|
|
Regulation (EC) No 45/2001 of the European Parliament and of the Council
|
Rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady
|
|
of 18 December 2000
|
z dnia 18 grudnia 2000 r.
|
|
on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data
|
o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych
|
|
|
PARLAMENT EUROPEJSKI I RADA UNII EUROPEJSKIEJ,
|
|
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,
|
uwzględniając Traktat ustanawiający Wspólnotę Europejską, w szczególności jego art. 286,
|
|
Having regard to the Treaty establishing the European Community, and in particular Article 286 thereof,
|
uwzględniając wniosek Komisji [1],
|
|
Having regard to the proposal from the Commission(1),
|
uwzględniając opinię Komitetu Ekonomiczno-Społecznego [2],
|
|
Having regard to the opinion of the Economic and Social Committee(2),
|
stanowiąc zgodnie z procedurą ustanowioną w art. 251 Traktatu [3],
|
|
Acting in accordance with the procedure laid down in Article 251 of the Treaty(3),
|
a także mając na uwadze, co następuje:
|
|
Whereas:
|
(1) Artykuł 286 Traktatu wymaga zastosowania aktów wspólnotowych w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu takich danych do instytucji i organów wspólnotowych.
|
|
(1) Article 286 of the Treaty requires the application to the Community institutions and bodies of the Community acts on the protection of individuals with regard to the processing of personal data and the free movement of such data.
|
(2) Pełny system ochrony danych osobowych wymaga nie tylko ustanowienia praw dla osób fizycznych, których dotyczą te dane, i zobowiązań tych, którzy przetwarzają dane osobowe, ale także właściwych sankcji dla tych, którzy naruszają przepisy, i monitorowania przez niezależny organ nadzoru.
|
|
(2) A fully-fledged system of protection of personal data not only requires the establishment of rights for data subjects and obligations for those who process personal data, but also appropriate sanctions for offenders and monitoring by an independent supervisory body.
|
(3) Artykuł 286 ust. 2 Traktatu wymaga ustanowienia niezależnego organu nadzoru odpowiedzialnego za monitorowanie stosowania takich aktów wspólnotowych do instytucji i organów wspólnotowych.
|
|
(3) Article 286(2) of the Treaty requires the establishment of an independent supervisory body responsible for monitoring the application of such Community acts to Community institutions and bodies.
|
(4) Artykuł 286 ust. 2 Traktatu wymaga przyjęcia wszelkich innych właściwych przepisów w miarę potrzeb.
|
|
(4) Article 286(2) of the Treaty requires the adoption of any other relevant provisions as appropriate.
|
(5) Konieczne jest rozporządzenie zapewniające osobie fizycznej prawa prawnie egzekwowalne, określające zobowiązania administratorów w instytucjach i organach wspólnotowych, odnoszące się do przetwarzania danych osobowych oraz tworzące niezależny organ nadzoru odpowiedzialny za monitorowanie i przetwarzanie danych osobowych przez instytucje i organy wspólnotowe.
|
|
(5) A Regulation is necessary to provide the individual with legally enforceable rights, to specify the data processing obligations of the controllers within the Community institutions and bodies, and to create an independent supervisory authority responsible for monitoring the processing of personal data by the Community institutions and bodies.
|
(6) Przeprowadzono konsultacje z grupą roboczą ds. ochrony osób fizycznych ustanowioną na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych [4].
|
|
(6) The Working Party on the Protection of Individuals with regard to the Processing of Personal Data set up under Article 29 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data(4) has been consulted.
|
(7) Chronione mają być osoby, których dane osobowe są przetwarzane przez instytucje i organy wspólnotowe w dowolnym kontekście, na przykład dlatego że są zatrudnione przez te instytucje lub organy.
|
|
(7) The persons to be protected are those whose personal data are processed by Community institutions or bodies in any context whatsoever, for example because they are employed by those institutions or bodies.
|
(8) Zasady ochrony danych stosują się do wszelkiej informacji dotyczącej osób zidentyfikowanych przez dane lub mogących być zidentyfikowanymi. Aby określić, czy osoba może być zidentyfikowana, należy wziąć pod uwagę wszystkie środki, które mogą być rozsądnie użyte przez administratora lub przez dowolne inne osoby, aby zidentyfikować wspomnianą wyżej osobę. Zasady ochrony nie powinny być stosowane do danych przetworzonych na anonimowe w taki sposób, że obiekt danych przestał być identyfikowalny.
|
|
(8) The principles of data protection should apply to any information concerning an identified or identifiable person. To determine whether a person is identifiable, account should be taken of all the means likely to be reasonably used either by the controller or by any other person to identify the said person. The principles of protection should not apply to data rendered anonymous in such a way that the data subject is no longer identifiable.
|
(9) Dyrektywa 95/46/WE wymaga, aby Państwa Członkowskie chroniły podstawowe prawa i wolności osób fizycznych, w szczególności ich prawa do prywatności w odniesieniu do przetwarzania danych osobowych, aby zapewnić swobodny przepływ danych osobowych we Wspólnocie.
|
|
(9) Directive 95/46/EC requires Member States to protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data, in order to ensure the free flow of personal data in the Community.
|
(10) Dyrektywa 97/66/WE Parlamentu Europejskiego i Rady z dnia 15 grudnia 1997 r., dotycząca przetwarzania danych osobowych oraz ochrony prywatności w sektorze telekomunikacyjnym [5], precyzuje i uzupełnia dyrektywę 95/46/WE w odniesieniu do przetwarzania danych osobowych w sektorze telekomunikacyjnym.
|
|
(10) Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector(5) specifies and adds to Directive 95/46/EC with respect to the processing of personal data in the telecommunications sector.
|
(11) Różne inne środki wspólnotowe, włącznie ze środkami wzajemnej pomocy między władzami krajowymi i Komisją, są również tworzone, aby sprecyzować i uzupełniać dyrektywę 95/46/WE w sektorach, do których się odnoszą.
