(Zwykła procedura ustawodawcza: pierwsze czytanie)

Parlament Europejski,

–  uwzględniając wniosek Komisji przedstawiony Parlamentowi Europejskiemu i Radzie (COM(2012)0010),

–  uwzględniając art. 294 ust. 2 oraz art. 16 ust. 2 Traktatu o funkcjonowaniu Unii Europejskiej, zgodnie z którymi wniosek został przedstawiony Parlamentowi przez Komisję (C7‑0024/2012),

–  uwzględniając art. 294 ust. 3 Traktatu o funkcjonowaniu Unii Europejskiej,

–  uwzględniając uzasadnione opinie przedstawione – na mocy protokołu nr 2 w sprawie stosowania zasad pomocniczości i proporcjonalności – przez niemiecki Bundesrat i parlament Szwecji, w których stwierdzono, że projekt aktu ustawodawczego nie jest zgodny z zasadą pomocniczości,

–  uwzględniając opinię Europejskiego Inspektora Ochrony Danych z dnia 7 marca 2012 r.(1),

–  uwzględniając opinię Agencji Praw Podstawowych Unii Europejskiej z dnia 1 października 2012 r.,

–  uwzględniając art. 55 Regulaminu,

–  uwzględniając sprawozdanie Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych oraz opinię Komisji Prawnej (A7-0403/2013),

1.  przyjmuje poniższe stanowisko w pierwszym czytaniu;

2.  zwraca się do Komisji o ponowne przekazanie mu sprawy, jeśli uzna ona za stosowne wprowadzić znaczące zmiany do swojego wniosku lub zastąpić go innym tekstem;

3.  zobowiązuje swojego przewodniczącego do przekazania stanowiska Parlamentu Radzie i Komisji, a także parlamentom narodowym.

(1) Dz.U. C 192 z 30.6.2012, s. 7.

PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16 ust. 2,

uwzględniając wniosek Komisji Europejskiej,

po przekazaniu projektu aktu ustawodawczego parlamentom narodowym,

uwzględniając opinię Europejskiego Inspektora Ochrony Danych(1),

stanowiąc zgodnie ze zwykłą procedurą ustawodawczą(2),

a także mając na uwadze, co następuje:

(1)  Ochrona osób fizycznych w zakresie przetwarzania związku z przetwarzaniem danych osobowych jest prawem podstawowym jednym z praw podstawowych. Artykuł 8 ust. 1 Karty praw podstawowych Unii Europejskiej („Karta”) i art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej stanowią, iż każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Artykuł 8 ust. 2 Karty stanowi, że dane te muszą być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą. [Popr. 1]

(2)  Przetwarzanie danych osobowych ma służyć człowiekowi, zaś zasady i przepisy dotyczące ochrony osób fizycznych w odniesieniu do przetwarzania ich danych osobowych powinny, niezależnie od obywatelstwa czy miejsca zamieszkania osób fizycznych, respektować ich podstawowe prawa i wolności, szczególnie prawo do ochrony danych osobowych. Powinno ono również przyczyniać się do stworzenia obszaru wolności, bezpieczeństwa i sprawiedliwości.

(3)  Szybki rozwój technologiczny i globalizacja przyniosły nowe wyzwania w zakresie ochrony danych osobowych. Niezwykle wzrosła skala wymiany i zbierania danych. Technologia umożliwia właściwym organom wykorzystywanie danych osobowych do wykonywania powierzonych im zadań na niespotykaną dotąd skalę.

(4)  Wymaga to ułatwienia swobodnego przepływu danych, gdy jest niezbędny i proporcjonalny, między właściwymi organami na terytorium Unii oraz przekazywania danych do państw trzecich i organizacji międzynarodowych, przy równoczesnym zagwarantowaniu wysokiego poziomu ochrony danych osobowych. Przemiany te wymagają budowy mocnych i bardziej spójnych ram ochrony danych w Unii, popartych zdecydowanym egzekwowaniem. [Popr. 2]

(5)  Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady(3) ma zastosowanie do wszystkich operacji przetwarzania danych w państwach członkowskich, odbywających się zarówno w sektorze publicznym, jak i prywatnym. Nie ma ona jednak zastosowania do przetwarzania danych osobowych „w ramach działalności wykraczającej poza zakres prawa Wspólnoty”, takiej jak działalność prowadzona w ramach współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej.

(6)  Decyzja ramowa Rady 2008/977/JHA(4) ma zastosowanie w obszarze współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej. Zakres zastosowania tej decyzji ramowej jest ograniczony do przetwarzania danych osobowych przekazywanych lub udostępnianych pomiędzy państwami członkowskimi.

(7)  Zapewnienie spójnego, wysokiego poziomu ochrony danych osobowych osób fizycznych oraz ułatwienie wymiany danych osobowych między właściwymi organami państw członkowskich ma zasadnicze znaczenie dla zagwarantowania skutecznej współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej. Aby osiągnąć ten cel konieczne jest zapewnienie we wszystkich państwach członkowskich równorzędnego poziomu ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy w celu zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania i w celu wykonywania kar kryminalnych oraz swobodnego przepływu tych danych. Spójne i jednolite stosowanie przepisów dotyczących ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych powinno być zagwarantowane w całej Unii. Skuteczna ochrona danych osobowych w całej Unii wymaga wzmocnienia praw podmiotów danych oraz obowiązków podmiotów, które przetwarzają dane osobowe, lecz także równorzędnych uprawnień w zakresie monitorowania i zapewnienia zgodności z przepisami o ochronie danych osobowych w państwach członkowskich. [Popr. 3]

(8)  Artykuł 16 ust. 2 Traktatu o funkcjonowaniu Unii Europejskiej stanowi, że Parlament Europejski i Rada powinny ustanowić przepisy określić zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz zasady dotyczące swobodnego przepływu ich danych osobowych. [Popr. 4]

(9)  Na tej podstawie rozporządzenie (UE) nr …../2014 Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych przetwarzania związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) ustanawia ogólne przepisy służące ochronie osób fizycznych w zakresie przetwarzania danych osobowych oraz zagwarantowaniu swobodnego przepływu danych osobowych na terytorium Unii.

(10)  W deklaracji 21 w sprawie ochrony danych osobowych w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej załączonej do Aktu końcowego konferencji międzyrządowej, która przyjęła Traktat z Lizbony, konferencja uznała fakt, że konieczne może okazać się przyjęcie szczególnych przepisów dotyczących ochrony danych osobowych i swobodnego przepływu tych danych w dziedzinach współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej, opartych na art. 16 Traktatu o funkcjonowaniu Unii Europejskiej, ze względu na szczególny charakter tych dziedzin.

(11)  Dlatego też osobna szczegółowa dyrektywa powinna uwzględniać szczególnych szczególny charakter tych dziedzin, ustanawiając przepisy dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania i wykonywania kar kryminalnych. [Popr. 5]

(12)  Aby zagwarantować jednakowy poziom ochrony osób fizycznych poprzez prawnie egzekwowalne prawa obowiązujące na terytorium całej Unii oraz zapobiec różnicom utrudniającym wymianę danych osobowych między właściwymi organami, niniejsza dyrektywa powinna przewidywać zharmonizowane przepisy dotyczące ochrony i swobodnego przepływu danych w obszarze współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej.

(13)  Niniejsza dyrektywa umożliwia uwzględnienie zasady publicznego dostępu do dokumentów urzędowych przy stosowaniu przepisów w niej ustanowionych.

(14)  Ochrona zapewniana na mocy niniejszej dyrektywy powinna dotyczyć osób fizycznych, niezależnie od ich obywatelstwa lub miejsca zamieszkania, w zakresie przetwarzania danych osobowych.

(15)  Ochrona osób fizycznych powinna być neutralna pod względem technologicznym i nie powinna zależeć od zastosowanych technik, ponieważ w przeciwnym razie wystąpiłoby poważne ryzyko obchodzenia prawa. Ochrona osób fizycznych powinna mieć zastosowanie do przetwarzania danych osobowych w sposób zautomatyzowany, jak również ręcznego przetwarzania, jeśli dane znajdują się lub mają znajdować się w zbiorze danych. Zbiory lub zestawy zbiorów oraz ich strony tytułowe, które nie są zorganizowane według określonych kryteriów, nie powinny wchodzić w zakres niniejszej dyrektywy. Dyrektywa nie powinna mieć zastosowania do przetwarzania danych w toku działalności leżącej poza zakresem prawa Unii, w szczególności dotyczącej bezpieczeństwa narodowego, ani do przetwarzania danych przez instytucje, organy, biura i agencje Unii, takie jak Europol czy Eurojust. Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady(5) oraz konkretne instrumenty prawne mające zastosowanie do organów lub jednostek organizacyjnych Unii powinny zostać uspójnione z niniejszą dyrektywą i powinny być stosowane zgodnie z niniejszą dyrektywą. [Popr. 6]

(16)  Zasady ochrony powinny być stosowane do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych. Aby ustalić, czy można zidentyfikować daną osobę fizyczną, należy wziąć pod uwagę wszystkie sposoby, jakimi może posłużyć się administrator lub inna osoba w celu zidentyfikowania lub wyodrębnienia tej osoby. Zasady ochrony nie powinny być stosowane do danych zanonimizowanych w taki sposób, że podmiot danych, nie może być już zidentyfikowany. Niniejsza dyrektywa nie powinna mieć zastosowania do danych anonimowych oznaczających wszelkie dane, które nie mogą odnosić się, bezpośrednio lub pośrednio, samodzielnie lub w połączeniu z towarzyszącymi im danymi, do osoby fizycznej. Biorąc pod uwagę znaczenie zmian zachodzących w ramach społeczeństwa informacyjnego oraz technik stosowanych do przechwytywania, przekazywania, przekształcania, ewidencjonowania, przechowywania lub komunikowania danych dotyczących lokalizacji osób fizycznych, które to dane mogą być wykorzystywane do różnych celów, w tym do monitoringu lub tworzenia profili, niniejsza dyrektywa powinna mieć zastosowanie do operacji przetwarzania takich danych osobowych. [Popr. 7]

(16a)  Wszelkie operacje przetwarzania danych osobowych powinny być zgodne z prawem, prowadzone w rzetelny i przejrzysty sposób wobec zainteresowanych osób. Zwłaszcza konkretne cele przetwarzania danych powinny być jednoznaczne, zgodne z prawem i określone w momencie zbierania danych osobowych. Dane osobowe powinny być prawidłowe, właściwe i ograniczone do niezbędnego minimum odpowiadającego celom, dla których są przetwarzane. Wymaga to w szczególności ograniczania do ścisłego minimum zakresu zbieranych danych oraz okresu ich przechowywania. Dane osobowe powinny być przetwarzane tylko wówczas, gdy celu przetwarzania nie można osiągnąć innymi środkami. Należy poczynić wszelkie stosowne kroki w celu dopilnowania, by niedokładne dane osobowe były poprawiane lub usuwane. Aby uniknąć przechowywania danych przez czas dłuższy, niż jest to konieczne, administrator powinien ustalić terminy usuwania danych lub okresowego przeglądu. [Popr. 8]

(17)  Za dane osobowe dotyczące zdrowia powinny być uznawane w szczególności wszelkie dane dotyczące stanu zdrowia podmiotu danych informacje na temat rejestracji osoby fizycznej w celu świadczenia na jej rzecz usług zdrowotnych; informacje o płatnościach danej osoby za opiekę zdrowotną lub kwalifikowaniu się danej osoby do korzystania z opieki zdrowotnej; numer, symbol lub oznaczenie przypisane danej osobie wyłącznie w celu identyfikowanie jej dla potrzeb świadczenia opieki zdrowotnej; wszelkie informacje na temat danej osoby zebrane w okresie świadczenia usług opieki zdrowotnej na jej rzecz; informacje pochodzące z badań laboratoryjnych lub lekarskich dotyczących części ciała lub płynów ustrojowych, w tym próbek biologicznych; informacje umożliwiające identyfikację osoby świadczącej usługi opieki zdrowotnej na rzecz danego pacjenta oraz wszelkie informacje np. na temat choroby, niepełnosprawności, ryzyka choroby, historii medycznej, leczenia klinicznego lub aktualnego stanu fizjologicznego lub biomedycznego podmiotu danych nienależnie od ich źródła, którym może być np. lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne, badanie diagnostyczne in vitro.

(18)  Wszelkie operacje przetwarzania danych osobowych powinny być zgodne z prawem i prowadzone rzetelnie wobec zainteresowanych osób fizycznych. W szczególności należy wyraźnie określić konkretne cele, dla których dane są przetwarzane. [Popr. 9]

(19)  Zapobieganie przestępstwom, prowadzenie dochodzeń w ich sprawie i ściganie ich wymaga zatrzymywania i przetwarzania przez właściwe organy danych osobowych, zgromadzonych w kontekście zapobiegania konkretnym przestępstwom, prowadzenia dochodzeń w ich sprawie i ścigania ich, poza tym kontekstem, by lepiej rozumieć istotę przestępstw i tendencje w tym zakresie, zebrania informacji na temat zorganizowanych sieci kryminalnych oraz powiązania różnych wykrytych przestępstw. [Popr. 10]

(20)  Dane osobowe nie powinny być przetwarzane do celów niezgodnych z celem , w którym zostały zebrane. Dane osobowe powinny być prawidłowe, właściwe i nie wykraczać poza zakres odpowiadający celowi, dla którego są przetwarzane. Należy podjąć wszelkie stosowne kroki gwarantujące poprawienie lub usunięcie niedokładnych danych osobowych. [Popr. 11]

(20a)  Sama okoliczność, że dwa cele odnoszą się do zapobiegania przestępstwom, ich wykrywania lub ścigania, lub wykonywania kar kryminalnych, nie musi oznaczać, że są one ze sobą zgodne. Istnieją jednak sytuacje, w których dalsze przetwarzanie w sposób niezgodny z celami powinno być możliwe, jeśli jest ono konieczne dla wywiązania się z obowiązku prawnego spoczywającego na administratorze, w celu ochrony żywotnych interesów podmiotu danych lub innej osoby lub w celu zapobieżenia bezpośredniemu i poważnemu zagrożeniu bezpieczeństwa publicznego. W związku z tym państwa członkowskie powinny mieć możliwość przyjęcia przepisów prawa krajowego przewidujących takie odstępstwa w zakresie bezwzględnie koniecznym. Takie przepisy prawa krajowego powinny zawierać odpowiednie gwarancje. [Popr. 12]

(21)  Zasadę dokładności danych należy stosować, uwzględniając charakter i cel danej operacji przetwarzania. W szczególności w postępowaniach sądowych oświadczenia zawierające dane osobowe oparte są na subiektywnym osądzie osób fizycznych i w pewnych przypadkach nie zawsze można je zweryfikować. Zatem wymóg dokładności danych nie powinien odnosić się do dokładności oświadczenia, lecz jedynie do faktu, że dane oświadczenie zostało złożone.

(22)  W toku wykładni i stosowania ogólnych zasad dotyczących przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, ścigania ich i wykrywania oraz wykonywania kar kryminalnych, należy uwzględnić specyfikę tego sektora, w tym szczególne cele w nim realizowane. [Popr. 13]

(23)  Nieodłączną cechę przetwarzania danych osobowych w obszarze współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej jest to, że przetwarzane są dane osobowe należące do różnych kategorii osób, których dane dotyczą. Należy zatem wprowadzić w możliwie największym stopniu rozróżnienie między danymi osobowymi dotyczącymi różnych kategorii osób, takich jak podejrzani, osoby skazane za przestępstwo, pokrzywdzeni i osoby trzecie, takie jak świadkowie, osoby posiadające istotne informacje lub kontakty oraz wspólnicy podejrzanych i skazanych przestępców. Państwa członkowskie powinny ustanowić szczegółowe przepisy dotyczące skutków takiej kategoryzacji, uwzględniając różne cele zbierania danych oraz przewidując szczególne gwarancje dla osób, które nie są podejrzane o popełnienie przestępstwa karnego ani nie zostały skazane za przestępstwo karne. [Popr. 14]

(24)  Na tyle na ile to możliwe należy rozróżniać dane osobowe ze względu na stopień ich dokładności i wiarygodności. Fakty należy rozróżnić od osobistych osądów, w celu zagwarantowania zarówno ochrony osób fizycznych, jak i jakości i wiarygodności informacji przetwarzanych przez właściwe organy.

(25)  Aby przetwarzanie danych osobowych było zgodne z prawem, musi powinno być ono dozwolone jedynie wówczas, gdy jest to konieczne dla spełnienia przez administratora ciążących spoczywających na nim obowiązków prawnych, w celu wykonania przez właściwy organ zadania realizowanego w interesie publicznym, w oparciu o przepisy prawa, zadania realizowanego w interesie publicznym lub w celu ochrony żywotnych interesów osoby prawo Unii lub państw członkowskich, które dane dotyczą, powinno obejmować wyraźnie określone i szczegółowe przepisy dotyczące co najmniej celów, danych osobowych, konkretnych celów i środków, wyznaczenia lub innej osoby lub w celu zapobieżenia poważnemu zagrożeniu dla bezpieczeństwa publicznego możliwości wyznaczania administratora, procedur, których należy przestrzegać, wykorzystania i ograniczeń zakresu wszelkiej swobody przyznanej właściwym organom w odniesieniu do operacji przetwarzania. [Popr. 15]

(25a)  Dane osobowe nie powinny być przetwarzane do celów niezgodnych z celem, w jakim zostały zebrane. Dalsze przetwarzanie przez właściwe organy do celu objętego zakresem stosowania niniejszej dyrektywy, który nie jest zgodny z celem początkowym, powinno być dozwolone jedynie w konkretnych przypadkach, gdy takie przetwarzanie jest konieczne dla wywiązania się ze spoczywającego na administratorze obowiązku prawnego wynikającego z prawa unijnego lub prawa państwa członkowskiego lub w celu ochrony żywotnych interesów podmiotu danych lub innej osoby, lub w celu zapobieżenia bezpośredniemu i poważnemu zagrożeniu dla bezpieczeństwa publicznego. To, że dane przetwarzane są dla potrzeb związanych z egzekwowaniem prawa, niekoniecznie oznacza, że cel ten jest zgodny z celem początkowym. Pojęcie przetwarzania danych zgodnie z celem musi być interpretowane w sposób rygorystyczny. [Popr. 16]

(25b)  Dane osobowe przetwarzane z naruszeniem przepisów krajowych przyjętych na mocy niniejszej dyrektywy nie powinny być dłużej przetwarzane. [Popr. 17]

(26)  Dane osobowe, które z racji swego charakteru są szczególnie newralgiczne wrażliwe i narażone na ryzyko w kontekście podstawowych praw lub prywatności, w tym dane genetyczne, zasługują na szczególną ochronę. Dane te nie powinny być przetwarzane, chyba że przepisy wyraźnie na to zezwalają, przewidując przy tym przetwarzanie jest w wyraźny sposób niezbędne do wykonania zadania realizowanego w interesie publicznym w oparciu o prawo unijne lub prawo państwa członkowskiego, które przewiduje odpowiednie środki służące ochronie praw podstawowych i zabezpieczeniu słusznych uzasadnionych interesów podmiotów danych; lub też gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów podmiotu danych, lub innej osoby; lub też gdy przetwarzane mają być dane wyraźnie udostępnione publicznie podmiot danych. Wrażliwe dane osobowe powinny być przetwarzane wyłącznie wtedy, gdy inne dane osobowe są już przetwarzane w celach związanych z egzekwowaniem prawa. Jakiekolwiek odstępstwo od zakazu przetwarzania wrażliwych danych należy interpretować w sposób rygorystyczny i nie powinno ono prowadzić do częstego, masowego i zorganizowanego przekazywania wrażliwych danych osobowych. [Popr. 18]

(26a)  Przetwarzanie danych genetycznych powinno być dozwolone jedynie wówczas, gdy istnieje powiązanie dotyczące cech genetycznych, które pojawiło się w toku śledztwa lub postępowania sądowego. Dane genetyczne powinny być przechowywane wyłącznie tak długo, jak jest to bezwzględnie konieczne do celów takich śledztw i postępowań, przy czym państwa członkowskie mogą ustanowić przepisy przewidujące dłuższe przechowywanie zgodnie z warunkami określonymi w niniejszej dyrektywie. [Popr. 19]

(27)  Każda osoba fizyczna powinna mieć prawo niepodlegania środkom opartym wyłącznie na automatycznym przetwarzaniu, jeżeli wywołują one negatywne środkowi opartemu częściowo lub całkowicie na profilowaniu dokonywanym poprzez automatyczne przetwarzanie. Takie przetwarzanie, które wywołuje skutki prawne dla tej osoby lub w znaczący sposób na nią wpływa, powinno być zakazane, chyba że prawo zezwala na automatyczne przetwarzanie, przewidując przy tym odpowiednie środki służące ochronie praw podstawowych i zabezpieczeniu słusznych uzasadnionych interesów podmiotu danych, w tym prawo do otrzymania zrozumiałych informacji o zasadach stosowanych przy profilowaniu. Takie przetwarzanie w żadnym wypadku nie może obejmować, wywoływać ani dyskryminować danych na podstawie ich szczególnych kategorii. [Popr. 20]

(28)  Aby podmioty danych mogły korzystać ze swoich praw, wszelkie informacje do nich kierowane powinny być łatwo dostępne i zrozumiałe, w tym napisane w jednoznacznym, prostym języku. Informacje te powinny być dostosowane do potrzeb podmiotu danych, zwłaszcza w przypadku, gdy bezpośrednim adresatem tych informacji jest dziecko. [Popr. 21]

(29)  Należy opracować sposoby ułatwienia podmiotowi danych korzystania z praw przysługujących mu na mocy niniejszej dyrektywy, włączając mechanizmy składania wniosków, wolnych od opłat, dotyczących w szczególności dostępu do danych, poprawiania ich i usunięcia. Administrator powinien być zobowiązany do odpowiedzi na wniosek podmiotu danych bez nieuzasadnionej zbędnej zwłoki, w terminie jednego miesiąca od daty otrzymania wniosku. Jeśli przetwarzanie danych odbywa się w sposób zautomatyzowany, administrator powinien zapewnić możliwość składania wniosków drogą elektroniczną. [Popr. 22]

(30)  Zasady Zasada rzetelnego i przejrzystego przetwarzania wymaga, by podmiot danych, był informowany w szczególności o prowadzeniu operacji przetwarzania i jej celach, jej podstawie prawnej, okresie przechowywania danych, przysługującym jej prawie dostępu, poprawienia lub usunięcia danych oraz prawie do zgłoszenia skargi. Ponadto podmiot danych powinien być informowany o zastosowaniu profilowania oraz o jego zamierzonych skutkach. W przypadku konieczności uzyskania danych od podmiotu danych , należy także poinformować go o tym, że ma on obowiązek przekazać dane oraz o konsekwencjach braku przekazania takich danych. [Popr. 23]

(31)  Informacje dotyczące przetwarzania danych osobowych odnoszących się do podmiotu danych powinny być mu przekazane w momencie zbierania danych lub, jeśli dane nie są uzyskiwane od tej osoby, w momencie ich rejestrowania lub rozsądnym terminie po zebraniu danych, zależnie od okoliczności, w jakich dane są przetwarzane.

