31995L0046



Úradný vestník L 281 , 23/11/1995 S. 0031 - 0050


Smernica Európskeho parlamentu a Rady 95/46/EHS

z 24. októbra 1995

o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov

EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,

so zreteľom na Zmluvu o založení Európskeho spoločenstva, a najmä na jej článok 100a,

so zreteľom na návrh Komisie [1],

so zreteľom na stanovisko Hospodárskeho a sociálneho výboru [2],

konajúc v súlade s postupom uvedenom v článku 189 b zmluvy [3],

(1) keďže ciele spoločenstva, tak ako sú uvedené v zmluve, ktorú dopĺňa Zmluva o Európskej únii, zahrňujú vytváranie stále užšieho prepojenia medzi ľuďmi v Európe, rozvíjanie užších vzťahov medzi štátmi, ktoré tvoria spoločenstvo, zabezpečovanie hospodárskeho a sociálneho pokroku spoločným pôsobením na elimináciu bariér deliacich Európu, podporu stáleho zlepšovaniu životných podmienok jej obyvateľov, zachovanie a upevňovanie mieru a slobody a presadzovanie demokracie na základe základných práv uznávaných v ústave a zákonoch členských štátov a v Európskej konvencii na ochranu ľudských práv a základných slobôd;

(2) keďže systémy spracovania údajov sú určené na to, aby slúžili človeku; keďže tieto systémy musia, nech je akákoľvek štátna príslušnosť fyzických osôb a ich bydlisko, rešpektovať ich základné práva a slobody, najmä právo na súkromie, a prispievať k hospodárskemu a sociálnemu pokroku, rozvoju obchodu a blahobytu jednotlivcov;

(3) keďže založenie a fungovanie vnútorného trhu, v ktorom v súlade s článkom 7a zmluvy je zabezpečený voľný pohyb tovaru, osôb, služieb a kapitálu, si vyžadujú nielen voľný tok osobných údajov z jedného členského štátu do druhého, ale aj ochranu základných práv jednotlivcov;

(4) keďže spracovanie osobných údajov v rôznych oblastiach hospodárskej a sociálnej činnosti má čoraz častejšiu oporu v spoločenstve; keďže pokrok v informačných technológiách značne uľahčuje spracovanie a výmenu týchto údajov;

(5) keďže hospodárska a sociálna integrácia, ktoré sú dôsledkom zavedenia a fungovania vnútorného trhu v zmysle článku 7a zmluvy, nevyhnutne vedú k podstatnému nárastu pohybu toku osobných údajov cez hranice medzi všetkými, o ktorých ide v súkromných alebo štátnych funkciách v hospodárskych a sociálnych činnostiach v členských štátoch; keďže výmena osobných údajov medzi podnikmi v rôznych členských štátoch má tendenciu rásť; keďže sa apeluje na vnútroštátne orgány v rôznych členských štátoch na základe práva spoločenstva, aby spolupracovali a vymieňali si osobné údaje tak, aby vedeli vykonávať svoje povinnosti alebo vykonávať úlohy v mene orgánu iného členského štátu v kontexte územia bez vnútorných hraníc, ako to predstavuje vnútorný trh;

(6) keďže okrem toho nárast vedeckej a technickej spolupráce a koordinované zavádzanie nových telekomunikačných sietí v spoločenstve vyžaduje a zjednodušuje pohyb toku osobných údajov cez hranice;

(7) keďže rozdiel v úrovni ochrany osobných práv a slobôd, najmä práva na súkromie, vzhľadom na spracovanie osobných údajov poskytovaných v členských štátoch môže zabrániť prenosu týchto údajov z územia jedného členského štátu na územie iného členského štátu; keďže, tento rozdiel preto môže vytvárať prekážky vo vykonávaní množstva hospodárskych činností na úrovni spoločenstva, deformovať konkurenciu a brániť orgánom vo vykonávaní ich zodpovedností podľa práva spoločenstva; keďže, tento rozdiel úrovní ochrany vyplýva z existencie širokej rôznosti vnútroštátnych zákonov, iných právnych predpisov a správnych opatrení;

(8) keďže úroveň ochrany osobných práv a slobôd vo vzťahu k spracovaniu týchto údajov musí byť rovnocenná vo všetkých členských štátoch, aby sa odstránili prekážky tokov osobných údajov; keďže tento cieľ je prvoradý pre vnútorný trh, avšak členské štáty ho samy nemôžu dosiahnuť, osobitne z pohľadu rozsahu rozdielov, ktoré v súčasnosti existujú medzi príslušnými zákonmi v členských štátoch, aby sa zabezpečilo, že pohyb toku osobných údajov cez hranice je upravovaný dôsledne, čo je v súlade s cieľom vnútorného trhu, ako je ustanovené v článku 7a zmluvy; keďže konanie spoločenstva na aproximáciu týchto právnych predpisov je preto potrebné;

(9) keďže za predpokladu ekvivalentnej ochrany vyplývajúcej z aproximácie vnútroštátnych zákonov, nemôžu členské štáty zabrániť voľnému pohybu osobných údajov medzi sebou, a to z dôvodov majúcich vzťah k ochrane osobných práv a slobôd a osobitne práva na súkromie; keďže členským štátom sa ponechá možnosť pre riadenie, ktoré v kontexte implementácie smernice môžu vykonávať aj obchodní a sociálni partneri; keďže členské štáty preto môžu špecifikovať vo svojich vnútroštátnych zákonoch všeobecné podmienky určujúce zákonnosť spracovania údajov; keďže členské štáty, takto postupujúce, sa budú snažiť zlepšiť ochranu poskytovanú v súčasnej dobe ich právnymi predpismi; keďže v medziach tejto možnosti konania a v súlade s právom spoločenstva, by mohli vzniknúť rozdiely pri implementácii smernice a to by mohlo mať vplyv na pohyb údajov v rámci členského štátu, ako aj v rámci spoločenstva;

(10) keďže cieľom vnútroštátnych právnych predpisov o spracovaní osobných údajov je chrániť základné práva a slobody, najmä právo na súkromie, čo sa rešpektuje tak v článku 8 Európskeho dohovoru na ochranu ľudských práv a základných slobôd, ako aj vo všeobecných zásadách práva spoločenstva; keďže z toho dôvodu aproximáciu týchto právnych predpisov nesmie mať za následok zníženie ochrany, ktorú poskytujú, ale naopak musí sa snažiť zabezpečiť vysokú úroveň ochrany v spoločenstve;

(11) keďže, zásady osobných práv a slobôd, najmä práva na súkromie, ktoré obsahuje táto smernica, sú jej hlavným zmyslom a zosilňujú práva a slobody obsiahnuté v Dohovore Rady Európy z 28. januára 1981 na ochranu osôb s ohľadom na automatizované spracovanie osobných údajov;

(12) keďže zásady ochrany sa musia vzťahovať na celé spracovanie osobných údajov každou osobou, činnosti ktorej upravuje právo spoločenstva; keďže by sa malo vylúčiť spracovanie údajov vykonávané fyzickou osobou pri uskutočňovaní aktivít, ktoré sú výlučne osobné alebo domáceho charakteru, ako je korešpondencia a udržiavanie zoznamov adries;

(13) keďže činnosti, na ktoré odkazujú oddiely V a VI Zmluvy o Európskej únii vo vzťahu k verejnej bezpečnosti, obrane, bezpečnosti štátu alebo k činnostiam štátu v oblasti trestných zákonov spadajú mimo rámca práva spoločenstva, bez ujmy na záväzkoch pripadajúcich na členské štáty pod článkom 56 ods. 2, článkom 57 alebo článkom 100a Zmluvy o založení Európskeho spoločenstva; keďže spracovanie osobných údajov, ktoré je nevyhnutné na ochranu hospodárskeho blahobytu štátu, nespadá do rozsahu tejto smernice, kde sa takéto spracovanie vzťahuje na záležitosti bezpečnosti štátu;

(14) keďže, vzhľadom na význam neustáleho vývoja činností v rámci informačnej spoločnosti, metód používaných na zber, prenos, manipuláciu, záznam alebo komunikovanie zvukových a obrazových údajov vo vzťahu k fyzickým osobám, by sa táto smernica mala týkať spracovania vrátane zahrnutia týchto údajov;

(15) keďže táto smernica sa vzťahuje na spracovanie týchto údajov iba vtedy, ak ide o automatizované spracovanie, alebo ak spracované údaje sú obsiahnuté, alebo existuje zámer, aby boli obsiahnuté v registračnom systéme štruktúrovanom podľa špecifických kritérií vo vzťahu k jednotlivcom tak, aby umožňoval ľahký prístup k príslušným osobným údajom;

(16) keďže spracovanie zvukových a obrazových údajov, ako je tomu v prípadoch sledovania s využitím videotechniky, nepatrí do rámca tejto smernice, ak sa vykonáva na účely verejnej bezpečnosti, obrany, štátnej bezpečnosti alebo v priebehu aktivít štátu vo vzťahu k oblasti trestného práva, alebo iných aktivít, ktoré nepatria do rámca práva spoločenstva;

(17) keďže pokiaľ ide o spracovanie zvukových a obrazových údajov vykonávané na novinárske účely alebo na účely literárneho alebo umeleckého vyjadrovania, najmä v audiovizuálnej oblasti, sa zásady smernice uplatňujú v obmedzenej miere, a to podľa ustanovení uvedených v článku 9;

(18) keďže, aby sa zabezpečilo, že jednotlivci nebudú zbavení ochrany, na ktorú majú nárok podľa tejto smernice, bude sa musieť každé spracovanie osobných údajov v spoločenstve vykonávať v súlade s právom jedného z členských štátov; keďže v tejto súvislosti sa spracovanie vykonávané v zodpovednosti kontrolóra ktorý je ustanovený v členskom štáte, bude riadiť právom tohto štátu;

(19) keďže založenie takejto inštitúcie na území členského štátu predpokladá účinné a skutočné vykonávanie činnosti prostredníctvom stabilných dohôd; keďže právna forma takejto inštitúcie, či je to pobočka, alebo dcérska spoločnosť s právnou subjektivitou, nie je určujúcim činiteľom z tohto hľadiska; keďže, ak je jeden kontrolór, resp. inštitúcia, ktorá spracovanie riadi, zavedený na území niekoľkých členských štátov, najmä prostredníctvom dcérskych spoločností, potom tento kontrolór musí zabezpečiť, aby nedošlo k obchádzaniu vnútroštátneho práva, aby každý z podnikov spĺňal povinnosti uložené vnútroštátnym právom, ktoré je uplatniteľné na jeho činnosti;

(20) keďže skutočnosť, že spracovanie údajov vykonáva osoba ustanovená v tretej krajine, nesmie byť na prekážku ochrane jednotlivcov, uvedenej v tejto smernici; keďže v týchto prípadoch by sa malo spracovanie riadiť právom členského štátu, v ktorom sú umiestnené používané prostriedky, a mali by existovať záruky, ktoré zabezpečia, že v praxi sa budú dodržiavať práva a záväzky, uvedené v tejto smernici;