|
|
(11) Various other Community measures, including measures on mutual assistance between national authorities and the Commission, are also designed to specify and add to Directive 95/46/EC in the sectors to which they relate.
|
(12) Spójne i jednolite stosowanie zasad ochrony podstawowych praw i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych powinno być zapewnione w całej Wspólnocie.
|
|
(12) Consistent and homogeneous application of the rules for the protection of individuals' fundamental rights and freedoms with regard to the processing of personal data should be ensured throughout the Community.
|
(13) Celem jest zapewnienie zarówno efektywnej zgodności z regułami rządzącymi ochroną podstawowych praw i wolności osób fizycznych oraz swobodnego przepływu danych osobowych między Państwami Członkowskimi a instytucjami i organami wspólnotowymi, jak i między instytucjami i organami wspólnotowymi do celów związanych z wykorzystaniem ich kompetencji.
|
|
(13) The aim is to ensure both effective compliance with the rules governing the protection of individuals' fundamental rights and freedoms and the free flow of personal data between Member States and the Community institutions and bodies or between the Community institutions and bodies for purposes connected with the exercise of their respective competences.
|
(14) W tym celu przyjęte powinny być środki wiążące dla instytucji i organów wspólnotowych. Te środki powinny być stosowane do całości przetwarzania danych osobowych przez wszystkie instytucje i organy wspólnotowe, o ile takie przetwarzanie jest dokonywane podczas wykonywania czynności, które w całości lub częściowo wchodzą w zakres prawa wspólnotowego.
|
|
(14) To this end measures should be adopted which are binding on the Community institutions and bodies. These measures should apply to all processing of personal data by all Community institutions and bodies insofar as such processing is carried out in the exercise of activities all or part of which fall within the scope of Community law.
|
(15) Jeżeli takie przetwarzanie jest przeprowadzane przez instytucje i organy wspólnotowe podczas wykonywania czynności wychodzących poza zakres niniejszego rozporządzenia, w szczególności tych, do których odnoszą się tytuły V i VI Traktatu o Unii Europejskiej, ochrona podstawowych praw i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych powinna być zapewniona z uwzględnieniem art. 6 Traktatu o Unii Europejskiej. Dostęp do dokumentów, włącznie z warunkami dostępu do dokumentów zawierających dane osobowe, jest zgodny z przepisami przyjętymi na podstawie art. 255 Traktatu WE, którego zakres obejmuje tytuły V i VI Traktatu o Unii Europejskiej.
|
|
(15) Where such processing is carried out by Community institutions or bodies in the exercise of activities falling outside the scope of this Regulation, in particular those laid down in Titles V and VI of the Treaty on European Union, the protection of individuals' fundamental rights and freedoms shall be ensured with due regard to Article 6 of the Treaty on European Union. Access to documents, including conditions for access to documents containing personal data, is governed by the rules adopted on the basis of Article 255 of the EC Treaty the scope of which includes Titles V and VI of the Treaty on European Union.
|
(16) Niniejsze środki nie powinny mieć zastosowania do organów ustanowionych poza ramami Wspólnoty. Europejski inspektor ochrony danych nie powinien mieć uprawnień do monitorowania danych osobowych przetwarzanych przez takie organy.
|
|
(16) The measures should not apply to bodies established outside the Community framework, nor should the European Data Protection Supervisor be competent to monitor the processing of personal data by such bodies.
|
(17) Skuteczność ochrony osoby fizycznej w odniesieniu do przetwarzania danych osobowych w Unii zakłada spójność odpowiednich przepisów i procedur mających zastosowanie do czynności wchodzących w zakres różnych kontekstów prawnych. Rozwój podstawowych zasad ochrony danych osobowych w dziedzinie współpracy sądowej w sprawach karnych i współpracy policji oraz służb celnych, jak również ustanowienie sekretariatu dla połączonych organów nadzoru ustanowionych przez Konwencję o Europolu, Konwencję w sprawie wykorzystania technologii informatycznych do celów odpraw celnych oraz Konwencję z Schengen stanowią pierwszy krok w tym kierunku.
|
|
(17) The effectiveness of the protection of individuals with regard to the processing of personal data in the Union presupposes the consistency of the relevant rules and procedures applicable to activities pertaining to different legal contexts. The development of fundamental principles on the protection of personal data in the fields of judicial cooperation in criminal affairs and police and customs cooperation, and the setting-up of a secretariat for the joint supervisory authorities established by the Europol Convention, the Convention on the Use of Information Technology for Customs Purposes and the Schengen Convention represent a first step in this regard.
|
(18) Niniejsze rozporządzenie nie ma wpływu na prawa i obowiązki Państw Członkowskich wynikające z dyrektyw 95/46/WE i 97/66/WE. Nie są przewidziane zmiany istniejących procedur i praktyk wprowadzonych w życie przez Państwa Członkowskie w dziedzinie bezpieczeństwa narodowego, zapobiegania niepokojom lub zapobiegania, wykrywania, dochodzeń i ścigania przestępstw karnych zgodnie z Protokołem w sprawie przywilejów i immunitetów Wspólnoty Europejskiej i prawem międzynarodowym.
|
|
(18) This Regulation should not affect the rights and obligations of Member States under Directives 95/46/EC and 97/66/EC. It is not intended to change existing procedures and practices lawfully implemented by the Member States in the field of national security, prevention of disorder or prevention, detection, investigation and prosecution of criminal offences in compliance with the Protocol on Privileges and Immunities of the European Communities and with international law.
|
(19) Instytucje i organy wspólnotowe powinny informować właściwe władze w Państwach Członkowskich, jeżeli uważają, że połączenia w ich sieciach telekomunikacyjnych powinny być przechwytywane zgodnie z mającymi zastosowanie przepisami krajowymi.
|
|
(19) The Community institutions and bodies should inform the competent authorities in the Member States when they consider that communications on their telecommunications networks should be intercepted, in keeping with the national provisions applicable.
