania, powinien on wyznaczyć przedstawiciela, chyba że administrator ma siedzibę w państwie trzecim zapewniającym odpowiedni poziom ochrony, lub przetwarzanie dotyczy mniej niż 5000 podmiotów danych w dowolnym okresie kolejnych 12 miesięcy i nie jest prowadzone w odniesieniu do specjalnych kategorii danych osobowych lub administrator jest małym lub średnim przedsiębiorcą, organem lub podmiotem publicznym, lub chyba że gdy jedynie okazjonalnie oferuje towary lub usługi tym podmiotom. Przedstawiciel powinien działać w imieniu administratora, a organ nadzorczy może się do niego zwracać. [Popr. 39]

(64)  By stwierdzić, czy administrator jedynie okazjonalnie oferuje towary i usługi podmiotom danych mającym miejsce zamieszkania w Unii, należy się upewnić, czy z całości działalności administratora wynika, że oferowanie towarów i usług tym osobom, stanowi działalność dodatkową do działalności głównej. [Popr. 40]

(65)  By móc wykazać zgodność z niniejszym rozporządzeniem, administrator lub podmiot przetwarzający powinni dokumentować każdą operację przetwarzania prowadzić dokumentację niezbędną do spełnienia wymogów określonych w niniejszym rozporządzeniu. Każdy administrator i podmiot przetwarzający powinni powinien być zobowiązani zobowiązany do współpracy z organem nadzorczym oraz do udostępniania mu, na żądanie, dokumentacji, tak by mogła ona służyć do monitorowania tych operacji przetwarzania oceny zgodności z niniejszym rozporządzeniem. Należy jednak położyć równy nacisk na znaczenie dobrej praktyki i zgodności z przepisami, a nie na samo wypełnianie dokumentacji. [Popr. 41]

(66)  W celu utrzymania bezpieczeństwa i zapobiegania naruszaniu przepisów niniejszego rozporządzenia administrator i podmiot przetwarzający powinni ocenić ryzyko związane z przetwarzaniem oraz wdrożyć środki mające na celu ograniczenie tego ryzyka. Środki te powinny zapewnić odpowiedni poziom bezpieczeństwa, uwzględniając stan wiedzy naukowej oraz koszty wdrożenia środków w odniesieniu do ryzyka oraz charakteru danych osobowych podlegających ochronie. Ustanawiając standardy techniczne i środki organizacyjne, by zapewnić bezpieczeństwo przetwarzania, Komisja powinna należy promować neutralność technologiczną, interoperacyjność i innowacyjność oraz, w razie potrzeby, współpracować zachęcać do współpracy z państwami trzecimi. [Popr. 42]

(67)  Naruszenie ochrony danych osobowych, w braku odpowiedniej i szybkiej reakcji, może prowadzić do znacznej straty ekonomicznej i szkód społecznych u danej osoby, w tym oszustwa dotyczącego tożsamości. Z tego względu administrator, niezwłocznie po powzięciu wiadomości o naruszeniu, jeśli to możliwe, w ciągu 24 godzin powinien zawiadomić organ nadzorczy o naruszeniu niezwłocznie, przy czym zakłada się, że oznacz to nie później niż po72 godzinach. Jeśli nie jest to możliwe w ciągu 24 godzin, W stosownym przypadku do zawiadomienia należy dołączyć stosowne wyjaśnienie powodów opóźnienia. Osoby, których dane osobowe mogłyby ucierpieć wskutek takiego naruszenia, powinny być niezwłocznie zawiadamiane, aby umożliwić im podjęcie niezbędnych środków ostrożności. Naruszenie powinno być uznawane za wywierające niekorzystny wpływ na dane osobowe lub prywatność podmiotu danych, jeżeli jego skutkiem mogą być np. kradzież lub oszustwo dotyczące tożsamości, uszkodzenie ciała, poważne upokorzenie lub naruszenie dobrego imienia. Zawiadomienie powinno zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla osoby zainteresowanej dotyczące ograniczenia potencjalnych niekorzystnych skutków naruszenia. Zawiadomienia powinny być przekazywane podmiotom danych tak szybko jak to racjonalnie możliwe, w ścisłej współpracy z organem nadzorczym oraz z poszanowaniem wytycznych przekazanych przez ten organ lub inne właściwe organy (np. organy ścigania). Na przykład szansa ograniczenia przez podmioty danych bezpośredniego ryzyka szkody wymagałaby szybkiego zawiadomienia podmiotów danych, zaś potrzeba wdrożenia właściwych środków w przypadku powtarzających się lub podobnych naruszeń ochrony danych może usprawiedliwiać dłuższe opóźnienie. [Popr. 43]

(68)  By ustalić, czy organ nadzorczy i podmiot danych zostali niezwłocznie zawiadomieni o naruszeniu ochrony danych osobowych, należy sprawdzić, czy administrator wdrożył i zastosował odpowiednią ochronę technologiczną i środki organizacyjne pozwalające od razu stwierdzić, czy wystąpiło naruszenie ochrony danych osobowych, oraz niezwłocznie poinformować organ nadzorczy i podmiot danych, przed narażeniem na szwank interesu osobistego lub gospodarczego, uwzględniając zwłaszcza charakter i wagę naruszenia ochrony danych osobowych i jego konsekwencje oraz niekorzystne skutki dla podmiotu danych.

(69)  Przy określaniu szczegółowych przepisów dotyczących formy i procedur mających zastosowanie przy zawiadamianiu o naruszeniach ochrony danych osobowych należy odpowiednio uwzględnić okoliczności naruszenia, w tym zbadać, czy dane osobowe były zabezpieczone właściwymi technicznymi środkami ochrony, skutecznie ograniczającymi prawdopodobieństwo oszustwa dotyczącego tożsamości lub innych form nadużycia danych. W tych przepisach i procedurach należy ponadto uwzględnić słuszne interesy organów ścigania, w przypadkach gdy przedwczesne ujawnienie mogłoby niepotrzebnie utrudnić badanie okoliczności naruszenia.

(70)  Dyrektywa 95/46/WE przewidziała ogólny obowiązek zawiadamiania organów nadzorczych o przetwarzaniu danych osobowych. Obowiązek ten powoduje jednak obciążenia administracyjne i finansowe i nie w każdym przypadku przyczynia się do ochrony danych osobowych. Z tego względu należałoby znieść ten ogólny obowiązek zawiadomienia i zastąpić go skutecznymi procedurami i mechanizmami, które zamiast tego koncentrowałyby się na operacjach przetwarzania, które mogą stwarzać określone ryzyko dla praw i wolności podmiotów danych, ze względu na swój charakter, zakres lub cele. W takich przypadkach administrator lub podmiot przetwarzający powinni przeprowadzić ocenę skutków w zakresie ochrony danych przed przetwarzaniem, która powinna w szczególności obejmować przewidywane środki, gwarancje i mechanizmy mające na celu zapewnienie ochrony danych osobowych oraz wykazanie zgodności z niniejszym rozporządzeniem.

(71)  Powinno to w szczególności mieć zastosowanie do nowo ustanowionych wielkoskalowych zbiorów danych, które mają na celu przetwarzanie znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogłyby mieć wpływ na dużą liczbę podmiotów danych.

(71a)  Oceny skutków są niezbędnym centralnym elementem wszelkich zrównoważonych ram ochrony danych, gdyż dzięki nim przedsiębiorstwa są od samego początku świadome wszelkich możliwych konsekwencji prowadzonych przez nie operacji przetwarzania danych. Jeżeli oceny skutków są starannie przeprowadzane, prawdopodobieństwo operacji naruszającej ochronę danych lub ochronę prywatności może zostać zasadniczo ograniczone. Ocena skutków w zakresie ochrony danych powinna konsekwentnie uwzględniać cały cykl zarządzania danymi osobowymi od ich zebrania, przez przetwarzanie, do ich usunięcia, opisując przy tym szczegółowo planowane operacje przetwarzania, ryzyko dla praw i wolności podmiotów danych, środki przewidywane w celu sprostania ryzyku, gwarancje, środki bezpieczeństwa i mechanizmy mające na celu zapewnienie zgodności z niniejszym rozporządzeniem. [Popr. 44]

(71b)  Administratorzy powinni skupić się na ochronie danych osobowych w całym cyklu życia danych – od ich zebrania, przez przetwarzanie, do ich usunięcia – inwestując od samego początku w zrównoważone ramy zarządzania danymi, a następnie wprowadzając kompleksowy mechanizm zgodności. [Popr. 45]

(72)  W niektórych okolicznościach może być rozsądne i korzystne, by temat oceny skutków w zakresie ochrony danych był szerszy niż tylko pojedynczy projekt, na przykład gdy organy lub podmioty publiczne zamierzają ustanowić wspólną aplikację lub platformę służącą do przetwarzania lub gdy kilku administratorów planuje wprowadzić wspólną aplikację lub środowisko przetwarzania obejmujące sektor lub segment przemysłu lub do celów powszechnie stosowanej działalności międzysektorowej.

(73)  Ocenę skutków w zakresie ochrony danych powinien przeprowadzić organ publiczny lub podmiot publiczny, o ile takiej oceny nie dokonano do tej pory w kontekście przyjęcia przepisów prawa krajowego, na których opiera się wykonanie zadań organu publicznego lub podmiotu publicznego i które regulują szczególną operację przetwarzania lub zestaw omawianych operacji. [Popr. 46]

(74)  Jeśli ocena skutków w zakresie ochrony danych wykaże, że operacje przetwarzania wiążą się z wysokim poziomem konkretnych ryzyk konkretnego ryzyka dla praw i wolności podmiotów danych, takich takiego jak pozbawienie osób fizycznych przysługującego im prawa lub korzystanie z konkretnych nowych technologii, przed rozpoczęciem operacji należy zasięgnąć opinii inspektora ochrony danych lub organu nadzorczego na temat ryzykownego przetwarzania, które mogłoby być niezgodne z niniejszym rozporządzeniem oraz przedstawić propozycje naprawienia tej sytuacji. Opinii organu nadzorczego należy zasięgnąć również w trakcie przygotowywania środka ustawodawczego przez parlament narodowy lub środka opartego na takim środku prawnym, który określa charakter przetwarzania danych oraz daje odpowiednie gwarancje. [Popr. 47]

(74a)  Oceny skutków mogą być pomocne jedynie wtedy, gdy administratorzy dopilnują spełnienia obietnic początkowo w nich poczynionych. Administratorzy danych powinni w związku z tym dokonywać okresowych przeglądów pod kątem zgodności z zasadami ochrony danych w celu wykazania, że stosowane mechanizmy przetwarzania danych są zgodne z zapewnieniami sformułowanymi w ocenie skutków w zakresie ochrony danych. Przegląd ten powinien również wykazać zdolność administratora danych do respektowania niezależnych wyborów dokonanych przez podmioty danych. Ponadto w przypadku, gdy w wyniku przeglądu wykazane zostaną niezgodności, należy je podkreślić oraz przedstawić zalecenia dotyczące sposobu osiągnięcia pełnej zgodności. [Popr. 48]

(75)  Jeśli przetwarzanie odbywa się w sektorze publicznym lub jeśli przetwarzanie w sektorze prywatnym prowadzi duże przedsiębiorstwo odnosi się do ponad 5000 podmiotów danych w ciągu 12 miesięcy, lub jeśli główna działalność przedsiębiorstwa, niezależnie od jego wielkości, obejmuje operacje przetwarzania dotyczące danych wrażliwych lub operacje przetwarzania, które wymagają regularnego i systematycznego monitorowania, osoba trzecia powinna wspomagać administratora lub podmiot przetwarzający w monitorowaniu zgodności, na poziomie wewnętrznym, z niniejszym rozporządzeniem. Określając, czy przetwarzane są dane dotyczące dużej liczby podmiotów danych, nie powinno się uwzględniać danych zarchiwizowanych, które są ograniczone w ten sposób, że nie podlegają normalnemu dostępowi do danych ani operacjom przetwarzania prowadzonym przez administratora oraz nie mogą być już zmieniane. Taki inspektor ochrony danych, który może być pracownikiem administratora, powinien być w stanie niezależnie wykonywać swoje obowiązki i zadania oraz korzystać ze specjalnej ochrony przed odwołaniem z funkcji. Ostateczna odpowiedzialność powinna nadal spoczywać na kierownictwie danej organizacji. Opinii inspektora ochrony danych należy zasięgnąć w szczególności przed zaprojektowaniem, zamówieniem, opracowaniem i ustanowieniem systemów automatycznego przetwarzania danych osobowych, aby zapewnić zgodność z zasadami ochrony prywatności już w fazie projektowania oraz domyślnej ochrony prywatności. [Popr. 49]

(75a)  Inspektor ochrony danych powinien mieć co najmniej następujące kwalifikacje: obszerną wiedzę na temat treści i stosowania prawa o ochronie danych, w tym na temat technicznych i organizacyjnych środków i procedur; znajomość wymogów technicznych odnoszących się do ochrony prywatności w fazie projektowania, do domyślnej ochrony prywatności oraz do bezpieczeństwa danych; wiedzę branżową odpowiadającą wielkości działalności administratora lub podmiotu przetwarzającego oraz poufnemu charakterowi danych, które mają być przetwarzane; umiejętność prowadzenia inspekcji, konsultacji, dokumentacji i analizowania plików dziennika; umiejętność współpracy z przedstawicielami pracowników. Administrator powinien umożliwiać inspektorowi ochrony danych udział w zaawansowanych szkoleniach mających na celu utrzymanie poziomu specjalistycznej wiedzy niezbędnej do wykonywania jego obowiązków. Wyznaczenie do pełnienia funkcji inspektora ochrony danych nie musi wymagać pracy danego pracownika w pełnym wymiarze. [Popr. 50]

(76)  Zrzeszenia lub inne organy reprezentujące różne kategorie administratorów należy zachęcać do sporządzenia kodeksów postępowania, po konsultacji z przedstawicielami pracowników, w granicach niniejszego rozporządzenia, by ułatwiać skuteczne stosowanie niniejszego rozporządzenia, uwzględniając szczególny charakter przetwarzania prowadzonego w niektórych sektorach. Kodeksy takie powinny ułatwić branży zachowanie zgodności z niniejszym rozporządzeniem. [Popr. 51]

(77)  By zwiększyć przejrzystość i zgodność z niniejszym rozporządzeniem, należy zachęcać do ustanowienia mechanizmów certyfikacji oraz wprowadzenia pieczęci i standaryzowanych oznaczeń w zakresie ochrony danych, umożliwiając w ten sposób podmiotom danych szybką, wiarygodną i weryfikowalną ocenę poziomu ochrony danych odnośnych produktów i usług. Należy ustanowić „europejską pieczęć w zakresie ochrony danych” na szczeblu europejskim, aby zapewnić zaufanie wśród podmiotów danych, pewność prawa dla administratorów, a jednocześnie promować europejskie standardy ochrony danych poza UE przez ułatwienie pozaeuropejskim przedsiębiorstwom dostępu do rynków europejskich po przejściu procedury certyfikacji. [Popr. 52]

(78)  Transgraniczny przepływ danych osobowych jest koniecznym warunkiem rozwoju handlu międzynarodowego i współpracy międzynarodowej. Zwiększenie tego przepływu wiąże się z nowymi wyzwaniami i problemami w zakresie ochrony danych osobowych. Przekazując dane osobowe z Unii do państw trzecich lub organizacji międzynarodowych, nie należy jednak zmniejszać poziomu ochrony osób fizycznych gwarantowanego w Unii na mocy niniejszego rozporządzenia. W każdym razie przekazywanie danych do państw trzecich może odbywać się jedynie w pełnej zgodności z niniejszym rozporządzeniem.

(79)  Niniejsze rozporządzenie nie narusza postanowień umów międzynarodowych zawartych między Unią a państwami trzecimi, regulujących przekazywanie danych osobowych, przewidujących odpowiednie gwarancje dla podmiotów danych zapewaniające dostateczny poziom ochrony podstawowych praw obywateli. [Popr. 53]

(80)  Komisja może podjąć decyzję, która będzie obowiązywać w całej Unii, że niektóre państwa trzecie lub też jakieś terytorium lub sektor, w którym odbywa się przetwarzanie danych w państwie trzecim, bądź organizacja międzynarodowa oferują odpowiedni poziom ochrony danych, gwarantując tym samym pewność prawną i jednolitość w całej Unii, jeśli chodzi o państwa trzecie lub organizacje międzynarodowe uważane za zapewniające taki poziom ochrony. W takich przypadkach przekazywanie danych osobowych do tych państw może odbywać się bez potrzeby uzyskania dalszego zezwolenia. Komisja może także zdecydować, wcześniej informując o tym państwo trzecie i przedstawiając mu kompletne uzasadnienie, o odwołaniu takiej decyzji. [Popr. 54]

(81)  Zgodnie z podstawowymi wartościami, na których opiera się Unia, w szczególności ochroną praw człowieka, w swej ocenie państwa trzeciego Komisja powinna wziąć pod uwagę sposób, w jaki dane państwo trzecie przestrzega zasad praworządności, dostępu do wymiaru sprawiedliwości, a także międzynarodowych norm i standardów ochrony praw człowieka.

(82)  Komisja może również uznać, że państwo trzecie lub terytorium bądź sektor, w którym odbywa się przetwarzanie danych w państwie trzecim, albo organizacja międzynarodowa nie oferują odpowiedniego poziomu ochrony danych. Wszelkie przepisy, które wymagają dostępu pozaterytorialnego do danych osobowych w Unii bez zezwolenia na mocy prawa państwa członkowskiego lub Unii, należy uznawać za świadczące o braku odpowiedniego poziomu ochrony danych. W związku z tym przekazywanie danych osobowych do tego państwa trzeciego powinno być zakazane. W takim przypadku należałoby przewidzieć możliwość odbywania konsultacji między Komisją a tymi państwami trzecimi lub organizacjami międzynarodowymi. [Popr. 55]

(83)  W braku decyzji stwierdzającej odpowiedni poziom ochrony administrator lub podmiot przetwarzający powinni podjąć środki mające na celu zrekompensowanie braku ochrony w państwie trzecim poprzez zaoferowanie podmiotowi danych odpowiednich gwarancji. Takie odpowiednie gwarancje mogą polegać na skorzystaniu z wiążących reguł korporacyjnych, standardowych klauzul ochrony danych przyjętych przez Komisję, standardowych klauzul ochrony danych przyjętych przez organ nadzorczy, lub klauzul umownych dopuszczonych przez organ nadzorczy lub innych właściwych i proporcjonalnych środków uzasadnionych w świetle wszystkich okoliczności związanych z jedną operacją przekazania danych lub zestawem takich operacji przekazania, o ile zezwoli na to organ nadzorczy. Te odpowiednie gwarancje powinny zapewniać poszanowanie praw podmiotów danych w stopniu odpowiednim do przetwarzania wewnątrz UE, w szczególności w kwestiach takich jak zasada celowości, prawo dostępu, poprawianie, usuwanie danych i występowanie o odszkodowanie. Gwarancje te powinny w szczególności zapewniać przestrzeganie zasad przetwarzania danych osobowych, chronić prawa podmiotów danych oraz przewidywać skuteczne mechanizmy dochodzenia roszczeń, zapewniać przestrzeganie zasad ochrony danych w fazie projektowania i domyślnej ochrony danych, zapewniać istnienie inspektora ochrony danych. [Popr. 56]

(84)  Możliwość korzystania przez administratora lub podmiot przetwarzający ze standardowych klauzul ochrony danych przyjętych przez Komisję lub organ nadzorczy nie powinna uniemożliwiać włączenia przez nich standardowych klauzul ochrony danych do szerszej umowy ani dodania innych klauzul lub dodatkowych gwarancji, pod warunkiem że nie są one sprzeczne, bezpośrednio lub pośrednio, ze standardowymi klauzulami umownymi przyjętymi przez Komisję lub organ nadzorczy lub też nie naruszają podstawowych praw lub wolności podmiotów danych. Standardowe klauzule dotyczące ochrony danych przyjęte przez Komisję mogłyby obejmować różne sytuacje, to jest przekazywanie przez administratorów mających siedzibę w Unii do administratorów poza Unią oraz przez administratorów mających siedzibę w Unii do podmiotów przetwarzających – w tym podwykonawców podmiotów przetwarzających – mających siedzibę poza Unią. Należy zachęcać administratorów i podmioty przetwarzające do zapewnienia jeszcze mocniejszych gwarancji za pomocą dodatkowych zobowiązań umownych, uzupełniających standardowe klauzule dotyczące ochrony. [Popr. 57]

(85)  Grupa korporacyjna powinna móc korzystać z zatwierdzonych wiążących reguł korporacyjnych do międzynarodowego przekazywania danych z Unii do organizacji w ramach tej samej korporacyjnej grupy przedsiębiorstw, o ile takie reguły korporacyjne obejmują wszystkie istotne zasady i egzekwowalne prawa mające na celu zapewnienie odpowiednich standardów gwarancji dotyczących przekazywania lub kategorii przekazywania danych osobowych. [Popr. 58]

(86)  Należy przewidzieć możliwość przekazywania danych w niektórych okolicznościach, jeżeli podmiot danych wyraził na to zgodę, jeżeli przekazanie danych jest konieczne w związku z umową lub roszczeniem prawnym, jeżeli wymagać tego będzie ochrona ważnego interesu publicznego wskazanego przez Unię lub państwo członkowskie lub w przypadku przekazania danych z rejestru utworzonego na mocy przepisów prawa i przeznaczonego do wglądu dla ogółu społeczeństwa lub osób wykazujących słuszny uzasadniony interes. W tym ostatnim przypadku przekazanie nie powinno obejmować całości danych lub całych kategorii danych z rejestru oraz, jeżeli rejestr jest przeznaczony do wglądu dla osób wykazujących słuszny uzasadniony interes, przekazanie danych powinno nastąpić jedynie na wniosek tych osób lub wówczas, gdy osoby te mają być odbiorcami, przy pełnym uwzględnieniu interesów i praw podstawowych podmiotu danych. [Popr. 59]

(87)  Odstępstwa te powinny mieć w szczególności zastosowanie do przekazywania danych wymaganego i niezbędnego do ochrony istotnego interesu publicznego, na przykład w przypadkach przesyłania danych za granicę między organami ds. konkurencji, organami podatkowymi lub administracją celną, finansowymi organami nadzorczymi, między służbami odpowiedzialnymi za sprawy ubezpieczeń społecznych lub za zdrowie publiczne lub do właściwych organów publicznych odpowiedzialnych za zapobieganie przestępstwom, ich ściganie, wykrywanie lub i karanie, w tym za zapobieganie praniu pieniędzy i za walkę z finansowaniem terroryzmu. Przekazywanie danych osobowych należy uznać za zgodne z prawem również wtedy, gdy jest niezbędne w celu ochrony interesu, który ma istotne znaczenie dla życia podmiotu danych lub innej osoby, a podmiot danych nie jest w stanie udzielić zgody. Przekazywanie danych osobowych związane z takim istotnym interesem publicznym powinno mieć charakter sporadyczny. W każdym przypadku należy przeprowadzić dokładną ocenę wszystkich okoliczności takiego przekazywania. [Popr. 60]

(88)  Przekazywanie, którego nie można określić jako częste lub masowe, mogłoby także być możliwe ze względu na słuszne interesy administratora lub podmiotu przetwarzającego, przy założeniu, że dokonali oni oceny wszystkich okoliczności związanych z przekazaniem danych. W przypadku przetwarzania do celów dokumentacji, statystyki i badań naukowych należy wziąć pod uwagę słuszne oczekiwania społeczeństwa w zakresie zwiększenia wiedzy. [Popr. 61]

(89)  W każdym przypadku, jeśli Komicja Komisja nie podjęła decyzji stwierdzającej odpowiedni poziomu poziom ochrony danych w państwie trzecim, administrator lub podmiot przetwarzający powinni skorzystać z rozwiązań, które dają podmiotom danych prawnie wiążącą gwarancję, że będą one nadal podlegać podstawowym prawom i gwarancjom w zakresie przetwarzania ich danych w Unii, także po przekazaniu danych, o ile przetwarzanie nie jest masowe, powtarzalne ani strukturalne. Taka gwarancja powinna obejmować odszkodowanie finansowe w przypadkach utraty, niedozwolonego dostępu lub przetwarzania danych oraz obowiązek udzielenia wszelkich szczegółowych informacji dotyczących dostępu organów publicznych do danych w państwie trzecim, niezależnie od przepisów krajowych. [Popr. 62]

(90)  Niektóre państwa trzecie uchwalają ustawy, rozporządzenia i inne instrumenty prawne, które mają bezpośrednio regulować działalność w zakresie przetwarzania danych osób fizycznych i prawnych podlegających jurysdykcji państw członkowskich. Ekstraterytorialne stosowanie tych ustaw, rozporządzeń i innych instrumentów prawnych może naruszać prawo międzynarodowe i uniemożliwiać osiągnięcie celu ochrony osób fizycznych zagwarantowanej przez Unię w niniejszym rozporządzeniu. Przekazywanie nie powinno być dopuszczalne, jeśli nie są spełnione warunki przekazywania danych do państw trzecich wskazane w niniejszym rozporządzeniu. Może to może między innymi dotyczyć sytuacji, w której ujawnienie jest niezbędne ze względu na ważny interes publiczny uznany w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator. Warunki istnienia ważnego interesu publicznego powinny zostać następnie określone przez Komisję w akcie delegowanym. W przypadkach gdy administratorzy lub podmioty przetwarzające stają wobec konfliktu związanego z wymogami zgodności między jurysdykcją Unii a jurysdykcją państwa trzeciego, Komisja powinna zapewnić, aby przepisy Unii miały zawsze pierwszeństwo. Komisja powinna zapewnić administratorowi i podmiotowi przetwarzającemu wytyczne i wsparcie, a także powinna dążyć do rozwiązania konfliktów jurysdykcji z danym państwem trzecim. [Popr. 63]

(91)  Przenoszenie danych osobowych ponad granicami może wiązać się z jeszcze większym ryzykiem niemożności wykonywania przez osoby fizyczne praw do ochrony danych osobowych, w szczególności by chronić się przed niezgodnym z prawem wykorzystaniem lub ujawnieniem tych informacji. Organy nadzorcze mogą jednocześnie uznać, że nie są w stanie rozpatrywać skarg lub prowadzić dochodzeń związanych z działalnością, która ma miejsce poza granicami ich państwa. Ich wysiłki zmierzające do wspólnej pracy w kontekście transgranicznym mogą także być hamowane przez niewystarczające uprawnienia w zakresie zapobiegania powyżej opisanym zjawiskom lub zaradzenia im, niespójne systemy prawne oraz przeszkody praktyczne, takie jak ograniczone środki. Z tego względu należy promować ściślejszą współpracę między organami nadzorującymi ochronę danych, by pomagać im w wymianie informacji i prowadzeniu dochodzeń z ich międzynarodowymi odpowiednikami.

(92)  Utworzenie w państwach członkowskich organów nadzorczych, wykonujących swoje funkcje w sposób całkowicie niezależny, jest zasadniczym elementem ochrony osób fizycznych w zakresie przetwarzania danych osobowych. Państwa członkowskie mogą ustanowić więcej niż jeden organu nadzorczy, by odzwierciedlić swoją strukturę konstytucyjną, organizacyjną i administracyjną. Organ dysponuje odpowiednimi zasobami finansowymi i kadrowymi umożliwiającymi sprawowanie jego funkcji w pełnym zakresie, z uwzględnieniem liczby ludności oraz liczby operacji przetwarzania danych osobowych. [Popr. 64]

(93)  Jeśli państwo członkowskie ustanowi kilka organów nadzorczych, powinno także w swoich przepisach ustanowić mechanizmy zapewnienia skutecznego udziału tych organów nadzorczych w mechanizmie zgodności. Takie państwo członkowskie powinno w szczególności wskazać organ nadzorczy, który działa jako pojedynczy punkt kontaktowy do celów skutecznego udziału tych organów w omawianym mechanizmie, by zapewnić sprawną i płynną współpracę z innymi organami nadzorczymi, Europejską Radą Ochrony Danych i Komisją.

(94)  Każdy organ nadzorczy powinien zostać wyposażony w odpowiednie zasoby finansowe i ludzkie, ze szczególnym uwzględnieniem zapewnienia odpowiednich umiejętności technicznych i prawniczych personelu, a także w pomieszczenia i infrastrukturę, niezbędne do skutecznego wykonywania swoich zadań, w tym zadań związanych ze wzajemną pomocą i współpracą z innymi organami nadzorczymi w całej Unii. [Popr. 65]

(95)  Warunki ogólne członkostwa w organie nadzorczym powinny być określone w przepisach prawa każdego państwa członkowskiego i powinny w szczególności przewidywać, iż członkowie tego organu powinni być wyznaczeni przez parlament albo lub przez rząd państwa członkowskiego, przy zachowaniu należytej staranności w zakresie ograniczania do minimum możliwości wpływu politycznego, oraz obejmować zasady dotyczące kwalifikacji tych członków, unikania przez nich konfliktów interesów i ich stanowiska tych członków. [Popr. 66]

(96)  Organy nadzorcze powinny monitorować stosowanie przepisów w sposób zgodny z niniejszym rozporządzeniem oraz przyczyniać się do jego spójnego stosowania w całej Unii, w celu ochrony osób fizycznych w zakresie przetwarzania ich danych osobowych oraz ułatwienia swobodnego przepływu danych osobowych w ramach rynku wewnętrznego. W tym celu organy nadzorcze powinny współpracować ze sobą oraz z Komisją.

(97)  Jeśli przetwarzanie danych osobowych w kontekście działalności prowadzonej w siedzibie administratora lub podmiotu przetwarzającego w Unii odbywa się w kilku państwach, jeden organ nadzorczy powinien być właściwy w zakresie monitorowania działalności pełnić rolę pojedynczego punktu kontaktowego oraz organu głównego odpowiedzialnego za nadzorowanie administratora lub podmiotu przetwarzającego w całej Unii oraz podejmowania podejmowanie odnośnych decyzji, by zwiększyć spójne stosowanie, zagwarantować pewność prawną oraz ograniczyć obciążenie administracyjne administratorów i podmiotów przetwarzających. [Popr. 67]

(98)  Właściwym Głównym organem, zapewniającym taki punkt kompleksowej obsługi, powinien być organ nadzorczy państwa członkowskiego, w którym administrator lub podmiot przetwarzający ma siedzibę główną lub przedstawiciela. Europejska Rada Ochrony Danych może wyznaczyć organ główny za pomocą mechanizmu zgodności w określonych przypadkach na wniosek właściwego organu. [Popr. 68]

(98a)  Podmioty danych, których dane osobowe są przetwarzane przez administratora danych lub podmiot przetwarzający w innym państwie członkowskim, powinny mieć możliwość wniesienia skargi do wybranego przez siebie organu nadzorczego. Główny organ do spraw ochrony danych powinien koordynować swoją pracę z pracą innych zaangażowanych organów. [Popr. 69]

(99)  Niniejsze rozporządzenie ma zastosowanie także do działalności sądów krajowych, natomiast właściwość organów nadzorczych nie powinna obejmować przetwarzania danych osobowych wykorzystywanych przez sądy w ramach sprawowania wymiaru sprawiedliwości, by chronić niezawisłość sędziów podczas wykonywania przez nich zadań sądowych. Wyjątek ten powinien być jednak ściśle ograniczony do rzeczywistych działań sądowych w sprawach sądowych i nie powinien mieć zastosowania do innych działań, w których sędziowie mogą brać udział, zgodnie z prawem krajowym.

(100)  By zapewnić spójne monitorowanie i wykonanie niniejszego rozporządzenia w całej Unii, organy nadzorcze powinny mieć w każdym państwie członkowskim te same obowiązki i faktyczne uprawnienia, w tym uprawnienie do przeprowadzania dochodzenia i prawnie wiążącej interwencji, podejmowania decyzji i nakładania sankcji, w szczególności w sprawach skarg od osób fizycznych oraz do udziału w postępowaniu sądowym. Uprawnienia dochodzeniowe organów nadzorczych, jeśli chodzi o dostęp do pomieszczeń, powinny być wykonywane zgodnie z prawem unijnym i prawem krajowym. W szczególności dotyczy to wymogu uprzedniego uzyskania zezwolenia sądu.

(101)  Każdy organ nadzorczy powinien rozpatrywać skargi złożone przez podmiot danych lub zrzeszenie działające w interesie publicznym oraz przeprowadzić stosowne dochodzenie. Dochodzenie na podstawie skargi powinno być prowadzone, z zastrzeżeniem kontroli sądowej, w zakresie odpowiednim do konkretnej sprawy. Organ nadzorczy powinien poinformować podmiot danych lub zrzeszenie o postępach i wyniku skargi w rozsądnym terminie. Jeśli dana sprawa wymaga prowadzenia dalszego dochodzenia lub koordynacji z innym organem nadzorczym, podmiot danych powinien być o tym poinformowany. [Popr. 70]

(102)  Działania w zakresie podnoszenia świadomości prowadzone przez organy nadzorcze i skierowane do opinii publicznej powinny obejmować szczególne środki adresowane do administratorów i podmiotów przetwarzających, w tym mikroprzedsiębiorców oraz małych i średnich przedsiębiorców, a także podmiotów danych.

(103)  Organy nadzorcze powinny wspierać się wzajemnie w wykonywaniu swoich zadań oraz świadczyć sobie wzajemną pomoc, by zapewnić spójne stosowanie i egzekwowanie przepisów niniejszego rozporządzenia na rynku wewnętrznym.

(104)  Każdy organ nadzorczy powinien mieć prawo udziału w operacjach prowadzonych wspólnie przez organy nadzorcze. Organ nadzoru, który otrzyma stosowny wniosek, powinien mieć obowiązek udzielenia odpowiedzi w ściśle określonym terminie.

(105)  By zapewnić spójne stosowanie przepisów niniejszego rozporządzenia w całej Unii, należy ustanowić mechanizm zgodności w zakresie współpracy między organami nadzorczymi i Komisją. Mechanizm ten powinien mieć w szczególności zastosowanie tam, gdzie organ nadzorczy zamierza podjąć środek w zakresie operacji przetwarzania powiązanych z oferowaniem towarów lub usług podmiotom danych w kilku państwach członkowskich, lub też monitorowaniem podmiotów danych, lub który mógłby mieć istotny wpływ na swobodny przepływ danych. Powinien także mieć zastosowanie wtedy, gdy organ nadzorczy lub Komisja wnioskują o rozwiązanie danej kwestii w ramach mechanizmu zgodności. Ponadto podmioty danych powinny mieć prawo wymagać zgodności, jeżeli uważają one, że środek zastosowany przez organ ochrony danych państwa członkowskiego nie spełnił tego kryterium. Mechanizm ten powinien pozostawać bez uszczerbku dla środków, które Komisja może podjąć w ramach wykonywania swoich uprawnień na mocy Traktatu. [Popr. 71]

(106)  W ramach stosowania mechanizmu zgodności Europejska Rada Ochrony Danych powinna, w określonym terminie, wydać opinię, o ile tak postanowią jej członkowie w głosowaniu zwykłą większością głosów lub jeśli zażądają tego organ nadzorczy lub Komisja.

(106a)  Aby zapewnić spójne stosowanie niniejszego rozporządzenia, Europejska Rada Ochrony Danych może w indywidualnych przypadkach przyjąć decyzję wiążącą dla właściwych organów nadzorczych. [Popr. 72]

(107)  By zapewnić zgodność z przepisami niniejszego rozporządzenia, Komisja może przyjąć opinię lub podjąć decyzję w tej sprawie, żądając od organu nadzorczego zawieszenia tego projektu środka. [Popr. 73]

(108)  Może zaistnieć nagła potrzeba działania w celu ochrony interesów podmiotów danych, w szczególności gdy istnieje niebezpieczeństwo, że egzekwowanie prawa przysługującego podmiotowi danych może być istotnie utrudnione. Z tego względu organ nadzorczy, stosując mechanizm zgodności, powinien być w stanie przyjąć środki tymczasowe o określonym czasie obowiązywania.

(109)  Stosowanie tego mechanizmu powinno być warunkiem ważności prawnej i egzekwowania odnośnej decyzji przez organ nadzorczy. W innych przypadkach o charakterze transgranicznym wzajemna współpraca i wspólne dochodzenia mogą być prowadzone przez zainteresowane organy nadzorcze na zasadzie dwustronnej lub wielostronnej bez stosowania mechanizmu zgodności.

(110)  Na szczeblu Unii należy ustanowić Europejską Radę Ochrony Danych. Powinna ona zastąpić Grupę Roboczą ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych powołaną na mocy dyrektywy 95/46/WE. W jej skład powinni wchodzić szefowie organów nadzorczych wszystkich państw członkowskich oraz Europejski Inspektor Ochrony Danych. Komisja powinna uczestniczyć w jej działaniach. Europejska Rada Ochrony Danych powinna przyczyniać się do spójnego stosowania przepisów niniejszego rozporządzenia na terytorium całej Unii, w tym poprzez doradzanie Komisji instytucjom Unii i promowanie współpracy organów nadzorczych na terytorium całej Unii, co obejmuje koordynację wspólnych operacji. Wypełniając swoje zadania, Europejska Rada Ochrony Danych powinna działać niezależnie. Europejska Rada Ochrony Danych powinna zintensyfikować dialog z zainteresowanymi stronami, takimi jak zrzeszenia podmiotów danych, organizacje konsumenckie, administratorzy danych i inne zainteresowane podmioty oraz eksperci. [Popr. 74]

(111)  Każdy podmiotPodmioty danych powinien powinny mieć prawo do złożenia skargi do organu nadzorczego w dowolnym państwie członkowskim oraz prawo do skutecznego sądowego środka ochrony prawnej zgodnie z art. 47 Karty, jeśli uzna uznają, że jego ich prawa wynikające z niniejszego rozporządzenia są naruszane lub jeśli organ nadzorczy nie reaguje na skargę lub nie podejmuje działania, pomimo iż jest ono niezbędne w celu ochrony praw podmiotu danych. [Popr. 75]

(112)  Każdy organ, organizacja Wszelkie organy, organizacje lub zrzeszenie zrzeszenia, które ma na celu ochronę praw i interesów podmiotów danych w zakresie ochrony ich danych działają w interesie publicznym i które zostało zostały utworzone zgodnie z prawem państwa członkowskiego, powinno powinny mieć prawo do złożenia skargi do organu nadzorczego w imieniu podmiotów danych za ich zgodą lub wykonania prawa do sądowego środka ochrony prawnej w imieniu podmiotów , z upoważnienia podmiotu danych, lub też złożenia, niezależnie od skargi podmiotu danych, własnej skargi, jeśli uzna uznają, iż doszło do naruszenia ochrony danych osobowych przepisów niniejszego rozporządzenia. [Popr. 76]

(113)  Każda osoba fizyczna lub prawna powinna mieć prawo do sądowego środka ochrony prawnej przeciwko dotyczącej jej decyzji organu nadzorczego. Postępowanie przeciwko organowi nadzorczemu należy wszcząć przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę.

(114)  By wzmocnić ochronę sądową podmiotu danych w sytuacjach, w których gdy właściwy organ nadzorczy ma siedzibę w innym państwie członkowskim niż to, w którym mieszka podmiot danych, podmiot danych może zwrócić się do podmiotu, organizacji upoważnić podmiot, organizację lub zrzeszenia mającego na celu ochronę praw i interesów podmiotu danych w zakresie ochrony jego danych z wnioskiem o wszczęcie w jego imieniu zrzeszenie działające w interesie publicznym do wszczęcia postępowania przeciwko temu organowi nadzorczemu we właściwym sądzie innego państwa członkowskiego. [Popr. 77]

(115)  W sytuacji, w której właściwy organ nadzorczy mający siedzibę w innym państwie członkowskim nie podejmuje działania lub podjął niewystarczające środki w odniesieniu do skargi, podmiot danych może zwrócić się do organu nadzorczego w państwie członkowskim, w którym ma miejsce zwykłego pobytu, o wszczęcie postępowania przeciwko temu organowi nadzorczemu we właściwym sądzie innego państwa członkowskiego. Nie dotyczy do osób mieszkających poza UE. Organ nadzorczy, do którego złożono wniosek, może podjąć decyzję, z zastrzeżeniem kontroli sądowej, czy przyjęcie wniosku jest właściwe. [Popr. 78]

(116)  W przypadku postępowania przeciwko administratorowi lub podmiotowi przetwarzającemu, powód powinien mieć możliwość wniesienia pozwu do sądu w państwie członkowskim, w którym administrator lub podmiot przetwarzający mają siedzibę lub – w razie zamieszkiwania w UE – w którym mieszka podmiot danych, chyba że administrator jest organem publicznym Unii lub państwa członkowskiego działającym w ramach wykonywania swoich uprawnień publicznych. [Popr. 79]

(117)  Jeśli istnieją przesłanki, by sądzić, że w sądach w różnych państwach członkowskich toczą się równoległe postępowania, sądy powinny być zobowiązane do kontaktowania się ze sobą. Sądy powinny mieć możliwość zawieszenia postępowania, w sytuacji gdy w innym państwie członkowskim toczy się postępowanie równoległe. W celu zapewnienia skuteczności postępowań sądowych państwa członkowskie powinny zagwarantować szybkie przyjmowanie środków mających zaradzić lub zapobiec naruszeniom niniejszego rozporządzenia.

(118)  Szkoda finansowa lub niefinansowa, jaką dana osoba może ponieść wskutek niezgodnego z prawem przetwarzania danych, powinna zostać naprawiona przez administratora lub podmiot przetwarzający, który może być zwolniony z odpowiedzialności w przypadku dowiedzenia tylko wtedy, gdy udowodni, że szkoda nie powstała z jego winy, szczególnie wówczas gdy udowodni winę podmiotu danych lub w przypadku siły wyższej. [Popr. 80]

(119)  Na wszystkie osoby fizyczne i prawne, która nie przestrzegają niniejszego rozporządzenia, niezależnie od tego czy działają na podstawie prawa prywatnego czy publicznego, powinny zostać nałożone kary. Państwa członkowskie powinny dopilnować, by kary były skuteczne, proporcjonalne i odstraszające, oraz podjąć wszelkie środki mające na celu wykonanie tych kar. Przepisy dotyczące kar powinny podlegać odpowiednim gwarancjom proceduralnym zgodnie z ogólnymi zasadami prawa Unii i Karty, w tym z zasadami dotyczącymi prawa do skutecznego środka prawnego i należytego procesu oraz z zasadą ne bis in idem. [Popr. 81]

(119a)  Stosując kary, państwa członkowskie powinny w pełni respektować odpowiednie gwarancje proceduralne, w tym prawo do skutecznego środka prawnego i należytego procesu oraz zasadę ne bis in idem. [Popr. 82]

(120)  W celu wzmocnienia i zharmonizowania sankcji administracyjnych za naruszenia przepisów niniejszego rozporządzenia, każdy organ nadzorczy powinien być uprawniony do nakładania sankcji administracyjnych. Niniejsze rozporządzenie powinno wymieniać te przestępstwa oraz wskazywać górną granicę wysokości grzywien administracyjnych, którą należy ustalić oddzielnie dla każdego przypadku, odpowiednio do danej sytuacji, ze szczególnym uwzględnieniem charakteru, wagi i czasu trwania naruszenia. Z mechanizmu zgodności można także korzystać do zniesienia różnic w stosowaniu sankcji administracyjnych.

(121)  Przetwarzanie danych osobowych wyłącznie w celach dziennikarskich lub w celu uzyskania wyrazu artystycznego lub literackiego powinno kwalifikować się do Gdy tylko to konieczne, należy przewidzieć zwolnienia z wymogów niektórych przepisów niniejszego rozporządzenia dotyczących przetwarzania danych osobowych lub odstępstwa od tych wymogów, by pogodzić prawo do ochrony danych osobowych z prawem do wolności wypowiedzi, a zwłaszcza prawem do uzyskiwania i udzielania informacji, co gwarantuje w szczególności art. 11 Karty. Powinno mieć to w szczególności zastosowanie do przetwarzania danych osobowych w dziedzinie techniki audiowizualnej oraz w archiwach danych i bibliotekach prasowych. Z tego względu państwa członkowskie powinny przyjąć środki ustawodawcze, które powinny określać wyjątki i odstępstwa konieczne do zapewnienia równowagi pomiędzy prawami podstawowymi. Państwa członkowskie powinny przyjąć takie wyjątki i odstępstwa, jeśli chodzi o zasady ogólne, prawa podmiotów danych, administratora i podmiot przetwarzający, przekazywanie danych do państw trzecich lub organizacji międzynarodowych, niezależne organy nadzorcze oraz , współpracę i zgodność oraz szczególne sytuacje dotyczące przetwarzania danych. Nie powinno to jednak powodować wprowadzenia przez państwa członkowskie wyjątków od innych przepisów rozporządzenia. W celu uwzględnienia znaczenia prawa do wolności wypowiedzi w każdym demokratycznym społeczeństwie, należy dokonać wykładni pojęć dotyczących tej wolności , takich jak szeroko rozumiane dziennikarstwo. Państwa członkowskie powinny zatem zaklasyfikować jako działalność „dziennikarską” do celów wyjątków i odstępstw określonych w niniejszym rozporządzeniu, w szerokim rozumieniu, aby objąć wszelką działalność, której przedmiotem celem jest ujawnianie opinii publicznej informacji, opinii lub pomysłów idei, niezależnie od nośnika wykorzystanego do ich przekazania, z uwzględnieniem również rozwoju technologicznego. Działalność ta nie powinna być ograniczona do agencji medialnych i może być podejmowana zarówno w celach dochodowych, jak i w celach niedochodowych. [Popr. 83]

(122)  Przetwarzanie danych osobowych dotyczących zdrowia, jako szczególnej kategorii danych, które zasługują na wyższy poziom ochrony, może być często uzasadnione wieloma względami przemawiającymi na korzyść poszczególnych osób i społeczeństwa jako całości, zwłaszcza w kontekście zapewnienia ciągłości transgranicznej opieki zdrowotnej. Z tego względu niniejsze rozporządzenie powinno przewidywać zharmonizowane warunki przetwarzania danych dotyczących zdrowia, z zastrzeżeniem szczególnych i odpowiednich gwarancji w celu ochrony podstawowych praw i danych osobowych osób fizycznych. Obejmuje to prawo osób fizycznych do dostępu do ich danych osobowych dotyczących zdrowia, na przykład danych w dokumentacji medycznej zawierających takie informacje, jak diagnoza, wyniki badań, oceny dokonywane przez lekarzy prowadzących leczenie oraz informacje na temat wszelkich stosowanych terapii lub przeprowadzonych zabiegów.

(122a)   Osoba przetwarzająca dane osobowe dotyczące stanu zdrowia powinna w miarę możliwości otrzymywać dane anonimowo lub pod pseudonimem, a wiedzę na temat tożsamości powinien posiadać jedynie lekarz ogólny lub specjalista, który zwrócił się z wnioskiem dotyczącym przetworzenia takich danych. [Popr. 84]

(123)  Przetwarzanie danych osobowych dotyczących zdrowia bez zgody podmiotu danych może być konieczne ze względu na interes publiczny w dziedzinie zdrowia publicznego. W tym kontekście „zdrowie publiczne” należy interpretować zgodnie z definicją w rozporządzeniu Parlamentu Europejskiego i Rady (WE) nr 1338/2008(11) Parlamentu Europejskiego i Rady z dnia 16 grudnia 2008 r. w sprawie statystyk Wspólnoty w zakresie zdrowia publicznego oraz zdrowia i bezpieczeństwa w pracy, według której oznacza ono wszystkie elementy związane ze zdrowiem, mianowicie stan zdrowia, w tym zachorowalność i niepełnosprawność, czynniki warunkujące stan zdrowia, potrzeby w zakresie opieki zdrowotnej, zasoby opieki zdrowotnej, oferowane usługi opieki zdrowotnej i powszechny dostęp do nich, opiekę zdrowotną, wydatki na opiekę zdrowotną i sposób jej finansowania oraz przyczyny zgonów. Takie przetwarzanie danych osobowych dotyczących zdrowia w celu realizacji interesu publicznego nie powinno skutkować przetwarzaniem danych do innych celów przez osoby trzecie, takie jak pracownicy, zakłady ubezpieczeń i banki. [Popr. 85]

(123a)   Przetwarzanie danych osobowych dotyczących zdrowia, które stanowią specjalną kategorię danych, może być potrzebne do celów historycznych bądź statystycznych lub do celów badań naukowych. W związku z tym niniejsze rozporządzenie przewiduje odstępstwo od wymogu zgody w przypadkach badań służących istotnemu interesowi publicznemu. [Popr. 86]

(124)  Zasady ogólne ochrony osób fizycznych w zakresie przetwarzania danych osobowych powinny mieć także zastosowanie w kontekście zatrudnienia i zabezpieczenia społecznego. Zatem w celu regulacji przetwarzania danych osobowych pracowników w kontekście zatrudnienia Państwa członkowskie powinny mieć możliwość, w granicach niniejszego rozporządzenia, przyjmowania w drodze ustawy przepisów szczególnych dotyczących przetwarzania regulacji przetwarzania danych osobowych pracowników w kontekście zatrudnienia oraz przetwarzania danych osobowych w kontekście zabezpieczenia społecznego zgodnie z zasadami i minimalnymi standardami określonymi w niniejszym rozporządzeniu. Jeżeli w danym państwie członkowskim przewidziano ustawową podstawę dla uregulowania spraw z zakresu stosunku zatrudnienia w drodze porozumienia między przedstawicielami pracowników i kierownictwem przedsiębiorstwa lub przedsiębiorstwa dominującego w grupie przedsiębiorstw (układ zbiorowy) lub na mocy dyrektywy Parlamentu Europejskiego i Rady 2009/38/WE1(12), porozumienie takie może również regulować przetwarzanie danych osobowych w sektorze kontekście zatrudnienia. [Popr. 87]

(125)  Zgodne z prawem przetwarzanie danych osobowych do celów dokumentacji, statystyki lub badań naukowych powinno także respektować inne odnośne przepisy, takie jak dotyczące prób klinicznych.

(125a)  Dane osobowe mogą być również przetwarzane następnie przez służby archiwistyczne, których głównym lub obowiązkowym zadaniem jest gromadzenie i przechowywanie archiwów, udzielanie o nich informacji, ich wykorzystywanie i upowszechnianie w interesie publicznym. Prawodawstwo państwa członkowskiego powinno godzić prawo do ochrony danych osobowych z przepisami dotyczącymi archiwów oraz publicznego dostępu do informacji administracyjnych. Państwa członkowskie powinny zachęcać do opracowywania, w szczególności przez Europejski Zespół ds. Archiwów, przepisów mających gwarantować poufność danych względem stron trzecich oraz autentyczność, integralność i właściwe przechowywanie danych. [Popr. 88]

(126)  Do celów niniejszego rozporządzenia badania naukowe powinny obejmować badania podstawowe, badania stosowane oraz badania finansowane ze środków prywatnych, a ponadto powinny uwzględniać cel Unii określony w art. 179 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej polegający na ustanowieniu Europejskiej Przestrzeni Badawczej. Przetwarzanie danych osobowych do celów historycznych bądź statystycznych lub do celów badań naukowych nie powinno skutkować przetwarzaniem danych osobowych do innych celów, chyba że odbywa się to za zgodą podmiotu danych lub na podstawie prawa Unii bądź państwa członkowskiego. [Popr. 89]

(127)  Jeśli chodzi o uprawnienia organów nadzorczych w zakresie uzyskania od administratora lub podmiotu przetwarzającego dostępu do danych osobowych oraz dostępu do ich pomieszczeń, państwa członkowskie mogą przyjąć w drodze ustawy, w granicach niniejszego rozporządzenia, przepisy szczególne mające na celu ochronę obowiązku zachowania tajemnicy służbowej lub innej równoważnej tajemnicy, w zakresie w jakim jest to konieczne, by pogodzić prawo do ochrony danych osobowych z obowiązkiem zachowania tajemnicy służbowej.

(128)  Niniejsze rozporządzenie szanuje status przyznany na mocy prawa krajowego kościołom i stowarzyszeniom lub wspólnotom religijnym w państwach członkowskich i nie narusza tego statusu, jak uznano w art. 17 Traktatu o funkcjonowaniu Unii Europejskiej. W związku z tym, jeśli kościół w państwie członkowskim stosuje, w momencie wejścia w życie niniejszego rozporządzenia, kompleksowe odpowiednie przepisy dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych, te obowiązujące przepisy powinny mieć zastosowanie, jeżeli zostaną dostosowane do niniejszego rozporządzenia i uznane za zgodne. Kościoły i stowarzyszenia religijne powinny być zobowiązane do ustanowienia całkowicie niezależnego organu nadzorczego. [Popr. 90]

(129)  By spełnić cele niniejszego rozporządzenia, mianowicie chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych, oraz by zagwarantować swobodny przepływ danych osobowych w Unii, należy przekazać Komisji uprawnienie do przyjmowania aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej. Akty delegowane powinny być w szczególności przyjmowane z poszanowaniem zgodności przetwarzania z prawem; określania kryteriów i warunków zgody dziecka, przetwarzania szczególnych kategorii danych; określania kryteriów i warunków wyraźnie przesadnych wniosków i nadmiernych opłat za wykonanie prawa podmiotu danych; kryteriów i wymogów dotyczących informacji przekazywanych podmiotowi danych oraz w zakresie prawa dostępu; uwzględnieniem określenia warunków piktograficznego przekazywania informacji prawa do bycia zapomnianym i do usunięcia danych; środków opartych na profilowaniu; kryteriów i wymogów w zakresie odpowiedzialności administratora, uwzględnienia danych już w fazie projektowania oraz ochrony danych jako opcji domyślnej; podmiotu przetwarzającego; kryteriów i wymogów w zakresie dokumentacji oraz bezpieczeństwa przetwarzania; kryteriów i wymogów w zakresie stwierdzenia naruszenia ochrony danych osobowych i zawiadomienia organu nadzorczego oraz warunków, w których naruszenie danych osobowych może niekorzystnie wpłynąć na podmiot danych; kryteriów i warunków operacji przetwarzania wymagających przeprowadzenia oceny skutków w zakresie ochrony danych; kryteriów i wymogów określenia wysokiego stopnia szczególnych zagrożeń, które wymagają uprzedniej konsultacji; wskazania i określenia zadań inspektora ochrony danych; kodeksów deklaracji, że kodeksy postępowania są zgodne z niniejszym rozporządzeniem; kryteriów i wymogów w zakresie mechanizmów certyfikacji; odpowiedniego poziomu ochrony przyznanej przez państwo trzecie bądź organizację międzynarodową; kryteriów i wymogów w zakresie przekazywania danych na podstawie wiążących reguł korporacyjnych; odstępstw dotyczących przetwarzania; sankcji administracyjnych; przetwarzania w celach zdrowotnych; oraz przetwarzania w kontekście zatrudnienia oraz przetwarzania do celów badań historycznych, statystycznych i naukowych. Szczególnie ważne jest, aby w czasie swoich prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, w szczególności z Europejską Radą Ochrony Danych. W trakcie przygotowywania i opracowywania aktów delegowanych Przygotowując i opracowując akty delegowane Komisja powinna zapewnić jednoczesne, terminowe i odpowiednie przekazanie przekazywanie stosownych dokumentów Parlamentowi Europejskiemu i Radzie. [Popr. 91]

(130)  Aby zagwarantować jednolite warunki wdrażania niniejszego rozporządzenia, należy powierzyć Komisji uprawnienia wykonawcze w zakresie: opracowania standardowych formularzy dotyczących szczególnych metod uzyskiwania możliwej do zweryfikowania zgody w zakresie przetwarzania danych osobowych dziecka; standardowych procedur i formularzy w zakresie wykonywania praw przez podmioty służących zawiadamianiu podmiotów danych o przysługujących im prawach; standardowych formularzy służących przekazywaniu informacji podmiotowi danych; standardowych formularzy i procedur dotyczących prawa dostępu, w tym do celów przekazywania danych osobowych podmiotowi danych; prawa przenoszenia danych; standardowych formularzy dotyczących odpowiedzialności administratora za uwzględnienie ochrony danych już w fazie projektowania, domyślną ochronę danych oraz dokumentację dokumentacji, którą muszą prowadzić administrator i podmiot przetwarzający; szczególnych wymogów w zakresie bezpieczeństwa przetwarzania; standardowego formatu i procedur dotyczących zawiadomienia formularza służącego zawiadamianiu organu nadzorczego o naruszeniu ochrony danych osobowych oraz przekazywania informacji o naruszeniu dokumentowaniu naruszenia ochrony danych osobowych podmiotowi danych; standardów i procedur w zakresie oceny skutków w zakresie ochrony danych; formularzy i procedur dotyczących uprzedniego zezwolenia i do celów uprzedniej konsultacji; technicznych standardów i mechanizmów certyfikacji; odpowiedniego poziomu ochrony przyznanej przez państwo trzecie, na jego terytorium bądź przez sektor, w którym odbywa się przetwarzanie danych w tym państwie trzecim bądź też organizację międzynarodową; ujawnień, na które Unia nie wyraziła zgody; wzajemnej pomocy, wspólnych operacji; decyzji podejmowanych na mocy mechanizmu współpracy. oraz informowania organu nadzorczego. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiającym przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję(13). W tym kontekście Komisja powinna rozważyć wprowadzenie szczególnych środków dla mikroprzedsiębiorców oraz małych i średnich przedsiębiorców. [Popr. 92]

(131)  Procedurę sprawdzającą należy stosować w przypadku przyjmowania standardowych formularzy: dotyczących szczególnych form uzyskiwania możliwej do zweryfikowania zgody w zakresie przetwarzania danych osobowych dziecka; standardowych procedur i formularzy w zakresie wykonywania praw przez podmioty zawiadamianiu podmiotów danych o przysługujących im prawach; standardowych formularzy służących przekazywaniu informacji podmiotowi danych; standardowych formularzy i procedur dotyczących prawa dostępu; prawa przenoszenia danych; standardowych formularzy dotyczących odpowiedzialności administratora za uwzględnienie ochrony danych już w fazie projektowania, domyślną ochronę danych oraz dokumentację; szczególnych wymogów w zakresie bezpieczeństwa przetwarzania; standardowego formatu i procedur dotyczących zawiadamiania , w tym do celów przekazywania danych osobowych podmiotowi danych; dokumentacji, którą muszą prowadzić administrator i podmiot przetwarzający; zawiadamiania organu nadzorczego o naruszeniu ochrony danych osobowych oraz przekazywania informacji o naruszeniu dokumentowania naruszenia ochrony danych osobowych podmiotowi danych; standardów i procedur dotyczących oceny skutków w zakresie ochrony danych; formularzy i procedur dotyczących uprzedniego zezwolenia i do celów uprzedniej konsultacji; technicznych standardów i mechanizmów certyfikacji; odpowiedniego poziomu ochrony przyznanej przez państwo trzecie, terytorium bądź sektor, w którym odbywa się przetwarzanie danych w tym państwie trzecim bądź też organizację międzynarodową; ujawnień, na które Unia nie wyraziła zgody; wzajemnej pomocy; wspólnych operacji; decyzji podejmowanych w ramach mechanizmu zgodności oraz informowania organu nadzorczego, zważywszy że akty te mają charakter ogólny. [Popr. 93]

(132)  Komisja powinna przyjąć akty wykonawcze mające natychmiastowe zastosowanie, jeśli, w uzasadnionych przypadkach dotyczących państwa trzeciego, terytorium lub sektora, w którym przetwarzane są dane w tym państwie trzecim lub w organizacji międzynarodowej, które nie zapewniają odpowiedniego poziomu ochrony, oraz w odniesieniu do kwestii, o których poinformowały organy nadzorcze w ramach mechanizmu zgodności, jest to uzasadnione szczególnie pilną potrzebą. [Popr. 94]

(133)  Ponieważ cele niniejszego rozporządzenia, mianowicie zapewnienie odpowiedniego poziomu ochrony osób fizycznych i swobodnego przepływu danych w ramach całej Unii, nie mogą zostać osiągnięte w wystarczającym stopniu przez państwa członkowskie, natomiast z uwagi na skalę i skutki proponowanego działania możliwe jest lepsze ich osiągnięcie na szczeblu unijnym, Unia może przyjąć środki zgodnie z zasadą pomocniczości, o której mowa w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsze rozporządzenie nie wychodzi poza zakres niezbędny do osiągnięcia tego celu.