(32)  Każdej osobie powinno przysługiwać prawo dostępu do zebranych danych na jej temat, a wykonanie tego prawa powinno być na tyle łatwe, by każda osoba była świadoma przetwarzania i mogła zweryfikować jego zgodność z prawem. Dlatego też każdy podmiot danych powinien mieć prawo do uzyskania wiedzy, w szczególności informacji na temat celów, dla których dane są przetwarzane, podstawy prawnej, przez jaki okres i jacy odbiorcy otrzymują dane, w tym w państwach trzecich, w stosownych przypadkach zrozumiałych informacji o zasadach rządzących wszelkimi operacjami automatycznego przetwarzania, ich znaczeniu i ich zamierzonych skutkach, a także prawa do wniesienia skargi do organu nadzorczego i uzyskania informacji o jego danych kontaktowych. Podmioty danych powinny otrzymać kopię ich danych osobowych, które są przetwarzane. [Popr. 24]

(33)  Państwom członkowskim należy zezwolić na przyjęcie środków legislacyjnych umożliwiających opóźnienie, lub ograniczenie lub odstąpienie od informowania osób, których dane dotyczą podmiotów danych o dostępie do ich danych osobowych, w zakresie i w czasie, w jakim takie częściowe lub kompletne ograniczenie stanowi konieczny i proporcjonalny środek w demokratycznym społeczeństwie, przy należytym uwzględnieniu słusznych praw podstawowych i uzasadnionych interesów danej osoby, aby zapobiec utrudnianiu urzędowych lub prawnych dochodzeń, śledztw lub procedur, aby zapobiec utrudnieniom w zapobieganiu przestępstw, ich wykrywaniu, prowadzeniu dochodzeń w ich sprawie i ściganiu lub wykonywaniu kar kryminalnych, by chronić bezpieczeństwo publiczne lub narodowe lub chronić osobę, które dane dotyczą, podmiot danych lub prawa i wolności innych osób. Administrator powinien dokonywać oceny za pośrednictwem konkretnego i indywidualnego badania każdego przypadku, czy powinno być zastosowane częściowe lub całkowite ograniczenie prawa dostępu do danych. [Popr. 25]

(34)  Podmiot danych powinien zostać zawiadomiony o wszelkich ograniczeniach dostępu na piśmie, w tym o faktycznych i prawnych przyczynach ograniczenia.

(34a)  Wszelkie ograniczenie praw podmiotu danych musi być zgodne z Kartą i europejską konwencją praw człowieka, jak zostało wyjaśnione w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej i Europejskiego Trybunału Praw Człowieka, a zwłaszcza musi odbywać się z poszanowaniem istoty praw i wolności. [Popr. 26]

(35)  Jeżeli państwa członkowskie przyjęły środki legislacyjne ograniczające całkowicie lub częściowo prawo dostępu, podmiot danych powinien mieć prawo wystąpienia do właściwego krajowego organu nadzorczego o sprawdzenie zgodności z prawem przetwarzania. Podmiot danych powinien zostać poinformowany o tym prawie. Jeżeli organ nadzorczy uzyskuje dostęp w imieniu podmiotu danych, podmiot ten powinien zostać poinformowany przez organ nadzorczy przynajmniej o tym, że organ ten przeprowadził wszystkie niezbędne weryfikacje oraz o ich wynikach, jeżeli chodzi o zgodność z prawem przedmiotowych operacji przetwarzania. Organ nadzorczy powinien także poinformować podmiot danych o jego prawie do uzyskania sądowych środków ochrony prawnej. [Popr. 27]

(36)  Każda osoba powinna mieć prawo do poprawienia niedokładnych lub przetwarzanych niezgodnie z prawem danych osobowych jej dotyczących oraz prawo do ich usunięcia, jeżeli przetwarzanie takich danych jest niezgodne z głównymi zasadami ustanowionymi w przepisami niniejszej dyrektywie dyrektywy. O takim poprawieniu, uzupełnieniu lub usunięciu należy poinformować odbiorców, którym zostały ujawnione te dane, oraz osoby trzecie, od których pochodzą niedokładne dane. Administratorzy powinni również powstrzymać się od dalszego rozpowszechniania tych danych. Jeżeli dane osobowe przetwarzane są w toku dochodzenia i postępowania karnego, poprawianie, prawa do informacji, dostępu, usunięcia i ograniczenia przetwarzania mogą być wykonywane godnie zgodnie z przepisami krajowej procedury sądowej. [Popr. 28]

(37)  Należy obciążyć administratora całkowitą odpowiedzialnością za przetwarzanie danych osobowych prowadzone przez niego samego lub w jego imieniu. W szczególności administrator powinien zapewnić zgodność każdej operacji przetwarzania z przepisami przyjętymi na mocy niniejszej dyrektywy i mieć obowiązek gotowości do wykazania tej zgodności. [Popr. 29]

(38)  Ochrona prawa i wolności osób, których dane dotyczą w zakresie przetwarzania danych osobowych wymaga podjęcia odpowiednich środków technicznych i organizacyjnych w celu zagwarantowania spełnienia wymogów dyrektywy. By zapewnić zgodność z przepisami przyjętymi na mocy niniejszej dyrektywy, administrator powinien przyjąć polityki i wdrożyć odpowiednie środki, które są w szczególności zgodne z zasadą uwzględnienia ochrony danych już w fazie projektowania oraz zasadą domyślnej ochrony danych.

(39)  Ochrona praw i wolności podmiotów danych a także zobowiązania i odpowiedzialność administratorów i podmiotów przetwarzających wymaga dokonania w niniejszej dyrektywie jasnego podziału obowiązków, w tym w przypadku gdy administrator określa cele i sposoby przetwarzania wspólnie z innymi administratorami danych oraz gdy operacja przetwarzania jest dokonywana w imieniu administratora. Podmiot danych powinien mieć prawo korzystania z przysługujących mu na mocy niniejszej dyrektywy praw wobec każdego ze współadministratorów. [Popr. 30]

(40)  Działalność związana z przetwarzaniem danych powinna być udokumentowana przez administratora lub podmiot przetwarzający w celu zapewnienia lepszej zgodności z niniejszą dyrektywą. Każdy administrator i podmiot przetwarzający powinien być zobowiązany do współpracy z organem nadzorczym oraz do udostępniania mu, na żądanie, dokumentacji, tak by mogła ona służyć do monitorowania operacji przetwarzania.

(40a)  Każda operacja przetwarzania danych osobowych powinna być udokumentowana w celu umożliwienia weryfikacji zgodności przetwarzania danych z prawem, samokontroli oraz zapewnienia odpowiedniej integralności i bezpieczeństwa danych. Taki zapis w dokumentacji powinien być udostępniany na żądanie organowi nadzorczemu w celu kontroli zgodności z przepisami niniejszej dyrektywy. [Popr. 31]

(40b)  Ocena skutków w zakresie ochrony danych powinna być przeprowadzana przez administratora lub podmiot przetwarzający, jeżeli operacje przetwarzania – z racji swego charakteru, zakresu lub celów – mogą stwarzać szczególne zagrożenie dla praw i wolności podmiotów danych, i powinna obejmować w szczególności przewidywane środki, gwarancje i mechanizmy mające na celu zapewnienie ochrony danych osobowych z myślą o wykazaniu zgodności z przepisami niniejszej dyrektywy. Oceny skutków powinny dotyczyć stosownych systemów i procesów związanych z operacjami przetwarzania danych osobowych, a nie indywidualnych przypadków. [Popr. 32]

(41)  W celu zagwarantowania skutecznej ochrony praw i wolności osób, których dane dotyczą poprzez działania prewencyjne, administrator lub podmiot przetwarzający powinien w określonych przypadkach konsultować się z organem nadzorczym przed przetwarzaniem. Ponadto jeśli ocena skutków w zakresie ochrony danych wykaże, że operacje przetwarzania mogą się wiązać z wysokim poziomem konkretnego ryzyka dla praw i wolności podmiotów danych, organ nadzorczy powinien być w stanie zapobiec przed rozpoczęciem operacji ryzykownemu przetwarzaniu, które jest niezgodne z niniejszą dyrektywą, oraz przedstawić propozycje zaradzenia tej sytuacji. Taka konsultacja może również zostać przeprowadzona w trakcie przygotowywania przez parlament narodowy środka ustawodawczego lub opartego na takim środku ustawodawczym środka, który określa charakter przetwarzania danych oraz ustanawia odpowiednie gwarancje. [Popr. 33]

(41a)  W celu utrzymania bezpieczeństwa i zapobiegania przetwarzaniu z naruszeniem przepisów niniejszej dyrektywy administrator lub podmiot przetwarzający powinien ocenić ryzyko związane z przetwarzaniem oraz wdrożyć środki mające na celu ograniczenie tego ryzyka. Środki te powinny zapewnić odpowiedni poziom bezpieczeństwa, z uwzględnieniem stanu wiedzy naukowej oraz kosztów ich wdrożenia w stosunku do ryzyka oraz charakteru danych osobowych podlegających ochronie. Przy wprowadzaniu norm technicznych i środków organizacyjnych w celu zadbania o bezpieczeństwo przetwarzania należy sprzyjać neutralności pod względem technologicznym. [Popr. 34]

(42)  Naruszenie ochrony danych osobowych, w braku odpowiedniej i szybkiej reakcji, może spowodować poważne szkody spowodować znaczną stratę ekonomiczną i szkody społeczne dla danej osoby, w tym dla reputacji danej osoby oszustwo dotyczące tożsamości. Z tego względu, administrator, niezwłocznie po powzięciu wiadomości o naruszeniu, powinien powiadomić o nim organ nadzorczy. Osoby, których dane osobowe lub prywatność mogłyby ucierpieć wskutek takiego naruszenia, powinny być niezwłocznie powiadamiane, aby umożliwić im podjęcie niezbędnych środków ostrożności. Naruszenie powinno być uznawane za mające niekorzystny wpływ na dane osobowe lub prywatność osoby fizycznej, jeżeli jego skutkiem mogą być np. kradzież lub sfałszowanie tożsamości, uszkodzenie ciała, poważne upokorzenie lub naruszenie dobrego imienia w związku z przetwarzaniem danych osobowych. Zawiadomienie powinno zawierać informacje o środkach podjętych przez usługodawcę w celu zaradzenia naruszeniu, a także zalecenia dla abonenta lub osoby, których ono dotyczy. Powiadomienia powinny być przekazywane podmiotom danych tak szybko, jak to możliwe, w ścisłej współpracy z organem nadzorczym oraz z poszanowaniem wytycznych wydanych przez ten organ. [Popr. 35]

(43)  Przy określaniu szczegółowych przepisów dotyczących formy i procedur mających zastosowanie przy zgłaszaniu naruszeń ochrony danych osobowych należy odpowiednio uwzględnić okoliczności naruszenia, w tym zbadać, czy dane osobowe były zabezpieczone właściwymi technicznymi środkami ochrony, skutecznie ograniczającymi prawdopodobieństwo niewłaściwego wykorzystania danych. W tych przepisach i procedurach należy ponadto uwzględnić słuszne interesy właściwych organów, w przypadkach gdy przedwczesne ujawnienie mogłoby niepotrzebnie utrudnić badanie okoliczności naruszenia.

(44)  Administrator lub podmiot przetwarzający powinien wyznaczyć osobę, która będzie pomagać danemu administratorowi lub podmiotowi w monitorowaniu i wykazywaniu zgodności przepisów przyjętych z przepisami przyjętymi na mocy niniejszej dyrektywy. Inspektor W przypadku, gdy kilka właściwych organów działa pod nadzorem organu centralnego, przynajmniej ten organ centralny powinien wyznaczyć takiego inspektora ochrony danych może zostać wyznaczony wspólnie przez szereg jednostek właściwego organu. Inspektorzy ochrony danych muszą być w stanie wykonywać swoje obowiązki i zadania niezależnie i skutecznie, w szczególności dzięki ustanowieniu zasad służących uniknięciu konfliktów interesów z innymi zadaniami wykonywanymi przez inspektora ochrony danych. [Popr. 36]

(45)  Państwa członkowskie powinny zadbać o to, by przekazywanie danych dokonywane było wyłącznie w przypadku, gdy to konkretne przekazanie jest to konieczne do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych oraz gdy administrator w państwie trzecim lub organizacji międzynarodowej organizacja międzynarodowa jest właściwym organem publicznym w rozumieniu niniejszej dyrektywy. Przekazywanie może mieć miejsce w przypadkach, w których Komisja zdecydowała, że dane państwo trzecie lub organizacja międzynarodowa zapewnia odpowiedni poziom ochrony lub gdy wprowadzono odpowiednie gwarancje, lub gdy wprowadzono odpowiednie gwarancje w drodze prawnie wiążącego instrumentu. Dane przekazane właściwym organom publicznym w państwach trzecich nie powinny być dalej przetwarzane w celach innych niż te, dla których zostały przekazane. [Popr. 37]

(45a)  Operacje wtórnego przekazania dokonywane przez właściwe organy w państwach trzecich lub organizacje międzynarodowe, którym dane osobowe zostały przekazane, powinny być dozwolone wyłącznie w przypadku, gdy operacja wtórnego przekazania jest niezbędna do tego samego konkretnego celu co początkowe przekazanie, a odbiorcą wtórnym jest także właściwy organ publiczny. Operacje wtórnego przekazania nie powinny być dozwolone na potrzeby ogólnych celów egzekwowania prawa. Właściwy organ, który dokonał początkowego przekazania, powinien zezwolić na operację wtórnego przekazania. [Popr. 38]

(46)  Komisja może podjąć decyzję, która będzie obowiązywać w całej Unii, że niektóre państwa trzecie lub też jakieś terytorium lub sektor przetwarzający dane w państwie trzecim bądź organizacja międzynarodowa oferują odpowiedni poziom ochrony danych, gwarantując tym samym pewność prawną i jednolitość w całej Unii co do państw trzecich lub organizacji międzynarodowych uznawanych za zapewniające taki poziom ochrony. W takich przypadkach przekazywanie danych osobowych do tych państw może odbywać się bez potrzeby uzyskania dalszego zezwolenia.

(47)  Zgodnie z podstawowymi wartościami, na których opiera się Unia, w szczególności ochroną praw człowieka, Komisja powinna wziąć pod uwagę sposób, w jaki dane państwo trzecie przestrzega zasad praworządności, dostępu do wymiaru sprawiedliwości, a także międzynarodowych norm i standardów ochrony praw człowieka.

(48)  Komisja powinna mieć również możliwość uznania, że państwo trzecie lub terytorium bądź sektor przetwarzający dane w państwie trzecim lub organizacja międzynarodowa nie oferują odpowiedniego poziomu ochrony danych. W związku z tym przekazywanie danych osobowych do tego państwa trzeciego powinno być zakazane, chyba że opiera się ono na umowie międzynarodowej, odpowiednich gwarancjach lub odstępstwie. Należy przewidzieć możliwość odbywania konsultacji między Komisją a tymi państwami trzecimi lub organizacjami międzynarodowymi. Taka decyzja Komisji pozostaje jednak bez uszczerbku dla możliwości dokonywania przekazania na podstawie odpowiednich gwarancji zawartych w prawnie wiążącym instrumencie lub na podstawie odstępstwa ustanowionego w niniejszej dyrektywie. [Popr. 39]

(49)  Przekazanie, które nie jest dokonane w oparciu o taką decyzję stwierdzającą odpowiedni stopień ochrony, powinno być dopuszczalne jedynie wtedy, gdy w prawnie wiążącym instrumencie prawnym wprowadzono odpowiednie gwarancje, zapewniające ochronę danych osobowych lub gdy administrator lub podmiot przetwarzający ocenili wszystkie okoliczności towarzyszące operacji przekazywania danych lub zestawowi takich operacji i, na podstawie tej oceny uznaje, że obowiązują odpowiednie gwarancje w zakresie ochrony danych osobowych. W przypadkach, w których brakuje podstawy do dokonywania przekazania należy umożliwić zastosowanie odstępstwa w celu ochrony żywotnych interesów podmiotu danych, lub innej osoby, lub ochrony słusznych interesów podmiotu danych, jeżeli prawo państwa członkowskiego przekazującego dane osobowe tak stanowi lub też jeżeli jest to konieczne dla zapobieżenia bezpośredniemu, poważnemu zagrożeniu dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego, lub też, w indywidualnych przypadkach, na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania lub w celu wykonywania kar kryminalnych, lub też, w indywidualnych przypadkach, do celów ustanowienia roszczeń prawnych, ich realizacji lub bronienia ich. [Popr. 40]

(49a)  W przypadkach, gdy brakuje podstaw do dokonania przekazania, w razie potrzeby należy umożliwić zastosowanie odstępstwa w celu ochrony żywotnych interesów podmiotu danych lub innej osoby lub zabezpieczenia uzasadnionych interesów podmiotu danych, gdy prawo państwa członkowskiego przekazującego dane osobowe tak stanowi lub gdy jest to konieczne dla zapobieżenia bezpośredniemu, poważnemu zagrożeniu dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego, lub też, w indywidualnych przypadkach, na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania lub w celu wykonywania kar kryminalnych, lub też, w indywidualnych przypadkach, do celów ustanowienia roszczeń prawnych, ich realizacji lub ich bronienia. Odstępstwa te należy interpretować w sposób rygorystyczny i nie powinny one umożliwiać częstego, masowego i zorganizowanego przekazywania danych osobowych ani hurtowego przekazywania danych, które powinno być ograniczone do ściśle niezbędnych danych. Ponadto decyzja o przekazaniu powinna być podejmowana przez należycie uprawnioną osobę, operacja przekazania musi być udokumentowana, a dokumentacja ta musi być udostępniana na żądanie organowi nadzorczemu w celu kontroli zgodności przekazania z prawem. [Popr. 41]

(50)  Przenoszenie danych osobowych ponad granicami może wiązać się z jeszcze większym ryzykiem niemożności wykonywania przez osoby fizyczne praw do ochrony danych osobowych, by chronić się przed niezgodnym z prawem wykorzystaniem lub ujawnieniem tych danych. Organy nadzorcze mogą jednocześnie uznać, że nie są w stanie rozpatrywać skarg lub prowadzić dochodzeń związanych z działalnością, która ma miejsce poza granicami ich państwa. Ich wysiłki zmierzające do wspólnej pracy w kontekście transgranicznym mogą także być hamowane przez niewystarczające uprawnienia w zakresie zapobiegania powyżej opisanym zjawiskom lub zaradzenia im oraz niespójne systemy prawne. Z tego względu należy promować ściślejszą współpracę między organami nadzorczymi w zakresie ochrony danych, by pomagać im w wymianie informacji z ich międzynarodowymi odpowiednikami.

(51)  Utworzenie w państwach członkowskich organów nadzorczych, wykonujących swoje funkcje w sposób całkowicie niezależny jest koniecznym elementem ochrony osób fizycznych w zakresie przetwarzania danych osobowych. Organy nadzorcze powinny monitorować stosowanie przepisów w sposób zgodny z niniejszą dyrektywą oraz przyczyniać się do ich spójnego stosowania w całej Unii, w celu ochrony osób fizycznych w zakresie przetwarzania ich danych osobowych. W tym celu organu organy nadzorcze powinny współpracować ze sobą oraz z Komisją. [Popr. 42]

(52)  Państwa członkowskie mogą powierzyć organowi nadzorczemu już wcześniej ustanowionemu w państwach członkowskich na mocy rozporządzenia (UE) …./2014 odpowiedzialność za zadania spoczywające na organach nadzorczych, które mają zostać ustanowione na mocy niniejszej dyrektywy.

(53)  Państwa członkowskie mogą ustanowić więcej niż jeden organu nadzorczy, w odzwierciedleniu swojej struktury konstytucyjnej, organizacyjnej i administracyjnej. Każdy organ nadzorczy powinien zostać wyposażony w odpowiednie zasoby finansowe i ludzkie, pomieszczenia i infrastrukturę, w tym wyposażenie techniczne oraz doświadczony i wykwalifikowany personel, niezbędne do skutecznego wykonywania swoich zadań, w tym zadań związanych ze wzajemną pomocą i współpracą z innymi organami nadzorczymi w całej Unii. [Popr. 43]

(54)  Warunki ogólne członkostwa w organie nadzorczym powinny być określone w przepisach prawa każdego państwa członkowskiego i powinny w szczególności przewidywać, iż członkowie tego organu powinno powinni być wybierani przez parlament albo przez rząd państwa członkowskiego na podstawie konsultacji przeprowadzonych z parlamentem oraz obejmować regulacje dotyczące kwalifikacji i stanowiska tych członków. [Popr. 44]

(55)  Niniejsza dyrektywa ma zastosowanie także do działalności sądów krajowych, natomiast właściwość organów nadzorczych nie powinna obejmować przetwarzania danych osobowych wykorzystywanych przez sądy w ramach sprawowania wymiaru sprawiedliwości, by chronić niezawisłość sędziów podczas wykonywania przez nich zadań sądowych. Wyjątek ten powinien być jednak ściśle ograniczony do rzeczywistych zadań sądowych w sprawach sądowych i nie powinien mieć zastosowania do innych działań, w których sędziowie mogą brać udział, zgodnie z prawem krajowym.

(56)  Aby zapewnić spójne monitorowanie i wykonanie niniejszej dyrektywy w całej Unii, organy nadzorcze powinny mieć w każdym państwie członkowskim te same obowiązki i faktyczne uprawnienia, w tym faktyczne uprawnienie do przeprowadzania dochodzenia, uprawnienie do dostępu do wszystkich danych osobowych i wszystkich informacji niezbędnych do realizacji każdej funkcji nadzorczej, uprawnienie do dostępu do wszelkich pomieszczeń administratora danych lub podmiotu przetwarzającego, w tym sprzętu wykorzystywanego do przetwarzania danych, oraz uprawnienie do przeprowadzania prawnie wiążących interwencji, podejmowania decyzji i nakładania sankcji, w szczególności w sprawach skarg od osób fizycznych oraz do udziału w postępowaniu sądowym. [Popr. 45]

(57)  Każdy organ nadzorczy powinien rozpatrywać skargi zgłoszone przez podmiot danych oraz przeprowadzić stosowne dochodzenie. Dochodzenie na podstawie skargi powinno być prowadzone, z zastrzeżeniem kontroli sądowej, w zakresie odpowiednim do konkretnej sprawy. Organ nadzorczy powinien poinformować podmiot danych o postępach i wyniku skargi w rozsądnym terminie. Jeśli dana sprawa wymaga przeprowadzenia dalszego dochodzenia lub koordynacji z innym organem nadzorczym, podmiot danych, powinien zostać o tym niezwłocznie poinformowany.

(58)  Organy nadzorcze powinny wspierać się wzajemnie w wykonywaniu swoich zadań oraz świadczyć sobie wzajemną pomoc, by zapewnić spójne stosowanie i egzekwowanie przepisów przyjętych na mocy niniejszej dyrektywy. Każdy organ nadzorczy powinien wykazywać gotowość do uczestnictwa we wspólnych operacjach. Organ nadzorczy, który otrzyma stosowny wniosek, powinien mieć obowiązek rozpatrzenia go w ustalonym terminie. [Popr. 46]

(59)  Europejska Rada Ochrony Danych ustanowiona rozporządzeniem (UE) …./2012 2014 powinna przyczyniać się do spójnego stosowania niniejszej dyrektywy na terytorium całej Unii, w tym poprzez doradzanie Komisji iinstytucjom unijnym, promowanie współpracy organów nadzorczych na terytorium całej Unii, a także powinna wydawać opinie dla Komisji w toku przygotowywania aktów delegowanych i wykonawczych na podstawie niniejszej dyrektywy. [Popr. 47]

(60)  Każdy podmiot danych, powinien mieć prawo do złożenia skargi organowi nadzorczemu w dowolnym państwie członkowskim oraz do skorzystania z sądowego środka ochrony prawnej, jeśli uzna, że jego prawa wynikające z niniejszej dyrektywy są naruszane lub jeśli organ nadzorczy nie zareaguje na skargę albo nie podejmuje działania, pomimo iż jest ono niezbędne do ochrony praw podmiotu danych.