|
(20) Przepisy mające zastosowanie do instytucji i organów wspólnotowych powinny odpowiadać przepisom ustanowionym w związku z harmonizacją ustawodawstw krajowych i wprowadzeniem w życie innych sposobów postępowania szczególnie w sferze wzajemnej pomocy. Jednakże może być konieczne sprecyzowanie i wzbogacenie tych przepisów w zakresie zapewnienia ochrony w przypadku przetwarzania danych osobowych przez instytucje i organy wspólnotowe.
|
|
(20) The provisions applicable to the Community institutions and bodies should correspond to those provisions laid down in connection with the harmonisation of national laws or the implementation of other Community policies, notably in the mutual assistance sphere. It may be necessary, however, to specify and add to those provisions when it comes to ensuring protection in the case of the processing of personal data by the Community institutions and bodies.
|
(21) Dotyczy to praw osób fizycznych, których dane są przetwarzane, zobowiązań instytucji i organów wspólnotowych dokonujących przetwarzania i uprawnień nadanych niezależnemu organowi nadzoru odpowiedzialnemu za zapewnienie, że niniejsze rozporządzenie jest stosowane w odpowiedni sposób.
|
|
(21) This holds true for the rights of the individuals whose data are being processed, for the obligations of the Community institutions and bodies doing the processing, and for the powers to be vested in the independent supervisory authority responsible for ensuring that this Regulation is properly applied.
|
(22) Prawa przyznane podmiotowi danych i ich wykonanie nie powinno mieć wpływu na zobowiązania kontrolującego.
|
|
(22) The rights accorded the data subject and the exercise thereof should not affect the obligations placed on the controller.
|
(23) Niezależny organ nadzoru powinien wykonywać swoje funkcje kontrolne zgodnie z Traktatem i przy poszanowaniu praw człowieka i podstawowych wolności. Powinien prowadzić swoje dochodzenia zgodnie z Protokołem w sprawie przywilejów i immunitetów oraz regulaminem pracowniczym urzędników Wspólnot Europejskich i warunkami zatrudnienia innych pracowników Wspólnot.
|
|
(23) The independent supervisory authority should exercise its supervisory functions in accordance with the Treaty and in compliance with human rights and fundamental freedoms. It should conduct its enquiries in compliance with the Protocol on Privileges and Immunities and with the Staff Regulations of Officials of the European Communities and the conditions of employment applicable to Other Servants of the Communities.
|
(24) Aby zapewnić dostęp do rejestru operacji przetwarzania przeprowadzanych przez inspektorów ochrony danych za pośrednictwem niezależnych organów nadzoru, powinny być przyjęte odpowiednie środki techniczne.
|
|
(24) The necessary technical measures should be adopted to allow access to the registers of processing operations carried out by Data Protection Officers through the independent supervisory authority.
|
(25) Decyzje niezależnego organu nadzoru dotyczące wyjątków, gwarancji, upoważnienia i warunków dotyczących operacji przetwarzania danych według definicji niniejszego rozporządzenia powinny być publikowane w sprawozdaniu o działalności. Niezależnie od publikacji rocznego sprawozdania o działalności niezależne organy nadzoru mogą publikować sprawozdania o konkretnych tematach.
|
|
(25) The decisions of the independent supervisory authority regarding exemptions, guarantees, authorisations and conditions relating to data processing operations, as defined in this Regulation, should be published in the activities report. Independently of the publication of an annual activities report, the independent supervisory authority may publish reports on specific subjects.
|
(26) Niektóre operacje przetwarzania, mogące powodować szczególne zagrożenia w odniesieniu do praw i wolności podmiotów danych, są zawczasu sprawdzane przez niezależny organ nadzoru. Opinie wyrażane w kontekście takich uprzednich kontroli, włącznie z opinią wynikającą z braku odpowiedzi, nie powinny mieć wpływu na dalsze stosowanie przez niezależny urząd nadzoru jego uprawnień w odniesieniu do wspomnianej operacji przetwarzania.
|
|
(26) Certain processing operations likely to present specific risks with respect to the rights and freedoms of data subjects are subject to prior checking by the independent supervisory authority. The opinion given in the context of such prior checking, including the opinion resulting from failure to reply within the set period, should be without prejudice to the subsequent exercise by the independent supervisory authority of its powers with regard to the processing operation in question.
|
(27) Przetwarzanie danych osobowych w celu przeprowadzenia czynności wykonywanych w interesie ogólnym przez instytucje i organy wspólnotowe obejmuje przetwarzanie danych osobowych niezbędnych dla zarządzania i funkcjonowania tych instytucji i organów.
|
|
(27) Processing of personal data for the performance of tasks carried out in the public interest by the Community institutions and bodies includes the processing of personal data necessary for the management and functioning of those institutions and bodies.
|
(28) W niektórych przypadkach przetwarzanie danych powinno być dozwolone przez przepisy wspólnotowe lub przez akty prawne przenoszące do prawa krajowego przepisy wspólnotowe. Niemniej w okresie przejściowym, w którym takie przepisy nie istnieją, oczekując na przyjęcie, europejski inspektor ochrony danych może zezwolić na przetwarzanie takich danych przy założeniu, że przyjęte są odpowiednie środki bezpieczeństwa. Robiąc to, powinien w szczególności wziąć pod uwagę przepisy przyjęte przez Państwa Członkowskie w podobnych przypadkach.
|
|
(28) In certain cases the processing of data should be authorised by Community provisions or by acts transposing Community provisions. Nevertheless, in the transitional period during which such provisions do not exist, pending their adoption, the European Data Protection Supervisor may authorise processing of such data provided that adequate safeguards are adopted. In so doing, he should take account in particular of the provisions adopted by the Member States to deal with similar cases.