(134)  Dyrektywa 95/46/WE powinna zostać uchylona niniejszym rozporządzeniem. Decyzje przyjęte przez Komisję oraz zezwolenia wydane przez organy nadzorcze na podstawie dyrektywy 95/46/WE powinny jednak pozostać w mocy. Decyzje Komisji oraz zezwolenia organów nadzorczych dotyczące przekazywania danych osobowych do państw trzecich na mocy art. 41 ust. 8 powinny pozostawać w mocy w okresie przejściowym pięciu lat po wejściu w życie niniejszego rozporządzenia, chyba że zostaną zmienione, zastąpione lub uchylone przez Komisję przed upływem tego okresu. [Popr. 95]

(135)  Niniejsze rozporządzenie powinno mieć zastosowanie do wszystkich kwestii dotyczących ochrony podstawowych praw i wolności w zakresie przetwarzania danych osobowych, które nie podlegają szczególnym obowiązkom służącym realizacji tego samego celu określonego w dyrektywie 2002/58/WE Parlamentu Europejskiego i Rady(14), włączając obowiązki nałożone na administratora oraz prawa osób fizycznych. W celu wyjaśnienia związku między niniejszym rozporządzeniem a dyrektywą 2002/58/WE należy odpowiednio zmienić tę dyrektywę.

(136)  W odniesieniu do Islandii i Norwegii, niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w zakresie w jakim ma ono zastosowanie do przetwarzania danych osobowych przez organy zaangażowane we wdrożenie tych przepisów, w rozumieniu Umowy zawartej przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącej włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen(15).

(137)  W odniesieniu do Szwajcarii, niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w zakresie w jakim ma ono zastosowanie do przetwarzania danych osobowych przez organy zaangażowane we wdrożenie tych przepisów, w rozumieniu Umowy zawartej między Unią Europejską, Wspólnotą Europejską a Konfederacją Szwajcarską w sprawie włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen(16).

(138)  W odniesieniu do Lichtensteinu, niniejsze rozporządzenie stanowi rozwinięcie przepisów dorobku Schengen w zakresie w jakim ma ono zastosowanie do przetwarzania danych osobowych przez organy zaangażowane we wdrożenie tych przepisów, w rozumieniu Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen(17).

(139)  Biorąc pod uwagę, jak podkreślił Trybunał Sprawiedliwości Unii Europejskiej, iż prawo do ochrony danych osobowych nie jest prawem bezwzględnym, lecz musi być rozpatrywane w odniesieniu do funkcji, jaką pełni w społeczeństwie i równoważone innymi podstawowymi prawami, zgodnie z zasadą proporcjonalności, niniejsze rozporządzenie respektuje podstawowe prawa i przestrzega zasad uznanych w Karcie zapisanych w Traktacie, zwłaszcza prawa do poszanowania życia prywatnego i rodzinnego, domu i komunikowania się, prawa do ochrony danych osobowych, wolności myśli, sumienia i religii, wolności wypowiedzi i informacji, wolności prowadzenia działalności gospodarczej, prawa do skutecznego środka ochrony prawnej, rzetelnego procesu sądowego oraz różnorodności kulturowej, religijnej i językowej,

PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:

ROZDZIAŁ I

PRZEPISY OGÓLNE

Artykuł 1

Przedmiot i cele

1.  Niniejsze rozporządzenie ustanawia przepisy dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz przepisy dotyczące swobodnego przepływu danych osobowych.

2.  Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych.

3.  Nie ogranicza się ani nie zakazuje swobodnego przepływu danych osobowych w Unii z powodów związanych z ochroną osób fizycznych w zakresie przetwarzania danych osobowych.

Artykuł 2

Zakres materialny

1.  Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób w całości lub w części zautomatyzowany, niezależnie od metody przetwarzania, oraz innych rodzajów przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.

2.  Niniejsze rozporządzenie nie ma zastosowania do przetwarzania danych osobowych:

a)  w ramach działalności wykraczającej poza zakres prawa Unii, w szczególności dotyczącej bezpieczeństwa narodowego;

b)  przez instytucje, organy i jednostki organizacyjne Unii;

c)  przez państwa członkowskie w wykonywaniu działań wchodzących w zakres tytułu V rozdziału 2 Traktatu o funkcjonowaniu Unii Europejskiej;

d)  przez osobę fizyczną w celach innych niż zarobkowe w ramach własnych działań o charakterze czysto osobistym lub domowym; odstępstwo to ma również zastosowanie do publikacji danych osobowych, gdy istnieją racjonalne podstawy, by oczekiwać, że dostęp do nich będzie miała jedynie ograniczona liczba osób;

e)  przez właściwe organy publiczne do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania, albo wykonywania kar kryminalnych sankcji karnych.

3.  Niniejsze rozporządzenie pozostaje bez uszczerbku dla stosowania dyrektywy 2000/31/WE, w szczególności zasad odpowiedzialności usługodawców będących pośrednikami, o których mowa w art. 12-15 tej dyrektywy. [Popr. 96]

Artykuł 3

Zakres terytorialny

1.  Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w kontekście działalności prowadzonej w zakładzie administratora lub podmiotu przetwarzającego na terytorium Unii, niezależnie od tego, czy przetwarzanie odbywa się w Unii, czy też nie.

2.  Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych podmiotów danych mających miejsce zamieszkania w Unii przez administratora niemającego lub podmiot przetwarzający, którzy nie mają siedziby w Unii, gdy przetwarzanie wiąże się z:

a)  oferowaniem towarów lub usług takim podmiotom danych w Unii, niezależnie od tego, czy wymaga się, by dokonały one płatności, lub

b)  monitorowaniem ich zachowania takich podmiotów danych.

3.  Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych przez administratora, który nie ma siedziby na terytorium Unii, lecz w miejscu, w którym na mocy prawa międzynarodowego publicznego ma zastosowanie prawo krajowe państwa członkowskiego. [Popr. 97]

Artykuł 4

Definicje

Do celów niniejszego rozporządzenia:

(1)  „podmiot danych” oznacza zidentyfikowaną osobę fizyczną lub osobę fizyczną, którą można zidentyfikować, bezpośrednio lub pośrednio, za pomocą wszelkich środków, które z rozsądnym prawdopodobieństwem mogą być użyte przez administratora lub inną osobę fizyczną bądź prawną, szczególnie przez odniesienie do numeru identyfikacyjnego, danych dotyczących lokalizacji, identyfikatora online lub przynajmniej jednego czynnika charakterystycznego dla fizycznej, fizjologicznej, genetycznej, umysłowej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby;

(2)  „dane osobowe” oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („podmiotu danych”); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, w szczególności za pomocą takich danych identyfikujących, jak imię i nazwisko, numer identyfikacyjny, miejsce pobytu, niepowtarzalny identyfikator lub co najmniej jeden szczególny czynnik określający tożsamość fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową czy społeczną lub płciową tej osoby;

(2a)  „dane pseudonimiczne” oznaczają dane osobowe, których nie można przypisać konkretnemu podmiotowi danych bez użycia dodatkowych informacji, o ile takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie podmiotowi danych;

(2b)  „dane zaszyfrowane” oznaczają dane osobowe, które za pomocą technologicznych środków ochrony stały się nieczytelne dla każdego, kto nie jest uprawniony do dostępu do nich;

(3)  „przetwarzanie” oznacza każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptacja lub modyfikacja, pobieranie, uzyskiwanie wglądu, wykorzystywanie, ujawnianie poprzez przekazanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, usuwanie lub niszczenie;

(3a)   „profilowanie” oznacza wszelką formę automatycznego przetwarzania danych mającego służyć ocenie niektórych aspektów osobistych tej osoby fizycznej lub też analizie bądź przewidzeniu zwłaszcza wyników w pracy, sytuacji ekonomicznej, miejsca przebywania, zdrowia, preferencji osobistych, wiarygodności lub zachowania tej osoby fizycznej;

(4)  „zbiór danych” oznacza każdy zorganizowany zestaw danych osobowych, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany lub rozproszony funkcjonalnie lub geograficznie;

(5)  „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę organizacyjną lub inny podmiot, który samodzielnie lub wspólnie z innymi organami ustala cele, warunki i sposoby przetwarzania danych osobowych; w przypadkach, w których cele, warunki i sposoby ustalane są prawem Unii lub państwa członkowskiego, administrator lub szczególne kryteria jego wyznaczania mogą zostać określone w prawie Unii lub państwa członkowskiego;

(6)  „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

(7)  „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny podmiot, któremu ujawnia się dane osobowe;

(7a)  „strona trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub dowolny organ inny niż podmiot danych, administrator, podmiot przetwarzający oraz osoby, które – pod bezpośrednim zwierzchnictwem administratora lub podmiotu przetwarzającego – są upoważnione do przetwarzania danych;

(8)  „zgoda podmiotu danych” oznacza dobrowolne, szczególne, świadome i wyraźne oświadczenie woli, przez które podmiot danych, w drodze oświadczenia lub wyraźnego działania potwierdzającego, wyraża zgodę na przetwarzanie dotyczących go danych osobowych;

(9)  „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego przypadkowe lub niezgodnego niezgodne z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia zniszczenie, utratę, modyfikację, nieuprawnione ujawnienie lub dostępu dostęp do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób;

(10)  „dane genetyczne” oznaczają wszelkie dane dowolnego rodzaju osobowe dotyczące charakterystycznych odziedziczonych lub nabytych cech genetycznych osoby fizycznej, odziedziczonych lub nabytych na etapie wczesnego rozwoju prenatalnego wynikające z analizy próbki biologicznej danej osoby, w szczególności z analizy chromosomów, kwasu dezoksyrybonukleinowego (DNA) lub kwasu rybonukleinowego (RNA) lub z analizy wszelkich innych elementów umożliwiających pozyskanie równoważnych informacji;

(11)  „dane biometryczne” oznaczają wszelkie dane osobowe dotyczące cech fizycznych, fizjologicznych i behawioralnych danej osoby, które umożliwiają jej precyzyjną identyfikację, takie jak wizerunek twarzy lub dane daktyloskopijne;

(12)  „dane dotyczące zdrowia” oznaczają wszelkie informacje dane osobowe związane ze zdrowiem fizycznym lub psychicznym danej osoby lub ze świadczeniem usług zdrowotnych na jej rzecz;

(13)  „główna siedziba” oznacza, jeśli chodzi o administratora, jego siedzibę przedsiębiorstwa lub grupy przedsiębiorstw – działających w charakterze administratora bądź też podmiotu przetwarzającego – w Unii, w której to siedzibie podejmowane są najważniejsze decyzje dotyczące celów, warunków i sposobów przetwarzania danych; jeśli decyzji dotyczących celów, warunków i sposobów przetwarzania danych osobowych nie podejmuje się w Unii, główną siedzibą jest miejsce, w którym odbywa się główna działalność w zakresie przetwarzania w kontekście działalności zakładu administratora w Unii. Jeśli chodzi o podmiot przetwarzający, „główna siedziba” oznacza miejsce, w którym znajduje się jego zarząd w Unii . Można brać pod uwagę m.in. następujące obiektywne kryteria: lokalizacja siedziby administratora lub podmiotu przetwarzającego; lokalizacja należącej do grupy przedsiębiorstw jednostki, która ze względu na pełnione funkcje zarządcze i obowiązki administracyjne jest w stanie najlepiej zająć się egzekwowaniem przepisów niniejszego rozporządzenia; lokalizacja, w której odbywa się skuteczne i faktyczne zarządzanie polegające na podejmowaniu decyzji dotyczących przetwarzania w drodze stabilnych rozwiązań;

(14)  „przedstawiciel” oznacza każdą osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, wyraźnie wyznaczoną przez administratora, która działa w miejsce administratora i do której organ nadzorczy lub inny podmiot w Unii mogą się zwrócić zamiast do reprezentuje administratora w kwestiach dotyczących obowiązków administratora wynikających z niniejszego rozporządzenia;

(15)  „przedsiębiorstwo” oznacza każdy podmiot prowadzący działalność gospodarczą, niezależne od jego formy prawnej, w tym w szczególności osoby fizyczne i prawne, partnerstwa lub zrzeszenia prowadzące regularną działalność gospodarczą;

(16)  „grupa przedsiębiorstw” oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa kontrolowane;

(17)  „wiążące reguły korporacyjne” oznaczają polityki zasady ochrony danych osobowych, których przestrzegają administrator lub podmiot przetwarzający mający siedzibę na terytorium państwa członkowskiego Unii do celów przekazywania danych osobowych do administratora lub podmiotu przetwarzającego w przynajmniej jednym państwie trzecim w ramach grupy przedsiębiorstw;

(18)  „dziecko” oznacza każdą osobę w wieku poniżej 18 lat;

(19)  „organ nadzorczy” oznacza organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 46. [Popr. 98]

ROZDZIAŁ II

ZASADY

Artykuł 5

Zasady dotyczące przetwarzania danych osobowych

Dane osobowe muszą być są:

a)  przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty w odniesieniu do podmiotu danych (zgodność z prawem, uczciwość i przejrzystość);

b)  zbierane w konkretnych, bezpośrednich i zgodnych z prawem celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (zasada celowości);

c)  prawidłowe, właściwe i ograniczone do minimum niezbędnego w odniesieniu do celów, do których dane są przetwarzane; dane te są przetwarzane jedynie wtedy gdy i tylko przez okres w którym tych celów nie można spełnić przetwarzając informacje, które nie obejmują danych osobowych (minimalizacja danych);

d)  ścisłe i, w razie potrzeby, aktualne konieczności, aktualizowane; należy podjąć wszelkie zasadne działania, by zapewnić niezwłoczne usunięcie lub poprawienie nieścisłych danych osobowych, z uwzględnieniem celów ich przetwarzania (ścisłość);

e)  przechowywane w formie umożliwiającej bezpośrednią lub pośrednią identyfikację podmiotów danych przez czas nie dłuższy niż jest to konieczne do celów, dla których dane są przetwarzane; dane osobowe mogą być przechowywane przez czas dłuższy pod warunkiem, że będą przetwarzane wyłącznie do celów dokumentacji, statystyki lub badań naukowych lub archiwizacji zgodnie z przepisami i warunkami, o których mowa w art. 83 i 83a, oraz pod warunkiem prowadzania prowadzenia okresowej kontroli konieczności dalszego ich przechowywania, a także pod warunkiem, że w stosownych przypadkach przyjęte zostaną techniczne i organizacyjne środki służące ograniczeniu dostępu do danych wyłącznie do tych celów („minimalizacja przechowywania”);

ea)  przetwarzane w sposób, który skutecznie umożliwia podmiotowi danych wykonywanie jego praw (skuteczność);

eb)  przetwarzane w sposób zabezpieczający przed niedozwolonym lub nielegalnym przetwarzaniem i przypadkową utratą, zniszczeniem lub uszkodzeniem, z wykorzystaniem odpowiednich środków technicznych i organizacyjnych (integralność);

f)  przetwarzane pod nadzorem i na odpowiedzialność administratora, który zapewnia i wykazuje jest w stanie wykazać zgodność każdej operacji przetwarzania z przepisami niniejszego rozporządzenia (odpowiedzialność). [Popr. 99]

Artykuł 6

Zgodność z prawem przetwarzania

1.  Przetwarzanie danych osobowych jest zgodne z prawem, o ile ma zastosowanie co najmniej jeden z poniższych elementów:

a)  podmiot danych wyraził zgodę na przetwarzanie swoich danych osobowych do jednego lub większej liczby konkretnych celów;

b)  przetwarzanie danych jest konieczne do wykonania umowy, której stroną jest podmiot danych, lub w celu podjęcia działań na żądanie podmiotu danych przed zawarciem umowy;

c)  przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d)  przetwarzanie jest konieczne w celu ochrony żywotnych interesów podmiotów danych;

e)  przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub wykonania władzy publicznej powierzonej administratorowi;

f)  przetwarzanie jest konieczne dla celów wynikających ze słusznych z uzasadnionych interesów realizowanych przez administratora lub, w przypadku ujawnienia, strony trzeciej, której ujawniono dane, odpowiadających racjonalnym oczekiwaniom podmiotu danych opartym na jego relacji z administratorem, z wyjątkiem sytuacji, kiedy nadrzędny charakter ma interes podstawowych praw i w stosunku do takich interesów mają podstawowe prawa lub wolności podmiotu danych, które wymagają wymagające ochrony danych osobowych, w szczególności gdy podmiotem danych jest dziecko. Przepisu tego nie stosuje się do przetwarzania realizowanego przez organy publiczne w wykonaniu ich zadań.

2.  Przetwarzanie danych osobowych, konieczne do celów dokumentacji, statystyki lub badań naukowych, jest zgodne z prawem, z zastrzeżeniem warunków i gwarancji, o których mowa w art. 83.

3.  Podstawa przetwarzania, o której mowa w ust. 1 lit. c) i e), musi być przewidziana w:

a)  prawie Unii; lub

b)  prawie państwa członkowskiego, któremu podlega administrator.

Prawo państwa członkowskiego musi realizować cel leżący w interesie publicznym lub musi być konieczne do ochrony praw i wolności innych osób, respektować istotę prawa do ochrony danych osobowych i być proporcjonalne do wyznaczonego słusznego celu. W granicach niniejszego rozporządzenia prawo państwa członkowskiego może przewidywać szczegóły dotyczące legalności przetwarzania danych, szczególnie w kwestiach takich jak administratorzy danych, cele przetwarzania i zasada celowości, charakter danych i podmiotów danych, środki i procedury dotyczące przetwarzania, odbiorcy oraz okres przechowywania.

4.  Jeśli cel dalszego przetwarzania nie jest zgodny z celem, dla którego zebrano dane osobowe, przetwarzanie musi opierać się na co najmniej jednej z podstaw prawnych przewidzianych w ust. 1 lit. a)-e). Ma to w szczególności zastosowanie do każdej zmiany ogólnych warunków umowy.

5.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania warunków, o których mowa w ust. 1 lit. f), dla różnych sektorów i sytuacji, w których przetwarza się dane, w tym jeśli chodzi o przetwarzanie danych osobowych dotyczących dziecka. [Popr. 100]

Artykuł 7

Warunki udzielenia zgody

1.  Gdy przetwarzanie odbywa się na podstawie zgody, ciężar udowodnienia zgody podmiotu danych na przetwarzanie jego danych osobowych w określonych celach spoczywa na administratorze.

2.  Jeśli zgoda podmiotu danych ma być udzielona w kontekście pisemnego oświadczenia, które dotyczy także innej kwestii, wymóg udzielenia zgody musi zostać przedstawiony w sposób pozwalający wyraźnie odróżnić go od tej innej kwestii. Przepisy dotyczące zgody podmiotu danych częściowo naruszające niniejsze rozporządzenie są całkowicie nieważne.

3.  Niezależnie od innych podstaw prawnych przetwarzania, podmiot danych ma prawo odwołać swoją zgodę w dowolnym momencie. Odwołanie zgody nie ma wpływu na zgodność z prawem przetwarzania opartego na zgodzie przed jej odwołaniem. Wycofanie zgody musi być równie łatwe jak jej udzielenie. Administrator informuje podmiot danych, jeżeli wycofanie zgody może skutkować zakończeniem świadczenia usług lub ustaniem relacji z administratorem.

4.  Zgoda nie stanowi podstawy prawnej przetwarzania w sytuacji poważnej nierówności między podmiotem danych a administratorem dotyczy konkretnego celu i traci ważność, gdy cel przestaje istnieć lub z chwilą, gdy przetwarzanie danych osobowych nie jest już potrzebne do realizacji celu, dla którego dane te zostały początkowo zgromadzone. Realizacja umowy lub świadczenie usługi nie może być uzależnione od zgody na przetwarzanie danych, które nie są niezbędne do realizacji umowy lub świadczenia usługi zgodnie z art. 6 ust. 1 lit. b). [Popr. 101]

Artykuł 8

Przetwarzanie danych osobowych dziecka

1.  Do celów niniejszego rozporządzenia, w odniesieniu do oferowania towarów lub usług społeczeństwa informacyjnego bezpośrednio dziecku, przetwarzanie danych osobowych dziecka w wieku poniżej 13 lat jest zgodne z prawem, o ile zgodę na nie wydał lub pozwolił na nie rodzic lub opiekun prawny dziecka. Administrator podejmuje racjonalne starania w celu uzyskania możliwej do zweryfikowania takiej zgody, uwzględniając dostępną technologię, przy czym nie powoduje to przetwarzania danych niepotrzebnego do innych celów, wykraczającego poza cel wyrażonej zgody.

1a.  Informacje przekazywane dzieciom, rodzicom i opiekunom prawnym w celu wyrażenia zgody, w tym o gromadzeniu i wykorzystywaniu danych osobowych przez administratora, powinny być podawane w jasnym języku dostosowanym do zamierzonych odbiorców.

2.  Ustęp 1 nie wpływa na ogólne przepisy prawa umów państw członkowskich, takie jak przepisy dotyczące ważności, zawierania lub skutków umowy wobec dziecka.

3.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów Europejskiej Radzie Ochrony Danych powierza się zadanie wydawania wytycznych, zaleceń i najlepszych praktyk dotyczących sposobów uzyskania do zweryfikowania weryfikowania zgody, o której mowa w ust. 1, zgodnie z art. 66. Wykonując to uprawnienie, Komisja rozważa szczególne środki dla mikroprzedsiębiorców oraz małych i średnich przedsiębiorców.

4.  Komisja może ustanowić standardowe formularze dotyczące szczególnych form uzyskiwania możliwej do zweryfikowania zgody, o której mowa w ust. 1. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2. [Popr. 102]

Artykuł 9

Przetwarzanie szczególnych kategorii Szczególne kategorie danych osobowych

1.  Zakazuje się przetwarzania danych osobowych ujawniających rasę lub pochodzenie etniczne, poglądy polityczne, religię lub przekonania światopogląd, orientację seksualną lub tożsamość płciową, przynależność do związków zawodowych i działalność w nich oraz przetwarzania danych genetycznych lub biometrycznych lub danych dotyczących zdrowia lub seksualności, sankcji administracyjnych, orzeczeń sądowych, popełnionych lub domniemanych przestępstw, wyroków skazujących lub powiązanych środków zabezpieczających.

2.  Ustęp 1 nie ma zastosowania, w przypadku gdy jeżeli zachodzi jeden z poniższych warunków:

a)  podmiot danych udzielił zgody na przetwarzanie tych danych osobowych w co najmniej jednym określonym celu, z zastrzeżeniem warunków określonych w art. 7 i 8, z wyjątkiem sytuacji, gdy prawo Unii lub prawo państwa członkowskiego przewiduje, że zakaz, o którym mowa w ust. 1, nie może być uchylony przez podmiot danych; lub

aa)  przetwarzanie danych jest konieczne do realizacji lub wykonania umowy, której stroną jest podmiot danych, lub w celu podjęcia działań na życzenie podmiotu danych przed zawarciem umowy;

b)  przetwarzanie danych jest konieczne do celów wypełniania obowiązków i wykonania szczególnych uprawnień administratora w dziedzinie prawa pracy, o ile jest to dozwolone przez prawo Unii lub prawo państwa członkowskiego lub układy zbiorowe przewidujące odpowiednie gwarancje dotyczące praw podstawowych i interesów podmiotu danych, takie jak prawo do niedyskryminacji, z zastrzeżeniem warunków i gwarancji, o których mowa w art. 82; lub

c)  przetwarzanie jest niezbędne w celu ochrony żywotnych interesów podmiotu danych lub innej osoby, w przypadku gdy podmiot danych nie jest fizycznie lub prawnie zdolny do wyrażenia zgody;

d)  przetwarzanie jest dokonywane w ramach zgodnej z prawem działalności prowadzonej z zachowaniem odpowiednich gwarancji przez fundację, stowarzyszenie lub inną niezarobkową instytucję o celach politycznych, filozoficznych, religijnych lub związkowych, pod warunkiem że przetwarzanie danych dotyczy wyłącznie członków lub byłych członków tej instytucji lub osób utrzymujących z nią stałe kontakty w związku z jej celami oraz że dane nie będą ujawniane osobom trzecim bez zgody podmiotów danych; lub

e)  przetwarzanie dotyczy danych osobowych, które zostały wyraźnie podane do publicznej wiadomości przez podmiot danych; lub

f)  przetwarzanie jest niezbędne do ustalania, realizacji lub ochrony roszczeń prawnych; lub

g)  przetwarzanie jest niezbędne do wykonania zadania w interesie publicznym ze względów istotnego interesu publicznego, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, respektują istotę prawa do ochrony danych osobowych i przewidują odpowiednie środki ochrony słusznych praw podstawowych i interesów podmiotu danych; lub

h)  przetwarzanie danych dotyczących zdrowia jest niezbędne w celu ochrony zdrowia i z zastrzeżeniem warunków i gwarancji, o których mowa w art. 81; lub

i)  przetwarzanie jest niezbędne do celów dokumentacji, statystyki lub badań naukowych, z zastrzeżeniem warunków i gwarancji, o których mowa w art. 83; lub

ia)  przetwarzanie jest niezbędne dla służb archiwistycznych i podlega warunkom i gwarancjom, o których mowa w art. 83a; lub

j)  przetwarzanie danych dotyczących sankcji administracyjnych, orzeczeń sądowych, przestępstw, wyroków skazujących za przestępstwa lub powiązanych środków zabezpieczających odbywa się pod kontrolą oficjalnego organu lub przetwarzanie jest niezbędne dla wypełnienia obowiązku prawnego lub regulacyjnego, któremu podlega administrator, albo w celu wykonania zadania realizowanego w ważnym interesie publicznym, o ile jest to dozwolone na mocy prawa Unii lub prawa państwa członkowskiego przewidującego odpowiednie gwarancje dotyczące praw podstawowych i interesów podmiotu danych. Kompletny Każdy rejestr wyroków skazujących za przestępstwa jest prowadzony wyłącznie pod nadzorem oficjalnego organu.

3.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów, warunków i odpowiednich gwarancji Europejskiej Radzie Ochrony Danych powierza się zadanie wydawania wytycznych, zaleceń i najlepszych praktyk dotyczących przetwarzania szczególnych kategorii danych osobowych, o których mowa w ust. 1, oraz wyjątków określonych w ust. 2, zgodnie z art. 66. [Popr. 103]

Artykuł 10

Przetwarzanie nie umożliwiające identyfikacji

1.   Jeśli dane przetwarzane przez administratora lub podmiot przetwarzający nie umożliwiają mu bezpośredniej ani pośredniej identyfikacji osoby fizycznej lub składają się wyłącznie z danych pseudonimicznych, administrator nie ma obowiązku uzyskania przetwarza ani nie uzyskuje dodatkowych informacji w celu identyfikacji podmiotu danych wyłącznie ze względu na konieczność respektowania przepisu niniejszego rozporządzenia.

2.  Gdy administrator danych nie jest w stanie zastosować się do przepisu niniejszego rozporządzenia ze względu na ust. 1, administrator nie ma obowiązku stosowania się to tego konkretnego przepisu niniejszego rozporządzenia. Gdy w konsekwencji administrator danych nie jest w stanie zastosować się do życzenia podmiotu danych, odpowiednio informuje o tym podmiot danych. [Popr. 104]

Artykuł 10a

Ogólne zasady dotyczące praw podmiotów danych

1.  Podstawą ochrony danych są jasne i jednoznaczne prawa podmiotów danych, które to prawa administrator danych musi respektować. Przepisy niniejszego rozporządzenia mają na celu wzmocnienie, doprecyzowanie, zagwarantowanie i, w stosownych przypadkach, skodyfikowanie tych praw.

2.  Takie prawa obejmują m.in. przekazywanie jasnych i łatwo zrozumiałych informacji dotyczących kwestii takich, jak przetwarzanie danych osobowych podmiotu danych, prawo do dostępu do danych, ich korygowania i usuwania, prawo do otrzymywania danych, prawo do sprzeciwu wobec profilowania, prawo do wniesienia skargi do właściwego organu do spraw ochrony danych oraz do wszczęcia postępowania sądowego, a także prawo do rekompensaty i odszkodowania w związku z niezgodnymi z prawem operacjami przetwarzania. Zasadniczo takie prawa przysługują bezpłatnie. Administrator danych odpowiada na wnioski podmiotu danych w racjonalnym terminie. [Popr. 105]

ROZDZIAŁ III

PRAWA PODMIOTU DANYCH

SEKCJA 1

PRZEJRZYSTOŚĆ ORAZ TRYBY WYKONYWANIA PRAW

Artykuł 11

Przejrzysta informacja i komunikacja

1.  Administrator dysponuje zwięzłymi, przejrzystymi, jasnymi i łatwo dostępnymi politykami zasadami w zakresie przetwarzania danych osobowych i wykonywania praw przez podmioty danych.

2.  Administrator przekazuje informacje i komunikaty dotyczące przetwarzania danych osobowych podmiotowi danych w czytelnej formie, w jasnym i prostym języku, dostosowane do potrzeb podmiotu danych, w szczególności w przypadku informacji adresowanych bezpośrednio do dziecka. [Popr. 106]

Artykuł 12

Procedury i mechanizmy wykonywania praw przez podmiot danych

1.  Administrator ustanawia procedury udzielania informacji, o których mowa w art. 14 oraz wykonywania praw przez podmioty danych, o których mowa w art. 13 oraz art. 15-19. Administrator w szczególności zapewnia mechanizmy ułatwiające składanie wniosków o przeprowadzenie czynności, o których mowa w art. 13 oraz art. 15-19. Jeśli przetwarzanie danych odbywa się w sposób zautomatyzowany, administrator zapewnia także możliwość elektronicznego składania wniosków, gdy to możliwe.

2.  Administrator informuje podmiot danych, niezwłocznie bez zbędnej zwłoki i najpóźniej w ciągu miesiąca 40 dni kalendarzowych od dnia otrzymania wniosku, o tym, czy zostaną podjęte jakieś działania zgodnie z art. 13 oraz art. 15-19 i udziela żądanych informacji. Okres ten można przedłużyć o miesiąc, jeśli wiele podmiotów danych wykonuje swoje prawa a ich współpraca jest w racjonalnym zakresie niezbędna, by zapobiec konieczności podejmowania przez administratora niepotrzebnych i nieproporcjonalnych wysiłków. Informacji udziela się na piśmie, a administrator może, w miarę możliwości, zapewnić zdalny dostęp do bezpiecznego systemu, który zapewniłby podmiotowi danych bezpośredni dostęp do jego danych osobowych. Jeśli podmiot danych składa wniosek w formie elektronicznej, informacje także przekazywane są w miarę możliwości w formie elektronicznej, chyba że podmiot danych zażąda informacji w innej formie.

3.  Jeśli administrator odmawia podjęcia nie podejmuje działania na wniosek podmiotu danych, informuje on ten podmiot o powodach odmowy niepodjęcia działania oraz o możliwości zgłoszenia skargi organowi nadzorczemu i skorzystania z sądowego środka ochrony prawnej.

4.  Przekazanie informacji i podjęcie działań na podstawie wniosków, o których mowa w ust. 1, są wolne od opłat. Jeśli wnioski są wyraźnie przesadne, w szczególności ze względu na ich powtarzający się charakter, administrator może pobrać uzasadnioną opłatę za przekazanie wnioskowanych uwzględniającą koszty administracyjne przekazania informacji lub podjęcie podjęcia żądanego działania lub też może uchylić się od podjęcia żądanego działania. W takim przypadku na administratorze spoczywa ciężar udowodnienia wyraźnie przesadnego charakteru wniosku.

5.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i warunków wyraźnie przesadnego charakteru wniosków oraz pobierania opłat, o których mowa w ust. 4.

6.  Komisja może ustanowić standardowe formularze i określić standardowe procedury dotyczące informacji, o których mowa w ust. 2, w tym jeśli chodzi o format elektroniczny. Wykonując to uprawnienie, Komisja podejmuje właściwe środki dla mikroprzedsiębiorców oraz małych i średnich przedsiębiorców. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2. [Popr. 107]

Artykuł 13

Prawa odbiorców Obowiązek powiadomienia w przypadku poprawienia lub usunięcia danych

Administrator informuje o wszelkich operacjach poprawienia lub usunięcia dokonanych zgodnie z art. 16 i art. 17 każdego odbiorcę, któremu ujawniono przekazano dane, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje podmiot danych o tych odbiorcach, jeżeli podmiot danych zwróci się o to. [Popr. 108]

Artykuł 13a

Znormalizowana polityka informacyjna

1.  Gdy dane osobowe dotyczące podmiotu danych są gromadzone, przed przekazaniem informacji na mocy art. 14 administrator udziela temu podmiotowi danych następujących informacji:

a)  czy dane osobowe są gromadzone dłużej niż przez okres niezbędny do realizacji każdorazowego szczególnego celu przetwarzania;

b)  czy dane osobowe są zatrzymywane dłużej niż przez okres niezbędny do realizacji każdorazowego szczególnego celu przetwarzania;

c)  czy dane osobowe są przetwarzane w innych celach niż cele, do których zostały zgromadzone;

d)  czy dane osobowe są przekazywane komercyjnym stronom trzecim;

e)  czy dane osobowe są sprzedawane lub wynajmowane;

f)  czy dane osobowe są przechowywane w zaszyfrowanej formie.

2.  Elementy, o których mowa w ust. 1, przedstawia się zgodnie z załącznikiem do niniejszego rozporządzenia w formie uporządkowanej tabeli, przy użyciu tekstu i symboli, w następujących trzech kolumnach:

a)  pierwsza kolumna przedstawia formy graficzne symbolizujące te elementy;

b)  druga kolumna zawiera zasadnicze informacje opisowe w odniesieniu do tych elementów;

c)  trzecia kolumna przedstawia formy graficzne wskazujące, czy dany element występuje.

3.  Informacje, o których mowa w ust. 1 i 2, przedstawia się w sposób widoczny i łatwy do odczytania oraz w języku łatwo zrozumiałym dla konsumentów z państw członkowskich, którzy otrzymują informacje. Jeżeli elementy są przedstawione w formie elektronicznej, muszą nadawać się do odczytu maszynowego.

4.  Nie udostępnia się dodatkowych elementów. Szczegółowe wyjaśnienia lub dodatkowe uwagi dotyczące elementów, o których mowa w ust. 1, mogą być dostarczone razem z innymi informacjami wymaganymi na mocy art. 14.

5.  Komisja jest uprawniona do przyjęcia aktów delegowanych zgodnie z art. 86, po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, w celu doprecyzowania elementów, o których mowa w ust. 1, i ich prezentacji, jak określono w ust. 2 i załączniku do niniejszego rozporządzenia. [Popr. 109]

SEKCJA 2

INFORMACJE I DOSTĘP DO DANYCH

Artykuł 14

Informacje przekazywane podmiotowi danych

1.  W przypadku zbierania danych osobowych odnoszących się do podmiotu danych, po przekazaniu informacji na mocy art. 13a administrator udziela temu podmiotowi co najmniej następujących informacji:

a)  tożsamość i dane kontaktowe administratora oraz ewentualnie przedstawiciela administratora i inspektora ochrony danych;

b)  cele przetwarzania danych, do których dane są przeznaczone, oraz informacje dotyczące bezpieczeństwa przetwarzania danych osobowych, w tym postanowienia umów i warunków ogólnych, jeśli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. b), oraz słuszne interesy realizowane przez administratora, jeśli przetwarzanie odbywa się na podstawie w stosownych przypadkach, informacje o tym, w jaki sposób wdrażane i spełniane są wymogi art. 6 ust. 1 lit. f);

c)  okres, przez który dane osobowe będą przechowywane lub, gdy nie jest to możliwe, kryteria służące określeniu tego okresu;

d)  istnienie prawa do wystąpienia do administratora o uzyskanie wglądu do danych, poprawienie ich lub usunięcie danych osobowych odnoszących się do podmiotu danych lub prawo , prawa do wniesienia sprzeciwu wobec przetwarzania tych danych osobowych lub prawa do otrzymania danych;

e)  prawa prawo złożenia skargi organowi nadzorczemu oraz dane kontaktowe organu nadzorczego;

f)  odbiorcy lub kategorie odbiorców danych osobowych;

g)  w stosownych przypadkach, zamiar przekazania danych przez administratora do państwa trzeciego lub organizacji międzynarodowej oraz informacje na temat poziomu ochrony zapewnianego przez to państwo trzecie lub organizację międzynarodową przez odniesienie do istnienie lub brak decyzji Komisji stwierdzającej odpowiedni poziom ochrony lub, w przypadku przekazywania, o którym mowa w art. 42 lub 43, odniesienie do odpowiednich gwarancji i środków umożliwiających uzyskanie kopii danych;

ga)  w stosownych przypadkach, informacje o istnieniu profilowania, środków opartych na profilowaniu oraz przewidywanym wpływie profilowania na podmiot danych;

gb)  treściwe informacje o zasadach automatycznego przetwarzania;

h)  wszelkie dalsze informacje potrzebne do zagwarantowania rzetelnego przetwarzania danych w stosunku do podmiotu danych, uwzględniając konkretne okoliczności, w których odbywa się zbieranie lub przetwarzanie danych w szczególności istnienie pewnych działań i operacji związanych z przetwarzaniem, w przypadku których ocena skutków dotycząca danych osobowych wykazała, że może zachodzić wysokie ryzyko;

ha)  w stosownych przypadkach informacje, czy dane osobowe były przekazywane organom publicznym w okresie ostatnich 12 kolejnych miesięcy.

2.  W przypadku zbierania danych osobowych od podmiotu danych, administrator, poza przekazaniem informacji, o których mowa w ust. 1, informuje podmiot danych o tym, czy przekazanie danych osobowych jest obowiązkowe czy dobrowolne fakultatywne, a także o ewentualnych skutkach nieprzekazania tych danych.

2a.   Przy podejmowaniu decyzji co do dalszych informacji, które są niezbędne do rzetelnego przetwarzania na mocy ust. 1 lit. h), administratorzy danych uwzględniają wszelkie odpowiednie wytyczne zgodnie z art. 34.

3.  W przypadku zbierania danych osobowych nie od podmiotu danych, administrator, poza przekazaniem informacji, o których mowa w ust. 1, informuje podmiot danych o źródle pochodzenia tych konkretnych danych osobowych. Jeżeli dane osobowe pochodzą ze źródeł publicznie dostępnych, można umieścić ogólne wskazanie.

4.  Administrator udziela informacji, o których mowa w ust. 1, 2 i 3:

a)  w momencie uzyskania danych osobowych od podmiotu danych lub, jeśli nie jest to wykonalne, bez zbędnej zwłoki; lub

aa)  na wniosek organu, organizacji lub zrzeszenia, o których mowa w art. 73;

b)  jeżeli dane osobowe nie są zbierane od podmiotu danych, w momencie ich rejestrowania lub w rozsądnym terminie po zebraniu danych, uwzględniając szczególne okoliczności, w których dane są zbierane lub przetwarzane w inny sposób lub jeśli przewiduje się ujawnienie przekazanie innemu odbiorcy, najpóźniej w momencie pierwszego ujawnienia danych. przekazania lub, jeżeli dane mają być wykorzystywane do komunikacji z odnośnym podmiotem danych, najpóźniej w momencie pierwszego kontaktu z tym podmiotem danych; lub

ba)  tylko na żądanie, gdy dane są przetwarzane przez małe przedsiębiorstwo lub mikroprzedsiębiorstwo, które przetwarza dane osobowe jedynie w ramach działalności pobocznej.

5.  Ustępów 1-4 nie stosuje się, w przypadku gdy:

a)  podmiot danych dysponuje już informacjami, o których mowa w ust. 1, 2 i 3; lub

b)  dane są przetwarzane do celów historycznych bądź statystycznych lub do celów badań naukowych, z zastrzeżeniem warunków i gwarancji, o których mowa w art. 81 i 83, nie są zbierane od podmiotu danych a udzielenie tych informacji okazało się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, zaś administrator opublikował informacje do pobrania przez każdego; lub

c)  dane nie są zbierane od podmiotu danych a rejestrowanie lub ujawnianie ich jest wyraźnie przewidziane przez przepisy prawa obowiązujące administratora, które zapewniają odpowiednie środki ochrony uzasadnionych interesów podmiotu danych, z uwzględnieniem ryzyka związanego z przetwarzaniem oraz charakterem danych osobowych; lub

d)  dane nie są zbierane od podmiotu danych a udzielenie tych informacji naruszy prawa i wolności innych osób trzecich fizycznych określone w prawie Unii lub prawie państw członkowskich, zgodnie z art. 21. ;

da)  dane te są przetwarzane w ramach wykonywania zawodu przez osobę lub powierzane lub ujawniane osobie, która podlega tajemnicy zawodowej regulowanej przez Unię lub państwo członkowskie lub ustawowemu obowiązkowi zachowania tajemnicy, chyba że zostały uzyskane bezpośrednio od podmiotu danych.

6.  W przypadku, o którym mowa w ust. 5 lit. b), administrator zapewnia odpowiednie środki mające na celu ochronę słusznych praw lub uzasadnionych interesów podmiotu danych.

7.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów kategorii odbiorców, o których mowa w ust. 1 lit. f), wymogów dotyczących zawiadomienia o potencjalnym dostępie, o których mowa w ust. 1 lit. g), kryteriów przekazywania dalszych informacji, o których mowa w ust. 1 lit. h), niezbędnych dla niektórych sektorów i w niektórych sytuacjach oraz warunków i odpowiednich gwarancji w przypadku wyjątków określonych w ust. 5 lit. b). Wykonując to uprawnienie, Komisja podejmuje właściwe środki dla mikroprzedsiębiorców oraz małych i średnich przedsiębiorców

8.  Komisja może ustanowić standardowe formularze do celów udzielania informacji, o których mowa w ust. 1-3, uwzględniając, w stosownych przypadkach, szczególny charakter i potrzeby różnych sektorów oraz sytuacji przetwarzania danych. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2. [Popr. 110]

Artykuł 15

Prawo do dostępu i do uzyskiwania danych przysługujące podmiotowi danych

1.  Z zastrzeżeniem art. 12 ust. 4 podmiot danych ma prawo do uzyskania od administratora, na wniosek złożony w dowolnym momencie, potwierdzenia, czy przetwarzane są dane osobowe odnoszące się do niego. W przypadku przetwarzania takich danych osobowych administrator przekazuje następujące informacje , oraz następujących, jasno i prosto sformułowanych informacji:

a)  cele przetwarzania dla każdej kategorii danych osobowych;

b)  kategorie przedmiotowych danych osobowych;

c)  odbiorcy lub kategorie odbiorców, którym dane osobowe mają być lub zostały ujawnione, w szczególności tym odbiorcy w państwach trzecich;

d)  okres przechowywania danych osobowych lub, gdy nie jest to możliwe, kryteria służące określeniu tego okresu;

e)  istnienie prawa do żądania od administratora poprawienia lub usunięcia danych osobowych odnoszących się do podmiotu danych lub prawa wniesienia sprzeciwu wobec przetwarzania tych danych osobowych;

f)  prawa prawo do złożenia organowi nadzorczemu skargi oraz dane kontaktowe organu nadzorczego;

g)  przekazanie danych osobowych podlegających przetwarzaniu i wszelkich dostępnych informacji o ich źródle;

h)  znaczenie i przewidywane skutki takiego przetwarzania, co najmniej w przypadku środków, o których mowa w art. 20;

ha)  treściwe informacje o zasadach automatycznego przetwarzania;

hb)  bez uszczerbku dla art. 21, w razie ujawnienia danych osobowych organowi publicznemu na wniosek organu publicznego – potwierdzenie faktu, że taki wniosek miał miejsce.

2.  Podmiot danych ma prawo do uzyskania od administratora informacji na temat danych osobowych podlegających przetwarzaniu. Jeśli podmiot danych składa wniosek w formie elektronicznej, informacje także przekazywane są w formie elektronicznej ustrukturyzowanym formacie elektronicznym, chyba że podmiot danych zażąda informacji w innej formie. Bez uszczerbku dla art. 10, administrator przyjmuje wszelkie racjonalne środki, aby upewnić się, że osoba zwracająca się o udzielenie dostępu do danych jest podmiotem danych.

2a.  Jeśli podmiot danych dostarczył dane osobowe oraz jeśli dane osobowe są przetwarzane w sposób elektroniczny, podmiot danych ma prawo do uzyskania od administratora kopii dostarczonych danych osobowych w formacie elektronicznym i interoperacyjnym, który jest powszechnie używany i umożliwia dalsze wykorzystywanie przez podmiot danych, bez przeszkód ze strony administratora, z którego baz dane osobowe zostają wycofane. Gdy jest to technicznie wykonalne i możliwe, dane są przekazywane bezpośrednio od administratora do administratora na wniosek podmiotu danych.

2b.  Niniejszy artykuł nie narusza obowiązku usunięcia danych, jeśli ich przechowywanie nie jest już konieczne zgodnie z art. 5 akapit pierwszy lit. e).

2c.  Prawo dostępu zgodnie z ust. 1 i 2 nie ma zastosowania w odniesieniu do danych w rozumieniu art. 14 ust. 5 lit. da), chyba że podmiot danych jest uprawniony do zniesienia odnośnej tajemnicy służbowej i podejmuje odpowiednie działania.

3.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących informowania podmiotu danych o treści danych osobowych, o których mowa w ust. 1 lit. g).

4.  Komisja może opracować standardowe formularze i procedury w zakresie wnioskowania o dostęp do informacji, o których mowa w ust. 1 oraz udzielania dostępu do tych informacji, w tym w celu weryfikacji tożsamości podmiotu danych oraz przekazywania danych osobowych podmiotowi danych, uwzględniając szczególny charakter i potrzeby różnych sektorów oraz sytuacji przetwarzania danych. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2. [Popr. 111]

SEKCJA 3

POPRAWIANIE I USUWANIE

Artykuł 16

Prawo do poprawienia

Podmiot danych ma prawo do uzyskania przez administratora poprawienia nieścisłych danych osobowych, które go dotyczą. Podmiot danych ma prawo do uzyskania uzupełnienia niekompletnych danych osobowych, w tym w drodze sprostowania.

Artykuł 17

Prawo do bycia zapomnianym i do usunięcia danych

1.  Podmiot danych ma prawo do uzyskania od administratora usunięcia danych osobowych odnoszących się do niego oraz zaprzestania dalszego rozpowszechniania tych danych, zwłaszcza w odniesieniu do danych osobowych, które zostały udostępnione przez podmiot danych, kiedy był on dzieckiem, , a także do uzyskania od stron trzecich usunięcia wszelkich linków do tych danych lub ich kopii lub replikacji, jeśli zastosowanie ma jedna z następujących przesłanek:

a)  dane nie są już potrzebne do celów, do których były zebrane lub przetwarzane w inny sposób;

b)  podmiot danych odwołuje zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a), lub gdy minął okres przechowywania, na który wyrażono zgodę oraz jeśli nie ma już podstawy prawnej przetwarzania danych;

c)  podmiot danych sprzeciwia się przetwarzaniu danych osobowych zgodnie z art. 19;

ca)  sąd lub organ regulacyjny z siedzibą w Unii orzekł ostatecznie i kategorycznie, że przedmiotowe dane muszą zostać usunięte;

d)  przetwarzanie danych nie jest zgodne z niniejszym rozporządzeniem z innych powodów dane zostały przetworzone niezgodnie z prawem.

1a.  Przepisy ust. 1 stosuje się w zależności od tego, czy administrator może zweryfikować, że osoba zwracająca się o usunięcie jest podmiotem danych.

2.  W przypadku podania przez administratora, o którym mowa w ust. 1, danych osobowych do wiadomości publicznej bez uzasadnienia opartego o art. 6 ust. 1, podejmuje on wszelkie uzasadnione racjonalne kroki w celu doprowadzenia do usunięcia tych danych, w tym środki techniczne, w odniesieniu do danych, za których publikację odpowiada, by poinformować przez osoby trzecie przetwarzające takie dane, iż podmiot danych wnioskuje o usunięcie linków do danych, kopii lub replikacji tych danych osobowych. Jeśli administrator upoważnił osobę trzecią do publikacji danych osobowych, uważa się go za odpowiedzialnego za tę publikację. , bez uszczerbku dla przepisów art. 77. Administrator informuje podmiot danych, w miarę możliwości, o działaniu podjętym przez dane strony trzecie.

3.  Administrator oraz w stosownych przypadkach, strona trzecia, niezwłocznie usuwa dane, z wyjątkiem w zakresie, w jakim chyba że zatrzymanie danych osobowych jest niezbędne:

a)  do wykonywania prawa wolności wypowiedzi zgodnie z art. 80;

b)  w celu realizacji interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 81;

c)  do celów dokumentacji, statystyki i badań naukowych zgodnie z art. 83;

d)  dla wypełnienia spoczywającego na administratorze obowiązku prawnego w zakresie zatrzymania danych osobowych, nałożonego przez prawo Unii lub prawo państwa członkowskiego; przepisy prawa państwo członkowskie spełniają cel polegający na realizacji celu publicznego, szanują istotę prawa do ochrony danych osobowych oraz są proporcjonalne do wyznaczonego zgodnego z prawem celu;

e)  w przypadkach określonych w ust. 4.

4.  Zamiast usuwania, administrator ogranicza przetwarzanie danych osobowych w ten sposób, że nie podlegają one normalnemu dostępowi do danych ani operacjom przetwarzania i nie mogą już być zmieniane, jeśli:

a)  podmiot danych kwestionuje ich ścisłość, przez czas pozwalający administratorowi na sprawdzenie ścisłości danych;

b)  administrator nie potrzebuje już danych osobowych do wykonania swojego zadania, ale muszą być one przechowywane do celów dowodowych;

c)  przetwarzanie jest niezgodne z prawem i podmiot danych sprzeciwia się ich usunięciu, wnioskując w zamian o ograniczenie ich wykorzystywania;

ca)  sąd lub organ regulacyjny z siedzibą w Unii orzekł ostatecznie i kategorycznie, że przedmiotowe przetwarzanie musi zostać ograniczone;

d)  podmiot danych wnioskuje o przekazanie danych osobowych do innego automatycznego systemu przetwarzania zgodnie z art. 18 15 ust. 2 2a;

da)  dany szczególny rodzaj technologii przechowywania nie pozwala na usunięcie i został wprowadzony przez wejściem w życie niniejszego rozporządzenia.

5.  Dane osobowe, o których mowa w ust. 4, mogą, z wyjątkiem przechowywania, być przetwarzane wyłącznie do celów dowodowych, bądź też za zgodą podmiotu danych, bądź w celu ochrony praw innej osoby fizycznej lub prawnej bądź w celu realizacji interesu publicznego.

6.  Jeżeli przetwarzanie danych osobowych jest ograniczone na mocy ust. 4, administrator informuje podmiot danych przed zniesieniem ograniczenia dotyczącego przetwarzania.

7.  Administrator wdraża mechanizmy służące zapewnieniu przestrzegania terminów usunięcia danych osobowych lub okresowego przeglądu dokonywanego w celu ustalenia potrzeby przechowywania danych.

8.  W przypadku usunięcia danych, administrator nie przetwarza w inny sposób tych danych osobowych.

8a.  Administrator wdraża mechanizmy służące zapewnieniu przestrzegania terminów usunięcia danych osobowych lub okresowego przeglądu dokonywanego w celu ustalenia potrzeby przechowywania danych.

9.  Komisja jest uprawniona do przyjmowania, po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, aktów delegowanych zgodnie z art. 86 w celu doprecyzowania:

a)  kryteriów i wymogów stosowania ust. 1 w poszczególnych sektorach oraz w szczególnych sytuacjach przetwarzania danych;

b)  warunków usuwania linków do danych, kopii lub replikacji danych osobowych z publicznie dostępnych usług łączności, o których mowa w ust. 2;

c)  kryteriów i warunków ograniczania przetwarzania danych osobowych, o których mowa w ust. 4. [Popr. 112]

Artykuł 18

Prawo przenoszenia danych

1.  Podmiot danych ma prawo, jeśli dane osobowe są przetwarzane w sposób elektroniczny oraz w zorganizowanym i powszechnie używanym formacie, do uzyskania od administratora kopii danych podlegających przetwarzaniu w formacie elektronicznym i zorganizowanym, który jest powszechnie używany i umożliwia dalsze wykorzystywanie przez podmiot danych.

2.  Jeżeli podmiot danych przekazał dane osobowe a przetwarzanie opiera się na zgodzie lub umowie, podmiot danych ma prawo do przekazania tych danych osobowych i innych informacji przez siebie przekazanych i przechowywanych w systemie automatycznego przetwarzania danych, do innego systemu, w powszechnie używanym formacie elektronicznym, bez przeszkód ze strony administratora, z którego baz dane osobowe zostają wycofane.

3.  Komisja może opracować format elektroniczny, o którym mowa w ust. 1 oraz techniczne standardy, sposoby i procedury przekazywania danych osobowych na mocy ust. 2. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2. [Popr. 113]

SEKCJA 4

PRAWO WNIESIENIA SPRZECIWU I PROFILOWANIE

Artykuł 19

Prawo wniesienia sprzeciwu

1.  Podmiot danych ma prawo, z przyczyn dotyczących jego szczególnej sytuacji, w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych osobowych opartego na art. 6 ust. 1 lit. d), i e) i f), chyba że administrator wykaże ważne i uzasadnione podstawy przetwarzania, które mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności podmiotu danych.

2.  Jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego przetwarzanie danych osobowych opiera się na art. 6 ust. 1 lit. f), podmiot danych ma prawo, w dowolnej chwili i bez dodatkowego uzasadnienia, nieodpłatnie wnieść sprzeciw, ogólnie lub w odniesieniu do dowolnego konkretnego celu wobec przetwarzania jego danych osobowych do takich celów marketingowych.

2a.   O prawie tym należy wyraźnie poinformować podmiot danych w zrozumiały sposób, tak by informację tę Podmiot danych jest wyraźnie informowany o prawie, o którym mowa w ust. 2, w zrozumiały sposób i w zrozumiałej formie, w jasnym i prostym języku, dostosowanym do potrzeb podmiotu danych, w szczególności w przypadku informacji kierowanych specjalnie do dziecka, przy czym informacje te można było łatwo odróżnić od innych informacji.

2b.  W kontekście korzystania z usług społeczeństwa informacyjnego i niezależnie od dyrektywy 2002/58/WE, prawo do sprzeciwu może być wykonywane za pomocą metod automatycznych z wykorzystaniem technicznego standardu, który umożliwia podmiotowi danych jasne wyrażenie woli.