(21) keďže táto smernica je bez záväzkov voči územným zákonom uplatniteľným v trestných veciach;

(22) keďže členské štáty v zákonoch, ktoré vydajú alebo pri prijímaní opatrení podnikaných na základe tejto smernice, presnejšie definujú všeobecné okolnosti, za ktorých je spracovanie zákonné; keďže najmä článok 5 v kombinácii s článkom 7 a 8 umožňuje členským štátom nezávisle od všeobecných zákonov uvádzať špeciálne podmienky spracovania pre špecifické oblasti a pre rôzne kategórie údajov, na ktoré sa vzťahuje článok 8;

(23) keďže členské štáty sú splnomocnené zabezpečiť zavedenie ochrany jednotlivcov prostredníctvom všeobecného zákona na ochranu jednotlivcov, pokiaľ ide o spracovanie osobných údajov, ako aj sektorových zákonov, ako sú zákony vo vzťahu napríklad k štatistickým inštitútom;

(24) keďže právne predpisy týkajúce sa ochrany právnických osôb vo vzťahu k spracovaniu dát, ktoré sa ich týkajú, nie je ovplyvnená touto smernicou;

(25) keďže zásady ochrany sa musia na jednej strane odrážať v povinnostiach kladených na osoby, verejné úrady, podniky, agentúry alebo iné orgány zodpovedné za spracovanie, najmä pokiaľ ide o kvalitu údajov, technické zabezpečenie, oznámenia kontrolným orgánom, a okolnosti, za ktorých sa môže vykonávať spracovanie a na druhej strane v práve delegovanom na jednotlivcov, o ktorých sa údaje spracovávajú, aby boli informovaní, že sa uskutočňuje spracovanie, aby sa pozreli na údaje, aby žiadali opravy a, aby za určitých okolností mali námietky proti spracovaniu;

(26) keďže zásady ochrany sa musia vzťahovať na všetky informácie týkajúce sa identifikovanej alebo identifikovateľnej osoby; keďže k určeniu, či je osoba identifikovateľná, by sa mali vziať do úvahy všetky prostriedky, u ktorých je primeraná pravdepodobnosť, že ich využije kontrolór, alebo ľubovoľná iná osoba na identifikáciu príslušnej osoby; keďže zásady ochrany sa nebudú vzťahovať na údaje poskytnuté anonymne, a to tak, že predmet údajov sa už nebude dať identifikovať; keďže zásady správania v zmysle článku 27 môžu byť užitočným nástrojom na poskytnutie poradenstva, pokiaľ ide o spôsoby, ako sa môžu údaje poskytovať anonymne a uchovávať vo forme, v ktorej nie je možné identifikovať predmet údajov;

(27) keďže ochrana jednotlivcov sa musí vzťahovať rovnako na automatizované spracovanie údajov, ako aj na manuálne spracovanie; keďže rozsah tejto ochrany nesmie v skutočnosti závisieť od použitých metód, inak by to vytvorilo vážne riziko obchádzania; keďže, pokiaľ ide o manuálne spracovanie, táto smernica sa vzťahuje iba na registračné systémy, t. j. nie neštruktúrované súbory; keďže najmä obsah registračného systému musí byť štruktúrovaný podľa špecifických kritérií vo vzťahu k jednotlivcom, umožňujúc ľahký prístup k osobným údajom; keďže v súlade s definíciou uvedenou v článku 2 písm. c) rôzne kritériá pre stanovenie súčastí štruktúrovaného súboru osobných údajov, a rôzne kritériá upravujúce prístup do takéhoto súboru môžu byť stanovené každým členským štátom; keďže súbory alebo komplexy súborov ako aj ich vonkajšie titulné strany, ktoré nie sú štruktúrované podľa špecifických kritérií, nebudú za žiadnych okolností spadať do rámca tejto smernice;

(28) keďže akékoľvek spracovanie osobných údajov musí byť zákonné a prijateľné voči príslušným jednotlivcom; keďže, údaje musia byť predovšetkým primerané, relevantné a nesmú byť prehnané vzhľadom k účelu, pre ktorý sú spracovávané; keďže tieto účely musia byť explicitné a zákonné a musia byť stanovené v dobe zberu údajov; keďže účely spracovania k zberu budú kompatibilné s účelmi, ako boli pôvodne uvedené;

(29) keďže ďalšie spracovanie osobných údajov pre historické, štatistické alebo vedecké účely sa všeobecne nemá považovať za nekompatibilné s účelmi, pre ktoré boli údaje predtým zberané, za predpokladu, že členské štáty poskytnú vhodné záruky; keďže tieto záruky musia predovšetkým vylúčiť používanie údajov na podporu opatrení alebo rozhodnutí týkajúcich sa ktoréhokoľvek konkrétneho jednotlivca;

(30) keďže spracovanie osobných údajov má byť zákonné, musí sa, okrem toho, vykonávať so súhlasom osoby pracujúcej s údajmi subjektu, alebo musí byť nevyhnuté na uzavretie alebo splnenie zmluvy záväznej pre údajový subjekt, alebo ako právna požiadavka, alebo pre splnenie úlohy vykonávanej vo verejnom záujme alebo pri vykonávaní oficiálnej právomoci, alebo pri oprávnených nárokoch fyzickej alebo právnickej osoby, za predpokladu, že nároky alebo práva a slobody údajového subjektu nie sú prevažujúce; keďže, aby sa udržala najmä rovnováha medzi vyžadovanými nárokmi, keď sa zaručuje efektívna konkurencia, členské štáty môžu stanoviť okolnosti, za ktorých sa osobné údaje môžu využiť alebo oznámiť tretej strane v kontexte zákonných bežných podnikateľských aktivít spoločnosti a iných orgánov; keďže členské štáty môžu obdobne špecifikovať podmienky, za ktorých sa osobné údaje môžu oznámiť tretej strane pre účely marketingu, či je marketing vykonávaný komerčne, alebo charitatívnou organizáciou, alebo iným združením alebo nadáciou, napríklad politického charakteru, pričom podlieha ustanoveniam umožňujúcim osobe, o ktorej údaje ide, namietať proti spracovaniu údajov, ktoré sa jej týkajú, a to bezplatne a bez povinnosti uvádzať svoje dôvody;

(31) keďže spracovanie osobných údajov sa rovnako musí považovať za zákonné tam, kde sa vykonáva s cieľom ochrany záujmu, ktorý je zásadný pre život osoby, o ktorej údaje ide;

(32) keďže vnútroštátne právne predpisy stanovia, či kontrolór vykonávajúci úlohu vo verejnom záujme, alebo vo výkone úradnej právomoci, by mala byť verejná správa, alebo iná fyzická alebo právnická osoba riadená verejným právom, alebo súkromným právom, ako je tomu v prípade profesionálneho združenia;

(33) keďže údaje, ktoré sú schopné vzhľadom na svoj charakter zasahovať do základných slobôd alebo súkromia, by sa nemali spracovávať, pokiaľ osoba, o ktorej údaje ide, k tomu nedá svoj výslovný súhlas; keďže ale výnimky z tohto zákazu musia byť výslovne uvedené vo vzťahu k špecifickým potrebám, najmä, kde sa uskutočňuje spracovanie týchto údajov na určité účely so vzťahom k zdravotníctvu osobami, ktoré podliehajú právnemu záväzku alebo profesionálnemu tajomstvu, alebo počas zákonných aktivít vykonávaných určitými združeniami alebo nadáciami, ktorých účelom je umožniť vykonávanie základných slobôd;

(34) keďže členské štáty musia tiež byť zmocnené, pri oprávnení vyplývajúcom z dôvodov dôležitého verejného záujmu, odchýliť sa od zákazu spracovania citlivých kategórií údajov, kde to verejný záujem oprávňuje v takých oblastiach, ako je zdravotníctvo alebo sociálna ochrana, najmä aby sa zabezpečili kvalita a priaznivý pomer náklady – efektívnosť postupov používaných na urovnanie nárokov na plnenie a služby v systéme zdravotného poistenia – vedecký výskum a vládna štatistika; keďže je ich povinnosťou poskytovať špecifické a vhodné záruky, aby sa chránili základné práva a súkromie jednotlivcov;

(35) keďže, spracovanie osobných údajov oficiálnymi orgánmi na dosiahnutie cieľov, stanovených v ústavnom práve alebo v medzinárodnom verejnom práve, sa okrem toho v prípade oficiálne uznaných náboženských združení vykonáva z dôležitých dôvodov verejného záujmu;

(36) keďže tam, kde počas volebných aktivít fungovanie demokratického systému v určitých členských štátoch vyžaduje, aby politické strany zhromažďovali údaje o politických názoroch ľudí, môže byť spracovanie týchto údajov povolené z dôvodov významného verejného záujmu, a to za predpokladu, že sú stanovené príslušné záruky;

(37) keďže spracovanie osobných údajov na účely žurnalistiky alebo na účely literárneho alebo umeleckého stvárnenia, najmä v audiovizuálnej oblasti, by malo oprávňovať k výnimkám z požiadaviek vyplývajúcich z určitých nariadení tejto smernice do tej miery, ako je to nutné pre zladenie základných práv jednotlivcov so slobodou informácií a najmä s právom získavať a odovzdávať informácie, ako to zaručuje najmä článok 10 Európskeho dohovoru o ochrane ľudských práv a základných slobôd; keďže členské štáty by preto mali stanoviť výnimky a odchýlky nutné pre rovnováhu medzi základnými právami, pokiaľ ide o všeobecné opatrenia k zákonnosti spracovania údajov, opatrenia na prenos údajov do tretích krajín a kompetenciu dozorného úradu; keďže nemalo by to viesť členské štáty k tomu, aby určovali výnimky z opatrení na zaistenie bezpečnosti spracovania; keďže, aspoň dozorný úrad, zodpovedný za tento sektor, by mal byť tiež vybavený určitými právomocami ex post, t. j. právom uverejňovať pravidelnú správu, alebo právom predkladať záležitosti súdnym orgánom;

(38) keďže, ak má byť spracovanie údajov prípustné, musí byť osoba pracujúca s údajmi v takej pozícii, aby sa dozvedel o existencii operácie spracovania a tam, kde sa od neho zbierajú údaje, musí dostať presné a úplné informácie, týkajúce sa okolnosti zberu;

(39) keďže určité operácie spracovania zahŕňajú údaje, ktoré kontrolór nezhromaždil priamo od osoby pracujúcej s údajmi; okrem toho údaje môžu byť legitímne zverejnené tretej strane, hoci zverejnenie sa nepredvídalo v dobe, keď sa údaje zhromažďovali od osoby pracujúcej s údajmi; keďže vo všetkých týchto prípadoch by mala byť osoba pracujúca s údajmi informovaná o tom, kedy sa údaje zapisujú, alebo aspoň o tom, kedy sa údaje po prvý raz zverejňujú tretej strane;