|
(29) Powyższe przypadki dotyczą przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne oraz przynależność do związków zawodowych i przetwarzania danych dotyczących zdrowia lub życia seksualnego, które są konieczne dla zachowania konkretnych praw i obowiązków administratora w dziedzinie prawa pracy lub dla ważnego interesu społecznego. Dotyczą także przetwarzania danych dotyczących przestępstw, wyroków skazujących za przestępstwa i środków bezpieczeństwa oraz zezwoleń na zastosowanie decyzji do podmiotów danych, które powodują skutki prawne dla tych podmiotów lub mają na nie istotny wpływ, a które oparte są wyłącznie o automatyczne przetwarzanie danych mające na celu ocenę niektórych aspektów osobistych odnośnie podmiotu.
|
|
(29) These cases concern the processing of data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs or trade-union membership and the processing of data concerning health or sex life which are necessary for the purposes of complying with the specific rights and obligations of the controller in the field of employment law or for reasons of substantial public interest. They also concern the processing of data relating to offences, criminal convictions or security measures and authorisation to apply a decision to the data subject which produces legal effects concerning him or her or significantly affects him or her and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to him or her.
|
(30) Konieczne może być monitorowanie sieci komputerowych działających pod kontrolą instytucji i organów wspólnotowych w celu zapobiegania bezprawnemu użytkowaniu. Europejski inspektor ochrony danych powinien określić, czy i pod jakimi warunkami jest to możliwe.
|
|
(30) It may be necessary to monitor the computer networks operated under the control of the Community institutions and bodies for the purposes of prevention of unauthorised use. The European Data Protection Supervisor should determine whether and under what conditions that is possible.
|
(31) Odpowiedzialność wynikająca z każdego naruszenia niniejszego rozporządzenia podlega akapitowi drugiemu art. 288 Traktatu.
|
|
(31) Liability arising from any breach of this Regulation is governed by the second paragraph of Article 288 of the Treaty.
|
(32) W każdej instytucji lub organie Wspólnoty jeden lub więcej inspektor ochrony danych powinien zapewnić, że stosowane są przepisy niniejszego rozporządzenia i powinien doradzić administratorom w kwestii wypełniania ich zobowiązań.
|
|
(32) In each Community institution or body one or more Data Protection Officers should ensure that the provisions of this Regulation are applied and should advise controllers on fulfilling their obligations.
|
(33) Na mocy art. 21 rozporządzenia Rady (WE) nr 322/97 z dnia 17 lutego 1997 r. w sprawie statystyk Wspólnoty [6], niniejsze rozporządzenie jest stosowane bez uszczerbku dla dyrektywy 95/46/WE.
|
|
(33) Under Article 21 of Council Regulation (EC) No 322/97 of 17 February 1997 on Community statistics(6), that Regulation is to apply without prejudice to Directive 95/46/EC.
|
(34) Na mocy art. 8 ust. 8 rozporządzenia Rady (WE) nr 2533/98 z dnia 23 listopada 1998 r., dotyczącego zbierania informacji statystycznych przez Europejski Bank Centralny [7], niniejsze rozporządzenie jest stosowane bez uszczerbku dla dyrektywy 95/46/WE.
|
|
(34) Under Article 8(8) of Council Regulation (EC) No 2533/98 of 23 November 1998 concerning the collection of statistical information by the European Central Bank(7), that Regulation is to apply without prejudice to Directive 95/46/EC.
|
(35) Na mocy art. 1 ust. 2 rozporządzenia Rady (Euroatom, EWG) nr 1588/90 z dnia 11 czerwca 1990 r. w sprawie przekazywania do Urzędu Statystycznego Wspólnot Europejskich danych będących przedmiotem poufności informacji statystycznych [8], niniejsze rozporządzenie nie uchyla specjalnych przepisów wspólnotowych lub krajowych dotyczących ochrony poufności innych niż poufność informacji statystycznych.
|
|
(35) Under Article 1(2) of Council Regulation (Euratom, EEC) No 1588/90 of 11 June 1990 on the transmission of data subject to statistical confidentiality to the Statistical Office of the European Communities(8), that Regulation does not derogate from the special Community or national provisions concerning the safeguarding of confidentiality other than statistical confidentiality.
|
(36) Niniejsze rozporządzenie nie zamierza ograniczać swobody działania Państw Członkowskich przy opracowywaniu ich ustawodawstw krajowych w sprawie ochrony danych na mocy art. 32 dyrektywy 95/46/WE, zgodnie z art. 249 Traktatu,
|
|
(36) This Regulation does not aim to limit Member States' room for manoeuvre in drawing up their national laws on data protection under Article 32 of Directive 95/46/EC, in accordance with Article 249 of the Treaty,
|
PRZYJMUJĄ NINIEJSZE ROZPORZĄDZENIE:
|
|
HAVE ADOPTED THIS REGULATION:
|
ROZDZIAŁ I
|
|
|
PRZEPISY OGÓLNE
|
|
CHAPTER I
|
Artykuł 1
|
|
GENERAL PROVISIONS
|
Zakres stosowania rozporządzenia
|
|
Article 1
|
1. Zgodnie z niniejszym rozporządzeniem instytucje i organy ustanowione przez lub na podstawie Traktatów ustanawiających Wspólnoty Europejskie, zwane dalej "instytucjami lub organami Wspólnoty", chronią podstawowe prawa i wolnościosób fizycznych, w szczególności ich prawa do prywatności w odniesieniu do przetwarzania danych osobowych i nie ograniczają ani nie zakazują swobodnego przepływu danych osobowych między nimi a odbiorcami podlegającymi prawu krajowemu Państw Członkowskich przyjętemu w wykonaniu dyrektywy 95/46/WE.
|
|
Object of the Regulation
|
2. Niezależny organ nadzoru ustanowiony przez niniejsze rozporządzenie, zwany dalej europejskim inspektorem ochrony danych, monitoruje stosowanie przepisów niniejszego rozporządzenia do wszystkich operacji przetwarzania danych przeprowadzanych przez instytucje lub organy Wspólnoty.