3.  W przypadku podtrzymania sprzeciwu na mocy ust. 1 i 2, administrator nie może wykorzystywać ani w inny sposób przetwarzać przedmiotowych danych osobowych w celach określonych w sprzeciwie. [Popr. 114]

Artykuł 20

Środki oparte na profilowaniu Profilowanie

1.  Bez uszczerbku dla przepisów art. 6, każda osoba fizyczna ma prawo nie podlegać środkowi, który wywołuje skutki prawne dotyczące tej osoby fizycznej lub ma istotny wpływ na tę osobę fizyczną, a który opiera się wyłącznie na automatycznym przetwarzaniu danych mającym służyć ocenie niektórych aspektów osobistych tej osoby fizycznej lub też analizie bądź przewidzeniu zwłaszcza wyników w pracy, sytuacji ekonomicznej, miejsca przebywania, zdrowia, preferencji osobistych, wiarygodności lub zachowania tej osoby fizycznej. wyrazić sprzeciw wobec profilowania zgodnie z art. 19. Podmiot danych jest bardzo wyraźnie informowany o prawie do wyrażenia sprzeciwu wobec profilowania.

2.  Z zastrzeżeniem innych przepisów niniejszego rozporządzenia, dana osoba może zostać poddana jednemu ze środków, o których mowa w ust. 1 profilowaniu, które prowadzi do środków wywołujących skutki prawne dotyczące podmiotu danych lub ma podobnie istotny wpływ na interesy, prawa lub wolności tego podmiotu danych, jedynie wtedy gdy przetwarzanie:

a)  odbywa się w trakcie zawierania jest niezbędne w celu zawarcia lub wykonania umowy, jeśli wniosek w sprawie zawarcia lub wykonania umowy złożony przez podmiot danych został zrealizowany lub jeśli , pod warunkiem że przewidziano właściwe środki w celu zabezpieczenia słusznych uzasadnionych interesów podmiotu danych, jak np. prawo do uzyskania interwencji ze strony człowieka; lub

b)  jest wyraźnie dozwolone przez prawo Unii lub państwa członkowskiego, które ustanawia również właściwe środki w celu zabezpieczenia słusznych uzasadnionych interesów podmiotu danych; lub

c)  odbywa się na podstawie zgody podmiotu danych, z zastrzeżeniem warunków określonych w art. 7 oraz właściwych gwarancji.

3.  Automatyczne przetwarzanie danych osobowych, które ma służyć ocenie niektórych aspektów osobistych osoby fizycznej, Zakazuje się profilowania, które skutkuje dyskryminacją osób ze względu na ich rasę lub pochodzenie etniczne, poglądy polityczne, religię bądź przekonania, przynależność do związków zawodowych, orientację seksualną bądź tożsamość płciową lub skutkuje środkami mającymi taki efekt. Administrator prowadzi skuteczną ochronę przed ewentualną dyskryminacją wynikającą z profilowania. Profilowanie nie opiera się jedynie na szczególnych kategoriach danych osobowych, o których mowa w art. 9.

4.  W przypadkach o których mowa w ust. 2, informacje, które ma przekazać administrator na mocy art. 14, obejmują informacje dotyczące istnienia przetwarzania w drodze środka takiego jak ten, o którym mowa w ust. 1 oraz przewidywanego wpływu tego przetwarzania na podmiot danych.

5.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i warunków odpowiednich środków służących Profilowanie, które prowadzi do środków wywołujących skutki prawne dotyczące podmiotu danych lub ma podobnie istotny wpływ na interesy, prawa lub wolności tego podmiotu danych, nie opiera się wyłącznie lub głównie na automatycznym przetwarzaniu i obejmuje ocenę ze strony człowieka, w tym wyjaśnienie decyzji podjętej po takiej ocenie. Odpowiednie środki służące zabezpieczeniu słusznych uzasadnionych interesów podmiotu danych, o których mowa w ust. 2, obejmują prawo do otrzymania oceny dokonanej przez człowieka oraz wyjaśnienie decyzjom podjętej po takiej ocenie.

5a.  Europejskiej Radzie Ochrony Danych powierza się zadanie wydawania wytycznych, zaleceń i najlepszych praktyk zgodnie z art. 66 ust. 1 lit. b) w celu doprecyzowania kryteriów i warunków dotyczących profilowania zgodnie z ust. 2. [Popr. 115]

SEKCJA 5

Ograniczenia

Artykuł 21

Ograniczenia

1.  Unia lub państwo członkowskie mogą, w drodze środka ustawodawczego, ograniczyć zakres obowiązków i praw przewidzianych w art. 5 lit. a)-e), art. 11-20 11–19 i art. 32, gdy takie ograniczenie spełnia jasno określony cel leżący w interesie publicznym, respektuje istotę prawa do ochrony danych osobowych, jest proporcjonalne do uzasadnionego wyznaczonego celu i respektuje podstawowe prawa i interesy podmiotu danych oraz stanowi konieczny i proporcjonalny środek w demokratycznym społeczeństwie, służący wprowadzeniu gwarancji w kwestiach takich jak:

a)  zagwarantowaniu bezpieczeństwa publicznego bezpieczeństwo publiczne;

b)  zapewnieniu zapobiegania zapobieganie przestępstwom, prowadzenia prowadzenie dochodzeń w ich sprawie, wykrywania wykrywanie ich lub ścigania ściganie;

c)  zabezpieczeniu innych interesów publicznych Unii lub państwa członkowskiego, w szczególności ważnego interesu gospodarczego lub finansowego Unii lub państwa członkowskiego, w tym kwestii pieniężnych, budżetowych i podatkowych oraz ochrony stabilności i integralności rynku sprawy podatkowe;

d)  zapewnieniu zapobiegania sprawy podatkowe naruszeniom zasad etyki w zawodach podlegających regulacji, prowadzenia prowadzenie dochodzeń w tych sprawach, wykrywania wykrywanie i ścigania ściganie tych naruszeń;

e)  zapewnieniu funkcji kontrolnych, inspekcyjnych funkcje kontrolne, inspekcyjne i regulacyjnych związanych, nawet sporadycznie, z wykonywaniem regulacyjne w ramach wykonywania obowiązków właściwej władzy publicznej w przypadkach, o których mowa w lit. a), b) c) i d);

f)  ochronie ochrona podmiotu danych lub praw i wolności innych osób.

2.  Środek ustawodawczy, o którym mowa w ust. 1, musi stanowić konieczny i proporcjonalny środek w demokratycznym społeczeństwie oraz zawiera przepisy szczególne dotyczące przynajmniej: celów przetwarzania oraz wyznaczenia administratora.

a)   celów przetwarzania;

b)   wyznaczenia administratora;

c)  szczególnych celów i środków przetwarzania;

d)  gwarancji mających na celu zapobieżenie nadużyciom lub niezgodnemu z prawem dostępowi lub przekazywaniu;

e)  prawa podmiotu danych do otrzymania powiadomienia o danym ograniczeniu.

2a.  Środki ustawodawcze, o których mowa w ust. 1, nie pozwalają prywatnym administratorom na zatrzymywanie dodatkowych danych innych niż dane ściśle niezbędne do realizacji pierwotnego celu ani nie nakładają na nich takiego obowiązku. [Popr. 116]

ROZDZIAŁ IV

ADMINISTRATOR I PODMIOT PRZETWARZAJĄCY

SEKCJA 1

OBOWIĄZKI OGÓLNE

Artykuł 22

Odpowiedzialność i rozliczalność administratora

1.  Administrator przyjmuje polityki odpowiednie zasady i realizuje odpowiednie i możliwe do wykazania środki w celu zapewnienia techniczne i organizacyjne, aby zapewnić, by przetwarzanie danych osobowych odbywało się zgodnie z niniejszym rozporządzeniem, oraz wykazania tej zgodności być w stanie wykazać tę zgodność w przejrzysty sposób, uwzględniając najnowsze osiągnięcia techniczne, charakter przetwarzania danych osobowych, kontekst, zakres i cele przetwarzania, ryzyko dla praw i wolności podmiotów danych oraz rodzaj organizacji, zarówno podczas określania sposobów przetwarzania, jak i podczas samego przetwarzania.

1a.  Uwzględniając najnowsze osiągnięcia techniczne oraz koszty wdrożenia, administrator podejmuje wszelkie racjonalne kroki w celu wdrożenia zasad i procedur zgodności, które stale respektują niezależne wybory dokonane przez podmioty danych. Te zasady zgodności są poddawane przeglądowi co najmniej co dwa lata i w razie konieczności aktualizowane.

2.  Środki przewidziane w ust. 1 obejmują w szczególności:

a)  prowadzenie dokumentacji zgodnie z art. 28;

b)  realizację wymogów bezpieczeństwa danych ustanowionych w art. 30;

c)  dokonywanie oceny skutków w zakresie ochrony danych zgodnie z art. 33;

d)  spełnianie wymogu uprzedniego uzyskania zezwolenia organu nadzorczego lub uprzedniej konsultacji z tym organem zgodnie z art. 34 ust. 1 i 2;

e)  wyznaczenie inspektora ochrony danych zgodnie z art. 35 ust. 1.

3.  Administrator wdraża mechanizmy służące zapewnieniu weryfikacji skuteczności jest w stanie wykazać odpowiedniość i skuteczność środków, o których mowa w ust. 1 i 2. Jeśli jest to proporcjonalne, weryfikacja ta przeprowadzona jest przez niezależnych audytorów wewnętrznych lub zewnętrznych. Każde regularne ogólne sprawozdanie z działalności administratora, jak np. obowiązkowe sprawozdania spółek publicznych, zawiera opis zasad i środków, o których mowa w ust. 1.

3a.  Administrator ma prawo do przekazywania danych osobowych w obrębie Unii w ramach grupy przedsiębiorstw, której administrator jest częścią, gdy takie przetwarzanie jest niezbędne ze względu na uzasadnione administracyjne cele wewnętrzne między powiązanymi obszarami biznesowymi grupy przedsiębiorstw oraz gdy odpowiedni poziom ochrony danych, a także interesy podmiotów danych są zabezpieczone wewnętrznymi przepisami dotyczącymi ochrony danych lub równoważnymi kodeksami postępowania, o których mowa w art. 38.

4.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu określenia dalszych kryteriów i wymogów dotyczących właściwych środków, o których mowa w ust. 1, innych niż te omówione w ust. 2, warunków mechanizmów weryfikacji i audytu, o których mowa w ust. 3, a także kryteriów proporcjonalności zgodnie z ust. 3, oraz rozważenia szczególnych środków dla mikroprzedsiębiorców oraz małych i średnich przedsiębiorców. [Popr. 117]

Artykuł 23

Uwzględnienie ochrony danych już w fazie projektowania oraz ochrona danych jako opcja domyślna

1.  Uwzględniając najnowsze osiągnięcia techniczne oraz koszty wdrożenia , obecny stan wiedzy technicznej, najlepsze praktyki w skali międzynarodowej oraz ryzyko, z jakim wiąże się przetwarzanie danych, administrator i ewentualny podmiot przetwarzający, zarówno w momencie ustalania celów i środków niezbędnych do przetwarzania, jak i w momencie samego przetwarzania, wdraża odpowiednie środki i procedury techniczne i organizacyjne, tak by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia oraz gwarantowało ochronę praw podmiotu danych , w szczególności w odniesieniu do zasad określonych w art. 5. Ochrona danych już w fazie projektowania powinna w szczególności uwzględniać cały cykl zarządzania danymi osobowymi od ich zebrania, przez przetwarzanie, do ich usunięcia, systematycznie skupiając się na całościowych gwarancjach proceduralnych odnoszących się do dokładności, poufności, integralności, bezpieczeństwa fizycznego i usunięcia danych osobowych. Jeśli administrator przeprowadził ocenę skutków w zakresie ochrony danych zgodnie z art. 33, jej wyniki uwzględnia się przy opracowywaniu wspomnianych środków i procedur.

1a.  Aby wspierać jej powszechne wdrożenie w różnych sektorach gospodarki, ochrona danych już w fazie projektowania jest warunkiem wstępnym w zamówieniach publicznych zgodnie z dyrektywą 2004/18/WE Parlamentu Europejskiego i Rady(18), a także zgodnie z dyrektywą 2004/17/WE Parlamentu Europejskiego i Rady(19) (dyrektywą sektorową).

2.  Administrator wdraża mechanizmy służące zapewnieniu zapewnia, by domyślnie przetwarzane były jedynie te dane osobowe, które są niezbędne dla realizacji każdorazowego szczególnego celu przetwarzania oraz by w szczególności nie były one zbierane lub , zatrzymywane lub rozpowszechniane dłużej niż przez okres niezbędny do realizacji tych celów, zarówno jeśli chodzi o ilość danych, jak i okres ich przechowywania. Mechanizmy te zapewniają w szczególności, by dane osobowe nie były domyślnie udostępniane nieograniczonej liczbie osób oraz by podmioty danych były w stanie kontrolować rozpowszechnianie swoich danych osobowych.

3.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu określenia dalszych kryteriów i wymogów dotyczących właściwych środków i mechanizmów, o których mowa w ust. 1 i 2, w szczególności wymogów w zakresie uwzględnienia ochrony danych już w fazie projektowania w odniesieniu do sektorów, produktów i usług.

4.  Komisja może ustanowić standardy techniczne dotyczące wymogów ustanowionych w ust. 1 i 2. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2. [Popr. 118]

Artykuł 24

Współadministratorzy

Jeśli administrator kilku administratorów wspólnie określa cele, warunki i środki przetwarzania danych osobowych wspólnie z innymi administratorami, współadministratorzy danych ustalają zakres odpowiedzialności za zgodność z obowiązkami wynikającymi z niniejszego rozporządzenia spoczywającej na każdym z nich, w szczególności jeśli chodzi o procedury i mechanizmy wykonania praw podmiotu danych, w drodze wspólnych ustaleń. Porozumienie należycie odzwierciedla odpowiednie faktyczne role współadministratorów i relacje z podmiotami danych, a istotna treść porozumienia jest udostępniana podmiotowi danych. W przypadku braku jasności co do odpowiedzialności administratorzy ponoszą solidarną odpowiedzialność. [Popr. 119]

Artykuł 25

Przedstawiciele administratorów nie mających siedziby w Unii

1.  W sytuacji, o której mowa w art. 3 ust. 2, administrator wyznacza swojego przedstawiciela na terytorium Unii.

2.  Obowiązku tego nie stosuje się do:

a)  administratora mającego siedzibę w państwie trzecim, jeśli Komisja zdecydowała, iż dane państwo trzecie zapewnia odpowiedni poziom ochrony zgodnie z art. 41; lub

b)  przedsiębiorstwa zatrudniającego mniej niż 250 osób administratora, który przetwarza dane osobowe odnoszące się do mniej niż 5000 podmiotów danych w dowolnym okresie kolejnych 12 miesięcy i nie przetwarza szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, danych dotyczących lokalizacji ani danych dotyczących dzieci lub pracowników w wielkoskalowych zbiorach danych; lub

c)  organu lub podmiotu publicznego; lub

d)  administratora jedynie sporadycznie oferującego towary lub usługi podmiotom danych mającym miejsce zamieszkania na terytorium w Unii, chyba że przetwarzanie danych osobowych dotyczy szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, danych dotyczących lokalizacji ani danych dotyczących dzieci lub pracowników w wielkoskalowych zbiorach danych.

3.  Przedstawiciel ma siedzibę w jednym z państw członkowskich, w którym mają miejsce zamieszkania podmioty danych i których dane osobowe są przetwarzane w związku z oferowaniem im odbywa się oferowanie towarów lub usług podmiotom danych lub których zachowanie jest monitorowane ich monitorowanie.

4.  Wyznaczenie przedstawiciela przez administratora pozostaje bez uszczerbku dla postępowań sądowych, które można by wszcząć przeciwko samemu administratorowi. [Popr. 120]

Artykuł 26

Podmiot przetwarzający

1.  Jeśli operacja przetwarzania przetwarzanie jest realizowana realizowane w imieniu administratora, administrator wybiera podmiot przetwarzający dający wystarczające gwarancje wdrożenia odpowiednich środków i procedur technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia i gwarantowało ochronę praw podmiotów danych, w szczególności jeśli chodzi o techniczne środki bezpieczeństwa i środki organizacyjne regulujące przetwarzanie, które ma być prowadzone, oraz zapewnia zgodność z tym środkami.

2.  Przetwarzanie przez podmiot przetwarzający jest regulowane umową lub innym aktem prawnym wiążącym podmiot przetwarzający z administratorem. i stanowiącym w szczególności Administrator i podmiot przetwarzający dysponują swobodą ustalenia ról i zadań każdej ze stron zgodnie z wymogami niniejszego rozporządzenia oraz postanawiają, że podmiot przetwarzający:

a)  działa przetwarza dane osobowe wyłącznie na polecenie administratora, w szczególności gdy przekazywanie danych osobowych jest zakazane chyba że prawo Unii lub prawo państwa członkowskiego stanowi inaczej;

b)  zatrudnia wyłącznie personel, który zobowiązał się do zachowania poufności lub na którym spoczywa ustawowy obowiązek zachowania poufności;

c)  podejmuje wszelkie wymagane środki na mocy art. 30;

d)  zatrudnia inny podmiot przetwarzający określa warunki zatrudnienia innego podmiotu przetwarzającego jedynie za uprzednią zgodą administratora, chyba że określono inaczej;

e)  o ile to możliwe ze względu na charakter przetwarzania, opracowuje w porozumieniu z administratorem niezbędne właściwe i istotne techniczne i organizacyjne wymogi wykonania przez administratora spoczywającego na nim obowiązku odpowiedzi na wniosek dotyczących wykonania przez podmiot danych praw ustanowionych w rozdziale III;

f)  pomaga administratorowi zapewnić zgodność z obowiązkami określonymi w art. 30-34, uwzględniając charakter przetwarzania oraz informacje dostępne dla podmiotu przetwarzającego;

g)  przekazuje zwraca całość wyników administratorowi po zakończeniu przetwarzania i , nie przetwarza danych osobowych w inny sposób i niszczy istniejące kopie, chyba że prawodawstwo Unii lub państwa członkowskiego wymaga przechowywania danych;

h)  udostępnia administratorowi i organowi nadzorczemu wszelkie informacje niezbędne dla kontroli do wykazania zgodności z obowiązkami określonymi w tym artykule i zezwala na inspekcje w terenie.

3.  Administrator i podmiot przetwarzający sporządzają pisemną dokumentację zaleceń administratora i obowiązków podmiotu przetwarzającego, o których mowa w ust. 2.

3a.  Wystarczające gwarancje, o których mowa w ust. 1, mogą zostać wykazane przez przystąpienie do kodeksów postępowania lub do mechanizmów certyfikacji zgodnie z art. 38 lub 39 niniejszego rozporządzenia.

4.  Jeśli podmiot przetwarzający przetwarza dane osobowe inne, niż te, których przetwarzanie zlecił administrator, lub staje się stroną określającą w odniesieniu do celów i środków przetwarzania danych, podmiot przetwarzający jest uważany za administratora w zakresie tego przetwarzania i podlega przepisom dotyczącym współadministratorów ustanowionym w art. 24.

5.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących zakresu odpowiedzialności, obowiązków i zadań w odniesieniu do podmiotu przetwarzającego zgodnie z ust. 1, oraz warunków, które umożliwiają uproszczenie przetwarzania danych osobowych w ramach grupy przedsiębiorstw, w szczególności do celów kontroli i sprawozdawczości. [Popr. 121]

Artykuł 27

Przetwarzanie z upoważnienia administratora i podmiotu przetwarzającego

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzają je tylko na polecenie administratora, lub gdy wymaga tego prawo Unii lub państwa członkowskiego.

Artykuł 28

Dokumentacja

1.  Każdy administrator i podmiot przetwarzający oraz ewentualnie przedstawiciel administratora prowadzą prowadzi regularnie aktualizowaną dokumentację wszystkich operacji przetwarzania, za które są odpowiedzialni niezbędną do spełnienia wymogów określonych w niniejszym rozporządzeniu.

2.  Dokumentacja zawiera przynajmniej Ponadto każdy administrator i podmiot przetwarzający prowadzi dokumentację zawierającą informacje na temat:

a)  imienia i nazwiska/nazwy oraz danych kontaktowych administratora lub współadministratora albo podmiotu przetwarzającego oraz ewentualnego przedstawiciela;

b)  imienia i nazwiska/nazwy oraz danych kontaktowych ewentualnego inspektora ochrony danych;

c)  celów przetwarzania, w tym słusznych interesów realizowanych przez administratora, jeśli przetwarzanie opiera się na art. 6 ust. 1 lit. f);

d)  opisu kategorii podmiotów danych oraz kategorii danych osobowych odnoszących się do nich;

e)  odbiorców lub kategorii odbiorców danych osobowych, w tym imienia i nazwiska/nazwy oraz danych kontaktowych administratorów, którym ujawniane są dane osobowe na potrzeby realizacji słusznych interesów będących ich celem , ewentualnie;

f)  w odpowiednich przypadkach, przekazywania danych do państw trzecich lub organizacji międzynarodowych, w tym identyfikacji tego państwa trzeciego lub organizacji międzynarodowej oraz, w przypadku przekazywania, o którym mowa w art. 44 ust. 1 lit. h), dokumentacji dotyczącej odpowiednich gwarancji;

g)  ogólnego wskazania terminów usunięcia różnych kategorii danych;

h)  opisu mechanizmów, o których mowa w art. 22 ust. 3.

3.  Administrator i podmiot przetwarzający oraz ewentualny przedstawiciel administratora udostępniają dokumentację organowi nadzorczemu na jego wniosek.

4.  Obowiązków, o których mowa w ust. 1 i 2, nie stosuje się do następujących administratorów i podmiotów przetwarzających:

a)  osoby fizycznej przetwarzającej dane osobowe w celu innym niż handlowy; lub

b)  przedsiębiorstwa lub organizacji zatrudniających mniej niż 250 osób, którzy przetwarzają dane osobowe jedynie w ramach działalności pobocznej w stosunku do działalności głównej.

5.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących dokumentacji, o której mowa w ust. 1, by uwzględnić w szczególności zakres odpowiedzialności administratora i podmiotu przetwarzającego oraz ewentualnie przedstawiciela administratora.

6.  Komisja może ustanowić standardowe formularze dotyczące dokumentacji, o której mowa w ust. 1. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2. [Popr. 122]

Artykuł 29

Współpraca z organem nadzorczym

1.  Administrator i oraz ewentualnie podmiot przetwarzający oraz ewentualnie i przedstawiciel administratora współpracują z organem nadzorczym na jego wniosek w zakresie wykonania swoich zadań, w szczególności poprzez przekazywanie informacji, o których mowa w art. 53 ust. 2 lit. a) oraz udzielanie dostępu w myśl lit. b) tego ustępu.

2.  Administrator i podmiot przetwarzający udzielają odpowiedzi na zapytanie organu nadzorczego wykonującego uprawnienia przekazane mu na podstawie art. 53 ust. 2 w rozsądnym terminie, wskazanym przez ten organ. Odpowiedź na uwagi organu nadzorczego zawiera opis podjętych środków i osiągniętych wyników. [Popr. 123]

SEKCJA 2

BEZPIECZEŃSTWO danych

Artykuł 30

Bezpieczeństwo przetwarzania

1.  Administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, by zapewnić poziom bezpieczeństwa stosowny do ryzyk związanych ryzyka związanego z przetwarzaniem oraz charakterem danych osobowych, które należy chronić, biorąc pod uwagę wyniki oceny skutków w zakresie ochrony danych zgodnie z art. 33, uwzględniając najnowsze osiągnięcia techniczne oraz koszty ich wdrożenia.

1a.  Przy uwzględnieniu najnowszych osiągnięć technicznych oraz kosztów wdrożenia taka polityka bezpieczeństwa obejmuje:

a)  zdolność do zapewnienia poświadczenia integralności danych osobowych;

b)  zdolność do zapewnienia na bieżąco poufności, integralności, dostępności i odporności systemów i usług przetwarzających dane osobowe;

c)  zdolność do terminowego przywrócenia dostępności danych i dostępu do nich na wypadek fizycznego lub technicznego incydentu, który oddziałuje na dostępność, integralność i poufność systemów informacji i usług;

d)  w przypadku przetwarzania szczególnie wrażliwych danych osobowych zgodnie z art. 8 i 9 – dodatkowe środki bezpieczeństwa, aby zapewnić sytuacyjną wiedzę na temat ryzyka i zdolność do podejmowania działań prewencyjnych, naprawczych i łagodzących jego skutki w czasie zbliżonym do rzeczywistego wobec wykrytych słabości oraz incydentów, które mogłyby stanowić zagrożenie dla danych;

e)  proces dotyczący regularnego testowania, szacowania i oceniania rozwiązań, procedur i planów bezpieczeństwa przyjętych celem zapewnienia na bieżąco efektywności.

2.  Administrator i podmiot przetwarzający, po dokonaniu oceny ryzyk, podejmują Środki, o których mowa w ust. 1, by chronić dane osobowe przed ich przypadkowym lub niezgodnym z prawem zniszczeniem bądź przypadkową utratą oraz by zapobiec wszelkim innym formom niezgodnego z prawem przetwarzania, w szczególności nieuprawnionemu ujawnieniu, rozpowszechnieniu, dostępowi lub zmianie danych osobowych. co najmniej:

a)  zapewniają, aby do danych osobowych mógł mieć dostęp wyłącznie uprawniony personel w dozwolonych prawem celach,

b)  chronią przechowywane lub przekazywane dane osobowe przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem; oraz

c)  gwarantują wprowadzanie w życie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.

3.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i warunków dotyczących Europejskiej Radzie Ochrony Danych powierza się zadanie wydawania wytycznych, zaleceń i najlepszych praktyk zgodnie z art. 66 ust. 1 lit. b) w odniesieniu do środków technicznych i organizacyjnych, o których mowa w ust. 1 i 2, w tym zdefiniowania pojęcia najnowszych osiągnięć technicznych, dla konkretnych sektorów oraz w konkretnych sytuacjach przetwarzania danych, uwzględniając w szczególności rozwój technologii oraz rozwiązania w zakresie uwzględnienia ochrony prywatności już w fazie projektowania oraz ochrony danych jako opcji domyślnej, chyba że zastosowanie ma ust. 4.

4.  Komisja może przyjąć, w razie potrzeby, akty wykonawcze mające na celu sprecyzowanie wymogów ustanowionych w ust. 1 i 2 obowiązujących w różnych sytuacjach, w szczególności w celu:

a)  zapobiegania wszelkiemu nieuprawnionemu dostępowi do danych osobowych;

b)  zapobiegania nieuprawnionemu ujawnianiu, odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu danych osobowych;

c)  zapewnienia weryfikacji zgodności z prawem operacji przetwarzania.

Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2. [Popr. 124]

Artykuł 31

Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu

1.  W przypadku naruszenia ochrony danych osobowych, administrator zgłasza organowi nadzorczemu takie naruszeniu bez nieuzasadnionej zbędnej zwłoki i jeśli jest to możliwe, nie później niż w ciągu 24 godzin od momentu dowiedzenia się o tym naruszeniu. Jeśli organ nadzorczy nie zostanie zawiadomiony w ciągu 24 godzin, do zgłoszenia należy dołączyć umotywowane wyjaśnienie.

2.  Na mocy art. 26 ust. 2 lit. f) Podmiot przetwarzający ostrzega i informuje administratora niezwłocznie bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony danych osobowych.

3.  Zgłoszenie, o którym mowa w ust. 1, co najmniej:

a)  opisuje charakter naruszenia ochrony danych osobowych, w tym podaje kategorie i liczbę zainteresowanych podmiotów danych oraz kategorie i liczbę rekordów danych, których dotyczy naruszenie;

b)  podaje imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, w którym można uzyskać więcej informacji;

c)  zaleca środki mające na celu zmniejszenie ewentualnych negatywnych skutków naruszenia ochrony danych osobowych;

d)  opisuje konsekwencje naruszenia ochrony danych;

e)  opisuje środki proponowane lub podjęte przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych i w celu złagodzenia jego skutków.

W razie konieczności informacje mogą być przekazywane etapami.

4.  Administrator sporządza dokumentację dotyczącą wszelkich naruszeń ochrony danych osobowych, obejmującą okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi być wystarczająca do tego, by umożliwiać organowi nadzorczemu sprawdzenie zgodności z niniejszym artykułem i z art. 30. Dokumentacja zawiera wyłącznie informacje niezbędne do realizacji powyższego celu.

4a.  Organ nadzorczy prowadzi rejestr publiczny zgłoszonych rodzajów naruszeń ochrony danych.

5.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących Europejskiej Radzie Ochrony Danych powierza się zadanie wydawania wytycznych, zaleceń i najlepszych praktyk zgodnie z art. 66 ust. 1 lit. b) w odniesieniu do stwierdzenia naruszenia ochrony danych osobowych i do określenia, co stanowi zbędną zwłokę, o którym której mowa w ust. 1 i 2, oraz do szczególnych okoliczności, w których administrator i podmiot przetwarzający mają obowiązek zgłosić naruszenie ochrony danych osobowych.

6.  Komisja może ustanowić standardowe formularze zgłoszenia przekazywanego organowi nadzorczemu, procedury mające zastosowanie do wymogu zgłoszenia, a także formę i sposób prowadzenia dokumentacji, o której mowa w art. 4, w tym terminy usuwania zawartych w niej informacji. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2. [Popr. 125]

Artykuł 32

Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych

1.  Gdy istnieje prawdopodobieństwo, że naruszenie ochrony danych osobowych może niekorzystnie wpłynąć na ochronę danych osobowych lub , prywatność, prawa lub uzasadnione interesy podmiotu danych, administrator, po dokonaniu zgłoszenia, o którym mowa w art. 31, bez nieuzasadnionej zbędnej zwłoki informuje podmiot danych o naruszeniu ochrony danych osobowych.

2.  Zawiadomienie przekazane podmiotowi danych, o którym mowa w ust. 1, jest zrozumiałe oraz sformułowane w jasnym i prostym języku. Opisuje ono charakter naruszenia ochrony danych osobowych i zawiera przynajmniej informacje i zalecenia, o których mowa w art. 31 ust. 3 lit. b) i , c) i d), oraz informacje o prawach podmiotu danych, w tym do dochodzenia roszczeń.

3.  Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych nie jest wymagane, jeśli administrator wykaże, zgodnie z wymogami organu nadzorczego, że wdrożył odpowiednie technologiczne środki ochrony oraz że środki te zostały zastosowane do danych, których dotyczyło naruszenie ochrony danych osobowych. Tego rodzaju technologiczne środki ochrony sprawiają, że dane stają się nieczytelne dla każdego, kto nie jest uprawniony do dostępu do nich.

4.  Bez uszczerbku dla obowiązku administratora w zakresie zawiadomienia podmiotu danych o naruszeniu ochrony danych osobowych, jeśli administrator nie zawiadomił wcześniej podmiotu danych o naruszeniu ochrony danych osobowych, organ nadzorczy może tego od niego zażądać, jeśli stwierdzi możliwość wystąpienia niekorzystnych skutków naruszenia.

5.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących Europejskiej Radzie Ochrony Danych powierza się zadanie wydawania wytycznych, zaleceń i najlepszych praktyk zgodnie z art. 66 ust. 1 lit. b) w odniesieniu do okoliczności, w których naruszenie ochrony danych osobowych może niekorzystnie wpłynąć na dane osobowe, prywatność, prawa lub uzasadnione interesy podmiotu danych, o których mowa w ust. 1.

6.  Komisja może określić format zawiadomienia przekazywanego podmiotowi danych, o którym mowa w ust. 1, oraz procedury mające zastosowanie do tego zawiadomienia. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2. [Popr. 126]

Artykuł 32a

Analiza ryzyka

1.  Administrator lub w stosownych przypadkach podmiot przetwarzający prowadzą analizę ryzyka związanego z potencjalnym wpływem zamierzonego przetwarzania danych na prawa i wolności podmiotów danych, oceniając, czy operacje przetwarzania mogą wiązać się ze szczególnym ryzykiem.

2.  Następujące operacje przetwarzania mogą wiązać się ze szczególnym ryzykiem:

a)  przetwarzanie danych osobowych dotyczących ponad 5000 podmiotów danych w okresie kolejnych 12 miesięcy;

b)  przetwarzanie szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, danych dotyczących lokalizacji lub danych dotyczących dzieci lub pracowników w wielkoskalowych zbiorach danych;

c)  profilowanie, na którym opierają się środki wywołujące skutki prawne dotyczące danej osoby lub mające na nią podobnie istotny wpływ;

d)  przetwarzanie danych osobowych dotyczących stanu zdrowia, badań epidemiologicznych lub badań mających na celu wykrycie chorób psychicznych bądź zakaźnych, jeśli dane są przetwarzane w celu podjęcia na szeroką skalę środków lub decyzji dotyczących konkretnych osób;

e)  zautomatyzowane monitorowanie publicznie dostępnych miejsc na szeroką skalę;

f)  inne operacje przetwarzania, które na mocy art. 34 ust. 2 lit. b) wymagają konsultacji z inspektorem ochrony danych lub z organem nadzorczym;

g)  gdy naruszenie danych osobowych mogłoby negatywnie wpływać na ochronę danych osobowych, prywatność, prawa lub uzasadnione interesy podmiotu danych;

h)  główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych;

i)  gdy dane osobowe są udostępniane liczbie osób, co do której nie ma racjonalnych podstaw, by oczekiwać, że będzie ograniczona.

3.  Zgodnie z wynikiem analizy ryzyka:

a)  gdy ma miejsce jakakolwiek z operacji przetwarzania, o których mowa w ust. 2 lit. a) lub b), administratorzy niemający siedziby w Unii wyznaczają przedstawiciela w Unii zgodnie z wymogami i odstępstwami określonymi w art. 25;

b)  gdy ma miejsce jakakolwiek z operacji przetwarzania, o których mowa w ust. 2 lit. a), b) lub h), administrator wyznacza inspektora ochrony danych zgodnie z wymogami i odstępstwami określonymi w art. 35;

c)  gdy ma miejsce jakakolwiek z operacji przetwarzania, o których mowa w ust. 2 lit. a), b), c), d), e), f), g) lub h), administrator lub podmiot przetwarzający działający w imieniu administratora przeprowadzają ocenę skutków ochrony danych zgodnie z art. 33;

d)  gdy ma mają miejsce operacje przetwarzania, o których mowa w ust. 2 lit. f), administrator zasięga opinii inspektora ochrony danych lub – w przypadku gdy nie wyznaczono inspektora ochrony danych – organu nadzorczego zgodnie z art. 34.

4.  Analiza ryzyka poddawana jest przeglądowi najpóźniej po upływie roku lub natychmiast, jeżeli charakter, zakres lub cele operacji przetwarzania danych ulegną znaczącej zmianie. Gdy zgodnie z ust. 3 lit. c) administrator nie jest zobowiązany do przeprowadzenia oceny skutków ochrony danych, analiza ryzyka jest udokumentowana. [Popr. 127]

SEKCJA 3

OCENA SKUTKÓW W ZAKRESIE OCHRONY ZARZĄDZANIE OCHRONĄ DANYCH I UPRZEDNIE ZEZWOLENIE W CAŁYM CYKLU ICH ŻYCIA [Popr. 128]

Artykuł 33

Ocena skutków w zakresie ochrony danych

1.  Jeśli operacje przetwarzania stwarzają szczególne ryzyko dla praw i wolności podmiotów danych z racji swego charakteru, zakresu lub celów jest to wymagane na mocy art. 32a ust. 3 lit. c), administrator lub podmiot przetwarzający przeprowadzają w imieniu administratora danych ocenę skutków przewidywanych operacji przetwarzania w zakresie ochrony danych osobowych. Dla zbioru operacji przetwarzania wiążących się z podobnym ryzykiem wystarcza pojedyncza ocena.

2.  Szczególne ryzyko, o którym mowa w ust. 1, stwarzają w szczególności następujące operacje przetwarzania:

a)  systematyczna i kompleksowa ocena aspektów osobowych osoby fizycznej bądź operacje przetwarzania mające na celu analizę lub przewidzenie w szczególności sytuacji ekonomicznej, miejsca pobytu, stanu zdrowia, preferencji osobistych, wiarygodności lub zachowania osoby fizycznej, która opiera się na automatycznym przetwarzaniu, i na której opierają się środki, które wywołują skutki prawne dotyczące danej osoby lub mają na nią istotny wpływ;

b)  przetwarzanie informacji na temat życia seksualnego, stanu zdrowia, rasy i pochodzenia etnicznego oraz świadczenia usług opieki zdrowotnej, badań epidemiologicznych lub badań mających na celu wykrycie chorób psychicznych bądź zakaźnych, jeśli dane są przetwarzane w celu podjęcia na szeroką skalę środków lub decyzji dotyczących konkretnych osób;

c)  monitorowanie publicznie dostępnych miejsc, zwłaszcza przy wykorzystaniu urządzeń optyczno-elektronicznych (wideonadzór) na szeroką skalę;

d)  przetwarzanie danych osobowych w wielkoskalowych zbiorach danych dotyczących dzieci, danych genetycznych lub biometrycznych;

e)  inne operacje przetwarzania, które na mocy art. 34 ust. 2 lit. b) wymagają konsultacji z organem nadzorczym.

3.  Ocena uwzględnia cały cykl zarządzania danymi osobowymi od ich gromadzenia, przez przetwarzanie, aż po ich usunięcie. Obejmuje ona przynajmniej: ogólny opis przewidywanych operacji przetwarzania, ocenę ryzyk dla praw i wolności podmiotów danych, środki przewidywane w celu sprostania ryzykom, gwarancje, środki i mechanizmy bezpieczeństwa mające zagwarantować ochronę danych osobowych oraz wykazać zgodność z niniejszym rozporządzeniem, uwzględniając prawa i słuszne interesy podmiotów danych i innych zainteresowanych osób. :

a)  systematyczny opis planowanych operacji przetwarzania, celów przetwarzania oraz, w stosownych przypadkach, uzasadnionych interesów realizowanych przez administratora;

b)  ocenę konieczności i proporcjonalności operacji przetwarzania w stosunku do celów;

c)  ocenę ryzyka dla praw i wolności podmiotów danych, w tym ryzyka dyskryminacji, jakie pociąga za sobą lub jakie wzmacnia operacja;

d)  opis środków przewidywanych w celu uwzględnienia ryzyka i w celu ograniczenia do minimum ilości przetwarzanych danych osobowych;

e)  wykaz gwarancji, środków i mechanizmów bezpieczeństwa mających zagwarantować ochronę danych osobowych, takich jak pseudonimizacja, oraz wykazać zgodność z niniejszym rozporządzeniem, z uwzględnieniem praw i uzasadnionych interesów podmiotów danych i innych zainteresowanych osób.

f)  ogólne wskazanie terminów usunięcia różnych kategorii danych;

g)  wyjaśnienie dotyczące tego, jakie działania w zakresie ochrony danych już w fazie projektowania oraz ochrony danych jako opcji domyślnej zostały przeprowadzone zgodnie z art. 23;

h)  wykaz odbiorców lub kategorii odbiorców danych osobowych;

i)  w odpowiednich przypadkach, wykaz planowanych operacji przekazywania danych do państw trzecich lub organizacji międzynarodowych, ze wskazaniem danego państwa trzeciego lub danej organizacji międzynarodowej;

j)  ocenę kontekstu przetwarzania danych.

3a.  Jeżeli administrator lub podmiot przetwarzający wyznaczył inspektora ochrony danych, inspektor ten uczestniczy w procedurze oceny skutków.

3b.  Ocena jest udokumentowana i określa harmonogram regularnych okresowych przeglądów zgodności z przepisami w zakresie ochrony danych zgodnie z art. 33a ust. 1. Ocena jest bezzwłocznie aktualizowana, jeżeli wyniki przeglądu zgodności z przepisami w zakresie ochrony danych, o którym mowa w art. 33a, wskazują na niezgodności; Administrator i podmiot przetwarzający oraz ewentualny przedstawiciel administratora udostępniają ocenę organowi nadzorczemu na jego wniosek.

4.  Administrator zwraca się o opinie do podmiotów danych lub ich przedstawicieli w zakresie planowanego przetwarzania, bez uszczerbku dla ochrony handlowych lub publicznych interesów lub bezpieczeństwa operacji przetwarzania.

5.  Jeśli administrator jest organem lub podmiotem publicznym i jeśli przetwarzanie wynika z obowiązku prawnego na mocy art. 6 ust. 1 lit. c) przewidującego zasady i procedury operacji przetwarzania przewidziane przez prawo Unii, ust. 1-4 nie stosuje się, chyba że państwa członkowskie uznają przeprowadzenie takiej oceny przed przetwarzaniem za niezbędne.

6.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i warunków operacji przetwarzania mogących stwarzać szczególne ryzyko, o którym mowa w ust. 1 i 2 oraz wymogów w zakresie oceny, o których mowa w ust. 3, w tym warunków skalowalności, weryfikowalności i sprawdzenia. Wykonując to uprawnienie, Komisja rozważa szczególne środki dla mikroprzedsiębiorców oraz małych i średnich przedsiębiorców.

7.  Komisja może określić standardy i procedury przeprowadzania, weryfikowania i kontroli oceny, o której mowa w 3. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2. [Popr. 129]

Artykuł 33a

Przegląd zgodności z przepisami w zakresie ochrony danych

1.  Najpóźniej dwa lata po przeprowadzeniu oceny skutków zgodnie z art. 33 ust. 1 administrator lub podmiot przetwarzający działający w imieniu administratora przeprowadza przegląd zgodności. Przegląd zgodności, o którym mowa powyżej, służy wykazaniu, że przetwarzanie danych osobowych odbywa się zgodnie z oceną skutków w zakresie ochrony danych.

2.  Przegląd zgodności jest przeprowadzany okresowo co najmniej raz na dwa lata lub niezwłocznie w przypadku zmiany pod względem konkretnego ryzyka, jakie stwarzają operacje przetwarzania.

3.  Gdy w wyniku przeglądu zgodności wykazano niezgodności, przegląd ten zawiera zalecenia dotyczące sposobu zapewnienia pełnej zgodności.

4.  Przegląd zgodności i zalecenia z nim zawarte są dokumentowane. Administrator i podmiot przetwarzający oraz ewentualny przedstawiciel administratora udostępniają przegląd zgodności organowi nadzorczemu na jego wniosek.

5.  Jeżeli administrator lub podmiot przetwarzający wyznaczył inspektora ochrony danych, inspektor ten uczestniczy w procedurze przeglądu zgodności. [Popr. 130]

Artykuł 34

Uprzednie zezwolenie i Uprzednia konsultacja

1.  Administrator lub podmiot przetwarzający, w zależności od przypadku, uzyskują zezwolenie organu nadzorczego przed przetwarzaniem danych osobowych, by zapewnić zgodność planowanego przetwarzania z niniejszym rozporządzeniem, w szczególności by złagodzić ryzyko dla podmiotów danych, jeśli administrator lub podmiot przetwarzający przyjmą klauzule umowne przewidziane w art. 42 ust. 2 lit. d) lub nie wprowadzą odpowiednich gwarancji do prawnie wiążących instrumentów, o których mowa w art. 42 ust. 5, dotyczących przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

2.  Administrator lub podmiot przetwarzający działający w imieniu administratora przeprowadzają konsultacje z inspektorem ochrony danych lub, w przypadku, gdy inspektor ochrony danych nie został wyznaczony, z organem nadzorczym przed przetwarzaniem danych, by zapewnić zgodność planowanego przetwarzania z niniejszym rozporządzeniem, w szczególności by załagodzić związane z tym ryzyko dla podmiotu danych, jeśli:

a)  ocena skutków ochrony danych przewidziana w art. 33 wskazuje, że operacje przetwarzania danych mogą, ze względu na swój charakter, zakres lub cele, wiązać się z wysokim poziomem szczególnych ryzyk; lub

b)  inspektor ochrony danych lub organ nadzorczy uzna za niezbędne przeprowadzenie uprzedniej konsultacji na temat operacji przetwarzania mogących stanowić szczególne ryzyko dla praw i wolności podmiotów danych ze względu na swój charakter, zakres lub cele, określonych w ust. 4.

3.  Jeśli w opinii organu nadzorczego właściwy organ nadzorczy stwierdzi w ramach swoich uprawnień, że planowane przetwarzanie nie jest zgodne z niniejszym rozporządzeniem, w szczególności jeśli ryzyka ryzyko nie zostały zostało dostatecznie zidentyfikowane lub złagodzone, zakazuje planowanego przetwarzania i występuje z odpowiednimi propozycjami mającymi na celu zniwelowanie braku zgodności.

4.  Organ nadzorczy Europejska Rada Ochrony Danych ustanawia i udostępnia publicznie wykaz operacji przetwarzania, w przypadku których wymagana jest uprzednia konsultacja na mocy ust. 2 lit. b). Organ nadzorczy przekazuje następnie takie wykazy Europejskiej Radzie Ochrony Danych.

5.  Jeśli wykaz, o którym mowa w ust. 4, obejmuje przetwarzanie związane z oferowaniem towarów lub usług podmiotom danych w wielu państwach członkowskich, lub z monitorowaniem ich zachowania, bądź może w sposób istotny wpłynąć na swobodny przepływ danych osobowych na terytorium Unii, organ nadzorczy stosuje mechanizm zgodności, o którym mowa w art. 57, przed przyjęciem takiego wykazu.

6.  Administrator lub podmiot przetwarzający przekazują organowi nadzorczemu ocenę skutków w zakresie ochrony danych, o której mowa w zgodnie z art. 33 oraz, na żądanie, wszelkie inne informacje mogące umożliwić organowi nadzorczemu ocenę zgodności przetwarzania, w szczególności ryzyk ryzyka dla ochrony danych osobowych podmiotu danych oraz powiązanych gwarancji.

7.  Państwa członkowskie przeprowadzają z organem nadzorczym konsultacje w toku opracowywania środka ustawodawczego, który ma być przyjęty przez parlament narodowy lub środka opartego na tym środku ustawodawczym, który definiuje charakter przetwarzania, by zapewnić zgodność zamierzonego przetwarzania z niniejszym rozporządzeniem, w szczególności by załagodzić ryzyka ryzyko dla podmiotów danych.

8.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i warunków ustalenia wysokiego poziomu szczególnych ryzyk, o których mowa w ust. 2 lit. a).

9.  Komisja może opracować standardowe formularze i procedury dotyczące uprzedniego zezwolenia oraz uprzedniej konsultacji, o których mowa w ust. 1 i 2, oraz standardowe formularze i procedury dotyczące informowania organu nadzorczego na mocy ust. 6. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2. [Popr. 131]

SEKCJA 4

INSPEKTOR OCHRONY DANYCH

Artykuł 35

Wyznaczenie inspektora ochrony danych

1.  Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, w każdym przypadku, w którym:

a)  przetwarzania dokonuje organ lub podmiot publiczny; lub

b)  przetwarzania dokonuje przedsiębiorstwo zatrudniające 250 osób lub więcej osoba prawna i dotyczy ono ponad 5000 podmiotów danych rocznie w dowolnym okresie kolejnych 12 miesięcy; lub

c)  główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych; lub

d)  główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu szczególnych kategorii danych zgodnie z art. 9 ust. 1, danych dotyczących lokalizacji lub danych dotyczących dzieci lub pracowników w wielkoskalowych zbiorach danych.

2.  W przypadku, o którym mowa w ust. 1 lit. b), Grupa przedsiębiorstw może wyznaczyć jednego głównego odpowiedzialnego inspektora ochrony danych, pod warunkiem zapewnienia łatwego kontaktu z inspektorem ochrony danych z każdej siedziby.

3.  Jeśli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, inspektor ochrony danych może być wyznaczony dla szeregu jego jednostek organizacyjnych, z uwzględnieniem struktury organizacyjnej organu lub podmiotu publicznego.

4.  W przypadkach innych niż te, o których mowa w ust. 1, administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące różne kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć jednego inspektora ochrony danych.

5.  Administrator lub podmiot przetwarzający wyznaczają inspektora ochrony danych na podstawie jego kwalifikacji zawodowych oraz w szczególności jego wiedzy specjalistycznej z zakresu prawa ochrony danych, praktyki i zdolności do wykonywania zadań, o których mowa w art. 37. Niezbędny poziom wiedzy specjalistycznej ustala się w szczególności zgodnie z prowadzonym przetwarzaniem danych oraz ochroną wymaganą dla danych osobowych przetwarzanych przez administratora lub podmiot przetwarzający.

6.  Administrator lub podmiot przetwarzający gwarantują, by inne obowiązki zawodowe inspektora ochrony danych były zgodne z zadaniami i obowiązkami tej osoby jako inspektora ochrony danych i by nie skutkowały one konfliktem interesów.

7.  Administrator lub podmiot przetwarzający wyznaczają inspektora ochrony danych na okres co najmniej dwóch czterech lat w przypadku pracowników lub dwóch lat w przypadku zewnętrznych wykonawców usług. Inspektor ochrony danych może być powoływany na kolejne kadencje. Inspektora ochrony danych można odwołać w czasie trwania kadencji jedynie wtedy, gdy przestał spełniać warunki niezbędne do pełnienia przez niego obowiązków.

8.  Inspektor ochrony danych może być zatrudniony przez administratora lub podmiot przetwarzający lub wykonywać swoje zadania na podstawie umowy o świadczenie usług.

9.  Administrator lub podmiot przetwarzający informują organ nadzorczy oraz opinię publiczną o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych.

10.  Podmioty danych mają prawo kontaktować się z inspektorem ochrony danych we wszystkich kwestiach związanych z przetwarzaniem swoich danych oraz wnioskować o możliwość wykonania praw przysługujących im na mocy niniejszego rozporządzenia.

11.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących głównej działalności administratora lub podmiotu przetwarzającego, o której mowa w ust. 1 lit. c) oraz kryteriów dotyczących kwalifikacji zawodowych inspektora ochrony danych, o których mowa w ust. 5. [Popr. 132]

Artykuł 36

Status inspektora ochrony danych

1.  Administrator lub podmiot przetwarzający dopilnowują, by inspektor ochrony danych był właściwie i terminowo włączany we wszystkie kwestie dotyczące ochrony danych osobowych.

2.  Administrator i podmiot przetwarzający dopilnowują, by inspektor ochrony danych wykonywał swoje obowiązki i zadania niezależnie i nie otrzymywał żadnych poleceń dotyczących pełnienia swojej funkcji. Inspektor ochrony danych podlega bezpośrednio kierownictwu wykonawczemu administratora lub podmiotu przetwarzającego. Administrator lub podmiot przetwarzający wyznacza do tego celu członka kierownictwa wykonawczego, który odpowiada za zgodność z przepisami niniejszego rozporządzenia.

3.  Administrator lub podmiot przetwarzający wspierają inspektora ochrony danych w wykonywaniu przez niego zadań i zapewniają wszelkie środki, w tym personel, pomieszczenia, sprzęt i zasoby niezbędne do wykonywania obowiązków i zadań, o których mowa w art. 37, oraz do utrzymania poziomu jego wiedzy zawodowej.

4.  Inspektorzy ochrony danych są zobowiązani do zachowania tajemnicy co do tożsamości podmiotów danych i co do okoliczności umożliwiających ich identyfikację, chyba że podmiot danych zwolni ich z tego obowiązku. [Popr. 133]

Artykuł 37

Zadania inspektora ochrony danych

1.  Administrator lub podmiot przetwarzający powierzają inspektorowi ochrony danych przynajmniej poniższe zadania:

a)  upowszechnianie wiedzy, informowanie administratora lub podmiotu przetwarzającego oraz doradzanie im w odniesieniu o ich obowiązkach wynikających z niniejszego rozporządzenia i doradzanie im w tej sprawie, w szczególności w odniesieniu do środków i procedur o charakterze technicznym i organizacyjnym, oraz dokumentowanie tej działalności i uzyskiwanych odpowiedzi;

b)  monitorowanie wykonania i stosowania polityk polityki administratora lub podmiotu przetwarzającego w zakresie ochrony danych osobowych, w tym przydział obowiązków, szkolenie personelu zaangażowanego w operacje przetwarzania oraz powiązane kontrole;

c)  monitorowanie wykonania i stosowania niniejszego rozporządzenia, w szczególności jeśli chodzi o wymogi dotyczące uwzględnienia ochrony danych już w fazie projektowania, ochrony danych jako opcji domyślnej i bezpieczeństwa danych oraz informowania podmiotów danych, a także wniosków w ramach wykonywania praw przysługujących im na mocy niniejszego rozporządzenia.

d)  zapewnienie prowadzenia dokumentacji, o której mowa w art. 28;

e)  monitorowanie dokumentacji, zgłoszeń i zawiadomień dotyczących naruszeń ochrony danych osobowych na mocy art. 31 i 32;

f)  monitorowanie przeprowadzenia oceny skutków w zakresie ochrony danych przez administratora lub podmiot przetwarzający oraz wniosków o uprzednie zezwolenie lub uprzednią konsultację, jeśli są one wymagane na mocy art. 32a, art. 33 i art. 34;

g)  monitorowanie odpowiedzi na wnioski organów nadzorczych oraz, w ramach kompetencji inspektora ochrony danych, współpraca z organem nadzorczym na wniosek tego organu lub z inicjatywy inspektora ochrony danych;

h)  pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz zasięganie opinii organu nadzorczego, w odpowiednich przypadkach, z inicjatywy inspektora ochrony danych;

i)  weryfikowanie zgodności z niniejszym rozporządzeniem w ramach mechanizmu uprzedniej konsultacji, o którym mowa w art. 34;

j)  informowanie przedstawicieli pracowników o przetwarzaniu danych pracowników.

2.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących zadań, certyfikacji, statusu, uprawnień i zasobów inspektora ochrony danych, o których mowa w ust. 1. [Popr. 134]

SEKCJA 5

KODEKSY POSTĘPOWANIA I CERTYFIKACJA

Artykuł 38

Kodeksy postępowania

1.  Państwa członkowskie, organy nadzorcze i Komisja zachęcają do sporządzania kodeksów postępowania lub do przyjmowania kodeksów postępowania sporządzonych przez organ nadzorczy, które mają przyczynić się do właściwego stosowania niniejszego rozporządzenia, z uwzględnieniem szczególnych cech różnych sektorów, w których odbywa się przetwarzanie, w szczególności w zakresie:

a)  rzetelnego i przejrzystego przetwarzania danych;

aa)  przestrzegania praw konsumenta;

b)  zbierania danych;

c)  informowania opinii publicznej i podmiotów danych;

d)  wniosków podmiotów danych w wykonaniu przysługujących im praw;

e)  informowania i ochrony dzieci;

f)  przekazywania danych państwom trzecim lub organizacjom międzynarodowym;

g)  mechanizmów monitorowania i zapewnienia zgodności z kodeksem przez administratorów, którzy zobowiązali się do jego przestrzegania;

h)  postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a podmiotami danych w zakresie przetwarzania danych osobowych, bez uszczerbku dla praw podmiotów danych na mocy art. 73 i 75.

2.  Zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających w jednym państwie członkowskim, które pragną opracować kodeksy postępowania bądź zmienić lub uzupełnić obowiązujące kodeksy postępowania, mogą przedstawić je organowi nadzorczemu w tym państwie członkowskim celem zasięgnięcia opinii. Organ nadzorczy może wydać bez zbędnej zwłoki wydaje opinię dotyczącą zgodności przetwarzania na mocy projektu kodeksu postępowania lub proponowanej zmiany z niniejszym rozporządzeniem. Organ nadzorczy zasięga opinii podmiotów danych lub ich przedstawicieli na temat tych projektów.

3.  Zrzeszenia i inne podmioty reprezentujące pewne kategorie administratorów lub podmiotów przetwarzających w wielu państwach członkowskich mogą przedkładać Komisji projekty kodeksów postępowania i zmiany lub uzupełnienia obowiązujących kodeksów postępowania.

4.  Komisja może przyjąć akty wykonawcze jest uprawniona do przyjmowania aktów delegowanych po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, zgodnie z art. 86, w celu podjęcia decyzji, czy kodeksy postępowania i zmiany lub uzupełnienia obowiązujących kodeksów postępowania przedłożone jej na mocy ust. 3 są zgodne z niniejszym rozporządzeniem i mają ogólną moc obowiązującą w całej Unii. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą określoną w art. 87 ust. 2. Takie akty delegowane przyznają podmiotom danych egzekwowalne prawa.

5.  Komisja zapewnia odpowiednie propagowanie informacji i kodeksach, których ogólną moc obowiązującą stwierdzono zgodnie z ust. 4. [Popr. 135]

Artykuł 39

Certyfikacja

1.  Państwa członkowskie i Komisja zachęcają, w szczególności na poziomie europejskim, do ustanawiania mechanizmów certyfikacji w zakresie danych osobowych oraz pieczęci i oznaczeń w zakresie ochrony danych, które umożliwią podmiotom danych szybką ocenę poziomu ochrony danych zapewnionej przez administratorów i podmioty przetwarzające. Mechanizmy certyfikacji w zakresie ochrony danych przyczyniają się właściwego stosowania niniejszego rozporządzenia, z uwzględnieniem szczególnych cech różnych sektorów oraz rozmaitych operacji przetwarzania.

1a.  Dowolny administrator lub podmiot przetwarzający może zwrócić się do dowolnego organu nadzorczego w Unii, za racjonalną opłatą uwzględniającą koszty administracyjne, o poświadczenie, że przetwarzanie danych osobowych odbywa się zgodnie z niniejszym rozporządzeniem, w szczególności z zasadami określonymi w art. 5, 23 i 30, z obowiązkami administratora i podmiotu przetwarzającego oraz z prawami podmiotu danych.

1b.   Certyfikacja jest dobrowolna, niedroga i dostępna w ramach przejrzystego procesu, który nie jest nadmiernie uciążliwy.

1c.  Organy nadzorcze oraz Europejska Rada Ochrony Danych współpracują w ramach mechanizmu zgodności zgodnie z art. 57 w celu zagwarantowania zharmonizowanej certyfikacji ochrony danych, w tym zharmonizowanych opłat w Unii.