(40) keďže nie je nevyhnutné predpísať túto povinnosť, ak osoba pracujúca s údajmi už má informáciu; keďže, okrem toho, že nebude existovať žiadna takáto povinnosť, ak zaznamenávanie alebo odhalenie sú výslovne dovolené zákonom, alebo ak by sa poskytnutie informácie osobe pracujúcej s údajmi ukázalo ako nemožné, alebo by znamenalo vyvinutie neprimeraného úsilia, čo by mohol byť prípad, keď sa spracovanie vykonáva pre historické, štatistické alebo vedecké účely; keďže v tejto súvislosti možno brať zreteľ na počet osôb pracujúcich s údajmi, vek údajov a akékoľvek prijaté kompenzačné opatrenia;

(41) keďže akákoľvek osoba musí byť schopná uplatňovať právo prístupu k údajom, ktoré sa jej týkajú, ktoré sa spracovávajú, zvlášť kvôli overeniu presnosti údajov a zákonnosti spracovania; keďže z tých istých dôvodov musí mať každá osoba pracujúca s údajmi takisto právo poznať logiku, ktorá je obsiahnutá v automatickom spracovávaní údajov, ktoré sa ho týkajú, aspoň v prípade automatizovaných rozhodnutí, ktoré sú uvedené v článku 15 ods. 1; keďže toto právo nesmie nepriaznivo vplývať na obchodné tajomstvá, alebo duševné vlastníctvo, zvlášť pokiaľ ide o autorské právo chrániace software; keďže tieto zretele nesmú však vyústiť do toho, že sa osobe pracujúcej s údajmi odmietnu všetky informácie;

(42) keďže členské štáty môžu, v záujme osoby pracujúcej s údajmi, alebo preto, aby chránili práva a slobody ostatných, obmedziť práva na prístup a informácie; keďže môžu, napríklad, špecifikovať, že prístup k údajom z medicíny možno získať iba prostredníctvom zdravotníckeho odborníka;

(43) keďže obmedzenia týkajúce sa práv prístupu a informácií a určitých povinností toho, kto spracovanie riadi, môžu jednoducho predpísať členské štáty, pokiaľ sú nevyhnutné pre bezpečnosť, napríklad, štátnu bezpečnosť, obranu, verejnú bezpečnosť, alebo kvôli dôležitým hospodárskym alebo finančným záujmom členského štátu alebo únie, ako aj kvôli vyšetrovaniu trestného činu a stíhaniu v trestnej veci a opatreniu týkajúceho sa porušenia etiky v upravených profesiách; keďže zoznam výnimiek a limitácií by mal obsahovať úlohy monitorovania, kontroly alebo úpravy, ktoré sú nevyhnutné v troch posledne uvedených oblastiach, ktoré sa týkajú verejnej bezpečnosti, hospodárskych alebo finančných záujmov a prevencie kriminality; keďže zostavenie úloh do zoznamu v týchto troch oblastiach neovplyvní negatívne legitímnosť výnimiek alebo úprav z dôvodov štátnej bezpečnosti alebo obrany;

(44) keďže členské štáty môžu byť tiež vedené k tomu, aby sa na základe ustanovení práva spoločenstva, odchýlili od ustanovení tejto smernice, týkajúcej sa práva na prístup, povinnosti informovať jednotlivcov, a kvality údajov, aby sa tak zaistili niektoré vyššie uvedených účelov;

(45) keďže v prípadoch, v ktorých údaje možno zákonne spracovať na základe verejného záujmu, úradného poverenia alebo zákonných záujmov fyzickej alebo právnickej osoby, by aj napriek tomu mala byť každá osoba pracujúca s údajmi oprávnená, na základe zákonnosti a presvedčivosti, vzhľadom na jej špecifickú situáciu, namietať proti spracovaniu akýchkoľvek údajov, ktoré sa jej týkajú; keďže, členské štáty môžu, napriek tomu, zaviesť štátne zákonné opatrenia opačného charakteru;

(46) keďže ochrana práv a slobôd osôb pracujúcich s údajmi v súvislosti so spracovaním osobných údajov si vyžaduje, aby sa vykonali primerané technické a organizačné opatrenia, aj v čase navrhovania systému spracovania aj v čase samotného spracovania, predovšetkým preto, aby sa udržala bezpečnosť, a tým sa predišlo akémukoľvek nedovolenému spracovaniu; keďže, je povinnosťou členských štátov zaistiť, aby tí, ktorí spracovanie riadia, dodržiavali tieto opatrenia; keďže, tieto opatrenia musia zabezpečiť primeranú úroveň bezpečnosti, keďže najmodernejšie zavedenia a ich náklady vo vzťahu k rizikám, obsiahnutých v spracovaní a v povahe údajov, ktoré je potrebné chrániť;

(47) keďže tam, kde sa prenáša správa, ktorá obsahuje osobné údaje prostredníctvom telekomunikácií alebo pomocou elektronickej pošty, ktorej jediným účelom je doručenie takýchto správ, ten, kto spracovanie riadi, pokiaľ ide o osobné údaje, ktoré sú obsiahnuté v správe, je považovaný za osobu, od ktorej správa pochádza, a nie za osobu, ktorá ponúka služby prenosu; keďže napriek tomu tí, ktorí ponúkajú takéto služby sú považovaní za tých, ktorí spracovanie riadia vo vzťahu k spracovaniu dodatočných osobných údajov nevyhnutných pre činnosť služby;

(48) keďže postupy pre informovanie dozorného úradu sú navrhnuté tak, aby sa zaistilo odhalenie účelov a hlavných bodov akejkoľvek operácie spracovania na účely overenia, že operácia je v súlade s prijatými vnútroštátnymi zákonnými opatreniami podľa tejto smernice;

(49) keďže, aby sa vyhlo nevhodným administratívnym formálnym požiadavkám, môžu členské štáty oslobodiť od vyžadovanej povinnosti informovať a povoliť simplifikáciu oznámenia v prípadoch, v ktorých je nepravdepodobné, že by nepriaznivo ovplyvnili práva a slobody osôb pracujúcich s údajmi, pod podmienkou, že je to v súlade s opatrením, ktoré prijal členský štát pri špecifikácii svojich vlastných limitov; keďže výnimku alebo zjednodušenie môžu členské štáty podobne poskytnúť tam, kde osoba menovaná tým, kto spracovanie riadi zaistí, že nie je pravdepodobné, aby vykonávané spracovanie nepriaznivo ovplyvnilo práva a slobody osôb pracujúcich s údajmi; keďže vedúci pracovník ochrany údajov, či už je alebo nie je zamestnancom toho, kto spracovanie riadi, musí byť na takej pozícii, aby vykonával svoje činnosti v úplnej nezávislosti;

(50) keďže výnimka alebo zjednodušenie by mali byť povolené v prípadoch operácií spracovania, ktorých jediným účelom je udržiavanie registra s daným účelom, podľa štátnych zákonov, pre poskytovanie informácií verejnosti a mal by byť otvorený pre nahliadnutie verejnosti alebo akejkoľvek inej osobe, ktorá preukáže zákonný záujem;

(51) keďže zjednodušenie alebo výnimka z povinnosti informovať neuvoľňuje toho, kto spracovanie riadi, z akýchkoľvek iných povinností, ktoré vyplývajú z tejto smernice;

(52) keďže v tomto kontexte, overenie ex post facto kompetentnými orgánmi musí byť vo všeobecnosti považované za dostatočné opatrenie;

(53) keďže určité operácie spracovania budú pravdepodobne predstavovať riziká pre práva a slobody osôb pracujúcich s údajmi na základe svojej povahy, ich rozsahu alebo ich účelov, ako sú napríklad tie, ktoré sa týkajú vylúčenia jednotlivcov z práva, úžitku alebo zmluvy, alebo na základe špecifického použitia nových technológií; keďže je na členských štátoch, ak si to budú želať, špecifikovať takéto riziká vo svojich právnych predpisoch;

(54) keďže na celé spracovanie, ktoré sa vykonáva v spoločnosti, by celkové množstvo predstavujúce takéto špecifické riziká malo byť veľmi limitované; keďže členské štáty musia zabezpečiť, že dozorný úrad, alebo vedúci pracovník ochrany údajov v spolupráci s úradom, skontroluje takéto spracovanie pred tým, než sa vykoná; keďže po tejto predbežnej kontrole, môže dozorný úrad, podľa práva platného v jeho štáte, poskytnúť názor alebo autorizáciu týkajúcu sa spracovania; keďže, takéto kontrolovanie sa môže rovnako vykonať v priebehu prípravy, buď opatrenia národného parlamentu, alebo opatrenia založeného na takomto legislatívnom opatrení, ktoré definuje povahu spracovania a predpisuje primerané bezpečnostné opatrenia;

(55) keďže ak kontrolór, zlyhá pri rešpektovaní práva osôb pracujúcich s údajmi, vnútroštátne právne predpisy musia zaistiť súdny opravný prostriedok; keďže, akúkoľvek škodu, ktorú môže osoba utrpieť ako následok nezákonného spracovania, musí kontrolór, kompenzovať, pričom môže byť zbavený zodpovednosti, ak dokáže, že nie je zodpovedný za škodu, zvlášť v prípadoch, kde konštatuje chybu zo strany osoby pracujúcej s údajmi, alebo v prípade vis major; keďže, sankcie musia byť uvalené na akúkoľvek osobu, či už sa riadi verejným právom, ktorá nevyhovie štátnym zákonným opatreniam prijatým podľa tejto smernice;

(56) keďže pohyb tokov osobných údajov cez hranice je nevyhnutný pre expanziu medzinárodného obchodu; keďže, ochrana jednotlivcov zaručená v spoločenstve touto smernicou nie je prekážkou transferov osobných údajov do tretích krajín, ktoré zaistia adekvátnu úroveň ochrany; vzhľadom na adekvátnosť úrovne ochrany, ktorú poskytuje tretia krajina, musí byť ohodnotená z hľadiska všetkých okolností, ktoré sa týkajú operácie transferu alebo zostavy transferových operácií;

(57) keďže, na druhej strane, transfer osobných údajov do tretej krajiny, ktorá nezaisťuje adekvátnu úroveň ochrany, sa musí zakázať;

(58) keďže by sa pre výnimky z tohto zákazu za určitých okolností, keď osoba pracujúca s údajmi poskytne svoj súhlas, keď je transfer nevyhnutný vo vzťahu ku kontraktu alebo právnemu nároku, kde si ochrana dôležitého verejného záujmu tak vyžaduje, mali vypracovať ustanovenia, napríklad v prípadoch medzinárodných transferov údajov medzi daňovými alebo colnými správnymi úradmi alebo medzi službami, ktoré sú kompetentné v záležitostiach sociálneho zabezpečenia, alebo tam, kde sa transfer vykonáva z registra zavedeného zo zákona a určeného pre nahliadnutie verejnosti alebo osobám, ktoré majú zákonný nárok; keďže, v takom prípade by sa takýto transfer nemal týkať dát v ich celistvosti alebo celých kategórií údajov, ktoré sú obsiahnuté v registri, a keď je register určený pre nahliadnutie osobám, ktoré majú zákonný nárok, transfer by sa mal vykonať iba na požiadanie takýchto osôb, alebo ak sú príjemcami;