|
|
1. In accordance with this Regulation, the institutions and bodies set up by, or on the basis of, the Treaties establishing the European Communities, hereinafter referred to as "Community institutions or bodies", shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data and shall neither restrict nor prohibit the free flow of personal data between themselves or to recipients subject to the national law of the Member States implementing Directive 95/46/EC.
|
Artykuł 2
|
|
2. The independent supervisory authority established by this Regulation, hereinafter referred to as the European Data Protection Supervisor, shall monitor the application of the provisions of this Regulation to all processing operations carried out by a Community institution or body.
|
Definicje
|
|
|
Do celów niniejszego rozporządzenia przyjmuje się następujące definicje:
|
|
Article 2
|
a) "dane osobowe" oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ("podmiot danych"); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość;
|
|
Definitions
|
b) "przetwarzanie danych osobowych" ("przetwarzanie") oznacza każdą operację lub zestaw operacji, dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np.: gromadzenie, nagrywanie, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnienie przez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie;
|
|
For the purposes of this Regulation:
|
c) "zbiór danych osobowych" ("zbiór") oznacza każdy uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów scentralizowanych, zdecentralizowanych czy rozproszonych funkcjonalnie lub geograficznie;
|
|
(a) "personal data" shall mean any information relating to an identified or identifiable natural person hereinafter referred to as "data subject"; an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his or her physical, physiological, mental, economic, cultural or social identity;
|
d) "administrator danych" oznacza instytucję lub organ Wspólnoty, dyrekcję generalną, oddział lub jakąkolwiek inną jednostkę organizacyjną, która samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby przetwarzania są określone przez konkretny akt wspólnotowy, administrator i konkretne kryteria jego nominacji mogą być określone przez wspomniany akt wspólnotowy;
|
|
(b) "processing of personal data" hereinafter referred to as "processing" shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organisation, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;
|
e) "przetwarzający" oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ przetwarzający dane osobowe w imieniu administratora danych;
|
|
(c) "personal data filing system" hereinafter referred to as "filing system" shall mean any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;
|
f) "strona trzecia" oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ niebędący podmiotem danych ani administratorem danych, ani przetwarzającym lub jedną z osób, które pod bezpośrednim zwierzchnictwem administratora danych lub przetwarzającego są upoważnione do przetwarzania danych;
|
|
(d) "controller" shall mean the Community institution or body, the Directorate-General, the unit or any other organisational entity which alone or jointly with others determines the purposes and means of the processing of personal data; where the purposes and means of processing are determined by a specific Community act, the controller or the specific criteria for its nomination may be designated by such Community act;
|
g) "odbiorca" oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, któremu ujawniane są dane bez względu na to, czy jest osobą trzecią czy nie; jednakże organy władzy, które mogły otrzymać dane w ramach konkretnego dochodzenia, nie są uważane za odbiorcę;
|
|
(e) "processor" shall mean a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller;
|
h) "zgoda podmiotu danych" oznacza konkretne i świadome, dobrowolne wskazanie przez podmiot danych na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niego danych osobowych.
|
|
(f) "third party" shall mean a natural or legal person, public authority, agency or body other than the data subject, the controller, the processor and the persons who, under the direct authority of the controller or the processor, are authorised to process the data;
|
Artykuł 3
|
|
(g) "recipient" shall mean a natural or legal person, public authority, agency or any other body to whom data are disclosed, whether a third party or not; however, authorities which may receive data in the framework of a particular inquiry shall not be regarded as recipients;
|
Zakres obowiązywania
|
|
(h) "the data subject's consent" shall mean any freely given specific and informed indication of his or her wishes by which the data subject signifies his or her agreement to personal data relating to him or her being processed.
|
1. Niniejsze rozporządzenie stosuje się do przetwarzania danych osobowych przez wszystkie instytucje i organy wspólnotowe, o ile takie przetwarzanie jest przeprowadzane podczas wykonywania czynności całkowicie lub częściowo podlegających prawu wspólnotowemu.
|
|
|
2. Niniejsze rozporządzenie stosuje się do przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz innego przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.
|
|
Article 3
|
ROZDZIAŁ II
|
|
Scope
|
OGÓLNE ZASADY LEGALNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH
|
|
1. This Regulation shall apply to the processing of personal data by all Community institutions and bodies insofar as such processing is carried out in the exercise of activities all or part of which fall within the scope of Community law.
|
SEKCJA 1
|
|
2. This Regulation shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system.
|
ZASADY DOTYCZĄCE JAKOŚCI DANYCH
|
|
|
Artykuł 4
|
|
CHAPTER II
|
Jakość danych
|
|
GENERAL RULES ON THE LAWFULNESS OF THE PROCESSING OF PERSONAL DATA
|
1. Dane osobowe muszą być:
|
|
SECTION 1
|
a) przetwarzane rzetelnie i legalnie;
|
|
PRINCIPLES RELATING TO DATA QUALITY
|
b) gromadzone do konkretnych, bezpośrednich i zgodnych z prawem celów i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Dalsze przetwarzanie danych osobowych do celów historycznych, statystycznych lub naukowych nie jest uważane za niezgodne pod warunkiem, że administrator danych zapewnia właściwe zabezpieczenia, w szczególności zapewnia, że dane nie są przetwarzane dla żadnych celów innych niż wspomaganie środków i decyzji dotyczących dowolnej konkretnej osoby fizycznej;
|
|
Article 4
|
c) prawidłowe, stosowne oraz nienadmierne w stosunku do celów, dla których są gromadzone i/lub przetwarzane dalej;
|
|
Data quality
|
d) prawidłowe oraz, w razie konieczności, aktualizowane; należy podjąć wszelkie uzasadnione działania, aby zapewnić usunięcie lub poprawienie nieprawidłowych lub niekompletnych danych, biorąc pod uwagę cele, dla których zostały zgromadzone lub dla których są dalej przetwarzane;
|
|
1. Personal data must be:
|
e) przetrzymywane w formie, która pozwala na zidentyfikowanie podmiotów danych przez czas nie dłuższy niż jest to konieczne do celów, dla których dane były gromadzone lub dla których są przetwarzane dalej. Instytucja lub organ Wspólnoty zapewnia, że dane osobiste, które mają być przechowywane przez dłuższy czas do użytku historycznego, statystycznego lub naukowego, będą przechowywane jedynie w formie anonimowej lub, jeżeli jest to niemożliwe, z zakodowaną tożsamością podmiotu danych. W każdym razie dane nie zostaną użyte do żadnego celu innego niż cele historyczne, statystyczne lub naukowe.