1d.  Podczas procedury certyfikacji organ nadzorczy może akredytować audytorów działających z ramienia wyspecjalizowanych stron trzecich do przeprowadzenia w jego imieniu kontroli administratora lub podmiotu przetwarzającego. Audytorzy działający z ramienia stron trzecich mają wystarczający wykwalifikowany personel, są bezstronni i wolni od wszelkich konfliktów interesów w odniesieniu do swoich obowiązków. Organy nadzorcze odwołują akredytację, jeżeli istnieją powody, by uważać, że audytor nie wypełnia należycie swoich obowiązków. Ostateczna certyfikacja zapewniana jest przez organ nadzorczy.

1e.  Organy nadzorcze przyznają administratorom i podmiotom przetwarzającym, co do których w wyniku audytu poświadczono, że przetwarzają dane osobowe zgodnie z niniejszym rozporządzeniem, standardowe oznaczenie w zakresie ochrony danych nazywane „europejską pieczęcią w zakresie ochrony danych”.

1f.  Europejska pieczęć w zakresie ochrony danych jest ważna tak długo, jak długo operacja przetwarzania danych prowadzone przez akredytowanego administratora lub podmiot przetwarzający są w pełni zgodne z niniejszym rozporządzeniem.

1g.  Niezależnie od ust. 1f, certyfikacja jest ważna najwyżej przez pięć lat.

1h.  Europejska Rada Ochrony Danych ustanawia publiczny rejestr elektroniczny, w którym ogół społeczeństwa może zapoznać się ze wszystkimi ważnymi i nieważnymi certyfikatami wydanymi w państwach członkowskich.

1i.  Europejska Rada Ochrony Danych może z własnej inicjatywy poświadczyć, że standard techniczny służący wzmocnieniu ochrony danych jest zgodny z niniejszym rozporządzeniem.

2.  Komisja jest uprawniona do przyjmowania – po zasięgnięciu opinii Europejskiej Rady Ochrony Danych i po konsultacji z zainteresowanymi stronami, w szczególności z przedstawicielami przemysłu i organizacjami pozarządowymi – aktów delegowanych zgodnie z art. 86 w celu doprecyzowania kryteriów i wymogów dotyczących mechanizmów certyfikacji w zakresie ochrony danych, o których mowa w ust. 1 1a–1h, w tym wymogów dotyczących akredytacji audytorów, warunków przyznawania i odwoływania, oraz wymogów w zakresie uznawania na terytorium Unii i w państwach trzecich. Takie akty delegowane przyznają podmiotom danych egzekwowalne prawa.

3.  Komisja może ustanowić standardy techniczne dla mechanizmów certyfikacji oraz pieczęci i oznaczeń w zakresie ochrony danych, a także sposoby promowania i uznawania mechanizmów certyfikacji oraz pieczęci i oznaczeń w zakresie ochrony danych. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą określoną w art. 87 ust. 2. [Popr. 136]

ROZDZIAŁ V

PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH LUB ORGANIZACJI MIĘDZYNARODOWYCH

Artykuł 40

Ogólne zasady przekazywania

Przekazanie danych osobowych, które są lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej może nastąpić tylko wtedy gdy, z zastrzeżeniem innych przepisów niniejszego rozporządzenia, administrator lub podmiot danych spełnią warunki wymienione w tym rozdziale, w tym dotyczące wtórnego przekazania danych z państwa trzeciego lub od organizacji międzynarodowej do innego państwa trzeciego lub innej organizacji międzynarodowej.

Artykuł 41

Przekazywanie na podstawie decyzji stwierdzającej odpowiedni poziom ochrony

1.  Przekazanie może nastąpić, jeżeli Komisja zdecydowała, iż państwo trzecie, terytorium lub sektor, w którym odbywa się przetwarzanie danych w tym państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony. Takie przekazanie nie wymaga żadnego dodatkowego specjalnego zezwolenia.

2.  Przy ocenie odpowiedniości poziomu ochrony Komisja uwzględnia następujące elementy:

a)  praworządność, ogólne i sektorowe przepisy obowiązujące w tym zakresie, w tym dotyczące bezpieczeństwa publicznego, obronności, bezpieczeństwa narodowego i prawa karnego, a także wdrożenie tych przepisów, zasad wykonywania zawodu i środków bezpieczeństwa, które są przestrzegane w tym państwie lub organizacji międzynarodowej, precedensy prawne, a także skuteczne i egzekwowalne prawa, w tym prawa do skutecznych administracyjnych i sądowych środków ochrony prawnej przysługujące podmiotom danych, w szczególności tym podmiotom danych mającym miejsce zamieszkania w Unii, których dane osobowe są przekazywane;

b)  istnienie i skuteczne działanie przynajmniej jednego niezależnego organu nadzorczego w państwie trzecim lub organizacji międzynarodowej, odpowiedzialnego za zapewnienie zgodności z przepisami o ochronie danych, w tym wystarczające uprawnienia do nakładania sankcji, pomoc i doradzanie podmiotom danych w zakresie wykonania przysługujących im praw, a także współpracę z organami nadzorczymi Unii i państw członkowskich; oraz

c)  międzynarodowe zobowiązania zaciągnięte przez dane państwo trzecie lub organizację międzynarodową, w szczególności wszelkie prawnie wiążące konwencje lub instrumenty odnoszące się od ochrony danych osobowych.

3.  Komisja może jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86, aby zdecydować, że państwo trzecie, terytorium lub sektor, w którym odbywa się przetwarzanie danych w państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony w rozumieniu ust. 2. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2. Takie akty delegowane przewidują klauzulę wygaśnięcia, jeżeli dotyczą sektora przetwarzania, i zostają uchylone zgodnie z ust. 5, gdy tylko odpowiedni poziom ochrony danych zgodnie z niniejszym rozporządzeniem przestaje być zapewniony.

4.  Akty wykonawcze delegowane określają geograficzny terytorialny i sektorowy zakres stosowania oraz, w stosownych przypadkach, wskazują organ nadzorczy wymieniony w ust. 2 lit. b).

4a.  Komisja w trybie ciągłym monitoruje zachodzące w państwach trzecich i organizacjach międzynarodowych zmiany, które mogłyby wpłynąć na elementy wymienione w ust. 2, w przypadku gdy przyjęto akt delegowany na mocy ust. 3.

5.  Komisja może zdecydować jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu zdecydowania, że państwo trzecie, terytorium lub sektor, w którym odbywa się przetwarzanie danych w państwie trzecim lub organizacja międzynarodowa nie zapewniają właściwego poziomu ochrony – lub przestały zapewniać taki poziom – w rozumieniu ust. 2 tego artykułu, w szczególności w przypadkach w których odnośne przepisy ogólne i sektorowe obowiązujące w państwie trzecim lub organizacji międzynarodowej nie gwarantują skutecznych i egzekwowalnych praw, w tym prawa do skutecznych administracyjnych i sądowych środków ochrony prawnej podmiotom danych, w szczególności tym podmiotom danych mającym miejsce zamieszkania w Unii, których dane osobowe są przetwarzane. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2 lub w przypadkach wyjątkowo pilnych w odniesieniu do osób fizycznych w zakresie ich prawa do ochrony danych osobowych, zgodnie z procedurą, o której mowa w art. 87 ust. 3.

6.  W przypadku podjęcia przez Komisję decyzji na mocy art. 5 wszelkie operacje przekazywania danych osobowych do państwa trzeciego, na terytorium lub do sektora, w którym odbywa się przetwarzanie danych w tym państwie lub do organizacji międzynarodowej są zakazane, bez uszczerbku dla przepisów art. 42-44. We właściwym czasie Komisja przystąpi do konsultacji z państwem trzecim lub organizacją międzynarodową w celu zaradzenia sytuacji wynikającej z decyzji podjętej na mocy ust. 5 tego artykułu.

6a.  Przed przyjęciem aktu delegowanego zgodnie z ust. 3 i 5 Komisja zwraca się do Europejskiej Rady Ochrony Danych o przedstawienie opinii na temat odpowiedniości poziomu ochrony. W tym celu Komisja udostępnia Europejskiej Radzie Ochrony Danych wszelką niezbędną dokumentację, w tym korespondencję z rządem państwa trzeciego, terytorium lub sektorem przetwarzającym w tym państwie trzecim lub organizacją międzynarodową.

7.  Komisja publikuje w Dzienniku Urzędowym Unii Europejskiej i na swojej stronie internetowej wykaz tych państw trzecich, terytoriów i sektorów, w których odbywa się przetwarzanie danych w państwie trzecim oraz organizacji międzynarodowych, co do których zdecydowano, że zapewniają odpowiedni poziom ochrony lub tego poziomu nie zapewniają.

8.  Decyzje przyjęte przez Komisję na mocy art. 25 ust. 6 lub art. 26 ust. 4 dyrektywy 95/46/WE pozostają w mocy do czasu ich zmiany, zastąpienia przez okres pięciu lat po wejściu w życie niniejszego rozporządzenia, chyba że zostaną zmienione, zastąpione lub uchylenia uchylone przez Komisję przed upływem tego okresu. [Popr. 137]

Artykuł 42

Operacje przekazywania dzięki odpowiednim gwarancjom

1.  W przypadkach, w których Gdy Komisja nie podjęła decyzji na mocy art. 41 lub uznała, że państwo trzecie lub terytorium lub sektor przetwarzający w tym państwie trzecim lub organizacja międzynarodowa nie zapewniają wystarczającego poziomu ochrony zgodnie z art. 41 ust. 5, administrator lub podmiot przetwarzający nie mogą przekazać dane osobowe przekazywać danych osobowych do państwa trzeciego lub organizacji międzynarodowej jedynie wtedy, gdy, chyba że wprowadzą oni odpowiednie gwarancje w zakresie ochrony danych do prawnie wiążącego instrumentu.

2.  Odpowiednie gwarancje, o których mowa w ust. 1, mogą mieć w szczególności postać:

a)  wiążących reguł korporacyjnych zgodnie z art. 43, lub:

aa)  ważnej „europejskiej pieczęci w zakresie ochrony danych” dla administratora i odbiorcy zgodnie z art. 39 ust. 1e; lub

b)  standardowych klauzul ochrony danych przyjętych przez Komisję. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2; lub

c)  standardowych klauzul ochrony danych przyjętych przez organ nadzorczy zgodnie z mechanizmem zgodności, o którym w art. 57, w przypadku gdy Komisja uzna je za ogólnie obowiązujące na mocy art. 62 ust. 1 lit. b); lub

d)  klauzul umownych podpisanych między administratorem lub podmiotem przetwarzającym a odbiorcą danych upoważnionym przez organ nadzorczy zgodnie z ust. 4.

3.  Operacja przekazywania na podstawie standardowych klauzul ochrony danych „europejskiej pieczęci w zakresie ochrony danych” lub wiążących reguł korporacyjnych, o których mowa w ust. 2 lit. a), b) aa) lub c), nie wymaga dodatkowego specjalnego zezwolenia.

4.  Jeśli operacja przekazywania odbywa się na podstawie klauzul umownych, o których mowa w ust. 2 lit. d) niniejszego artykułu, administrator lub podmiot przetwarzający uzyskują od organu nadzorczego uprzednie zezwolenie na zastosowanie klauzul umownych zgodnie z art. 34 ust. 1 lit. a). Jeśli przekazanie wiąże się z przetwarzaniem, które dotyczy podmiotu danych w innym państwie członkowskim lub innych państwach członkowskich bądź ma istotny wpływ na swobodny przepływ danych osobowych w całej Unii, organ nadzorczy stosuje mechanizm zgodności, o którym mowa w art. 57.

5.  Jeśli prawnie wiążący instrument nie przewiduje odpowiednich gwarancji w zakresie ochrony danych, administrator lub podmiot przetwarzający uzyskują uprzednie zezwolenie na przekazanie lub przekazywanie lub też na włączenie stosownych przepisów do porozumień administracyjnych przewidujących podstawę takiego przekazania. Takie zezwolenie organu nadzorczego jest zgodne z art. 34 ust. 1 lit. a). Jeśli przekazanie wiąże się z przetwarzaniem, które dotyczy podmiotów danych w innym państwie członkowskim lub innych państwach członkowskich bądź ma istotny wpływ na swobodny przepływ danych osobowych w całej Unii, organ nadzorczy stosuje mechanizm zgodności, o którym mowa w art. 57. Zezwolenia wydane przez organ nadzorczy na podstawie art. 26 ust. 2 dyrektywy 95/46/WE zachowują ważność do czasu ich zmiany, zastąpienia lub uchylenia prze okres dwóch lat po wejściu w życie niniejszego rozporządzenia, chyba że zostaną zmienione, zastąpione lub uchylone przez ten organ przed upływem tego okresu. [Popr. 138]

Artykuł 43

Operacje przekazywania na podstawie wiążących reguł korporacyjnych

1.  Organ nadzorczy zatwierdza wiążące reguły korporacyjne zgodnie z mechanizmem zgodności przewidzianym w art. 58 pod warunkiem, że:

a)  są one prawnie wiążące i mają zastosowanie do oraz są egzekwowane przez wszystkich członków grupy przedsiębiorstw administratora lub podmiotu przetwarzającego oraz tych zewnętrznych podwykonawców, którzy podlegają wiążącym regułom korporacyjnych, i obejmują ich pracowników;

b)  wyraźnie przyznają podmiotom danych egzekwowalne prawa;

c)  spełniają wymogi ustanowione w ust. 2.

1a.  Co się tyczy danych dotyczących zatrudnienia, przedstawiciele pracowników są informowani o sporządzaniu wiążących reguł korporacyjnych na mocy z art. 43 i uczestniczą w ich sporządzaniu zgodnie z prawem i praktyką Unii lub państwa członkowskiego.

2.  Wiążące reguły korporacyjne określają co najmniej:

a)  strukturę i dane kontaktowe grupy przedsiębiorstw i jej członków oraz tych zewnętrznych podwykonawców, którzy podlegają wiążącym regułom korporacyjnym;

b)  operację lub zestaw operacji przekazywania danych, w tym kategorie danych osobowych, rodzaj przetwarzania i jego cele, typy podmiotów danych oraz nazwę państwa trzeciego lub państw trzecich:

c)  ich prawnie wiążący charakter, w wymiarze wewnętrznym i zewnętrznym;

d)  ogólne zasady ochrony danych, w szczególności zasadę celowości, zasadę minimalizacji danych, ograniczone okresy przechowywania, jakość danych, ochronę danych w fazie projektowania oraz domyślną ochronę danych, podstawę prawna prawną przetwarzania, przetwarzanie szczególnie chronionych danych osobowych, środki mające na celu zapewnienie bezpieczeństwa danych oraz wymogi w zakresie wtórnego przekazywania organizacjom, które nie są związane politykami zasadami;

e)  prawa podmiotów danych oraz środki umożliwiające wykonywanie tych praw, w tym prawo do niepodlegania środkowi opartemu na profilowaniu zgodnie z art. 20, prawo do zgłaszania skarg właściwemu organowi nadzorczemu i przed właściwymi sądami państw trzecich zgodnie z art. 75 oraz prawo do uzyskania środka zaradczego i w stosownych przypadkach odszkodowania za naruszenie wiążących reguł korporacyjnych;

f)  przyjęcia przez administratora lub podmiot przetwarzający mających mającego siedzibę na terytorium państwa członkowskiego odpowiedzialności za naruszenie wiążących reguł korporacyjnych przez członka grupy przedsiębiorstw niemającego siedziby na terytorium Unii; administrator lub podmiot przetwarzający mogą może być zwolnieni zwolniony z tej odpowiedzialności, w całości lub w części, jeśli udowodnią udowodni, że członek ten nie ponosi odpowiedzialności za wydarzenie, które doprowadziło do powstania szkody;

g)  sposób przekazywania podmiotom danych informacji na temat wiążących reguł korporacyjnych, w szczególności na temat przepisów, o których mowa w lit. d), e) i f) tego ustępu zgodnie z art. 11;

h)  zadania inspektora ochrony danych wyznaczonego zgodnie z art. 35, w tym monitorowanie w ramach grupy przedsiębiorstw zgodności z wiążącymi regułami korporacyjnymi, a także monitorowanie szkoleń i rozpatrywania skarg;

i)  mechanizmy obowiązujące w grupie przedsiębiorstw, które mają na celu zapewnienie weryfikacji przestrzegania wiążących reguł korporacyjnych;

j)  mechanizmy dotyczące zgłaszania i rejestrowania zmian w politykach zasadach i zgłaszania tych zmian organowi nadzorczemu;

k)  mechanizm współpracy z organem nadzorczym mającej na celu zapewnienie przestrzegania przez wszystkich członków grupy przedsiębiorstw, w szczególności poprzez udostępnienie organowi nadzorczemu wyników weryfikacji środków, o których mowa w lit. i) tego ustępu.

3.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu doprecyzowania formatu, procedur, kryteriów i wymogów dotyczących wiążących reguł korporacyjnych w rozumieniu tego artykułu, w szczególności jeśli chodzi o kryteria ich zatwierdzania, w tym przejrzystość dla podmiotów danych, stosowanie ust. 2 lit. b), d) i e) do wiążących reguł korporacyjnych, które przyjęły podmioty przetwarzające oraz innych niezbędnych wymogów w celu zapewnienia ochrony danych osobowych osoby, której one dotyczą.

4.  Komisja może wskazać format i procedury wymiany informacji drogą elektroniczną między administratorami, podmiotami przetwarzającymi i organami nadzorczymi do celów wiążących reguł korporacyjnych w rozumieniu tego artykułu. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą określoną w art. 87 ust. 2. [Popr. 139]

Artykuł 43a

Przekazywanie lub ujawnianie niedozwolone na mocy prawa Unii

1.  Żadne orzeczenie sądu lub trybunału ani żadna decyzja organu administracyjnego państwa trzeciego wymagające od administratora lub podmiotu przetwarzającego ujawnienia danych osobowych nie są uznawane ani wykonalne w jakikolwiek sposób, bez uszczerbku dla traktatów o wzajemnej pomocy lub obowiązujących umów międzynarodowych zawartych między wnioskującym państwem trzecim a Unią Europejską lub państwem członkowskim.

2.  Gdy na mocy orzeczenia sądu lub trybunału lub na mocy decyzji organu administracyjnego państwa trzeciego administratora lub podmiot przetwarzający otrzymuje wniosek o ujawnienie danych osobowych, administrator lub podmiot przetwarzający oraz przedstawiciel administratora, o ile został wyznaczony, informują właściwy organ nadzorczy, bez nieuzasadnionej zwłoki, o takim wniosku i muszą otrzymać uprzednie zezwolenie na przekazanie lub ujawnienie od organu nadzorczego.

3.  Organ nadzorczy ocenia zgodność ujawnienia danych, którego dotyczy wniosek, z niniejszym rozporządzeniem, a w szczególności ocenia, czy ujawnienie danych jest konieczne i prawnie wymagane zgodnie z art. 44 ust. 1 lit. d) i e) oraz art. 44 ust. 5. Gdy ma to wpływ na podmioty danych z innych państw członkowskich, organ nadzorczy stosuje mechanizm zgodności, o którym mowa w art. 57.

4.  Organ nadzorczy informuje właściwy organ krajowy o wniosku. Bez uszczerbku dla art. 21, administrator lub podmiot przetwarzający informują podmioty danych o wniosku i zezwoleniu ze strony organu nadzorczego oraz, w stosownych przypadkach, informują podmiot danych o tym, czy dane osobowe były przekazywane organom publicznym w okresie ostatnich 12 kolejnych miesięcy, zgodnie z art. 14 ust. 1lit. ha). [Popr. 140]

Artykuł 44

Odstępstwa

1.  W braku decyzji stwierdzającej odpowiedni poziom ochrony na mocy art. 41 lub odpowiednich gwarancji na mocy art. 42, operacja lub zestaw operacji przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić wyłącznie pod warunkiem, że:

a)  podmiot danych wyraził zgodę na proponowane przekazanie, po uzyskaniu informacji o zagrożeniach związanych z takim przekazaniem ze względu na brak decyzji stwierdzającej odpowiedni poziom ochrony oraz odpowiednich gwarancji; lub

b)  przekazanie jest niezbędne do wykonania umowy między podmiotem danych a administratorem lub wprowadzenia w życie środków poprzedzających umowę na wniosek podmiotu danych; lub

c)  przekazanie jest konieczne do zawarcia lub wykonania umowy zawartej w interesie podmiotu danych między administratorem a inną osobą fizyczną lub prawną, lub

d)  przekazanie jest niezbędne ze względu na istotny interes publiczny; lub

e)  przekazanie jest niezbędne do ustalania, realizacji lub ochrony roszczeń prawnych; lub

f)  przekazanie jest konieczne do ochrony żywotnych interesów podmiotu danych lub innej osoby, w przypadku gdy podmiot danych nie ma fizycznej lub prawnej zdolności do wyrażenia zgody; lub

g)  przekazanie następuje z rejestru, który zgodnie z prawem Unii lub państwa członkowskiego ma służyć za źródło informacji dla ogółu społeczeństwa, udostępnionego do konsultacji obywateli i każdej osoby mogącej wykazać słuszny uzasadniony interes, o ile warunki określone przez prawo Unii lub państwa członkowskiego odnośnie do wglądu do takiego rejestru zostały w danym przypadku spełnione; lub

h)  przekazanie jest konieczne dla potrzeb wynikających ze słusznych interesów administratora lub podmiotu przetwarzającego, których nie można uznać za częste lub masowe i jeżeli administrator lub podmiot przetwarzający ocenili wszystkie okoliczności towarzyszące operacji przekazywania danych lub operacjom przekazywania danych i na podstawie tej oceny w razie potrzeby przewidzieli odpowiednie gwarancje w zakresie ochrony danych osobowych.

2.  Przekazanie na mocy ust. 1 lit. g) nie obejmuje całości danych osobowych lub wszystkich kategorii danych osobowych obecnych w rejestrze. Jeśli rejestr służy do wglądu osobom mającym uzasadniony interes, przekazanie następuje jedynie na wniosek tych osób lub jeśli mają one być odbiorcami tych danych.

3.  Jeśli przetwarzanie odbywa się na podstawie ust. 1 lit. h), administrator lub podmiot przetwarzający zwracają szczególną uwagę na charakter danych, cel i czas trwania planowanej operacji przetwarzania lub planowanych operacji przetwarzania, a także sytuację w państwie pochodzenia, państwie trzecim i państwie ostatecznego przeznaczenia oraz, w razie potrzeby, istnienie odpowiednich gwarancji w zakresie ochrony danych.

4.  Ustęp 1 lit. b), i c) i h) nie ma zastosowania do działalności prowadzonej przez organy publiczne w ramach wykonywania ich uprawnień publicznych.

5.  Interes publiczny, o którym mowa w ust. 1 lit. d), musi być uznany w prawie Unii lub państwa członkowskiego, któremu podlega administrator.

6.  Administrator lub podmiot przetwarzający sporządzają włączają dokumentację dotyczącą oceny, a także istnienia odpowiednich gwarancji, o których mowa w ust. 1 lit. h) tego artykułu do dokumentacji, o której mowa w art. 28 i informują organ nadzorczy o przekazaniu.

7.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 Europejskiej Radzie Ochrony Danych powierza się zadanie wydawania wytycznych, zaleceń i najlepszych praktyk zgodnie z art. 66 ust. 1 lit. b) w celu doprecyzowania znaczenia „istotnego interesu publicznego” w rozumieniu ust. 1 lit. d), a także kryteriów i wymogów dotyczących odpowiednich gwarancji, o których mowa przekazywania danych na podstawie w ust. 1 lit. h). [Popr. 141]

Artykuł 45

Międzynarodowa współpraca na rzecz ochrony danych osobowych

1.  W stosunku do państw trzecich i organizacji międzynarodowych Komisja i organy nadzorcze podejmują stosowne kroki na rzecz:

a)  opracowania skutecznych mechanizmów współpracy międzynarodowej, by ułatwić zapewnić egzekwowanie przepisów służących ochronie danych osobowych; [Popr. 142]

b)  zapewnienia międzynarodowej wzajemnej współpracy w zakresie egzekwowania przepisów dotyczących ochrony danych, w tym poprzez zawiadomienia, przekazywanie skarg, pomoc w dochodzeniach i wymianę informacji, z zastrzeżeniem odpowiednich gwarancji ochrony danych osobowych i innych podstawowych praw i wolności;

c)  włączenia zainteresowanych podmiotów w dyskusję i działalność mające na celu pogłębienie współpracy międzynarodowej w zakresie egzekwowania przepisów dotyczących ochrony danych osobowych;

d)  promowania wymiany i dokumentowania przepisów i praktyk w zakresie ochrony danych;

da)  wyjaśnienia i przeprowadzenia konsultacji co do konfliktów jurysdykcji z państwami trzecimi. [Popr. 143]

2.  Do celów ust. 1, Komisja podejmie odpowiednie kroki, by poprawić współpracę z państwami trzecimi lub organizacjami międzynarodowymi, w szczególności ich organami nadzorczymi, jeśli Komisja zdecydowała, że zapewniają one odpowiedni poziom ochrony w rozumieniu art. 41 ust. 3.

Artykuł 45a

Sprawozdanie Komisji

Komisja przedstawia Parlamentowi Europejskiemu i Radzie sprawozdanie na temat stosowania artykułów 40–45 w regularnych odstępach czasu, rozpoczynając nie później niż cztery lata od daty określonej w art. 91 ust. 1. W tym celu Komisja może zwrócić się z wnioskiem o przekazanie informacji do państw członkowskich oraz organów nadzorczych, które przekażą te informacje bez zbędnej zwłoki. Sprawozdanie to podaje się do wiadomości publicznej. [Popr. 144]

ROZDZIAŁ VI

NIEZALEŻNE ORGANY NADZORCZE

SEKCJA 1

NIEZALEŻNY STATUS

Artykuł 46

Organ nadzorczy

1.  Każde państwo członkowskie ustanowi przepisy przewidujące, że przynajmniej jeden organ publiczny jest odpowiedzialny za monitorowanie stosowania niniejszego rozporządzenia oraz za przyczynianie się do jego jednolitego stosowania na terytorium całej Unii w celu ochrony podstawowych praw i wolności osób fizycznych w odniesieniu do przetwarzania danych oraz ułatwienia swobodnego przepływu danych w Unii. Dla tych celów organy nadzorcze współpracują ze sobą i z Komisją.

2.  W przypadku gdy w państwie członkowskim został ustanowiony więcej niż jeden organ nadzorczy, państwo członkowskie wskazuje organ nadzorczy, który działa jako pojedynczy punkt kontaktowy, co ma pozwolić na skuteczne uczestnictwo tych organów w Europejskiej Radzie Ochrony Danych, oraz ustala mechanizm zapewniający poszanowanie przez inne organy przepisów dotyczących mechanizmu zgodności, o którym mowa w art. 57.

3.  Każde państwo członkowskie zawiadamia Komisję o przepisach prawa, które przyjęło na mocy niniejszego rozdziału, najpóźniej przed terminem określonym w art. 91 ust. 2 i bezzwłocznie o każdej kolejnej zmianie mającej na nie wpływ.

Artykuł 47

Niezależność

1.  Organ nadzorczy działa w sposób w pełni niezależny i bezstronny podczas wykonywania obowiązków i powierzonych mu uprawnień, niezależnie od uzgodnień dotyczących współpracy i zgodności związanych z rozdziałem VII niniejszego rozporządzenia. [Popr. 145]

2.  Członkowie organu nadzorczego podczas wykonywania swoich obowiązków nie zwracają się do nikogo o instrukcje ani ich od nikogo nie przyjmują.

3.  Członkowie organu nadzorczego powstrzymują się od wszelkich czynności niezgodnych ze swoimi obowiązkami i podczas swojej kadencji nie podejmują żadnej funkcji, zarobkowej lub niezarobkowej, stojącej w sprzeczności z tymi obowiązkami.

4.  Członkowie organu nadzorczego po zakończeniu swojej kadencji postępują w sposób uczciwy i ostrożny w odniesieniu do obejmowania stanowisk i przyjmowania korzyści.

5.  Każde państwo członkowskie zapewnia, by organ nadzorczy został wyposażony w odpowiednie zasoby ludzkie, techniczne i finansowe, pomieszczenia i infrastrukturę niezbędne do skutecznego wykonywania swoich obowiązków i uprawnień, w tym do ich wykonywania w kontekście wzajemnej pomocy, współpracy i uczestnictwa w Europejskiej Radzie Ochrony Danych.

6.  Każde państwo członkowskie zapewnia, by organ nadzorczy miał własny personel, który jest powoływany przez szefa organu nadzorczego i podlega jego kierownictwu.

7.  Państwa członkowskie zapewniają, by organ nadzorczy podlegał kontroli finansowej, która nie narusza jego niezależności. Państwa członkowskie dopilnują, by organy nadzorcze dysponowały odrębnymi budżetami rocznymi. Budżety są podawane do wiadomości publicznej.

7a.  Każde państwo członkowskie dopilnowuje, by organ nadzorczy odpowiadał przed parlamentem danego państwa członkowskiego za kontrolę budżetową. [Popr. 146]

Artykuł 48

Ogólne warunki dotyczące członków organu nadzorczego

1.  Państwa członkowskie zapewniają, by członkowie organu nadzorczego byli wybierani albo przez parlament albo przez rząd danego państwa członkowskiego.

2.  Członków wybiera się spośród osób, których niezależność jest niekwestionowana i których doświadczenie i umiejętności wymagane do wykonywania obowiązków, w szczególności w dziedzinie ochrony danych osobowych, zostały wykazane.

3.  W razie upływu kadencji, rezygnacji lub przymusowego pozbawienia funkcji członek organu przestaje pełnić swoje obowiązki zgodnie z art. 5.

4.  Członek może być odwołany lub pozbawiony praw do emerytury lub innych alternatywnych świadczeń przez właściwy sąd krajowy, jeżeli nie spełnia już warunków wymaganych do wykonywania obowiązków lub dopuścił się poważnego uchybienia.

5.  W przypadku upływu kadencji członka lub jego rezygnacji wykonuje on dalej swoje obowiązki do chwili wyboru nowego członka.

Artykuł 49

Zasady dotyczące ustanowienia organu nadzorczego

Każde państwo członkowskie przyjmuje przepisy w granicach niniejszego rozporządzenia w zakresie:

a)  ustanowienia i statusu organu nadzorczego;

b)  kwalifikacji, doświadczenia i umiejętności wymaganych do pełnienia obowiązków członka organu nadzorczego;

c)  regulacji i procedur w zakresie wyznaczania członków organu nadzorczego, jak również regulacji odnoszących się do działań lub funkcji niedających się pogodzić z pełnionymi obowiązkami;

d)  okresu kadencji członków organu nadzorczego, która nie trwa krócej niż cztery lata, z wyjątkiem pierwszej kadencji po wejściu w życie niniejszego rozporządzenia, która może trwać krócej, w przypadku gdy jest to niezbędne, aby chronić niezależność organu nadzorczego poprzez rozłożoną w czasie procedurę wyboru;

e)  określenia, czy członkowie organu nadzorczego mogą być ponownie wyznaczeni;

f)  przepisów i wspólnych warunków pełnienia obowiązków przez członków i personel organu nadzorczego;

g)  regulacji i procedur odnoszących się do zakończenia pełnienia obowiązków przez członków organu nadzorczego, w tym jeżeli nie spełniają już warunków wymaganych do wykonywania obowiązków lub jeżeli są winni poważnego uchybienia.

Artykuł 50

Tajemnica służbowa

Członkowie i personel organu nadzorczego, podczas kadencji i po jej zakończeniu oraz zgodnie z krajowym prawodawstwem i praktyką, podlegają obowiązkowi zachowania tajemnicy służbowej w odniesieniu do wszelkich poufnych informacji, które uzyskali w toku wykonywania obowiązków służbowych, a jednocześnie pełnią swoje obowiązki w sposób niezależny i przejrzysty, zgodnie z rozporządzeniem. [Popr. 147]

SEKCJA 2

OBOWIĄZKI I UPRAWNIENIA

Artykuł 51

Właściwość

1.  Każdy organ nadzorczy wykonuje posiada kompetencje do pełnienia obowiązków i do wykonywania, na terytorium własnego państwa członkowskiego, uprawnienia nadane mu zgodnie z niniejszym rozporządzeniem, bez uszczerbku dla art. 73 i 74. Przetwarzanie danych przez organ publiczny jest nadzorowane jedynie przez organ nadzorczy tego państwa członkowskiego. [Popr. 148]

2.  W przypadku gdy przetwarzanie danych osobowych odbywa się w kontekście działalności administratora lub podmiotu przetwarzającego ustanowionych na terytorium Unii, a administrator lub podmiot przetwarzający prowadzą działalność w więcej niż jednym państwie członkowskim, organ nadzorczy głównej siedziby administratora lub podmiotu przetwarzającego jest odpowiedzialny za nadzór nad działalnością administratora lub podmiotu przetwarzającego we wszystkich państwach członkowskich, bez uszczerbku dla przepisów rozdziału VII niniejszego rozporządzenia. [Popr. 149]

3.  Organ nadzorczy nie ma właściwości do nadzorowania operacji przetwarzania dokonywanych przez sądy w toku wykonywania przez nie funkcji sądowych.

Artykuł 52

Obowiązki

1.  Organ nadzorczy:

a)  monitoruje i zapewnia stosowanie rozporządzenia;

b)  rozpoznaje skargi złożone przez każdy podmiot danych lub przez zrzeszenie reprezentujące podmiot danych, zgodnie z art. 73, prowadzi dochodzenie, we właściwym zakresie, dotyczące danej sprawy i informuje w rozsądnym czasie podmiot danych lub zrzeszenie o postępach w sprawie i wyniku skargi, w szczególności jeżeli niezbędne jest dalsze dochodzenie lub koordynacja z innym organem nadzorczym; [Popr. 150]

c)  dzieli się informacjami i zapewnia wzajemną pomoc udzielaną innym organom nadzorczym oraz spójność stosowania i wykonywania rozporządzenia;

d)  prowadzi dochodzenia albo z własnej inicjatywy albo na podstawie skargi lub otrzymanej konkretnej i udokumentowanej informacji zawierającej zarzut bezprawnego przetwarzania lub wniosku innego organu nadzorczego, i informuje w rozsądnym czasie podmiot danych, jeżeli skierował on skargę do tego organu nadzorczego, o wyniku dochodzeń; [Popr. 151]

e)  monitoruje zmiany w odpowiednich dziedzinach, o ile mają one wpływ na ochronę danych osobowych, w szczególności rozwój technologii informacyjno-telekomunikacyjnych i praktyki handlowe;

f)   jest konsultowany przez instytucje i organy państw członkowskich na temat środków prawnych i administracyjnych dotyczących ochrony praw i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych;

g)  jest konsultowany w sprawie operacji przetwarzania, o których mowa w art. 34;

h)  wydaje opinię na temat projektów kodeksów postępowania na podstawie art. 38 ust. 2;

i)  zatwierdza wiążące reguły korporacyjne na mocy art. 43;

j)  uczestniczy w działalności Europejskiej Rady Ochrony Danych;

ja)  prowadzi certyfikację administratorów i podmiotów przetwarzających zgodnie z art. 39. [Popr. 152]

2.  Każdy organ nadzorczy działa na rzecz pogłębiania w społeczeństwie świadomości w zakresie ryzyka, przepisów, gwarancji oraz praw związanych z przetwarzaniem danych osobowych, a także odpowiednich środków ochrony danych osobowych. Szczególną uwagę zwraca się na działania skierowane do dzieci. [Popr. 153]

2a.  Każdy organ nadzorczy prowadzi – wspólnie z Europejską Radą Ochrony Danych – działania na rzecz poszerzania wśród administratorów i podmiotów przetwarzających wiedzy na temat ryzyka, przepisów, gwarancji i praw związanych z przetwarzaniem danych osobowych. Obejmuje to prowadzenie rejestru sankcji i naruszeń. Do rejestru powinny być wpisywane zarówno wszystkie ostrzeżenia i sankcje, ze wszelkimi możliwymi szczegółami, jak i rozwiązania zaistniałych naruszeń. Każdy organ nadzorczy udziela administratorom i podmiotom przetwarzającym mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw, na żądanie, ogólnych informacji dotyczących ich odpowiedzialności i obowiązków zgodnie z niniejszym rozporządzeniem. [Popr. 154]

3.  Organ nadzorczy, na wniosek, doradza każdemu podmiotowi danych na temat korzystania z praw na podstawie niniejszego rozporządzenia, a w stosownych przypadkach współpracuje w tym celu z organami nadzorczymi w innych państwach członkowskich.

4.  W odniesieniu do skarg, o których mowa w ust. 1 lit. b), organ nadzorczy udostępnia formularz skargi, który może być wypełniony elektronicznie, przy czym dostępne są także inne środki łączności.

5.  Organ nadzorczy wykonuje obowiązki na rzecz podmiotów danych bez pobierania opłat.

6.  W przypadku gdy żądania są wyraźnie nadmierne, w szczególności ze względu na ich powtarzalny charakter, organ nadzorczy może zażądać racjonalnej opłaty lub nie podjąć działania, o które wnosił podmiot danych. Taka opłata nie może przewyższać kosztów podjęcia żądanego działania. Na organie nadzorczym spoczywa ciężar udowodnienia, że żądanie miało wyraźnie nadmierny charakter. [Popr. 155]

Artykuł 53

Uprawnienia

1.  Każdy organ nadzorczy, zgodnie z niniejszym rozporządzeniem, jest uprawniony do:

a)  zawiadamiania administratora lub podmiotu przetwarzającego o domniemanym naruszeniu przepisów regulujących przetwarzanie danych osobowych, a w stosownych przypadkach, nakazania administratorowi lub podmiotowi przetwarzającemu usunięcia naruszenia w konkretny sposób w celu poprawy ochrony podmiotu danych lub nakazania administratorowi poinformowania podmiotu danych o naruszeniu ochrony danych osobowych;

b)  nakazania administratorowi lub podmiotowi przetwarzającemu dane spełnienia żądań przedstawionych przez podmioty danych dotyczących skorzystania z praw przewidzianych w niniejszym rozporządzeniu;

c)  nakazania administratorowi i podmiotowi przetwarzającemu dane, a w stosownych przypadkach przedstawicielowi, dostarczenia każdej informacji istotnej w toku wykonywania jego obowiązków;

d)  zapewnienia zgodności z uprzednimi konsultacjami, o których mowa w art. 34;

e)  ostrzegania lub upominania administratora lub podmiotu przetwarzającego;

f)  nakazania poprawienia, usuwania lub zniszczenia wszystkich danych, jeżeli były one przetwarzane z naruszeniem przepisów niniejszego rozporządzenia oraz powiadomienia o takich działaniach osób trzecich, którym dane zostały ujawnione;

g)  nałożenia czasowego lub ostatecznego zakazu przetwarzania;

h)  zawieszenia przepływu danych do odbiorcy w państwie trzecim lub w organizacji międzynarodowej;

i)  do wydawania opinii na każdy temat związany z ochroną danych osobowych;

ia)  certyfikacji administratorów i podmiotów przetwarzających zgodnie z art. 39;

j)  do informowania parlamentu narodowego, rządu lub innych politycznych instytucji, jak również opinii publicznej o każdym zagadnieniu związanym z ochroną danych osobowych;

ja)  wprowadzenia skutecznych mechanizmów w celu zachęcenia do poufnego informowania o naruszeniach niniejszego rozporządzenia, z uwzględnieniem wytycznych wydanych przez Europejską Radę Ochrony Danych zgodnie z art. 66 ust. 4b.

2.  Każdy organ nadzorczy ma uprawnienia dochodzeniowe pozwalające mu uzyskać bez wcześniejszego powiadomienia od administratora lub podmiotu przetwarzającego:

a)  dostęp do wszystkich danych osobowych i do wszystkich dokumentów oraz informacji niezbędnych do wykonywania obowiązków;

b)  dostęp do każdego pomieszczenia, w tym do każdego sprzętu i środków służących do przetwarzania danych, gdy istnieją zasadne podstawy, by przypuszczać, że dochodzi tam do naruszenia niniejszego rozporządzenia.

Uprawnienia, o których mowa w lit. b), są wykonywane zgodnie prawem Unii i prawem państwa członkowskiego.

3.  Każdy organ nadzorczy ma uprawnienie do zwrócenia uwagi organom sądowym na naruszenie niniejszego rozporządzenia i do wszczynania postępowania prawnego, w szczególności zgodnie z art. 74 ust. 4 i art. 75 ust. 2.

4.  Każdy organ nadzorczy ma uprawnienie do nakładania sankcji administracyjnych za naruszenie przepisów prawa administracyjnego, w szczególności o którym w zgodnie z art. 79 ust. 4, 5 i 6. Uprawnienie to jest wykonywane w sposób skuteczny, proporcjonalny i odstraszający. [Popr. 156]

Artykuł 54

Sprawozdanie z działalności

Każdy organ nadzorczy musi sporządzać roczne sprawozdanie ze swojej działalności przynajmniej co dwa lata. Sprawozdanie jest przedstawione parlamentowi narodowemu danego państwa członkowskiego i jest udostępniane opinii publicznej, Komisji oraz Europejskiej Radzie Ochrony Danych. [Popr. 157]

Artykuł 54a

Organ główny

1.  Gdy przetwarzanie danych osobowych odbywa się w kontekście działalności administratora lub podmiotu przetwarzającego ustanowionych na terytorium Unii, a administrator lub podmiot przetwarzający prowadzą działalność w więcej niż jednym państwie członkowskim lub gdy przetwarzane są dane osobowe mieszkańców kilku państw członkowskich, organ nadzorczy głównej siedziby administratora lub podmiotu przetwarzającego działa w charakterze głównego organu odpowiedzialnego za nadzór nad działalnością w zakresie przetwarzania prowadzoną przez administratora lub podmiotu przetwarzającego we wszystkich państwach członkowskich, zgodnie z przepisami rozdziału VII niniejszego rozporządzenia.

2.  Główny organ przyjmuje właściwe środki dotyczące nadzoru nad działalnością w zakresie przetwarzania, którą prowadzi administrator lub podmiot przetwarzający podlegający kompetencji tego organu, wyłącznie po konsultacji ze wszystkimi innymi właściwymi organami nadzorczymi w rozumieniu art. 51 ust. 1, dążąc do osiągnięcia konsensusu. W tym celu organ główny w szczególności dostarcza wszelkich istotnych informacji i konsultuje się z innymi organami, zanim przyjmie środek wywołujący skutki prawne względem administratora lub podmiotu przetwarzającego w rozumieniu art. 51 ust. 1. Organ główny bierze pod uwagę opinie zainteresowanych organów w jak najszerszym zakresie. Główny organ nadzorczy jest jedynym organem uprawnionym do decydowania o środkach mających na celu wywołanie skutków prawnych w odniesieniu do działalności w zakresie przetwarzania, którą prowadzi administrator lub podmiot przetwarzający podlegający temu organowi.

3.  Europejska Rada Ochrony Danych wydaje, na wniosek właściwego organu nadzorczego, opinię w sprawie wskazania głównego organu, któremu podlega administrator lub podmiot przetwarzający, w przypadkach gdy:

a)  z sytuacji faktycznej nie wynika jasno, gdzie znajduje się główna siedziba administratora lub podmiotu przetwarzającego; lub

b)  właściwe organy nie zgadzają się co do tego, który organ nadzorczy ma działać jako organ główny; lub

c)  administrator nie ma siedziby w Unii, a na rezydentów różnych państw członkowskich wpływają operacje przetwarzania podlegające zakresowi niniejszego rozporządzenia.

3a.  Gdy administrator działa również jako podmiot przetwarzający, organ nadzorczy głównej siedziby administratora działa jako organ główny do celów nadzoru na działaniami w zakresie przetwarzania.

4.  Europejska Rada Ochrony Danych może zdecydować o wskazaniu organu głównego. [Popr. 158]

ROZDZIAŁ VII

WSPÓŁPRACA I ZGODNOŚĆ

SEKCJA 1

WSPÓŁPRACA

Artykuł 55

Wzajemna pomoc

1.  Organy nadzorcze przekazują sobie odpowiednie informacje i zapewniają sobie wzajemną pomoc w celu spójnego wykonania i stosowania niniejszego rozporządzenia i przyjmują środki na rzecz zapewnienia skutecznej wzajemnej współpracy. Wzajemna pomoc obejmuje w szczególności wnioski o udzielenie informacji i środki nadzorcze, takie jak wnioski o udzielenie uprzednich konsultacji, inspekcje oraz dochodzenia i sprawne przekazywanie informacji dotyczących rozpoczęcia spraw i ich rozwoju, w przypadku gdy administrator lub podmiot przetwarzający mają siedziby w kilku państwach członkowskich lub gdy operacje przetwarzania danych będą miały prawdopodobnie wpływ na podmioty danych w wielu państwach członkowskich. Organ główny, zdefiniowany w art. 54a, zapewnia koordynację z zainteresowanymi organami nadzorczymi oraz działa jako pojedynczy punkt kontaktowy dla administratora lub podmiotu przetwarzającego. [Popr. 159]

2.  Każdy organ nadzorczy podejmuje wszystkie odpowiednie środki niezbędne do udzielenia odpowiedzi na wniosek innego organu nadzorczego bez zwłoki i nie później niż w terminie jednego miesiąca od otrzymania wniosku. Takie środki mogą obejmować w szczególności przekazywanie odpowiednich informacji na temat przebiegu dochodzenia lub realizacji środków egzekucyjnych w celu doprowadzenia do zaprzestania lub zabronienia operacji przetwarzania niezgodnych z niniejszym rozporządzeniem.

3.  Wniosek o udzielenie pomocy zawiera wszystkie niezbędne informacji, w tym cel i uzasadnienie wniosku. Informacje będące przedmiotem wymiany wykorzystywane są wyłącznie w odniesieniu do sprawy określonej we wniosku.

4.  Organ nadzorczy, do którego został skierowany wniosek o pomoc, nie może odmówić realizacji wniosku, chyba że:

a)  nie jest właściwy do zajęcia się wnioskiem; lub

b)  realizacja wniosku byłaby niezgodna z przepisami niniejszego rozporządzenia.

5.  Organ nadzorczy, do którego został skierowany wniosek, informuje organ nadzorczy, który złożył wniosek, o wynikach lub, zależnie od okoliczności, o postępach w sprawie lub środkach podjętych w celu realizacji wniosku przez organ nadzorczy, do którego został skierowany wniosek.

6.  Organy nadzorcze przekazują informacje, których dotyczył wniosek innych organów nadzorczych, w drodze elektronicznej i w najkrótszym możliwym terminie, przy użyciu standardowego formatu.

7.  Od organu nadzorczego składającego wniosek nie pobiera się opłat od działania podjętego w wyniku przesłania wniosku o wzajemną pomoc. [Popr. 160]

8.  W przypadku gdy organ nadzorczy, na wniosek innego organu nadzorczego, nie podjął działania w terminie jednego miesiąca, organ, który złożył wniosek, jest właściwy do podjęcia środków tymczasowych na terytorium swojego państwa członkowskiego zgodnie z art. 51 ust. 1 i przekazuje sprawę Europejskiej Radzie Ochrony Danych w trybie procedury, o której mowa w art. 57. W przypadku gdy przyjęcie ostatecznego środka nie jest jeszcze możliwe, ponieważ pomoc nie została jeszcze w pełni udzielona, organ nadzorczy, który złożył wniosek, może podjąć na terytorium swojego państwa członkowskiego środki tymczasowe zgodnie z art. 53. [Popr. 161]

9.  Organ nadzorczy określa okres obowiązywania takich środków tymczasowych. Okres ten nie przekracza trzech miesięcy. Organ nadzorczy bezzwłocznie informuje o tych środkach Europejską Radę Ochrony Danych i Komisję, podając pełne uzasadnienie, zgodnie z procedurą, o której mowa w art. 57. [Popr. 162]

10.  Komisja Europejska Rada Ochrony Danych może określić formułę oraz procedurę wzajemnej pomocy, o której mowa w niniejszym artykule, oraz metody wymiany informacji przy wykorzystaniu środków elektronicznych między organami nadzorczymi oraz między organami nadzorczymi a Europejską Radą Ochrony Danych, w szczególności w odniesieniu do standardowego formatu, o którym mowa w ust. 6. Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2. [Popr. 163]

Artykuł 56

Wspólne operacje organów nadzorczych

1.  W celu zacieśnienia współpracy i zwiększenia wzajemnej pomocy organy nadzorcze wykonują wspólne zadania dochodzeniowe, przyjmują wspólne środki egzekucyjne i prowadzą inne wspólne operacje, podczas których wyznaczeni członkowie lub personel organów nadzorczych z innych państw członkowskich uczestniczą w operacjach na terytorium danego państwa członkowskiego.

2.  W przypadkach gdy administrator lub podmiot przetwarzający mają siedziby w kilku państwach członkowskich lub gdy operacje przetwarzania będą miały prawdopodobny wpływ na podmioty danych organ nadzorczy każdego z tych państw członkowskich ma prawo uczestniczyć, stosownie do okoliczności, w wykonywaniu wspólnych zadań dochodzeniowych lub wspólnych operacji. Właściwy Organ nadzorczy wzywa organ nadzorczy główny, zdefiniowany w art. 54a, zapewnia uczestnictwo organu nadzorczego każdego z tych państw członkowskich do uczestnictwa w wykonywaniu danego zadania dochodzeniowego lub wspólnej operacji i odpowiada bezzwłocznie na wniosek organu nadzorczego zawierający prośbę o uczestnictwo w operacjach. Organ główny działa jako pojedynczy punkt kontaktowy dla administratora lub podmiotu przetwarzającego. [Popr. 164]

3.  Każdy organ nadzorczy, jako przyjmujący organ nadzorczy, zgodnie z własnym prawem krajowym i za zgodą wysyłającego organu nadzorczego, może przyznać członkom lub personelowi wysyłającego organu nadzorczego, uczestniczącym we wspólnych operacjach, uprawnienia wykonawcze, w tym zadania dochodzeniowe, lub, o ile jest to dozwolone prawem przyjmującego organu nadzorczego, pozwolić członkom lub personelowi wysyłającego organu nadzorczego wykonywać ich uprawnienia wykonawcze zgodnie z prawem wysyłającego organu nadzorczego. Te uprawnienia wykonawcze mogą być wykonywane wyłącznie pod kierownictwem i, co do zasady, w obecności członków lub personelu przyjmującego organu nadzorczego. Członkowie lub personel wysyłającego organu nadzorczego podlegają prawu krajowemu przyjmującego organu nadzorczego. Odpowiedzialność za ich działania ponosi przyjmujący organ nadzorczy.

4.  Organy nadzorcze określają praktyczne elementy konkretnych działań w ramach współpracy.

5.  W przypadku gdy organ nadzorczy nie spełni w terminie jednego miesiąca obowiązku ustanowionego w ust. 2, inne organy nadzoru są uprawnione do przyjęcia środka tymczasowego na terytorium swojego państwa członkowskiego zgodnie z art. 51. ust. 1.

6.  Organ nadzorczy określa okres obowiązywania środka tymczasowego, o którym mowa w ust. 5. Okres ten nie przekracza trzech miesięcy. Organ nadzorczy bezzwłocznie informuje o tych środkach Europejską Radę Ochrony Danych i Komisję, podając pełne uzasadnienie, i przekazuje sprawę do mechanizmu, o którym mowa w art. 57.

SEKCJA 2

ZGODNOŚĆ

Artykuł 57

Mechanizm zgodności

Dla celów określonych w art. 46 ust. 1 organy nadzorcze współpracują ze sobą i Komisją poprzez mechanizm zgodności określony – zarówno w sprawach o ogólnym zakresie stosowania, jak i w przypadkach indywidualnych – zgodnie z przepisami w niniejszej sekcji. [Popr. 165]

Artykuł 58

Opinia Europejskiej Rady Ochrony Danych Zgodność w sprawach o charakterze ogólnym

1.  Zanim organ nadzorczy przyjmie środek, o którym mowa w art. 2, organ ten przesyła projekt środka Europejskiej Radzie Ochrony Danych i Komisji.

2.  Obowiązek określony w ust. 1 ma zastosowanie do środka, który ma na celu wywarcie skutków prawnych i który:

a)  odnosi się do działań związanych ze sprzedażą towarów lub świadczeniem usług podmiotom danych w wielu państwach członkowskich lub z monitorowaniem ich zachowania; lub

b)  może mieć znaczący wpływ na swobodny przepływ danych osobowych na terytorium Unii; lub

c)  ma na celu przyjęcie wykazu operacji przetwarzania podlegających uprzedniej konsultacji na mocy art. 34 ust. 5; lub

d)  ma na celu określenie standardowych klauzul ochrony danych, o których mowa w art. 42 ust. 2 lit. c); lub

e)  ma na celu zezwolenie na klauzule umowne, o których mowa w art. 42 ust. 2 lit. d); lub

f)  ma na celu zatwierdzenie wiążących reguł korporacyjnych w rozumieniu art. 43.

3.  Każdy organ nadzorczy lub Europejska Rada Ochrony Danych mogą zażądać, aby jakakolwiek sprawa o charakterze ogólnym została załatwiona rozpatrzona w ramach mechanizmu zgodności, w szczególności w przypadku gdy organ nadzorczy nie przedstawi projektu środka, o którym mowa w ust. 2, lub nie wywiązuje się z obowiązków dotyczących wzajemnej pomocy zgodnie z art. 55 lub wspólnych operacji zgodnie z art. 56.

4.  W celu zapewnienia właściwego i spójnego stosowania niniejszego rozporządzenia Komisja może zażądać, aby dowolna sprawa o charakterze ogólnym została załatwiona rozpatrzona w ramach mechanizmu zgodności.

5.  Organy nadzorcze i Komisja przekazują bez zbędnej zwłoki drogą elektroniczną każdą odpowiednią informację, w tym zależnie od okoliczności, streszczenie stanu faktycznego, projekt środka i powody, które przemawiają za koniecznością przyjęcia takiego środka, przy zastosowaniu standardowego formatu.

6.  Przewodniczący Europejskiej Rady Ochrony Danych przekazuje niezwłocznie bez zbędnej zwłoki drogą elektroniczną stosowne informacje, które zostały mu przekazane, przy zastosowaniu standardowego formatu, członkom Europejskiej Rady Ochrony Danych i Komisji. Przewodniczący Sekretariat Europejskiej Rady Ochrony Danych zapewnia tłumaczenie stosownych informacji, jeżeli jest to konieczne.

6a.  Europejska Rada Ochrony Danych przyjmuje opinię dotyczącą spraw kierowanych do niej na mocy ust. 2.

7.  Europejska Rada Ochrony Danych wydaje może zwykłą większością głosów zdecydować o tym, czy przyjąć opinię na temat danej dowolnej sprawy, jeżeli Europejska Rada Ochrony Danych podejmie taką decyzję zwykłą większością głosów swoich członków lub jakikolwiek organ nadzorczy lub Komisja tego zażąda w terminie jednego tygodnia od otrzymania stosownej informacji przedłożonej zgodnie z ust. 5. 3 i 4, Opinię przyjmuje się w terminie jednego miesiąca zwykłą większością głosów członków Europejskiej Rady Ochrony Danych. Przewodniczący Europejskiej Rady Ochrony Danych informuje, bez nieuzasadnionej zwłoki, organ nadzorczy, o którym mowa, zależnie od okoliczności, w ust. 1 i ust. 3, Komisję i organ nadzorczy właściwy na podstawie art. 51 o opinii i podaje ją do publicznej wiadomości. uwzględniając następujące kwestie:

a)  czy sprawa obejmuje nowe elementy, z uwzględnieniem zmian prawnych lub faktycznych, w szczególności w zakresie technologii informacyjnej oraz w światle stanu postępu w społeczeństwie informacyjnym; oraz

b)  czy Europejska Rada Ochrony Danych wydała już opinię w tej samej sprawie.

8.  Organ nadzorczy, o którym mowa w ust. 1, i organ nadzorczy właściwy na podstawie art. 51 uwzględnia opinię Europejskiej Rady Ochrony Danych i w terminie dwóch tygodni od uzyskania informacji na temat opinii przez przewodniczącego Europejskiej Rady Ochrony Danych, przekazuje drogą elektroniczną przewodniczącemu Europejskiej Rady Ochrony Danych i Komisji informację, czy utrzymuje czy zmienia projekt środka, a w tym ostatnim przypadku przekazuje zmieniony projekt środka, przy zastosowaniu standardowego formatu. Europejska Rada Ochrony Danych przyjmuje opinie zgodnie z ust. 6a i 7 zwykłą większością głosów swoich członków. Opinie te podaje się do wiadomości publicznej. [Popr. 166]

Artykuł 58a

Zgodność w przypadkach indywidualnych

1.  Przed przyjęciem środka mającego na celu wywołanie skutków prawnych w rozumieniu art. 54a organ główny przekazuje wszystkie właściwe informacje i przedkłada projekt środka wszystkim innym właściwym organom. Organ główny nie przyjmuje środka, jeżeli właściwy organ w terminie trzech tygodni poinformuje, że ma poważne zastrzeżenia co do tego środka.

2.  Gdy właściwy organ poinformował, że ma poważne zastrzeżenia co do projektu środka organu głównego, lub gdy organ główny nie przedłożył projektu środka, o którym mowa w ust. 1, lub nie przestrzega obowiązków dotyczących wzajemnej pomocy zgodnie z art. 55 lub obowiązków dotyczących wspólnych operacji zgodnie z art. 56, sprawę rozpatruje Europejska Rada Ochrony Danych.