(61)  Każdy organ, organizacja lub zrzeszenie działające w interesie publicznym a na celu ochronę praw i interesów podmiotów danych w zakresie ochrony ich danych i które i utworzone zgodnie z prawem państwa członkowskiego, powinny mieć prawo do złożenia skargi organowi nadzorczemu lub skorzystania z prawa do sądowego środka ochrony prawnej w imieniu podmiotów danych jeśli zostały przez nich należycie umocowane, lub też złożenia, niezależnie od skargi podmiotu danych własnej skargi, jeśli uzna, iż doszło do naruszenia ochrony danych osobowych. [Popr. 48]

(62)  Każda osoba fizyczna lub prawna powinna mieć prawo do sądowego środka ochrony prawnej przeciwko dotyczącej jej decyzji organu nadzorczego. Postępowanie przeciwko organowi nadzorczemu należy wszcząć przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę.

(63)  W celu zapewnienia skuteczności postępowań sądowych państwa członkowskie powinny zagwarantować szybkie przyjmowanie środków mających zaradzić lub zapobiec naruszeniom niniejszej dyrektywy.

(64)  Każda szkoda, w tym szkoda niemajątkowa, jaką dana osoba może ponieść wskutek niezgodnego z prawem przetwarzania danych, powinna zostać wyrównana przez administratora lub podmiot przetwarzający, który może być zwolniony z odpowiedzialności w przypadku dowiedzenia, że szkoda nie powstała z jego winy, szczególnie wówczas gdy udowodni winę podmiotu danych, lub w przypadku siły wyższej. [Popr. 49]

(65)  Na wszystkie osoby fizyczne i prawne, która nie przestrzegają niniejszej dyrektywy, niezależnie od tego czy działają na podstawie prawa prywatnego czy publicznego, powinny zostać nałożone kary. Państwa członkowskie powinny dopilnować, by kary były skuteczne, proporcjonalne i odstraszające oraz podjąć wszelkie środki mające na celu wykonanie tych kar.

(65a)  Przekazywanie danych osobowych innym organom lub podmiotom niepublicznym w Unii jest zakazane, chyba że przekazanie jest zgodne z prawem, odbiorca danych ma siedzibę w jednym z państw członkowskich, nie istnieje żaden konkretny uzasadniony interes podmiotu danych zapobiegający przekazaniu, a przekazanie jest niezbędne w konkretnym przypadku, gdy administrator przekazuje dane w celu wykonania powierzonego mu na mocy prawa zadania lub w celu zażegnania bezpośredniego i poważnego zagrożenia dla bezpieczeństwa publicznego lub w celu zapobieżenia poważnemu naruszeniu praw osób fizycznych. Administrator powinien poinformować odbiorcę danych o celu przetwarzania i zawiadomić organ nadzorczy o przekazaniu. Odbiorca danych powinien zostać również poinformowany o ograniczeniach przetwarzania i powinien dopilnować ich przestrzegania. [Popr. 50]

(66)  Aby spełnić cele niniejszej dyrektywy, a mianowicie chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych, oraz by zagwarantować swobodny przepływ danych osobowych w Unii, należy przekazać Komisji uprawnienie do przyjmowania uprawnienia do przyjęcia aktów zgodnie z art. 290 Traktatu o funkcjonowaniu Unii Europejskiej. W szczególności należy przyjąć akty delegowane dotyczące zawiadamiania organu nadzorczego o naruszeniach powinny zostać przyjęte w celu dalszego doprecyzowania kryteriów i warunków operacji przetwarzania wymagających oceny skutków w zakresie ochrony danych, kryteriów i wymogów dotyczących naruszeń ochrony danych osobowychoraz odpowiedniego poziomu ochrony zapewnianego przez państwo trzecie lub terytorium lub sektor, w którym odbywa się przetwarzanie w tym państwie trzecim, lub też organizację międzynarodową. Szczególnie ważne jest, aby w czasie swoich prac przygotowawczych Komisja prowadziła stosowne konsultacje, w tym na poziomie ekspertów, zwłaszcza z Europejską Radą Ochrony Danych. W trakcie przygotowywania i opracowywania aktów delegowanych Przygotowując i opracowując akty delegowane, Komisja powinna zapewnić jednoczesne, terminowe i odpowiednie przekazanie przekazywanie stosownych dokumentów Parlamentowi Europejskiemu i Radzie. [Popr. 51]

(67)  Aby zagwarantować jednolite warunki wdrażania W celu zapewnienia jednolitych warunków wykonywania niniejszej dyrektywy w zakresie dotyczącym dokumentacji przez administratorów danych i podmioty przetwarzające dane bezpieczeństwa przetwarzania, zwłaszcza w odniesieniu do norm szyfrowania, i zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz odpowiedniego poziomu ochrony zapewnianego przez państwo trzecie lub terytorium lub sektor, w którym odbywa się przetwarzanie w tym państwie trzecim, lub też organizację międzynarodową, Komisji , należy powierzyć kompetencje Komisji uprawnienia wykonawcze. Uprawnienia te powinny być wykonywane zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiającym przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję(6). [Popr. 52]

(68)  Środki dotyczące prowadzenia dokumentacji przez administratorów i podmioty przetwarzające, bezpieczeństwa przetwarzania, i zgłaszania organowi nadzorczego nadzorczemu naruszeń ochrony danych osobowych oraz odpowiedniego poziomu ochrony zapewnianego przez państwo trzecie albo terytorium lub sektor, w którym odbywa się przetwarzanie w tym państwie trzecim, lub też organizację międzynarodową powinny być przyjmowane w trybie procedury sprawdzającej, ze względu na powszechny zakres zastosowania stosowania tych aktów. [Popr. 53]

(69)  Komisja powinna przyjąć akty wykonawcze mające natychmiastowe zastosowanie, jeśli, w należycie uzasadnionych przypadkach dotyczących państwa trzeciego, terytorium lub sektora, w którym przetwarzane są dane w tym państwie trzecim, lub w organizacji międzynarodowej, które nie zapewniają odpowiedniego poziomu ochrony, jest to bezwzględnie konieczne ze względu na potrzebę pilnych działań. [Popr. 54]

(70)  Ponieważ cele niniejszego rozporządzenia, mianowicie ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony ich danych osobowych, oraz zapewnienie swobodnego przepływu danych osobowych w ramach całej Unii, nie mogą zostać osiągnięte w wystarczającym stopniu przez państwa członkowskie, natomiast lecz z uwagi na skalę i skutki proponowanego działania możliwe jest lepsze ich osiągnięcie na szczeblu unijnym, Unia może przyjąć środki zgodnie z zasadą pomocniczości, o której mowa w art. 5 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w tym artykule niniejsza dyrektywa nie wychodzi wykracza poza zakres niezbędny to, co jest niezbędne do osiągnięcia tego celu tych celów. Państwa członkowskie mogą ustanowić przepisy przewidujące wyższe standardy niż te przewidziane w niniejszej dyrektywie. [Popr. 55]

(71)  Decyzję ramową 2008/977/WSiSW należy uchylić niniejszą dyrektywą.

(72)  Dyrektywa nie powinna wpływać na przepisy szczególne dotyczące przetwarzania danych osobowych przez właściwe organy na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania lub w celu wykonywania kar kryminalnych zawarte w aktach Unii przyjętych przed datą przyjęcia niniejszej dyrektywy, regulujące przetwarzanie danych osobowych między państwami członkowskimi lub dostęp wyznaczonych organów państw członkowskich do systemów informacyjnych ustanowionych na mocy Traktatów. W związku z tym, że z art. 8 Karty oraz z art. 16 TFUE wynika, iż podstawowe prawo do ochrony danych osobowych należy zapewnić w spójny i jednolity sposób w całej Unii, Komisja powinna, w terminie dwóch lat od wejścia w życie niniejszej dyrektywy, ocenić sytuację pod kątem stosunku niniejszej dyrektywy do aktów przyjętych przed datą przyjęcia niniejszej dyrektywy regulujących przetwarzanie danych osobowych między państwami członkowskimi lub dostęp wyznaczonych organów państw członkowskich do systemów informacyjnych ustanowionych na mocy Traktatów, w celu oceny potrzeby uzgodnienia tych przepisów szczególnych z niniejszą dyrektywą oraz powinna przedstawić odpowiednie wnioski mające na celu zapewnienie spójnych i jednolitych przepisów prawnych dotyczących przetwarzania danych osobowych przez właściwe organy lub dostępu wyznaczonych organów państw członkowskich do systemów informacyjnych ustanowionych na mocy Traktatów, a także przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania, albo wykonywania kar kryminalnych w ramach zakresu stosowania niniejszej dyrektywy. [Popr. 56]

(73)  Aby zagwarantować całościową i spójną ochronę danych osobowych w Unii umowy międzynarodowe zawarte przez Unię lub państwa członkowskie przed wejściem w życie niniejszej dyrektywy powinny zostać zmienione zgodnie z niniejszą dyrektywą. [Popr. 57]

(74)  Niniejsza dyrektywa pozostaje bez uszczerbku dla przepisów dotyczących zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej ustanowionych w dyrektywie 2011/93/UE Parlamentu Europejskiego i Rady(7).

(75)  Zgodnie z art. 6a Protokołu nr 21 w sprawie stanowiska Zjednoczonego Królestwa i Irlandii w odniesieniu do przestrzeni wolności, bezpieczeństwa i sprawiedliwości załączonego do Traktatu o Unii Europejskiej i Traktatu o funkcjonowaniu Unii Europejskiej, Zjednoczone Królestwo i Irlandia nie są związane przepisami ustanowionymi w niniejszej dyrektywie w przypadkach, w których państwa te nie są związane przepisami regulującymi formy współpracy wymiarów sprawiedliwości w sprawach karnych lub współpracy policyjnej, które wymagają przestrzegania przepisów ustanowionych na podstawie art. 16 Traktatu o funkcjonowaniu Unii Europejskiej.

(76)  Zgodnie z art. 2 i 2a Protokołu nr 22 w sprawie stanowiska Danii załączonego do Traktatu o Unii Europejskiej i Traktatu o funkcjonowaniu Unii Europejskiej, Dania nie jest związana niniejszą dyrektywą ani nie ma ona do niej zastosowania. Ze względu na to, że niniejsza dyrektywa stanowi rozwinięcie dorobku Schengen w rozumieniu postanowień tytułu V Traktatu o funkcjonowaniu Unii Europejskiej Dania, zgodnie z art. 4 tego protokołu, w terminie sześciu miesięcy od daty przyjęcia niniejszej dyrektywy podejmuje decyzję czy dokona transpozycji dyrektywy do swojego prawa krajowego. [Popr. 58]

(77)  W odniesieniu do Norwegii i Islandii, niniejsza dyrektywa stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy zawartej przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącej włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen(8).

(78)  W odniesieniu do Szwajcarii, niniejsza dyrektywa stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Umowy zawartej między Unią Europejską i Wspólnotą Europejską a Konfederacją Szwajcarską w sprawie włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen(9).

(79)  W odniesieniu do Lichtensteinu, niniejsza dyrektywa stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu w sprawie przystąpienia Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen(10).

(80)  Niniejsza dyrektywa respektuje prawa podstawowe i jest zgodna z zasadami uznanymi w Karcie utrwalonej w Traktacie, w szczególności prawem do poszanowania życia prywatnego i rodzinnego, prawem do ochrony danych osobowych oraz prawem do skutecznego środka ochrony prawnej i rzetelnego procesu. Ograniczenia tych praw są zgodne z art. 52 ust. 1 karty, ponieważ są niezbędne do realizacji celów leżących w interesie ogólnym uznanych przez Unię lub ze względu na potrzebę ochrony praw i wolności innych osób.

(81)  Zgodnie ze wspólną deklaracją polityczną państw członkowskich i Komisji dotyczącą dokumentów wyjaśniających z dnia 28 września 2011 r.(11), państwa członkowskie zobowiązały w uzasadnionych przypadkach dołączyć do zawiadomienia o swoich środkach transpozycji przynajmniej jeden dokument wyjaśniający związek między elementami dyrektywy a odpowiadającymi im częściami krajowych instrumentów transpozycyjnych. W odniesieniu do niniejszej dyrektywy prawodawca uznaje przekazanie tych dokumentów za uzasadnione,

(82)  Niniejsza dyrektywa nie powinna stanowić dla państw członkowskich przeszkody we wdrażaniu w krajowych przepisach o postępowaniu karnym środków zapewniających możliwość korzystania przez podmioty danych z prawa do informacji, dostępu, poprawienia, usunięcia i ograniczenia ich danych osobowych w toku postępowania karnego oraz ewentualnych ograniczeń tych praw,

PRZYJMUJĄ NINIEJSZĄ DYREKTYWĘ:

ROZDZIAŁ I

PRZEPISY OGÓLNE

Artykuł 1

Przedmiot i cele

1.  Niniejsza dyrektywa ustanawia przepisy dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania i wykonywania kar kryminalnych oraz warunki swobodnego przepływu takich danych osobowych.

2.  Zgodnie z niniejszą dyrektywą państwa członkowskie:

a)  chronią prawa podstawowe i wolności osób fizycznych, w szczególności ich prawo do ochrony ich danych osobowych i prywatności; oraz

b)  zapewniają, by wymiana danych osobowych przez właściwe organy w Unii nie była ani ograniczana, ani zakazywana z przyczyn związanych z ochroną osób fizycznych w zakresie przetwarzania danych osobowych.

2a.  Niniejsza dyrektywa nie wyklucza ustanowienia przez państwa członkowskie gwarancji na wyższym poziomie niż ten ustanowiony w niniejszej dyrektywie. [Popr. 59]

Artykuł 2

Zakres

1.  Niniejsza dyrektywa ma zastosowania do przetwarzania danych osobowych przez właściwe organy do celów, o których mowa w art. 1 ust. 1.

2.  Niniejsza dyrektywa ma zastosowanie do przetwarzania danych osobowych w sposób zautomatyzowany w całości lub w części oraz innych rodzajów przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.

3.  Niniejsza dyrektywa nie ma zastosowania do przetwarzania danych osobowych:

a)  w ramach działalności wykraczającej poza zakres prawa Unii, w szczególności dotyczącej bezpieczeństwa narodowego;

b)  przez instytucje, organy i jednostki organizacyjne Unii. [Popr. 60]

Artykuł 3

Definicje

Do celów niniejszej dyrektywy:

(1)  „podmiot danych” oznacza zidentyfikowaną osobę fizyczną lub osobę fizyczną, którą można zidentyfikować, bezpośrednio lub pośrednio, za pomocą wszelkich środków, które z rozsądnym prawdopodobieństwem mogą być użyte przez administratora lub inną osobę fizyczną bądź prawną, szczególnie przez odniesienie do numeru identyfikacyjnego, danych dotyczących lokalizacji, identyfikatora online lub też przynajmniej jednego czynnika charakterystycznego dla fizycznej, fizjologicznej, genetycznej, umysłowej, ekonomicznej, kulturowej lub społecznej tożsamości tej osoby;

(2)  „dane osobowe” oznaczają wszelkie informacje dotyczące podmiotu zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („podmiot danych ”); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, w szczególności przez odwołanie się do takich danych identyfikujących, jak imię i nazwisko, numer identyfikacyjny, miejsce przebywania, niepowtarzalny identyfikator, lub do co najmniej jednego szczególnego czynnika określającego tożsamość fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową czy społeczną lub tożsamość płciową tej osoby;

(2a)  „dane pseudonimiczne” oznaczają dane osobowe, których nie można przypisać konkretnemu podmiotowi danych bez użycia dodatkowych informacji, dopóki dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie podmiotowi danych;

(3)  „przetwarzanie” oznacza każdą operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptacja lub modyfikacja, pobieranie, uzyskiwanie wglądu, wykorzystywanie, ujawnianie poprzez przekazywanie, rozpowszechnianie lub udostępnianie w inny sposób, dopasowywanie lub łączenie, ograniczanie usuwanie lub niszczenie;

(3a)  „profilowanie” oznacza wszelką formę automatycznego przetwarzania danych mającego służyć ocenie niektórych indywidualnych aspektów tej osoby fizycznej lub też analizie bądź przewidzeniu zwłaszcza wyników w pracy, sytuacji ekonomicznej, miejsca przebywania, zdrowia, osobistych preferencji, wiarygodności lub zachowania tej osoby fizycznej;

(4)  „ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przetwarzania w przyszłości;

(5)  „zbiór danych” oznacza każdy zorganizowany zestaw danych osobowych, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany lub rozproszony funkcjonalnie lub geograficznie;

(6)  „administrator” oznacza właściwy organ publiczny, który samodzielnie lub wspólnie z innymi organami ustala cele, warunki i sposoby przetwarzania danych osobowych; w przypadkach, w których cele, warunki i sposoby przetwarzania ustalane są prawem Unii lub państwa członkowskiego, administrator lub szczególne kryteria wyznaczania go jego mogą zostać określone w prawie Unii lub państwa członkowskiego;

(7)  „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

(8)  „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, agencję, lub inny podmiot, któremu ujawnia się dane osobowe;

(9)  „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego przypadkowe lub niezgodne z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu zniszczenie, utratę, modyfikację, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub przetwarzanych w inny sposób;

(10)  „dane genetyczne” oznaczają wszelkie dane dowolnego rodzaju dotyczące charakterystycznych cech osoby fizycznej, odziedziczonych lub nabytych na etapie wczesnego rozwoju prenatalnego;

(11)  „dane biometryczne” oznaczają wszelkie dane osobowe dotyczące cech fizycznych, fizjologicznych i behawioralnych danej osoby, które umożliwiają jej precyzyjną identyfikację, takie jak wizerunek twarzy lub dane daktyloskopijne;

(12)  „dane dotyczące zdrowia” oznaczają wszelkie informacje dane osobowe związane ze zdrowiem fizycznym lub psychicznym danej osoby lub ze świadczeniem usług zdrowotnych na jej rzecz;

(13)  „dziecko” oznacza każdą osobę w wieku poniżej 18 lat;

(14)  „właściwe organy” oznaczają każdy organ publiczny właściwy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania oraz wykonywania kar kryminalnych;

(15)  „organ nadzorczy” oznacza organ publiczny ustanowiony przez państwo członkowskie zgodnie z art. 39. [Popr. 61]

ROZDZIAŁ II

ZASADY

Artykuł 4

Zasady dotyczące przetwarzania danych osobowych

Państwa członkowskie stanowią przepisy nakazujące, by dane osobowe były:

a)  przetwarzane rzetelnie i zgodnie z prawem, rzetelnie oraz w sposób przejrzysty i umożliwiający weryfikację w odniesieniu do podmiotu danych;

b)  zbierane w konkretnych, bezpośrednich i zgodnych z prawem celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;

c)  prawidłowe, właściwe oraz by nie wykraczały poza zakres niezbędny ograniczone do minimum niezbędnego do celów, dla których są przetwarzane; dane te są przetwarzane jedynie wtedy gdy i tylko przez okres, w którym tych celów nie można osiągnąć, przetwarzając informacje, które nie obejmują danych osobowych;

d)  dokładne i, w razie potrzeby, aktualne; należy podjąć wszelkie zasadne działania, by zapewnić niezwłoczne usunięcie lub poprawienie niedokładnych danych osobowych, z uwzględnieniem celów ich przetwarzania;

e)  przechowywane w formie umożliwiającej identyfikację podmiotów danych przez czas nie dłuższy niż jest to konieczne do celów, dla których dane są przetwarzane;

f)  przetwarzane pod nadzorem i na odpowiedzialność administratora, który zapewnia i jest w stanie wykazać zgodność z przepisami przyjętymi na mocy niniejszej dyrektywy;

fa)  przetwarzane w sposób skutecznie umożliwiający podmiotowi danych wykonywanie jego praw opisanych w art. 10–17;

fb)  przetwarzane w taki sposób, który zabezpiecza przed niedozwolonym lub niezgodnym z prawem przetwarzaniem i przed przypadkową utratą, zniszczeniem lub uszkodzeniem, z wykorzystaniem odpowiednich środków technicznych i organizacyjnych;

fc)  przetwarzane wyłącznie przez należycie uprawnionych pracowników właściwych organów, którzy potrzebują tych danych do wykonywania powierzonych im zadań. [Popr. 62]

Artykuł 4a

Dostęp do danych przetwarzanych pierwotnie w celach innych niż te, o których mowa w art. 1 ust. 1

1.  Państwa członkowskie stanowią przepisy przewidujące, że właściwe organy mogą mieć dostęp do danych osobowych przetwarzanych pierwotnie w celach innych niż te, o których mowa w art. 1 ust. 1, jedynie wówczas, gdy wyraźnie zezwala na to prawo Unii lub państw członkowskich, które musi spełniać wymogi określone w art. 7 ust. 1a oraz musi obejmować przepisy stanowiące, że:

a)  prawo dostępu mają wyłącznie należycie uprawnieni pracownicy właściwych organów w ramach wykonywania powierzonych im zdań, gdy w konkretnym przypadku istnieją uzasadnione powody, by sądzić, że przetwarzanie danych osobowych w znacznym stopniu przyczyni się do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo wykonywania kar kryminalnych;

b)  wnioski o przyznanie dostępu muszą być składane na piśmie i zawierać odniesienie do podstawy prawnej umożliwiającej wystąpienie z wnioskiem;

c)  pisemny wniosek musi być udokumentowany; oraz

d)  wprowadza się odpowiednie gwarancje mające zapewnić ochronę praw podstawowych i wolności w związku z przetwarzaniem danych osobowych. Gwarancje te pozostają bez uszczerbku dla szczegółowych warunków dostępu do danych osobowych, takich jak zezwolenie sądu wydane zgodnie z prawem państw członkowskich, i mają względem nich charakter uzupełniający.

2.  Do danych osobowych przechowywanych przez podmioty niepubliczne lub inne organy publiczne uzyskuje się dostęp jedynie w celu prowadzenia dochodzeń w sprawie przestępstw i ścigania ich w oparciu o wymogi konieczności i proporcjonalności, które zostaną określone w prawie Unii lub w prawie państwa członkowskiego, w pełnej zgodności z przepisami art. 7a. [Popr. 63]

Artykuł 4b

Ograniczenia czasowe dotyczące przechowywania i przeglądu danych

1.  Państwa członkowskie stanowią przepisy przewidujące, że dane osobowe przetwarzane na mocy niniejszej dyrektywy są usuwane przez właściwe organy z chwilą, gdy nie są już one niezbędne do celów, dla których były przetwarzane.

2.  Państwa członkowskie stanowią przepisy przewidujące, że zgodnie z art. 4 właściwe organy wdrażają mechanizmy mające zapewnić ustalenie terminów usuwania danych osobowych oraz terminów okresowego przeglądu konieczności przechowywania danych, w tym ustalanie okresów przechowywania różnych kategorii danych osobowych. Ustanawia się środki proceduralne w celu zadbania o to, by te ograniczenia czasowe, terminy lub odstępy pomiędzy okresowymi przeglądami były przestrzegane. [Popr. 64]

Artykuł 5

Rozróżnianie poszczególnych kategorii osób , których Różne kategorie podmiotów danych dotyczą

1.  Państwa członkowskie stanowią przepisy wymagające od administratorów, by w możliwym zakresie rozróżniali przewidujące, że do celów, o których mowa w art. 1 ust. 1, właściwe organy mogą przetwarzać dane osobowe poszczególnych kategorii następujących różnych podmiotów danych takich jak , a administrator wyraźnie rozróżnia takie kategorie:

a)  osoby, w stosunku do których istnieją poważne podstawy uzasadnione powody, by przypuszczać, że popełniły lub zamierzają popełnić przestępstwo;

b)  osoby skazane za przestępstwo;

c)  osób osoby, które padły ofiarą przestępstwa lub w przypadku których określone fakty wskazują, że mogły paść ofiarą przestępstwa; oraz

d)  osoby trzecie w stosunku do przestępstwa, takie jak osoby, które mogą być wezwane do złożenia zeznań w ramach dochodzenia dotyczącego przestępstwa lub dalszych etapów postępowania karnego lub osoby mogące dostarczyć informacji o przestępstwach albo osoby mające kontakt z jedną z osób wymienionych w lit. a) lub b) albo wspólnicy tych osób; oraz .

e)  osoby, które nie należą do żadnej z wyżej wymienionych kategorii.