|
|
(a) processed fairly and lawfully;
|
2. Na administratorze danych spoczywa obowiązek zapewnienia przestrzegania przepisów ust. 1.
|
|
(b) collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes. Further processing of personal data for historical, statistical or scientific purposes shall not be considered incompatible provided that the controller provides appropriate safeguards, in particular to ensure that the data are not processed for any other purposes or used in support of measures or decisions regarding any particular individual;
|
SEKCJA 2
|
|
(c) adequate, relevant and not excessive in relation to the purposes for which they are collected and/or further processed;
|
KRYTERIA LEGALNOŚCI PRZETWARZANIA DANYCH
|
|
(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that data which are inaccurate or incomplete, having regard to the purposes for which they were collected or for which they are further processed, are erased or rectified;
|
Artykuł 5
|
|
(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the data were collected or for which they are further processed. The Community institution or body shall lay down that personal data which are to be stored for longer periods for historical, statistical or scientific use should be kept either in anonymous form only or, if that is not possible, only with the identity of the data subjects encrypted. In any event, the data shall not be used for any purpose other than for historical, statistical or scientific purposes.
|
Legalność przetwarzania
|
|
2. It shall be for the controller to ensure that paragraph 1 is complied with.
|
Dane osobowe mogą być przetwarzane tylko wtedy, gdy:
|
|
|
a) przetwarzanie jest konieczne, aby spełnić zadanie wykonywane w interesie publicznym na podstawie Traktatów ustanawiających Wspólnoty Europejskie bądź innych aktów prawnych przyjętych na ich podstawie lub podczas zgodnego z prawem wykonywania władzy publicznej nadanej instytucji lub organowi Wspólnoty bądź stronie trzeciej, której dane są ujawnione; lub
|
|
SECTION 2
|
b) przetwarzanie jest konieczne dla zgodności ze zobowiązaniem prawnym, któremu podlega administrator danych; lub
|
|
CRITERIA FOR MAKING DATA PROCESSING LEGITIMATE
|
c) przetwarzanie jest konieczne dla realizacji umowy, której stroną jest podmiot danych, lub w celu podjęcia działań na życzenie podmiotu danych przed zawarciem umowy; lub
|
|
Article 5
|
d) podmiot danych jednoznacznie wyraził na to zgodę; lub
|
|
Lawfulness of processing
|
e) przetwarzanie danych jest konieczne dla ochrony żywotnych interesów podmiotów danych.
|
|
Personal data may be processed only if:
|
Artykuł 6
|
|
(a) processing is necessary for the performance of a task carried out in the public interest on the basis of the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof or in the legitimate exercise of official authority vested in the Community institution or body or in a third party to whom the data are disclosed, or
|
Zmiana celu
|
|
(b) processing is necessary for compliance with a legal obligation to which the controller is subject, or
|
Bez uszczerbku dla przepisów art. 4, 5 i 10:
|
|
(c) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract, or
|
1. Dane osobowe są przetwarzane do celów innych niż te, dla których zostały zgromadzone, tylko jeżeli zmiana celu jest dozwolona wyraźnie przez wewnętrzne przepisy instytucji lub organów Wspólnoty.
|
|
(d) the data subject has unambiguously given his or her consent, or
|
2. Dane osobowe zebrane wyłącznie dla zapewnienia bezpieczeństwa lub kontroli nad systemami przetwarzania i operacjami przetwarzania nie zostaną użyte dla żadnych innych celów z wyjątkiem zapobiegania, dochodzeń, wykrywania i karania poważnych przestępstw kryminalnych.
|
|
(e) processing is necessary in order to protect the vital interests of the data subject.
|
Artykuł 7
|
|
|
Przekazywanie danych osobowych wewnątrz lub między instytucjami lub organami Wspólnoty
|
|
Article 6
|
Bez uszczerbku dla przepisów art. 4, 5, 6 i 10:
|
|
Change of purpose
|
1. Dane osobowe są przekazywane wewnątrz lub do innych instytucji i organów wspólnotowych, tylko jeżeli są konieczne do zgodnego z prawem wykonywania zadań leżących w zakresie kompetencji odbiorcy.
|
|
Without prejudice to Articles 4, 5 and 10:
|
2. Jeżeli dane są przekazywane na życzenie odbiorcy, zarówno administrator danych, jak i odbiorca ponoszą odpowiedzialność za zgodność tego przekazania z prawem.
|
|
1. Personal data shall only be processed for purposes other than those for which they have been collected if the change of purpose is expressly permitted by the internal rules of the Community institution or body.
|
Administrator danych sprawdza uprawnienia odbiorcy i dokonuje wstępnej oceny konieczności przekazania danych. Jeżeli powstają wątpliwości co do tej konieczności, administrator danych żąda dalszych informacji od odbiorcy.
|
|
2. Personal data collected exclusively for ensuring the security or the control of the processing systems or operations shall not be used for any other purpose, with the exception of the prevention, investigation, detection and prosecution of serious criminal offences.
|
Odbiorca zapewnia, że konieczność przekazania danych może być zweryfikowana po jego dokonaniu.