3.  Organ główny i/lub inne właściwe zaangażowane organy oraz Komisja bez zbędnej zwłoki drogą elektroniczną przekazują Europejskiej Radzie Ochrony Danych, wykorzystując standardowy format, wszelkie istotne informacje, w tym, w stosownym przypadku, streszczenie faktów, projekt środka, powody, dla których wprowadzenie takiego środka jest konieczne, zastrzeżenia zgłoszone przeciw temu środkowi oraz opinie innych zainteresowanych organów nadzorczych.

4.  Europejska Rada Ochrony Danych rozpatruje sprawę, uwzględniając wpływ projektu środka przedstawionego przez organ główny na podstawowe prawa i wolności podmiotów danych oraz decyduje zwykłą większością głosów swoich członków o tym, czy wydać opinię w tej sprawie w terminie dwóch tygodni po przekazaniu właściwych informacji zgodnie z ust. 3.

5.  W przypadku, gdy Europejska Rada Ochrony Danych postanowi wydać opinię, czyni to w ciągu sześciu tygodniu i podaje tę opinię do wiadomości publicznej.

6.  Organ główny w najwyższym stopniu uwzględnia opinię Europejskiej Rady Ochrony Danych i w terminie dwóch tygodni od uzyskania informacji na temat opinii przez przewodniczącego Europejskiej Rady Ochrony Danych przekazuje drogą elektroniczną przewodniczącemu Europejskiej Rady Ochrony Danych i Komisji informację, czy utrzymuje czy zmienia projekt środka, a w tym ostatnim przypadku przekazuje zmieniony projekt środka, przy zastosowaniu standardowego formatu. Gdy organ główny nie zamierza zastosować się do opinii Europejskiej Rady Ochrony Danych, przestawia racjonalne uzasadnienie.

7.  W przypadku gdy Europejska Rada Ochrony Danych w dalszym ciągu sprzeciwia się środkowi organu nadzorczego, o którym mowa w ust. 5, może ona w ciągu jednego miesiąca przyjąć większością dwóch trzecich głosów środek wiążący dla organu nadzorczego. [Popr. 167]

Artykuł 59

Opinia Komisji

1.  W terminie dziesięciu tygodni od wniesienia sprawy na podstawie art. 58 lub najpóźniej w terminie sześciu tygodni w przypadku art. 61, Komisja może przyjąć opinię związaną ze sprawami wniesionymi na mocy art. 58 lub art. 61 w celu zapewnienia właściwego i spójnego stosowania rozporządzenia.

2.  W przypadku gdy Komisja przyjęła opinię zgodnie z ust. 1 dany organ nadzorczy uwzględnia w jak najszerszym stopniu opinię Komisji i informuje Komisję i Europejską Radę Ochrony Danych, czy zamierza utrzymać czy zmienić projekt środka.

3.  W okresie, o którym mowa w ust. 1, organ nadzorczy nie może przyjąć projektu środka.

4.  W przypadku gdy dany organ nadzorczy nie zamierza uwzględnić opinii Komisji informuje o tym Komisję i Europejską Radę Ochrony Danych w terminie, o którym mowa w ust. 1, i przedstawia uzasadnienie. W tym przypadku projektu środka nie przyjmuje się przez okres kolejnego miesiąca. [Popr. 168]

Artykuł 60

Zawieszenie projektu środka

1.  W terminie jednego miesiąca po przekazaniu informacji, o której mowa w art. 59 ust. 4, oraz w przypadku gdy Komisja ma poważne wątpliwości, czy projekt środka zapewniłby właściwe stosowanie niniejszego rozporządzenia czy też przeciwnie wiązałby się z jego niespójnym stosowaniem, Komisja może przyjąć uzasadnioną decyzję nakładającą na organ nadzorczy obowiązek zawieszenia przyjęcia danego projektu środka, uwzględniając opinię wydaną przez Europejską Radę Ochrony Danych na mocy art. 58 ust. 7 lub art. 61 ust. 2, w przypadku gdy wydaje się to konieczne w celu:

a)  pogodzenia rozbieżnych stanowisk organu nadzorczego i Europejskiej Rady Ochrony Danych, jeżeli nadal wydaje się to możliwe; lub

b)  przyjęcia środka zgodnie z art. 62 ust. 1 lit. a).

2.  Komisja określi czas trwania zawieszenia, który nie przekracza 12 miesięcy.

3.  W okresie, o którym mowa w ust. 2, organ nadzorczy nie może przyjąć danego projektu środka. [Popr. 169]

Artykuł 60a

Powiadamianie Parlamentu Europejskiego i Rady

Komisja regularnie, co najmniej raz na pół roku, powiadamia Parlament Europejski i Radę na podstawie sprawozdania przewodniczącego Europejskiej Rady Ochrony Danych o sprawach rozpatrzonych w ramach mechanizmu zgodności i przedstawia wnioski wyciągnięte przez Komisję i Europejską Radę Ochrony Danych w celu zapewnienia jednolitego wdrożenia i stosowania niniejszego rozporządzenia. [Popr. 170]

Artykuł 61

Tryb pilny

1.  W wyjątkowych okolicznościach, gdy organ nadzorczy uznaje, że istnieje potrzeba pilnego działania w celu ochrony interesów podmiotów danych, w szczególności kiedy istnieje niebezpieczeństwo, że skorzystanie z prawa przez podmiot danych może być znacząco utrudnione przez zmianę istniejącego stanu lub w celu uniknięcia poważnych niedogodności lub z innych powodów, w drodze odstępstwa od procedury, o której mowa w art. 58 58a, organ ten może przyjąć niezwłocznie środki tymczasowe o ograniczonym okresie obowiązywania. Organ nadzorczy bezzwłocznie informuje o tych środkach Europejską Radę Ochrony Danych i Komisję, podając pełne uzasadnienie. [Popr. 171]

2.  Jeżeli organ nadzorczy przyjął środek zgodnie z ust. 1 i uznaje, że należy przyjąć pilnie środki ostateczne, może wystąpić o opinię w trybie pilnym do Europejskiej Rady Ochrony Danych, podając uzasadnienie potrzeby wydania takiej opinii, w tym pilności przyjęcia środków ostatecznych.

3.  Każdy organ nadzorczy może wystąpić o wydanie opinii w trybie pilnym w przypadku, gdy właściwy organ nadzorczy nie przyjął odpowiednich środków w sytuacji, w której istnieje potrzeba pilnego działania w celu ochrony interesów podmiotów danych, podając przesłanki potrzeby przyjęcia takiej opinii, w tym potrzebę pilnego działania.

4.  W drodze odstępstwa od art. 58 ust. 7, Opinię w trybie pilnym, o której mowa w ust. 2 i 3 niniejszego artykułu, przyjmuje się w terminie dwóch tygodni zwykłą większością członków Europejskiej Rady Ochrony Danych. [Popr. 172]

Artykuł 62

Akty wykonawcze

1.  Komisja może przyjmować akty wykonawcze o charakterze ogólnym po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, aby:

a)  rozstrzygnąć w sprawie właściwego i spójnego stosowania niniejszego rozporządzenia zgodnie z jego celami i wymogami w związku ze sprawami przekazanymi przez organy nadzorcze na mocy art. 58 lub art. 61, odnośnie do sprawy, w związku z którą przyjęto uzasadnioną decyzję na podstawie art. 60 ust. 1, lub odnośnie do sprawy, w związku z którą organ nadzorczy nie przedstawił projektu środka i poinformował, że nie zamierza postąpić zgodnie z opinią Komisji na mocy art. 59;

b)  rozstrzygnąć w okresie, o którym mowa w art. 59 ust. 1, w sprawie ogłoszenia projektu standardowych klauzul ochrony danych, o których mowa w art. 58 42 ust. 2 lit. d) jako ogólnie obowiązujących;

c)  określić formułę i procedurę stosowania mechanizmu zgodności, o którym mowa w niniejszej sekcji;

d)  określić zasady wymiany informacji drogą elektroniczną między organami nadzorczymi oraz między organami nadzorczymi i Europejską Radą Ochrony Danych, w szczególności standardowego formatu, o którym mowa w art. 58 ust. 5, 6 i 8.

Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2.

2.  W przypadku należycie uzasadnionej, szczególnie pilnej potrzeby związanej z interesem podmiotów danych w przypadkach określonych w ust. 1 lit. a), Komisja przyjmuje akty wykonawcze mające natychmiastowe zastosowanie zgodnie z procedurą, o której mowa w art. 87 ust. 3. Akty te obowiązują nie dłużej niż 12 miesięcy.

3.  Brak środka lub jego przyjęcie na podstawie niniejszej sekcji pozostaje bez uszczerbku dla każdego innego środka przyjętego przez Komisję na podstawie Traktatów. [Popr. 173]

Artykuł 63

Egzekwowanie

1.  Dla celów niniejszego rozporządzenia egzekwowalny środek organu nadzorczego jednego państwa członkowskiego jest egzekwowany we wszystkich państwach członkowskich, których to dotyczy.

2.  W przypadku gdy organ nadzorczy nie przedstawi projektu środka w mechanizmie zgodności, naruszając art. 58 ust. 1-5 1 lub przyjmie środek pomimo wskazania poważnych zastrzeżeń zgodnie z art. 58a ust. 1, środek tego organu nadzorczego nie jest ważny zgodnie z prawem i nie podlega wykonaniu. [Popr. 174]

SEKCJA 3

EUROPEJSKA RADA OCHRONY DANYCH

Artykuł 64

Europejska Rada Ochrony Danych

1.  Niniejszym ustanawia się Europejską Radę Ochrony Danych.

2.  Do Europejskiej Rady Ochrony Danych należą szef jednego organu nadzorczego każdego państwa członkowskiego oraz Europejski Inspektor Ochrony Danych.

3.  W przypadku gdy w państwie członkowskim więcej niż jeden organ nadzorczy jest odpowiedzialny za monitorowanie stosowania przepisów na mocy niniejszego rozporządzenia, organy te powołują szefa jednego z tych organów nadzorczych jako wspólnego przedstawiciela.

4.  Komisja ma prawo do udziału w działaniach i posiedzeniach Europejskiej Rady Ochrony Danych i wyznacza swojego przedstawiciela. Przewodniczący Europejskiej Rady Ochrony Danych informuje bezzwłocznie Komisję o wszystkich działaniach Europejskiej Rady Ochrony Danych.

Artykuł 65

Niezależność

1.  Europejska Rada Ochrony Danych działa w toku wykonywania zadań na mocy art. 66 i 67 w sposób niezależny.

2.  Bez uszczerbku dla wniosków Komisji, o których mowa w art. 66 ust. 1 lit. b) i ust. 2, Europejska Rada Ochrony Danych podczas wykonywania swoich zadań nie zwraca się do nikogo o instrukcje ani ich od nikogo nie przyjmuje.

Artykuł 66

Zadania Europejskiej Rady Ochrony Danych

1.  Europejska Rada Ochrony Danych zapewnia spójne stosowanie niniejszego rozporządzenia. W tym celu Europejska Rada Ochrony Danych, z własnej inicjatywy lub na wniosek Parlamentu Europejskiego, Rady lub Komisji, podejmuje następujące działania:

a)  doradza Komisji instytucjom europejskim na temat każdej sprawy związanej z ochroną danych osobowych w Unii, w tym na temat każdego projektu zmian niniejszego rozporządzenia;

b)  bada z własnej inicjatywy lub na wniosek jednego ze swoich członków, Parlamentu Europejskiego, Rady lub Komisji każdą kwestię, której zakres obejmuje stosowanie niniejszego rozporządzenia i wydaje wytyczne, zalecenia oraz najlepsze praktyki skierowane do organów nadzorczych w celu zachęcenia do spójnego stosowania niniejszego rozporządzenia, w tym dotyczące wykorzystywania uprawnień egzekucyjnych;

c)  dokonuje przeglądu praktycznego zastosowania wytycznych, zaleceń oraz najlepszych praktyk, o których mowa w lit. b) i regularnie składa sprawozdania Komisji na ten temat;

d)  wydaje opinie na temat projektów decyzji organów nadzorczych zgodnie z mechanizmem zgodności, o którym mowa w art. 57;

da)  wydaje opinię na temat tego, który organ powinien być organem głównym, zgodnie z art. 54a ust. 3;

e)  promuje współpracę i skuteczną dwustronną i wielostronną wymianę informacji i praktyk między organami nadzorczymi, w tym koordynację wspólnych operacji i innych wspólnych działań, jeżeli podejmie taką decyzję na wniosek jednego lub kilku organów nadzorczych;

f)  promuje wspólne programy szkoleń i ułatwia wymianę personelu między organami nadzorczymi, jak również, w stosownych przypadkach, z organami nadzorczymi państw trzecich lub organizacji międzynarodowych;

g)  promuje wymianę wiedzy i dokumentów na temat ustawodawstwa i praktyki dotyczących ochrony danych z organami nadzorczymi na świecie;

ga)  wydaje opinię dla Komisji podczas opracowywania aktów delegowanych i wykonawczych na podstawie niniejszego rozporządzenia;

gb)  wydaje opinię na temat kodeksów postępowania opracowywanych na szczeblu Unii zgodnie z art. 38 ust. 4;

gc)  wydaje opinię w sprawie kryteriów i wymogów dotyczących mechanizmów certyfikacji ochrony danych zgodnie z art. 39 ust. 3;

gd)  prowadzi publiczny rejestr elektroniczny dotyczący ważnych i nieważnych certyfikatów zgodnie z art. 39 ust. 1 lit. h);

ge)  zapewnia pomoc krajowym organom nadzorczym, na ich wniosek;

gf)  tworzy i podaje do wiadomości publicznej wykaz operacji przetwarzania, które podlegają uprzedniej konsultacji na mocy art. 34;

gg)  prowadzi rejestr sankcji nakładanych na administratorów lub podmioty przetwarzające przez właściwe organy nadzorcze.

2.  W przypadku gdy Parlament Europejski, Rada lub Komisja zwraca się o opinię doradczą do Europejskiej Rady Ochrony Danych może określić termin, w jakim Europejska Rada Ochrony Danych wydaje taką opinię, przy uwzględnieniu pilności sprawy.

3.  Europejska Rada Ochrony Danych przekazuje swoje opinie, wytyczne, zalecenia i najlepsze praktyki Parlamentowi Europejskiemu, Radzie oraz Komisji i komitetowi, o którym mowa w art. 87, oraz podaje je do wiadomości publicznej.

4.  Komisja informuje Europejską Radę Ochrony Danych na temat działania podjętego na podstawie opinii, wytycznych, zaleceń i najlepszych praktyk wydanych przez Europejską Radę Ochrony Danych.

4a.  Europejska Rada Ochrony Danych w stosownych przypadkach konsultuje się z zainteresowanymi stronami i daje im możliwość przestawienia uwag w racjonalnym terminie. Bez uszczerbku dla art. 72 Europejska Rada Ochrony Danych podaje wyniki procedury konsultacji do publicznej wiadomości.

4b.  Europejskiej Radzie Ochrony Danych powiedzą się zadanie wydawania wytycznych, zaleceń i najlepszych praktyk zgodnie z ust. 1 lit. b), dotyczących wspólnych procedur odnoszących się do otrzymywania i badania informacji związanych z doniesieniami o niezgodnym z prawem przetwarzaniu oraz do zapewniania poufności i do źródeł otrzymywanych informacji. [Popr. 175]

Artykuł 67

Sprawozdania

1.  Europejska Rada Ochrony Danych regularnie i w terminie informuje Parlament Europejski, Radę i Komisję na temat wyników swojej działalności. Przynajmniej co dwa lata sporządza roczne sprawozdanie na temat sytuacji dotyczącej ochrony osób fizycznych w odniesieniu do przetwarzania danych osobowych w Unii i państwach trzecich.

Sprawozdanie obejmuje przegląd praktycznego zastosowania opinii, wytycznych, zaleceń i opisów najlepszych praktyk, o których mowa w art. 66 ust. 1 lit. c). [Popr. 176]

2.  Sprawozdanie jest podawane do wiadomości publicznej i przekazywane Parlamentowi Europejskiemu, Radzie i Komisji.

Artykuł 68

Procedura

1.  Europejska Rada Ochrony Danych podejmuje decyzję zwykłą większością głosów swoich członków, o ile jej regulamin nie przewiduje inaczej. [Popr. 177]

2.  Europejska Rada Ochrony Danych przyjmuje własny regulamin wewnętrzny i ustala własne zasady działania. W szczególności przyjmuje regulacje dotyczące dalszego wykonywania obowiązków przez członka w sytuacji, kiedy wygaśnie jego kadencja lub złoży on rezygnację, ustanowienia podgrup zajmujących się określonymi tematami lub sektorami oraz odnoszące się do procedur w związku z mechanizmem zgodności, o którym mowa w art. 57.

Artykuł 69

Przewodniczący

1.  Europejska Rada Ochrony Danych wybiera przewodniczącego i co najmniej dwóch wiceprzewodniczących spośród swoich członków. Europejski Inspektor Ochrony Danych pełni funkcję jednego z wiceprzewodniczących, chyba że został on wybrany na przewodniczącego. [Popr. 178]

2.  Kadencja przewodniczącego i wiceprzewodniczących trwa pięć lat i jest odnawialna.

2a.  Stanowisko przewodniczącego jest stanowiskiem pełnoetatowym. [Popr. 179]

Artykuł 70

Zadania przewodniczącego

1.  Przewodniczący ma następujące zadania:

a)  zwołuje posiedzenia Europejskiej Rady Ochrony Danych i sporządza ich porządek obrad;

b)  zapewnia terminowe wykonanie zadań Europejskiej Rady Ochrony Danych, w szczególności w związku z mechanizmem zgodności, o którym mowa w art. 57.

2.  Europejska Rada Ochrony Danych określa podział zadań między przewodniczącego a wiceprzewodniczących w swoim regulaminie wewnętrznym.

Artykuł 71

Sekretariat

1.  Europejska Rada Ochrony Danych ma do dyspozycji sekretariat: obsługę sekretariatu zapewnia Europejski Inspektor Ochrony Danych.

2.  Sekretariat pod kierownictwem przewodniczącego zapewnia Europejskiej Radzie Ochrony Danych wsparcie analityczne, prawne, administracyjne i logistyczne. [Popr. 180]

3.  Sekretariat jest w szczególności odpowiedzialny za:

a)  bieżącą działalność Europejskiej Rady Ochrony Danych;

b)  przekazywanie informacji między członkami Europejskiej Rady Ochrony Danych, jej przewodniczącym i Komisją oraz informowanie innych instytucji i opinii publicznej;

c)  stosowanie środków elektronicznych do wewnętrznej i zewnętrznej komunikacji;

d)  tłumaczenie odpowiednich informacji;

e)  przygotowanie posiedzeń oraz działań następczych w stosunku do posiedzeń Europejskiej Rady Ochrony Danych;

f)  przygotowanie, sporządzanie i publikowanie opinii i innych tekstów przyjętych przez Europejską Radę Ochrony Danych.

Artykuł 72

Poufność

1.  Obrady Europejskiej Rady Ochrony Danych są mogą być poufne w razie konieczności, chyba że jej regulamin stanowi inaczej. Porządki posiedzeń Europejskiej Rady Ochrony Danych podaje się do wiadomości publicznej. [Popr. 181]

2.  Dokumenty przedłożone członkom Europejskiej Rady Ochrony Danych, ekspertom i przedstawicielom osób trzecich są poufne, chyba że dostęp do tych dokumentów został przyznany zgodnie z rozporządzeniem nr 1049/2001 Parlamentu Europejskiego i Rady(20) lub Europejska Rada Ochrony Danych w inny sposób podaje je do wiadomości publicznej.

3.  Na członkach Europejskiej Rady Ochrony Danych, a także na ekspertach i przedstawicielach osób trzecich spoczywa obowiązek zachowania poufności, o którym mowa w niniejszym artykule. Przewodniczący dopilnuje, by eksperci i przedstawiciele osób trzecich zostali powiadomieni o wymogach poufności, które się na nich nakłada.

ROZDZIAŁ VIII

ŚRODKI OCHRONY PRAWNEJ, ODPOWIEDZIALNOŚĆ I SANKCJE

Artykuł 73

Prawo do złożenia skargi do organu nadzorczego

1.  Bez uszczerbku dla innych administracyjnych lub sądowych środków ochrony prawnej oraz dla mechanizmu zgodności, każdy podmiot danych ma prawo złożyć skargę do organu nadzorczego w dowolnym państwie członkowskim, jeżeli uznaje, że przetwarzanie danych osobowych ich dotyczących nie jest zgodne z przepisami niniejszego rozporządzenia.

2.  Każdy podmiot, organizacja lub zrzeszenie, których celem jest ochrona praw podmiotów danych oraz interesów dotyczących ochrony ich danych osobowych, które działają w interesie publicznym i które zostały prawidłowo ustanowione zgodnie z prawem państwa członkowskiego, ma mają prawo złożyć skargę do organu nadzorczego dowolnego państwa członkowskiego w imieniu jednego lub więcej podmiotów danych, jeżeli uznaje uznają, że prawa podmiotu danych na podstawie niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania danych osobowych.

3.  Niezależnie od skargi podmiotu danych każdy podmiot, organizacja lub zrzeszenie, o których mowa w ust. 2, ma prawo złożyć skargę do organu nadzorczego w dowolnym państwie członkowskim, jeżeli uznaje, że doszło do naruszenia ochrony danych osobowych przepisów niniejszego rozporządzenia. [Popr. 182]

Artykuł 74

Prawo do sądowego środka ochrony prawnej przeciwko organowi nadzorczemu

1.  Bez uszczerbku dla wszelkich innych administracyjnych lub pozasądowych środków ochrony prawnej, każda osoba fizyczna lub prawna ma prawo do sądowego środka ochrony prawnej od decyzji organu nadzorczego, które jej dotyczą.

2.  Bez uszczerbku dla wszelkich innych administracyjnych lub pozasądowych środków ochrony prawnej, każdy podmiot danych ma prawo do sądowego środka ochrony prawnej zobowiązującego organ nadzorczy do podjęcia działania w sprawie skargi w przypadku braku decyzji chroniącej jego prawa lub w przypadku gdy organ nadzorczy nie poinformuje podmiotu danych w terminie trzech miesięcy o postępach w rozpatrywania skargi lub rezultatach jej rozpatrzenia na mocy art. 52 ust. 1 lit. b).

3.  Postępowanie przeciwko organowi nadzorczemu wszczyna się przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę.

4.  Bez uszczerbku dla mechanizmu zgodności, podmiot danych, którego dotyczy decyzja organu nadzorczego w innym państwie członkowskim niż to, w którym podmiot danych ma miejsce zwykłego pobytu, może zażądać, aby organ nadzorczy państwa członkowskiego, w którym ma miejsce zwykłego pobytu, wszczął postępowanie w jego imieniu przeciwko właściwemu organowi nadzorczemu w innym państwie członkowskim.

5.  Państwa członkowskie wykonują prawomocne orzeczenia sądów, o których mowa w niniejszym artykule. [Popr. 183]

Artykuł 75

Prawo do sądowego środka ochrony prawnej przeciwko administratorowi lub podmiotowi przetwarzającemu

1.  Bez uszczerbku dla jakiegokolwiek dostępnego administracyjnego środka ochrony prawnej, w tym prawa do złożenia skargi do organu nadzorczego, o której mowa w art. 73, każda osoba fizyczna ma prawo do sądowego środka ochrony prawnej, jeżeli uznaje, że jej prawa na podstawie niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jej danych osobowych w warunkach niezgodnych z niniejszym rozporządzeniem.

2.  Postępowanie przeciwko administratorowi i podmiotowi przetwarzającemu wszczyna się przed sądem państwa członkowskiego, w którym administrator lub podmiot przetwarzający mają siedzibę. Alternatywnie takie postępowanie może być wszczęte przed sądem państwa członkowskiego, w którym podmiot danych ma miejsce zwykłego pobytu, chyba że administrator jest organem publicznym Unii lub państwa członkowskiego wykonującym swoje uprawnienia publiczne. [Popr. 184]

3.  W przypadku gdy postępowanie toczy się w ramach mechanizmu zgodności, o którym mowa w art. 58, a dotyczy tego samego środka, decyzji lub praktyki, sąd może zawiesić postępowanie, które się przed nim toczy, chyba że pilny charakter sprawy dotyczącej ochrony praw podmiotu danych nie pozwala oczekiwać na wynik postępowania w ramach mechanizmu zgodności.

4.  Państwa członkowskie wykonują prawomocne orzeczenia sądów, o których mowa w niniejszym artykule.

Artykuł 76

Wspólne zasady postępowań sądowych

1.  Każdy podmiot, organizacja lub zrzeszenie, o których mowa w art. 73 ust. 2, ma prawo do wykonywania praw, o których mowa w art. 74 i , 75 i 77, z upoważnienia, w imieniu jednego lub większej liczby podmiotów danych. [Popr. 185]

2.  Każdy organ nadzorczy ma prawo wszcząć postępowanie prawne i wnieść sprawę do sądu w celu wykonania przepisów niniejszego rozporządzenia lub zapewnienia spójności ochrony danych osobowych na terytorium Unii.

3.  W przypadku gdy właściwy sąd państwa członkowskiego ma uzasadnione powody, by sądzić, że równoległe postępowanie toczy się w innym państwie członkowskim, kontaktuje się z właściwym sądem innego państwa członkowskiego, aby potwierdzić fakt prowadzenia takiego równoległego postępowania.

4.  W przypadku gdy równoległe postępowanie w drugim państwie członkowskim dotyczy tego samego środka, decyzji lub praktyki, sąd może zawiesić postępowanie.

5.  Państwa członkowskie dopilnują, by skargi przewidziane w prawie krajowym umożliwiały szybkie przyjęcie środków, łącznie ze środkami tymczasowymi mającymi na celu przerwanie każdego domniemanego naruszenia prawa oraz zapobieżenie wszelkim dalszym naruszeniom przedmiotowych interesów.

Artykuł 77

Prawo do odszkodowania i odpowiedzialność

1.  Każda osoba, która poniosła szkodę, w tym szkodę niepieniężną, w wyniku niezgodnej z prawem operacji przetwarzania danych lub działania niezgodnego z przepisami ustanowionymi w niniejszym rozporządzeniu, ma prawo do dochodzenia odszkodowania od administratora lub podmiotu przetwarzającego, odpowiedzialnego za poniesioną szkodę. [Popr. 186]

2.  Jeżeli w przetwarzaniu bierze udział więcej niż jeden administrator lub podmiot przetwarzający, każdy administrator i podmiot przetwarzający każdy z tych administratorów lub podmiotów przetwarzających odpowiada solidarnie za całą kwotę odszkodowania, chyba że zawarli między sobą odpowiednie porozumienie w formie pisemnej, określające zakres odpowiedzialności zgodnie z art. 24. [Popr. 187]

3.  Administrator lub podmiot przetwarzający może zastać zwolniony z tej odpowiedzialności, w całości lub w części, jeżeli udowodni, że nie jest odpowiedzialny za zdarzenie, które doprowadziło do powstania szkody.

Artykuł 78

Kary

1.  Państwa członkowskie ustanawiają przepisy dotyczące kar stosowanych w przypadku naruszenia przepisów niniejszego rozporządzenia oraz przyjmują wszystkie środki niezbędne do zapewnienia, że są one wykonywane, w tym w sytuacji gdy administrator nie wypełnił obowiązku wyznaczenia swojego przedstawiciela. Przewidziane kary muszą być skuteczne, proporcjonalne i odstraszające.

2.  W przypadku gdy administrator ustanowił przedstawiciela, wszystkie kary mają zastosowanie do przedstawiciela, bez uszczerbku dla jakiejkolwiek kary, która może grozić administratorowi.

3.  Każde państwo członkowskie zawiadamia Komisję o przepisach prawa, które przyjęło na mocy ust. 1, najpóźniej w terminie określonym w art. 91 ust. 2 i bezzwłocznie o każdej kolejnej zmianie mającej na nie wpływ.

Artykuł 79

Sankcje administracyjne

1.  Każdy organ nadzorczy jest uprawniony do nakładania sankcji administracyjnych zgodnie niniejszym artykułem. Organy nadzorcze współpracują ze sobą stosownie do art. 46 i 57 w celu zagwarantowania zharmonizowanych sankcji w całej UE.

2.  Sankcja administracyjna w każdym indywidualnym przypadku jest skuteczna, proporcjonalna i odstraszająca. Kwotę grzywny administracyjnej określa się z należytym uwzględnieniem charakteru, powagi i czasu trwania naruszenia, umyślnego lub lekkomyślnego charakteru naruszenia, stopnia odpowiedzialności osoby fizycznej lub prawnej oraz poprzednich naruszeń popełnionych przez tą osobę, technicznych i organizacyjnych środków i procedur wdrażanych na mocy art. 23 i stopnia współpracy z organem nadzorczym w celu usunięcia naruszenia.

2a.  Na podmioty, które nie wywiązują się z zobowiązań określonych w niniejszym rozporządzeniu, organ nadzorczy nakłada co najmniej jedną z następujących sankcji:

a)  ostrzeżenie pisemne w przypadku pierwszej i niezamierzonej niezgodności;

b)  regularne okresowe kontrole w zakresie ochrony danych;

c)  wyższa z kwot: grzywna w wysokości 100 000 000 EUR lub 5 % rocznego światowego obrotu, w przypadku przedsiębiorstw.

2b.  Jeżeli administrator lub podmiot przetwarzający posiada ważną europejską pieczęć w zakresie ochrony danych, zgodnie z art. 39, grzywnę, o której mowa w ust. 2a lit. c), nakłada się tylko wówczas, gdy naruszenie przepisów było zamierzone lub wynikało z zaniedbania.

2c.  Sankcje administracyjne uwzględniają następujące czynniki:

a)  charakter, powagę i czas trwania naruszenia;

b)  umyślny lub lekkomyślny charakter naruszenia;

c)  stopień odpowiedzialności osoby fizycznej lub prawnej oraz poprzednich naruszeń popełnionych przez tę osobę;

d)  powtarzający się charakter naruszenia;

e)  stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia ewentualnych negatywnych skutków naruszenia;

f)  szczególne kategorie danych osobowych, na które wpłynęło naruszenie;

g)  skala szkód, w tym szkód niepieniężnych, poniesionych przez podmioty danych;

h)  działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez podmioty danych;

i)  wszelkie zamierzone lub uzyskane korzyści finansowe lub też straty, których uniknięto, bezpośrednio lub pośrednio związane z naruszeniem;

j)  techniczne i organizacyjne środki i procedury wdrażane na mocy:

(i)  art. 23 – uwzględnienie ochrony danych już w fazie projektowania oraz ochrona danych jako opcja domyślna;

(ii)  art. 30 – bezpieczeństwo przetwarzania;

(iii)  art. 33 – ocena skutków w zakresie ochrony danych;

(iv)  art. 33a – przegląd zgodności z przepisami w zakresie ochrony danych;

(v)  art. 35 – wyznaczenie inspektora ochrony danych;

k)  odmowa współpracy z organem nadzorczym lub zablokowanie inspekcji, audytów i kontroli przeprowadzanych przez organ nadzorczy zgodnie z art. 53;

l)  inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy.

3.  W przypadku zaistnienia pierwszego przypadku nieumyślnego naruszenia niniejszego rozporządzeniem nie nakłada się sankcji, lecz udziela ostrzeżenia na piśmie, w przypadku gdy:

a)  osoba fizyczna przetwarza dane osobowe nie dla celów handlowych; lub,

b)  przetwarzanie danych osobowych przez przedsiębiorstwo lub organizację zatrudniającą mniej niż 250 osób ma jedynie charakter poboczny w stosunku do głównej działalności.

4.  Organ nadzorczy nakłada grzywnę do wysokości 250 000 EUR lub w przypadku przedsiębiorstwa do 0,5 % jego rocznego światowego obrotu, na każdy podmiot, który umyślnie lub lekkomyślnie:

a)  nie ustanowił mechanizmów umożliwiających podmiotom danych składanie wniosków lub nie odpowiada podmiotom danych bezzwłocznie lub odpowiada nie w wymaganym formacie zgodnie z art. 12 ust. 1 i 2;

b)  pobiera opłatę za informację lub odpowiedzi na wnioski podmiotów danych naruszając w ten sposób art. 12 ust. 4.

5.  Organ nadzorczy nakłada grzywnę do wysokości 500 000 EUR lub w przypadku przedsiębiorstwa do 1 % jego rocznego światowego obrotu, na każdy podmiot, który umyślnie lub lekkomyślnie:

a)  nie dostarcza podmiotom danych informacji lub nie dostarcza pełnych informacji lub nie dostarcza informacji w wystarczająco przejrzysty sposób zgodnie z art. 11, art. 12 ust. 3 i art. 14;

b)  nie zapewnia dostępu podmiotom danych lub nie poprawia danych osobowych zgodnie z art. 15 i 16 lub nie przekazuje odpowiednich informacji odbiorcy zgodnie z art. 13;

c)  nie respektuje prawa do bycia zapomnianym i do usunięcia danych lub nie wprowadza mechanizmów, aby zapewnić, że terminy są przestrzegane lub nie podejmuje wszelkich właściwych kroków, aby poinformować osoby trzecie, że podmioty danych zażądały wszystkich usunięcia linków do danych, lub kopii lub replikacji danych osobowych na podstawie art. 17;

d)  nie dostarcza kopii danych osobowych w formie elektronicznej lub utrudnia podmiotowi danych przekazanie danych osobowych do innego zastosowania, naruszając art. 18;

e)  nie określa w sposób wystarczający odpowiednich obowiązków współadministratorów danych zgodnie z art. 24;

f)  nie prowadzi dokumentacji lub prowadzi ją w sposób niewystarczający na mocy art. 28, art. 31 ust. 4 i art. 44 ust. 3;

g)  nie przestrzega, w przypadkach które dotyczą szczególnych kategorii danych, na mocy art. 80, 82 i 83, przepisów odnoszących się do wolności wypowiedzi lub do przetwarzania w kontekście zatrudnienia lub dotyczących warunków przetwarzania do celów dokumentacji, statystyki i badań naukowych.

6.  Organ nadzorczy nakłada grzywnę do wysokości 1 000 000 EUR lub w przypadku przedsiębiorstwa do 2 % jego rocznego światowego obrotu, na każdy podmiot, który umyślnie lub lekkomyślnie:

a)  przetwarza dane osobowe bez żadnej lub wystarczającej podstawy prawnej przetwarzania lub nie przestrzega warunków dotyczących uzyskania zgody na mocy art. 6, 7 i 8;

b)  przetwarza szczególne kategorie danych niezgodnie z art. 9 i art. 81;

c)  nie respektuje sprzeciwu lub wymogu na mocy art. 19;

d)  nie przestrzega warunków odnoszących się do środków opartych na profilowaniu na mocy art. 20;

e)  nie przyjmuje wewnętrznych polityk lub nie wdraża właściwych środków w celu zapewnienia i wykazania zgodności na mocy art. 22, 23 i 30;

f)  nie wyznacza przedstawiciela na mocy art. 25;

g)  przetwarza lub wydaje polecenie przetwarzania danych osobowych, z naruszeniem obowiązków odnoszących się do przetwarzania w imieniu administratora na mocy art. 26 i 27;

h)  nie ostrzega, ani nie zawiadamia o naruszeniu ochrony danych osobowych lub nie zawiadamia terminowo i w całości o naruszeniu danych organu nadzorczego lub podmiotu danych na mocy art. 31 i 32;

i)  nie przeprowadza oceny skutków w zakresie ochrony danych lub przetwarza dane osobowe bez uzyskania uprzedniej zgody organu nadzorczego lub bez uprzednich konsultacji z nim na mocy art. 33 i 34;

j)  nie wskazuje inspektora ochrony danych lub nie zapewnia warunków umożliwiających wykonanie zadań na mocy art. 35, 36 i 37;

k)  nadużywa pieczęci lub oznaczeń w zakresie ochrony danych w rozumieniu art. 39;

l)  wykonuje lub zleca przekazanie danych do państwa trzeciego lub organizacji międzynarodowej, na co nie zezwala decyzja stwierdzająca odpowiedni poziom ochrony lub odpowiednie gwarancje lub odstępstwo na mocy art. 40-44;

m)  nie przestrzega nakazu lub tymczasowego albo ostatecznego zakazu dotyczącego przetwarzania lub zawieszenia przepływu danych przez organ nadzorczy na podstawie art. 53 ust. 1;

n)  nie przestrzega obowiązków dotyczących udzielenia pomocy lub odpowiedzi lub dostarczenia odpowiednich informacji organowi nadzorczemu lub udostępnienia mu pomieszczeń na mocy art. 28 ust. 3, art. 29, art. 34 ust. 6 i art. 53 ust. 2;

o)  nie przestrzega przepisów dotyczących zachowaniu tajemnicy służbowej na mocy art. 84.

7.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu aktualizacji bezwzględnych kwot grzywien administracyjnych, o których mowa ust. 4, 5 i 6 2a, biorąc pod uwagę warunki kryteria i czynniki, o których mowa ust. 2 i 2c. [Popr. 188]

ROZDZIAŁ IX

PRZEPISY DOTYCZĄCE OKREŚLONYCH SYTUACJI ZWIĄZANYCH Z PRZETWARZANIEM DANYCH

Artykuł 80

Przetwarzanie danych osobowych i wolność wypowiedzi

1.  Państwa członkowskie stanowią przepisy przewidujące wyłączenia i odstępstwa od przepisów dotyczące ogólnych zasad w rozdziale II, praw podmiotów danych w rozdziale III, administratora i podmiotu przetwarzającego w rozdziale IV, przekazywania danych osobowych do państw trzecich w rozdziale V, niezależnych organów nadzorczych w rozdziale VI oraz , współpracy i zgodności w rozdziale VII w przypadku przetwarzania danych osobowych wyłącznie w celach dziennikarskich lub w celu uzyskania wyrazu artystycznego lub literackiego oraz szczególnych sytuacji przetwarzania danych w niniejszym rozdziale, zawsze gdy jest to niezbędne, aby pogodzić prawo do ochrony danych osobowych z przepisami dotyczącymi wolności wypowiedzi zgodnie z Kartą. [Popr. 189]

2.  Każde państwo członkowskie zawiadamia Komisję o przepisach prawa, które przyjęło na mocy ust. 1, najpóźniej w terminie określonym w art. 91 ust. 2 i bezzwłocznie o każdym kolejnym akcie zmieniającym lub zmianie, które mają na nie wpływ.

Artykuł 80a

Dostęp do dokumentów

1.  Dane osobowe w dokumentach znajdujących się w posiadaniu organu publicznego lub podmiotu publicznego mogą być ujawniane przez ten organ lub podmiot zgodnie z prawem Unii lub państwa członkowskiego dotyczącym publicznego dostępu do dokumentów urzędowych, które godzi prawo do ochrony danych osobowych z zasadą publicznego dostępu do dokumentów urzędowych.

2.  Każde państwo członkowskie zawiadamia Komisję o przepisach prawa, które przyjęło na mocy ust. 1, najpóźniej w terminie określonym w art. 91 ust. 2 i bezzwłocznie o każdej kolejnej zmianie mającej na nie wpływ. [Popr. 190]

Artykuł 81

Przetwarzanie danych osobowych dotyczących zdrowia

1.  W granicach niniejszego rozporządzenia i Zgodnie z przepisami określonymi w niniejszym rozporządzeniu, a w szczególności zgodnie z art. 9 ust. 2 lit. h) przetwarzanie danych osobowych dotyczących zdrowia musi odbywać się na podstawie prawa Unii lub prawa państwa członkowskiego, które przewiduje odpowiednie, spójne i konkretne środki mające na celu zabezpieczenie uzasadnionych interesów oraz praw podstawowych podmiotu danych, o ile i które są one niezbędne i proporcjonalne oraz o ile ich skutki są przewidywalne dla podmiotu danych:

a)  dla celów medycyny prewencyjnej lub medycyny pracy, diagnostyki medycznej, opieki lub leczenia lub zarządzania opieką zdrowotną, w przypadkach, gdy dane te są przetwarzane przez pracownika służby zdrowia podlegającego obowiązkowi zachowania tajemnicy zawodowej lub przez inną osobę również podlegającą równoważnemu obowiązkowi zachowania poufności na podstawie prawa państwa członkowskiego lub przepisów ustanowionych przez właściwe organy krajowe; lub

b)  ze względu na interes publiczny w dziedzinie zdrowia publicznego, taki jak ochrona przed poważnymi transgranicznymi zagrożeniami dla zdrowia lub zapewnienie wysokich standardów jakości i bezpieczeństwa, między innymi w przypadku produktów leczniczych lub wyrobów medycznych, oraz jeżeli dane te są przetwarzane przez osobę podlegającą obowiązkowi zachowania poufności; lub

c)  ze względu na inne przesłanki z zakresu interesu publicznego w takich obszarach jak ochrona socjalna, szczególnie w celu zapewnienia odpowiedniej jakości i efektywności ekonomicznej procedur stosowanych do rozstrzygania roszczeń w sprawie świadczeń i usług w ramach systemu ubezpieczeń zdrowotnych i świadczenia usług zdrowotnych. Takie przetwarzanie danych osobowych dotyczących zdrowia ze względu na interes publiczny nie może skutkować przetwarzaniem danych osobowych do innych celów, chyba że odbywa się to za zgodą podmiotu danych lub na podstawie prawa Unii bądź państwa członkowskiego.

1a.  Gdy cele, o których mowa w ust. 1 lit. a)–c), można osiągnąć bez wykorzystywania danych osobowych, tego rodzaju danych nie wykorzystuje do takich celów, chyba że opiera się to na zgodzie podmiotu danych lub prawie państwa członkowskiego.

1b.  Gdy wymagana jest zgoda podmiotu danych na przetwarzanie danych medycznych wyłącznie do związanych ze zdrowiem publicznym celów badań naukowych, zgoda może być udzielona na jedno lub więcej konkretnych i podobnych badań. Podmiot danych może jednak wycofać zgodę w dowolnej chwili.

1c.  Do celów wyrażenia zgody na udział w działaniach związanych z badaniem naukowym w ramach prób klinicznych zastosowanie mają odpowiednie przepisy dyrektywy 2001/20/WE Parlamentu Europejskiego i Rady(21).

2.  Przetwarzanie danych osobowych dotyczących zdrowia, które jest niezbędne do celów dokumentacji, statystyki i lub badań naukowych, takie jak prowadzenie rejestrów pacjentów założonych w celu udoskonalenia diagnostyki i rozróżnienia między jest dopuszczalne wyłącznie za zgodą podmiotu danych oraz podobnymi rodzajami chorób i przygotowania opracowań dotyczących terapii, podlega warunkom i gwarancjom, o których mowa w art. 83.

2a.  Przepisy państw członkowskich mogą obejmować odstępstwa od wymogu udzielenia zgody na przetwarzanie danych osobowych do celów badań naukowych, o czym jest mowa w ust. 2, w odniesieniu do badań naukowych, które służą istotnemu interesowi publicznemu, o ile takie badania naukowe nie mogą zostać przeprowadzone inaczej. Przedmiotowe dane są zanonimizowane lub, jeśli ich anonimizacja jest niemożliwa do celów badań naukowych, opatrzone pseudonimem z wykorzystaniem najwyższych standardów technicznych, przy czym podejmuje się wszelkie niezbędne działania w celu zapobieżenia nieobjętej gwarancjami ponownej identyfikacji podmiotów danych. Podmiot danych ma jednak prawo do wyrażenia sprzeciwu w dowolnej chwili zgodnie z art. 19.

3.  Komisja jest uprawniona do przyjmowania aktów delegowanych, po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, zgodnie z art. 86 w celu dalszego określenia innych przesłanek z zakresu interesu publicznego w obszarze zdrowia publicznego, o których mowa ust. 1 lit. b), jak również kryteriów i wymogów dla gwarancji przetwarzanie danych osobowych dla celów oraz istotnego interesu publicznego związanego z dziedziną badań naukowych, o których którym mowa w ust. 1 2a.

3a.  Każde państwo członkowskie zawiadamia Komisję o przepisach prawa, które przyjęło na mocy ust. 1, najpóźniej w terminie określonym w art. 91 ust. 2 i bezzwłocznie o każdej kolejnej zmianie mającej na nie wpływ. [Popr. 191]

Artykuł 82

Przetwarzanie Minimalne standardy przetwarzania danych w kontekście zatrudnienia

1.  W granicach Zgodnie z zasadami ustalonymi na mocy niniejszego rozporządzenia i przy uwzględnieniu zasady proporcjonalności państwa członkowskie mogą przyjąć za pomocą przepisów prawa przepisy szczególne regulujące przetwarzanie danych osobowych pracowników w kontekście zatrudnienia, w szczególności, ale nie tylko dla celów procedury rekrutacyjnej i aplikacyjnej w ramach grupy przedsiębiorstw, wykonania umowy o pracę, w tym zwolnienia z obowiązków określonych przez przepisy prawa lub i przez umowy zbiorowe, zgodnie z krajowym prawem i praktyką, zarządzania, planowania i organizacji pracy, bezpieczeństwa i higieny pracy, oraz dla celów wykonywania praw i korzystania ze świadczeń związanych z zatrudnieniem, indywidualnie lub zbiorowo, oraz dla celu zakończenia stosunku pracy. Państwa członkowskie mogą zezwolić na układy zbiorowe w celu doprecyzowania przepisów określonych w niniejszym artykule.

1a.  Cel przetwarzania takich danych musi być związany z przyczyną ich zgromadzenia i nie może wykraczać poza kontekst zatrudnienia. Niedozwolone jest tworzenie profili lub wykorzystywanie do celów drugorzędnych.

1b.  Zgoda pracownika nie stanowi podstawy prawnej przetwarzania danych przez pracodawcę w przypadku, gdy zgody tej nie udzielono dobrowolnie.

1c.  Niezależnie od pozostałych postanowień niniejszego rozporządzenia, przepisy prawne państw członkowskich, o których mowa w ust. 1, dotyczą przynajmniej zapewnienia minimalnych standardów, do których należą:

a)  przetwarzanie danych osobowych pracownika bez jego wiedzy jest niedopuszczalne; niezależnie od zdania pierwszego państwa członkowskie mogą, przy pomocy odpowiednich przepisów prawnych, dopuścić przetwarzanie danych osobowych – przestrzegając odpowiednich terminów usuwania danych – w przypadku, gdy istnieje podejrzenie oparte na materialnych przesłankach wymagających udokumentowania, iż pracownik popełnił czyn karalny lub w inny poważny sposób nie dopełnił obowiązków pozostając w stosunku pracy, również pod warunkiem, że gromadzenie danych jest konieczne do celu wyjaśnienia tej kwestii oraz pod warunkiem, że charakter i zakres gromadzenia danych są niezbędne i proporcjonalne do jego celu; sfera prywatna i życie osobiste pracownika są objęte ciągłą ochroną; śledztwo jest prowadzone przez właściwy organ;

b)  zabronione jest otwarte optyczno-elektroniczne lub akustyczno-elektroniczne monitorowanie przeznaczonych do prywatnych celów pracownika i niedostępnych publicznie miejsc w przedsiębiorstwie w szczególności takich jak: pomieszczenia sanitarne, szatnie oraz pomieszczenia przeznaczone na odpoczynek i sen; ukryty monitoring zabroniony jest w każdym przypadku;

c)  jeżeli przedsiębiorstwa lub urzędy gromadzą i przetwarzają dane osobowe w ramach badań lekarskich lub testów selekcyjnych, muszą uprzednio wyjaśnić kandydatowi lub pracownikowi, do czego wykorzystuje się te dane, oraz zapewnić, że później dane te wraz z wynikami zostaną im podane i objaśnione na żądanie; gromadzenie danych osobowych w celu przeprowadzania testów i analiz genetycznych jest kategorycznie zabronione;

d)  kwestia związana z tym, czy i w jakim stopniu dozwolone jest wykorzystanie telefonu, poczty elektronicznej, internetu i innych usług telekomunikacyjnych również do celów prywatnych, może zostać uregulowana na drodze układu zbiorowego; jeżeli braku uregulowania w drodze układu zbiorowego, pracodawca uzgadnia tę kwestię bezpośrednio z pracownikiem; jeżeli wykorzystanie do celów prywatnych jest dozwolone, przetwarzanie przekazywanych tą drogą danych dozwolone jest w szczególności w celu zapewnienia bezpieczeństwa danych, w celu zapewnienia prawidłowego funkcjonowania sieci i usług telekomunikacyjnych oraz w celu dokonania rozliczenia;

niezależnie od zdania trzeciego państwa członkowskie mogą, przy pomocy odpowiednich przepisów prawnych, dopuścić przetwarzanie danych osobowych – przestrzegając odpowiednich terminów usuwania danych – w przypadku, gdy istnieje podejrzenie oparte na materialnych przesłankach wymagających udokumentowania, iż pracownik popełnił czyn karalny lub w inny poważny sposób nie dopełnił obowiązków pozostając w stosunku pracy, również pod warunkiem, że gromadzenie danych jest konieczne do celu wyjaśnienia tej kwestii oraz pod warunkiem, że charakter i zakres gromadzenia danych są niezbędne i proporcjonalne do jego celu; sfera prywatna i życie osobiste pracownika są objęte ciągłą ochroną; śledztwo jest prowadzone przez właściwy organ;

e)  dane osobowe pracowników zwłaszcza dane newralgiczne, takie jak orientacja polityczna, przynależność do związków zawodowych i działalność w tych związkach w żadnym razie nie mogą być wykorzystywane do umieszczania pracowników na tzw. czarnych listach, weryfikowania ich lub blokowania dostępu do zatrudnienia w przyszłości; Przetwarzanie, wykorzystywanie w kontekście zatrudnienia, sporządzanie i przekazywanie czarnych list pracowników lub inne formy dyskryminacji są zabronione. Państwa członkowskie przeprowadzają kontrole i przyjmują odpowiednie sankcje zgodnie z art. 79 ust. 6 w celu zapewnienia skutecznego wdrożenia przepisów niniejszej litery.

1d.  Przekazywanie i przetwarzanie danych osobowych odnoszących się do osób zatrudnionych odbywające się pomiędzy przedsiębiorstwem posiadającym odrębną osobowość prawną wewnątrz grupy przedsiębiorstw lub z udziałem pracowników odpowiedzialnych za doradztwo prawne lub podatkowe jest dozwolone, o ile służy interesom firmy i wykonywaniu mających określony cel czynności ze stosunku pracy lub administracyjnych, a także nie godzi w interesy i prawa podstawowe podmiotu danych. W przypadku przekazania danych osobowych pracownika do kraju trzeciego lub organizacji międzynarodowej zastosowanie mają przepisy rozdziału V.

2.  Każde państwo członkowskie zawiadamia Komisję o przepisach prawa, które przyjęło na mocy ust. 1 i 1b, najpóźniej w terminie określonym w art. 91 ust. 2 i bezzwłocznie o każdej kolejnej zmianie mającej na nie wpływ.

3.  Komisja jest uprawniona do przyjmowania aktów delegowanychpo zasięgnięciu opinii Europejskiej Rady Ochrony Danych, zgodnie z art. 86 w celu dalszego określenia innych warunków i wymogów gwarancji przetwarzania danych osobowych dla celów, o których mowa w ust. 1. [Popr. 192]

Artykuł 82a

Przetwarzanie w kontekście zabezpieczenia społecznego

1.  Zgodnie z przepisami określonymi w niniejszym rozporządzeniu państwa członkowskie mogą przyjąć szczególne przepisy prawne precyzujące warunki przetwarzania danych osobowych przez ich instytucje i departamenty publiczne w kontekście zabezpieczenia społecznego, o ile przetwarzanie służy interesowi publicznemu.

2.  Każde państwo członkowskie zawiadamia Komisję o przepisach, które przyjęło na mocy ust. 1, najpóźniej w terminie określonym w art. 91 ust. 2 i bezzwłocznie o każdej kolejnej zmianie mającej na nie wpływ. [Popr. 193]

Artykuł 83

Przetwarzanie do celów dokumentacji, statystyki i badań naukowych

1.  W granicach niniejszego rozporządzenia Zgodnie z przepisami określonymi w niniejszym rozporządzeniu można przetwarzać dane osobowe do celów dokumentacji, statystyki i lub badań naukowych jedynie wtedy, gdy:

a)  nie można ich inaczej osiągnąć przez przetwarzanie danych, które nie umożliwia lub przestaje umożliwiać identyfikację osoby, której dane dotyczą;

b)  dane umożliwiające przypisanie informacji do zidentyfikowanej podmiotu danych lub do zidentyfikowania, są przechowywane oddzielnie od innych informacji, tak długo jak cele te można osiągnąć w ten sposób zgodnie z najwyższymi standardami technicznymi, przy czym przyjmuje się wszelkie niezbędne środki w celu zapobieżenia nieobjętej gwarancjami ponownej identyfikacji podmiotów danych.

2.  Podmioty prowadzące badania historyczne, statystyczne lub naukowe mogą publikować lub ujawniać publicznie w inny sposób dane osobowe jedynie wtedy, gdy:

a)  podmiot danych udzielił zgody, z zastrzeżeniem warunków ustanowionych w art. 7;

b)  publikacja danych osobowych jest niezbędna do zaprezentowania ustaleń uzyskanych w wyniku badań lub do ułatwienia badań w takim zakresie, w jakim interesy lub podstawowe prawa i wolności podmiotu danych nie mają charakteru nadrzędnego; lub

c)  osoba, której dane dotyczą podała dane do wiadomości publicznej.

3.  Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 86 w celu dalszego określenia kryteriów i wymogów gwarancji przetwarzania danych osobowych dla celów, o których mowa w ust. 1 i ust. 2, jak również niezbędnych ograniczeń prawa do informacji i dostępu przysługującego podmiotowi danych oraz doprecyzowania warunków praw podmiotów danych w tych okolicznościach i gwarancji tych praw. [Popr. 194]

Artykuł 83a

Przetwarzanie danych osobowych przez służby archiwistyczne

1.  Dane osobowe, po upływie czasu niezbędnego do zrealizowania celów, do których zostały zebrane, mogą być przetwarzane przez służby archiwistyczne, których głównym zadaniem lub obowiązkiem prawnym jest gromadzenie i przechowywanie archiwów, informowanie o nich oraz ich wykorzystywanie i rozpowszechnianie w interesie publicznym, zwłaszcza dla uzasadnienia praw jednostki lub do celów historycznych bądź statystycznych lub do celów badań naukowych. Zadania te są prowadzone zgodnie z określonymi przez państwa członkowskie przepisami dotyczącymi dostępu do dokumentów administracyjnych lub archiwalnych, ich udostępniania i upowszechniania oraz zgodnie z przepisami określonymi w niniejszym rozporządzeniu, szczególnie w odniesieniu do zgody i prawa do sprzeciwu.

2.  Każde państwo członkowskie zawiadamia Komisję o przepisach prawa, które przyjęło na mocy ust. 1, najpóźniej w terminie określonym w art. 91 ust. 2 i bezzwłocznie o każdej kolejnej zmianie mającej na nie wpływ. [Popr. 195]

Artykuł 84

Obowiązki dotyczące zachowania tajemnicy

1.  W granicach niniejszego rozporządzenia Zgodnie z przepisami określonymi w niniejszym rozporządzeniu państwa członkowskie mogą przyjąć zapewniają, aby wprowadzone zostały przepisy szczególne określające uprawnienia dochodzeniowe organów nadzorczych ustanowione w art. 53 ust. 2 w odniesieniu do administratorów i podmiotów przetwarzających, którzy podlegają obowiązkowi zachowania tajemnicy zawodowej lub innym równoważnym obowiązkom zachowania tajemnicy na podstawie prawa krajowego lub przepisów ustanowionych przez właściwe podmioty krajowe, w przypadku gdy jest to konieczne i proporcjonalne dla pogodzenia prawa do ochrony danych osobowych i obowiązku zachowania tajemnicy. Niniejsze przepisy stosuje się w odniesieniu do danych osobowych, które administrator lub podmiot przetwarzający otrzymał lub uzyskał w działaniu objętym obowiązkiem zachowania tajemnicy. [Popr. 196]

2.  Każde państwo członkowskie zawiadamia Komisję o przepisach prawa przyjętych na mocy ust. 1 najpóźniej w terminie określonym w art. 91 ust. 2 i bezzwłocznie o każdej kolejnej zmianie mającej na nie wpływ.

Artykuł 85

Obowiązujące przepisy dotyczące ochrony danych stosowane przez kościoły i związki wyznaniowe

1.  W przypadku gdy państwo członkowskie, kościoły i związki lub wspólnoty wyznaniowe stosują, w momencie wejścia w życie niniejszego rozporządzenia, kompleksowe wystarczające regulacje dotyczące ochrony jednostek w odniesieniu do przetwarzania danych osobowych, regulacje takie mogą być nadal stosowane, pod warunkiem że są dostosowane do przepisów niniejszego rozporządzenia.