2.  Dane osobowe podmiotów danych innych niż te, o których mowa w ust. 1, mogą być przetwarzane wyłącznie:

a)  przez niezbędny okres do celów prowadzenia dochodzenia w sprawie konkretnego przestępstwa lub jego ścigania w celu oceny istotności danych w odniesieniu do jednej z kategorii wskazanych w ust. 1; lub

b)  gdy takie przetwarzanie jest niezbędne do konkretnych celów zapobiegawczych lub do celów analizy kryminalnej i tylko przez okres, w którym dany cel jest uzasadniony, odpowiednio zdefiniowany i konkretny, a przetwarzanie jest ściśle ograniczone do oceny istotności danych w odniesieniu do jednej z kategorii określonych w ust. 1. Podlega to regularnemu przeglądowi przynajmniej co sześć miesięcy. Wszelkie dalsze wykorzystanie tych danych jest zakazane.

3.  Państwa członkowskie stanowią przepisy przewidujące, że dodatkowe ograniczenia i gwarancje zgodne z prawem państw członkowskich stosuje się do dalszego przetwarzania danych osobowych dotyczących podmiotów danych, o których mowa w ust. 1 lit. c) i d). [Popr. 65]

Artykuł 6

Różne stopnie dokładności i wiarygodności danych osobowych

1.  Państwa członkowskie zapewniają by, na ile to możliwe, różne kategorie stanowią przepisy przewidujące, że zapewnia się dokładność i wiarygodność danych osobowych poddawanych przetwarzaniu były rozróżniane według stopnia ich dokładności i wiarygodności.

2.  Państwa członkowskie zapewniają, dopilnowują, by dane osobowe oparte na ile to możliwe, rozróżnienie między danymi osobowymi opartymi na faktach i danymi osobowymi opartymi dane osobowe oparte na indywidualnej ocenie były rozróżniane według stopnia ich dokładności i wiarygodności.

2a.  Państwa członkowskie dopilnowują, by nieprawidłowe, niepełne lub już nieaktualne dane osobowe nie były przekazywane ani udostępniane. W tym celu właściwe organy oceniają jakość danych osobowych przed ich przekazaniem lub udostępnieniem. Ilekroć przekazuje się dane, dołącza się do nich w miarę możliwości informacje, dzięki którym odbierające je państwo członkowskie może ocenić stopień dokładności, kompletności i wiarygodności tych danych oraz stopnia ich aktualności. Danych osobowych nie przekazuje się bez wniosku właściwego organu, zwłaszcza gdy dane należały początkowo do podmiotu niepublicznego.

2b.  Jeżeli stwierdzono, że przekazano dane nieprawidłowe lub że dane przekazano niezgodnie z prawem, bezzwłocznie informuje się o tym odbiorcę. Odbiorca ma obowiązek bezzwłocznego poprawienia tych danych zgodnie z ust. 1 i art. 15 lub ich usunięcia zgodnie z art. 16. [Popr. 66]

Artykuł 7

Zgodność z prawem przetwarzania z prawem

1.  Państwa członkowskie stanowią przepisy przewidujące, że przetwarzanie danych osobowych jest zgodne z prawem jedynie wtedy o ile , gdy opiera się ono na prawie unijnym lub krajowym do celów określonych w art. 1 ust. 1 i jest ono niezbędne:

a)  do wykonania zadania realizowanego przez właściwy organ, w oparciu o prawo, do celów określonych w art. 1 ust. 1; lub

b)  do wypełnienia obowiązku prawnego ciążącego na administratorze; lub

c)  w celu ochrony żywotnych interesów podmiotu danych lub innej osoby; lub

d)  dla zażegnania bezpośredniego i poważnego zagrożenia dla bezpieczeństwa publicznego.

1a.  Prawo państwa członkowskiego regulujące przetwarzanie danych osobowych w ramach zakresu stosowania niniejszej dyrektywy obejmuje wyraźnie sformułowane i szczegółowe przepisy określające co najmniej:

a)  cele przetwarzania;

b)  dane osobowe, które mogą być przetwarzane;

c)  konkretne cele i sposoby przetwarzania;

d)  wyznaczenie administratora lub szczegółowe kryteria dotyczące jego wyznaczenia;

e)  kategorie należycie uprawnionych pracowników właściwych organów do przetwarzania danych osobowych;

f)  procedurę, którą należy stosować podczas przetwarzania;

g)  użytek, jaki można zrobić z uzyskanych danych osobowych;

h)  ograniczenia zakresu swobody przyznanej właściwym organom w odniesieniu do działań związanych z przetwarzaniem. [Popr. 67]

Artykuł 7a

Dalsze przetwarzanie w sposób niezgodny z celami

1.  Państwa członkowskie stanowią przepisy przewidujące, że dane osobowe mogą być dalej przetwarzane w innym celu określonym w art. 1 ust. 1, który to cel nie jest zgodny z celami, do których dane zostały pierwotnie zebrane, jedynie wtedy, gdy:

a)  jest to bezwzględnie niezbędne i proporcjonalne w demokratycznym społeczeństwie oraz wymagane na mocy prawa unijnego lub krajowego do osiągnięcia uzasadnionego, odpowiednio zdefiniowanego i konkretnego celu;

b)  przetwarzanie jest ściśle ograniczone do okresu nieprzekraczającego czasu niezbędnego do przeprowadzenia konkretnej operacji przetwarzania danych;

c)  dalsze użycie w innych celach jest zakazane.

Przed rozpoczęciem przetwarzania państwo członkowskie konsultuje się z właściwym krajowym organem nadzoru i przeprowadza ocenę skutków w zakresie ochrony danych.

2.  Oprócz wymogów określonych w art. 7 ust. 1a prawo państw członkowskich zezwalające na dalsze przetwarzanie, o którym mowa w ust. 1, zawiera także wyraźnie sformułowane i szczegółowe przepisy określające co najmniej:

a)  konkretne cele i sposoby danego przetwarzania;

b)  że prawo dostępu mają wyłącznie należycie uprawnieni pracownicy właściwych organów w ramach wykonywania powierzonych im zadań, jeżeli w konkretnym przypadku istnieją uzasadnione powody, aby sądzić, że przetwarzanie danych osobowych w znacznym stopniu przyczyni się do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo wykonywania kar kryminalnych; oraz

c)  że ustanowione są odpowiednie gwarancje mające zapewnić ochronę praw podstawowych i wolności w związku z przetwarzaniem danych osobowych.

Państwa członkowskie mogą wymagać, aby dostęp do danych osobowych podlegał dodatkowym warunkom, takim jak zezwolenie sądu, zgodnie z prawem krajowym państwa członkowskiego.

3.  Państwa członkowskie mogą również zezwolić na dalsze przetwarzanie danych osobowych do celów o charakterze historycznym, statystycznym lub naukowym, o ile ustanowią one odpowiednie gwarancje, takie jak anonimizacja danych. [Popr. 68]

Artykuł 8

Przetwarzanie szczególnych kategorii danych osobowych

1.  Państwa członkowskie zabraniają przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, wierzenia religijne lub przekonania filozoficzne, orientację seksualną lub tożsamość płciową, przynależność do związków zawodowych i ich działalność, jak również przetwarzania danych genetycznych biometrycznych lub danych dotyczących zdrowia i życia seksualnego.

2.  Ustęp 1 nie ma zastosowania, w przypadku gdy:

a)  na przetwarzanie zezwala prawo przewidujące jest bezwzględnie niezbędne i proporcjonalne do wykonania przez właściwe organy zadania do celów określonych w art. 1 ust. 1, w oparciu o prawo Unii lub państwa członkowskiego, które przewiduje szczegółowe i odpowiednie gwarancje środki ochrony uzasadnionych interesów podmiotu danych, w tym szczególne zezwolenie wydane przez organy sądowe, jeżeli wymóg taki istnieje w prawie krajowym; lub

b)  przetwarzanie jest niezbędne w celu ochrony żywotnych interesów podmiotu danych lub innej osoby; lub

c)  przetwarzanie dotyczy danych osobowych, które zostały wyraźnie podane do publicznej wiadomości przez podmiot danych, pod warunkiem że są one istotne i bezwzględnie niezbędne do osiągnięcia celu w tym konkretnym przypadku. [Popr. 69]

Artykuł 8a

Przetwarzanie danych genetycznych na potrzeby śledztwa lub postępowania sądowego

1.  Państwa członkowskie dopilnowują, by dane genetyczne mogły być wykorzystywane jedynie do ustalenia powiązania genetycznego w ramach gromadzenia materiału dowodowego, zapobiegania zagrożeniu dla bezpieczeństwa publicznego lub przeciwdziałania popełnieniu konkretnego przestępstwa. Dane genetyczne nie mogą być wykorzystywane do określania innych charakterystycznych cech, które mogą być genetycznie powiązane.

2.  Państwa członkowskie stanowią przepisy przewidujące, że dane genetyczne lub informacje pochodzące z ich analizy mogą być przechowywane tylko przez niezbędny okres do celów, dla których dane są przetwarzane, i jeżeli odnośna osoba była skazana za popełnienie poważnego przestępstwa przeciwko życiu, zdrowiu lub bezpieczeństwu innych osób, przy czym dane te podlegają rygorystycznym okresom przechowywania, które zostaną określone w prawie państwa członkowskiego.

3.  Państwa członkowskie dopilnowują, by dane genetyczne lub informacje pochodzące z ich analizy były przechowywane przez dłuższy okres jedynie wtedy, gdy dane genetyczne nie mogą zostać przypisane konkretnej osobie, zwłaszcza w sytuacji, gdy materiał genetyczny został znaleziony na miejscu popełnienia przestępstwa. [Popr. 70]

Artykuł 9

Środki oparte na profilowaniu i automatycznym przetwarzaniu

1.  Państwa członkowskie stanowią przepisy przewidujące, że środki wywołujące niekorzystne skutki prawne dla podmiotu danych, lub mające na tę osobę istotny wpływ i oparte wyłącznie częściowo lub całkowicie na automatycznym przetwarzaniu danych mającym służyć ocenie niektórych aspektów o charakterze osobistym podmiotu danych, jest zakazane, chyba że zostanie dopuszczone prawem, które przewiduje również gwarancje słusznych uzasadnionych interesów podmiotu danych.

2.  Automatyczne przetwarzanie danych osobowych, które ma służyć ocenie niektórych aspektów osobistych osoby fizycznej, nie opiera się jedynie na szczególnych kategoriach danych osobowych, o których mowa w art. 8.

2a.  Automatyczne przetwarzanie danych osobowych, które ma służyć wyodrębnieniu podmiotu danych bez wstępnego podejrzenia, że podmiot danych mógł popełnić lub popełni przestępstwo, jest zgodne z prawem jedynie wtedy, gdy jest ono bezwzględnie konieczne do celów prowadzenia dochodzenia w sprawie poważnego przestępstwa lub zapobiegania, na podstawie faktycznych oznak, wyraźnemu i zbliżającemu się zagrożeniu bezpieczeństwa publicznego, istnienia państwa lub życia ludzi.

2b.  Zakazuje się wszelkiego profilowania, które w sposób zamierzony lub nie skutkuje dyskryminacją osób ze względu na ich rasę lub pochodzenie etniczne, poglądy polityczne, religię lub przekonania, przynależność do związków zawodowych, płeć lub orientację seksualną albo które w sposób zamierzony lub nie skutkuje środkami mającymi taki efekt. [Popr. 71]

Artykuł 9a

Ogólne zasady dotyczące praw podmiotu danych

1.  Państwa członkowskie dopilnowują, by podstawa ochrony danych była jasna i wiązała się z jednoznacznymi prawami podmiotu danych, których administrator danych musi przestrzegać. Przepisy niniejszej dyrektywy mają na celu wzmocnienie, doprecyzowanie, zagwarantowanie i, w stosownych przypadkach, ujednolicenie tych praw.

2.  Państwa członkowskie dopilnowują, by takie prawa obejmowały m.in. przekazywanie jasnych i łatwo zrozumiałych informacji dotyczących kwestii takich jak przetwarzanie danych osobowych podmiotu danych, prawo dostępu do danych, ich poprawiania i usuwania, prawo do otrzymywania danych, prawo do wniesienia skargi do właściwego organu ds. ochrony danych oraz do wszczęcia postępowania sądowego, a także prawo do rekompensaty i odszkodowania w związku z niezgodnymi z prawem operacjami przetwarzania. Zasadniczo takie prawa przysługują bezpłatnie. Administrator danych rozpatruje wnioski podmiotu danych w rozsądnym terminie. [Popr. 72]

ROZDZIAŁ III

PRAWA PODMIOTU DANYCH

Artykuł 10

Tryby wykonywania praw przez podmiot danych

1.  Państwa członkowskie stanowią przepisy przewidujące, że administrator podejmuje wszystkie rozsądne kroki, aby dysponować dysponuje zwięzłymi, przejrzystymi, czytelnymi i łatwo dostępnymi politykami w zakresie przetwarzania danych osobowych i wykonywania praw przez podmioty danych.

2.  Państwa członkowskie stanowią przepisy przewidujące, że wszelkie informacje i komunikaty dotyczące przetwarzania danych osobowych mają być przekazywane przez administratora podmiotowi danych w czytelnej formie, w jasnym i prostym języku, zwłaszcza w przypadku, gdy bezpośrednim adresatem informacji jest dziecko.

3.  Państwa członkowskie stanowią przepisy przewidujące, że administrator podejmuje wszystkie rozsądne kroki w celu ustanowienia procedur ustanawia procedury dostarczenia informacji, o których mowa w art. 11 i wykonywania praw podmiotów podmiotu danych, o których mowa w art. 12-17. Jeśli przetwarzanie danych odbywa się w sposób zautomatyzowany, administrator zapewnia możliwość składania wniosków drogą elektroniczną.

4.  Państwa członkowskie stanowią przepisy przewidujące, że administrator niezwłocznie informuje podmiot danych o sposobie reakcji na jego wniosek, a w każdym przypadku najpóźniej w terminie jednego miesiąca od daty otrzymania wniosku. Informacji tej udziela się na piśmie. Jeśli podmiot danych składa wniosek w formie elektronicznej, informacje także przekazywane są w formie elektronicznej.

5.  Państwa członkowskie stanowią przepisy przewidujące, że informacje oraz wszelkie czynności podjęte przez administratora w odpowiedzi na wniosek, o którym mowa w ust. 3 i 4, są zwolnione z opłat. Jeśli wnioski są dokuczliwe wyraźnie przesadne, w szczególności ze względu na składanie ich w sposób uporczywy albo ze względu na zakres wniosku ich powtarzający się charakter, administrator może pobrać rozsądnej wysokości opłatę uwzględniającą koszty administracyjne za udzielenie wnioskowanych informacji lub podjęcie wnioskowanych czynności lub też może nie wykonać wnioskowanych czynności. W takim przypadku na administratorze spoczywa ciężar udowodnienia dokuczliwego wyraźnie przesadnego charakteru wniosku.

5a.  Państwa członkowskie mogą ustanowić przepisy przewidujące, że podmiot danych może dochodzić swoich praw bezpośrednio u administratora danych lub za pośrednictwem właściwego krajowego organu nadzorczego. Jeżeli organ nadzorczy podejmie działania na wniosek podmiotu danych, informuje on podmiot danych o przeprowadzonej weryfikacji. [Popr. 73]

Artykuł 11

Informacje o podmiocie danych

1.  Jeżeli zbierane są dane osobowe odnoszące się do podmiotu danych państwa członkowskie zapewniają podejmowanie udzielanie przez administratora wszelkich stosownych środków w celu udzielenia podmiotowi danych co najmniej następujących informacji dotyczących:

a)  tożsamości i danych kontaktowych administratora i inspektora ochrony danych;

b)  podstawy prawnej i celów przetwarzania danych, do których dane są przeznaczone;

c)  okresu przechowywania danych osobowych;

d)  istnienia prawa do wystąpienia do administratora o uzyskanie wglądu do danych, poprawienie ich, usunięcie lub ograniczenie przetwarzania danych osobowych odnoszących się podmiotu danych;

e)  prawa do złożenia skargi do organu nadzorczego, o którym mowa w art. 39, jak również jego danych kontaktowych;

f)  odbiorcy lub kategorii odbiorców danych osobowych, w tym w państwach trzecich lub organizacjach międzynarodowych, których uprawniono do dostępu do danych na mocy prawa tego państwa trzeciego lub na mocy przepisów tych organizacji międzynarodowych, istnienia lub braku decyzji Komisji w sprawie odpowiedniego stopnia ochrony lub, w razie przekazania, o którym mowa w art. 35 lub 36, środków służących uzyskaniu kopii odpowiednich gwarancji stosowanych przy przekazywaniu;

fa)  w sytuacji, gdy administrator przetwarza dane osobowe w sposób opisany w art. 9 ust. 1 – danych na temat faktu przetwarzania w drodze środka takiego jak ten, o którym mowa w art. 9 ust. 1, oraz zamierzonych skutków tego przetwarzania dla podmiotu danych, informacji o zasadach stosowanych przy profilowaniu oraz o prawie do oceny ze strony człowieka;

fb)  środków bezpieczeństwa podjętych w celu ochrony danych osobowych;

g)  wszelkich dalszych informacji o ile są one potrzebne do zagwarantowania rzetelnego przetwarzania danych w stosunku do podmiotu danych uwzględniając szczególne okoliczności, w których dane osobowe są przetwarzane.

2.  W przypadku zbierania danych osobowych od podmiotu danych administrator, poza przekazaniem informacji, o których mowa w ust. 1, informuje podmiot danych o tym, czy przekazanie danych osobowych jest obowiązkowe czy opcjonalne, a także o ewentualnych skutkach braku przekazania tych danych.

3.  Administrator udziela informacji, o których mowa w ust. 1:

a)  w momencie uzyskania danych osobowych od podmiotu danych; lub

b)  jeżeli dane osobowe nie są zbierane od podmiotu danych w momencie ich rejestrowania lub w rozsądnym terminie po zebraniu danych, uwzględniając szczególne okoliczności, w których dane osobowe są przetwarzane.

4.  Państwa członkowskie mogą przyjąć środki legislacyjnej legislacyjne opóźniające, lub ograniczające, lub uchylające udzielenie informacji podmiotowi danych w konkretnym przypadku, o ile takie częściowe lub całkowite ograniczenie stanowi konieczny i proporcjonalny środek w demokratycznym społeczeństwie, przy należytym uwzględnieniu słusznych praw podstawowych i uzasadnionych interesów danej osoby:

a)  aby zapobiec utrudnianiu urzędowych lub innych prawnych dochodzeń, śledztw lub procedur;

b)  aby zapobiec negatywnemu wpływowi na zapobieganie przestępstwom, wykrywanie ich, prowadzenie dochodzeń w ich sprawie i ich ściganie lub wykonywanie kar kryminalnych;

c)  aby chronić bezpieczeństwo publiczne;

d)  aby chronić bezpieczeństwo narodowe;

e)  aby chronić prawa i wolności innych osób.

5.  Państwa członkowskie stanowią przepisy przewidujące, że administrator dokonuje oceny, w każdym konkretnym przypadku, za pośrednictwem konkretnego i indywidualnego badania, czy zastosowanie ma częściowe lub całkowite ograniczenie ze względu na jeden z powodów, o których mowa w ust. 4. Państwa członkowskie mogą także ustalić przepisami prawa kategorie przetwarzania danych, które mogą zostać objęte w całości lub części wyjątkami przewidzianymi w ust. 4 lit. a), b), c) i d). [Popr. 74]

Artykuł 12

Prawo podmiotu danych do dostępu do danych

1.  Państwa członkowskie stanowią przepisy przewidujące prawo podmiotów podmiotu danych do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe odnoszące się do nich niego. W przypadku przetwarzania takich danych osobowych administrator przekazuje następujące informacje, o ile nie zostały jeszcze przekazane:

—  a) przekazanie danych osobowych podlegających przetwarzaniu i wszelkich dostępnych informacji o ich źródle i, w stosownych przypadkach, zrozumiałych informacji o zasadach rządzących wszelkimi operacjami automatycznego przetwarzania;

—  aa) znaczenie i przewidywane skutki takiego przetwarzania, co najmniej w przypadku środków, o których mowa w art. 9;

a)  cele przetwarzania oraz podstawę prawną przetwarzania;

b)  kategorie przedmiotowych danych osobowych;

c)  odbiorcy lub kategorie odbiorców, którym dane osobowe zostały ujawnione, w szczególności odbiorcy w państwach trzecich;

d)  okresu przechowywania danych osobowych;

e)  istnienie prawa do wystąpienia do administratora o poprawienie, usunięcie lub ograniczenie przetwarzania danych osobowych odnoszących się do podmiotu danych;

f)  prawo do złożenia skargi do organu nadzorczego oraz dane kontaktowe organu nadzorczego.

g)  przekazanie danych osobowych podlegających przetwarzaniu i wszelkich dostępnych informacji o ich źródle.

2.  Państwa członkowskie stanowią przepisy przewidujące prawo podmiotu danych do uzyskania od administratora kopii danych osobowych poddawanych przetwarzaniu. Jeśli podmiot danych składa wniosek w formie elektronicznej, informacje także przekazywane są w formie elektronicznej, chyba że podmiot danych zażąda informacji w innej formie. [Popr. 75]

Artykuł 13

Ograniczenia prawa do dostępu

1.  Państwa członkowskie mogą przyjąć środki legislacyjnej legislacyjne ograniczające, w całości lub w części,w zależności od przypadku, prawo dostępu podmiotu danych o ile w zakresie i przez okres, w którym takie częściowe lub całkowite ograniczenie stanowi bezwzględnie konieczny i proporcjonalny środek w demokratycznym społeczeństwie, przy należytym uwzględnieniu słusznych praw podstawowych i uzasadnionych interesów danej osoby:

a)  aby zapobiec utrudnianiu urzędowych lub innych prawnych dochodzeń, śledztw lub procedur;

b)  aby zapobiec negatywnemu wpływowi na zapobieganie przestępstwom, wykrywanie ich, prowadzenie dochodzeń w ich sprawie i ich ściganie lub wykonywanie kar kryminalnych;

c)  aby chronić bezpieczeństwo publiczne;

d)  aby chronić bezpieczeństwo narodowe;

e)  aby chronić prawa i wolności innych osób.

2.  Państwa członkowskie stanowią przepisy przewidujące, że administrator dokonuje oceny, w każdym konkretnym przypadku, za pośrednictwem konkretnego i indywidualnego badania, czy zastosowanie ma częściowe lub całkowite ograniczenie ze względu na jeden z powodów, o których mowa w ust. 1. Państwa członkowskie mogą także ustalić przepisami prawa kategorie przetwarzania danych, które mogą zostać objęte w całości lub części wyjątkami przewidzianymi w ust. 1 lit. a)–d).