|
|
|
3. Odbiorca przetwarza dane osobowe tylko do celów, dla których zostały one przekazane.
|
|
Article 7
|
Artykuł 8
|
|
Transfer of personal data within or between Community institutions or bodies
|
Przekazanie danych osobowych odbiorcom innym niż instytucje i organy wspólnotowe podlegające dyrektywie 95/46/WE
|
|
Without prejudice to Articles 4, 5, 6 and 10:
|
Bez uszczerbku dla przepisów art. 4, 5, 6 i 10 dane osobowe są przekazywane jedynie odbiorcom podlegającym prawu krajowemu przyjętemu dla wykonania dyrektywy 95/46/WE:
|
|
1. Personal data shall only be transferred within or to other Community institutions or bodies if the data are necessary for the legitimate performance of tasks covered by the competence of the recipient.
|
a) jeżeli odbiorca określa, że dane są konieczne, aby spełnić zadanie wykonywane w interesie publicznym bądź w ramach sprawowania władzy publicznej; lub
|
|
2. Where the data are transferred following a request from the recipient, both the controller and the recipient shall bear the responsibility for the legitimacy of this transfer.
|
b) jeżeli odbiorca wykaże konieczność przekazania danych i nie ma powodu zakładać, że uprawniony interes podmiotu danych może być naruszony.
|
|
The controller shall be required to verify the competence of the recipient and to make a provisional evaluation of the necessity for the transfer of the data. If doubts arise as to this necessity, the controller shall seek further information from the recipient.
|
Artykuł 9
|
|
The recipient shall ensure that the necessity for the transfer of the data can be subsequently verified.
|
Przekazanie danych osobowych odbiorcom innym niż instytucje i organy wspólnotowe niepodlegające dyrektywie 95/46/WE
|
|
3. The recipient shall process the personal data only for the purposes for which they were transmitted.
|
1. Dane osobowe są przekazywane odbiorcom innym niż instytucje i organy wspólnotowe, a które nie podlegają prawu krajowemu przyjętemu zgodnie z dyrektywą 95/46/WE, jedynie wtedy, gdy w kraju odbiorcy lub w organizacji międzynarodowej, do jakiej należy odbiorca, zapewniony jest wystarczający poziom ochrony i dane są przekazywane jedynie w celu spełnienia zadań należących do administratora danych.
|
|
|
2. Prawidłowość stopnia ochrony danych zapewnianej przez państwo trzecie lub organizację międzynarodową należy oceniać w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zestawu takich operacji; szczególną uwagę należy zwrócić na charakter danych, cel i czas trwania proponowanych operacji przetwarzania, państwo trzecie będące odbiorcą lub organizację międzynarodową będącą odbiorcą, przepisy prawa, zarówno ogólnego, jak i branżowego obowiązującego w państwie trzecim lub organizacji międzynarodowej, o których mowa, oraz zasady zawodowe i środki bezpieczeństwa stosowane w tym państwie trzecim lub organizacji międzynarodowej.
|
|
Article 8
|
3. Instytucje i organy wspólnotowe poinformują Komisję i europejskiego inspektora ochrony danych o przypadkach, kiedy uważają, że państwo trzecie lub organizacja nie zapewniają odpowiedniego poziomu bezpieczeństwa w rozumieniu ust. 2.
|
|
Transfer of personal data to recipients, other than Community institutions and bodies, subject to Directive 95/46/EC
|
4. Komisja poinformuje Państwa Członkowskie o wszelkich przypadkach określonych w ust. 3.
|
|
Without prejudice to Articles 4, 5, 6 and 10, personal data shall only be transferred to recipients subject to the national law adopted for the implementation of Directive 95/46/EC,
|
5. Instytucje i organy wspólnotowe podejmą niezbędne środki dla zapewnienia zgodności z decyzjami podjętymi przez Komisję, stwierdzającymi, czy zgodnie z art. 25 ust. 4 i 6 dyrektywy 95/46/WE państwo trzecie lub organizacja międzynarodowa zapewnia lub nie zapewnia odpowiedni poziomu bezpieczeństwa.
|
|
(a) if the recipient establishes that the data are necessary for the performance of a task carried out in the public interest or subject to the exercise of public authority, or
|
6. W drodze odstępstwa od ust. 1 i 2 instytucja lub organ Wspólnoty może przekazać dane osobowe, jeżeli:
|
|
(b) if the recipient establishes the necessity of having the data transferred and if there is no reason to assume that the data subject's legitimate interests might be prejudiced.
|
a) podmiot danych jednoznacznie udzieli zgody na proponowane przekazanie danych; lub
|
|
|
b) przekazanie jest konieczne dla realizacji umowy między podmiotem danych a administratorem danych lub wprowadzenia w życie środków poprzedzających umowę na wniosek podmiotu danych; lub
|
|
Article 9
|
c) przekazanie danych jest konieczne dla zawarcia lub wykonania umowy zawartej między administratorem danych i osobą trzecią w interesie podmiotu danych; lub
|
|
Transfer of personal data to recipients, other than Community institutions and bodies, which are not subject to Directive 95/46/EC
|
d) przekazanie danych jest konieczne lub wymagane przez prawo z ważnych względów publicznych lub w celu ustanowienia, wykonania lub obrony tytułu prawnego; lub
|
|
1. Personal data shall only be transferred to recipients, other than Community institutions and bodies, which are not subject to national law adopted pursuant to Directive 95/46/EC, if an adequate level of protection is ensured in the country of the recipient or within the recipient international organisation and the data are transferred solely to allow tasks covered by the competence of the controller to be carried out.
|
e) przekazanie jest konieczne dla ochrony żywotnych interesów podmiotu danych; lub
|
|
2. The adequacy of the level of protection afforded by the third country or international organisation in question shall be assessed in the light of all the circumstances surrounding a data transfer operation or set of data transfer operations; particular consideration shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the recipient third country or recipient international organisation, the rules of law, both general and sectoral, in force in the third country or international organisation in question and the professional rules and security measures which are complied with in that third country or international organisation.