2.  Kościoły i związki wyznaniowe, które stosują kompleksowe odpowiednie regulacje zgodnie z ust. 1, stanowią regulacje przewidujące ustanowienie niezależnego organu nadzorczego zgodnie z rozdziałem VI niniejszego rozporządzenia otrzymują opinię o zgodności na podstawie art. 38. [Popr. 197]

Artykuł 85a

Poszanowanie praw podstawowych

Niniejsze rozporządzenie nie ma wpływu na obowiązek poszanowania praw podstawowych i podstawowych zasad prawnych, o których mowa w art. 6 TUE. [Popr. 198]

Artykuł 85b

Standardowe formularze

1.  Komisja może określić – uwzględniając szczególne cechy i potrzeby różnych sektorów i sytuacji w zakresie przetwarzania danych – standardowe formularze do następujących celów:

a)  specjalne metody otrzymywania możliwej do zweryfikowania zgody, o której mowa w art. 8 ust. 1;

b)  komunikacja, o której mowa w art. 12 ust. 2, w tym format elektroniczny;

c)  przekazywanie informacji, o których mowa w art. 14 ust. 1–3,

d)  wnioskowanie o dostęp i przyznawanie dostępu do informacji, o których mowa w art. 15 ust. 1, w tym do celów przekazywania danych osobowych podmiotowi danych;

e)  dokumentacja, o której mowa w art. 28 ust. 1;

f)  zawiadomienia o naruszeniu zgodnie z art. 31 kierowane do organu nadzorczego oraz dokumentacja, o której mowa w art. 31 ust. 4;

g)  uprzednie konsultacje, o których mowa w art. 34, oraz do celów informowania organów nadzorczych zgodnie z art. 34 ust. 6.

2.  Wykonując to uprawnienie, Komisja podejmuje właściwe środki dla mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

3.  Te środki egzekucyjne są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 87 ust. 2. [Popr. 199]

ROZDZIAŁ X

AKTY DELEGOWANE I WYKONAWCZE

Artykuł 86

Wykonywanie przekazanych uprawnień

1.  Powierzenie Komisji uprawnień do przyjęcia aktów delegowanych podlega warunkom określonym w niniejszym artykule.

2.  Uprawnienia do przyjęcia aktów delegowanych, o których mowa w art. 6 ust. 5, art. 8 ust. 3, art. 9 ust. 3, art. 12 ust. 5, art. 14 ust. 7, art. 15 ust. 3, art. 13a ust. 5, art. 17 ust. 9, art. 20 ust. 6, art. 22 ust. 4, art. 23 ust. 3, art. 26 ust. 5, art. 28 ust. 5, art. 30 ust. 3, art. 31 ust. 5, art. 32 ust. 5, art. 33 ust. 6, art. 34 ust. 8, art. 35 ust. 11, art. 37 ust. 2,art. 38 ust. 4, art. 39 ust. 2, art. 41 ust. 3, art. 41 ust. 5, art. 43 ust. 3, art. 44 ust. 7, art. 79 ust. 6 7, art. 81 ust. 3, i art. 82 ust. 3 i art. 83 ust. 3, powierza się Komisji na czas nieokreślony od dnia wejścia w życie niniejszego rozporządzenia. [Popr. 200]

3.  Przekazanie uprawnień, o którym mowa w art. 6 ust. 5, art. 8 ust. 3, art. 9 ust. 3, art. 12 ust. 5, art. 14 ust. 7, art. 15 ust. 3, art. 13a ust. 5, art. 17 ust. 9, art. 20 ust. 6, art. 22 ust. 4, art. 23 ust. 3, art. 26 ust. 5, art. 28 ust. 5, art. 30 ust. 3, art. 31 ust. 5, art. 32 ust. 5, art. 33 ust. 6, art. 34 ust. 8, art. 35 ust. 11, art. 37 ust. 2, art. 38 ust. 4, art. 39 ust. 2, art. 41 ust. 3, art. 41 ust. 5, art. 43 ust. 3, art. 44 ust. 7, art. 79 ust. 6 7, art. 81 ust. 3, i art. 82 ust. 3 i art. 83 ust. 3, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień. Decyzja o odwołaniu staje się skuteczna od następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w określonym w tej decyzji późniejszym terminie. Nie wpływa ona na ważność jakichkolwiek już obowiązujących aktów delegowanych. [Popr. 201]

4.  Niezwłocznie po przyjęciu aktu delegowanego Komisja przekazuje go równocześnie Parlamentowi Europejskiemu i Radzie.

5.  Akt delegowany przyjęty na podstawie art. art. 6 ust. 5, art. 8 ust. 3, art. 9 ust. 3, art. 12 ust. 5, art. 14 ust. 7, art. 15 ust. 3, art. 13a ust. 5, art. 17 ust. 9, art. 20 ust. 6, art. 22 ust. 4, art. 23 ust. 3, art. 26 ust. 5, art. 28 ust. 5, art. 30 ust. 3, art. 31 ust. 5, art. 32 ust. 5, art. 33 ust. 6, art. 34 ust. 8, art. 35 ust. 11, art. 37 ust. 2, art. 38 ust. 4, art. 39 ust. 2, art. 41 ust. 3, art. 41 ust. 5, art. 43 ust. 3, art. 44 ust. 7, art. 79 ust. 6 7, art. 81 ust. 3, i art. 82 ust. 3 i art. 83 ust. 3 wchodzi w życie tylko jeśli Parlament Europejski albo Rada nie wyraziły sprzeciwu w terminie dwóch miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub jeśli, przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o dwa miesiące sześć miesięcy z inicjatywy Parlamentu Europejskiego lub Rady. [Popr. 202]

Artykuł 87

Procedura komitetowa

1.  Komisję wspomaga komitet. Komitet ten jest komitetem w rozumieniu rozporządzenia (UE) nr 182/2011.

2.  W przypadku odesłania do niniejszego ustępu stosuje się art. 5 rozporządzenia (UE) nr 182/2011.

3.  W przypadku odesłania do niniejszego ustępu stosuje się art. 8 rozporządzenia (UE) nr 182/2011 w związku z jego art. 5. [Popr. 203]

ROZDZIAŁ XI

PRZEPISY KOŃCOWE

Artykuł 88

Uchylenie dyrektywy 95/46/WE

1.  Uchyla się dyrektywę 95/46/WE.

2.  Odesłania do uchylonej dyrektywy należy odczytywać jako odesłania do niniejszego rozporządzenia. Odniesienia do Grupy Roboczej ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych ustanowionej w art. 29 dyrektywy 95/46/WE należy odczytywać jako odniesienia do Europejskiej Rady Ochrony Danych ustanowionej w niniejszym rozporządzeniu.

Artykuł 89

Stosunek do dyrektywy 2002/58/WE i jej zmiana

1.  Niniejsze rozporządzenie nie nakłada dodatkowych obowiązków na osoby fizyczne i prawne w odniesieniu do przetwarzania danych w związku z ogólnie dostępnymi usługami łączności elektronicznej w publicznych sieciach łączności na terenie Unii w sprawach, w których podmioty te podlegają szczególnym obowiązkom służącym temu samemu celowi określonemu w dyrektywie 2002/58/WE.

2 Skreśla się art. 1 ust. 2, art. 4 oraz art. 15 dyrektywy 2002/58/WE.

2a.   Komisja przedstawia bezzwłocznie, a najpóźniej w terminie określonym w art. 91 ust. 2 wniosek dotyczący przeglądu ram prawnych mających zastosowanie do przetwarzania danych osobowych i ochrony prywatności w komunikacji elektronicznej w celu dostosowania ich do niniejszego rozporządzenia, aby zapewnić spójne i jednolite przepisy prawne dotyczące podstawowego prawa do ochrony danych osobowych w Unii. [Popr. 205]

Artykuł 89a

Związek z rozporządzeniem (WE) nr 45/2001

1.  Przepisy określone w niniejszym rozporządzeniu mają zastosowanie do przetwarzania danych osobowych przez instytucje, organy, urzędy i agencje Unii w odniesieniu do spraw, w przypadku których nie podlegają one dodatkowym przepisom określonym w rozporządzeniu (WE) nr 45/2001.

2.  Komisja przedstawia bezzwłocznie, a najpóźniej w terminie określonym w art. 91 ust. 2, wniosek dotyczący przeglądu ram prawnych mających zastosowanie do przeglądu ram prawnych mających zastosowanie do przetwarzania danych osobowych przez instytucje, organy, urzędy i agencje Unii. [Popr. 206]

Artykuł 90

Ocena

Komisja przedstawia Parlamentowi Europejskiemu i Radzie sprawozdania na temat oceny i przeglądu niniejszego rozporządzenia w regularnych odstępach czasu. Pierwsze sprawozdanie przedstawia się najpóźniej cztery lata po wejściu w życie niniejszego rozporządzenia. Kolejne sprawozdania przedstawia się następnie co cztery lata. Komisja, jeżeli jest to konieczne, przedkłada odpowiednie propozycje w celu zmiany niniejszego rozporządzenia oraz dostosowania innych instrumentów prawnych, w szczególności biorąc pod uwagę rozwój technologii informacyjnych oraz postęp zachodzący w społeczeństwie informacyjnym. Sprawozdania są podawane do wiadomości publicznej.

Artykuł 91

Wejście w życie i stosowanie

1.  Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

2.  Niniejsze rozporządzenie stosuje się od dnia ...(22).

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w ...

W imieniu Parlamentu Europejskiego W imieniu Rady

Przewodniczący Przewodniczący

Załącznik – przedstawienie opisów, o których mowa w art. 13 a

1)  Z uwzględnieniem proporcji, o których mowa w pkt 6, opisy przedstawia się następująco:

2)  W rzędach w drugiej kolumnie tabeli w pkt 1 zatytułowanej „Główne informacje”, drukiem pogrubionym wyróżnia się:

a)  słowa „nie zbiera się” w pierwszym wierszu drugiej kolumny;

b)  słowa „nie przechowuje się” w drugim wierszu drugiej kolumny;

c)  słowa „nie przetwarza się” w trzecim wierszu drugiej kolumny;

d)  słowa „nie udostępnia się” w czwartym wierszu drugiej kolumny;

e)  słowa „nie sprzedaje się ani nie wynajmuje” w piątym wierszu drugiej kolumny;

f)  słowo „niezaszyfrowanej” w szóstym wierszu drugiej kolumny.

3)  Z uwzględnieniem proporcji, o których mowa w pkt 6, rzędy w trzeciej kolumnie tabeli w pkt 1 zatytułowanej „Wypełnienie” wypełnia się jednym z dwóch następujących znaków graficznych zgodnie z warunkami ustanowionymi w pkt 4:

a)

b)

4)  

a)  Jeżeli żadnych danych osobowych nie zbiera się w stopniu większym, niż jest to niezbędne dla każdego odrębnego celu przetwarzania, pierwszy wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. a).

b)  Jeżeli dane osobowe zbiera się w stopniu większym, niż jest to niezbędne dla każdego odrębnego celu przetwarzania, pierwszy wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. b).

c)  Jeżeli danych osobowych nie przechowuje się w stopniu większym, niż jest to niezbędne dla każdego odrębnego celu przetwarzania, drugi wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. a).

d)  Jeżeli dane osobowe przechowuje się w stopniu większym, niż jest to niezbędne dla każdego odrębnego celu przetwarzania, drugi wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. b).

e)  Jeżeli żadnych danych osobowych nie przetwarza się w stopniu większym, niż jest to niezbędne dla każdego odrębnego celu przetwarzania, trzeci wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. a).

f)  Jeżeli dane osobowe przetwarza się w stopniu większym, niż jest to niezbędne dla każdego odrębnego celu przetwarzania, trzeci wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3lit. b).

g)  Jeżeli danych osobowych nie udostępnia się komercyjnym stronom trzecim, czwarty wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. a).

h)  Jeżeli dane osobowe udostępnia się komercyjnym stronom trzecim, czwarty wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. b).

i)  Jeżeli danych osobowych nie sprzedaje się ani nie wynajmuje, piąty wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. a).

j)  Jeżeli dane osobowe sprzedaje się lub wynajmuje, piąty wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. b).

k)  Jeżeli danych osobowych nie przechowuje się w postaci niezaszyfrowanej, szósty wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. a).

l)  Jeżeli dane osobowe przechowuje się w postaci niezaszyfrowanej, szósty wiersz trzeciej kolumny tabeli w pkt 1 zawiera znak graficzny umieszczony w pkt 3 lit. b).

5)  Kolory referencyjne znaków graficznych w pkt 1 w systemie Pantone to Black Pantone nr 7547 i Red Pantone nr 485. Kolorem referencyjnym znaku graficznego w pkt 3 lit. a) w systemie Pantone jest Green Pantone nr 370. Kolorem referencyjnym znaku graficznego w pkt 3 lit. b) w systemie Pantone jest Red Pantone nr 485.

6)  Należy przestrzegać proporcji podanych na poniższym rysunku skalowanym, nawet jeśli tabela jest zmniejszana lub powiększana:

[Popr. 207]

(1) Dz.U. C 229 z 31.7.2012, s. 90. (2) Dz.U. C 192 z 30.6.2012, s. 7. (3) Dz.U. 229 C z 31.7.2012, s. 90. (4) Dz.U. 192 C z 30.6.2012, s. 7. (5) Stanowisko Parlamentu Europejskiego z dnia 12 marca 2014 r. (6) Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995, s. 31). (7) Zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw (Dz.U. L 124 z 20.5.2003, s. 36). (8) Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1). (9) Dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym) (Dz.U. L 178 z 17.7.2000, s. 1). (10) Dyrektywa Rady 93/13/EWG z dnia 5 kwietnia 1993 w sprawie nieuczciwych warunków w umowach konsumenckich (Dz. U. L 95 z 21.4.1993, s. 29) (11) Rozporządzenie Parlamentu Europejskiego i Rady (WE) nr 1338/2008 z dnia 16 grudnia 2008 r. w sprawie statystyk Wspólnoty w zakresie zdrowia publicznego oraz zdrowia i bezpieczeństwa w pracy (Dz.U. L 354 z 31.12.2008, s. 70). (12) Dyrektywa 2009/38/WE Parlamentu Europejskiego i Rady z dnia 6 maja 2009 r. w sprawie ustanowienia europejskiej rady zakładowej lub trybu informowania pracowników i konsultowania się z nimi w przedsiębiorstwach lub w grupach przedsiębiorstw o zasięgu wspólnotowym (Dz.U. L 122 z 16.5.2009, s. 28). (13) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję, Dz.U. L 55 z 28.2.2011, s. 13. (14) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37). (15) Dz.U. L 176 z 10.7.1999, s. 36. (16) Dz.U. L 53 z 27.2.2008, s. 52. (17) Dz.U. L 160 z 18.6.2011, s. 21. (18) Dyrektywa 2004/18/WE Parlamentu Europejskiego i Rady z dnia 31 marca 2004 r. w sprawie koordynacji procedur udzielania zamówień publicznych na roboty budowlane, dostawy i usługi (Dz.U. L 134 z 30.4.2004, s. 114). (19) Dyrektywa 2004/17/WE Parlamentu Europejskiego i Rady z dnia 31 marca 2004 r. koordynująca procedury udzielania zamówień publicznych przez podmioty działające w sektorach gospodarki wodnej, energetyki, transportu i usług pocztowych (Dz.U. L 134 z 30.4.2004, s. 1). (20) Rozporządzenie (WE) nr 1049/2001 Parlamentu Europejskiego i Rady z dnia 30 maja 2001 r. w sprawie publicznego dostępu do dokumentów Parlamentu Europejskiego, Rady i Komisji (Dz.U. L 145 z 31.5.2001, s. 43). (21) Dyrektywa 2001/20/WE Parlamentu Europejskiego i Rady z dnia 4 kwietnia 2001 r. w sprawie zbliżania przepisów ustawowych, wykonawczych i administracyjnych państw członkowskich, odnoszących się do wdrożenia zasady dobrej praktyki klinicznej w prowadzeniu badań klinicznych produktów leczniczych, przeznaczonych do stosowania przez człowieka (Dz.U. L 121 z 1.5.2001, s. 34). (22) Dwa lata od daty wejścia w życie niniejszego rozporządzenia.

Rezolucja ustawodawcza Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie projektu rozporządzenia Rady rozszerzającego stosowanie rozporządzenia (UE) nr .../2012 ustanawiającego program wymiany, pomocy i szkoleń dla ochrony euro przed fałszowaniem (program „Perykles 2020”) na nieuczestniczące państwa członkowskie (16616/2013 – C7-0463/2013 – 2011/0446(APP))

P7_TA(2014)0213 A7-0152/2014

(Specjalna procedura ustawodawcza – zgoda)

Parlament Europejski,

–  uwzględniając projekt rozporządzenia Rady (16616/2013),

–  uwzględniając wniosek o wyrażenie zgody przedstawiony przez Radę na mocy art. 352 Traktatu o funkcjonowaniu Unii Europejskiej (C7-0463/2013),

–  uwzględniając art. 81 ust. 1 akapit pierwszy i trzeci Regulaminu,

–  uwzględniając zalecenie Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych (A7-0152/2014),

1.  wyraża zgodę na projekt rozporządzenia Rady;

2.  zobowiązuje swojego przewodniczącego do przekazania stanowiska Parlamentu Radzie i Komisji, a także parlamentom narodowym.

Rezolucja ustawodawcza Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie projektu decyzji Rady dotyczącej zawarcia Umowy między Unią Europejską a Republiką Azerbejdżanu o ułatwieniach w wydawaniu wiz (17846/2013 – C7-0078/2014 – 2013/0356(NLE))

P7_TA(2014)0214 A7-0155/2014

(Zgoda)

Parlament Europejski,

–   uwzględniając projekt decyzji Rady (17846/2013),

–  uwzględniając projekt Umowy między Unią Europejską a Republiką Azerbejdżanu o ułatwieniach w wydawaniu wiz (15554/2013),

–  uwzględniając wniosek o wyrażenie zgody przedstawiony przez Radę zgodnie z art. 77 ust. 2 lit. a) oraz art. 218 ust. 6 akapit drugi lit. a) Traktatu o funkcjonowaniu Unii Europejskiej (C7–0078/2014),

–  uwzględniając art. 81 ust. 1 akapity pierwszy i trzeci, art. 81 ust. 2 oraz art. 90 ust. 7 Regulaminu,

–  uwzględniając zalecenie Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych oraz opinię Komisji Spraw Zagranicznych (A7-0155/2014),

1.  wyraża zgodę na zawarcie umowy;

2.  zobowiązuje swojego przewodniczącego do przekazania stanowiska Parlamentu Radzie i Komisji, jak również rządom i parlamentom państw członkowskich oraz Republiki Azerbejdżanu.

Rezolucja ustawodawcza Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie projektu decyzji Rady w sprawie zawarcia umowy między Unią Europejską a Republika Azerbejdżanu o readmisji osób przebywających nielegalnie (15596/2013 – C7-0079/2014 – 2013/0358(NLE))

P7_TA(2014)0215 A7-0154/2014

(Zgoda)

Parlament Europejski,

–  uwzględniając projekt decyzji Rady (15596/2013),

–  uwzględniając projekt umowy pomiędzy Unią Europejską a Republiką Azerbejdżanu o readmisji osób przebywających nielegalnie (15594/2013),

–  uwzględniając wniosek o wyrażenie zgody przedstawiony przez Radę na podstawie art. 79 ust. 3 oraz art. 218 ust. 6 akapit drugi lit. a) Traktatu o funkcjonowaniu Unii Europejskiej (C7‑0079/2014),

–  uwzględniając art. 81 ust. 1 akapity pierwszy i trzeci, art. 81 ust. 2 i art. 90 ust. 7 Regulaminu,

–  uwzględniając zalecenie Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych oraz opinię Komisji Spraw Zagranicznych (A7-0154/2014),

1.  wyraża zgodę na zawarcie umowy;

2.  zobowiązuje swojego przewodniczącego do przekazania stanowiska Parlamentu Europejskiego Radzie i Komisji, jak również rządom i parlamentom państw członkowskich oraz Republiki Azerbejdżanu.

Zalecenie Parlamentu Europejskiego dla Rady z dnia 12 marca 2014 r. w sprawie działań humanitarnych zbrojnych podmiotów niepaństwowych w zakresie ochrony dzieci (2014/2012(INI))

P7_TA(2014)0216 A7-0160/2014

Parlament Europejski,

–  uwzględniając projekt zalecenia dla Rady autorstwa Catherine Grèze, Evy Joly, Isabelli Lövin, Judith Sargentini, Barta Staesa i Keitha Taylora, w imieniu grupy Verts/ALE dotyczącego działań humanitarnych zbrojnych podmiotów niepaństwowych w zakresie ochrony dzieci (B7–0585/2013),

–  uwzględniając sprawozdanie sekretarza generalnego ONZ w sprawie dzieci w konfliktach zbrojnych za rok 2013, a także inne sprawozdania zainteresowanych podmiotów,

–  uwzględniając wytyczne UE w sprawie dzieci w konfliktach zbrojnych z roku 2008, strategię realizacji wytycznych UE w sprawie dzieci w konfliktach zbrojnych z roku 2010 oraz listę kontrolną dotyczącą uwzględniania ochrony dzieci dotkniętych konfliktami zbrojnymi w operacjach w ramach europejskiej polityki bezpieczeństwa i obrony z roku 2008,

–  uwzględniając wnioski Rady z roku 2008 w sprawie promowania i ochrony praw dziecka w działaniach zewnętrznych Unii Europejskiej oraz w sprawie aspektów rozwojowych i humanitarnych,

–  uwzględniając swoje rezolucje: z dnia 19 lutego 2009 r. w sprawie większego nacisku na kwestię dzieci w działaniach zewnętrznych UE(1), z dnia 16 stycznia 2008 r. w sprawie strategii UE na rzecz praw dziecka(2), z dnia 3 lipca 2003 r. w sprawie handlu dziećmi i dzieci-żołnierzy(3), z dnia 6 lipca 2000 r. w sprawie uprowadzania dzieci przez Armię Oporu Pana (LRA)(4) oraz z dnia 17 grudnia 1998 r. w sprawie dzieci-żołnierzy(5),

–  uwzględniając rezolucje Organizacji Narodów Zjednoczonych w sprawie praw dziecka, w szczególności rezolucję Rady Bezpieczeństwa ONZ 1612 (2005),

–  uwzględniając protokół fakultatywny do Konwencji o prawach dziecka w sprawie udziału dzieci w konfliktach zbrojnych z 2002 r.,

–  uwzględniając zobowiązania paryskie do ochrony dzieci przed bezprawnym werbowaniem lub wykorzystywaniem przez siły lub ugrupowania zbrojne oraz paryskie zasady i wytyczne w sprawie dzieci będących członkami sił lub ugrupowań zbrojnych, przyjęte wspólnie w dniu 6 lutego 2007 r.,

–  uwzględniając art. 121 ust. 3 i art. 97 Regulaminu,

–  uwzględniając sprawozdanie Komisji Rozwoju (A7-0160/2014),

A.  mając na uwadze, że w większości współczesnych konfliktów zbrojnych udział bierze co najmniej jeden zbrojny podmiot niepaństwowy walczący z siłami rządowymi lub innymi ugrupowaniami zbrojnymi, przy czym skutki tych wojen w największym stopniu odczuwa ludność cywilna, a w szczególności dzieci;

B.  mając na uwadze, że istnieje bardzo wiele rodzajów podmiotów niepaństwowych, obejmujących różne osobowości prawne, motywacje, a także zróżnicowany stopień gotowości i zdolności do respektowania międzynarodowego prawa humanitarnego i innych norm prawa międzynarodowego, jednak wszystkie wymagają w tym kontekście kontroli;

C.  mając na uwadze, że w celu poprawy ochrony ludności cywilnej, a w szczególności dzieci, należy brać pod uwagę wszystkie strony konfliktu;

D.  mając na uwadze, że międzynarodowe normy humanitarne obowiązują wszystkie strony konfliktu zbrojnego;

E.  mając na uwadze, że konflikty zbrojne mają szczególnie destrukcyjny wpływ na fizyczny i umysłowy rozwój dzieci, a skutki długofalowe są odczuwalne w sferze bezpieczeństwa jednostki ludzkiej i zrównoważonego rozwoju;

F.  mając na uwadze, że w Statucie Międzynarodowego Trybunału Karnego za przestępstwo uznaje się powoływanie i werbowanie dzieci poniżej 15 lat do sił lub ugrupowań zbrojnych lub zmuszanie ich do aktywnego udziału w działaniach wojennych;

G.  mając na uwadze, że prawo międzynarodowe zabrania wszelkich form wykorzystywania seksualnego, w tym również stosowania przemocy seksualnej wobec dzieci, a także mając na uwadze, że przemoc seksualna może nosić znamiona zbrodni wojennych, zbrodni przeciwko ludzkości lub ludobójstwa;

H.  mając na uwadze, że od przyjęcia konwencji o zakazie stosowania min w roku 1997 zmniejszył się zakres wykorzystywania min przeciwpiechotnych, choć w dalszym ciągu stanowią one zagrożenie dla dzieci, zwłaszcza w konfliktach zbrojnych niemających charakteru międzynarodowego;

I.  mając na uwadze, że społeczność międzynarodowa ma moralny obowiązek dążenia do zobowiązania wszystkich stron konfliktów, w tym również państw i zbrojnych podmiotów niepaństwowych, do ochrony dzieci;

J.  mając na uwadze, że kwestia demobilizacji, rehabilitacji i reintegracji dzieci–żołnierzy musi zostać ujęta w każdych odnośnych negocjacjach pokojowych i porozumieniach pokojowych oraz należy się nią zająć także w trakcie samego konfliktu;

K.  mając na uwadze, że satysfakcjonująca demobilizacja i reintegracja dzieci–żołnierzy może pomóc uniknąć nakręcania się spirali przemocy;

1.  zwraca się do komisarza ds. rozwoju oraz do wiceprzewodniczącej Komisji / wysokiej przedstawiciel Unii do spraw zagranicznych i polityki bezpieczeństwa z zaleceniem:

2.  zobowiązuje swojego przewodniczącego do przekazania niniejszego zalecenia komisarzowi ds. rozwoju, wiceprzewodniczącej Komisji / wysokiej przedstawiciel Unii do spraw zagranicznych i polityki bezpieczeństwa, Komisji, Radzie oraz Europejskiej Służbie Działań Zewnętrznych.

(1) Dz.U. C 76 E z 25.3.2010, s. 3. (2) Dz.U. C 41 E z 19.2.2009, s. 24. (3) Dz.U. C 74 E z 24.3.2004, s. 854. (4) Dz.U. C 121 z 24.4.2001, s. 401. (5) Dz.U. C 98 z 9.4.1999, s. 297.

Decyzja Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie liczby delegacji międzyparlamentarnych, delegacji do wspólnych komisji parlamentarnych, delegacji do komisji współpracy parlamentarnej oraz wielostronnych zgromadzeń parlamentarnych (2014/2632(RSO))

P7_TA(2014)0217 B7-0240/2014

Parlament Europejski,

–  uwzględniając propozycję Konferencji Przewodniczących,

–  uwzględniając układy o stowarzyszeniu, umowy o współpracy i inne umowy zawarte przez Unię Europejską z państwami trzecimi,

–  uwzględniając art.198 Regulaminu,

A.  pragnąc umocnić demokrację parlamentarną poprzez ciągły dialog międzyparlamentarny;

1.  postanawia następująco określić liczbę delegacji i ich podział regionalny:

2.  postanawia, że członkowie komisji parlamentarnych utworzonych na podstawie umowy o partnerstwie gospodarczym będą wyłaniani jedynie z Komisji Handlu Międzynarodowego oraz Komisji Rozwoju – z zapewnieniem czołowej roli Komisji Handlu Międzynarodowego jako komisji przedmiotowo właściwej – oraz że będą oni aktywnie koordynować ich pracę ze Wspólnym Zgromadzeniem Parlamentarnym AKP-UE;

3.  postanawia, że członkowie Zgromadzenia Parlamentarnego Unii dla Śródziemnomorza, Europejsko-Latynoamerykańskiego Zgromadzenia Parlamentarnego i Zgromadzenia Parlamentarnego Euronest będą wyłaniani jedynie z delegacji dwustronnych lub podregionalnych właściwych dla obszaru geograficznego każdego z tych zgromadzeń;

4.  postanawia, że członkowie Delegacji do spraw Stosunków ze Zgromadzeniem Parlamentarnym NATO będą wyłaniani jedynie z Podkomisji Bezpieczeństwa i Obrony;

5.  postanawia, że Konferencja Przewodniczących Delegacji powinna opracować projekt kalendarza sześciomiesięcznego, do przyjęcia przez Konferencję Przewodniczących po konsultacjach z Komisją Spraw Zagranicznych, Komisją Rozwoju i Komisją Handlu Międzynarodowego, z zastrzeżeniem jednak, że Konferencja Przewodniczących będzie mogła modyfikować ten kalendarz w reakcji na wydarzenia polityczne;

6.  postanawia, że grupy polityczne i posłowie niezrzeszeni wyznaczą stałych zastępców mających uczestniczyć w pracach wszystkich rodzajów delegacji oraz że liczba tych zastępców nie może przekroczyć liczby członków pełnoprawnych reprezentujących grupy lub posłów niezrzeszonych;

7.  postanawia zacieśnić współpracę z komisjami zainteresowanymi pracami delegacji oraz wzmocnić proces konsultacji z nimi poprzez organizowanie wspólnych posiedzeń tych organów w zwykłych miejscach pracy;

8.  postara się zadbać, aby w praktyce co najmniej jeden sprawozdawca lub przewodniczący komisji mógł także uczestniczyć w pracach delegacji, wspólnych komisji parlamentarnych, komisji współpracy parlamentarnej oraz wielostronnych zgromadzeń parlamentarnych; postanawia ponadto, że przewodniczący na wspólny wniosek przewodniczących danej delegacji i komisji wydaje zezwolenia na tego rodzaju wyjazdy służbowe;

9.  postanawia, że niniejsza decyzja wejdzie w życie podczas pierwszej sesji miesięcznej ósmej kadencji parlamentarnej;

10.  zobowiązuje swojego przewodniczącego do przekazania niniejszej decyzji Radzie, Komisji oraz Europejskiej Służbie Działań Zewnętrznych.

Rezolucja Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie rozporządzenia delegowanego Komisji z dnia 12 grudnia 2013 r. zmieniającego rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1169/2011 w sprawie przekazywania konsumentom informacji na temat żywności w odniesieniu do definicji „wytworzonych nanomateriałów” (C(2013)08887 - 2013/2997(DEA))

P7_TA(2014)0218 B7-0185/2014

Parlament Europejski,

–  uwzględniając rozporządzenie delegowane Komisji (C(2013)08887),

–  uwzględniając art. 290 Traktatu o funkcjonowaniu Unii Europejskiej,

–  uwzględniając rozporządzenie (UE) nr 1169/2011 Parlamentu Europejskiego i Rady z dnia 25 października 2011 r. w sprawie przekazywania konsumentom informacji na temat żywności(1), w szczególności jego art. 2 ust. 2 lit. t), art. 18 ust. 3, art. 18 ust. 5 oraz art. 51 ust. 5,

–  uwzględniając wniosek Komisji w sprawie rozporządzenia Parlamentu Europejskiego i Rady w sprawie nowej żywności (COM(2013)0894),

–  uwzględniając rozporządzenie (WE) nr 1333/2008 Parlamentu Europejskiego i Rady z dnia 16 grudnia 2008 r. w sprawie dodatków do żywności(2),

–  uwzględniając unijne wykazy ustanowione rozporządzeniem Komisji (UE) nr 1129/2011 z dnia 11 listopada 2011 r. zmieniającym załącznik II do rozporządzenia Parlamentu Europejskiego i Rady nr 1333/2008 poprzez ustanowienie unijnego wykazu dodatków do żywności(3) oraz rozporządzenie Komisji (UE) nr 1130/2011 z dnia 11 listopada 2011 r. zmieniające załącznik III do rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1333/2008 w sprawie dodatków do żywności poprzez ustanowienie unijnego wykazu dodatków do żywności dopuszczonych do stosowania w dodatkach do żywności enzymach spożywczych, środkach aromatyzujących i składnikach odżywczych(4),

–  uwzględniają rozporządzenie Komisji (UE) nr 257/2010 z dnia 25 marca 2010 r. ustanawiające program ponownej oceny dopuszczonych dodatków do żywności zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (WE) nr 1333/2008 w sprawie dodatków do żywności(5),

–  uwzględniając projekt rezolucji Komisji Ochrony Środowiska Naturalnego, Zdrowia Publicznego i Bezpieczeństwa Żywności,

–  uwzględniając art. 87a ust. 3 Regulaminu,

A.  mając na uwadze, że art. 18. ust. 3 rozporządzenia (UE) nr 1169/2011 w sprawie przekazywania konsumentom informacji na temat żywności stanowi, że wszelkie składniki obecne w postaci wytworzonych nanomateriałów muszą być wyraźnie wskazane w wykazie składników, aby zapewnić udzielenie konsumentom informacji; mając na uwadze, że rozporządzenie w sprawie przekazywania konsumentom informacji na temat żywności zawiera definicję „wytworzonych nanomateriałów”;

B.  mając na uwadze, że art. 18 ust. 5 rozporządzenia w sprawie przekazywania konsumentom informacji na temat żywności upoważnia Komisję do dopasowania i dostosowania – w drodze aktów delegowanych i z myślą o osiągnięciu celów tego rozporządzenia – definicji wytworzonych nanomateriałów, o której mowa w rozporządzeniu, do postępu technicznego i naukowego lub do definicji uzgodnionych na szczeblu międzynarodowym;

C.  mając na uwadze, że w zaleceniu Komisji 2011/696/UE określono ogólną definicję nanomateriałów;

D.  mając na uwadze, że w rozporządzeniach Komisji (UE) nr 1129/2011 i nr 1130/2011 określono wyczerpujące unijne wykazy dodatków do żywności, które były dopuszczone do stosowania przed wejściem w życie rozporządzenia (WE) nr 1333/2008, po dokonaniu przeglądu ich zgodności z przepisami tego rozporządzenia;

E.  mając na uwadze, że rozporządzenie delegowane Komisji wyklucza z nowej definicji „wytworzonych nanomateriałów” wszystkie dodatki do żywności zawarte w unijnych wykazach i zamiast tego sugeruje, że należy się zająć się koniecznością określenia szczególnych wymogów oznaczania nanomateriałów w odniesieniu do tych dodatków, w kontekście programu ponownej oceny zgodnie z rozporządzeniem Komisji (UE) nr 257/2010, w razie konieczności przez zmianę warunków stosowania załącznika II do rozporządzenia (WE) nr 1333/2008 oraz specyfikacji tych dodatków do żywności, określonych w rozporządzeniu Komisji (UE) nr 231/2012(6);

F.  mając na uwadze, że obecnie to właśnie dodatki do żywności mogą się znajdować w żywności jako nanomateriały;

G.  mając na uwadze, że takie ogólne odstępstwo unieważnia przepisy dotyczące etykietowania w odniesieniu do wszystkich dodatków do żywności, które są wytworzonymi nanomateriałami; mając na uwadze, że anuluje to podstawowy skutek aktu prawnego i narusza główny cel dyrektywy, jakim jest dążenie do wysokiego poziomu ochrony zdrowia i interesów konsumentów przez zapewnienie konsumentom końcowym podstawy do dokonywania świadomych wyborów;

H.  mając na uwadze, że Komisja uzasadnia takie ogólne odstępstwo obejmujące wszystkie istniejące dodatki do żywności, stwierdzając, że „umieszczenie w wykazie składników, po nazwie takich dodatków do żywności, słowa ‘nano’ w nawiasie może wprowadzać konsumentów w błąd, sugerując, że dodatki takie są nowe, podczas gdy w rzeczywistości stosowane one były w tej postaci w żywności od dziesięcioleci”;

I.  mając na uwadze, że takie uzasadnienie jest błędne i niewłaściwe, ponieważ rozporządzenie w sprawie przekazywania konsumentom informacji na temat żywności nie przewiduje rozróżnienia na istniejące i nowe nanomateriały, lecz jednoznacznie wymaga oznaczania wszystkich składników obecnych w postaci wytworzonych nanomateriałów;

J.  mając na uwadze, że zapowiedziany przez Komisję zamiar zajęcia się, w ramach programu ponownej oceny, koniecznością określenia szczególnych wymogów etykietowania nanomateriałów w odniesieniu do dodatków do żywności zawartymi w unijnych wykazach jest nieodpowiedni, ponieważ oznacza mylenie kwestii bezpieczeństwa z ogólnymi wymogami etykietowania w celu informowania konsumentów; mając na uwadze, że sugeruje to również, że Komisja kwestionuje samą potrzebę szczególnego oznaczania nanomateriałów, co narusza przepisy art. 18 ust. 3 rozporządzenia w sprawie przekazywania konsumentom informacji na temat żywności; mając na uwadze, że dodatek do żywności jest nanomateriałem lub nim nie jest, w związku z czym takie wymogi etykietowania mają być stosowane do wszystkich dozwolonych dodatków do żywności, które są nanomateriałami, bez względu na warunki stosowania lub inne specyfikacje;

K.  mając ponadto na uwadze, że jest nie do przyjęcia, aby odwoływać się do niezwiązanego z tematem programu ponownej oceny, który istniał już w chwili, kiedy ustawodawca postanowił wprowadzić jednoznaczne wymogi etykietowana w rozporządzeniu w sprawie przekazywania konsumentom informacji na temat żywności, gdyż jest to próba unieważnienia tych wymogów etykietowania w trzy lata po ich wprowadzeniu;

1.  jest przeciwny przyjęciu rozporządzenia delegowanego Komisji zmieniającego rozporządzenie Parlamentu Europejskiego i Rady w sprawie przekazywania konsumentom informacji na temat żywności w odniesieniu do definicji „wytworzonych nanomateriałów”;

2.  uważa, że rozporządzenie delegowane Komisji nie jest zgodne z celem i treścią rozporządzenia (UE) nr 1169/2011 oraz że wykracza ono poza uprawnienia delegowane przekazane Komisji na mocy aktu podstawowego;

3.  wzywa Komisję do przedstawienia nowego aktu delegowanego uwzględniającego stanowisko Parlamentu:

4.  zobowiązuje swojego przewodniczącego do przekazania niniejszej rezolucji Komisji i do powiadomienia jej, że rozporządzenie delegowane nie może wejść w życie;

5.  zobowiązuje swojego przewodniczącego do przekazania niniejszej rezolucji Radzie oraz rządom i parlamentom państw członkowskich.

(1) Dz.U. L 304 z 22.11.2011, s. 18. (2) Dz.U. L 354 z 31.12.2008, s. 16. (3) Dz.U. L 295 z 12.11.2011, s. 1. (4) Dz.U. L 295 z 12.11.2011, s. 178. (5) Dz.U. L 80 z 26.3.2010, s. 19. (6) Rozporządzenie Komisji (UE) nr 231/2012 z dnia 9 marca 2012 r. ustanawiające specyfikacje dla dodatków do żywności wymienionych w załącznikach II i III do rozporządzenia (WE) nr 1333/2008 Parlamentu Europejskiego i Rady (Dz.U. L 83 z 22.3.2012, s. 1).

Rezolucja ustawodawcza Parlamentu Europejskiego z dnia 12 marca 2014 r. w sprawie wniosku dotyczącego dyrektywy Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD))

P7_TA(2014)0219 A7-0403/2013

(Zwykła procedura ustawodawcza: pierwsze czytanie)

Parlament Europejski,

–  uwzględniając wniosek Komisji przedstawiony Parlamentowi Europejskiemu i Radzie (COM(2012)0010),

–  uwzględniając art. 294 ust. 2 oraz art. 16 ust. 2 Traktatu o funkcjonowaniu Unii Europejskiej, zgodnie z którymi wniosek został przedstawiony Parlamentowi przez Komisję (C7‑0024/2012),

–  uwzględniając art. 294 ust. 3 Traktatu o funkcjonowaniu Unii Europejskiej,

–  uwzględniając uzasadnione opinie przedstawione – na mocy protokołu nr 2 w sprawie stosowania zasad pomocniczości i proporcjonalności – przez niemiecki Bundesrat i parlament Szwecji, w których stwierdzono, że projekt aktu ustawodawczego nie jest zgodny z zasadą pomocniczości,

–  uwzględniając opinię Europejskiego Inspektora Ochrony Danych z dnia 7 marca 2012 r.(1),

–  uwzględniając opinię Agencji Praw Podstawowych Unii Europejskiej z dnia 1 października 2012 r.,

–  uwzględniając art. 55 Regulaminu,

–  uwzględniając sprawozdanie Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych oraz opinię Komisji Prawnej (A7-0403/2013),

1.  przyjmuje poniższe stanowisko w pierwszym czytaniu;

2.  zwraca się do Komisji o ponowne przekazanie mu sprawy, jeśli uzna ona za stosowne wprowadzić znaczące zmiany do swojego wniosku lub zastąpić go innym tekstem;

3.  zobowiązuje swojego przewodniczącego do przekazania stanowiska Parlamentu Radzie i Komisji, a także parlamentom narodowym.

Stanowisko Parlamentu Europejskiego przyjęte w pierwszym czytaniu w dniu 12 marca 2014 r. w celu przyjęcia dyrektywy Parlamentu Europejskiego i Rady 2014/.../UE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz swobodnego przepływu tych danych

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16 ust. 2,

uwzględniając wniosek Komisji Europejskiej,

po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,

uwzględniając opinię Europejskiego Inspektora Ochrony Danych(2),

stanowiąc zgodnie ze zwykłą procedurą ustawodawczą(3),

a także mając na uwadze, co następuje:

(1)  Ochrona osób fizycznych w zakresie przetwarzania związku z przetwarzaniem danych osobowych jest prawem podstawowym jednym z praw podstawowych. Artykuł 8 ust. 1 Karty praw podstawowych Unii Europejskiej („Karta”) i art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej stanowią, iż każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Artykuł 8 ust. 2 Karty stanowi, że dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. [Popr. 1]

(2)  Przetwarzanie danych osobowych ma służyć człowiekowi, zaś zasady i przepisy dotyczące ochrony osób fizycznych w odniesieniu do przetwarzania ich danych osobowych powinny, niezależnie od obywatelstwa czy miejsca zamieszkania osób fizycznych, respektować ich podstawowe prawa i wolności, szczególnie prawo do ochrony danych osobowych. Powinno ono również przyczyniać się do stworzenia obszaru wolności, bezpieczeństwa i sprawiedliwości.

(3)  Szybki rozwój technologiczny i globalizacja przyniosły nowe wyzwania w zakresie ochrony danych osobowych. Niezwykle wzrosła skala wymiany i zbierania danych. Technologia umożliwia właściwym organom wykorzystywanie danych osobowych do wykonywania powierzonych im zadań na niespotykaną dotąd skalę.

(4)  Wymaga to ułatwienia swobodnego przepływu danych, gdy jest niezbędny i proporcjonalny, między właściwymi organami na terytorium Unii oraz przekazywania danych do państw trzecich i organizacji międzynarodowych, przy równoczesnym zagwarantowaniu wysokiego poziomu ochrony danych osobowych. Przemiany te wymagają budowy mocnych i bardziej spójnych ram ochrony danych w Unii, popartych zdecydowanym egzekwowaniem. [Popr. 2]

(5)  Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady(4) ma zastosowanie do wszystkich operacji przetwarzania danych w państwach członkowskich, odbywających się zarówno w sektorze publicznym, jak i prywatnym. Nie ma ona jednak zastosowania do przetwarzania danych osobowych „w ramach działalności wykraczającej poza zakres prawa Wspólnoty”, takiej jak działalność prowadzona w ramach współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej.

(6)  Decyzja ramowa Rady 2008/977/JHA(5) ma zastosowanie w obszarze współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej. Zakres zastosowania tej decyzji ramowej jest ograniczony do przetwarzania danych osobowych przekazywanych lub udostępnianych pomiędzy państwami członkowskimi.

(7)  Zapewnienie spójnego, wysokiego poziomu ochrony danych osobowych osób fizycznych oraz ułatwienie wymiany danych osobowych między właściwymi organami państw członkowskich ma zasadnicze znaczenie dla zagwarantowania skutecznej współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej. Aby osiągnąć ten cel konieczne jest zapewnienie we wszystkich państwach członkowskich równorzędnego poziomu ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy w celu zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania i w celu wykonywania kar kryminalnych oraz swobodnego przepływu tych danych. Spójne i jednolite stosowanie przepisów dotyczących ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych powinno być zagwarantowane w całej Unii. Skuteczna ochrona danych osobowych w całej Unii wymaga wzmocnienia praw podmiotów danych oraz obowiązków podmiotów, które przetwarzają dane osobowe, lecz także równorzędnych uprawnień w zakresie monitorowania i zapewnienia zgodności z przepisami o ochronie danych osobowych w państwach członkowskich. [Popr. 3]

(8)  Artykuł 16 ust. 2 Traktatu o funkcjonowaniu Unii Europejskiej stanowi, że Parlament Europejski i Rada powinny ustanowić przepisy określić zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz zasady dotyczące swobodnego przepływu ich danych osobowych. [Popr. 4]

(9)  Na tej podstawie rozporządzenie (UE) nr …../2014 Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych przetwarzania związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) ustanawia ogólne przepisy służące ochronie osób fizycznych w zakresie przetwarzania danych osobowych oraz zagwarantowaniu swobodnego przepływu danych osobowych na terytorium Unii.

(10)  W deklaracji 21 w sprawie ochrony danych osobowych w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej załączonej do Aktu końcowego konferencji międzyrządowej, która przyjęła Traktat z Lizbony, konferencja uznała fakt, że konieczne może okazać się przyjęcie szczególnych przepisów dotyczących ochrony danych osobowych i swobodnego przepływu tych danych w dziedzinach współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej, opartych na art. 16 Traktatu o funkcjonowaniu Unii Europejskiej, ze względu na szczególny charakter tych dziedzin.

(11)  Dlatego też osobna szczegółowa dyrektywa powinna uwzględniać szczególnych szczególny charakter tych dziedzin, ustanawiając przepisy dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania i wykonywania kar kryminalnych. [Popr. 5]

(12)  Aby zagwarantować jednakowy poziom ochrony osób fizycznych poprzez prawnie egzekwowalne prawa obowiązujące na terytorium całej Unii oraz zapobiec różnicom utrudniającym wymianę danych osobowych między właściwymi organami, niniejsza dyrektywa powinna przewidywać zharmonizowane przepisy dotyczące ochrony i swobodnego przepływu danych w obszarze współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej.

(13)  Niniejsza dyrektywa umożliwia uwzględnienie zasady publicznego dostępu do dokumentów urzędowych przy stosowaniu przepisów w niej ustanowionych.

(14)  Ochrona zapewniana na mocy niniejszej dyrektywy powinna dotyczyć osób fizycznych, niezależnie od ich obywatelstwa lub miejsca zamieszkania, w zakresie przetwarzania danych osobowych.

(15)  Ochrona osób fizycznych powinna być neutralna pod względem technologicznym i nie powinna zależeć od zastosowanych technik, ponieważ w przeciwnym razie wystąpiłoby poważne ryzyko obchodzenia prawa. Ochrona osób fizycznych powinna mieć zastosowanie do przetwarzania danych osobowych w sposób zautomatyzowany, jak również ręcznego przetwarzania, jeśli dane znajdują się lub mają znajdować się w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są zorganizowane według określonych kryteriów, nie powinny wchodzić w zakres niniejszej dyrektywy. Dyrektywa nie powinna mieć zastosowania do przetwarzania danych w toku działalności leżącej poza zakresem prawa Unii, w szczególności dotyczącej bezpieczeństwa narodowego, ani do przetwarzania danych przez instytucje, organy, biura i agencje Unii, takie jak Europol czy Eurojust. Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady(6) oraz konkretne instrumenty prawne mające zastosowanie do organów lub jednostek organizacyjnych Unii powinny zostać uspójnione z niniejszą dyrektywą i powinny być stosowane zgodnie z niniejszą dyrektywą. [Popr. 6]

(16)  Zasady ochrony powinny być stosowane do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych. Aby ustalić, czy można zidentyfikować daną osobę fizyczną, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator lub inna osoba w celu zidentyfikowania lub wyodrębnienia tej osoby. Zasady ochrony nie powinny być stosowane do danych zanonimizowanych w taki sposób, że podmiot danych, nie może być już zidentyfikowany. Niniejsza dyrektywa nie powinna mieć zastosowania do danych anonimowych oznaczających wszelkie dane, które nie mogą odnosić się, bezpośrednio lub pośrednio, samodzielnie lub w połączeniu z towarzyszącymi im danymi, do osoby fizycznej. Biorąc pod uwagę znaczenie zmian zachodzących w ramach społeczeństwa informacyjnego oraz technik stosowanych do przechwytywania, przekazywania, przekształcania, ewidencjonowania, przechowywania lub komunikowania danych dotyczących lokalizacji osób fizycznych, które to dane mogą być wykorzystywane do różnych celów, w tym do monitoringu lub tworzenia profili, niniejsza dyrektywa powinna mieć zastosowanie do operacji przetwarzania takich danych osobowych. [Popr. 7]

(16a)  Wszelkie operacje przetwarzania danych osobowych powinny być zgodne z prawem, prowadzone w rzetelny i przejrzysty sposób wobec zainteresowanych osób. Zwłaszcza konkretne cele przetwarzania danych powinny być jednoznaczne, zgodne z prawem i określone w momencie zbierania danych osobowych. Dane osobowe powinny być prawidłowe, właściwe i ograniczone do niezbędnego minimum odpowiadającego celom, dla których są przetwarzane. Wymaga to w szczególności ograniczania do ścisłego minimum zakresu zbieranych danych oraz okresu ich przechowywania. Dane osobowe powinny być przetwarzane tylko wówczas, gdy celu przetwarzania nie można osiągnąć innymi środkami. Należy poczynić wszelkie stosowne kroki w celu dopilnowania, by niedokładne dane osobowe były poprawiane lub usuwane. Aby uniknąć przechowywania danych przez czas dłuższy, niż jest to konieczne, administrator powinien ustalić terminy usuwania danych lub okresowego przeglądu. [Popr. 8]

(17)  Za dane osobowe dotyczące zdrowia powinny być uznawane w szczególności wszelkie dane dotyczące stanu zdrowia podmiotu danych informacje na temat rejestracji osoby fizycznej w celu świadczenia na jej rzecz usług zdrowotnych; informacje o płatnościach danej osoby za opiekę zdrowotną lub kwalifikowaniu się danej osoby do korzystania z opieki zdrowotnej; numer, symbol lub oznaczenie przypisane danej osobie wyłącznie w celu identyfikowanie jej dla potrzeb świadczenia opieki zdrowotnej; wszelkie informacje na temat danej osoby zebrane w okresie świadczenia usług opieki zdrowotnej na jej rzecz; informacje pochodzące z badań laboratoryjnych lub lekarskich dotyczących części ciała lub płynów ustrojowych, w tym próbek biologicznych; informacje umożliwiające identyfikację osoby świadczącej usługi opieki zdrowotnej na rzecz danego pacjenta oraz wszelkie informacje np. na temat choroby, niepełnosprawności, ryzyka choroby, historii medycznej, leczenia klinicznego lub aktualnego stanu fizjologicznego lub biomedycznego podmiotu danych nienależnie od ich źródła, którym może być np. lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne, badanie diagnostyczne in vitro.

(18)  Wszelkie operacje przetwarzania danych osobowych powinny być zgodne z prawem i prowadzone rzetelnie wobec zainteresowanych osób fizycznych. W szczególności należy wyraźnie określić konkretne cele, dla których dane są przetwarzane. [Popr. 9]

(19)  Zapobieganie przestępstwom, prowadzenie dochodzeń w ich sprawie i ściganie ich wymaga zatrzymywania i przetwarzania przez właściwe organy danych osobowych, zgromadzonych w kontekście zapobiegania konkretnym przestępstwom, prowadzenia dochodzeń w ich sprawie i ścigania ich, poza tym kontekstem, by lepiej rozumieć istotę przestępstw i tendencje w tym zakresie, zebrania informacji na temat zorganizowanych sieci kryminalnych oraz powiązania różnych wykrytych przestępstw. [Popr. 10]

(20)  Dane osobowe nie powinny być przetwarzane do celów niezgodnych z celem , w którym zostały zebrane. Dane osobowe powinny być prawidłowe, właściwe i nie wykraczać poza zakres odpowiadający celowi, dla którego są przetwarzane. Należy podjąć wszelkie stosowne kroki gwarantujące poprawienie lub usunięcie niedokładnych danych osobowych. [Popr. 11]

(20a)  Sama okoliczność, że dwa cele odnoszą się do zapobiegania przestępstwom, ich wykrywania lub ścigania, lub wykonywania kar kryminalnych, nie musi oznaczać, że są one ze sobą zgodne. Istnieją jednak sytuacje, w których dalsze przetwarzanie w sposób niezgodny z celami powinno być możliwe, jeśli jest ono konieczne dla wywiązania się z obowiązku prawnego spoczywającego na administratorze, w celu ochrony żywotnych interesów podmiotu danych lub innej osoby lub w celu zapobieżenia bezpośredniemu i poważnemu zagrożeniu bezpieczeństwa publicznego. W związku z tym państwa członkowskie powinny mieć możliwość przyjęcia przepisów prawa krajowego przewidujących takie odstępstwa w zakresie bezwzględnie koniecznym. Takie przepisy prawa krajowego powinny zawierać odpowiednie gwarancje. [Popr. 12]

(21)  Zasadę dokładności danych należy stosować, uwzględniając charakter i cel danej operacji przetwarzania. W szczególności w postępowaniach sądowych oświadczenia zawierające dane osobowe oparte są na subiektywnym osądzie osób fizycznych i w pewnych przypadkach nie zawsze można je zweryfikować. Zatem wymóg dokładności danych nie powinien odnosić się do dokładności oświadczenia, lecz jedynie do faktu, że dane oświadczenie zostało złożone.

(22)  W toku wykładni i stosowania ogólnych zasad dotyczących przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, ścigania ich i wykrywania oraz wykonywania kar kryminalnych, należy uwzględnić specyfikę tego sektora, w tym szczególne cele w nim realizowane. [Popr. 13]

(23)  Nieodłączną cechę przetwarzania danych osobowych w obszarze współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej jest to, że przetwarzane są dane osobowe należące do różnych kategorii osób, których dane dotyczą. Należy zatem wprowadzić w możliwie największym stopniu rozróżnienie między danymi osobowymi dotyczącymi różnych kategorii osób, takich jak podejrzani, osoby skazane za przestępstwo, pokrzywdzeni i osoby trzecie, takie jak świadkowie, osoby posiadające istotne informacje lub kontakty oraz wspólnicy podejrzanych i skazanych przestępców. Państwa członkowskie powinny ustanowić szczegółowe przepisy dotyczące skutków takiej kategoryzacji, uwzględniając różne cele zbierania danych oraz przewidując szczególne gwarancje dla osób, które nie są podejrzane o popełnienie przestępstwa karnego ani nie zostały skazane za przestępstwo karne. [Popr. 14]

(24)  Na tyle na ile to możliwe należy rozróżniać dane osobowe ze względu na stopień ich dokładności i wiarygodności. Fakty należy rozróżnić od osobistych osądów, w celu zagwarantowania zarówno ochrony osób fizycznych, jak i jakości i wiarygodności informacji przetwarzanych przez właściwe organy.