(59) keďže určité opatrenia sa môžu prijať preto, aby sa kompenzoval nedostatok ochrany v tretej krajine v prípadoch, keď kontrolór ponúka primerané bezpečnostné opatrenia; keďže, okrem toho, sa musí vypracovať ustanovenie pre postupy rokovania medzi spoločenstvom a takýmito tretími krajinami;

(60) keďže, v každom prípade, transfery do tretích krajín možno vykonať iba v úplnom súlade s ustanoveniami prijatými členskými štátmi podľa tejto smernice a najmä podľa jej článku 8;

(61) keďže členské štáty a Komisia, v ich príslušných sférach kompetencie, musia podporovať odborové zväzy a iné zastupiteľské organizácie, ktoré sa usilujú navrhnúť zákonné predpisy, aby sa zjednodušila uplatniteľnosť tejto smernice, zohľadňujúc špecifické charakteristiky spracovania vykonávaného v určitých sektoroch, a rešpektujúc štátne zákonné ustanovenia prijaté pre jej zavedenie;

(62) keďže zriadenie dozorných úradov v členských štátoch, ktoré vykonávajú svoje funkcie s úplnou nezávislosťou, je nevyhnutným komponentom ochrany jednotlivcov v súvislosti so spracovaním osobných údajov

(63) keďže takéto orgány musia mať nevyhnutné prostriedky pre vykonávanie svojich povinností, vrátane právomoci vyšetrovania a intervencie, najmä v prípadoch sťažností od jednotlivcov a právomoci zúčastniť sa na súdnom pojednávaní; keďže, takéto orgány musia pomáhať zaisťovať transparentnosť spracovania v členských štátoch, pod ktorých jurisdikciu spadajú;

(64) keďže je potrebné, aby si orgány v jednotlivých členských štátoch navzájom pomáhali pri výkone svojich povinností, aby sa tak zaistilo, že nariadenia týkajúce sa ochrany sa dodržiavajú v celej Európskej únii;

(65) keďže na úrovni spoločenstva sa musí zostaviť pracovná skupina pre ochranu jednotlivcov v súvislosti so spracovaním osobných údajov a musí byť úplne nezávislá pri výkone svojich funkcií; so zreteľom na svoju špecifickú povahu musí radiť Komisii a predovšetkým, prispievať k jednotnej uplatniteľnosti prijatých vnútroštátnych nariadení podľa tejto smernice;

(66) keďže, v súvislosti s transferom údajov do tretích krajín, uplatniteľnosť tejto smernice požaduje udelenie právomocí zavedenia Komisii a určenie postupu tak, ako to bolo stanovené rozhodnutím Rady 87/373/EHS [4];

(67) keďže dohoda týkajúca sa modusu vivendi medzi Európskym parlamentom, Radou a Komisiou vo veci zavádzania opatrení pre nariadenia prijaté v súlade s postupom stanoveným v článku 189b Dohody ES sa dosiahla 20. decembra 1994;

(68) keďže princípy uvedené v tejto smernici týkajúce sa ochrany práv a slobôd jednotlivca, najmä ich právo na súkromie, v súvislosti so spracovaním osobných údajov, možno doplniť, alebo vysvetliť, najmä pokiaľ ide o určité sektory, ktorých sa to týka, zvláštnymi nariadeniami založenými na týchto princípoch;

(69) keďže členským štátom by sa malo povoliť obdobie nie viac, než tri roky od nadobudnutia platnosti vnútroštátnych opatrení, ktoré transponujú túto smernicu, v ktorom je potrebné uplatňovať takéto nové vnútroštátne pravidlá progresívne na všetky operácie spracovania, ktoré sa už pripravujú; keďže, aby sa uľahčila ich nákladovo-efektívna implementácia, povolí sa členským štátom ďalšie obdobie, ktoré vyprší po 12 rokoch od dátumu prijatia tejto smernice, aby sa zaistila zhoda existujúcich manuálnych registračných systémov s určitými ustanoveniami smernice; keďže, údaje obsiahnuté v takýchto registračných systémoch sú manuálne spracovávané počas rozsiahleho obdobia prechodu, tieto systémy musia byť uvedené do súladu s týmito ustanoveniami v čase takéhoto spracovania;

(70) keďže nie je nevyhnutné pre osobu pracujúcu s údajmi, aby poskytla svoj súhlas opäť, aby tak dovolil tomu, kto spracovanie riadi, pokračovať v spracovávaní, potom, čo prijaté štátne ustanovenia podľa tejto smernice nadobudnú platnosť, akýchkoľvek citlivých údajov nevyhnutných pre výkon kontraktu uzatvorenom na báze dobrovoľnosti a oznámeného súhlasu pred nadobudnutím platnosti týchto ustanovení;

(71) keďže smernica nie je prekážkou regulačných marketingových aktivít členského štátu, zameraných na spotrebiteľov žijúcich na území, pokiaľ sa takáto regulácia netýka ochrany jednotlivcov v súvislosti so spracovaním osobných údajov;

(72) keďže táto smernica povoľuje princíp verejného prístupu k oficiálnym dokladom, ktoré je potrebné vziať do úvahy, pri zavádzaní princípov uvedených v tejto smernici,

PRIJALI TÚTO SMERNICU:

KAPITOLA I

VŠEOBECNÉ USTANOVENIA

Článok 1

Predmet smernice

1. V súlade s touto smernicou členské štáty chránia základné práva a slobody fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracovaním osobných údajov.

2. Členské štáty neobmedzujú, ani nebránia voľnému toku osobných údajov medzi členskými štátmi z dôvodov spojených s ochranou poskytnutou podľa odseku 1.

Článok 2

Definície

Na účely tejto smernice:

a) "osobné údaje" znamenajú akúkoľvek informáciu, ktorá sa týka identifikovanej alebo identifikovateľnej fyzickej osoby ("údajového subjektu"); identifikovateľná osoba je osoba, ktorú možno identifikovať, priamo alebo nepriamo, najmä pomocou overenia identifikačného čísla alebo jedného alebo viacerých faktorov špecifických pre jeho fyzickú, fyziologickú, duševnú, hospodársku, kultúrnu alebo sociálnu identitu;

b) "spracovanie osobných údajov" ("spracovanie") znamená akúkoľvek operáciu alebo komplex operácií, ktorá sa vykonáva na osobných údajoch, či už automatickými prostriedkami, alebo nie, ako je zber, zaznamenávanie, organizácia, uskladnenie, úprava alebo nahradenie, vyhľadávanie, nahliadnutie, používanie, odhalenie prenosom, šírenie alebo sprístupnenie iným spôsobom, upravenie alebo kombinácia, blokovanie, vymazanie alebo zničenie;

c) "registračný systém osobných údajov" ("registračný systém") znamená akúkoľvek štruktúrovanú zostavu osobných údajov, ktoré sú prístupné podľa konkrétnych kritérií, či už centralizované, decentralizované, alebo rozptýlené na funkčnej alebo geografickej báze;

d) "kontrolór" znamená fyzickú alebo právnickú osobu, verejný orgán, agentúru alebo akýkoľvek iný orgán, ktorý sám, alebo v spojení s inými, určí účely a prostriedky spracovania osobných údajov; tam, kde sú účely a prostriedky spracovania stanovené vnútroštátnymi zákonmi a nariadeniami, alebo zákonmi a nariadeniami spoločenstva, ten, kto spracovanie riadi, alebo konkrétne kritéria pre jeho menovanie, môžu byť navrhnuté na základe vnútroštátneho práva alebo práva spoločenstva;

e) "spracovateľ" znamená fyzickú alebo právnickú osobu, štátny orgán, agentúru, alebo akýkoľvek iný orgán, ktorý spracúva osobné údaje v mene kontrolóra;

f) "tretia strana" znamená akúkoľvek fyzickú alebo právnickú osobu, štátny orgán, agentúru alebo akýkoľvek iný orgán, ako údajový subjekt, ten, kto spracovanie riadi, spracovateľ a osoby, ktoré sú na základe priameho poverenia kontrolóra alebo spracovateľom poverené spracovať údaje;

g) "príjemca" znamená fyzickú alebo právnickú osobu, štátny orgán, agentúru alebo akýkoľvek iný orgán, pre ktorý sa údaje odhaľujú, či to je tretia strana alebo nie; avšak, úrady, ktoré môžu získať údaje v rámci konkrétneho zisťovania nebudú považované za príjemcov;

h) "súhlas osoby pracujúcej s údajmi" znamená slobodne poskytnutú a informovanú indikáciu jeho prianí, ktorou osoba pracujúca s údajmi prejaví svoj súhlas, aby sa osobné údaje, ktoré sa ho týkajú, spracovali.

Článok 3

Rozsah

1. Táto smernica sa uplatňuje na spracovanie osobných údajov vcelku alebo čiastočných údajov, automatickými prostriedkami, a na spracovanie osobných údajov inými, ako automatickými prostriedkami, ktoré tvoria časť registračného systému alebo určených pre to, aby tvorili časť registračného systému.

2. Táto smernica sa neuplatňuje na spracovanie osobných údajov:

- v priebehu činností, ktoré sú mimo rozsahu zákona spoločenstva, ako sú tie, ktoré sú uvedené v hlave V a VI Zmluvy o Európskej únii a v žiadnom prípade sa neuplatňujú na operácie spracovania týkajúce sa verejnej bezpečnosti, obrany, bezpečnosti štátu (vrátane hospodárskej prosperity štátu, keď sa operácia spracovania týka záležitostí bezpečnosti štátu) a činností štátu v oblastiach trestného zákona,

- fyzickou osobou v priebehu osobnej činnosti, alebo činnosti týkajúcej sa domácnosti.

Článok 4

Uplatniteľnosť vnútroštátneho práva

1. Každý členský štát uplatňuje vnútroštátne ustanovenia, ktoré prijme na základe tejto smernice, na spracovanie osobných údajov tam, kde:

a) sa spracovanie vykonáva v kontexte činností ustanovenia kontrolóra na území členského štátu; keď je tá istá inštitúcia, ktorá riadi spracovanie, ustanovená na území niekoľkých členských štátov, musí prijať nevyhnutné opatrenia, aby zaistila, že každé z týchto ustanovení je v súlade so záväzkami, ktoré predpisuje uplatniteľnosť vnútroštátneho práva;

b) ten, kto spracovanie riadi, nie je ustanovený na území členského štátu, ale na mieste, kde sa j vnútroštátne právo uplatňuje na základe medzinárodného verejného práva;

c) kontrolór nie je ustanovený na území spoločenstva a na účely spracovania osobných údajov používa zariadenie, automatizované, alebo iné, umiestnené na území členského štátu, pokiaľ sa takéto zariadenie používa iba pre účely tranzitu cez územie spoločenstva.

2. Za okolností, ktoré sú uvedené v odseku 1 písm. c), kontrolór, musí označiť zástupcu ustanoveného na území takéhoto členského štátu, bez toho, aby boli dotknuté právne opatrenia, ktoré by mohli byť iniciované proti kontrolórovi.