3.  W przypadkach, o których mowa w ust. 1 i 2, państwa członkowskie stanowią przepisy przewidujące, że administrator bez zbędnej zwłoki informuje podmiot danych, na piśmie o wszelkich odmowach lub ograniczeniu dostępu, o przyczynach odmowy wraz z umotywowanym wyjaśnieniem oraz o możliwości złożenia skargi do organu nadzorczego i wystąpienia o sądowy środek ochrony prawnej. Można nie podawać informacji o faktycznych i prawnych przyczynach wydania decyzji jeżeli ich udzielenie utrudniłoby realizację celu wynikającego z ust. 1.

4.  Państwa członkowskie zapewniają dopilnowują, by administrator dokumentował ocenę, o której mowa w ust. 2, a także przyczyny nieprzekazania ograniczenia informacji o faktycznych lub prawnych przyczynach wydania decyzji. Powyższe informacje udostępnia się krajowym organom nadzorczym. [Popr. 76]

Artykuł 14

Tryby korzystania z prawa do dostępu

1.  Państwa członkowskie stanowią przepisy przewidujące że podmiot danych, ma w każdym momencie prawo do zwrócenia się, w szczególności w przypadkach, o których mowa w art.  12 i 13, do organu nadzorczego o sprawdzenie zgodności z prawem przetwarzania.

2.  Państwa członkowskie stanowią, że administrator informuje podmiot danych o prawie od zwrócenia się do organu nadzorczego o interwencję na mocy ust. 1.

3.  W przypadku skorzystania z prawa, o którym mowa w ust. 1, organ nadzorczy informuje podmiot danych przynajmniej o dokonaniu przez ten organ wszystkich niezbędnych weryfikacji oraz o ich wynikach w odniesieniu do zgodności z prawem danej operacji przetwarzania. Organ nadzorczy informuje także podmiot danych o jego prawie do uzyskania sądowych środków ochrony prawnej.

3a.  Państwa członkowskie mogą ustanowić przepisy przewidujące, że podmiot danych może dochodzić swoich praw bezpośrednio u administratora danych lub za pośrednictwem właściwego organu nadzorczego.

3b.  Państwa członkowskie zapewniają istnienie rozsądnych terminów rozpatrzenia przez administratora danych wniosku podmiotu danych dotyczącego skorzystania przez niego z prawa dostępu. [Popr. 77]

Artykuł 15

Prawo do poprawienia lub uzupełnienia

1.  Państwa członkowskie stanowią przepisy przewidujące, że podmiot danych, ma prawo do uzyskania od administratora poprawienia lub uzupełnienia niedokładnych lub niepełnych danych osobowych, które go dotyczą. Podmiot danych, ma prawo do uzyskania uzupełnienia niekompletnych danych osobowych, w szczególności w drodze uzupełnienia lub sprostowania.

2.  Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje podmiot danych, na piśmie, o wszelkich odmowach poprawienia lub uzupełnienia danych, o przyczynach odmowy oraz wraz z umotywowanym wyjaśnieniem oraz o możliwości złożenia skargi do organu nadzorczego i wystąpienia o sądowy środek ochrony prawnej.

2a.  Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje o wszelkich operacjach poprawienia każdego odbiorcę, któremu ujawniono dane, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

2b.  Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje o poprawieniu niedokładnych danych osobowych stronę trzecią, od której pochodzą niedokładne dane.

2c.  Państwa członkowskie stanowią przepisy przewidujące, że podmiot danych może dochodzić swoich praw również za pośrednictwem właściwego organu nadzorczego. [Popr. 78]

Artykuł 16

Prawo do usunięcia

1.  Państwa członkowskie stanowią przepisy przewidujące, że podmiot danych ma prawo uzyskania od administratora usunięcia danych osobowych odnoszących się do niego, które go dotyczą, jeżeli przetwarzanie jest niezgodne z przepisami przyjętymi na mocy art. 4 lit. a)-e), art. 7 i 8 , 6 i 7–8 niniejszej dyrektywy.

2.  Administrator usuwa dane niezwłocznie. Administrator powstrzymuje się również od dalszego rozpowszechniania takich danych.

3.  Zamiast usunąć je, administrator oznacza dane osobowe ogranicza przetwarzanie danych osobowych, jeżeli:

a)  podmiot danych kwestionuje ich dokładność, przez okres pozwalający administratorowi danych na sprawdzenie dokładności danych; lub

b)  dane osobowe muszą być zachowane do celów dowodowych; lub w celu ochrony żywotnych interesów podmiotu danych lub innej osoby.

c)  podmiot danych sprzeciwia się ich usunięciu, występując w zamian o ograniczenie ich używania.

3a.  Jeżeli przetwarzanie danych osobowych jest ograniczone na mocy ust. 3, administrator informuje podmiot danych przed zniesieniem ograniczenia dotyczącego przetwarzania.

4.  Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje podmiot danych, na piśmie o wszelkich odmowach usunięcia lub oznaczenia ograniczenia przetwarzania danych wraz z umotywowanym wyjaśnieniem, o przyczynach odmowy oraz o możliwości złożenia skargi do organu nadzorczego i wystąpienia o sądowy środek ochrony prawnej.

4a.  Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje odbiorców, którym te dane zostały przesłane, o wszelkich operacjach usunięcia lub ograniczenia przetwarzania dokonanych zgodnie z ust. 1, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje podmiot danych o tych osobach trzecich.

4b.  Państwa członkowskie mogą ustanowić przepisy przewidujące, że podmiot danych może dochodzić swoich praw bezpośrednio u administratora danych lub za pośrednictwem właściwego organu nadzorczego. [Popr. 79]

Artykuł 17

Prawa podmiotu danych w dochodzeniu i postępowaniu karnym

Państwa członkowskie mogą ustanowić przepisy przewidujące, że prawa do informacji, dostępu, poprawienia, usunięcia i ograniczenia przetwarzania, o których mowa w art. 11-16 wykonywane są zgodnie z krajowymi przepisami postępowania karnego, jeżeli dane osobowe zawarte są w orzeczeniu lub protokole sądowym przetwarzanym w toku dochodzenia i postępowania karnego.

ROZDZIAŁ IV

ADMINISTRATOR I PODMIOT PRZETWARZAJĄCY

SEKCJA 1

OBOWIĄZKI OGÓLNE

Artykuł 18

Odpowiedzialność administratora

1.  Państwa członkowskie stanowią przepisy przewidujące, że administrator przyjmuje polityki i realizuje odpowiednie środki w celu zapewnienia i wykazania w przejrzysty sposób w przypadku każdej operacji przetwarzania, by że przetwarzanie danych osobowych odbywało odbywa się zgodnie z przepisami przyjętymi na mocy niniejszej dyrektywy, zarówno podczas ustalania środków niezbędnych do przetwarzania, jak i w trakcie samego przetwarzania.

2.  Środki, o których mowa w ust. 1 obejmują w szczególności:

a)  prowadzenie dokumentacji, o której mowa w art. 23;

aa)  przeprowadzanie oceny skutków w zakresie ochrony danych zgodnie z art. 25a;

b)  spełnianie wymogu wcześniejszej konsultacji wynikającego z art. 26;

c)  realizację wymogów bezpieczeństwa danych ustanowionych w art. 27;

d)  wyznaczenie inspektora ochrony danych na mocy art. 30;

da)  w stosownych przypadkach, opracowanie i wdrożenie szczególnych gwarancji w odniesieniu do postępowania z danymi osobowymi dotyczącymi dzieci.

3.  Administrator wdraża mechanizmy służące zapewnieniu weryfikacji adekwatności i skuteczności środków, o których mowa w ust. 1 niniejszego artykułu. Jeżeli jest to proporcjonalne, weryfikacja ta prowadzona jest przez niezależnych wewnętrznych lub zewnętrznych audytorów. [Popr. 80]

Artykuł 19

Uwzględnienie ochrony danych już w fazie projektowania oraz ochrona danych jako opcja domyślna

1.  Państwa członkowskie stanowią przepisy przewidujące, że administrator i ewentualny podmiot przetwarzający, zarówno podczas ustalania celów i środków niezbędnych do przetwarzania, jak i w trakcie samego przetwarzania, wdraża odpowiednie i proporcjonalne środki i procedury techniczne i organizacyjne, uwzględniając najnowsze osiągnięcia techniczne, aktualną wiedzę techniczną, najlepsze praktyki na szczeblu międzynarodowym oraz koszty wdrożenia ryzyko, jakie stwarza przetwarzanie danych, tak by przetwarzanie odpowiadało wymogom przepisów przyjętych na mocy niniejszej dyrektywy oraz gwarantowało ochronę praw osób, których dane dotyczą podmiotów danych, zwłaszcza w odniesieniu do zasad określonych w art. 4. Ochrona danych już w fazie projektowania powinna w szczególności uwzględniać cały cykl zarządzania danymi osobowymi od ich zebrania, przez przetwarzanie, do ich usunięcia, systematycznie koncentrując się na całościowych zabezpieczeniach proceduralnych odnoszących się do dokładności, poufności, integralności, bezpieczeństwa fizycznego i usunięcia danych osobowych. Jeśli administrator przeprowadził ocenę skutków w zakresie ochrony danych zgodnie z art. 25a, jej wyniki uwzględnia się przy opracowywaniu wspomnianych środków i procedur.

2.  Kontroler wdraża mechanizmy służące zapewnieniu Administrator dopilnowuje, by domyślnie przetwarzane były jedynie te dane osobowe, które są niezbędne do realizacji każdego konkretnego celu przetwarzania oraz by w szczególności nie były one zbierane, zatrzymywane lub rozpowszechniane dłużej niż przez okres niezbędny do realizacji tych celów przetwarzania , zarówno jeśli chodzi o ilość danych, jak i o okres ich przechowywania. Mechanizmy te zapewniają w szczególności, by dane osobowe nie były domyślnie udostępniane nieograniczonej liczbie osób oraz by podmioty danych były w stanie kontrolować rozpowszechnianie swoich danych osobowych. [Popr. 81]

Artykuł 20

Współadministratorzy

1.  Państwa członkowskie stanowią przepisy przewidujące, że gdy administrator określa cele i środki przetwarzania danych osobowych wspólnie z innymi administratorami, współadministratorzy ustalają zakres odpowiedzialności za zgodność z obowiązkami wynikającymi z niniejszego rozporządzenia spoczywającej na każdym z nich, w szczególności w odniesieniu do procedur i mechanizmów wykonywania praw podmiotu danych w drodze wspólnych prawnie wiążących uzgodnień.

2.  O ile podmiot danych nie został poinformowany o tym, który ze współadministratorów jest odpowiedzialny zgodnie z ust. 1, podmiot danych może skorzystać ze swoich praw na mocy niniejszej dyrektywy wobec każdego spośród dwóch lub większej liczby współadministratorów. [Popr. 82]

Artykuł 21

Podmiot przetwarzający

1.  Państwa członkowskie stanowią przepisy przewidujące, że gdy przetwarzanie realizowane jest w imieniu administratora, administrator musi wybrać wybiera podmiot przetwarzający dający wystarczające gwarancje wdrożenia odpowiednich środków i procedur technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom przepisów przyjętych na mocy niniejszej dyrektywy oraz gwarantowało ochronę praw osób, których dane dotyczą podmiotów danych, w szczególności jeśli chodzi o techniczne środki bezpieczeństwa i środki organizacyjne regulujące przetwarzanie, które ma być prowadzone, oraz w celu zapewnienia zgodności z tym środkami.

2.  Państwa członkowskie stanowią przepisy przewidujące, że przetwarzanie przez podmiot przetwarzający musi być regulowane umową lub aktem prawnym wiążącym podmiot przetwarzający z administratorem i zawierającym w szczególności zapis, że podmiot przetwarzający działa wyłącznie na polecenie administratora, w szczególności gdy przekazywanie danych osobowych jest zakazane. :

a)  działa wyłącznie na polecenie administratora;

b)  zatrudnia wyłącznie personel, który zgodził się na podleganie obowiązkowi zachowania poufności lub na którym spoczywa ustawowy obowiązek zachowania poufności;

c)  podejmuje wszelkie wymagane środki na mocy art. 27;

d)  angażuje inny podmiot przetwarzający wyłącznie za zgodą administratora i w związku z tym informuje go o zamiarze zaangażowania innego podmiotu przetwarzającego z odpowiednim wyprzedzeniem, aby administrator miał możliwość wyrażenia swojego sprzeciwu;

e)  o ile to możliwe ze względu na charakter przetwarzania, przyjmuje w porozumieniu z administratorem niezbędne techniczne i organizacyjne środki służące wywiązaniu się przez administratora ze spoczywającego na nim obowiązku rozpatrzenia wniosków dotyczących skorzystania przez podmiot danych z praw ustanowionych w rozdziale III;

f)  pomaga administratorowi zapewnić zgodność z obowiązkami określonymi w art. 25a–29;

g)  po zakończeniu przetwarzania zwraca wszystkie wyniki administratorowi i nie przetwarza w żaden inny sposób danych osobowych oraz usuwa istniejące kopie, chyba że prawo Unii lub państwa członkowskiego wymaga ich przechowywania;

h)  udostępnia administratorowi i organowi nadzorczemu wszelkie informacje niezbędne do weryfikacji zgodności z obowiązkami określonymi w niniejszym artykule;

i)  uwzględnia zasadę ochrony danych już w fazie projektowania oraz jako opcji domyślnej.

2a.  Administrator i podmiot przetwarzający sporządzają pisemną dokumentację zaleceń administratora i obowiązków podmiotu przetwarzającego, o których mowa w ust. 2.

3.  Jeśli podmiot przetwarzający przetwarza dane osobowe inne, niż te, których przetwarzanie zlecił administrator, podmiot przetwarzający jest uważany za administratora w zakresie tego przetwarzania i podlega przepisom dotyczącym współadministratorów ustanowionym w art. 20. [Popr. 83]

Artykuł 22

Przetwarzanie z upoważnienia administratora i podmiotu przetwarzającego

1.   Państwa członkowskie stanowią przepisy przewidujące, że podmiot przetwarzający oraz wszelkie osoby działające z upoważnienia administratora lub podmiotu przetwarzającego, które mają dostęp do danych osobowych, mogą je przetwarzać tylko na polecenie administratora, lub gdy wymaga tego prawo Unii lub państwa członkowskiego.

1a.  Jeżeli podmiot przetwarzający jest lub staje się stroną określającą cele, środki lub metody przetwarzania danych albo nie działa wyłącznie na polecenie administratora, uważa się go za współadministratora na mocy art. 20. [Popr. 84]

Artykuł 23

Dokumentacja

1.  Państwa członkowskie przyjmują stanowią przepisy przewidujące, że każdy administrator i podmiot przetwarzający prowadzą dokumentację wszystkich systemów i procedur przetwarzania, za które są odpowiedzialni.

2.  Dokumentacja zawiera przynajmniej następujące informacje na temat:

a)  imienia i nazwiska/nazwy imię i nazwisko/nazwę oraz oraz danych kontaktowych a dane kontaktowe dministratora lub współadministratora albo podmiotu przetwarzającego;

aa)  w przypadku istnienia współadministratorów – prawnie wiążących uzgodnień; wykaz podmiotów przetwarzających i prowadzonych przez nie działań;

b)  celów cele przetwarzania;

ba)  wskazanie części struktury organizacyjnej administratora lub podmiotu przetwarzającego, którym powierzono przetwarzanie danych osobowych dla realizacji konkretnego celu;

bb)  opis jednej lub kilku kategorii podmiotów danych oraz danych lub kategorii danych z nimi związanych;

c)  odbiorcy lub kategorie odbiorców lub kategorii odbiorców danych osobowych;

ca)  w stosownych przypadkach – informacje o istnieniu profilowania, środków opartych na profilowaniu oraz mechanizmów sprzeciwu wobec profilowania;

cb)  zrozumiałe informacje o zasadach rządzących wszelkimi operacjami automatycznego przetwarzania;

d)  przekazywania przekazywanie danych do państw trzecich lub organizacji międzynarodowej, łącznie z określeniem tego państwa trzeciego lub organizacji międzynarodowej, oraz przepisy stanowiące podstawę prawną przekazywania danych; w przypadku, gdy przekazywanie odbywa się na podstawie art. 35 lub 36 niniejszej dyrektywy, udziela się merytorycznego wyjaśnienia;

da)  terminy usunięcia różnych kategorii danych;

db)  wyniki weryfikacji środków, o których mowa w art. 18 ust. 1;

dc)  wskazanie podstawy prawnej operacji przetwarzania, dla której dane są przeznaczone.

3.  Administrator i podmiot przetwarzający udostępniają dokumentację, na żądanie, całą dokumentację organowi nadzorczemu. [Popr. 85]

Artykuł 24

Prowadzenie ewidencji

1.  Państwa członkowskie zapewniają ewidencjonowanie przynajmniej następujących operacji przetwarzania: zbieranie, zmiana, wgląd, ujawnianie, łączenie i usuwanie. W ewidencji uzyskiwania wglądu i ujawniania podaje się w szczególności cel, datę i godzinę takich operacji oraz, w możliwym zakresie, oznaczenie osoby, która uzyskała wgląd do danych osobowych lub ujawniła je, a także tożsamość odbiorców takich danych.

2.  Ewidencja wykorzystywana jest wyłącznie w celu weryfikacji zgodności z prawem przetwarzania danych, monitorowania własnej działalności oraz zagwarantowania integralności i bezpieczeństwa danych lub w celu kontroli przeprowadzanej przez inspektora ochrony danych lub przez organ ds. ochrony danych.

2a.  Administrator i podmiot przetwarzający udostępniają ewidencję organowi nadzorczemu na żądanie. [Popr. 86]

Artykuł 25

Współpraca z organem nadzorczym

1.  Przepisy państw członkowskich przewidują, że administrator i podmiot przetwarzający na żądanie organu nadzorczego współpracują z nim w wykonywaniu jego obowiązków, w szczególności poprzez dostarczanie wszelkich informacji potrzebnych organowi nadzorczemu do wykonywania jego obowiązków , o których mowa w art. 46 ust. 2 lit. a), oraz poprzez przyznanie dostępu zgodnie z art. 46 ust. 2 lit. b).

2.  Administrator i podmiot przetwarzający udzielają odpowiedzi na zapytanie organu nadzorczego wykonującego uprawnienia przekazane mu na podstawie art. 46 ust. 1 lit. a) i b) w rozsądnym terminie określonym przez ten organ. Odpowiedź na uwagi organu nadzorczego zawiera opis podjętych środków i osiągniętych rezultatów. [Popr. 87]

Artykuł 25a

Ocena skutków w zakresie ochrony danych

1.  Państwa członkowskie stanowią przepisy przewidujące, że w przypadku, gdy operacje przetwarzania – z racji swego charakteru, zakresu lub celów – mogą stwarzać szczególne ryzyko dla praw i wolności podmiotów danych administrator lub podmiot przetwarzający działający w imieniu administratora przeprowadził ocenę skutków zamierzonych systemów i procedur przetwarzania dla ochrony danych osobowych przed przystąpieniem do nowych operacji przetwarzania lub najwcześniej, jak to możliwe, w przypadku istniejących operacji przetwarzania.

2.  Szczególne ryzyko, o którym mowa w ust. 1, mogą stwarzać w szczególności następujące operacje przetwarzania:

a)  przetwarzanie danych osobowych w wielkoskalowych zbiorach danych na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych;

b)  przetwarzanie szczególnych kategorii danych osobowych, o których mowa w art. 8, danych osobowych dotyczących dzieci, a także danych biometrycznych na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich i ścigania albo wykonywania kar kryminalnych;

c)  ocena indywidualnych aspektów osoby fizycznej bądź analizowanie lub przewidywanie w szczególności zachowania osoby fizycznej, które opierają się na automatycznym przetwarzaniu i z których mogą wynikać środki wywołujące skutki prawne dotyczące danej osoby lub mające na nią istotny wpływ;

d)  monitorowanie publicznie dostępnych miejsc, zwłaszcza z wykorzystaniem urządzeń optyczno-elektronicznych (wideonadzór); lub

e)  inne operacje przetwarzania, które na mocy art. 26 ust. 1 wymagają konsultacji z organem nadzorczym.

3.  Ocena obejmuje przynajmniej:

a)  systematyczny opis zamierzonych operacji przetwarzania;

b)  ocenę konieczności operacji przetwarzania i ich proporcjonalności w stosunku do celów;

c)  ocenę ryzyka dla praw i wolności podmiotów danych oraz środki przewidywane w celu zaradzenia temu ryzyku i zminimalizowania ilości przetwarzanych danych osobowych;

d)  środki i mechanizmy bezpieczeństwa mające zagwarantować ochronę danych osobowych oraz wykazać zgodność z przepisami przyjętymi na mocy niniejszej dyrektywy, z uwzględnieniem praw i uzasadnionych interesów podmiotów danych i innych zainteresowanych osób;

e)  ogólne wskazanie terminów usunięcia różnych kategorii danych;

f)  w stosownych przypadkach, wykaz zamierzonych przypadków przekazania danych do państw trzecich lub organizacji międzynarodowych, wraz z identyfikacją tych państw trzecich lub tych organizacji międzynarodowych, oraz – w razie przypadków przekazania, o których mowa w art. 36 ust. 2, dokumentację dotyczącą odpowiednich gwarancji.

4.  Jeżeli administrator lub podmiot przetwarzający wyznaczył inspektora ochrony danych, angażuje się go w procedurę oceny skutków.

5.  Państwa członkowskie stanowią przepisy przewidujące, że administrator przeprowadza konsultacje społeczne dotyczące zamierzonego przetwarzania, bez uszczerbku dla ochrony interesu publicznego lub bezpieczeństwa operacji przetwarzania.

6.  Bez uszczerbku dla ochrony interesu publicznego lub bezpieczeństwa operacji przetwarzania, ocenę udostępnia się obywatelom w przystępny sposób.

7.  Komisja jest uprawniona do przyjęcia, po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, aktów delegowanych zgodnie z art. 56 w celu dalszego doprecyzowania kryteriów i warunków operacji przetwarzania mogących stwarzać szczególne ryzyko, o którym mowa w ust. 1 i 2, oraz wymogów w zakresie oceny, o których mowa w ust. 3, w tym warunków skalowalności, weryfikowalności i sprawdzenia. [Popr. 88]

Artykuł 26

Uprzednia konsultacja z organem nadzorczym

1.  Państwa członkowskie zapewniają, by – przed przetworzeniem danych osobowych, które będą stanowić część mającego powstać nowego zbioru danych – administrator lub podmiot przetwarzający przeprowadzili konsultacje z organem nadzorczym w celu zapewnienia zgodności zamierzonego przetwarzania z przepisami przyjętymi na mocy niniejszej dyrektywy, a w szczególności w celu złagodzenia związanego z tym ryzyka dla podmiotów danych, jeżeli:

a)  przetwarzane mają być szczególne kategorie ocena skutków w zakresie ochrony danych, o których mowa przewidziana w art. 8 25a wskazuje, że operacje przetwarzania danych mogą, ze względu na swój charakter, zakres lub cele, wiązać się z wysokim poziomem szczególnego ryzyka; lub;

b)  rodzaj organ nadzorczy uzna za niezbędne przeprowadzenie uprzedniej konsultacji w sprawie konkretnych operacji przetwarzania, w szczególności stosowanie nowych technologii, mechanizmów lub procedur, niesie ze sobą w innym przypadku mogących stwarzać szczególne ryzyko dla podstawowych praw i wolności podmiotu podmiotów danych, a zwłaszcza ochrony danych osobowych ze względu na swój charakter, zakres lub cele.