(25)  Aby przetwarzanie danych osobowych było zgodne z prawem, musi powinno być ono dozwolone jedynie wówczas, gdy jest to konieczne dla spełnienia przez administratora ciążących spoczywających na nim obowiązków prawnych, w celu wykonania przez właściwy organ zadania realizowanego w interesie publicznym, w oparciu o przepisy prawa, zadania realizowanego w interesie publicznym lub w celu ochrony żywotnych interesów osoby prawo Unii lub państw członkowskich, które dane dotyczą, powinno obejmować wyraźnie określone i szczegółowe przepisy dotyczące co najmniej celów, danych osobowych, konkretnych celów i środków, wyznaczenia lub innej osoby lub w celu zapobieżenia poważnemu zagrożeniu dla bezpieczeństwa publicznego możliwości wyznaczania administratora, procedur, których należy przestrzegać, wykorzystania i ograniczeń zakresu wszelkiej swobody przyznanej właściwym organom w odniesieniu do operacji przetwarzania. [Popr. 15]

(25a)  Dane osobowe nie powinny być przetwarzane do celów niezgodnych z celem, w jakim zostały zebrane. Dalsze przetwarzanie przez właściwe organy do celu objętego zakresem stosowania niniejszej dyrektywy, który nie jest zgodny z celem początkowym, powinno być dozwolone jedynie w konkretnych przypadkach, gdy takie przetwarzanie jest konieczne dla wywiązania się ze spoczywającego na administratorze obowiązku prawnego wynikającego z prawa unijnego lub prawa państwa członkowskiego lub w celu ochrony żywotnych interesów podmiotu danych lub innej osoby, lub w celu zapobieżenia bezpośredniemu i poważnemu zagrożeniu dla bezpieczeństwa publicznego. To, że dane przetwarzane są dla potrzeb związanych z egzekwowaniem prawa, niekoniecznie oznacza, że cel ten jest zgodny z celem początkowym. Pojęcie przetwarzania danych zgodnie z celem musi być interpretowane w sposób rygorystyczny. [Popr. 16]

(25b)  Dane osobowe przetwarzane z naruszeniem przepisów krajowych przyjętych na mocy niniejszej dyrektywy nie powinny być dłużej przetwarzane. [Popr. 17]

(26)  Dane osobowe, które z racji swego charakteru są szczególnie newralgiczne wrażliwe i narażone na ryzyko w kontekście podstawowych praw lub prywatności, w tym dane genetyczne, zasługują na szczególną ochronę. Dane te nie powinny być przetwarzane, chyba że przepisy wyraźnie na to zezwalają, przewidując przy tym przetwarzanie jest w wyraźny sposób niezbędne do wykonania zadania realizowanego w interesie publicznym w oparciu o prawo unijne lub prawo państwa członkowskiego, które przewiduje odpowiednie środki służące ochronie praw podstawowych i zabezpieczeniu słusznych uzasadnionych interesów podmiotów danych; lub też gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów podmiotu danych, lub innej osoby; lub też gdy przetwarzane mają być dane wyraźnie udostępnione publicznie podmiot danych. Wrażliwe dane osobowe powinny być przetwarzane wyłącznie wtedy, gdy inne dane osobowe są już przetwarzane w celach związanych z egzekwowaniem prawa. Jakiekolwiek odstępstwo od zakazu przetwarzania wrażliwych danych należy interpretować w sposób rygorystyczny i nie powinno ono prowadzić do częstego, masowego i zorganizowanego przekazywania wrażliwych danych osobowych. [Popr. 18]

(26a)  Przetwarzanie danych genetycznych powinno być dozwolone jedynie wówczas, gdy istnieje powiązanie dotyczące cech genetycznych, które pojawiło się w toku śledztwa lub postępowania sądowego. Dane genetyczne powinny być przechowywane wyłącznie tak długo, jak jest to bezwzględnie konieczne do celów takich śledztw i postępowań, przy czym państwa członkowskie mogą ustanowić przepisy przewidujące dłuższe przechowywanie zgodnie z warunkami określonymi w niniejszej dyrektywie. [Popr. 19]

(27)  Każda osoba fizyczna powinna mieć prawo niepodlegania środkom opartym wyłącznie na automatycznym przetwarzaniu, jeżeli wywołują one negatywne środkowi opartemu częściowo lub całkowicie na profilowaniu dokonywanym poprzez automatyczne przetwarzanie. Takie przetwarzanie, które wywołuje skutki prawne dla tej osoby lub w znaczący sposób na nią wpływa, powinno być zakazane, chyba że prawo zezwala na automatyczne przetwarzanie, przewidując przy tym odpowiednie środki służące ochronie praw podstawowych i zabezpieczeniu słusznych uzasadnionych interesów podmiotu danych, w tym prawo do otrzymania zrozumiałych informacji o zasadach stosowanych przy profilowaniu. Takie przetwarzanie w żadnym wypadku nie może obejmować, wywoływać ani dyskryminować danych na podstawie ich szczególnych kategorii. [Popr. 20]

(28)  Aby podmioty danych mogły korzystać ze swoich praw, wszelkie informacje do nich kierowane powinny być łatwo dostępne i zrozumiałe, w tym napisane w jednoznacznym, prostym języku. Informacje te powinny być dostosowane do potrzeb podmiotu danych, zwłaszcza w przypadku, gdy bezpośrednim adresatem tych informacji jest dziecko. [Popr. 21]

(29)  Należy opracować sposoby ułatwienia podmiotowi danych korzystania z praw przysługujących mu na mocy niniejszej dyrektywy, włączając mechanizmy składania wniosków, wolnych od opłat, dotyczących w szczególności dostępu do danych, poprawiania ich i usunięcia. Administrator powinien być zobowiązany do odpowiedzi na wniosek podmiotu danych bez nieuzasadnionej zbędnej zwłoki, w terminie jednego miesiąca od daty otrzymania wniosku. Jeśli przetwarzanie danych odbywa się w sposób zautomatyzowany, administrator powinien zapewnić możliwość składania wniosków drogą elektroniczną. [Popr. 22]

(30)  Zasady Zasada rzetelnego i przejrzystego przetwarzania wymaga, by podmiot danych, był informowany w szczególności o prowadzeniu operacji przetwarzania i jej celach, jej podstawie prawnej, okresie przechowywania danych, przysługującym jej prawie dostępu, poprawienia lub usunięcia danych oraz prawie do zgłoszenia skargi. Ponadto podmiot danych powinien być informowany o zastosowaniu profilowania oraz o jego zamierzonych skutkach. W przypadku konieczności uzyskania danych od podmiotu danych , należy także poinformować go o tym, że ma on obowiązek przekazać dane oraz o konsekwencjach braku przekazania takich danych. [Popr. 23]

(31)  Informacje dotyczące przetwarzania danych osobowych odnoszących się do podmiotu danych powinny być mu przekazane w momencie zbierania danych lub, jeśli dane nie są uzyskiwane od tej osoby, w momencie ich rejestrowania lub rozsądnym terminie po zebraniu danych, zależnie od okoliczności, w jakich dane są przetwarzane.

(32)  Każdej osobie powinno przysługiwać prawo dostępu do zebranych danych na jej temat, a wykonanie tego prawa powinno być na tyle łatwe, by każda osoba była świadoma przetwarzania i mogła zweryfikować jego zgodność z prawem. Dlatego też każdy podmiot danych powinien mieć prawo do uzyskania wiedzy, w szczególności informacji na temat celów, dla których dane są przetwarzane, podstawy prawnej, przez jaki okres i jacy odbiorcy otrzymują dane, w tym w państwach trzecich, w stosownych przypadkach zrozumiałych informacji o zasadach rządzących wszelkimi operacjami automatycznego przetwarzania, ich znaczeniu i ich zamierzonych skutkach, a także prawa do wniesienia skargi do organu nadzorczego i uzyskania informacji o jego danych kontaktowych. Podmioty danych powinny otrzymać kopię ich danych osobowych, które są przetwarzane. [Popr. 24]

(33)  Państwom członkowskim należy zezwolić na przyjęcie środków legislacyjnych umożliwiających opóźnienie, lub ograniczenie lub odstąpienie od informowania osób, których dane dotyczą podmiotów danych o dostępie do ich danych osobowych, w zakresie i w czasie, w jakim takie częściowe lub kompletne ograniczenie stanowi konieczny i proporcjonalny środek w demokratycznym społeczeństwie, przy należytym uwzględnieniu słusznych praw podstawowych i uzasadnionych interesów danej osoby, aby zapobiec utrudnianiu urzędowych lub prawnych dochodzeń, śledztw lub procedur, aby zapobiec utrudnieniom w zapobieganiu przestępstw, ich wykrywaniu, prowadzeniu dochodzeń w ich sprawie i ściganiu lub wykonywaniu kar kryminalnych, by chronić bezpieczeństwo publiczne lub narodowe lub chronić osobę, które dane dotyczą, podmiot danych lub prawa i wolności innych osób. Administrator powinien dokonywać oceny za pośrednictwem konkretnego i indywidualnego badania każdego przypadku, czy powinno być zastosowane częściowe lub całkowite ograniczenie prawa dostępu do danych. [Popr. 25]

(34)  Podmiot danych powinien zostać zawiadomiony o wszelkich ograniczeniach dostępu na piśmie, w tym o faktycznych i prawnych przyczynach ograniczenia.

(34a)  Wszelkie ograniczenie praw podmiotu danych musi być zgodne z Kartą i europejską konwencją praw człowieka, jak zostało wyjaśnione w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej i Europejskiego Trybunału Praw Człowieka, a zwłaszcza musi odbywać się z poszanowaniem istoty praw i wolności. [Popr. 26]

(35)  Jeżeli państwa członkowskie przyjęły środki legislacyjne ograniczające całkowicie lub częściowo prawo dostępu, podmiot danych powinien mieć prawo wystąpienia do właściwego krajowego organu nadzorczego o sprawdzenie zgodności z prawem przetwarzania. Podmiot danych powinien zostać poinformowany o tym prawie. Jeżeli organ nadzorczy uzyskuje dostęp w imieniu podmiotu danych, podmiot ten powinien zostać poinformowany przez organ nadzorczy przynajmniej o tym, że organ ten przeprowadził wszystkie niezbędne weryfikacje oraz o ich wynikach, jeżeli chodzi o zgodność z prawem przedmiotowych operacji przetwarzania. Organ nadzorczy powinien także poinformować podmiot danych o jego prawie do uzyskania sądowych środków ochrony prawnej. [Popr. 27]

(36)  Każda osoba powinna mieć prawo do poprawienia niedokładnych lub przetwarzanych niezgodnie z prawem danych osobowych jej dotyczących oraz prawo do ich usunięcia, jeżeli przetwarzanie takich danych jest niezgodne z głównymi zasadami ustanowionymi w przepisami niniejszej dyrektywie dyrektywy. O takim poprawieniu, uzupełnieniu lub usunięciu należy poinformować odbiorców, którym zostały ujawnione te dane, oraz osoby trzecie, od których pochodzą niedokładne dane. Administratorzy powinni również powstrzymać się od dalszego rozpowszechniania tych danych. Jeżeli dane osobowe przetwarzane są w toku dochodzenia i postępowania karnego, poprawianie, prawa do informacji, dostępu, usunięcia i ograniczenia przetwarzania mogą być wykonywane godnie zgodnie z przepisami krajowej procedury sądowej. [Popr. 28]

(37)  Należy obciążyć administratora całkowitą odpowiedzialnością za przetwarzanie danych osobowych prowadzone przez niego samego lub w jego imieniu. W szczególności administrator powinien zapewnić zgodność każdej operacji przetwarzania z przepisami przyjętymi na mocy niniejszej dyrektywy i mieć obowiązek gotowości do wykazania tej zgodności. [Popr. 29]

(38)  Ochrona prawa i wolności osób, których dane dotyczą w zakresie przetwarzania danych osobowych wymaga podjęcia odpowiednich środków technicznych i organizacyjnych w celu zagwarantowania spełnienia wymogów dyrektywy. By zapewnić zgodność z przepisami przyjętymi na mocy niniejszej dyrektywy, administrator powinien przyjąć polityki i wdrożyć odpowiednie środki, które są w szczególności zgodne z zasadą uwzględnienia ochrony danych już w fazie projektowania oraz zasadą domyślnej ochrony danych.

(39)  Ochrona praw i wolności podmiotów danych a także zobowiązania i odpowiedzialność administratorów i podmiotów przetwarzających wymaga dokonania w niniejszej dyrektywie jasnego podziału obowiązków, w tym w przypadku gdy administrator określa cele i sposoby przetwarzania wspólnie z innymi administratorami danych oraz gdy operacja przetwarzania jest dokonywana w imieniu administratora. Podmiot danych powinien mieć prawo korzystania z przysługujących mu na mocy niniejszej dyrektywy praw wobec każdego ze współadministratorów. [Popr. 30]

(40)  Działalność związana z przetwarzaniem danych powinna być udokumentowana przez administratora lub podmiot przetwarzający w celu zapewnienia lepszej zgodności z niniejszą dyrektywą. Każdy administrator i podmiot przetwarzający powinien być zobowiązany do współpracy z organem nadzorczym oraz do udostępniania mu, na żądanie, dokumentacji, tak by mogła ona służyć do monitorowania operacji przetwarzania.

(40a)  Każda operacja przetwarzania danych osobowych powinna być udokumentowana w celu umożliwienia weryfikacji zgodności przetwarzania danych z prawem, samokontroli oraz zapewnienia odpowiedniej integralności i bezpieczeństwa danych. Taki zapis w dokumentacji powinien być udostępniany na żądanie organowi nadzorczemu w celu kontroli zgodności z przepisami niniejszej dyrektywy. [Popr. 31]

(40b)  Ocena skutków w zakresie ochrony danych powinna być przeprowadzana przez administratora lub podmiot przetwarzający, jeżeli operacje przetwarzania – z racji swego charakteru, zakresu lub celów – mogą stwarzać szczególne zagrożenie dla praw i wolności podmiotów danych, i powinna obejmować w szczególności przewidywane środki, gwarancje i mechanizmy mające na celu zapewnienie ochrony danych osobowych z myślą o wykazaniu zgodności z przepisami niniejszej dyrektywy. Oceny skutków powinny dotyczyć stosownych systemów i procesów związanych z operacjami przetwarzania danych osobowych, a nie indywidualnych przypadków. [Popr. 32]

(41)  W celu zagwarantowania skutecznej ochrony praw i wolności osób, których dane dotyczą poprzez działania prewencyjne, administrator lub podmiot przetwarzający powinien w określonych przypadkach konsultować się z organem nadzorczym przed przetwarzaniem. Ponadto jeśli ocena skutków w zakresie ochrony danych wykaże, że operacje przetwarzania mogą się wiązać z wysokim poziomem konkretnego ryzyka dla praw i wolności podmiotów danych, organ nadzorczy powinien być w stanie zapobiec przed rozpoczęciem operacji ryzykownemu przetwarzaniu, które jest niezgodne z niniejszą dyrektywą, oraz przedstawić propozycje zaradzenia tej sytuacji. Taka konsultacja może również zostać przeprowadzona w trakcie przygotowywania przez parlament narodowy środka ustawodawczego lub opartego na takim środku ustawodawczym środka, który określa charakter przetwarzania danych oraz ustanawia odpowiednie gwarancje. [Popr. 33]

(41a)  W celu utrzymania bezpieczeństwa i zapobiegania przetwarzaniu z naruszeniem przepisów niniejszej dyrektywy administrator lub podmiot przetwarzający powinien ocenić ryzyko związane z przetwarzaniem oraz wdrożyć środki mające na celu ograniczenie tego ryzyka. Środki te powinny zapewnić odpowiedni poziom bezpieczeństwa, z uwzględnieniem stanu wiedzy naukowej oraz kosztów ich wdrożenia w stosunku do ryzyka oraz charakteru danych osobowych podlegających ochronie. Przy wprowadzaniu norm technicznych i środków organizacyjnych w celu zadbania o bezpieczeństwo przetwarzania należy sprzyjać neutralności pod względem technologicznym. [Popr. 34]

(42)  Naruszenie ochrony danych osobowych, w braku odpowiedniej i szybkiej reakcji, może spowodować poważne szkody spowodować znaczną stratę ekonomiczną i szkody społeczne dla danej osoby, w tym dla reputacji danej osoby oszustwo dotyczące tożsamości. Z tego względu, administrator, niezwłocznie po powzięciu wiadomości o naruszeniu, powinien powiadomić o nim organ nadzorczy. Osoby, których dane osobowe lub prywatność mogłyby ucierpieć wskutek takiego naruszenia, powinny być niezwłocznie powiadamiane, aby umożliwić im podjęcie niezbędnych środków ostrożności. Naruszenie powinno być uznawane za mające niekorzystny wpływ na dane osobowe lub prywatność osoby fizycznej, jeżeli jego skutkiem mogą być np. kradzież lub sfałszowanie tożsamości, uszkodzenie ciała, poważne upokorzenie lub naruszenie dobrego imienia w związku z przetwarzaniem danych osobowych. Zawiadomienie powinno zawierać informacje o środkach podjętych przez usługodawcę w celu zaradzenia naruszeniu, a także zalecenia dla abonenta lub osoby, których ono dotyczy. Powiadomienia powinny być przekazywane podmiotom danych tak szybko, jak to możliwe, w ścisłej współpracy z organem nadzorczym oraz z poszanowaniem wytycznych wydanych przez ten organ. [Popr. 35]

(43)  Przy określaniu szczegółowych przepisów dotyczących formy i procedur mających zastosowanie przy zgłaszaniu naruszeń ochrony danych osobowych należy odpowiednio uwzględnić okoliczności naruszenia, w tym zbadać, czy dane osobowe były zabezpieczone właściwymi technicznymi środkami ochrony, skutecznie ograniczającymi prawdopodobieństwo niewłaściwego wykorzystania danych. W tych przepisach i procedurach należy ponadto uwzględnić słuszne interesy właściwych organów, w przypadkach gdy przedwczesne ujawnienie mogłoby niepotrzebnie utrudnić badanie okoliczności naruszenia.

(44)  Administrator lub podmiot przetwarzający powinien wyznaczyć osobę, która będzie pomagać danemu administratorowi lub podmiotowi w monitorowaniu i wykazywaniu zgodności przepisów przyjętych z przepisami przyjętymi na mocy niniejszej dyrektywy. Inspektor W przypadku, gdy kilka właściwych organów działa pod nadzorem organu centralnego, przynajmniej ten organ centralny powinien wyznaczyć takiego inspektora ochrony danych może zostać wyznaczony wspólnie przez szereg jednostek właściwego organu. Inspektorzy ochrony danych muszą być w stanie wykonywać swoje obowiązki i zadania niezależnie i skutecznie, w szczególności dzięki ustanowieniu zasad służących uniknięciu konfliktów interesów z innymi zadaniami wykonywanymi przez inspektora ochrony danych. [Popr. 36]

(45)  Państwa członkowskie powinny zadbać o to, by przekazywanie danych dokonywane było wyłącznie w przypadku, gdy to konkretne przekazanie jest to konieczne do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz gdy administrator w państwie trzecim lub organizacji międzynarodowej organizacja międzynarodowa jest właściwym organem publicznym w rozumieniu niniejszej dyrektywy. Przekazywanie może mieć miejsce w przypadkach, w których Komisja zdecydowała, że dane państwo trzecie lub organizacja międzynarodowa zapewnia odpowiedni poziom ochrony lub gdy wprowadzono odpowiednie gwarancje, lub gdy wprowadzono odpowiednie gwarancje w drodze prawnie wiążącego instrumentu. Dane przekazane właściwym organom publicznym w państwach trzecich nie powinny być dalej przetwarzane w celach innych niż te, dla których zostały przekazane. [Popr. 37]

(45a)  Operacje wtórnego przekazania dokonywane przez właściwe organy w państwach trzecich lub organizacje międzynarodowe, którym dane osobowe zostały przekazane, powinny być dozwolone wyłącznie w przypadku, gdy operacja wtórnego przekazania jest niezbędna do tego samego konkretnego celu co początkowe przekazanie, a odbiorcą wtórnym jest także właściwy organ publiczny. Operacje wtórnego przekazania nie powinny być dozwolone na potrzeby ogólnych celów egzekwowania prawa. Właściwy organ, który dokonał początkowego przekazania, powinien zezwolić na operację wtórnego przekazania. [Popr. 38]

(46)  Komisja może podjąć decyzję, która będzie obowiązywać w całej Unii, że niektóre państwa trzecie lub też jakieś terytorium lub sektor przetwarzający dane w państwie trzecim bądź organizacja międzynarodowa oferują odpowiedni poziom ochrony danych, gwarantując tym samym pewność prawną i jednolitość w całej Unii co do państw trzecich lub organizacji międzynarodowych uznawanych za zapewniające taki poziom ochrony. W takich przypadkach przekazywanie danych osobowych do tych państw może odbywać się bez potrzeby uzyskania dalszego zezwolenia.

(47)  Zgodnie z podstawowymi wartościami, na których opiera się Unia, w szczególności ochroną praw człowieka, Komisja powinna wziąć pod uwagę sposób, w jaki dane państwo trzecie przestrzega zasad praworządności, dostępu do wymiaru sprawiedliwości, a także międzynarodowych norm i standardów ochrony praw człowieka.

(48)  Komisja powinna mieć również możliwość uznania, że państwo trzecie lub terytorium bądź sektor przetwarzający dane w państwie trzecim lub organizacja międzynarodowa nie oferują odpowiedniego poziomu ochrony danych. W związku z tym przekazywanie danych osobowych do tego państwa trzeciego powinno być zakazane, chyba że opiera się ono na umowie międzynarodowej, odpowiednich gwarancjach lub odstępstwie. Należy przewidzieć możliwość odbywania konsultacji między Komisją a tymi państwami trzecimi lub organizacjami międzynarodowymi. Taka decyzja Komisji pozostaje jednak bez uszczerbku dla możliwości dokonywania przekazania na podstawie odpowiednich gwarancji zawartych w prawnie wiążącym instrumencie lub na podstawie odstępstwa ustanowionego w niniejszej dyrektywie. [Popr. 39]

(49)  Przekazanie, które nie jest dokonane w oparciu o taką decyzję stwierdzającą odpowiedni stopień ochrony, powinno być dopuszczalne jedynie wtedy, gdy w prawnie wiążącym instrumencie prawnym wprowadzono odpowiednie gwarancje, zapewniające ochronę danych osobowych lub gdy administrator lub podmiot przetwarzający ocenili wszystkie okoliczności towarzyszące operacji przekazywania danych lub zestawowi takich operacji i, na podstawie tej oceny uznaje, że obowiązują odpowiednie gwarancje w zakresie ochrony danych osobowych. W przypadkach, w których brakuje podstawy do dokonywania przekazania należy umożliwić zastosowanie odstępstwa w celu ochrony żywotnych interesów podmiotu danych, lub innej osoby, lub ochrony słusznych interesów podmiotu danych, jeżeli prawo państwa członkowskiego przekazującego dane osobowe tak stanowi lub też jeżeli jest to konieczne dla zapobieżenia bezpośredniemu, poważnemu zagrożeniu dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego, lub też, w indywidualnych przypadkach, na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania lub w celu wykonywania kar kryminalnych, lub też, w indywidualnych przypadkach, do celów ustanowienia roszczeń prawnych, ich realizacji lub bronienia ich. [Popr. 40]

(49a)  W przypadkach, gdy brakuje podstaw do dokonania przekazania, w razie potrzeby należy umożliwić zastosowanie odstępstwa w celu ochrony żywotnych interesów podmiotu danych lub innej osoby lub zabezpieczenia uzasadnionych interesów podmiotu danych, gdy prawo państwa członkowskiego przekazującego dane osobowe tak stanowi lub gdy jest to konieczne dla zapobieżenia bezpośredniemu, poważnemu zagrożeniu dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego, lub też, w indywidualnych przypadkach, na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania lub w celu wykonywania kar kryminalnych, lub też, w indywidualnych przypadkach, do celów ustanowienia roszczeń prawnych, ich realizacji lub ich bronienia. Odstępstwa te należy interpretować w sposób rygorystyczny i nie powinny one umożliwiać częstego, masowego i zorganizowanego przekazywania danych osobowych ani hurtowego przekazywania danych, które powinno być ograniczone do ściśle niezbędnych danych. Ponadto decyzja o przekazaniu powinna być podejmowana przez należycie uprawnioną osobę, operacja przekazania musi być udokumentowana, a dokumentacja ta musi być udostępniana na żądanie organowi nadzorczemu w celu kontroli zgodności przekazania z prawem. [Popr. 41]

(50)  Przenoszenie danych osobowych ponad granicami może wiązać się z jeszcze większym ryzykiem niemożności wykonywania przez osoby fizyczne praw do ochrony danych osobowych, by chronić się przed niezgodnym z prawem wykorzystaniem lub ujawnieniem tych danych. Organy nadzorcze mogą jednocześnie uznać, że nie są w stanie rozpatrywać skarg lub prowadzić dochodzeń związanych z działalnością, która ma miejsce poza granicami ich państwa. Ich wysiłki zmierzające do wspólnej pracy w kontekście transgranicznym mogą także być hamowane przez niewystarczające uprawnienia w zakresie zapobiegania powyżej opisanym zjawiskom lub zaradzenia im oraz niespójne systemy prawne. Z tego względu należy promować ściślejszą współpracę między organami nadzorczymi w zakresie ochrony danych, by pomagać im w wymianie informacji z ich międzynarodowymi odpowiednikami.

(51)  Utworzenie w państwach członkowskich organów nadzorczych, wykonujących swoje funkcje w sposób całkowicie niezależny jest koniecznym elementem ochrony osób fizycznych w zakresie przetwarzania danych osobowych. Organy nadzorcze powinny monitorować stosowanie przepisów w sposób zgodny z niniejszą dyrektywą oraz przyczyniać się do ich spójnego stosowania w całej Unii, w celu ochrony osób fizycznych w zakresie przetwarzania ich danych osobowych. W tym celu organu organy nadzorcze powinny współpracować ze sobą oraz z Komisją. [Popr. 42]

(52)  Państwa członkowskie mogą powierzyć organowi nadzorczemu już wcześniej ustanowionemu w państwach członkowskich na mocy rozporządzenia (UE) …./2014 odpowiedzialność za zadania spoczywające na organach nadzorczych, które mają zostać ustanowione na mocy niniejszej dyrektywy.

(53)  Państwa członkowskie mogą ustanowić więcej niż jeden organu nadzorczy, w odzwierciedleniu swojej struktury konstytucyjnej, organizacyjnej i administracyjnej. Każdy organ nadzorczy powinien zostać wyposażony w odpowiednie zasoby finansowe i ludzkie, pomieszczenia i infrastrukturę, w tym wyposażenie techniczne oraz doświadczony i wykwalifikowany personel, niezbędne do skutecznego wykonywania swoich zadań, w tym zadań związanych ze wzajemną pomocą i współpracą z innymi organami nadzorczymi w całej Unii. [Popr. 43]

(54)  Warunki ogólne członkostwa w organie nadzorczym powinny być określone w przepisach prawa każdego państwa członkowskiego i powinny w szczególności przewidywać, iż członkowie tego organu powinno powinni być wybierani przez parlament albo przez rząd państwa członkowskiego na podstawie konsultacji przeprowadzonych z parlamentem oraz obejmować regulacje dotyczące kwalifikacji i stanowiska tych członków. [Popr. 44]

(55)  Niniejsza dyrektywa ma zastosowanie także do działalności sądów krajowych, natomiast właściwość organów nadzorczych nie powinna obejmować przetwarzania danych osobowych wykorzystywanych przez sądy w ramach sprawowania wymiaru sprawiedliwości, by chronić niezawisłość sędziów podczas wykonywania przez nich zadań sądowych. Wyjątek ten powinien być jednak ściśle ograniczony do rzeczywistych zadań sądowych w sprawach sądowych i nie powinien mieć zastosowania do innych działań, w których sędziowie mogą brać udział, zgodnie z prawem krajowym.

(56)  Aby zapewnić spójne monitorowanie i wykonanie niniejszej dyrektywy w całej Unii, organy nadzorcze powinny mieć w każdym państwie członkowskim te same obowiązki i faktyczne uprawnienia, w tym faktyczne uprawnienie do przeprowadzania dochodzenia, uprawnienie do dostępu do wszystkich danych osobowych i wszystkich informacji niezbędnych do realizacji każdej funkcji nadzorczej, uprawnienie do dostępu do wszelkich pomieszczeń administratora danych lub podmiotu przetwarzającego, w tym sprzętu wykorzystywanego do przetwarzania danych, oraz uprawnienie do przeprowadzania prawnie wiążących interwencji, podejmowania decyzji i nakładania sankcji, w szczególności w sprawach skarg od osób fizycznych oraz do udziału w postępowaniu sądowym. [Popr. 45]

(57)  Każdy organ nadzorczy powinien rozpatrywać skargi zgłoszone przez podmiot danych oraz przeprowadzić stosowne dochodzenie. Dochodzenie na podstawie skargi powinno być prowadzone, z zastrzeżeniem kontroli sądowej, w zakresie odpowiednim do konkretnej sprawy. Organ nadzorczy powinien poinformować podmiot danych o postępach i wyniku skargi w rozsądnym terminie. Jeśli dana sprawa wymaga przeprowadzenia dalszego dochodzenia lub koordynacji z innym organem nadzorczym, podmiot danych, powinien zostać o tym niezwłocznie poinformowany.

(58)  Organy nadzorcze powinny wspierać się wzajemnie w wykonywaniu swoich zadań oraz świadczyć sobie wzajemną pomoc, by zapewnić spójne stosowanie i egzekwowanie przepisów przyjętych na mocy niniejszej dyrektywy. Każdy organ nadzorczy powinien wykazywać gotowość do uczestnictwa we wspólnych operacjach. Organ nadzorczy, który otrzyma stosowny wniosek, powinien mieć obowiązek rozpatrzenia go w ustalonym terminie. [Popr. 46]

(59)  Europejska Rada Ochrony Danych ustanowiona rozporządzeniem (UE) …./2012 2014 powinna przyczyniać się do spójnego stosowania niniejszej dyrektywy na terytorium całej Unii, w tym poprzez doradzanie Komisji iinstytucjom unijnym, promowanie współpracy organów nadzorczych na terytorium całej Unii, a także powinna wydawać opinie dla Komisji w toku przygotowywania aktów delegowanych i wykonawczych na podstawie niniejszej dyrektywy. [Popr. 47]

(60)  Każdy podmiot danych, powinien mieć prawo do złożenia skargi organowi nadzorczemu w dowolnym państwie członkowskim oraz do skorzystania z sądowego środka ochrony prawnej, jeśli uzna, że jego prawa wynikające z niniejszej dyrektywy są naruszane lub jeśli organ nadzorczy nie zareaguje na skargę albo nie podejmuje działania, pomimo iż jest ono niezbędne do ochrony praw podmiotu danych.

(61)  Każdy organ, organizacja lub zrzeszenie działające w interesie publicznym a na celu ochronę praw i interesów podmiotów danych w zakresie ochrony ich danych i które i utworzone zgodnie z prawem państwa członkowskiego, powinny mieć prawo do złożenia skargi organowi nadzorczemu lub skorzystania z prawa do sądowego środka ochrony prawnej w imieniu podmiotów danych jeśli zostały przez nich należycie umocowane, lub też złożenia, niezależnie od skargi podmiotu danych własnej skargi, jeśli uzna, iż doszło do naruszenia ochrony danych osobowych. [Popr. 48]

(62)  Każda osoba fizyczna lub prawna powinna mieć prawo do sądowego środka ochrony prawnej przeciwko dotyczącej jej decyzji organu nadzorczego. Postępowanie przeciwko organowi nadzorczemu należy wszcząć przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę.

(63)  W celu zapewnienia skuteczności postępowań sądowych państwa członkowskie powinny zagwarantować szybkie przyjmowanie środków mających zaradzić lub zapobiec naruszeniom niniejszej dyrektywy.

(64)  Każda szkoda, w tym szkoda niemajątkowa, jaką dana osoba może ponieść wskutek niezgodnego z prawem przetwarzania danych, powinna zostać wyrównana przez administratora lub podmiot przetwarzający, który może być zwolniony z odpowiedzialności w przypadku dowiedzenia, że szkoda nie powstała z jego winy, szczególnie wówczas gdy udowodni winę podmiotu danych, lub w przypadku siły wyższej. [Popr. 49]

(65)  Na wszystkie osoby fizyczne i prawne, która nie przestrzegają niniejszej dyrektywy, niezależnie od tego czy działają na podstawie prawa prywatnego czy publicznego, powinny zostać nałożone kary. Państwa członkowskie powinny dopilnować, by kary były skuteczne, proporcjonalne i odstraszające oraz podjąć wszelkie środki mające na celu wykonanie tych kar.

(65a)  Przekazywanie danych osobowych innym organom lub podmiotom niepublicznym w Unii jest zakazane, chyba że przekazanie jest zgodne z prawem, odbiorca danych ma siedzibę w jednym z państw członkowskich, nie istnieje żaden konkretny uzasadniony interes podmiotu danych zapobiegający przekazaniu, a przekazanie jest niezbędne w konkretnym przypadku, gdy administrator przekazuje dane w celu wykonania powierzonego mu na mocy prawa zadania lub w celu zażegnania bezpośredniego i poważnego zagrożenia dla bezpieczeństwa publicznego lub w celu zapobieżenia poważnemu naruszeniu praw osób fizycznych. Administrator powinien poinformować odbiorcę danych o celu przetwarzania i zawiadomić organ nadzorczy o przekazaniu. Odbiorca danych powinien zostać również poinformowany o ograniczeniach przetwarzania i powinien dopilnować ich przestrzegania. [Popr. 50]

(66)  Aby spełnić cele niniejszej dyrektywy, a mianowicie chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych, oraz by zagwarantować swobodny przepływ danych osobowych w Unii, należy przekazać Komisji uprawnienie do przyjmowania uprawnienia do przyjęcia aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej. W szczególności należy przyjąć akty delegowane dotyczące zawiadamiania organu nadzorczego o naruszeniach powinny zostać przyjęte w celu dalszego doprecyzowania kryteriów i warunków operacji przetwarzania wymagających oceny skutków w zakresie ochrony danych, kryteriów i wymogów dotyczących naruszeń ochrony danych osobowychoraz odpowiedniego poziomu ochrony zapewnianego przez państwo trzecie lub terytorium lub sektor, w którym odbywa się przetwarzanie w tym państwie trzecim, lub też organizację międzynarodową. Szczególnie ważne jest, aby w czasie swoich prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, zwłaszcza z Europejską Radą Ochrony Danych. W trakcie przygotowywania i opracowywania aktów delegowanych Przygotowując i opracowując akty delegowane, Komisja powinna zapewnić jednoczesne, terminowe i odpowiednie przekazanie przekazywanie stosownych dokumentów Parlamentowi Europejskiemu i Radzie. [Popr. 51]

(67)  Aby zagwarantować jednolite warunki wdrażania W celu zapewnienia jednolitych warunków wykonywania niniejszej dyrektywy w zakresie dotyczącym dokumentacji przez administratorów danych i podmioty przetwarzające dane bezpieczeństwa przetwarzania, zwłaszcza w odniesieniu do norm szyfrowania, i zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz odpowiedniego poziomu ochrony zapewnianego przez państwo trzecie lub terytorium lub sektor, w którym odbywa się przetwarzanie w tym państwie trzecim, lub też organizację międzynarodową, Komisji , należy powierzyć kompetencje Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiającym przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję(7). [Popr. 52]

(68)  Środki dotyczące prowadzenia dokumentacji przez administratorów i podmioty przetwarzające, bezpieczeństwa przetwarzania, i zgłaszania organowi nadzorczego nadzorczemu naruszeń ochrony danych osobowych oraz odpowiedniego poziomu ochrony zapewnianego przez państwo trzecie albo terytorium lub sektor, w którym odbywa się przetwarzanie w tym państwie trzecim, lub też organizację międzynarodową powinny być przyjmowane w trybie procedury sprawdzającej, ze względu na powszechny zakres zastosowania stosowania tych aktów. [Popr. 53]

(69)  Komisja powinna przyjąć akty wykonawcze mające natychmiastowe zastosowanie, jeśli, w należycie uzasadnionych przypadkach dotyczących państwa trzeciego, terytorium lub sektora, w którym przetwarzane są dane w tym państwie trzecim, lub w organizacji międzynarodowej, które nie zapewniają odpowiedniego poziomu ochrony, jest to bezwzględnie konieczne ze względu na potrzebę pilnych działań. [Popr. 54]

(70)  Ponieważ cele niniejszego rozporządzenia, mianowicie ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony ich danych osobowych, oraz zapewnienie swobodnego przepływu danych osobowych w ramach całej Unii, nie mogą zostać osiągnięte w wystarczającym stopniu przez państwa członkowskie, natomiast lecz z uwagi na skalę i skutki proponowanego działania możliwe jest lepsze ich osiągnięcie na szczeblu unijnym, Unia może przyjąć środki zgodnie z zasadą pomocniczości, o której mowa w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsza dyrektywa nie wychodzi wykracza poza zakres niezbędny to, co jest niezbędne do osiągnięcia tego celu tych celów. Państwa członkowskie mogą ustanowić przepisy przewidujące wyższe standardy niż te przewidziane w niniejszej dyrektywie. [Popr. 55]

(71)  Decyzję ramową 2008/977/WSiSW należy uchylić niniejszą dyrektywą.

(72)  Dyrektywa nie powinna wpływać na przepisy szczególne dotyczące przetwarzania danych osobowych przez właściwe organy na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania lub w celu wykonywania kar kryminalnych zawarte w aktach Unii przyjętych przed datą przyjęcia niniejszej dyrektywy, regulujące przetwarzanie danych osobowych między państwami członkowskimi lub dostęp wyznaczonych organów państw członkowskich do systemów informacyjnych ustanowionych na mocy Traktatów. W związku z tym, że z art. 8 Karty oraz z art. 16 TFUE wynika, iż podstawowe prawo do ochrony danych osobowych należy zapewnić w spójny i jednolity sposób w całej Unii, Komisja powinna, w terminie dwóch lat od wejścia w życie niniejszej dyrektywy, ocenić sytuację pod kątem stosunku niniejszej dyrektywy do aktów przyjętych przed datą przyjęcia niniejszej dyrektywy regulujących przetwarzanie danych osobowych między państwami członkowskimi lub dostęp wyznaczonych organów państw członkowskich do systemów informacyjnych ustanowionych na mocy Traktatów, w celu oceny potrzeby uzgodnienia tych przepisów szczególnych z niniejszą dyrektywą oraz powinna przedstawić odpowiednie wnioski mające na celu zapewnienie spójnych i jednolitych przepisów prawnych dotyczących przetwarzania danych osobowych przez właściwe organy lub dostępu wyznaczonych organów państw członkowskich do systemów informacyjnych ustanowionych na mocy Traktatów, a także przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania, albo wykonywania kar kryminalnych w ramach zakresu stosowania niniejszej dyrektywy. [Popr. 56]

(73)  Aby zagwarantować całościową i spójną ochronę danych osobowych w Unii umowy międzynarodowe zawarte przez Unię lub państwa członkowskie przed wejściem w życie niniejszej dyrektywy powinny zostać zmienione zgodnie z niniejszą dyrektywą. [Popr. 57]

(74)  Niniejsza dyrektywa pozostaje bez uszczerbku dla przepisów dotyczących zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej ustanowionych w dyrektywie 2011/93/UE Parlamentu Europejskiego i Rady(8).

(75)  Zgodnie z art. 6a Protokołu nr 21 w sprawie stanowiska Zjednoczonego Królestwa i Irlandii w odniesieniu do przestrzeni wolności, bezpieczeństwa i sprawiedliwości załączonego do Traktatu o Unii Europejskiej i Traktatu o funkcjonowaniu Unii Europejskiej, Zjednoczone Królestwo i Irlandia nie są związane przepisami ustanowionymi w niniejszej dyrektywie w przypadkach, w których państwa te nie są związane przepisami regulującymi formy współpracy wymiarów sprawiedliwości w sprawach karnych lub współpracy policyjnej, które wymagają przestrzegania przepisów ustanowionych na podstawie art. 16 Traktatu o funkcjonowaniu Unii Europejskiej.

(76)  Zgodnie z art. 2 i 2a Protokołu nr 22 w sprawie stanowiska Danii załączonego do Traktatu o Unii Europejskiej i Traktatu o funkcjonowaniu Unii Europejskiej, Dania nie jest związana niniejszą dyrektywą ani nie ma ona do niej zastosowania. Ze względu na to, że niniejsza dyrektywa stanowi rozwinięcie dorobku Schengen w rozumieniu postanowień tytułu V Traktatu o funkcjonowaniu Unii Europejskiej Dania, zgodnie z art. 4 tego protokołu, w terminie sześciu miesięcy od daty przyjęcia niniejszej dyrektywy podejmuje decyzję czy dokona transpozycji dyrektywy do swojego prawa krajowego. [Popr. 58]

(77)  W odniesieniu do Norwegii i Islandii, niniejsza dyrektywa stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy zawartej przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącej włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen(9).

(78)  W odniesieniu do Szwajcarii, niniejsza dyrektywa stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy zawartej między Unią Europejską i Wspólnotą Europejską a Konfederacją Szwajcarską w sprawie włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen(10).

(79)  W odniesieniu do Lichtensteinu, niniejsza dyrektywa stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen(11).

(80)  Niniejsza dyrektywa respektuje prawa podstawowe i jest zgodna z zasadami uznanymi w Karcie utrwalonej w Traktacie, w szczególności prawem do poszanowania życia prywatnego i rodzinnego, prawem do ochrony danych osobowych oraz prawem do skutecznego środka ochrony prawnej i rzetelnego procesu. Ograniczenia tych praw są zgodne z art. 52 ust. 1 karty, ponieważ są niezbędne do realizacji celów leżących w interesie ogólnym uznanych przez Unię lub ze względu na potrzebę ochrony praw i wolności innych osób.

(81)  Zgodnie ze wspólną deklaracją polityczną państw członkowskich i Komisji dotyczącą dokumentów wyjaśniających z dnia 28 września 2011 r.(12), państwa członkowskie zobowiązały w uzasadnionych przypadkach dołączyć do zawiadomienia o swoich środkach transpozycji przynajmniej jeden dokument wyjaśniający związek między elementami dyrektywy a odpowiadającymi im częściami krajowych instrumentów transpozycyjnych. W odniesieniu do niniejszej dyrektywy prawodawca uznaje przekazanie tych dokumentów za uzasadnione,

(82)  Niniejsza dyrektywa nie powinna stanowić dla państw członkowskich przeszkody we wdrażaniu w krajowych przepisach o postępowaniu karnym środków zapewniających możliwość korzystania przez podmioty danych z prawa do informacji, dostępu, poprawienia, usunięcia i ograniczenia ich danych osobowych w toku postępowania karnego oraz ewentualnych ograniczeń tych praw,

PRZYJMUJĄ NINIEJSZĄ DYREKTYWĘ:

ROZDZIAŁ I

PRZEPISY OGÓLNE

Artykuł 1

Przedmiot i cele

1.  Niniejsza dyrektywa ustanawia przepisy dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania i wykonywania kar kryminalnych oraz warunki swobodnego przepływu takich danych osobowych.

2.  Zgodnie z niniejszą dyrektywą państwa członkowskie:

a)  chronią prawa podstawowe i wolności osób fizycznych, w szczególności ich prawo do ochrony ich danych osobowych i prywatności; oraz

b)  zapewniają, by wymiana danych osobowych przez właściwe organy w Unii nie była ani ograniczana, ani zakazywana z przyczyn związanych z ochroną osób fizycznych w zakresie przetwarzania danych osobowych.

2a.  Niniejsza dyrektywa nie wyklucza ustanowienia przez państwa członkowskie gwarancji na wyższym poziomie niż ten ustanowiony w niniejszej dyrektywie. [Popr. 59]

Artykuł 2

Zakres

1.  Niniejsza dyrektywa ma zastosowania do przetwarzania danych osobowych przez właściwe organy do celów, o których mowa w art. 1 ust. 1.

2.  Niniejsza dyrektywa ma zastosowanie do przetwarzania danych osobowych w sposób zautomatyzowany w całości lub w części oraz innych rodzajów przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.

3.  Niniejsza dyrektywa nie ma zastosowania do przetwarzania danych osobowych:

a)  w ramach działalności wykraczającej poza zakres prawa Unii, w szczególności dotyczącej bezpieczeństwa narodowego;

b)  przez instytucje, organy i jednostki organizacyjne Unii. [Popr. 60]

Artykuł 3

Definicje

Do celów niniejszej dyrektywy:

(1)  „podmiot danych” oznacza zidentyfikowaną osobę fizyczną lub osobę fizyczną, którą można zidentyfikować, bezpośrednio lub pośrednio, za pomocą wszelkich środków, które z rozsądnym prawdopodobieństwem mogą być użyte przez administratora lub inną osobę fizyczną bądź prawną, szczególnie przez odniesienie do numeru identyfikacyjnego, danych dotyczących lokalizacji, identyfikatora online lub też przynajmniej jednego czynnika charakterystycznego dla fizycznej, fizjologicznej, genetycznej, umysłowej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby;

(2)  „dane osobowe” oznaczają wszelkie informacje dotyczące podmiotu zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („podmiot danych ”); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, w szczególności przez odwołanie się do takich danych identyfikujących, jak imię i nazwisko, numer identyfikacyjny, miejsce przebywania, niepowtarzalny identyfikator, lub do co najmniej jednego szczególnego czynnika określającego tożsamość fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową czy społeczną lub tożsamość płciową tej osoby;

(2a)  „dane pseudonimiczne” oznaczają dane osobowe, których nie można przypisać konkretnemu podmiotowi danych bez użycia dodatkowych informacji, dopóki dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie podmiotowi danych;

(3)  „przetwarzanie” oznacza każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptacja lub modyfikacja, pobieranie, uzyskiwanie wglądu, wykorzystywanie, ujawnianie poprzez przekazywanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie usuwanie lub niszczenie;

(3a)  „profilowanie” oznacza wszelką formę automatycznego przetwarzania danych mającego służyć ocenie niektórych indywidualnych aspektów tej osoby fizycznej lub też analizie bądź przewidzeniu zwłaszcza wyników w pracy, sytuacji ekonomicznej, miejsca przebywania, zdrowia, osobistych preferencji, wiarygodności lub zachowania tej osoby fizycznej;

(4)  „ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przetwarzania w przyszłości;

(5)  „zbiór danych” oznacza każdy zorganizowany zestaw danych osobowych, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany lub rozproszony funkcjonalnie lub geograficznie;

(6)  „administrator” oznacza właściwy organ publiczny, który samodzielnie lub wspólnie z innymi organami ustala cele, warunki i sposoby przetwarzania danych osobowych; w przypadkach, w których cele, warunki i sposoby przetwarzania ustalane są prawem Unii lub państwa członkowskiego, administrator lub szczególne kryteria wyznaczania go jego mogą zostać określone w prawie Unii lub państwa członkowskiego;

(7)  „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

(8)  „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, agencję, lub inny podmiot, któremu ujawnia się dane osobowe;

(9)  „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego przypadkowe lub niezgodne z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu zniszczenie, utratę, modyfikację, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób;

(10)  „dane genetyczne” oznaczają wszelkie dane dowolnego rodzaju dotyczące charakterystycznych cech osoby fizycznej, odziedziczonych lub nabytych na etapie wczesnego rozwoju prenatalnego;

(11)  „dane biometryczne” oznaczają wszelkie dane osobowe dotyczące cech fizycznych, fizjologicznych i behawioralnych danej osoby, które umożliwiają jej precyzyjną identyfikację, takie jak wizerunek twarzy lub dane daktyloskopijne;

(12)  „dane dotyczące zdrowia” oznaczają wszelkie informacje dane osobowe związane ze zdrowiem fizycznym lub psychicznym danej osoby lub ze świadczeniem usług zdrowotnych na jej rzecz;

(13)  „dziecko” oznacza każdą osobę w wieku poniżej 18 lat;

(14)  „właściwe organy” oznaczają każdy organ publiczny właściwy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania oraz wykonywania kar kryminalnych;

(15)  „organ nadzorczy” oznacza organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 39. [Popr. 61]

ROZDZIAŁ II

ZASADY

Artykuł 4

Zasady dotyczące przetwarzania danych osobowych

Państwa członkowskie stanowią przepisy nakazujące, by dane osobowe były:

a)  przetwarzane rzetelnie i zgodnie z prawem, rzetelnie oraz w sposób przejrzysty i umożliwiający weryfikację w odniesieniu do podmiotu danych;

b)  zbierane w konkretnych, bezpośrednich i zgodnych z prawem celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;

c)  prawidłowe, właściwe oraz by nie wykraczały poza zakres niezbędny ograniczone do minimum niezbędnego do celów, dla których są przetwarzane; dane te są przetwarzane jedynie wtedy gdy i tylko przez okres, w którym tych celów nie można osiągnąć, przetwarzając informacje, które nie obejmują danych osobowych;

d)  dokładne i, w razie potrzeby, aktualne; należy podjąć wszelkie zasadne działania, by zapewnić niezwłoczne usunięcie lub poprawienie niedokładnych danych osobowych, z uwzględnieniem celów ich przetwarzania;

e)  przechowywane w formie umożliwiającej identyfikację podmiotów danych przez czas nie dłuższy niż jest to konieczne do celów, dla których dane są przetwarzane;

f)  przetwarzane pod nadzorem i na odpowiedzialność administratora, który zapewnia i jest w stanie wykazać zgodność z przepisami przyjętymi na mocy niniejszej dyrektywy;

fa)  przetwarzane w sposób skutecznie umożliwiający podmiotowi danych wykonywanie jego praw opisanych w art. 10–17;

fb)  przetwarzane w taki sposób, który zabezpiecza przed niedozwolonym lub niezgodnym z prawem przetwarzaniem i przed przypadkową utratą, zniszczeniem lub uszkodzeniem, z wykorzystaniem odpowiednich środków technicznych i organizacyjnych;

fc)  przetwarzane wyłącznie przez należycie uprawnionych pracowników właściwych organów, którzy potrzebują tych danych do wykonywania powierzonych im zadań. [Popr. 62]

Artykuł 4a

Dostęp do danych przetwarzanych pierwotnie w celach innych niż te, o których mowa w art. 1 ust. 1

1.  Państwa członkowskie stanowią przepisy przewidujące, że właściwe organy mogą mieć dostęp do danych osobowych przetwarzanych pierwotnie w celach innych niż te, o których mowa w art. 1 ust. 1, jedynie wówczas, gdy wyraźnie zezwala na to prawo Unii lub państw członkowskich, które musi spełniać wymogi określone w art. 7 ust. 1a oraz musi obejmować przepisy stanowiące, że:

a)  prawo dostępu mają wyłącznie należycie uprawnieni pracownicy właściwych organów w ramach wykonywania powierzonych im zdań, gdy w konkretnym przypadku istnieją uzasadnione powody, by sądzić, że przetwarzanie danych osobowych w znacznym stopniu przyczyni się do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo wykonywania kar kryminalnych;

b)  wnioski o przyznanie dostępu muszą być składane na piśmie i zawierać odniesienie do podstawy prawnej umożliwiającej wystąpienie z wnioskiem;

c)  pisemny wniosek musi być udokumentowany; oraz

d)  wprowadza się odpowiednie gwarancje mające zapewnić ochronę praw podstawowych i wolności w związku z przetwarzaniem danych osobowych. Gwarancje te pozostają bez uszczerbku dla szczegółowych warunków dostępu do danych osobowych, takich jak zezwolenie sądu wydane zgodnie z prawem państw członkowskich, i mają względem nich charakter uzupełniający.

2.  Do danych osobowych przechowywanych przez podmioty niepubliczne lub inne organy publiczne uzyskuje się dostęp jedynie w celu prowadzenia dochodzeń w sprawie przestępstw i ścigania ich w oparciu o wymogi konieczności i proporcjonalności, które zostaną określone w prawie Unii lub w prawie państwa członkowskiego, w pełnej zgodności z przepisami art. 7a. [Popr. 63]

Artykuł 4b

Ograniczenia czasowe dotyczące przechowywania i przeglądu danych

1.  Państwa członkowskie stanowią przepisy przewidujące, że dane osobowe przetwarzane na mocy niniejszej dyrektywy są usuwane przez właściwe organy z chwilą, gdy nie są już one niezbędne do celów, dla których były przetwarzane.

2.  Państwa członkowskie stanowią przepisy przewidujące, że zgodnie z art. 4 właściwe organy wdrażają mechanizmy mające zapewnić ustalenie terminów usuwania danych osobowych oraz terminów okresowego przeglądu konieczności przechowywania danych, w tym ustalanie okresów przechowywania różnych kategorii danych osobowych. Ustanawia się środki proceduralne w celu zadbania o to, by te ograniczenia czasowe, terminy lub odstępy pomiędzy okresowymi przeglądami były przestrzegane. [Popr. 64]

Artykuł 5

Rozróżnianie poszczególnych kategorii osób , których Różne kategorie podmiotów danych dotyczą

1.  Państwa członkowskie stanowią przepisy wymagające od administratorów, by w możliwym zakresie rozróżniali przewidujące, że do celów, o których mowa w art. 1 ust. 1, właściwe organy mogą przetwarzać dane osobowe poszczególnych kategorii następujących różnych podmiotów danych takich jak , a administrator wyraźnie rozróżnia takie kategorie:

a)  osoby, w stosunku do których istnieją poważne podstawy uzasadnione powody, by przypuszczać, że popełniły lub zamierzają popełnić przestępstwo;

b)  osoby skazane za przestępstwo;

c)  osób osoby, które padły ofiarą przestępstwa lub w przypadku których określone fakty wskazują, że mogły paść ofiarą przestępstwa; oraz

d)  osoby trzecie w stosunku do przestępstwa, takie jak osoby, które mogą być wezwane do złożenia zeznań w ramach dochodzenia dotyczącego przestępstwa lub dalszych etapów postępowania karnego lub osoby mogące dostarczyć informacji o przestępstwach albo osoby mające kontakt z jedną z osób wymienionych w lit. a) lub b) albo wspólnicy tych osób; oraz .

e)  osoby, które nie należą do żadnej z wyżej wymienionych kategorii.

2.  Dane osobowe podmiotów danych innych niż te, o których mowa w ust. 1, mogą być przetwarzane wyłącznie:

a)  przez niezbędny okres do celów prowadzenia dochodzenia w sprawie konkretnego przestępstwa lub jego ścigania w celu oceny istotności danych w odniesieniu do jednej z kategorii wskazanych w ust. 1; lub

b)  gdy takie przetwarzanie jest niezbędne do konkretnych celów zapobiegawczych lub do celów analizy kryminalnej i tylko przez okres, w którym dany cel jest uzasadniony, odpowiednio zdefiniowany i konkretny, a przetwarzanie jest ściśle ograniczone do oceny istotności danych w odniesieniu do jednej z kategorii określonych w ust. 1. Podlega to regularnemu przeglądowi przynajmniej co sześć miesięcy. Wszelkie dalsze wykorzystanie tych danych jest zakazane.

3.  Państwa członkowskie stanowią przepisy przewidujące, że dodatkowe ograniczenia i gwarancje zgodne z prawem państw członkowskich stosuje się do dalszego przetwarzania danych osobowych dotyczących podmiotów danych, o których mowa w ust. 1 lit. c) i d). [Popr. 65]

Artykuł 6

Różne stopnie dokładności i wiarygodności danych osobowych

1.  Państwa członkowskie zapewniają by, na ile to możliwe, różne kategorie stanowią przepisy przewidujące, że zapewnia się dokładność i wiarygodność danych osobowych poddawanych przetwarzaniu były rozróżniane według stopnia ich dokładności i wiarygodności.

2.  Państwa członkowskie zapewniają, dopilnowują, by dane osobowe oparte na ile to możliwe, rozróżnienie między danymi osobowymi opartymi na faktach i danymi osobowymi opartymi dane osobowe oparte na indywidualnej ocenie były rozróżniane według stopnia ich dokładności i wiarygodności.

2a.  Państwa członkowskie dopilnowują, by nieprawidłowe, niepełne lub już nieaktualne dane osobowe nie były przekazywane ani udostępniane. W tym celu właściwe organy oceniają jakość danych osobowych przed ich przekazaniem lub udostępnieniem. Ilekroć przekazuje się dane, dołącza się do nich w miarę możliwości informacje, dzięki którym odbierające je państwo członkowskie może ocenić stopień dokładności, kompletności i wiarygodności tych danych oraz stopnia ich aktualności. Danych osobowych nie przekazuje się bez wniosku właściwego organu, zwłaszcza gdy dane należały początkowo do podmiotu niepublicznego.

2b.  Jeżeli stwierdzono, że przekazano dane nieprawidłowe lub że dane przekazano niezgodnie z prawem, bezzwłocznie informuje się o tym odbiorcę. Odbiorca ma obowiązek bezzwłocznego poprawienia tych danych zgodnie z ust. 1 i art. 15 lub ich usunięcia zgodnie z art. 16. [Popr. 66]

Artykuł 7

Zgodność z prawem przetwarzania z prawem

1.  Państwa członkowskie stanowią przepisy przewidujące, że przetwarzanie danych osobowych jest zgodne z prawem jedynie wtedy o ile , gdy opiera się ono na prawie unijnym lub krajowym do celów określonych w art. 1 ust. 1 i jest ono niezbędne:

a)  do wykonania zadania realizowanego przez właściwy organ, w oparciu o prawo, do celów określonych w art. 1 ust. 1; lub

b)  do wypełnienia obowiązku prawnego ciążącego na administratorze; lub

c)  w celu ochrony żywotnych interesów podmiotu danych lub innej osoby; lub

d)  dla zażegnania bezpośredniego i poważnego zagrożenia dla bezpieczeństwa publicznego.

1a.  Prawo państwa członkowskiego regulujące przetwarzanie danych osobowych w ramach zakresu stosowania niniejszej dyrektywy obejmuje wyraźnie sformułowane i szczegółowe przepisy określające co najmniej:

a)  cele przetwarzania;

b)  dane osobowe, które mogą być przetwarzane;

c)  konkretne cele i sposoby przetwarzania;

d)  wyznaczenie administratora lub szczegółowe kryteria dotyczące jego wyznaczenia;

e)  kategorie należycie uprawnionych pracowników właściwych organów do przetwarzania danych osobowych;

f)  procedurę, którą należy stosować podczas przetwarzania;

g)  użytek, jaki można zrobić z uzyskanych danych osobowych;

h)  ograniczenia zakresu swobody przyznanej właściwym organom w odniesieniu do działań związanych z przetwarzaniem. [Popr. 67]

Artykuł 7a

Dalsze przetwarzanie w sposób niezgodny z celami

1.  Państwa członkowskie stanowią przepisy przewidujące, że dane osobowe mogą być dalej przetwarzane w innym celu określonym w art. 1 ust. 1, który to cel nie jest zgodny z celami, do których dane zostały pierwotnie zebrane, jedynie wtedy, gdy:

a)  jest to bezwzględnie niezbędne i proporcjonalne w demokratycznym społeczeństwie oraz wymagane na mocy prawa unijnego lub krajowego do osiągnięcia uzasadnionego, odpowiednio zdefiniowanego i konkretnego celu;

b)  przetwarzanie jest ściśle ograniczone do okresu nieprzekraczającego czasu niezbędnego do przeprowadzenia konkretnej operacji przetwarzania danych;

c)  dalsze użycie w innych celach jest zakazane.

Przed rozpoczęciem przetwarzania państwo członkowskie konsultuje się z właściwym krajowym organem nadzoru i przeprowadza ocenę skutków w zakresie ochrony danych.

2.  Oprócz wymogów określonych w art. 7 ust. 1a prawo państw członkowskich zezwalające na dalsze przetwarzanie, o którym mowa w ust. 1, zawiera także wyraźnie sformułowane i szczegółowe przepisy określające co najmniej:

a)  konkretne cele i sposoby danego przetwarzania;

b)  że prawo dostępu mają wyłącznie należycie uprawnieni pracownicy właściwych organów w ramach wykonywania powierzonych im zadań, jeżeli w konkretnym przypadku istnieją uzasadnione powody, aby sądzić, że przetwarzanie danych osobowych w znacznym stopniu przyczyni się do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo wykonywania kar kryminalnych; oraz

c)  że ustanowione są odpowiednie gwarancje mające zapewnić ochronę praw podstawowych i wolności w związku z przetwarzaniem danych osobowych.