KAPITOLA II

VŠEOBECNÉ NARIADENIA TÝKAJÚCE SA ZÁKONNOSTI SPRACOVANIA OSOBNÝCH ÚDAJOV

Článok 5

Členské štáty stanovia, v rámci ustanovení tejto kapitoly, presnejšie podmienky zákonnosti spracovania osobných údajov.

ODDIEL I

PRINCÍPY TÝKAJÚCE SA KVALITY ÚDAJOV

Článok 6

1. Členské štáty zabezpečia, že osobné údaje musia byť:

a) spracované spravodlivo a zákonne;

b) zhromaždené na špecifikované, explicitné a zákonné účely a nebudú sa ďalej spracovávať spôsobmi, ktoré nie sú zlučiteľné s týmito účelmi. Ďalšie spracovanie údajov pre historické, štatistické alebo vedecké účely sa nepovažuje za nezlučiteľné, pod podmienkou, že členské štáty zabezpečia primerané bezpečnostné opatrenia;

c) adekvátne, relevantné a nie neprimerané vo vzťahu k účelom, pre ktoré sú zhromažďované a/alebo ďalej spracované;

d) presné a tam, kde je to nevyhnutné, udržiavané aktuálne; musí sa vykonať každé primerané opatrenie, aby sa zaistilo, že údaje, ktoré sú nepresné alebo neúplné, so zreteľom na účely, pre ktoré boli zhromažďované, alebo pre ktoré sú ďalej spracovávané sa vymažú alebo skorigujú;

e) udržiavané vo forme, ktorá umožňuje identifikáciu osôb pracujúcich s údajmi počas obdobia ktoré je nevyhnutné na účely, pre ktoré boli údaje zhromažďované, alebo pre ktoré sú ďalej spracovávané. Členské štáty stanovia primerané bezpečnostné opatrenia pre osobné údaje uložené na dlhšie obdobia pre historické, štatistické alebo vedecké použitie.

2. Úlohou kontrolóra je zaistiť, aby sa vyhovelo odseku 1.

ODDIEL II

KRITÉRIÁ NA UZÁKONENIE SPRACOVANIA ÚDAJOV

Článok 7

Členské štáty zabezpečia, aby bolo možné osobné údaje spracovať, iba ak:

a) osoba pracujúca s údajmi poskytla svoj súhlas jednoznačne; alebo

b) spracovanie je nevyhnutné pre výkon zmluvy, ktorej osoba pracujúca s údajmi je zainteresovanou stranou, alebo aby sa vykonali opatrenia na požiadanie osoby pracujúcej s údajmi pred uzatvorením zmluvy; alebo

c) spracovanie je nevyhnutné na vyhovenie právnemu záväzku, ktorého subjektom je kontrolór, alebo

d) spracovanie je nevyhnutné, aby sa ochránili životné záujmy osoby pracujúcej s údajmi; alebo

e) spracovanie je nevyhnutné na splnenie úlohy vykonávanej vo verejnom záujme alebo v uplatňovaní oficiálneho poverenia zvereného kontrolórovi, alebo tretej strane, ktorej sa údaje odhalia; alebo

f) spracovanie je nevyhnutné pre účely legitímnych záujmov, ktoré plní kontrolór, alebo tretia strana alebo strany, ktorým sú údaje odhalené, s výnimkou, ak takéto záujmy sú prevýšené záujmami týkajúcimi sa základných práv a slobôd osoby pracujúcej s údajmi, ktoré potrebujú ochranu podľa článku 1 ods. 1.

ODDIEL III

OSOBITNÉ KATEGÓRIE SPRACOVANIA

Článok 8

Spracovanie osobitných kategórií údajov

1. Členské štáty môžu zabrániť spracovaniu osobných údajov prezrádzajúcich rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenia, členstvo v odborových zväzoch a spracovaniu údajov týkajúcich sa zdravia alebo sexuálneho života.

2. Odsek 1 sa neuplatňuje tam, kde:

a) osoba pracujúca s údajmi poskytla súhlas na spracovanie takýchto údajov, s výnimkou ak zákony členského štátu zabezpečujú, že zabránenie, o ktorom sa hovorí v odseku 1, nesmie byť zrušené tým, že údajový subjekt poskytol svoj súhlas;

b) spracovanie je nevyhnutné na účely vykonávania záväzkov a špecifických práv kontrolóra v oblasti pracovného práva, pokiaľ je autorizované vnútroštátnym právom zabezpečujúcim adekvátne bezpečnostné opatrenia; alebo

c) spracovanie je nevyhnutné na ochranu životných záujmov údajového subjektu, alebo inej osoby tam, kde je údajový subjekt nie je fyzicky alebo legálne schopný poskytnúť svoj súhlas; alebo

d) spracovanie sa vykonáva v priebehu zákonných činností s primeranými zárukami nadácie, asociácie alebo akéhokoľvek iného neziskového orgánu s politickým, filozofickým, náboženským alebo odborárskym zameraním a za podmienky, že spracovanie sa týka výlučne členov orgánu alebo osôb, ktoré majú pravidelný kontakt s ním v spojení s jeho účelmi, a že údaje sa neodhaľujú tretej strane bez súhlasu osoby pracujúcej s údajmi; alebo

e) spracovanie sa týka údajov, ktoré evidentne zverejní osoba pracujúca s údajmi, alebo je nevyhnutné pre ustanovenie, výkon alebo obranu právnych nárokov.

3. Odsek 1 sa neuplatňuje tam, kde sa spracovanie údajov vyžaduje na účely preventívnej medicíny, lekárskych diagnóz, poskytnutia starostlivosti alebo liečenia alebo riadenia služieb zdravotníckej starostlivosti, a kde sa takéto údaje spracovávajú zdravotníckym odborníkom, podľa vnútroštátneho práva, alebo nariadení ustanovených štátnymi kompetentnými orgánmi povinnosti zachovávania služobného tajomstva alebo inou osobou, ktorá tiež podlieha rovnakej povinnosti zachovávania tajomstva.

4. Pod podmienkou poskytnutia vhodných bezpečnostných opatrení, členské štáty môžu, z dôvodov závažného verejného záujmu, stanoviť výnimky, okrem tých, ktoré boli stanovené v odseku 2, a to štátnym zákonom, alebo rozhodnutím dozorného úradu.

5. Spracovanie údajov týkajúcich sa trestných činov, registra trestov alebo bezpečnostných opatrení možno vykonávať iba pod kontrolou oficiálneho úradu, alebo ak sú k dispozícii vhodné špecifické bezpečnostné opatrenia podľa vnútroštátneho práva, podľa odchýlok, ktoré môže udeliť členský štát podľa vnútroštátnych zákonných ustanovení poskytujúcich vhodné špecifické bezpečnostné opatrenia. Avšak, úplný register trestov možno udržiavať iba pod kontrolou úradnej moci.

Členské štáty môžu zabezpečiť, aby údaje, ktoré sa týkajú administratívnych sankcií alebo rozhodnutí v civilných prípadoch boli tiež spracovávané pod kontrolou úradnej moci.

6. Výnimky z odseku 1, ktoré sú uvedené v odsekoch 4 a 5, sa oznámia Komisii.

7. Členské štáty stanovia podmienky, za ktorých bude možné spracovávať štátne identifikačné číslo alebo akýkoľvek iný identifikačný znak všeobecného uplatnenia.

Článok 9

Spracovanie osobných údajov a sloboda prejavu

Členské štáty vykonajú opatrenia pre výnimky a odchýlky z ustanovení tejto kapitoly, kapitoly IV a kapitoly VI pre spracovanie osobných údajov, vykonávané výlučne na žurnalistické účely alebo účely umeleckého alebo literárneho vyjadrenia, iba vtedy, ak sú nevyhnutné pre uvedenie práva na súkromie do súladu s nariadeniami, ktorými sa riadi sloboda prejavu.

ČASŤ IV

INFORMÁCIE, KTORÉ JE POTREBNÉ POSKYTNÚŤ ÚDAJOVÉMU SUBJEKTU

Článok 10

Informácie v prípade zberu údajov od osoby pracujúcej s údajmi

Členské štáty zabezpečia, že kontrolór alebo jeho zástupca, musí poskytnúť osobe pracujúcej s údajmi, od ktorej sa údaje, ktoré sa jej týkajú, zbierajú, aspoň nasledujúce informácie, s výnimkou, ak ich tento subjekt už má:

a) identita kontrolóra a jeho zástupcu,

b) účely spracovania, pre ktoré sú údaje potrebné;

c) akékoľvek ďalšie informácie, ako napríklad

- príjemcovia alebo kategórie príjemcov údajov,

- či odpovede na otázky sú povinné alebo dobrovoľné, ako aj možné dôsledky neschopnosti odpovedať,

- existencia práva prístupu a práva skorigovania údajov, ktoré sa ho týkajú,

pokiaľ sú takéto ďalšie informácie potrebné, so zreteľom na špecifické okolnosti za ktorých sa údaje zhromažďujú, zaručenie správneho spracovania vzhľadom na osobu pracujúcu s údajmi.

Článok 11

Informácie v prípade, že údaje neboli od osoby pracujúcej s údajmi získané

1. Tam, kde sa údaje od údajového subjektu nezískali, členské štáty zabezpečia, že kontrolór, alebo jeho zástupca, musí v čase zaznamenávania osobných údajov, alebo ak sa predpokladá odhalenie tretej strane, nie neskôr, než v čase, keď sa údaje prvýkrát odhalia, poskytnúť údajovému subjektu aspoň nasledujúce informácie, ak ich už nemá:

- identita kontrolóra a jeho zástupcu, ak existuje;

- účely spracovania;

- akékoľvek ďalšie informácie, ako napríklad

- kategórie údajov, ktorých sa to týka,

- príjemcovia alebo kategórie príjemcov,

- existencia práva prístupu k údajom a právo na skorigovanie údajov, ktoré sa ho týkajú,

pokiaľ sú takéto ďalšie informácie potrebné, so zreteľom na špecifické okolnosti, za ktorých sa údaje spracovávajú, aby sa zabezpečilo správne spracovanie pokiaľ ide o údajový subjekt.

2. Odsek 1 sa neuplatňuje najmä tam, kde pre spracovanie na štatistické účely alebo na účely historického alebo vedeckého výskumu, sa poskytnutie takýchto informácií ukázalo ako nemožné, alebo by mohlo znamenať vyvinutie neprimeraného úsilia, alebo ak zaznamenanie alebo odhalenie je výslovne stanovené zákonom. V takýchto prípadoch zabezpečia členské štáty primerané bezpečnostné opatrenia.