1a.  Jeśli organ nadzorczy ustali zgodnie ze swoimi uprawnieniami, że zamierzone przetwarzanie nie jest zgodne z przepisami przyjętymi na mocy niniejszej dyrektywy, w szczególności jeśli ryzyko nie zostało dostatecznie zidentyfikowane lub złagodzone, organ ten zakazuje zamierzonego przetwarzania i występuje z odpowiednimi propozycjami mającymi na celu zaradzenie brakowi zgodności.

2.  Państwa członkowskie mogą ustanowić stanowią przepisy przewidujące, że organ nadzorczy po zasięgnięciu opinii Europejskiej Rady Ochrony Danych ustanawia wykaz operacji przetwarzania, w przypadku których wymagana jest wcześniejsza konsultacja na mocy ust. 1 lit. b).

2a.  Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający przekazuje organowi nadzorczemu ocenę skutków w zakresie ochrony danych zgodnie z art. 25a oraz, na żądanie, wszelkie inne informacje mogące umożliwić organowi nadzorczemu ocenę zgodności przetwarzania, a w szczególności ryzyka dla ochrony danych osobowych podmiotu danych oraz powiązanych gwarancji.

2b.  Jeśli w opinii organu nadzorczego zamierzone przetwarzanie nie jest zgodne z przepisami przyjętymi na mocy niniejszej dyrektywy lub jeśli ryzyko nie zostało dostatecznie zidentyfikowane lub złagodzone, organ ten występuje z odpowiednimi propozycjami mającymi na celu zaradzenie brakowi zgodności.

2c.  Państwa członkowskie mogą przeprowadzać konsultacje z organem nadzorczym w toku przygotowywania środka ustawodawczego, który miałby być przyjęty przez parlament narodowy, lub opartego na tym środku ustawodawczym środka, który definiuje charakter przetwarzania, by zapewnić zgodność zamierzonego przetwarzania z niniejszą dyrektywą, w szczególności by złagodzić ryzyko dla podmiotów danych. [Popr. 89]

SEKCJA 2

BEZPIECZEŃSTWO DANYCH

Artykuł 27

Bezpieczeństwo przetwarzania

1.  Państwa członkowskie stanowią przepisy przewidujące, że administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne oraz procedury, by zapewnić poziom bezpieczeństwa stosowny do ryzyk związanych ryzyka związanego z przetwarzaniem oraz charakterem danych osobowych, które należy chronić, uwzględniając najnowsze osiągnięcia techniczne oraz koszty ich wprowadzenia.

2.  W odniesieniu do automatycznego przetwarzania danych każde państwo członkowskie stanowi przepisy przewidujące, że administrator lub podmiot przetwarzający, po ocenie ryzyk, wdraża środki służące:

a)  uniemożliwieniu osobom nieupoważnionym dostępu do sprzętu używanego do przetwarzania danych osobowych (kontrola dostępu do sprzętu);

b)  zapobieżenia nieupoważnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników danych (kontrola nośników danych);

c)  zapobieżeniu nieupoważnionemu wprowadzaniu danych oraz nieupoważnionemu kontrolowaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych (kontrola przechowywania);

d)  uniemożliwienia korzystania z systemów automatycznego przetwarzania danych przez osoby nieuprawnione, używające sprzętu do przekazywania danych (kontrola użytkowników);

e)  zapewnieniu, aby osoby uprawnione do korzystania z systemu automatycznego przetwarzania danych miały dostęp wyłącznie do danych objętych posiadanym przez siebie upoważnieniem (kontrola dostępu do danych);

f)  zapewnieniu możliwości zweryfikowania i stwierdzenia, jakim organom dane osobowe zostały lub mogą zostać przesłane lub udostępnione za pomocą sprzętu do przekazywania danych (kontrola przesyłania danych);

g)  zapewnieniu możliwości następczego zweryfikowania i stwierdzenia, jakie dane osobowe zostały wprowadzone do systemów automatycznego przetwarzania danych, kiedy i przez kogo (kontrola wprowadzania danych);

h)  przeciwdziałaniu nieautoryzowanemu odczytowi, kopiowaniu, modyfikowaniu lub usuwaniu danych osobowych podczas przekazywania danych osobowych lub podczas przenoszenia nośników danych (kontrola transportu);

i)  zapewnieniu możliwości przywrócenia zainstalowanego systemu w przypadku awarii (przywracalność);

j)  zapewnieniu wykonywania przez system swoich funkcji i zgłaszania występujących w nich błędów (niezawodność) oraz zapobieżeniu uszkodzeniom przechowywanych danych spowodowanym błędnym działaniem systemu (integralność);

ja)  dopilnowaniu, by w przypadku przetwarzania szczególnie wrażliwych danych osobowych zgodnie z art. 8, zostały podjęte dodatkowe środki bezpieczeństwa, aby zagwarantować sytuacyjną świadomość ryzyka i zdolność podejmowania działań prewencyjnych, naprawczych i łagodzących jego skutki w czasie zbliżonym do rzeczywistego wobec wykrytych słabych punktów oraz incydentów, które mogłyby stanowić zagrożenie dla danych.

2a.  Państwa członkowskie stanowią przepisy przewidujące, że podmioty przetwarzające mogą zostać wyznaczone wyłącznie pod warunkiem, że gwarantują stosowanie wymaganych środków technicznych i organizacyjnych zgodnie z ust. 1 oraz przestrzegają zasad określonych w art. 21 ust. 2 lit. a). Właściwy organ sprawuje nadzór nad podmiotem przetwarzającym w tym względzie.

3.  Komisja może przyjąć, w razie potrzeby, akty wykonawcze mające na celu sprecyzowanie wymogów ustanowionych w ust. 1 i 2 obowiązujących w różnych sytuacjach, w szczególności standardów szyfrowania. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 57 ust. 2. [Popr. 90]

Artykuł 28

Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu

1.  Państwa członkowskie stanowią przepisy przewidujące, że w przypadku naruszenia ochrony danych osobowych, administrator zgłasza organowi nadzorczemu takie naruszenie bez nieuzasadnionej zbędnej zwłoki i, w jeśli to możliwe, nie później niż w ciągu 24 godzin od momentu dowiedzenia się o tym naruszeniu. W razie jakiejkolwiek zwłoki na żądanie organu nadzorczego administrator dostarcza umotywowane wyjaśnienie w przypadkach, w których zgłoszenie nie zostało przekazane w ciągu 24 godzin.

2.  Podmiot przetwarzający bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony danych osobowych ostrzega i informuje administratora niezwłocznie po uzyskaniu wiadomości o naruszeniu ochrony danych osobowych.

3.  Zgłoszenie, o którym mowa w ust. 1, zawiera co najmniej:

a)  opis charakteru naruszenia ochrony danych osobowych, w tym kategorie i liczbę zainteresowanych podmiotów danych oraz kategorie i liczbę rekordów danych, których dotyczy naruszenie;

b)  imię i nazwisko oraz dane kontaktowe inspektora ochrony danych, o którym mowa w art. 30, lub innego punktu kontaktowego, w którym można uzyskać więcej informacji;

c)  zalecenia dotyczące środków mające na celu zmniejszenie ewentualnych negatywnych skutków naruszenia ochrony danych osobowych;

d)  opis potencjalnych konsekwencji naruszenia ochrony danych osobowych;

e)  opis środków proponowanych lub podjętych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych i złagodzenia jego skutków.

W razie, gdy wszystkie informacje nie mogą być przekazane bez zbędnej zwłoki, administrator może dokonać zgłoszenia w drugiej kolejności.

4.  Państwa członkowskie stanowią przepisy przewidujące, że administrator sporządza dokumentację dotyczącą wszelkich naruszeń ochrony danych osobowych, obejmującą okoliczności naruszenia, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi być wystarczająca, aby umożliwiać organowi nadzorczemu sprawdzenie zgodności z niniejszym artykułem. Dokumentacja zawiera wyłącznie informacje niezbędne do realizacji powyższego celu.

4a.  Organ nadzorczy prowadzi publiczny rejestr rodzajów zgłoszonych naruszeń.

5.  Komisja jest uprawniona, po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, do przyjmowania przyjęcia aktów delegowanych zgodnie z art. 56 w celu doprecyzowania kryteriów i wymogów dotyczących stwierdzenia naruszenia ochrony danych osobowych, o którym mowa w ust. 1 i 2, oraz szczególnych okoliczności, w których administrator i podmiot przetwarzający mają obowiązek zawiadomić o naruszeniu ochrony danych osobowych.

6.  Komisja może ustanowić standardowe formularze zawiadomienia przekazywanego organowi nadzorczemu, procedury mające zastosowanie do wymogu zawiadomienia, a także formę i sposób prowadzenia dokumentacji, o której mowa w art. 4, w tym terminy usuwania zawartych w niej informacji. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 57 ust. 2. [Popr. 91]

Artykuł 29

Zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych

1.  Państwa członkowskie stanowią przepisy przewidujące, że gdy istnieje prawdopodobieństwo, że iż naruszenie ochrony danych osobowych może niekorzystnie wpłynąć na ochronę danych osobowych, prywatność, prawa lub prywatność osoby uzasadnione interesy podmiotu danych, administrator, po dokonaniu zawiadomienia zgłoszenia, o którym mowa w art. 28, bez nieuzasadnionej zbędnej zwłoki informuje podmiot danych o naruszeniu ochrony danych osobowych.

2.  Zawiadomienie przekazane podmiotowi danych, o którym mowa w ust. 1 musi być wyczerpujące oraz zredagowane jasnym i prostym językiem. Opisuje ono charakter naruszenia ochrony danych osobowych i zawiera przynajmniej informacje i zalecenia, o których mowa w art. 28 ust. 3 lit. b) i, c) i d), oraz zawiera informację o prawach podmiotu danych, w tym o środkach ochrony prawnej.

3.  Zawiadomienie o naruszeniu ochrony danych osobowych nie jest wymagane, jeśli administrator wykaże, zgodnie z wymogami organu nadzorczego, że wdrożył odpowiednie technologiczne środki ochrony oraz że środki te zostały zastosowane do danych, których dotyczyło naruszenie ochrony danych osobowych. Tego rodzaju technologiczne środki ochrony sprawiają, że dane stają się nieczytelne dla każdego, kto nie jest uprawniony do dostępu do nich.

3a.  Bez uszczerbku dla obowiązku administratora w zakresie zawiadomienia podmiotu danych o naruszeniu ochrony danych osobowych, jeśli administrator nie zawiadomił wcześniej podmiotu danych o naruszeniu ochrony danych osobowych, organ nadzorczy może tego od niego zażądać po stwierdzeniu możliwości wystąpienia niekorzystnych skutków naruszenia.

4.  Zawiadomienie podmiotu danych może zostać opóźnione, lub ograniczone lub zaniechane z przyczyn, o których mowa w art. 11 ust. 4. [Popr. 92]

SEKCJA 3

INSPEKTOR OCHRONY DANYCH

Artykuł 30

Wyznaczenie inspektora ochrony danych

1.  Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający wyznaczają inspektora ochrony danych.

2.  Inspektor ochrony danych wyznaczany jest na podstawie kwalifikacji zawodowych, a w szczególności specjalistycznej wiedzy na temat przepisów i praktyk w zakresie ochrony danych, jak również zdolność do pełnienia zadań, o których mowa w art. 32. Niezbędny poziom wiedzy specjalistycznej ustala się w szczególności zgodnie z prowadzonym przetwarzaniem danych oraz ochroną wymaganą dla danych osobowych przetwarzanych przez administratora lub podmiot przetwarzający.

2a.  Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający dopilnowuje, by inne obowiązki zawodowe inspektora ochrony danych były zgodne z zadaniami i obowiązkami tej osoby jako inspektora ochrony danych i by nie skutkowały one konfliktem interesów.

2b.  Inspektor ochrony danych wyznaczany jest na okres co najmniej czterech lat. Inspektor ochrony danych może być powoływany na kolejne kadencje. Inspektora ochrony danych można odwołać z pełnienia tej funkcji w czasie trwania kadencji jedynie wówczas, gdy przestanie on spełniać warunki niezbędne do pełnienia przez niego obowiązków.

2c.  Państwa członkowskie stanowią przepisy przyznające podmiotowi danych prawo kontaktowania się z inspektorem ochrony danych we wszystkich kwestiach związanych z przetwarzaniem danych osobowych tego podmiotu.

3.  Inspektor ochrony danych może być wyznaczony dla szeregu jednostek organizacyjnych, przy uwzględnieniu struktury organizacyjnej właściwego organu.

3a.  Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający podaje organowi nadzorczemu oraz do wiadomości publicznej imię i nazwisko oraz dane kontaktowe inspektora ochrony danych. [Popr. 93]

Artykuł 31

Status inspektora ochrony danych

1.  Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający dopilnowują, by inspektor ochrony danych był właściwie i terminowo włączany we wszystkie kwestie dotyczące ochrony danych osobowych.

2.  Administrator i podmiot przetwarzający dopilnowują, by inspektorowi ochrony danych dostarczono środki umożliwiające wykonywanie spoczywających na nim obowiązków i zadań, o których mowa w art. 32, skutecznie i niezależnie i nie otrzymywał on żadnych instrukcji dotyczących pełnienia swojej funkcji.

2a.  Administrator lub podmiot przetwarzający wspiera inspektora ochrony danych w pełnieniu przez niego obowiązków i zapewnia wszystkie środki, w tym personel, pomieszczenia, sprzęt, ustawiczne szkolenie zawodowe i wszelkie inne zasoby niezbędne do wykonywania obowiązków i zadań, o których mowa w art. 32, oraz do utrzymania poziomu jego wiedzy zawodowej. [Popr. 94]

Artykuł 32

Zadania inspektora ochrony danych

Państwa członkowskie stanowią przepisy przewidujące, że administrator lub podmiot przetwarzający powierzają inspektorowi ochrony danych przynajmniej poniższe zadania:

a)  podnoszenie świadomości, informowanie administratora lub podmiotu przetwarzającego o ich obowiązkach wynikających z przepisów przyjętych na mocy niniejszej dyrektywy, zwłaszcza w odniesieniu do środków o charakterze technicznym i organizacyjnym oraz do procedur, oraz dokumentowanie tej działalności i uzyskiwanych odpowiedzi;

b)  monitorowanie wykonania i stosowanie polityk w zakresie ochrony danych osobowych, w tym przydziału obowiązków, szkolenia personelu zaangażowanego w operacje przetwarzania oraz powiązane kontrole;

c)  monitorowanie wdrażania i stosowania przepisów przyjętych na mocy niniejszej dyrektywy, w szczególności jeśli chodzi o wymogi dotyczące uwzględnienia ochrony danych już w fazie projektowania, ochrony danych jako opcji domyślnej i bezpieczeństwa danych oraz informowania podmiotów danych a także ich wniosków składanych w ramach wykonywania praw przysługujących im mocy przepisów niniejszej dyrektywy;

d)  zapewnienie prowadzenia dokumentacji, o której mowa w art. 23;

e)  monitorowanie dokumentacji, zgłoszeń i zawiadomień dotyczących naruszeń ochrony danych osobowych na mocy art. 28 i 29;

f)  monitorowanie stosowania oceny skutków w zakresie ochrony danych przez administratora lub podmiot przetwarzający oraz stosowania przepisów dotyczących uprzedniej konsultacji z organem nadzorczym, jeśli jest ona wymagana na mocy art. 26 ust. 1;

g)  monitorowanie odpowiedzi na wnioski organów nadzorczych oraz, w ramach kompetencji inspektora ochrony danych, współpraca z organem nadzorczym na wniosek tego organu lub z inicjatywy inspektora ochrony danych;

h)  pełnienie funkcji pojedynczego punktu kontaktowego organu nadzorczego w kwestiach związanych z przetwarzaniem oraz zasięganie opinii organu nadzorczego, w razie potrzeby, z inicjatywy inspektora ochrony danych. [Popr. 95]

ROZDZIAŁ V

PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH LUB ORGANIZACJI MIĘDZYNARODOWYCH

Artykuł 33

Ogólne zasady przekazywania danych osobowych

Państwa członkowskie stanowią przepisy przewidujące, że wszelkie operacje przekazywania przez właściwe organy danych osobowych poddawanych przetwarzaniu lub mających być poddawane przetwarzaniu po przekazaniu do państwa trzeciego lub do organizacji międzynarodowej, w tym operacje wtórnego przekazywania do innych państw trzecich lub organizacji międzynarodowych, mogą mieć miejsce wyłącznie gdy:

a)  konkretne przekazanie jest konieczne do zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo do wykonywania kar kryminalnych; oraz

aa)  dane przekazywane są administratorowi w państwie trzecim lub organizacji międzynarodowej będących organem publicznym właściwym do realizacji celów, o których mowa w art. 1 ust. 1; oraz

ab)  administrator i podmiot przetwarzający spełniają warunki określone w niniejszym rozdziale, w tym te dotyczące wtórnego przekazania danych osobowych z państwa trzeciego lub od organizacji międzynarodowej do innego państwa trzeciego lub innej organizacji międzynarodowej; oraz

b)  administrator i podmiot przetwarzający spełniają warunki ustanowione w niniejszym rozdziale. działają zgodnie z innymi przepisami przyjętymi na mocy niniejszej dyrektywy; oraz

ba)  nie jest zmniejszony poziom ochrony danych osobowych osób fizycznych gwarantowany w Unii na mocy niniejszej dyrektywy; oraz

bb)  Komisja wydała na podstawie warunków i procedury, o których mowa w art. 34, decyzję, w której uznała, że dane państwo trzecie lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony; lub

bc)  w prawnie wiążącym instrumencie, o którym mowa w art. 35, zapewniono odpowiednie gwarancje w zakresie ochrony danych osobowych.

Państwa członkowskie stanowią przepisy przewidujące, że operacje wtórnego przekazywania, o których mowa w akapicie pierwszym niniejszego artykułu, są dopuszczalne tylko wówczas, gdy oprócz spełnienia warunków określonych w tym akapicie:

a)  operacja wtórnego przekazania jest wymagana do tego samego konkretnego celu co początkowe przekazanie; oraz

b)  właściwy organ, który dokonał początkowego przekazania, zezwala na operację wtórnego przekazania. [Popr. 96]

Artykuł 34

Przekazywanie na podstawie decyzji stwierdzającej odpowiedni poziom ochrony

1.  Państwa członkowskie stanowią przepisy przewidujące, że dane osobowe mogą być przekazywane do państwa trzeciego lub organizacji międzynarodowej, jeżeli Komisja wydała decyzję zgodnie z art. 41 rozporządzenia (UE) ..../2012 lub zgodnie z ust. 3 niniejszego artykułu, w której uznała, że państwo trzecie, terytorium lub sektor przetwarzania w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni poziom ochrony. Takie operacje przekazywania nie wymagają żadnego dodatkowego przekazanie nie wymaga specjalnego zezwolenia.

2.  W przypadku braku przyjęcia decyzji zgodnie z art. 41 rozporządzenia (UE) …./2012 Przy ocenie odpowiedniości poziomu ochrony Komisja ocenia, czy zapewniono odpowiedni poziom ochrony danych, uwzględniając uwzględnia następujące elementy:

a)  praworządność, ogólne i sektorowe przepisy obowiązujące w tym zakresie, w tym dotyczące bezpieczeństwa publicznego, obronności, bezpieczeństwa narodowego i prawa karnego, jak również środki wprowadzenie w życie niniejszych przepisów prawa oraz podjęcie środków bezpieczeństwa, które są przestrzegane w tym państwie lub organizacji międzynarodowej, prawodawstwo oparte na precedensach, a także skuteczne i egzekwowalne prawa, w tym prawa do skutecznych administracyjnych i sądowych środków ochrony prawnej przysługujące podmiotom danych, w szczególności osobom mającym miejsce zamieszkania w Unii, których dane osobowe są przekazywane;

b)  istnienie i skuteczne działanie przynajmniej jednego niezależnego organu nadzorczego w państwie trzecim lub organizacji międzynarodowej, odpowiedzialnych za zapewnienie zgodności z przepisami o ochronie danych, w tym wystarczające uprawnienia do nakładania sankcji, pomoc i doradzanie podmiotom danych w zakresie wykonania przysługujących im praw a także współpracę z organami nadzorczymi Unii i państw członkowskich; oraz

c)  międzynarodowe zobowiązania zaciągnięte przez państwo trzecie lub organizację międzynarodową, w szczególności wszelkie prawnie wiążące konwencje lub instrumenty odnoszące się do ochrony danych osobowych.

3.  Komisja może jest uprawniona do przyjęcia, po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, aktów delegowanych zgodnie z art. 56, aby zdecydować, w zakresie, niniejszej dyrektywy, że państwo trzecie, terytorium lub sektor przetwarzający dane w państwie trzecim lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony w rozumieniu ust. 2. Te akty wykonawcze przyjmuje się zgodnie z procedurą sprawdzającą, o której mowa w art. 57 ust. 2.

4.  Akty wykonawcze delegowane określają geograficzny i sektorowy zakres ich stosowania oraz, w odpowiednich przypadkach, wskazują organ nadzorczy wymieniony w ust. 2 lit. b).

4a.  Komisja w trybie ciągłym monitoruje zmiany, które mogłyby wpłynąć na spełnianie warunków wymienionych w ust. 2 przez państwa trzecie i organizacje międzynarodowe, w odniesieniu do których przyjęto akt delegowany na mocy ust. 3.

5.  Komisja może jest uprawniona do przyjęcia aktów delegowanych zgodnie z art. 56, aby zdecydować, w zakresie niniejszej dyrektywy, że państwo trzecie, terytorium lub sektor przetwarzający dane w państwie trzecim lub organizacja międzynarodowa nie zapewniają odpowiedniego poziomu ochrony w rozumieniu ust. 2, w szczególności w przypadkach w których odnośne przepisy ogólne i sektorowe obowiązujące w państwie trzecim lub organizacji międzynarodowej nie gwarantują skutecznych i egzekwowalnych praw, w tym prawa do skutecznych administracyjnych i sądowych środków ochrony prawnej podmiotom danych, w szczególności podmiotom danych mającym miejsce zamieszkania w Unii, których dane osobowe są przekazywane. Te akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 57 ust. 2 lub, w wyjątkowo naglących przypadkach w odniesieniu do osób fizycznych w zakresie ich prawa do ochrony danych osobowych, zgodnie z procedurą, o której mowa w art. 57 ust. 3.

6.  Państwa członkowskie zapewniają dopilnowują, by, w przypadku gdy Komisja podejmie decyzję na mocy art. 5, wszelkie operacje przekazywania danych osobowych do państwa trzeciego, terytorium lub do sektora przetwarzającego dane w tym państwie lub do organizacji międzynarodowej były zakazane, przy czym decyzja ta obowiązuje bez uszczerbku dla operacji przekazywania na mocy art. 35 ust 1 lub zgodnie z art. 36. We właściwym czasie Komisja przystępuje do konsultacji z państwem trzecim lub organizacją międzynarodową w celu zaradzenia sytuacji wynikającej z decyzji podjętej na mocy ust. 5 niniejszego artykułu.

7.  Komisja publikuje w Dzienniku Urzędowym Unii Europejskiej wykaz tych państw trzecich, terytoriów i sektorów przetwarzających dane w państwie trzecim oraz organizacji międzynarodowych, co do których zdecydowano, że zapewniają odpowiedni poziom ochrony lub tego poziomu nie zapewniają.