Państwa członkowskie mogą wymagać, aby dostęp do danych osobowych podlegał dodatkowym warunkom, takim jak zezwolenie sądu, zgodnie z prawem krajowym państwa członkowskiego.

3.  Państwa członkowskie mogą również zezwolić na dalsze przetwarzanie danych osobowych do celów o charakterze historycznym, statystycznym lub naukowym, o ile ustanowią one odpowiednie gwarancje, takie jak anonimizacja danych. [Popr. 68]

Artykuł 8

Przetwarzanie szczególnych kategorii danych osobowych

1.  Państwa członkowskie zabraniają przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, wierzenia religijne lub przekonania filozoficzne, orientację seksualną lub tożsamość płciową, przynależność do związków zawodowych i ich działalność, jak również przetwarzania danych genetycznych biometrycznych lub danych dotyczących zdrowia i życia seksualnego.

2.  Ustęp 1 nie ma zastosowania, w przypadku gdy:

a)  na przetwarzanie zezwala prawo przewidujące jest bezwzględnie niezbędne i proporcjonalne do wykonania przez właściwe organy zadania do celów określonych w art. 1 ust. 1, w oparciu o prawo Unii lub państwa członkowskiego, które przewiduje szczegółowe i odpowiednie gwarancje środki ochrony uzasadnionych interesów podmiotu danych, w tym szczególne zezwolenie wydane przez organy sądowe, jeżeli wymóg taki istnieje w prawie krajowym; lub

b)  przetwarzanie jest niezbędne w celu ochrony żywotnych interesów podmiotu danych lub innej osoby; lub

c)  przetwarzanie dotyczy danych osobowych, które zostały wyraźnie podane do publicznej wiadomości przez podmiot danych, pod warunkiem że są one istotne i bezwzględnie niezbędne do osiągnięcia celu w tym konkretnym przypadku. [Popr. 69]

Artykuł 8a

Przetwarzanie danych genetycznych na potrzeby śledztwa lub postępowania sądowego

1.  Państwa członkowskie dopilnowują, by dane genetyczne mogły być wykorzystywane jedynie do ustalenia powiązania genetycznego w ramach gromadzenia materiału dowodowego, zapobiegania zagrożeniu dla bezpieczeństwa publicznego lub przeciwdziałania popełnieniu konkretnego przestępstwa. Dane genetyczne nie mogą być wykorzystywane do określania innych charakterystycznych cech, które mogą być genetycznie powiązane.

2.  Państwa członkowskie stanowią przepisy przewidujące, że dane genetyczne lub informacje pochodzące z ich analizy mogą być przechowywane tylko przez niezbędny okres do celów, dla których dane są przetwarzane, i jeżeli odnośna osoba była skazana za popełnienie poważnego przestępstwa przeciwko życiu, zdrowiu lub bezpieczeństwu innych osób, przy czym dane te podlegają rygorystycznym okresom przechowywania, które zostaną określone w prawie państwa członkowskiego.

3.  Państwa członkowskie dopilnowują, by dane genetyczne lub informacje pochodzące z ich analizy były przechowywane przez dłuższy okres jedynie wtedy, gdy dane genetyczne nie mogą zostać przypisane konkretnej osobie, zwłaszcza w sytuacji, gdy materiał genetyczny został znaleziony na miejscu popełnienia przestępstwa. [Popr. 70]

Artykuł 9

Środki oparte na profilowaniu i automatycznym przetwarzaniu

1.  Państwa członkowskie stanowią przepisy przewidujące, że środki wywołujące niekorzystne skutki prawne dla podmiotu danych, lub mające na tę osobę istotny wpływ i oparte wyłącznie częściowo lub całkowicie na automatycznym przetwarzaniu danych mającym służyć ocenie niektórych aspektów o charakterze osobistym podmiotu danych, jest zakazane, chyba że zostanie dopuszczone prawem, które przewiduje również gwarancje słusznych uzasadnionych interesów podmiotu danych.

2.  Automatyczne przetwarzanie danych osobowych, które ma służyć ocenie niektórych aspektów osobistych osoby fizycznej, nie opiera się jedynie na szczególnych kategoriach danych osobowych, o których mowa w art. 8.

2a.  Automatyczne przetwarzanie danych osobowych, które ma służyć wyodrębnieniu podmiotu danych bez wstępnego podejrzenia, że podmiot danych mógł popełnić lub popełni przestępstwo, jest zgodne z prawem jedynie wtedy, gdy jest ono bezwzględnie konieczne do celów prowadzenia dochodzenia w sprawie poważnego przestępstwa lub zapobiegania, na podstawie faktycznych oznak, wyraźnemu i zbliżającemu się zagrożeniu bezpieczeństwa publicznego, istnienia państwa lub życia ludzi.

2b.  Zakazuje się wszelkiego profilowania, które w sposób zamierzony lub nie skutkuje dyskryminacją osób ze względu na ich rasę lub pochodzenie etniczne, poglądy polityczne, religię lub przekonania, przynależność do związków zawodowych, płeć lub orientację seksualną albo które w sposób zamierzony lub nie skutkuje środkami mającymi taki efekt. [Popr. 71]

Artykuł 9a

Ogólne zasady dotyczące praw podmiotu danych

1.  Państwa członkowskie dopilnowują, by podstawa ochrony danych była jasna i wiązała się z jednoznacznymi prawami podmiotu danych, których administrator danych musi przestrzegać. Przepisy niniejszej dyrektywy mają na celu wzmocnienie, doprecyzowanie, zagwarantowanie i, w stosownych przypadkach, ujednolicenie tych praw.

2.  Państwa członkowskie dopilnowują, by takie prawa obejmowały m.in. przekazywanie jasnych i łatwo zrozumiałych informacji dotyczących kwestii takich jak przetwarzanie danych osobowych podmiotu danych, prawo dostępu do danych, ich poprawiania i usuwania, prawo do otrzymywania danych, prawo do wniesienia skargi do właściwego organu ds. ochrony danych oraz do wszczęcia postępowania sądowego, a także prawo do rekompensaty i odszkodowania w związku z niezgodnymi z prawem operacjami przetwarzania. Zasadniczo takie prawa przysługują bezpłatnie. Administrator danych rozpatruje wnioski podmiotu danych w rozsądnym terminie. [Popr. 72]

ROZDZIAŁ III

PRAWA PODMIOTU DANYCH

Artykuł 10

Tryby wykonywania praw przez podmiot danych

1.  Państwa członkowskie stanowią przepisy przewidujące, że administrator podejmuje wszystkie rozsądne kroki, aby dysponować dysponuje zwięzłymi, przejrzystymi, czytelnymi i łatwo dostępnymi politykami w zakresie przetwarzania danych osobowych i wykonywania praw przez podmioty danych.

2.  Państwa członkowskie stanowią przepisy przewidujące, że wszelkie informacje i komunikaty dotyczące przetwarzania danych osobowych mają być przekazywane przez administratora podmiotowi danych w czytelnej formie, w jasnym i prostym języku, zwłaszcza w przypadku, gdy bezpośrednim adresatem informacji jest dziecko.

3.  Państwa członkowskie stanowią przepisy przewidujące, że administrator podejmuje wszystkie rozsądne kroki w celu ustanowienia procedur ustanawia procedury dostarczenia informacji, o których mowa w art. 11 i wykonywania praw podmiotów podmiotu danych, o których mowa w art. 12-17. Jeśli przetwarzanie danych odbywa się w sposób zautomatyzowany, administrator zapewnia możliwość składania wniosków drogą elektroniczną.

4.  Państwa członkowskie stanowią przepisy przewidujące, że administrator niezwłocznie informuje podmiot danych o sposobie reakcji na jego wniosek, a w każdym przypadku najpóźniej w terminie jednego miesiąca od daty otrzymania wniosku. Informacji tej udziela się na piśmie. Jeśli podmiot danych składa wniosek w formie elektronicznej, informacje także przekazywane są w formie elektronicznej.

5.  Państwa członkowskie stanowią przepisy przewidujące, że informacje oraz wszelkie czynności podjęte przez administratora w odpowiedzi na wniosek, o którym mowa w ust. 3 i 4, są zwolnione z opłat. Jeśli wnioski są dokuczliwe wyraźnie przesadne, w szczególności ze względu na składanie ich w sposób uporczywy albo ze względu na zakres wniosku ich powtarzający się charakter, administrator może pobrać rozsądnej wysokości opłatę uwzględniającą koszty administracyjne za udzielenie wnioskowanych informacji lub podjęcie wnioskowanych czynności lub też może nie wykonać wnioskowanych czynności. W takim przypadku na administratorze spoczywa ciężar udowodnienia dokuczliwego wyraźnie przesadnego charakteru wniosku.

5a.  Państwa członkowskie mogą ustanowić przepisy przewidujące, że podmiot danych może dochodzić swoich praw bezpośrednio u administratora danych lub za pośrednictwem właściwego krajowego organu nadzorczego. Jeżeli organ nadzorczy podejmie działania na wniosek podmiotu danych, informuje on podmiot danych o przeprowadzonej weryfikacji. [Popr. 73]

Artykuł 11

Informacje o podmiocie danych

1.  Jeżeli zbierane są dane osobowe odnoszące się do podmiotu danych państwa członkowskie zapewniają podejmowanie udzielanie przez administratora wszelkich stosownych środków w celu udzielenia podmiotowi danych co najmniej następujących informacji dotyczących:

a)  tożsamości i danych kontaktowych administratora i inspektora ochrony danych;

b)  podstawy prawnej i celów przetwarzania danych, do których dane są przeznaczone;

c)  okresu przechowywania danych osobowych;

d)  istnienia prawa do wystąpienia do administratora o uzyskanie wglądu do danych, poprawienie ich, usunięcie lub ograniczenie przetwarzania danych osobowych odnoszących się podmiotu danych;

e)  prawa do złożenia skargi do organu nadzorczego, o którym mowa w art. 39, jak również jego danych kontaktowych;

f)  odbiorcy lub kategorii odbiorców danych osobowych, w tym w państwach trzecich lub organizacjach międzynarodowych, których uprawniono do dostępu do danych na mocy prawa tego państwa trzeciego lub na mocy przepisów tych organizacji międzynarodowych, istnienia lub braku decyzji Komisji w sprawie odpowiedniego stopnia ochrony lub, w razie przekazania, o którym mowa w art. 35 lub 36, środków służących uzyskaniu kopii odpowiednich gwarancji stosowanych przy przekazywaniu;

fa)  w sytuacji, gdy administrator przetwarza dane osobowe w sposób opisany w art. 9 ust. 1 – danych na temat faktu przetwarzania w drodze środka takiego jak ten, o którym mowa w art. 9 ust. 1, oraz zamierzonych skutków tego przetwarzania dla podmiotu danych, informacji o zasadach stosowanych przy profilowaniu oraz o prawie do oceny ze strony człowieka;

fb)  środków bezpieczeństwa podjętych w celu ochrony danych osobowych;

g)  wszelkich dalszych informacji o ile są one potrzebne do zagwarantowania rzetelnego przetwarzania danych w stosunku do podmiotu danych uwzględniając szczególne okoliczności, w których dane osobowe są przetwarzane.

2.  W przypadku zbierania danych osobowych od podmiotu danych administrator, poza przekazaniem informacji, o których mowa w ust. 1, informuje podmiot danych o tym, czy przekazanie danych osobowych jest obowiązkowe czy opcjonalne, a także o ewentualnych skutkach braku przekazania tych danych.

3.  Administrator udziela informacji, o których mowa w ust. 1:

a)  w momencie uzyskania danych osobowych od podmiotu danych; lub

b)  jeżeli dane osobowe nie są zbierane od podmiotu danych w momencie ich rejestrowania lub w rozsądnym terminie po zebraniu danych, uwzględniając szczególne okoliczności, w których dane osobowe są przetwarzane.

4.  Państwa członkowskie mogą przyjąć środki legislacyjnej legislacyjne opóźniające, lub ograniczające, lub uchylające udzielenie informacji podmiotowi danych w konkretnym przypadku, o ile takie częściowe lub całkowite ograniczenie stanowi konieczny i proporcjonalny środek w demokratycznym społeczeństwie, przy należytym uwzględnieniu słusznych praw podstawowych i uzasadnionych interesów danej osoby:

a)  aby zapobiec utrudnianiu urzędowych lub innych prawnych dochodzeń, śledztw lub procedur;

b)  aby zapobiec negatywnemu wpływowi na zapobieganie przestępstwom, wykrywanie ich, prowadzenie dochodzeń w ich sprawie i ich ściganie lub wykonywanie kar kryminalnych;

c)  aby chronić bezpieczeństwo publiczne;

d)  aby chronić bezpieczeństwo narodowe;

e)  aby chronić prawa i wolności innych osób.

5.  Państwa członkowskie stanowią przepisy przewidujące, że administrator dokonuje oceny, w każdym konkretnym przypadku, za pośrednictwem konkretnego i indywidualnego badania, czy zastosowanie ma częściowe lub całkowite ograniczenie ze względu na jeden z powodów, o których mowa w ust. 4. Państwa członkowskie mogą także ustalić przepisami prawa kategorie przetwarzania danych, które mogą zostać objęte w całości lub części wyjątkami przewidzianymi w ust. 4 lit. a), b), c) i d). [Popr. 74]

Artykuł 12

Prawo podmiotu danych do dostępu do danych

1.  Państwa członkowskie stanowią przepisy przewidujące prawo podmiotów podmiotu danych do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe odnoszące się do nich niego. W przypadku przetwarzania takich danych osobowych administrator przekazuje następujące informacje, o ile nie zostały jeszcze przekazane:

—  a) przekazanie danych osobowych podlegających przetwarzaniu i wszelkich dostępnych informacji o ich źródle i, w stosownych przypadkach, zrozumiałych informacji o zasadach rządzących wszelkimi operacjami automatycznego przetwarzania;

—  aa) znaczenie i przewidywane skutki takiego przetwarzania, co najmniej w przypadku środków, o których mowa w art. 9;

a)  cele przetwarzania oraz podstawę prawną przetwarzania;

b)  kategorie przedmiotowych danych osobowych;

c)  odbiorcy lub kategorie odbiorców, którym dane osobowe zostały ujawnione, w szczególności odbiorcy w państwach trzecich;

d)  okresu przechowywania danych osobowych;

e)  istnienie prawa do wystąpienia do administratora o poprawienie, usunięcie lub ograniczenie przetwarzania danych osobowych odnoszących się do podmiotu danych;

f)  prawo do złożenia skargi do organu nadzorczego oraz dane kontaktowe organu nadzorczego.

g)  przekazanie danych osobowych podlegających przetwarzaniu i wszelkich dostępnych informacji o ich źródle.

2.  Państwa członkowskie stanowią przepisy przewidujące prawo podmiotu danych do uzyskania od administratora kopii danych osobowych poddawanych przetwarzaniu. Jeśli podmiot danych składa wniosek w formie elektronicznej, informacje także przekazywane są w formie elektronicznej, chyba że podmiot danych zażąda informacji w innej formie. [Popr. 75]

Artykuł 13

Ograniczenia prawa do dostępu

1.  Państwa członkowskie mogą przyjąć środki legislacyjnej legislacyjne ograniczające, w całości lub w części,w zależności od przypadku, prawo dostępu podmiotu danych o ile w zakresie i przez okres, w którym takie częściowe lub całkowite ograniczenie stanowi bezwzględnie konieczny i proporcjonalny środek w demokratycznym społeczeństwie, przy należytym uwzględnieniu słusznych praw podstawowych i uzasadnionych interesów danej osoby:

a)  aby zapobiec utrudnianiu urzędowych lub innych prawnych dochodzeń, śledztw lub procedur;

b)  aby zapobiec negatywnemu wpływowi na zapobieganie przestępstwom, wykrywanie ich, prowadzenie dochodzeń w ich sprawie i ich ściganie lub wykonywanie kar kryminalnych;

c)  aby chronić bezpieczeństwo publiczne;

d)  aby chronić bezpieczeństwo narodowe;

e)  aby chronić prawa i wolności innych osób.

2.  Państwa członkowskie stanowią przepisy przewidujące, że administrator dokonuje oceny, w każdym konkretnym przypadku, za pośrednictwem konkretnego i indywidualnego badania, czy zastosowanie ma częściowe lub całkowite ograniczenie ze względu na jeden z powodów, o których mowa w ust. 1. Państwa członkowskie mogą także ustalić przepisami prawa kategorie przetwarzania danych, które mogą zostać objęte w całości lub części wyjątkami przewidzianymi w ust. 1 lit. a)–d).

3.  W przypadkach, o których mowa w ust. 1 i 2, państwa członkowskie stanowią przepisy przewidujące, że administrator bez zbędnej zwłoki informuje podmiot danych, na piśmie o wszelkich odmowach lub ograniczeniu dostępu, o przyczynach odmowy wraz z umotywowanym wyjaśnieniem oraz o możliwości złożenia skargi do organu nadzorczego i wystąpienia o sądowy środek ochrony prawnej. Można nie podawać informacji o faktycznych i prawnych przyczynach wydania decyzji jeżeli ich udzielenie utrudniłoby realizację celu wynikającego z ust. 1.

4.  Państwa członkowskie zapewniają dopilnowują, by administrator dokumentował ocenę, o której mowa w ust. 2, a także przyczyny nieprzekazania ograniczenia informacji o faktycznych lub prawnych przyczynach wydania decyzji. Powyższe informacje udostępnia się krajowym organom nadzorczym. [Popr. 76]

Artykuł 14

Tryby korzystania z prawa do dostępu

1.  Państwa członkowskie stanowią przepisy przewidujące że podmiot danych, ma w każdym momencie prawo do zwrócenia się, w szczególności w przypadkach, o których mowa w art.  12 i 13, do organu nadzorczego o sprawdzenie zgodności z prawem przetwarzania.

2.  Państwa członkowskie stanowią, że administrator informuje podmiot danych o prawie od zwrócenia się do organu nadzorczego o interwencję na mocy ust. 1.

3.  W przypadku skorzystania z prawa, o którym mowa w ust. 1, organ nadzorczy informuje podmiot danych przynajmniej o dokonaniu przez ten organ wszystkich niezbędnych weryfikacji oraz o ich wynikach w odniesieniu do zgodności z prawem danej operacji przetwarzania. Organ nadzorczy informuje także podmiot danych o jego prawie do uzyskania sądowych środków ochrony prawnej.

3a.  Państwa członkowskie mogą ustanowić przepisy przewidujące, że podmiot danych może dochodzić swoich praw bezpośrednio u administratora danych lub za pośrednictwem właściwego organu nadzorczego.

3b.  Państwa członkowskie zapewniają istnienie rozsądnych terminów rozpatrzenia przez administratora danych wniosku podmiotu danych dotyczącego skorzystania przez niego z prawa dostępu. [Popr. 77]

Artykuł 15

Prawo do poprawienia lub uzupełnienia

1.  Państwa członkowskie stanowią przepisy przewidujące, że podmiot danych, ma prawo do uzyskania od administratora poprawienia lub uzupełnienia niedokładnych lub niepełnych danych osobowych, które go dotyczą. Podmiot danych, ma prawo do uzyskania uzupełnienia niekompletnych danych osobowych, w szczególności w drodze uzupełnienia lub sprostowania.

2.  Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje podmiot danych, na piśmie, o wszelkich odmowach poprawienia lub uzupełnienia danych, o przyczynach odmowy oraz wraz z umotywowanym wyjaśnieniem oraz o możliwości złożenia skargi do organu nadzorczego i wystąpienia o sądowy środek ochrony prawnej.

2a.  Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje o wszelkich operacjach poprawienia każdego odbiorcę, któremu ujawniono dane, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

2b.  Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje o poprawieniu niedokładnych danych osobowych stronę trzecią, od której pochodzą niedokładne dane.

2c.  Państwa członkowskie stanowią przepisy przewidujące, że podmiot danych może dochodzić swoich praw również za pośrednictwem właściwego organu nadzorczego. [Popr. 78]

Artykuł 16

Prawo do usunięcia

1.  Państwa członkowskie stanowią przepisy przewidujące, że podmiot danych ma prawo uzyskania od administratora usunięcia danych osobowych odnoszących się do niego, które go dotyczą, jeżeli przetwarzanie jest niezgodne z przepisami przyjętymi na mocy art. 4 lit. a)-e), art. 7 i 8 , 6 i 7–8 niniejszej dyrektywy.

2.  Administrator usuwa dane niezwłocznie. Administrator powstrzymuje się również od dalszego rozpowszechniania takich danych.

3.  Zamiast usunąć je, administrator oznacza dane osobowe ogranicza przetwarzanie danych osobowych, jeżeli:

a)  podmiot danych kwestionuje ich dokładność, przez okres pozwalający administratorowi danych na sprawdzenie dokładności danych; lub

b)  dane osobowe muszą być zachowane do celów dowodowych; lub w celu ochrony żywotnych interesów podmiotu danych lub innej osoby.

c)  podmiot danych sprzeciwia się ich usunięciu, występując w zamian o ograniczenie ich używania.

3a.  Jeżeli przetwarzanie danych osobowych jest ograniczone na mocy ust. 3, administrator informuje podmiot danych przed zniesieniem ograniczenia dotyczącego przetwarzania.

4.  Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje podmiot danych, na piśmie o wszelkich odmowach usunięcia lub oznaczenia ograniczenia przetwarzania danych wraz z umotywowanym wyjaśnieniem, o przyczynach odmowy oraz o możliwości złożenia skargi do organu nadzorczego i wystąpienia o sądowy środek ochrony prawnej.

4a.  Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje odbiorców, którym te dane zostały przesłane, o wszelkich operacjach usunięcia lub ograniczenia przetwarzania dokonanych zgodnie z ust. 1, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje podmiot danych o tych osobach trzecich.

4b.  Państwa członkowskie mogą ustanowić przepisy przewidujące, że podmiot danych może dochodzić swoich praw bezpośrednio u administratora danych lub za pośrednictwem właściwego organu nadzorczego. [Popr. 79]

Artykuł 17

Prawa podmiotu danych w dochodzeniu i postępowaniu karnym

Państwa członkowskie mogą ustanowić przepisy przewidujące, że prawa do informacji, dostępu, poprawienia, usunięcia i ograniczenia przetwarzania, o których mowa w art. 11-16 wykonywane są zgodnie z krajowymi przepisami postępowania karnego, jeżeli dane osobowe zawarte są w orzeczeniu lub protokole sądowym przetwarzanym w toku dochodzenia i postępowania karnego.

ROZDZIAŁ IV

ADMINISTRATOR I PODMIOT PRZETWARZAJĄCY

SEKCJA 1

OBOWIĄZKI OGÓLNE

Artykuł 18

Odpowiedzialność administratora

1.  Państwa członkowskie stanowią przepisy przewidujące, że administrator przyjmuje polityki i realizuje odpowiednie środki w celu zapewnienia i wykazania w przejrzysty sposób w przypadku każdej operacji przetwarzania, by że przetwarzanie danych osobowych odbywało odbywa się zgodnie z przepisami przyjętymi na mocy niniejszej dyrektywy, zarówno podczas ustalania środków niezbędnych do przetwarzania, jak i w trakcie samego przetwarzania.

2.  Środki, o których mowa w ust. 1 obejmują w szczególności:

a)  prowadzenie dokumentacji, o której mowa w art. 23;

aa)  przeprowadzanie oceny skutków w zakresie ochrony danych zgodnie z art. 25a;

b)  spełnianie wymogu wcześniejszej konsultacji wynikającego z art. 26;

c)  realizację wymogów bezpieczeństwa danych ustanowionych w art. 27;

d)  wyznaczenie inspektora ochrony danych na mocy art. 30;

da)  w stosownych przypadkach, opracowanie i wdrożenie szczególnych gwarancji w odniesieniu do postępowania z danymi osobowymi dotyczącymi dzieci.

3.  Administrator wdraża mechanizmy służące zapewnieniu weryfikacji adekwatności i skuteczności środków, o których mowa w ust. 1 niniejszego artykułu. Jeżeli jest to proporcjonalne, weryfikacja ta prowadzona jest przez niezależnych wewnętrznych lub zewnętrznych audytorów. [Popr. 80]

Artykuł 19

Uwzględnienie ochrony danych już w fazie projektowania oraz ochrona danych jako opcja domyślna

1.  Państwa członkowskie stanowią przepisy przewidujące, że administrator i ewentualny podmiot przetwarzający, zarówno podczas ustalania celów i środków niezbędnych do przetwarzania, jak i w trakcie samego przetwarzania, wdraża odpowiednie i proporcjonalne środki i procedury techniczne i organizacyjne, uwzględniając najnowsze osiągnięcia techniczne, aktualną wiedzę techniczną, najlepsze praktyki na szczeblu międzynarodowym oraz koszty wdrożenia ryzyko, jakie stwarza przetwarzanie danych, tak by przetwarzanie odpowiadało wymogom przepisów przyjętych na mocy niniejszej dyrektywy oraz gwarantowało ochronę praw osób, których dane dotyczą podmiotów danych, zwłaszcza w odniesieniu do zasad określonych w art. 4. Ochrona danych już w fazie projektowania powinna w szczególności uwzględniać cały cykl zarządzania danymi osobowymi od ich zebrania, przez przetwarzanie, do ich usunięcia, systematycznie koncentrując się na całościowych zabezpieczeniach proceduralnych odnoszących się do dokładności, poufności, integralności, bezpieczeństwa fizycznego i usunięcia danych osobowych. Jeśli administrator przeprowadził ocenę skutków w zakresie ochrony danych zgodnie z art. 25a, jej wyniki uwzględnia się przy opracowywaniu wspomnianych środków i procedur.

2.  Kontroler wdraża mechanizmy służące zapewnieniu Administrator dopilnowuje, by domyślnie przetwarzane były jedynie te dane osobowe, które są niezbędne do realizacji każdego konkretnego celu przetwarzania oraz by w szczególności nie były one zbierane, zatrzymywane lub rozpowszechniane dłużej niż przez okres niezbędny do realizacji tych celów przetwarzania , zarówno jeśli chodzi o ilość danych, jak i o okres ich przechowywania. Mechanizmy te zapewniają w szczególności, by dane osobowe nie były domyślnie udostępniane nieograniczonej liczbie osób oraz by podmioty danych były w stanie kontrolować rozpowszechnianie swoich danych osobowych. [Popr. 81]

Artykuł 20

Współadministratorzy

1.  Państwa członkowskie stanowią przepisy przewidujące, że gdy administrator określa cele i środki przetwarzania danych osobowych wspólnie z innymi administratorami, współadministratorzy ustalają zakres odpowiedzialności za zgodność z obowiązkami wynikającymi z niniejszego rozporządzenia spoczywającej na każdym z nich, w szczególności w odniesieniu do procedur i mechanizmów wykonywania praw podmiotu danych w drodze wspólnych prawnie wiążących uzgodnień.

2.  O ile podmiot danych nie został poinformowany o tym, który ze współadministratorów jest odpowiedzialny zgodnie z ust. 1, podmiot danych może skorzystać ze swoich praw na mocy niniejszej dyrektywy wobec każdego spośród dwóch lub większej liczby współadministratorów. [Popr. 82]

Artykuł 21

Podmiot przetwarzający

1.  Państwa członkowskie stanowią przepisy przewidujące, że gdy przetwarzanie realizowane jest w imieniu administratora, administrator musi wybrać wybiera podmiot przetwarzający dający wystarczające gwarancje wdrożenia odpowiednich środków i procedur technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom przepisów przyjętych na mocy niniejszej dyrektywy oraz gwarantowało ochronę praw osób, których dane dotyczą podmiotów danych, w szczególności jeśli chodzi o techniczne środki bezpieczeństwa i środki organizacyjne regulujące przetwarzanie, które ma być prowadzone, oraz w celu zapewnienia zgodności z tym środkami.

2.  Państwa członkowskie stanowią przepisy przewidujące, że przetwarzanie przez podmiot przetwarzający musi być regulowane umową lub aktem prawnym wiążącym podmiot przetwarzający z administratorem i zawierającym w szczególności zapis, że podmiot przetwarzający działa wyłącznie na polecenie administratora, w szczególności gdy przekazywanie danych osobowych jest zakazane. :

a)  działa wyłącznie na polecenie administratora;

b)  zatrudnia wyłącznie personel, który zgodził się na podleganie obowiązkowi zachowania poufności lub na którym spoczywa ustawowy obowiązek zachowania poufności;

c)  podejmuje wszelkie wymagane środki na mocy art. 27;

d)  angażuje inny podmiot przetwarzający wyłącznie za zgodą administratora i w związku z tym informuje go o zamiarze zaangażowania innego podmiotu przetwarzającego z odpowiednim wyprzedzeniem, aby administrator miał możliwość wyrażenia swojego sprzeciwu;

e)  o ile to możliwe ze względu na charakter przetwarzania, przyjmuje w porozumieniu z administratorem niezbędne techniczne i organizacyjne środki służące wywiązaniu się przez administratora ze spoczywającego na nim obowiązku rozpatrzenia wniosków dotyczących skorzystania przez podmiot danych z praw ustanowionych w rozdziale III;

f)  pomaga administratorowi zapewnić zgodność z obowiązkami określonymi w art. 25a–29;

g)  po zakończeniu przetwarzania zwraca wszystkie wyniki administratorowi i nie przetwarza w żaden inny sposób danych osobowych oraz usuwa istniejące kopie, chyba że prawo Unii lub państwa członkowskiego wymaga ich przechowywania;

h)  udostępnia administratorowi i organowi nadzorczemu wszelkie informacje niezbędne do weryfikacji zgodności z obowiązkami określonymi w niniejszym artykule;

i)  uwzględnia zasadę ochrony danych już w fazie projektowania oraz jako opcji domyślnej.

2a.  Administrator i podmiot przetwarzający sporządzają pisemną dokumentację zaleceń administratora i obowiązków podmiotu przetwarzającego, o których mowa w ust. 2.

3.  Jeśli podmiot przetwarzający przetwarza dane osobowe inne, niż te, których przetwarzanie zlecił administrator, podmiot przetwarzający jest uważany za administratora w zakresie tego przetwarzania i podlega przepisom dotyczącym współadministratorów ustanowionym w art. 20. [Popr. 83]

Artykuł 22

Przetwarzanie z upoważnienia administratora i podmiotu przetwarzającego

1.   Państwa członkowskie stanowią przepisy przewidujące, że podmiot przetwarzający oraz wszelkie osoby działające z upoważnienia administratora lub podmiotu przetwarzającego, które mają dostęp do danych osobowych, mogą je przetwarzać tylko na polecenie administratora, lub gdy wymaga tego prawo Unii lub państwa członkowskiego.

1a.  Jeżeli podmiot przetwarzający jest lub staje się stroną określającą cele, środki lub metody przetwarzania danych albo nie działa wyłącznie na polecenie administratora, uważa się go za współadministratora na mocy art. 20. [Popr. 84]

Artykuł 23

Dokumentacja

1.  Państwa członkowskie przyjmują stanowią przepisy przewidujące, że każdy administrator i podmiot przetwarzający prowadzą dokumentację wszystkich systemów i procedur przetwarzania, za które są odpowiedzialni.

2.  Dokumentacja zawiera przynajmniej następujące informacje na temat:

a)  imienia i nazwiska/nazwy imię i nazwisko/nazwę oraz oraz danych kontaktowych a dane kontaktowe dministratora lub współadministratora albo podmiotu przetwarzającego;

aa)  w przypadku istnienia współadministratorów – prawnie wiążących uzgodnień; wykaz podmiotów przetwarzających i prowadzonych przez nie działań;

b)  celów cele przetwarzania;

ba)  wskazanie części struktury organizacyjnej administratora lub podmiotu przetwarzającego, którym powierzono przetwarzanie danych osobowych dla realizacji konkretnego celu;

bb)  opis jednej lub kilku kategorii podmiotów danych oraz danych lub kategorii danych z nimi związanych;

c)  odbiorcy lub kategorie odbiorców lub kategorii odbiorców danych osobowych;

ca)  w stosownych przypadkach – informacje o istnieniu profilowania, środków opartych na profilowaniu oraz mechanizmów sprzeciwu wobec profilowania;

cb)  zrozumiałe informacje o zasadach rządzących wszelkimi operacjami automatycznego przetwarzania;

d)  przekazywania przekazywanie danych do państw trzecich lub organizacji międzynarodowej, łącznie z określeniem tego państwa trzeciego lub organizacji międzynarodowej, oraz przepisy stanowiące podstawę prawną przekazywania danych; w przypadku, gdy przekazywanie odbywa się na podstawie art. 35 lub 36 niniejszej dyrektywy, udziela się merytorycznego wyjaśnienia;

da)  terminy usunięcia różnych kategorii danych;

db)  wyniki weryfikacji środków, o których mowa w art. 18 ust. 1;

dc)  wskazanie podstawy prawnej operacji przetwarzania, dla której dane są przeznaczone.

3.  Administrator i podmiot przetwarzający udostępniają dokumentację, na żądanie, całą dokumentację organowi nadzorczemu. [Popr. 85]

Artykuł 24

Prowadzenie ewidencji

1.  Państwa członkowskie zapewniają ewidencjonowanie przynajmniej następujących operacji przetwarzania: zbieranie, zmiana, wgląd, ujawnianie, łączenie i usuwanie. W ewidencji uzyskiwania wglądu i ujawniania podaje się w szczególności cel, datę i godzinę takich operacji oraz, w możliwym zakresie, oznaczenie osoby, która uzyskała wgląd do danych osobowych lub ujawniła je, a także tożsamość odbiorców takich danych.

2.  Ewidencja wykorzystywana jest wyłącznie w celu weryfikacji zgodności z prawem przetwarzania danych, monitorowania własnej działalności oraz zagwarantowania integralności i bezpieczeństwa danych lub w celu kontroli przeprowadzanej przez inspektora ochrony danych lub przez organ ds. ochrony danych.

2a.  Administrator i podmiot przetwarzający udostępniają ewidencję organowi nadzorczemu na żądanie. [Popr. 86]

Artykuł 25

Współpraca z organem nadzorczym

1.  Przepisy państw członkowskich przewidują, że administrator i podmiot przetwarzający na żądanie organu nadzorczego współpracują z nim w wykonywaniu jego obowiązków, w szczególności poprzez dostarczanie wszelkich informacji potrzebnych organowi nadzorczemu do wykonywania jego obowiązków , o których mowa w art. 46 ust. 2 lit. a), oraz poprzez przyznanie dostępu zgodnie z art. 46 ust. 2 lit. b).

2.  Administrator i podmiot przetwarzający udzielają odpowiedzi na zapytanie organu nadzorczego wykonującego uprawnienia przekazane mu na podstawie art. 46 ust. 1 lit. a) i b) w rozsądnym terminie określonym przez ten organ. Odpowiedź na uwagi organu nadzorczego zawiera opis podjętych środków i osiągniętych rezultatów. [Popr. 87]

Artykuł 25a

Ocena skutków w zakresie ochrony danych

1.  Państwa członkowskie stanowią przepisy przewidujące, że w przypadku, gdy operacje przetwarzania – z racji swego charakteru, zakresu lub celów – mogą stwarzać szczególne ryzyko dla praw i wolności podmiotów danych administrator lub podmiot przetwarzający działający w imieniu administratora przeprowadził ocenę skutków zamierzonych systemów i procedur przetwarzania dla ochrony danych osobowych przed przystąpieniem do nowych operacji przetwarzania lub najwcześniej, jak to możliwe, w przypadku istniejących operacji przetwarzania.

2.  Szczególne ryzyko, o którym mowa w ust. 1, mogą stwarzać w szczególności następujące operacje przetwarzania:

a)  przetwarzanie danych osobowych w wielkoskalowych zbiorach danych na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych;

b)  przetwarzanie szczególnych kategorii danych osobowych, o których mowa w art. 8, danych osobowych dotyczących dzieci, a także danych biometrycznych na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych;

c)  ocena indywidualnych aspektów osoby fizycznej bądź analizowanie lub przewidywanie w szczególności zachowania osoby fizycznej, które opierają się na automatycznym przetwarzaniu i z których mogą wynikać środki wywołujące skutki prawne dotyczące danej osoby lub mające na nią istotny wpływ;

d)  monitorowanie publicznie dostępnych miejsc, zwłaszcza z wykorzystaniem urządzeń optyczno-elektronicznych (wideonadzór); lub

e)  inne operacje przetwarzania, które na mocy art. 26 ust. 1 wymagają konsultacji z organem nadzorczym.

3.  Ocena obejmuje przynajmniej:

a)  systematyczny opis zamierzonych operacji przetwarzania;

b)  ocenę konieczności operacji przetwarzania i ich proporcjonalności w stosunku do celów;

c)  ocenę ryzyka dla praw i wolności podmiotów danych oraz środki przewidywane w celu zaradzenia temu ryzyku i zminimalizowania ilości przetwarzanych danych osobowych;

d)  środki i mechanizmy bezpieczeństwa mające zagwarantować ochronę danych osobowych oraz wykazać zgodność z przepisami przyjętymi na mocy niniejszej dyrektywy, z uwzględnieniem praw i uzasadnionych interesów podmiotów danych i innych zainteresowanych osób;

e)  ogólne wskazanie terminów usunięcia różnych kategorii danych;

f)  w stosownych przypadkach, wykaz zamierzonych przypadków przekazania danych do państw trzecich lub organizacji międzynarodowych, wraz z identyfikacją tych państw trzecich lub tych organizacji międzynarodowych, oraz – w razie przypadków przekazania, o których mowa w art. 36 ust. 2, dokumentację dotyczącą odpowiednich gwarancji.

4.  Jeżeli administrator lub podmiot przetwarzający wyznaczył inspektora ochrony danych, angażuje się go w procedurę oceny skutków.

5.  Państwa członkowskie stanowią przepisy przewidujące, że administrator przeprowadza konsultacje społeczne dotyczące zamierzonego przetwarzania, bez uszczerbku dla ochrony interesu publicznego lub bezpieczeństwa operacji przetwarzania.

6.  Bez uszczerbku dla ochrony interesu publicznego lub bezpieczeństwa operacji przetwarzania, ocenę udostępnia się obywatelom w przystępny sposób.

7.  Komisja jest uprawniona do przyjęcia, po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, aktów delegowanych zgodnie z art. 56 w celu dalszego doprecyzowania kryteriów i warunków operacji przetwarzania mogących stwarzać szczególne ryzyko, o którym mowa w ust. 1 i 2, oraz wymogów w zakresie oceny, o których mowa w ust. 3, w tym warunków skalowalności, weryfikowalności i sprawdzenia. [Popr. 88]

Artykuł 26

Uprzednia konsultacja z organem nadzorczym

1.  Państwa członkowskie zapewniają, by – przed przetworzeniem danych osobowych, które będą stanowić część mającego powstać nowego zbioru danych – administrator lub podmiot przetwarzający przeprowadzili konsultacje z organem nadzorczym w celu zapewnienia zgodności zamierzonego przetwarzania z przepisami przyjętymi na mocy niniejszej dyrektywy, a w szczególności w celu złagodzenia związanego z tym ryzyka dla podmiotów danych, jeżeli:

a)  przetwarzane mają być szczególne kategorie ocena skutków w zakresie ochrony danych, o których mowa przewidziana w art. 8 25a wskazuje, że operacje przetwarzania danych mogą, ze względu na swój charakter, zakres lub cele, wiązać się z wysokim poziomem szczególnego ryzyka; lub;

b)  rodzaj organ nadzorczy uzna za niezbędne przeprowadzenie uprzedniej konsultacji w sprawie konkretnych operacji przetwarzania, w szczególności stosowanie nowych technologii, mechanizmów lub procedur, niesie ze sobą w innym przypadku mogących stwarzać szczególne ryzyko dla podstawowych praw i wolności podmiotu podmiotów danych, a zwłaszcza ochrony danych osobowych ze względu na swój charakter, zakres lub cele.

1a.  Jeśli organ nadzorczy ustali zgodnie ze swoimi uprawnieniami, że zamierzone przetwarzanie nie jest zgodne z przepisami przyjętymi na mocy niniejszej dyrektywy, w szczególności jeśli ryzyko nie zostało dostatecznie zidentyfikowane lub złagodzone, organ ten zakazuje zamierzonego przetwarzania i występuje z odpowiednimi propozycjami mającymi na celu zaradzenie brakowi zgodności.

2.  Państwa członkowskie mogą ustanowić stanowią przepisy przewidujące, że organ nadzorczy po zasięgnięciu opinii Europejskiej Rady Ochrony Danych ustanawia wykaz operacji przetwarzania, w przypadku których wymagana jest wcześniejsza konsultacja na mocy ust. 1 lit. b).

2a.  Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający przekazuje organowi nadzorczemu ocenę skutków w zakresie ochrony danych zgodnie z art. 25a oraz, na żądanie, wszelkie inne informacje mogące umożliwić organowi nadzorczemu ocenę zgodności przetwarzania, a w szczególności ryzyka dla ochrony danych osobowych podmiotu danych oraz powiązanych gwarancji.

2b.  Jeśli w opinii organu nadzorczego zamierzone przetwarzanie nie jest zgodne z przepisami przyjętymi na mocy niniejszej dyrektywy lub jeśli ryzyko nie zostało dostatecznie zidentyfikowane lub złagodzone, organ ten występuje z odpowiednimi propozycjami mającymi na celu zaradzenie brakowi zgodności.

2c.  Państwa członkowskie mogą przeprowadzać konsultacje z organem nadzorczym w toku przygotowywania środka ustawodawczego, który miałby być przyjęty przez parlament narodowy, lub opartego na tym środku ustawodawczym środka, który definiuje charakter przetwarzania, by zapewnić zgodność zamierzonego przetwarzania z niniejszą dyrektywą, w szczególności by złagodzić ryzyko dla podmiotów danych. [Popr. 89]

SEKCJA 2

BEZPIECZEŃSTWO DANYCH

Artykuł 27

Bezpieczeństwo przetwarzania

1.  Państwa członkowskie stanowią przepisy przewidujące, że administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne oraz procedury, by zapewnić poziom bezpieczeństwa stosowny do ryzyk związanych ryzyka związanego z przetwarzaniem oraz charakterem danych osobowych, które należy chronić, uwzględniając najnowsze osiągnięcia techniczne oraz koszty ich wprowadzenia.

2.  W odniesieniu do automatycznego przetwarzania danych każde państwo członkowskie stanowi przepisy przewidujące, że administrator lub podmiot przetwarzający, po ocenie ryzyk, wdraża środki służące:

a)  uniemożliwieniu osobom nieupoważnionym dostępu do sprzętu używanego do przetwarzania danych osobowych (kontrola dostępu do sprzętu);

b)  zapobieżenia nieupoważnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników danych (kontrola nośników danych);

c)  zapobieżeniu nieupoważnionemu wprowadzaniu danych oraz nieupoważnionemu kontrolowaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych (kontrola przechowywania);

d)  uniemożliwienia korzystania z systemów automatycznego przetwarzania danych przez osoby nieuprawnione, używające sprzętu do przekazywania danych (kontrola użytkowników);

e)  zapewnieniu, aby osoby uprawnione do korzystania z systemu automatycznego przetwarzania danych miały dostęp wyłącznie do danych objętych posiadanym przez siebie upoważnieniem (kontrola dostępu do danych);

f)  zapewnieniu możliwości zweryfikowania i stwierdzenia, jakim organom dane osobowe zostały lub mogą zostać przesłane lub udostępnione za pomocą sprzętu do przekazywania danych (kontrola przesyłania danych);

g)  zapewnieniu możliwości następczego zweryfikowania i stwierdzenia, jakie dane osobowe zostały wprowadzone do systemów automatycznego przetwarzania danych, kiedy i przez kogo (kontrola wprowadzania danych);

h)  przeciwdziałaniu nieautoryzowanemu odczytowi, kopiowaniu, modyfikowaniu lub usuwaniu danych osobowych podczas przekazywania danych osobowych lub podczas przenoszenia nośników danych (kontrola transportu);

i)  zapewnieniu możliwości przywrócenia zainstalowanego systemu w przypadku awarii (przywracalność);

j)  zapewnieniu wykonywania przez system swoich funkcji i zgłaszania występujących w nich błędów (niezawodność) oraz zapobieżeniu uszkodzeniom przechowywanych danych spowodowanym błędnym działaniem systemu (integralność);

ja)  dopilnowaniu, by w przypadku przetwarzania szczególnie wrażliwych danych osobowych zgodnie z art. 8, zostały podjęte dodatkowe środki bezpieczeństwa, aby zagwarantować sytuacyjną świadomość ryzyka i zdolność podejmowania działań prewencyjnych, naprawczych i łagodzących jego skutki w czasie zbliżonym do rzeczywistego wobec wykrytych słabych punktów oraz incydentów, które mogłyby stanowić zagrożenie dla danych.

2a.  Państwa członkowskie stanowią przepisy przewidujące, że podmioty przetwarzające mogą zostać wyznaczone wyłącznie pod warunkiem, że gwarantują stosowanie wymaganych środków technicznych i organizacyjnych zgodnie z ust. 1 oraz przestrzegają zasad określonych w art. 21 ust. 2 lit. a). Właściwy organ sprawuje nadzór nad podmiotem przetwarzającym w tym względzie.

3.  Komisja może przyjąć, w razie potrzeby, akty wykonawcze mające na celu sprecyzowanie wymogów ustanowionych w ust. 1 i 2 obowiązujących w różnych sytuacjach, w szczególności standardów szyfrowania. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 57 ust. 2. [Popr. 90]

Artykuł 28

Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu

1.  Państwa członkowskie stanowią przepisy przewidujące, że w przypadku naruszenia ochrony danych osobowych, administrator zgłasza organowi nadzorczemu takie naruszenie bez nieuzasadnionej zbędnej zwłoki i, w jeśli to możliwe, nie później niż w ciągu 24 godzin od momentu dowiedzenia się o tym naruszeniu. W razie jakiejkolwiek zwłoki na żądanie organu nadzorczego administrator dostarcza umotywowane wyjaśnienie w przypadkach, w których zgłoszenie nie zostało przekazane w ciągu 24 godzin.

2.  Podmiot przetwarzający bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony danych osobowych ostrzega i informuje administratora niezwłocznie po uzyskaniu wiadomości o naruszeniu ochrony danych osobowych.

3.  Zgłoszenie, o którym mowa w ust. 1, zawiera co najmniej:

a)  opis charakteru naruszenia ochrony danych osobowych, w tym kategorie i liczbę zainteresowanych podmiotów danych oraz kategorie i liczbę rekordów danych, których dotyczy naruszenie;

b)  imię i nazwisko oraz dane kontaktowe inspektora ochrony danych, o którym mowa w art. 30, lub innego punktu kontaktowego, w którym można uzyskać więcej informacji;

c)  zalecenia dotyczące środków mające na celu zmniejszenie ewentualnych negatywnych skutków naruszenia ochrony danych osobowych;

d)  opis potencjalnych konsekwencji naruszenia ochrony danych osobowych;

e)  opis środków proponowanych lub podjętych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych i złagodzenia jego skutków.

W razie, gdy wszystkie informacje nie mogą być przekazane bez zbędnej zwłoki, administrator może dokonać zgłoszenia w drugiej kolejności.

4.  Państwa członkowskie stanowią przepisy przewidujące, że administrator sporządza dokumentację dotyczącą wszelkich naruszeń ochrony danych osobowych, obejmującą okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi być wystarczająca, aby umożliwiać organowi nadzorczemu sprawdzenie zgodności z niniejszym artykułem. Dokumentacja zawiera wyłącznie informacje niezbędne do realizacji powyższego celu.

4a.  Organ nadzorczy prowadzi publiczny rejestr rodzajów zgłoszonych naruszeń.

5.  Komisja jest uprawniona, po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, do przyjmowania przyjęcia aktów delegowanych zgodnie z art. 56 w celu doprecyzowania kryteriów i wymogów dotyczących stwierdzenia naruszenia ochrony danych osobowych, o którym mowa w ust. 1 i 2, oraz szczególnych okoliczności, w których administrator i podmiot przetwarzający mają obowiązek zawiadomić o naruszeniu ochrony danych osobowych.

6.  Komisja może ustanowić standardowe formularze zawiadomienia przekazywanego organowi nadzorczemu, procedury mające zastosowanie do wymogu zawiadomienia, a także formę i sposób prowadzenia dokumentacji, o której mowa w art. 4, w tym terminy usuwania zawartych w niej informacji. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 57 ust. 2. [Popr. 91]

Artykuł 29

Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych

1.  Państwa członkowskie stanowią przepisy przewidujące, że gdy istnieje prawdopodobieństwo, że iż naruszenie ochrony danych osobowych może niekorzystnie wpłynąć na ochronę danych osobowych, prywatność, prawa lub prywatność osoby uzasadnione interesy podmiotu danych, administrator, po dokonaniu zawiadomienia zgłoszenia, o którym mowa w art. 28, bez nieuzasadnionej zbędnej zwłoki informuje podmiot danych o naruszeniu ochrony danych osobowych.

2.  Zawiadomienie przekazane podmiotowi danych, o którym mowa w ust. 1 musi być wyczerpujące oraz zredagowane jasnym i prostym językiem. Opisuje ono charakter naruszenia ochrony danych osobowych i zawiera przynajmniej informacje i zalecenia, o których mowa w art. 28 ust. 3 lit. b) i, c) i d), oraz zawiera informację o prawach podmiotu danych, w tym o środkach ochrony prawnej.

3.  Zawiadomienie o naruszeniu ochrony danych osobowych nie jest wymagane, jeśli administrator wykaże, zgodnie z wymogami organu nadzorczego, że wdrożył odpowiednie technologiczne środki ochrony oraz że środki te zostały zastosowane do danych, których dotyczyło naruszenie ochrony danych osobowych. Tego rodzaju technologiczne środki ochrony sprawiają, że dane stają się nieczytelne dla każdego, kto nie jest uprawniony do dostępu do nich.

3a.  Bez uszczerbku dla obowiązku administratora w zakresie zawiadomienia podmiotu danych o naruszeniu ochrony danych osobowych, jeśli administrator nie zawiadomił wcześniej podmiotu danych o naruszeniu ochrony danych osobowych, organ nadzorczy może tego od niego zażądać po stwierdzeniu możliwości wystąpienia niekorzystnych skutków naruszenia.

4.  Zawiadomienie podmiotu danych może zostać opóźnione, lub ograniczone lub zaniechane z przyczyn, o których mowa w art. 11 ust. 4. [Popr. 92]

SEKCJA 3

INSPEKTOR OCHRONY DANYCH

Artykuł 30

Wyznaczenie inspektora ochrony danych

1.  Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający wyznaczają inspektora ochrony danych.

2.  Inspektor ochrony danych wyznaczany jest na podstawie kwalifikacji zawodowych, a w szczególności specjalistycznej wiedzy na temat przepisów i praktyk w zakresie ochrony danych, jak również zdolność do pełnienia zadań, o których mowa w art. 32. Niezbędny poziom wiedzy specjalistycznej ustala się w szczególności zgodnie z prowadzonym przetwarzaniem danych oraz ochroną wymaganą dla danych osobowych przetwarzanych przez administratora lub podmiot przetwarzający.

2a.  Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający dopilnowuje, by inne obowiązki zawodowe inspektora ochrony danych były zgodne z zadaniami i obowiązkami tej osoby jako inspektora ochrony danych i by nie skutkowały one konfliktem interesów.

2b.  Inspektor ochrony danych wyznaczany jest na okres co najmniej czterech lat. Inspektor ochrony danych może być powoływany na kolejne kadencje. Inspektora ochrony danych można odwołać z pełnienia tej funkcji w czasie trwania kadencji jedynie wówczas, gdy przestanie on spełniać warunki niezbędne do pełnienia przez niego obowiązków.

2c.  Państwa członkowskie stanowią przepisy przyznające podmiotowi danych prawo kontaktowania się z inspektorem ochrony danych we wszystkich kwestiach związanych z przetwarzaniem danych osobowych tego podmiotu.

3.  Inspektor ochrony danych może być wyznaczony dla szeregu jednostek organizacyjnych, przy uwzględnieniu struktury organizacyjnej właściwego organu.

3a.  Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający podaje organowi nadzorczemu oraz do wiadomości publicznej imię i nazwisko oraz dane kontaktowe inspektora ochrony danych. [Popr. 93]

Artykuł 31

Status inspektora ochrony danych

1.  Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający dopilnowują, by inspektor ochrony danych był właściwie i terminowo włączany we wszystkie kwestie dotyczące ochrony danych osobowych.

2.  Administrator i podmiot przetwarzający dopilnowują, by inspektorowi ochrony danych dostarczono środki umożliwiające wykonywanie spoczywających na nim obowiązków i zadań, o których mowa w art. 32, skutecznie i niezależnie i nie otrzymywał on żadnych instrukcji dotyczących pełnienia swojej funkcji.

2a.  Administrator lub podmiot przetwarzający wspiera inspektora ochrony danych w pełnieniu przez niego obowiązków i zapewnia wszystkie środki, w tym personel, pomieszczenia, sprzęt, ustawiczne szkolenie zawodowe i wszelkie inne zasoby niezbędne do wykonywania obowiązków i zadań, o których mowa w art. 32, oraz do utrzymania poziomu jego wiedzy zawodowej. [Popr. 94]

Artykuł 32

Zadania inspektora ochrony danych

Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający powierzają inspektorowi ochrony danych przynajmniej poniższe zadania:

a)  podnoszenie świadomości, informowanie administratora lub podmiotu przetwarzającego o ich obowiązkach wynikających z przepisów przyjętych na mocy niniejszej dyrektywy, zwłaszcza w odniesieniu do środków o charakterze technicznym i organizacyjnym oraz do procedur, oraz dokumentowanie tej działalności i uzyskiwanych odpowiedzi;

b)  monitorowanie wykonania i stosowanie polityk w zakresie ochrony danych osobowych, w tym przydziału obowiązków, szkolenia personelu zaangażowanego w operacje przetwarzania oraz powiązane kontrole;

c)  monitorowanie wdrażania i stosowania przepisów przyjętych na mocy niniejszej dyrektywy, w szczególności jeśli chodzi o wymogi dotyczące uwzględnienia ochrony danych już w fazie projektowania, ochrony danych jako opcji domyślnej i bezpieczeństwa danych oraz informowania podmiotów danych a także ich wniosków składanych w ramach wykonywania praw przysługujących im mocy przepisów niniejszej dyrektywy;

d)  zapewnienie prowadzenia dokumentacji, o której mowa w art. 23;

e)  monitorowanie dokumentacji, zgłoszeń i zawiadomień dotyczących naruszeń ochrony danych osobowych na mocy art. 28 i 29;

f)  monitorowanie stosowania oceny skutków w zakresie ochrony danych przez administratora lub podmiot przetwarzający oraz stosowania przepisów dotyczących uprzedniej konsultacji z organem nadzorczym, jeśli jest ona wymagana na mocy art. 26 ust. 1;

g)  monitorowanie odpowiedzi na wnioski organów nadzorczych oraz, w ramach kompetencji inspektora ochrony danych, współpraca z organem nadzorczym na wniosek tego organu lub z inicjatywy inspektora ochrony danych;

h)  pełnienie funkcji pojedynczego punktu kontaktowego organu nadzorczego w kwestiach związanych z przetwarzaniem oraz zasięganie opinii organu nadzorczego, w razie potrzeby, z inicjatywy inspektora ochrony danych. [Popr. 95]

ROZDZIAŁ V

PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH LUB ORGANIZACJI MIĘDZYNARODOWYCH

Artykuł 33

Ogólne zasady przekazywania danych osobowych

Państwa członkowskie stanowią przepisy przewidujące, że wszelkie operacje przekazywania przez właściwe organy danych osobowych poddawanych przetwarzaniu lub mających być poddawane przetwarzaniu po przekazaniu do państwa trzeciego lub do organizacji międzynarodowej, w tym operacje wtórnego przekazywania do innych państw trzecich lub organizacji międzynarodowych, mogą mieć miejsce wyłącznie gdy:

a)  konkretne przekazanie jest konieczne do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo do wykonywania kar kryminalnych; oraz

aa)  dane przekazywane są administratorowi w państwie trzecim lub organizacji międzynarodowej będących organem publicznym właściwym do realizacji celów, o których mowa w art. 1 ust. 1; oraz

ab)  administrator i podmiot przetwarzający spełniają warunki określone w niniejszym rozdziale, w tym te dotyczące wtórnego przekazania danych osobowych z państwa trzeciego lub od organizacji międzynarodowej do innego państwa trzeciego lub innej organizacji międzynarodowej; oraz

b)  administrator i podmiot przetwarzający spełniają warunki ustanowione w niniejszym rozdziale. działają zgodnie z innymi przepisami przyjętymi na mocy niniejszej dyrektywy; oraz

ba)  nie jest zmniejszony poziom ochrony danych osobowych osób fizycznych gwarantowany w Unii na mocy niniejszej dyrektywy; oraz

bb)  Komisja wydała na podstawie warunków i procedury, o których mowa w art. 34, decyzję, w której uznała, że dane państwo trzecie lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony; lub

bc)  w prawnie wiążącym instrumencie, o którym mowa w art. 35, zapewniono odpowiednie gwarancje w zakresie ochrony danych osobowych.

Państwa członkowskie stanowią przepisy przewidujące, że operacje wtórnego przekazywania, o których mowa w akapicie pierwszym niniejszego artykułu, są dopuszczalne tylko wówczas, gdy oprócz spełnienia warunków określonych w tym akapicie:

a)  operacja wtórnego przekazania jest wymagana do tego samego konkretnego celu co początkowe przekazanie; oraz