ČASŤ V

PRÁVO OSOBY PRACUJÚCEJ S ÚDAJMI NA PRÍSTUP K ÚDAJOM

Článok 12

Právo prístupu

Členské štáty zaručia osobe pracujúcej s údajmi právo získať od kontrolóra:

a) bez obmedzenia v dostatočných intervaloch a bez prílišného zdržiavania alebo výdavkov:

- potvrdenie týkajúce sa toho, či sa spracovávajú (alebo nie) údaje, ktoré sa ho týkajú a informácie aspoň podľa účelov spracovania, kategórií uvedených údajov a príjemcov alebo kategórií príjemcov, ktorým sa údaje oznámili,

- možnosť komunikovania pre neho v zrozumiteľnej forme o údajoch, ktoré sa spracovávajú a o akýchkoľvek dostupných informáciách čo sa týka ich zdroja,

- vedomosti o logike automatického spracovávania údajov, ktoré sa ho týkajú aspoň v prípade automatizovaných rozhodnutí uvedených v článku 15 ods. 1;

b) ak je to vhodné úpravu, vymazanie alebo zablokovanie údajov, ktorých spracovanie nezodpovedá ustanoveniam tejto smernice, najmä z dôvodu neúplného alebo nepresného charakteru údajov;

c) hlásenie tretím stranám, ktorým sa tieto údaje oznámili, o akejkoľvek úprave, vymazaní alebo zablokovaní vykonaných v súlade s b), pokiaľ to nie je nemožné, alebo pokiaľ to nevyžaduje neprimerané úsilie.

ODDIEL VI

VÝNIMKY A OBMEDZENIA

Článok 13

Výnimky a obmedzenia

1. Členské štáty môžu prijať legislatívne opatrenia na obmedzenie rozsahu povinností a práv uvedených v článkoch 6 ods. 1, v článku 10 a 11 ods. 1, v článkoch 12 a 21, keď takéto obmedzenie vytvára nevyhnutné opatrenia na zabezpečenie údajov o:

a) štátnej bezpečnosti;

b) obrane;

c) verejnej bezpečnosti;

d) prevencii, vyšetrovaní, pátraní a trestnom konaní alebo porušení etiky pre predpísané profesie;

e) dôležitom hospodárskom alebo finančnom záujme členského štátu alebo Európskej únie, vrátane peňažných, rozpočtových a daňových záležitostí;

f) monitorovaní, inšpekcii alebo regulačnej funkcii spojenej aj s výkonom oficiálneho orgánu v prípadoch uvedených v písmenách c), d) a e);

g) ochrane osoby pracujúcej s údajmi alebo práv a slobôd ostatných.

2. Vzhľadom na adekvátne právne záruky, najmä pokiaľ ide o to, že sa údaje nebudú používať na vykonanie opatrení alebo rozhodnutí týkajúcich sa ktoréhokoľvek jedinca, členské štáty môžu tam, kde očividne nie je žiadne riziko porušenia súkromia osoby pracujúcej s údajmi, obmedziť legislatívnym opatrením práva uvedené v článku 12, keď sa údaje spracovávajú výhradne s cieľom vedeckého výskumu alebo sa uchovávajú v osobnej forme po dobu, ktorá nepresiahne dobu nevyhnutnú na jediný účel vytvorenia štatistiky.

ODDIEL VII

PRÁVO NA VZNESENIE NÁMIETOK OSOBY PRACUJÚCEJ S ÚDAJMI

Článok 14

Právo na vznesenie námietok osoby pracujúcej s údajmi

Členské štáty zaručia osobe pracujúcej s údajmi:

a) aspoň v prípadoch uvedených v článku 7 písm. e) a f) kedykoľvek vzniesť námietky z nevyvrátiteľných zákonných dôvodov týkajúcich sa jeho konkrétnej situácie proti spracovaniu údajov, ktoré sa ho týkajú, iba ak to nie je upravené inak vnútroštátnym právom. Tam, kde existuje oprávnená námietka, nesmie spracovanie zahájené kontrolórom už viac zahŕňať tieto údaje;

b) vzniesť námietku na požiadanie a bez poplatku proti spracovaniu osobných údajov týkajúcich sa osoby pracujúcej s údajmi, o ktorých kontrolór predpokladá, že sa budú spracovávať s cieľom priameho obchodovania alebo byť informovaný predtým, než sa osobné údaje oznámia po prvýkrát tretím stranám alebo sa používajú v ich prospech s cieľom priameho obchodovania a prednostne dostať ponuku na právo namietať bez poplatku proti takýmto prezradeniam alebo používaniam.

Členské štáty prijmú nevyhnutné opatrenia na zabezpečenie toho, aby si osoby pracujúce s údajmi boli vedomé existencie práva uvedeného v prvom bode b).

Článok 15

Automatizované individuálne rozhodnutia

1. Členské štáty zaručia právo každej osobe, aby nebola závislá na rozhodnutí, ktoré spôsobuje právne účinky týkajúce sa tejto osoby alebo ktoré na ňu významne vplýva a ktoré je založené výhradne na automatizovanom spracovávaní údajov určených na zhodnotenie určitých osobných aspektov, ktoré sa jej týkajú, ako je jeho výkonnosť v práci, dôveryhodnosť, spoľahlivosť, vedenie a iné.

2. Vzhľadom na ostatné články tejto smernice členské štáty zabezpečia, aby sa mohla osoba podrobiť rozhodnutiu takého druhu, aké je spomenuté v odseku 1, ak sa toto rozhodnutie:

a) uskutočňuje v priebehu uzatvárania alebo plnenia zmluvy za predpokladu, že sa požiadavka uzatvorenia alebo plnenia zmluvy uplatnenej osobou pracujúcou s údajmi uspokojila, alebo že existujú vhodné opatrenia na zabezpečenie jeho oprávnených záujmov, ako sú dohody, ktoré mu umožňujú podať jeho stanovisko; alebo ak je toto rozhodnutie; alebo

b) oprávnené podľa zákona, ktorý tiež stanovuje opatrenia na zabezpečenie legitímnych záujmov osoby pracujúcej s údajmi.

ODDIEL VIII

Dôvernosť a bezpečnosť spracovania

Článok 16

Dôvernosť spracovania

Akákoľvek osoba konajúca v právomoci kontrolóra alebo spracovávateľa, vrátane samotného spracovateľa, ktorá má prístup k osobným údajom, nesmie tieto údaje spracovať s výnimkou toho, keď koná základe pokynov kontrolóra, pokiaľ sa podľa zákona nepožaduje, aby tak konala.

Článok 17

Bezpečnosť spracovania

1. Členské štáty zabezpečia, zavedenie príslušných technických a organizačných opatrení na ochranu osobných údajov pred náhodným alebo nezákonným poškodením alebo náhodnej strate, zmene, neoprávnenému prezradeniu alebo sprístupneniu, najmä, kde spracovanie obsahuje prenos údajov cez sieť a proti všetkým iným nezákonným formám spracovania.

So zreteľom na stav techniky a cenu jej zavedenia takéto opatrenia zabezpečia úroveň bezpečnosti primeranú pre riziká, ktoré predstavuje spracovanie a charakter údajov, ktoré sa majú chrániť.

2. Členské štáty zabezpečia, aby kontrolór musel tam, kde sa spracovávanie vykonáva v jeho mene, vybrať spracovateľa, ktorý poskytne dostatočné záruky vzhľadom na technické bezpečnostné opatrenia a organizačné opatrenia riadiace spracovanie, ktoré sa má vykonať a aby musel zabezpečiť zhodu s týmito opatreniami.

3. Vykonanie spracovania spracovateľom sa musí riadiť zmluvou alebo právnym aktom, ktorý najmä zaväzuje spracovateľa kontrolórovi a stanovuje, že:

- spracovateľ koná len na základe pokynov kontrolóra,

- povinnosti stanovené v odseku 1, ako definuje právo členského štátu, v ktorom má spracovateľ sídlo, tiež musia pripadať spracovateľovi.

4. Na účel zachovania dôkazu musia byť časti zmluvy alebo právny akt týkajúci sa ochrany údajov a požiadaviek týkajúcich sa opatrení spomenutých v odseku 1 v písomnej alebo v inej identickej forme.

ODDIEL IX

OZNÁMENIE

Článok 18

Povinnosť oznámiť dozornému orgánu

1. Členské štáty zabezpečia, že kontrolór alebo jeho zástupca, ak nejaký je, musí upovedomiť dozorný orgán spomenutý v článku 28 pred vykonaním akejkoľvek celkovej alebo čiastočnej operácie automatického spracovania alebo súboru takýchto operácií určených na to, aby slúžili jednému alebo niekoľkým vzájomne prepojeným účelom.

2. Členské štáty môžu zabezpečiť zjednodušenie alebo výnimku z oznámenia len v nasledovných prípadoch a za nasledovných podmienok:

- keď ide o kategórie operácií spracovania, ktoré pravdepodobne, vezmúc do úvahy údaje, ktoré sa majú spracovať, nebudú nepriaznivo vplývať na práva a slobodu údajových subjektov, budú špecifikovať účely spracovania, údaje alebo kategórie spracovávaných údajov, kategóriu alebo kategórie osôb pracujúcich s údajmi, príjemcov alebo kategórie príjemcov, ktorým sa majú údaje prezradiť a dĺžku doby uloženia údajov, a/alebo

- tam, kde kontrolór, v súlade s právom štátu, ktoré ho riadi, ustanoví úradníka na ochranu osobných údajov, zodpovedného najmä:

- za zabezpečenie, nezávislým spôsobom, vnútornej uplatniteľnosti vnútroštátnych predpisov v súlade s touto smernicou,

- za uchovávanie registra operácií spracovania, ktoré vykonal kontrolór, obsahujúceho položky informácií spomenutých v článku 21 ods. 2,

a tým zabezpečenie toho, že práva a slobody osoby pracujúcej s údajmi nebudú nepriaznivo ovplyvnené operáciami spracovania.

3. Členské štáty môžu zabezpečiť, že sa odsek 1 nebude uplatňovať na spracovanie, ktorého výhradným účelom je vedenie registra, ktorý je podľa zákonov alebo predpisov určený na poskytovanie informácií pre verejnosť a ktorý je otvorený pre verejnosť alebo akúkoľvek osobu, ktorá preukáže legitímny záujem.

4. Členské štáty môžu poskytnúť výnimku z oznamovacej povinnosti alebo zjednodušenie oznámenia v prípade operácií spracovania spomenutých v článku 8 ods. 2 písm. d).

5. Členské štáty môžu dohodnúť, že sa oznámia určité alebo všetky neautomatické operácie spracovania obsahujúce osobné údaje, alebo zabezpečiť, aby tieto operácie spracovania podliehali zjednodušenému oznámeniu.

Článok 19

Obsah oznámenia

1. Členské štáty špecifikujú informácie, ktoré sa majú uviesť v oznámení. Toto obsahuje najmä:

a) meno a adresu kontrolóra a jeho zástupcu,

b) účel alebo účely spracovania;

c) popis kategórie alebo kategórií osoby pracujúcej s údajmi a údajov alebo kategórií údajov, ktoré sa ho týkajú;

d) príjemcov alebo kategórií príjemcov, ktorým sa môžu údaje prezradiť;

e) navrhnuté prenosy údajov do tretích krajín;

f) všeobecný popis umožňujúci predbežné zhodnotenie, ktoré sa má urobiť o vhodnosti opatrení, spracovaných v súlade s článkom 17 na zabezpečenie bezpečnosti spracovania.