8.  Komisja monitoruje stosowanie aktów wykonawczych delegowanych, o których mowa w ust. 3 i 5. [Popr. 97]

Artykuł 35

Operacje przekazywania dzięki odpowiednim gwarancjom

1.  W przypadkach, w których Komisja nie podjęła wydała decyzji na mocy art. 34, państwa członkowskie stanowią przepisy przewidujące lub wydała decyzję, w której uznała, że dane osobowe mogą być przekazywane do odbiorców państwo trzecie lub terytorium w tym państwie trzecim, bądź też organizacja międzynarodowa nie gwarantują odpowiedniego poziomu ochrony zgodnie z art. 34 ust. 5, administrator lub podmiot przetwarzający nie może przekazywać danych osobowych do państwa trzeciego, terytorium w tym państwie trzecim lub organizacji międzynarodowej, jeżeli:chyba że wprowadzą one odpowiednie gwarancje w zakresie ochrony danych osobowych do prawnie wiążącego instrumentu.

a)  w prawnie wiążącym instrumencie zapewniono odpowiednie gwarancje w zakresie ochrony danych osobowych; lub

b)  administrator lub podmiot przetwarzający ocenili wszystkie okoliczności towarzyszące przekazaniu danych osobowych, stwierdzając, że istnieją odpowiednie gwarancje w zakresie ochrony danych osobowych.

2.  Decyzja o przekazaniu danych na mocy ust. 1 lit. b) musi zostać podjęta przez należycie upoważnionych pracowników. Na te operacje przekazywania muszą być dokumentowane a dokumentacja przekazania musi być udostępniana na wniosek organowi nadzorczemu zezwolić organ nadzorczy przed przekazaniem. [Popr. 98]

Artykuł 36

Odstępstwa

1.  Jeżeli zgodnie z art. 34 ust. 5 Komisja postanowi, że nie istnieje odpowiedni poziom ochrony, dane osobowe nie mogą zostać przekazane zainteresowanemu państwu trzeciemu ani zainteresowanej organizacji międzynarodowej, o ile w danym przypadku uzasadnione interesy podmiotu danych w niedopuszczeniu do przekazania danych są ważniejsze od interesu publicznego w przekazaniu danych.

2.  W drodze odstępstwa od art. 34 i 35 państwa członkowskie stanowią przepisy przewidujące, że dane osobowe mogą być przekazywane do państwa trzeciego lub organizacji międzynarodowej wyłącznie pod warunkiem, że:

a)  przekazanie jest niezbędne dla ochrony żywotnych interesów podmiotu danych lub innej osoby; lub

b)  przekazanie jest niezbędne dla zabezpieczenia słusznych uzasadnionych interesów podmiotu danych, jeżeli prawo państwa członkowskiego przekazującego dane osobowe tak stanowi; lub

c)  przekazanie danych jest konieczne dla zapobieżenia bezpośredniemu i poważnemu zagrożeniu dla bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego; lub

d)  przekazanie jest konieczne w indywidualnych przypadkach do zapobiegania przestępstwom, prowadzenia śledztw i dochodzeń w ich sprawie, wykrywania ich lub ścigania albo do wykonywania kar kryminalnych; lub

e)  przekazanie jest konieczne w indywidualnych przypadkach dla ustalenia, wykonania lub obrony roszczeń prawnych dotyczących zapobieżenia konkretnemu przestępstwu, prowadzenia dochodzenia w jego sprawie, wykrycia go lub ścigania albo wykonania konkretnej kary kryminalnej.

2a.  Przetwarzanie danych na podstawie ust. 2 musi mieć podstawę prawną w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator; prawo to musi realizować cel leżący w interesie publicznym lub zaspokajać potrzebę w zakresie ochrony praw i wolności innych osób, respektować istotę prawa do ochrony danych osobowych i być proporcjonalne do wyznaczonego uzasadnionego celu.

2b.  Wszystkie operacje przekazania danych osobowych, które opierają się na odstępstwach, są należycie uzasadnione i ograniczają się do niezbędnego minimum oraz nie dopuszcza się częstego i masowego przekazywania danych.

2c.  Decyzja o przekazaniu danych na mocy ust. 2 musi zostać podjęta przez należycie upoważnionych pracowników. Te operacje przekazania muszą być udokumentowane, a dokumentacja, w tym data i godzina przekazania, informacje o organie odbierającym, uzasadnienie przekazania oraz przekazane dane, musi zostać udostępniona na żądanie organowi nadzorczemu. [Popr. 99]

Artykuł 37

Szczególne warunki przekazania danych osobowych

Państwa członkowskie stanowią przepisy przewidujące, że administrator informuje odbiorcę danych osobowych o wszelkich ograniczeniach przetwarzania oraz podejmuje wszystkie rozsądne kroki na rzecz zapewnienia, by ograniczenia te były przestrzegane. Administrator informuje również odbiorcę danych osobowych o wszelkich operacjach zaktualizowania, poprawienia lub usunięcia danych, a odbiorca odpowiednio informuje w razie późniejszego przekazania danych. [Popr. 100]

Artykuł 38

Międzynarodowa współpraca na rzecz ochrony danych osobowych

1.  W stosunku do państw trzecich i organizacji międzynarodowych Komisja i państwa członkowskie podejmują stosowne kroki na rzecz:

a)  opracowania skutecznych mechanizmów współpracy międzynarodowej, by ułatwić zapewnić egzekwowanie przepisów służących ochronie danych osobowych; [Popr. 101]

b)  zapewnienia międzynarodowej wzajemnej pomocy w zakresie egzekwowania przepisów dotyczących ochrony danych, w tym poprzez zawiadomienia, przekazywanie skarg, pomoc w dochodzeniach i wymianę informacji, z zastrzeżeniem odpowiednich gwarancji ochrony danych osobowych i innych podstawowych praw i wolności;

c)  włączenia zainteresowanych podmiotów w dyskusję i działania mające na celu pogłębienie współpracy międzynarodowej w zakresie egzekwowania przepisów dotyczących ochrony danych osobowych;

d)  promowania wymiany i dokumentowania przepisów i praktyk w zakresie ochrony danych;

da)  wyjaśnienia i zasięgnięcia opinii w sprawie konfliktów jurysdykcji z państwami trzecimi. [Popr. 102]

2.  Do celów ust. 1, Komisja podejmie odpowiednie kroki, by poprawić współpracę z państwami trzecimi lub organizacjami międzynarodowymi, w szczególności ich organami nadzorczymi, jeśli Komisja zdecydowała, że zapewniają one odpowiedni poziom ochrony w rozumieniu art. 34 ust. 3.

Artykuł 38a

Sprawozdanie Komisji

Komisja przedstawia Parlamentowi Europejskiemu i Radzie sprawozdanie dotyczące stosowania art. 33–38 w regularnych odstępach czasu. Pierwsze sprawozdanie zostanie przedłożone najpóźniej cztery lata po wejściu w życie niniejszej dyrektywy. W tym celu Komisja może zwrócić się z wnioskiem o przekazanie informacji do państw członkowskich oraz organów nadzorczych, które muszą przekazać te informacje bez zbędnej zwłoki. Sprawozdanie jest udostępniane do wiadomości publicznej. [Popr. 103]

ROZDZIAŁ VI

NIEZALEŻNE ORGANY NADZORCZE

SEKCJA 1

NIEZALEŻNY STATUS

Artykuł 39

Organ nadzorczy

1.  Każde państwo członkowskie stanowi przepisy przewidujące, że przynajmniej jeden organ publiczny odpowiada za monitorowanie stosowania przepisów przyjętych na mocy niniejszej dyrektywy oraz przyczynianie się do jej spójnego stosowania na terytorium całej Unii, w celu ochrony podstawowych praw i wolności osób fizycznych w zakresie przetwarzania ich danych osobowych oraz ułatwienia swobodnego przepływu danych osobowych na terytorium Unii. W tym celu organy nadzorcze współpracują ze sobą oraz z Komisją.

2.  Państwa członkowskie mogą ustanowić przepisy przewidujące, że organ nadzorczy ustanowiony w państwie członkowskim na mocy rozporządzenia (UE)..../2014 przyjmuje odpowiedzialność za zadania organu nadzorczego, który ma zostać ustanowiony na mocy ust. 1 niniejszego artykułu.

3.  Jeżeli w państwie członkowskim ustanowiono więcej niż jeden organ nadzorczy, to dane państwo członkowskie wyznacza organ nadzorczy pełniący rolę punktu kontaktowego na potrzeby faktycznego udziału tych organów w Europejskiej Radzie Ochrony Danych.

Artykuł 40

Niezależność

1.  Państwa członkowskie zapewniają dopilnowują, by organ nadzorczy przy wykonywaniu powierzonych mu zadań i kompetencji uprawnień działał w warunkach pełnej niezależności, niezależnie od ustaleń w sprawie współpracy zgodnie z rozdziałem VII niniejszej dyrektywy. [Popr. 104]

2.  Każde państwo członkowskie stanowi przepisy przewidujące, że członkowie organu nadzorczego przy wykonywaniu podczas wykonywania swoich obowiązków nie zwracają się do nikogo o instrukcje ani ich od nikogo nie wypełniają niczyich instrukcji przyjmują oraz zachowują pełną niezależność i bezstronność. [Popr. 105]

3.  Członkowie organu nadzorczego powstrzymują się od wszelkich czynności niezgodnych z ich obowiązkami i podczas swojej kadencji nie podejmują żadnej funkcji, zarobkowej lub niezarobkowej, stojącej w sprzeczności z tymi obowiązkami.

4.  Członkowskie organu nadzorczego po zakończeniu swojej kadencji postępują w sposób uczciwy i ostrożny, jeżeli chodzi o przyjmowanie stanowisk i korzyści.

5.  Każde państwo członkowskie zapewnia, by organ nadzorczy otrzymał odpowiednie zasoby ludzkie, techniczne i finansowe, a także pomieszczenia i infrastrukturę niezbędne do skutecznego wykonywania jego obowiązków i kompetencji, w tym tych, która mają być realizowane w kontekście wzajemnej pomocy, współpracy i aktywnego udziału w Europejskiej Radzie Ochrony Danych.

6.  Każde państwo członkowskie zapewnia, by organ nadzorczy dysponował własnym personelem wyznaczanym przez dyrektora organu nadzorczego i podlegającym jego kierownictwu.

7.  Państwa członkowskie zapewniają, by organ nadzorczy podlegał kontroli finansowej, która nie narusza jego niezależności. Państwa członkowskie zapewniają, by organy nadzorcze miały odrębne budżety roczne. Budżety te są podawane do wiadomości publicznej.

Artykuł 41

Ogólne warunki dotyczące członków organu nadzorczego

1.  Państwa członkowskie stanowią przepisy przewidujące, że członkowie organu nadzorczego muszą być wyznaczani albo przez parlament albo przez rząd danego państwa członkowskiego.

2.  Członkowie wybierani są spośród osób o niepodważalnej niezależności, mających wykazane doświadczenie i umiejętności niezbędne do pełnienia ich obowiązków, zwłaszcza w obszarze ochrony danych osobowych oraz zapobieganiu przestępstwom, prowadzeniu dochodzeń w ich sprawie, wykrywaniu ich lub ściganiu albo wykonywaniu kar kryminalnych.

3.  Obowiązki członka wygasają wraz z zakończeniem kadencji oraz w przypadku rezygnacji lub przymusowego pozbawienia funkcji zgodnie z ust. 5.

4.  Członek może zostać zdymisjonowany lub pozbawiony prawa do świadczeń emerytalnych lub innych alternatywnych świadczeń przez właściwy sąd krajowy, jeżeli przestał on spełniać warunki niezbędne do pełnienia obowiązków lub też dopuścił się poważnego uchybienia zawodowego.

5.  W przypadku wygaśnięcia kadencji lub rezygnacji członka pełni on nadal swoje obowiązki do czasu wyznaczenia nowego członka.

Artykuł 42

Przepisy dotyczące ustanawianie organu nadzorczego

Każde państwo członkowskie określa w drodze ustawy:

a)  tryb ustanowienia i status organu nadzorczego, zgodnie z art. 39 i 40;

b)  kwalifikacje, doświadczenie i umiejętności wymagane do pełnienia obowiązków członka organu nadzorczego;

c)  przepisy i procedury wyznaczania członków organu nadzorczego, jak również przepisy dotyczące działań lub funkcji nie dających się pogodzić z pełnionymi obowiązkami;

d)  długość kadencji członków organu nadzorczego, która nie może być krótsza niż cztery lata, z wyjątkiem pierwszego powołania po wejściu w życie niniejszej dyrektywy, które może częściowo dotyczyć krótszego okresu;

e)  czy członek organu nadzorczego może być wyznaczony ponownie;

f)  regulaminy i wspólne warunki regulujące obowiązki członków i personelu organu nadzorczego;

g)  przepisy i procedury dotyczące ustania pełnienia obowiązków przez członka organu nadzorczego, w tym przypadków, w których przestają oni spełniać warunki niezbędne do pełnienia obowiązków lub gdy dopuszczą się poważnego uchybienia zawodowego.

Artykuł 43

Tajemnica służbowa

Państwa członkowskie stanowią przepisy przewidujące, że członkowie i personel organu nadzorczego, zarówno podczas pełnienia obowiązków służbowych, jak i po zaprzestaniu ich pełnienia, zgodnie z przepisami prawa krajowego i praktyką krajową, podlegają obowiązkowi zachowania tajemnicy służbowej w odniesieniu do wszelkich poufnych informacji, które uzyskali w toku pełnienia swoich obowiązków służbowych, a swoje obowiązki pełnią w sposób niezależny i przejrzysty zgodnie z niniejszą dyrektywą. [Popr. 106]

SEKCJA 2

OBOWIĄZKI I UPRAWNIENIA

Artykuł 44

Kompetencje

1.  Państwa członkowskie stanowią przepisy przewidujące, że każdy organ nadzorczy jest właściwy do pełnienia zadań i wykonuje, na terytorium swojego państwa członkowskiego, uprawnienia powierzone mu zgodnie z niniejszą dyrektywą. [Popr. 107]

2.  Państwa członkowskie stanowią przepisy przewidujące, że organ nadzorczy nie ma właściwości do nadzorowania operacji przetwarzania dokonywanych przez sądy w toku wykonywania funkcji sądowych.

Artykuł 45

Obowiązki

1.  Państwa członkowskie stanowią przepisy przewidujące, że organ nadzorczy:

a)  monitoruje i zapewnia stosowanie przepisów przyjętych na mocy niniejszej dyrektywy oraz środków służących jej wdrożeniu;

b)  rozpatruje skargi złożone przez podmioty danych lub jakiekolwiek zrzeszenie reprezentujące podmiot danych i należycie przez niego upoważnione, zgodnie z art. 50; prowadzi, w odpowiednim zakresie, dochodzenie w danej sprawie oraz informuje podmiot danych lub zrzeszenie o postępach oraz sposobie rozstrzygnięcia skargi w rozsądnym terminie, w szczególności gdy niezbędne jest dalsze dochodzenie lub koordynacja z innym organem nadzorczym;

c)  weryfikuje zgodność z prawem przetwarzania na mocy art. 14 oraz informuje podmiot danych w rozsądnym terminie o rezultatach tej weryfikacji lub o przyczynach, dla których weryfikacji nie przeprowadzono;

d)  zapewnia wzajemną pomoc innym organom nadzorczym oraz dopilnowuje ścisłego stosowania i egzekwowania przepisów przyjętych na mocy niniejszej dyrektywy;

e)  prowadzi postępowania dochodzenia, inspekcje i kontrole bądź z własnej inicjatywy, bądź na podstawie skargi, lub też na wniosek innego organu nadzorczego oraz informuje podmiot danych, jeżeli złożył on skargę, o rezultatach dochodzenia w rozsądnym terminie;

f)  monitoruje zmiany w odpowiednich dziedzinach w zakresie, w jakim mają one wpływ na ochronę danych osobowych, w szczególności rozwój technologii informacyjno-komunikacyjnych;

g)  jest konsultowany przez instytucje i organy państwa członkowskiego w sprawie środków legislacyjnych i administracyjnych dotyczących ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych;

h)  jest konsultowany w sprawie operacji przetwarzania przeprowadzanych na mocy art. 26;

i)  uczestniczy w działalności Europejskiej Rady Ochrony Danych.

2.  Każdy organ nadzorczy prowadzi działania na rzecz pogłębiania w społeczeństwie wiedzy na temat zagrożeń, przepisów, gwarancji i praw związanych z przetwarzaniem danych osobowych. Szczególną uwagę zwraca się na działania skierowane do dzieci.

3.  Organ nadzorczy na wniosek doradza każdemu podmiotowi danych na temat korzystania z praw ustanowionych w przepisach przyjętych na mocy niniejszej dyrektywy i, w odpowiednich przypadkach, współpracuje w tym celu z organami nadzorczymi w innych państwach członkowskich.

4.  W odniesieniu do skarg, o których mowa w ust. 1 lit. b), organ nadzorczy udostępnia formularz skargi, który może zostać wypełniony elektronicznie, przy czym dostępne są także inne środki łączności.

5.  Państwa członkowskie stanowią przepisy przewidujące, że obowiązki pełnione przez organ nadzorczy nie wiążą się z opłatami dla podmiotu danych.

6.  W przypadku gdy wnioski mają charakter dokuczliwy są wyraźnie przesadne, w szczególności ze względu na ich uporczywy charakter, organ nadzorczy może nałożyć rozsądnej wysokości opłatę lub nie podjąć działania, o które zwrócił się podmiot danych. Wysokość takiej opłaty nie może przewyższać kosztów podjęcia wnioskowanych czynności. Na organie nadzorczym spoczywa ciężar udowodnienia dokuczliwego wyraźnie przesadnego charakteru wniosku. [Popr. 108]

Artykuł 46

Uprawnienia

1.  Państwa członkowskie stanowią przepisy przewidujące, że każdy organ nadzorczy musi posiadać w szczególności posiada następujące uprawnienia:

a)  uprawnienia dochodzeniowe, takie jak prawo do dostępu do uprawnienie do powiadamiania administratora lub podmiotu przetwarzającego o domniemanym naruszeniu przepisów regulujących przetwarzanie danych, które stanowią przedmiot operacji przetwarzania, oraz prawo do gromadzenia wszelkich informacji potrzebnych mu do wykonywania swoich funkcji nadzorczych osobowych, a w stosownych przypadkach nakazania administratorowi lub podmiotowi przetwarzającemu usunięcia naruszenia w konkretny sposób w celu poprawy ochrony podmiotu danych;

b)  skuteczne uprawnienia interwencyjne, uprawnienie do nakazania administratorowi przyjęcia wniosków podmiotu danych dotyczących wykonywania przysługujących mu na mocy niniejszej dyrektywy praw, w tym tych określonych w art. 12–17, jeżeli wnioski takie jak wydawanie opinii przed przeprowadzeniem przetwarzania oraz zapewnienie odpowiedniej publikacji takich opinii; nakazywanie ograniczenia dostępu do danych, ich usunięcia lub zniszczenia; nakładanie czasowego lub ostatecznego zakazu przetwarzania danych; wydawanie administratorowi danych ostrzeżeń lub upomnień lub przekazywanie sprawy parlamentowi narodowemu państwa członkowskiego lub innym instytucjom politycznym zostały odrzucone z naruszeniem przepisów tych artykułów;

c)  uprawnienie do wszczynania postępowań prawnych w przypadku naruszenia przepisów przyjętych nakazania administratorowi lub podmiotowi przetwarzającemu udzielenia informacji na mocy niniejszej dyrektywy lub do powiadamiania organów sądowych o takich naruszeniach. art. 10 ust. 1 i 2 oraz art. 11, 28 i 29;

d)  uprawnienie do zapewnienia zgodności z opiniami w ramach uprzednich konsultacji, o których mowa w art. 26;

e)  uprawnienie do ostrzegania lub upominania administratora lub podmiotu przetwarzającego;

f)  uprawnienie do nakazania poprawienia, usunięcia lub zniszczenia wszystkich danych, jeżeli były one przetwarzane z naruszeniem przepisów przyjętych na mocy niniejszej dyrektywy, oraz do powiadomienia o takich działaniach stron trzecich, którym dane zostały ujawnione;

g)  uprawnienie do nałożenia czasowego lub ostatecznego zakazu przetwarzania;

h)  uprawnienie do zawieszenia przepływu danych do odbiorcy w państwie trzecim lub w organizacji międzynarodowej;

i)  uprawnienie do informowania w zakresie odnośnej tematyki parlamentów narodowych, rządu lub innych instytucji publicznych, a także opinii publicznej.

2.  Każdy organ nadzorczy ma uprawnienia dochodzeniowe pozwalające mu uzyskać od administratora lub podmiotu przetwarzającego:

a)  dostęp do wszystkich danych osobowych i do wszystkich informacji niezbędnych do wykonywania obowiązków nadzorczych;

b)  dostęp do każdego pomieszczenia, w tym do każdego sprzętu i środków służących do przetwarzania danych, zgodnie z prawem krajowym, gdy istnieją uzasadnione powody, by przypuszczać, że dochodzi tam do naruszenia przepisów przyjętych na mocy niniejszej dyrektywy, bez uszczerbku dla zezwolenia sądu, jeśli istnieje taki wymóg w prawie krajowym.

3.  Bez uszczerbku dla art. 43 państwa członkowskie stanowią przepisy przewidujące, że nie ustanawia się żadnych dodatkowych wymogów w zakresie poufności na wniosek organów nadzorczych.

4.  Państwa członkowskie mogą ustanowić przepisy przewidujące, że uzyskanie dostępu do informacji zaklasyfikowanych na poziomie zbliżonym do CONFIDENTIEL UE/EU CONFIDENTIAL lub wyższym wymaga dodatkowej kontroli bezpieczeństwa zgodnie z prawem krajowym. Jeśli dodatkowa kontrola bezpieczeństwa nie jest wymagana na mocy prawa państwa członkowskiego danego organu nadzorczego, muszą to uznać wszystkie inne państw członkowskie.

5.  Każdy organ nadzorczy jest uprawniony do zwrócenia uwagi organom sądowym na naruszenia przepisów przyjętych na mocy niniejszej dyrektywy i do wszczęcia postępowania prawnego oraz wniesienia sprawy do właściwego sądu na mocy art. 53 ust. 2.

6.  Każdy organ nadzorczy jest uprawniony do nakładania sankcji w związku z naruszeniami przepisów prawa administracyjnego. [Popr. 109]

Artykuł 46a

Zgłaszanie naruszeń

1.  Państwa członkowskie stanowią przepisy przewidujące, że organy nadzorcze uwzględniają wytyczne wydane przez Europejską Radę Ochrony Danych zgodnie z art. 66 ust. 4b rozporządzenia (UE) ..../2014, i wprowadzają skuteczne instrumenty służące zachęcaniu do poufnego zgłaszania naruszeń przepisów niniejszej dyrektywy.

2.  Państwa członkowskie stanowią przepisy przewidujące, że właściwe organy wprowadzają skuteczne instrumenty służące zachęcaniu do poufnego zgłaszania naruszeń przepisów niniejszej dyrektywy. [Popr. 110]

Artykuł 47

Sprawozdanie z działalności

Państwa członkowskie stanowią przepisy przewidujące, że każdy organ nadzorczy sporządza roczne sprawozdanie z działalności co najmniej co dwa lata. Sprawozdanie to udostępniane jest opinii publicznej, odpowiedniemu parlamentowi narodowemu, Komisji i Europejskiej Radzie Ochrony Danych. Zawiera ono informacje dotyczące zakresu, w jakim właściwe organy korzystały w swej jurysdykcji z dostępu do danych należących do podmiotów niepublicznych w celu prowadzenia dochodzeń w sprawie przestępstw lub ścigania ich. [Popr. 111]

ROZDZIAŁ VII

WSPÓŁPRACA

Artykuł 48

Wzajemna pomoc

1.  Państwa członkowskie stanowią przepisy przewidujące, że organy nadzorcze świadczą sobie wzajemną pomoc w celu spójnego wdrażania i stosowania przepisów przyjętych na mocy niniejszej dyrektywy oraz wprowadzają środki na rzecz zapewnienia skutecznej wzajemnej współpracy. Wzajemna pomoc obejmuje w szczególności wnioski o udzielenie informacji oraz środki nadzorcze, takie jak wnioski o przeprowadzenie uprzednich konsultacji, kontroli i dochodzenia.