2. Členské štáty špecifikujú postupy, podľa ktorých sa musia všetky zmeny vplývajúce na informácie spomenuté v odseku 1 oznámiť dozornému orgánu.

Článok 20

Prvotná kontrola

1. Členské štáty stanovia operácie spracovania, ktoré predstavujú špecifické riziká pre práva a slobody osôb pracujúcich s údajmi a skontrolujú, či sa tieto operácie spracovania preskúmajú pred spustením.

2. Takéto predbežné kontroly vykoná dozorný orgán po prijatí oznámenia od kontrolóra alebo úradníka pre ochranu údajov, ktorý sa v prípadoch podozrenia musí poradiť s dozorným orgánom.

3. Členské štáty môžu tiež vykonať takéto kontroly v súvislosti s prípravou buď opatrenia štátneho parlamentu alebo opatrenia založeného na takomto legislatívnom opatrení, ktoré definuje charakter spracovania a stanovuje príslušné záruky.

Článok 21

Zverejnenie operácií spracovania

1. Členské štáty vykonajú opatrení ak zabezpečeniu zverejnenia operácií spracovania.

2. Členské štáty zabezpečia, že dozorný orgán bude viesť register operácií spracovania oznámených podľa článku 18.

Tento register obsahuje prinajmenšom informácie uvedené v článku 19 ods. 1 písm. a) až e).

Tento register môže kontrolovať ktorákoľvek osoba.

3. Členské štáty zabezpečia, v súvislosti s operáciami spracovania nepodliehajúcim oznámeniu, že kontrolóri alebo iný orgán menovaný členskými štátmi sprístupnia na požiadanie akejkoľvek osobe aspoň informácie uvedené v článku 19 ods. 1 písm. a) až e) v príslušnej forme.

Členské štáty zabezpečia, že tento predpis sa neuplatňuje na spracovanie, ktorého výhradným účelom je viesť register, ktorý je podľa zákonov alebo predpisov určený na poskytovanie informácií verejnosti a ktorý je otvorený na nahliadnutie verejnosti alebo akejkoľvek osobe, ktorá môže preukázať legitímny záujem.

KAPITOLA III

SÚDNE OPRAVNÉ PROSTRIEDKY, ZODPOVEDNOSŤ A SANKCIE

Článok 22

Opatrenia

Bez toho, aby bolo dotknuté akékoľvek administratívne prostriedky nápravy, pre ktoré sa môže urobiť predpis, okrem iného pred dozorným orgánom uvedeným v článku 28, pred žiadosťou o súhlas súdneho orgánu, zabezpečia členské štáty právo každej osoby na súdny opravný prostriedok za akékoľvek porušenie práv, ktoré mu zaručuje vnútroštátne právo, použiteľné na uvedené spracovanie.

Článok 23

Záväzok

1. Členské štáty zabezpečia, že každá osoba, ktorá utrpela škodu ako dôsledok nezákonnej operácie spracovania alebo akéhokoľvek činu nezlúčiteľného s prijatými vnútroštátnymi predpismi na základe tejto smernice, je oprávnená dostať kompenzáciu od kontrolóra za spôsobenú škodu.

2. Kontrolór môže byť vyňatý od tohto záväzku, buď úplne alebo čiastočne, ak dokáže, že nie je zodpovedný za udalosť spôsobujúcu škodu.

Článok 24

Sankcie

Členské štáty prijmú vhodné opatrenia na zabezpečenie úplného zavedenia ustanovení tejto smernice a najmä ustanovia sankcie, ktoré sa uvalia v prípade porušenia ustanovení prijatých v súlade s touto smernicou.

KAPITOLA IV

PRENOS OSOBNÝCH ÚDAJOV DO TRETÍCH KRAJÍN

Článok 25

Princípy

1. Členské štáty zabezpečia, aby sa prenos osobných údajov, ktoré sa spracovávajú alebo sú určené na spracovanie po prenose, do tretej krajiny mohol urobiť len, bez toho, aby boli dotknuté vnútroštátne ustanovenia s prijaté v súlade s ostatnými ustanoveniami tejto smernice, príslušná tretia krajina zaistí adekvátnu úroveň ochrany.

2. Adekvátnosť úrovne ochrany, ktorú poskytuje tretia krajina sa hodnotí vzhľadom na všetky okolnosti týkajúce sa operácie prenosu údajov alebo komplexu operácií prenosu údajov; zvláštna pozornosť sa venuje charakteru údajov, účelu a trvaniu navrhnutej operácie alebo operácií spracovania, krajine pôvodu a krajine konečného určenia, právnym normám aj všeobecným aj sektorovým, platným v príslušnej tretej krajine a profesionálnym predpisom a bezpečnostným opatreniam, ktorým táto krajina vyhovuje.

3. Členské štáty a Komisia sa navzájom informujú o prípadoch, keď sa domnievajú, že tretia krajina nezabezpečuje adekvátnu úroveň ochrany v rámci znenia odseku 2.

4. Ak Komisia zistí, podľa postupu uvedeného v článku 31 ods. 2, že tretia krajina nezaisťuje adekvátnu úroveň ochrany v rámci znenia odseku 2 tohto článku, členské štáty podniknú nevyhnutné opatrenia na ochranu a prenos údajov tohto istého typu do príslušnej tretej krajiny.

5. Vo vhodnom čase Komisia začne vyjednávať s cieľom napravenia stavu vzniknutého z vykonaných zistení v súlade s odsekom 4.

6. Komisia môže zistiť, podľa postupu uvedeného v článku 31 ods. 2, že tretia krajina zaisťuje adekvátnu úroveň ochrany v rámci znenia odseku 2 tohto článku, z dôvodu jej vnútroštátneho práva alebo medzinárodných dohôd, ktoré podpísala, najmä na základe záverov jednaní uvedených v odseku 5, na ochranu súkromného života a osobných práv a slobôd.

Členské štáty prijmú opatrenia potrebné na dosiahnutie súladu s rozhodnutím Komisie.

Článok 26

Odchýlky

1. Odchylne od článku 25 a s výnimkou keď sú inak zabezpečené vnútroštátnym právom riadiacim konkrétne situácie, zabezpečia členské štáty, že sa môže uskutočniť prenos alebo súbor prenosov osobných údajov do tretej krajiny, ktorá nezaistí adekvátnu úroveň ochrany v rámci znenia článku 25 ods. 2 za predpokladu, že:

a) osoba pracujúca s údajmi dala jednoznačne súhlas na navrhnutý prenos; alebo

b) prenos je nevyhnutný pre plnenie zmluvy medzi osobou pracujúcou s údajmi a kontrolórom alebo pre zavedenie predbežných zmluvných opatrení uskutočnených v súlade s požiadavkou osoby pracujúcej s údajmi; alebo

c) prenos je nevyhnutný pre uzatvorenie alebo plnenie zmluvy uzatvorenej v záujme osoby pracujúcej s údajmi medzi kontrolórom a treťou stranou; alebo

d) prenos je nevyhnutný alebo právne požadovaný z dôvodu dôležitého verejného záujmu, alebo pre zriadenie, výkon a obranu právnych nárokov; alebo

e) prenos je nevyhnutný, aby sa ochránili dôležité záujmy osoby pracujúcej s údajmi; alebo

f) prenos sa robí z registra, ktorý je podľa zákona alebo predpisov určený na poskytovanie informácií verejnosti a ktorý je otvorený na nahliadnutie verejnosti alebo každej osobe, ktorá môže preukázať legitímny záujem, do tej miery, že sa v konkrétnom prípade splnia podmienky stanovené príslušným zákonom.

2. Bez toho, aby boli dotknuté ustanovenia odseku 1 môže členský štát schváliť prenos alebo súbor prenosov osobných údajov do tretej krajiny, ktorá nezaistí adekvátnu úroveň ochrany v rámci znenia článku 25 ods. 2, vtedy keď kontrolór uvádza záruky s ohľadom na ochranu súkromia a základných práv a slobôd jednotlivcov a pokiaľ ide o uplatnenie príslušných práv; takéto záruky môžu vyplývať najmä z príslušných zmluvných klauzúl.

3. Členský štát informuje Komisiu a ostatné členské štáty o povoleniach, ktoré zaručuje v súlade s odsekom 2.

Ak členský štát alebo Komisia namieta proti odôvodneným dôvodom zahŕňajúcim ochranu súkromia a osobných práv a slobôd, Komisia uskutoční príslušné opatrenia podľa postupu uvedeného v článku 31 ods. 2.

Členské štáty prijmú opatrenia potrebné na dosiahnutie súladu s rozhodnutím Komisie.

4. Ak Komisia rozhodne, v súlade s postupom uvedenom v článku 31 ods. 2, že určité štandardné zmluvné klauzuly ponúkajú dostatočné záruky, ako sa to požaduje v odseku 2, členské štáty podniknú nevyhnutné opatrenia, na dosiahnutie súladu s rozhodnutím Komisie.

KAPITOLA V

ZÁKONNÉ PREDPISY

Článok 27

1. Členské štáty a Komisia podporia vypracovanie zákonných predpisov, určených na to, aby prispeli k správnemu zavedeniu štátnych ustanovení prijatých členskými štátmi v súlade s touto smernicou, vzhľadom na osobitné prvky rôznych sektorov.

2. Členské štáty poskytnú obchodným asociáciám a iným orgánom predstavujúcim iné kategórie kontrolórov, ktoré navrhli návrh štátnych zákonných predpisov, alebo ktoré majú zámer pozmeniť, alebo rozšíriť existujúce štátne zákonné predpisy, aby im mohli predložiť stanovisko štátneho orgánu.

Členské štáty zabezpečia, aby tento orgán zistil, okrem iných vecí, či sú predložené návrhy podľa štátnych ustanovení prijatých v súlade s touto smernicou. Ak sa to bude považovať za vhodné, tento orgán preskúma názory osôb pracujúcich s údajmi alebo ich zástupcov.

3. Návrh predpisov spoločenstva a doplnky alebo rozšírenia existujúcich predpisov spoločenstva sa môžu predložiť pracovnej skupine, uvedenej v článku 29. Táto pracovná skupina určí, okrem iného, či sú predložené návrhy podľa vnútroštátnych ustanovení prijatých v súlade s touto smernicou. Ak sa to považuje za vhodné, tento orgán preskúma názory osôb pracujúcich s údajmi alebo ich zástupcov. Komisia môže zaistiť príslušné zverejnenie týchto predpisov, ktoré boli schválené pracovnou skupinou.

KAPITOLA VI

DOZORNÝ ORGÁN A PRACOVNÁ SKUPINA PRE OCHRANU JEDNOTLIVCOV SO ZRETEĽOM NA SPRACOVANIE OSOBNÝCH ÚDAJOV

Článok 28

Dozorný orgán

1. Každý členský štát zabezpečí, aby jeden a alebo viac štátnych orgánov bolo zodpovedných za monitorovanie uplatňovania ustanovení v rámci jeho územia, prijatých členskými štátmi v súlade s touto smernicou.

Tieto orgány konajú s úplnou nezávislosťou vo vykonávaní im zverených funkcií.