2.  Państwa członkowskie stanowią przepisy przewidujące, że organ nadzorczy podejmuje wszystkie właściwe środki niezbędne, by odpowiedzieć na wniosek innego organu nadzorczego. Takie środki mogą obejmować w szczególności przekazanie odpowiednich informacji lub środki egzekucyjne w celu doprowadzenia do bezzwłocznego zaprzestania lub zakazu prowadzenia operacji przetwarzania niezgodnych z niniejszą dyrektywą, a nie później niż w ciągu jednego miesiąca od daty otrzymania wniosku.

2a.  Wniosek o udzielenie pomocy zawiera wszystkie niezbędne informacje, w tym cel i uzasadnienie wniosku. Informacje będące przedmiotem wymiany wykorzystywane są wyłącznie w odniesieniu do sprawy określonej we wniosku.

2b.  Organ nadzorczy, do którego kierowany jest wniosek o pomoc, nie może odmówić jego przyjęcia, chyba że:

a)  nie jest właściwy do rozpatrzenia tego wniosku; lub

b)  przyjęcie wniosku byłoby niezgodne z przepisami przyjętymi na mocy niniejszej dyrektywy.

3.  Organ nadzorczy, do którego skierowano wniosek, informuje organ nadzorczy, od którego wniosek pochodzi, o rezultatach lub, w odpowiednich przypadkach, o postępach albo środkach podjętych w celu realizacji wniosku skierowanego przez ten organ.

3a.  Organy nadzorcze przekazują informacje, których dotyczył wniosek innych organów nadzorczych, drogą elektroniczną i w najkrótszym możliwym terminie, przy użyciu standardowego formatu.

3b.  Nie pobiera się opłat od czynności podjętych w wyniku przesłania wniosku o wzajemną pomoc. [Popr. 112]

Artykuł 48a

Wspólne operacje

1.  Państwa członkowskie stanowią przepisy przewidujące, że w celu zacieśnienia współpracy i zwiększenia wzajemnej pomocy organy nadzorcze mogą podejmować wspólne środki egzekucyjne i prowadzić inne wspólne operacje, podczas których wyznaczeni członkowie lub personel organów nadzorczych z innych państw członkowskich uczestniczą w operacjach na terytorium danego państwa członkowskiego.

2.  Państwa członkowskie stanowią przepisy przewidujące, że w przypadkach, gdy operacje przetwarzania będą miały prawdopodobny wpływ na podmioty danych w co najmniej jednym innym państwie członkowskim, właściwy organ nadzorczy może zostać zaproszony do udziału we wspólnych operacjach. Właściwy organ nadzorczy może zaprosić organ nadzorczy każdego z tych państw członkowskich do uczestnictwa w odnośnej operacji i w przypadku wystosowania takiego zaproszenia odpowiada bezzwłocznie na wniosek organu nadzorczego zawierający prośbę o uczestnictwo w operacjach.

3.  Państwa członkowskie określają praktyczne aspekty konkretnych działań w ramach współpracy. [Popr. 113]

Artykuł 49

Zadania Europejskiej Rady Ochrony Danych

1.  Europejska Rada Ochrony Danych ustanowiona rozporządzeniem (UE) …./2012 2014 wykonuje następujące zadania w odniesieniu do przetwarzania w zakresie zastosowania niniejszej dyrektywy:

a)  doradzanie Komisji instytucjom unijnym we wszelkich sprawach związanych z ochroną danych osobowych w Unii, w tym na temat wszelkich proponowanych zmian w niniejszej dyrektywie;

b)  badanie, na wniosek Komisji, Parlamentu Europejskiego lub Rady, albo z inicjatywy własnej lub jednego ze swych członków, wszelkich kwestii dotyczących stosowania przepisów przyjętych na mocy niniejszej dyrektywy oraz wydawanie wytycznych, zaleceń i najlepszych praktyk skierowanych do organów nadzorczych w celu zachęcenia do spójnego stosowania tych przepisów, w tym dotyczących wykonywania uprawnień egzekucyjnych;

c)  kontrola praktycznego stosowania wytycznych, zaleceń i najlepszych praktyk, o których mowa w lit. b), oraz składanie Komisji regularnych sprawozdań na ich temat;

d)  wydawanie Komisji opinii na temat poziomu ochrony w państwach trzecich lub organizacjach międzynarodowych;

e)  wspieranie współpracy i skutecznej dwustronnej i wielostronnej wymiany informacji i praktyk między organami nadzorczymi, w tym koordynacja wspólnych operacji i innych wspólnych działań, jeżeli podejmie taką decyzję na wniosek co najmniej jednego organu nadzorczego;

f)  wspieranie wspólnych programów szkoleniowych i ułatwianie wymiany personelu między organami nadzorczymi, jak również w odpowiednich przypadkach z organami nadzorczymi państw trzecich lub organizacji międzynarodowych;

g)  wspieranie wymiany wiedzy i dokumentacji z organami nadzorującymi ochronę danych na całym świecie, w tym przepisów o ochronie danych i praktyk;

ga)  wydawanie opinii dla Komisji w toku przygotowywania aktów delegowanych i wykonawczych na mocy niniejszej dyrektywy.

2.  Jeżeli Parlament Europejski, Rada lub Komisja zwraca zwróci się o opinię doradczą do Europejskiej Rady Ochrony Danych, może wyznaczyć limit termin, w którym Europejska Rada Ochrony Danych wydaje musi wydać taką opinię, przy uwzględnieniu stopnia pilności danej sprawy.

3.  Europejska Rada Ochrony Danych przekazuje swoje opinie, wytyczne, zalecenia i najlepsze praktyki Komisji oraz komitetowi, o którym mowa w art. 57 ust. 1 oraz udostępnia je publicznie.

4.  Komisja informuje Europejską Radę Ochrony Danych o działaniach podjętych w reakcji na opinię, wytyczne, zalecenia i najlepsze praktyki przedstawione przez Europejską Radę Ochrony Danych. [Popr. 114]

ROZDZIAŁ VIII

ŚRODKI OCHRONY PRAWNEJ, ODPOWIEDZIALNOŚĆ I SANKCJE

Artykuł 50

Prawo do złożenia skargi do organu nadzorczego

1.  Bez uszczerbku dla wszelkich innych administracyjnych lub sądowych środków ochrony prawnej, państwa członkowskie stanowią przepisy przewidujące prawo wszystkich podmiotów danych do złożenia skargi do organu nadzorczego w dowolnym państwie członkowskim, jeżeli uważają one, że przetwarzanie danych osobowych ich dotyczących, nie jest zgodne z przepisami przyjętymi na mocy niniejszej dyrektywy.

2.  Państwa członkowskie stanowią przepisy przewidujące dla każdego organu, organizacji lub zrzeszenia, których celem jest ochrona praw i interesów podmiotów danych w zakresie ochrony ich danych osobowych, i działających w interesie publicznym, które zostały odpowiednio ustanowione zgodnie z prawem państwa członkowskiego, prawo do złożenia skargi do organu nadzorczego w dowolnym państwie członkowskim w imieniu jednego podmiotu danych lub większej liczby tych podmiotów, jeżeli uznają one, że doszło do naruszenia praw podmiotów danych wynikających z niniejszej dyrektywy w rezultacie przetwarzania danych osobowych. Organizacja lub zrzeszenie muszą być należycie upoważnione przez podmiot lub podmioty danych. [Popr. 115]

3.  Państwa członkowskie stanowią przepisy przewidujące dla każdego organu, organizacji lub zrzeszenia, o których mowa w ust. 2, prawo do złożenia, niezależnie od skargi podmiotu danych, skargi do organu nadzorczego w dowolnym państwie członkowskim, jeżeli uznają one, że doszło do naruszenia ochrony danych osobowych.

Artykuł 51

Prawo do sądowego środka ochrony prawnej przeciwko organowi nadzorczemu

1.  Państwa członkowskie stanowią przepisy przewidujące dla każdej osoby fizycznej lub prawnej prawo od do sądowego środka ochrony prawnej od dotyczących tej osoby decyzji organu nadzorczego.

2.  Państwa członkowskie stanowią przepisy przewidujące, że każdy podmiot danych ma prawo do sądowego środka ochrony prawnej w celu zobowiązania organu nadzorczego do działania na podstawie skargi, w przypadku braku decyzji niezbędnej do ochrony jego praw lub gdy organ nadzorczy nie poinformuje podmiotu danych w ciągu trzech miesięcy o postępach w rozpatrywania rozpatrywaniu skargi lub rezultatach jej rozpatrzenia zgodnie z art. 45 ust. 1 lit. b).

3.  Państwa członkowskie stanowią przepisy przewidujące, że postępowanie przeciwko organowi nadzorczemu wszczynane jest przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę.

3a.  Państwa członkowskie dopilnowują wykonywania prawomocnych orzeczeń sądów, o których mowa w niniejszym artykule. [Popr. 116]

Artykuł 52

Prawo do sądowego środka ochrony prawnej przeciwko administratorowi lub podmiotowi przetwarzającemu

1.  Bez uszczerbku dla jakichkolwiek dostępnych administracyjnych środków ochrony prawnej, w tym prawa do złożenia skargi do organu nadzorczego, państwa członkowskie stanowią przepisy przewidujące dla każdej osoby fizycznej prawo do sądowego środka ochrony prawnej, jeżeli uważa ona, że jej prawa ustanowione w przepisach przyjętych na mocy niniejszej dyrektywy zostały naruszone w rezultacie przetwarzania jej danych osobowych niezgodnie z tymi przepisami.

1a.  Państwa członkowskie dopilnowują wykonywania prawomocnych orzeczeń sądów, o których mowa w niniejszym artykule. [Popr. 117]

Artykuł 53

Wspólne przepisy dotyczące postępowań sądowych

1.  Państwa członkowskie stanowią przepisy przewidujące dla każdego organu, organizacji lub zrzeszenia, o których mowa w art. 50 ust. 2, uprawnienie do korzystania z praw, o których mowa w art. 51, 52 i 52 w imieniu podmiotu 54, w razie upoważnienia ich do tego przez podmiot danych lub większej liczby większą liczbę takich podmiotów. [Popr. 118]

2.  Państwa członkowskie stanowią przepisy przewidujące, że każdy organ nadzorczy ma prawo do wszczęcia postępowania prawnego i wszczęcia postępowania przed sądem w celu egzekwowania przepisów przyjętych na mocy niniejszej dyrektywy oraz zagwarantowania spójnej ochrony danych osobowych na terytorium Unii. [Popr. 119]

3.  Państwa członkowskie zapewniają, by skargi przewidziane w prawie krajowym umożliwiały szybkie podjęcie środków, łącznie ze środkami tymczasowymi mającymi doprowadzić do zaprzestania każdego domniemanego naruszenia oraz zapobieżenia jakiemukolwiek dalszemu naruszeniu przedmiotowych interesów.

Artykuł 54

Odpowiedzialność i prawo do odszkodowania

1.  Państwa członkowskie zapewniają, by każdej osobie, stanowią przepisy przewidujące, że każda osoba, która poniosła szkodę, w tym szkodę niemajątkową, wskutek niezgodnej z prawem operacji przetwarzania danych lub innej czynności niezgodnej z przepisami krajowymi przyjętymi na mocy niniejszej dyrektywy, przysługiwało przysługuje prawo do uzyskania domagania się odszkodowania od administratora lub podmiotu przetwarzającego za poniesioną szkodę. [Popr. 120]

2.  Jeżeli w przetwarzaniu bierze udział więcej niż jeden administrator lub podmiot przetwarzający, każdy administrator i podmiot przetwarzający odpowiada solidarnie za całą kwotę odszkodowania.

3.  Administrator lub podmiot przetwarzający może zastać zwolniony od tej odpowiedzialności w całości lub w części, jeżeli wykaże, że nie jest odpowiedzialny za zdarzenie, które spowodowało szkodę.

Artykuł 55

Kary

Państwa członkowskie ustanawiają przepisy dotyczące kar mających zastosowanie w przypadku naruszenia przepisów przyjętych na mocy niniejszej dyrektywy i podejmują wszelkie niezbędne środki w celu zapewnienia ich wdrożenia. Przewidziane kary muszą być skuteczne, proporcjonalne i odstraszające.

ROZDZIAŁ VIIIa

PRZEKAZYWANIE DANYCH OSOBOWYCH INNYM PODMIOTOM

Artykuł 55a

Przekazywanie danych osobowych innym organom lub podmiotom niepublicznym w Unii

1.  Państwa członkowskie dopilnowują, by administrator nie przekazywał ani nie wydawał podmiotowi przetwarzającemu zaleceń przekazywania danych osobowych osobie fizycznej lub prawnej niepodlegającej przepisom przyjętym na mocy niniejszej dyrektywy, chyba że:

a)  przekazanie to jest zgodne z prawem unijnym lub prawem państwa członkowskiego; oraz

b)  odbiorca ma siedzibę w państwie członkowskim Unii Europejskiej; oraz

c)  nie istnieje żaden konkretny uzasadniony interes podmiotu danych zapobiegający przekazaniu; oraz

d)  przekazanie jest niezbędne w konkretnym przypadku przekazania przez administratora danych osobowych do celów:

(i)  wykonania zadania powierzonego mu na mocy prawa; lub

(ii)  zażegnania bezpośredniego i poważnego zagrożenia dla bezpieczeństwa publicznego; lub

(iii)  zapobieżenia poważnemu naruszeniu praw osób fizycznych.

2.  Administrator informuje odbiorcę o wyłącznym celu, dla którego dane osobowe mogą być przetwarzane.

3.  Administrator informuje organ nadzorczy o takich operacjach przekazania.

4.  Administrator informuje odbiorcę o ograniczeniach przetwarzania oraz dopilnowuje, by ograniczenia te były przestrzegane. [Popr. 121]

ROZDZIAŁ IX

AKTY DELEGOWANE I WYKONAWCZE

Artykuł 56

Wykonywanie przekazanych uprawnień

1.  Powierzenie Komisji uprawnień do przyjęcia aktów delegowanych podlega warunkom określonym w niniejszym artykule.

2.  Uprawnienia do przyjęcia aktów delegowanych, o których mowa w art. 25a ust. 7, art. 28 ust. 5 i art. 34 ust. 3 i 5, powierza się Komisji na czas nieokreślony od dnia wejścia w życie niniejszej dyrektywy.

3.  Przekazanie uprawnień, o którym mowa w art. 25a ust. 7, art. 28 ust. 5, art. 34 ust. 3 i 5, może zostać w dowolnym momencie odwołane przez Parlament Europejski lub przez Radę. Decyzja o odwołaniu kończy przekazanie określonych w niej uprawnień Decyzja o odwołaniu staje się skuteczna od następnego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej lub w określonym w tej decyzji późniejszym terminie Nie wpływa ona na ważność jakichkolwiek już obowiązujących aktów delegowanych.

4.  Niezwłocznie po przyjęciu aktu delegowanego Komisja przekazuje go równocześnie Parlamentowi Europejskiemu i Radzie.

5.  Akt delegowany przyjęty na podstawie art. 25a ust. 7, art. 28 ust. 5 oraz art. 34 ust. 3 i 5 wchodzi w życie tylko jeśli wtedy, kiedy Parlament Europejski albo Rada nie wyraziły sprzeciwu w terminie dwóch sześciu miesięcy od przekazania tego aktu Parlamentowi Europejskiemu i Radzie, lub jeśli, kiedy przed upływem tego terminu, zarówno Parlament Europejski, jak i Rada poinformowały Komisję, że nie wniosą sprzeciwu. Termin ten przedłuża się o 2 miesiące sześć miesięcy z inicjatywy Parlamentu Europejskiego lub Rady. [Popr. 122]

Artykuł 56a

Termin przyjęcia aktów delegowanych

Komisja przyjmuje akty delegowane na mocy art. 25a ust. 7 i art. 28 ust. 5 do dnia [sześć miesięcy przed datą, o której mowa w art. 62 ust. 1]. Komisja może przedłużyć o sześć miesięcy termin, o którym mowa w niniejszym ustępie. [Popr. 123]

Artykuł 57

Procedura komitetowa

1.  Komisję wspomaga komitet. Komitet ten jest komitetem w rozumieniu rozporządzenia (UE) nr 182/2011.

2.  W przypadku odesłania do niniejszego ustępu stosuje się art. 5 rozporządzenia (UE) nr 182/2011.

3.  W przypadku odesłania do niniejszego ustępu stosuje się art. 8 rozporządzenia (UE) nr 182/2011 w związku z jego art. 5. [Popr. 124]

ROZDZIAŁ X

PRZEPISY KOŃCOWE

Artykuł 58

Uchylenie

1.  Uchyla się decyzję ramową 2008/977/WSiSW.

2.  Odniesienia do uchylonej decyzji ramowej, o której mowa w ust. 1 traktuje się jako odniesienia do niniejszej dyrektywy.

Artykuł 59

Stosunek do uprzednio przyjętych aktów Unii dotyczących współpracy wymiarów sprawiedliwości w sprawach karnych oraz współpracy sądowej

Dyrektywa nie wpływa na przepisy szczególne dotyczące ochrony danych osobowych w zakresie przetwarzania danych osobowych przez właściwe organy na potrzeby zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo w celu wykonywania kar kryminalnych zawarte w aktach Unii przyjętych przed datą przyjęcia niniejszej dyrektywy, regulujące przetwarzanie danych osobowych między państwami członkowskimi lub dostęp wyznaczonych organów państw członkowskich do systemów informacyjnych ustanowionych na mocy Traktatów w zakresie zastosowania niniejszej dyrektywy.

Artykuł 60

Stosunek do uprzednio zawartych umów międzynarodowych dotyczących współpracy wymiarów sprawiedliwości w sprawach karnych oraz współpracy sądowej

Umowy międzynarodowe zawarte przez państwa członkowskie przed wejściem w życie niniejszej dyrektywy zostają zmienione, w razie potrzeby, w ciągu pięciu lat od daty wejście w życie niniejszej dyrektywy.

Artykuł 61

Ocena

1.  Komisja, po zasięgnięciu opinii Europejskiej Rady Ochrony Danych, ocenia stosowanie i wprowadzenie w życie niniejszej dyrektywy. Komisja odpowiada za koordynację w ścisłej współpracy z państwami członkowskimi oraz składa zapowiedziane i niezapowiedziane wizyty. Parlament Europejski i Rada są na bieżąco informowane w ciągu całego procesu oceny oraz mają dostęp do stosownych dokumentów.

2.  W ciągu trzech dwóch lat po wejściu w życie niniejszej dyrektywy Komisja dokonuje dokona przeglądu innych aktów przyjętych przez Unię Europejską, które regulują przetwarzanie danych osobowych przez właściwe organy, do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo wykonywania kar kryminalnych, w szczególności aktów przyjętych przez Unię, o których mowa w art. 59, w oraz przedstawi odpowiednie wnioski mające na celu oceny potrzeby uzgodnienia ich z niniejszą dyrektywą oraz przedstawienia, w razie potrzeby, niezbędnych propozycji zapewnienie spójnych i jednolitych przepisów prawnych dotyczących zmiany tych aktów celem zapewnienia spójnego podejścia do ochrony przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo wykonywania kar kryminalnych w zakresie zastosowania niniejszej dyrektywy.

2a.  Komisja w ciągu dwóch lat od daty wejścia w życie niniejszej dyrektywy przedstawi odpowiednie wnioski dotyczące przeglądu ram prawnych mających zastosowanie do przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii do celów zapobiegania przestępstwom, prowadzenia dochodzeń w ich sprawie, wykrywania ich lub ścigania albo wykonywania kar kryminalnych, aby zapewnić spójne i jednolite przepisy prawne dotyczące podstawowego prawa do ochrony danych osobowych w Unii.

3.  Komisja w regularnych odstępach czasu przedkłada sprawozdania z oceny i przeglądu niniejszej dyrektywy na mocy ust. 1 Parlamentowi Europejskiemu i Radzie. Pierwsze sprawozdania zostaną przedłożone najpóźniej cztery lata po wejściu w życie niniejszej dyrektywy. Kolejne sprawozdania przedkłada się następnie co cztery lata. Komisja przedkłada, w razie potrzeby, odpowiednie propozycje dotyczące zmiany niniejszej dyrektywy oraz uzgodnienia innych instrumentów prawnych. Sprawozdanie jest udostępniane publicznie. [Popr. 125]

Artykuł 62

Wdrażanie

1.  Państwa członkowskie przyjmują i publikują, najpóźniej do dnia ...(12), przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania niniejszej dyrektywy. Niezwłocznie przekazują Komisji tekst tych przepisów oraz tabelę korelacji pomiędzy tymi przepisami a niniejszą dyrektywą.

Państwa członkowskie stosują te przepisy od ...*.

Przepisy przyjęte przez państwa członkowskie zawierają odniesienie do niniejszej dyrektywy lub odniesienie takie towarzyszy ich urzędowej publikacji. Metody dokonywania takiego odniesienia określane są przez państwa członkowskie.

2.  Państwa członkowskie przekazują Komisji tekst podstawowych przepisów prawa krajowego, przyjętych w dziedzinie objętej niniejszą dyrektywą.

Artykuł 63

Wejście w życie i stosowanie

Niniejsza dyrektywa wchodzi w życie pierwszego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Artykuł 64

Adresaci

Niniejsza dyrektywa skierowana jest do państw członkowskich.

Sporządzono w ...

W imieniu Parlamentu Europejskiego W imieniu Rady

Przewodniczący Przewodniczący

(1) Dz.U. C 192 z 30.6.2012, s. 7. (2) Stanowisko Parlamentu Europejskiego z dnia 12 marca 2014 r. (3) Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 281 z 23.11.1995, s. 31). (4) Decyzja ramowa Rady 2008/977/JHA z dnia 27 listopada 2008 r. w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych (Dz.U. L 350 z 30.12.2008, s. 60). (5) Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych (Dz.U. L 8 z 12.1.2001, s. 1). (6) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 182/2011 z dnia 16 lutego 2011 r. ustanawiające przepisy i zasady ogólne dotyczące trybu kontroli przez państwa członkowskie wykonywania uprawnień wykonawczych przez Komisję (Dz.U. L 55 z 28.2.2011, s. 13). (7) Dyrektywa 2011/93/UE Parlamentu Europejskiego i Rady z dnia 13 grudnia 2011 r. w sprawie zwalczania niegodziwego traktowania w celach seksualnych i wykorzystywania seksualnego dzieci oraz pornografii dziecięcej, zastępująca decyzję ramową Rady 2004/68/WSiSW (Dz.U. L 335 z 17.12.2011, s. 1). (8) Dz.U. L 176 z 10.7.1999, s. 36. (9) Dz.U. L 53 z 27.2.2008, s. 52. (10) Dz.U. L 160 z 18.6.2011, s. 21. (11) Dz.U. C 369 z 17.12.2011, s. 14. (12) Dwa lata po wejściu w życie niniejszej dyrektywy.