2. Každý členský štát zabezpečí, že s dozornými orgánmi sa budú konzultovať návrhy administratívnych opatrení alebo predpisov týkajúcich sa osobných práv a slobôd týkajúcich sa spracovania osobných údajov.

3. Každý je zabezpečený najmä:

- vyšetrovacími právomocami, ako sú práva prístupu k údajom, tvoriacich záležitosť subjektu operácií spracovania a práva zbierať všetky nevyhnutné informácie pre plnenie jeho kontrolných povinností,

- efektívnymi právomocami intervencie, ako sú napríklad doručenie stanovísk pred vykonaním operácii spracovania, podľa článku 20 a zabezpečenie príslušného zverejnenia takýchto stanovísk, nariadenie zablokovania, vymazania alebo zničenia údajov, uvalenie dočasného alebo úplného zákazu na spracovanie, upozornenie alebo pripomenutie kontrolórovi, alebo oznámenie záležitosti vnútroštátnemu parlamentu alebo iným politickým inštitúciám,

- právomocou zaoberať sa právnymi postupmi tam, kde sa porušili vnútroštátne ustanovenia prijaté v súlade s touto smernicou alebo dať tieto porušenia do pozornosti súdnych orgánov.

Proti rozhodnutiam dozorného orgánu, ktoré vznesú žalobcovia je možné odvolať sa prostredníctvom súdov.

4. Každý dozorný orgán si vypočuje nároky uplatňované každou osobou alebo každou asociáciou predstavujúcou túto osobu, týkajúce sa ochrany jeho práv a slobôd vzhľadom na spracovanie osobných údajov. Príslušná osoba je informovaná o výsledku žaloby.

Každý dozorný orgán si vypočuje najmä nároky na kontrolu zákonnosti spracovania údajov, uplatnené každou osobou, keď sa uplatňujú vnútroštátne ustanovenia prijaté v súlade s článkom 13 tejto smernice. Táto osoba je v každom prípade informovaná o tom, že sa kontrola uskutočnila.

5. Každý kontrolný orgán navrhne správu o svojich činnostiach v pravidelných intervaloch. Táto správa uverejní.

6. Každý kontrolný orgán je kompetentný, bez ohľadu na príslušné vnútroštátne právo uplatniteľné na spracovanie, vykonávať na území svojho členského štátu právomoci jemu udelené v súlade s odsekom 3. Každý orgán môže byť požiadaný orgánom iného členského štátu aby uplatnil svoje právomoci.

Dozorné orgány navzájom spolupracujú do miery, nevyhnutnej na plnenie svojich povinností, najmä výmenou všetkých užitočných informácií.

7. Členské štáty zabezpečia, aby členovia a zamestnanci dozorného orgánu, aj v prípade, keď sa ich pracovný pomer ukončí, podliehali povinnosti služobného tajomstva pokiaľ ide o dôverné informácie, ku ktorým majú prístup.

Článok 29

Pracovná skupina pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov

1. Týmto sa zriaďuje Pracovná skupina pre ochranu jednotlivcov so zreteľom na spracovanie osobných údajov, v ďalšom texte len "pracovná skupina".

Má poradenský štatút a koná nezávisle.

2. Pracovná skupina je zložená zo zástupcu dozorného orgánu alebo orgánov menovaných každým členským štátom a zo zástupcu orgánu alebo orgánov zriadených pre inštitúcie a orgány spoločenstva, a zo zástupcu Komisie.

Každý člen pracovnej skupiny je menovaný inštitúciou, orgánom alebo orgánmi, ktoré zastupuje. Tam, kde členský štát menoval viac ako jeden dozorný orgán, musí nominovať spoločného zástupcu. To isté sa musí uplatňovať pre orgány zriadené pre inštitúcie a orgány spoločenstva.

3. Pracovná skupina prijíma rozhodnutia prostou väčšinou zástupcov dozorných orgánov.

4. Pracovná skupina si zvolí svojho predsedu. Predseda je volený na dvojročné funkčné obdobie. Jeho menovanie predĺžiteľné.

5. Sekretariát pracovnej skupiny poskytne Komisia.

6. Pracovná skupina prijme svoje vlastné procedurálne pravidlá.

7. Pracovná skupina sa zaoberá otázkami predloženými na pojednávanie jeho predsedom, buď na základe jeho vlastného podnetu alebo na požiadanie zástupcu dozorných orgánov alebo na požiadania Komisie.

Článok 30

1. Pracovná skupina:

a) skúma každú otázku pokrývajúcu uplatniteľnosť vnútroštátnych opatrení prijatých podľa tejto smernice, aby sa prispelo k jednotnej uplatniteľnosti takýchto opatrení;

b) predkladať Komisii stanovisko o úrovni ochrany v spoločenstve a v tretích krajinách;

c) radiť Komisii o akejkoľvek navrhnutej zmene tejto smernice, o akýchkoľvek ďalších alebo špecifických opatreniach, aby sa zabezpečili osobné práva a slobody fyzických osôb vzhľadom na spracovanie osobných údajov a o akýchkoľvek iných navrhnutých opatreniach spoločenstva, ovplyvňujúce tieto práva a slobody;

d) poskytovať stanovisko k zákonným predpisom navrhnutým na úrovni spoločenstva.

2. Ak pracovná skupina zistí, že odchýlky, ktoré pravdepodobne budú ovplyvňovať rovnocennú ochranu osôb, ak ide o spracovanie osobných údajov v spoločenstve, vznikajú medzi zákonmi alebo praktikami členských štátov, z toho dôvodu informuje Komisiu.

3. Pracovná skupina môže zo svojho podnetu predložiť odporúčania ku všetkým záležitostiam týkajúcim sa ochrany osôb ak ide o spracovanie osobných údajov v spoločenstve.

4. Stanoviska a odporúčania pracovnej skupiny sú postúpené Komisii a výboru uvedenému v článku 31.

5. Komisia informuje pracovnú skupinu o opatreniach, ktoré prijala, reagujúc na jej názory a odporúčania. Urobí tak v správe, ktorá je tiež postúpená Európskemu parlamentu a Rade. Správa sa zverejní.

6. Pracovná skupina vypracuje ročnú správu o situácii vo vzťahu k ochrane fyzických osôb ak ide o spracovanie osobných údajov v spoločenstve a tretích krajinách, ktorú poskytne Komisii, Európskemu Parlamentu a Rade. Správa sa zverejní.

KAPITOLA VII

VYKONÁVACIE OPATRENIA SPOLOČENSTVA

Článok 31

Výbor

1. Komisii pomáha výbor zložený zo zástupcov členských štátov, ktorému predsedá zástupca Komisie.

2. Zástupca Komisie predloží výboru návrh opatrení, ktoré je potrebné prijať. Výbor predloží svoje stanovisko k návrhu do termínu, ktorý môže predseda určiť podľa naliehavosti veci.

Stanovisko sa predkladá na základe väčšiny ustanovenej v článku 148 ods. 2 zmluvy. Hlasy zástupcov členských štátov vo výbore sa vážia spôsobom ustanoveným v uvedenom článku. Predseda nehlasuje.

Komisia prijme opatrenia, ktoré sa okamžite uplatňujú. Keď tieto opatrenia nie sú v súlade so stanoviskom výboru, Komisia ich okamžite oznámi Rade. V takomto prípade:

- Komisia odloží uplatňovanie opatrení, o ktorých rozhodla, na obdobie, troch mesiacov od dátumu oznámenia,

- Rada, konajúca na základe rozhodnutia kvalifikovanej väčšiny môže prijať odlišné rozhodnutie do termínu uvedeného v prvom bode.

ZÁVEREČNÉ USTANOVENIA

Článok 32

1. Členské štáty prijmú zákony, iné právne predpisy a správne opatrenia potrebné na dosiahnutie súladu s touto smernicou, a to najneskôr do troch rokov odo dňa jej prijatia.

Keď členské štáty prijmú tieto opatrenia, obsahujú odkaz na túto smernicu, alebo sú sprevádzané takýmto odkazom pri príležitosti ich oficiálneho uverejnenia. Metódy vypracovania takéhoto odkazu stanovia členské štáty.

2. Členské štáty zabezpečia, že spracovanie, ktoré sa už realizuje k dátumu, kedy schválené vnútroštátne opatrenia nadobudnú platnosť, sa uvedie do súladu s týmito ustanoveniami do troch rokov od tohto dátumu.

Odchylne od predchádzajúceho pododseku môžu členské štáty zabezpečiť, aby sa spracovanie údajov už uchovávaných v manuálnych registračných systémoch k dátumu nadobudnutia platnosti vnútroštátnych opatrení prijatých pri vykonávaní tejto smernice, uviedlo do súladu s článkami 6, 7 a 8 tejto smernice do 12 rokov odo dňa jej prijatia. Členské štáty osobe pracujúcej s údajmi právo získať, na jeho žiadosť a najmä v čase vykonávania, jeho práva na prístup, nápravu, vymazanie alebo blokovanie údajov, ktoré sú neúplné, nepresné, alebo uložené spôsobom nekompatibilným s legitímnymi cieľmi, ktoré sleduje kontrolór.

3. Odchylne od odseku 2 môžu členské štáty zabezpečiť, v závislosti od vhodných ochranných opatrení, že sa údaje uchovávané iba pre účel historického výskumu nemusia uviesť do súladu s článkami 6, 7 a 8 tejto smernice.

4. Členské štáty oznámia Komisii znenie ustanovení vnútroštátneho práva, ktoré prijmú v oblasti upravenej touto smernicou.

Článok 33

Komisia poskytne Rade a Európskemu parlamentu správu v pravidelných intervaloch, najneskôr do troch rokov, podľa článku 32 ods. 1, o vykonávaní tejto smernice, pričom pripojí, ak to je nevyhnutné, vhodné návrhy zmien. Správa sa uverejní.

Komisia preskúma najmä uplatňovanie tejto smernice na spracovanie zvukových a obrazových údajov, týkajúcich sa fyzických osôb, a predloží vhodné návrhy, ktoré sú nevyhnutné, pričom zohľadňuje rozvoj informačných technológií a stav pokroku v informačnej spoločnosti.

Článok 34

Táto smernica je adresovaná členským štátom.

V Luxemburgu 24. októbra 1995

Za Európsky parlament

predseda

K. Hänsch

Za Radu

predseda

L. Atianze Serna

[1] Ú. v. ES C 277, 5.11.1990, s. 3, a Ú. v. ES C 311, 27.11.1992, s. 30.

[2] Ú. v. ES C 159, 17.6.1991, s. 38.

[3] Stanovisko Európskeho parlamentu z 11. marca 1992 (Ú. v. ES C 94, 13.4.1992, s. 198), potvrdené 2. decembra 1993 (Ú. v. ES C 342, 20.12.1993, s. 30); spoločné stanovisko Rady z 20. februára 1995 (Ú. v. ES C 93, 13.4.1995, s. 1) a rozhodnutie Európskeho parlamentu z 15. júna 1995 (Ú. v. ES C 166, 3.7.1995).

[4] Ú. v. ES L 197, 18.7.1987, s. 33.

--------------------------------------------------