|
f) przekazanie jest wykonywane z rejestru, który zgodnie z prawem wspólnotowym ma służyć za źródło informacji dla ogółu społeczeństwa, udostępnionego do konsultacji obywateli i każdej osoby wykazującej uzasadniony interes, o ile warunki określone przez prawo odnośnie do wglądu do takiego rejestru zostały w danych przypadku spełnione.
|
|
3. The Community institutions and bodies shall inform the Commission and the European Data Protection Supervisor of cases where they consider the third country or international organisation in question does not ensure an adequate level of protection within the meaning of paragraph 2.
|
7. Bez uszczerbku dla ust. 6 europejski inspektor ochrony danych może zezwolić na przekazanie lub zestaw przekazań danych osobowych państwu trzeciemu lub organizacji międzynarodowej, która nie zapewnia wystarczającego poziomu ochrony w rozumieniu ust. 1 i 2. Wówczas administrator wprowadza odpowiednie zabezpieczenia w odniesieniu do ochrony prywatności i podstawowych praw i wolności osób fizycznych oraz jeśli chodzi o korzystanie z odpowiednich praw; takie zabezpieczenia mogą w szczególności wynikać z odpowiednich klauzul umownych.
|
|
4. The Commission shall inform the Member States of any cases as referred to in paragraph 3.
|
8. Instytucje i organy wspólnotowe informują europejskiego inspektora ochrony danych o kategoriach przypadków, w których stosowano ust. 6 i 7.
|
|
5. The Community institutions and bodies shall take the necessary measures to comply with decisions taken by the Commission when it establishes, pursuant to Article 25(4) and (6) of Directive 95/46/EC, that a third country or an international organisation ensures or does not ensure an adequate level of protection.
|
SEKCJA 3
|
|
6. By way of derogation from paragraphs 1 and 2, the Community institution or body may transfer personal data if:
|
SPECJALNE KATEGORIE PRZETWARZANIA DANYCH
|
|
(a) the data subject has given his or her consent unambiguously to the proposed transfer; or
|
Artykuł 10
|
|
(b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken in response to the data subject's request; or
|
Przetwarzanie szczególnych kategorii danych
|
|
(c) the transfer is necessary for the conclusion or performance of a contract entered into in the interest of the data subject between the controller and a third party; or
|
1. Przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych i danych dotyczących zdrowia lub życia seksualnego jest zabronione.
|
|
(d) the transfer is necessary or legally required on important public interest grounds, or for the establishment, exercise or defence of legal claims; or
|
2. Ustęp 1 nie ma zastosowania, w przypadku gdy:
|
|
(e) the transfer is necessary in order to protect the vital interests of the data subject; or
|
a) podmiot danych udzielił wyraźnej zgody na przetwarzanie takich danych, chyba że wewnętrzne przepisy instytucji lub organu Wspólnoty mówią, że zakaz, do którego odnosi się ust. 1, nie może być uchylony przez zgodę udzieloną przez podmiot danych; lub
|
|
(f) the transfer is made from a register which, according to Community law, is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate a legitimate interest, to the extent that the conditions laid down in Community law for consultation are fulfilled in the particular case.
|
b) przetwarzanie jest konieczne do celów wypełnienia konkretnych praw i zobowiązań administratora w dziedzinie prawa pracy, o ile zezwala na to Traktat ustanawiający Wspólnoty Europejskie lub inne akty prawne przyjęte na jego podstawie lub udzieli na to zgody, jeśli jest to konieczne, europejski inspektor ochrony danych przy zapewnieniu odpowiednich zabezpieczeń; lub
|
|
7. Without prejudice to paragraph 6, the European Data Protection Supervisor may authorise a transfer or a set of transfers of personal data to a third country or international organisation which does not ensure an adequate level of protection within the meaning of paragraphs 1 and 2, where the controller adduces adequate safeguards with respect to the protection of the privacy and fundamental rights and freedoms of individuals and as regards the exercise of the corresponding rights; such safeguards may in particular result from appropriate contractual clauses.
|
c) przetwarzanie jest konieczne dla ochrony żywotnych interesów podmiotu danych lub innej osoby, gdy podmiot danych jest fizycznie lub prawnie niezdolny do udzielenia zgody; lub
|
|
8. The Community institutions and bodies shall inform the European Data Protection Supervisor of categories of cases where they have applied paragraphs 6 and 7.
|
d) przetwarzanie dotyczy danych, które są podawane do wiadomości publicznej przez podmiot danych, lub jest konieczne do ustalenia, wykonania lub obrony roszczeń prawnych; lub
|
|
|
e) przetwarzanie jest wykonywane w trakcie zgodnych z prawem działań z odpowiednimi zabezpieczeniami przez organ niedziałający dla zysku, który stanowi zintegrowaną jednostkę w ramach instytucji lub organu Wspólnoty niepodlegającą krajowemu prawu o ochronie danych na podstawie art. 4 dyrektywy 95/46/WE i ma cele polityczne, filozoficzne, religijne lub związkowe pod warunkiem, że przetwarzanie dotyczy wyłącznie członków tego organu lub do osób, które mają z nim regularny kontakt w związku z jego celami i że dane nie są ujawniane stronom trzecim bez zezwolenia podmiotów danych.
|
|
SECTION 3
|
3. Ustęp 1 nie ma zastosowania w przypadku gdy przetwarzanie danych jest konieczne do celów medycyny prewencyjnej, diagnostyki medycznej, świadczenia opieki lub leczenia, lub też zarządzania opieką zdrowotną i gdy powyższe dane są przetwarzane przez pracownika służby zdrowia zobowiązanego do zachowania tajemnicy zawodowej lub przez inną osobę podlegającą równoważnemu zobowiązaniu do zachowania tajemnicy.
|
|
SPECIAL CATEGORIES OF PROCESSING
|
4. Z zastrzeżeniem przepisów dotyczących właściwych zabezpieczeń i ze względu na istotny interes publiczny, dodatkowe zwolnienia, oprócz wynikających z ust. 2, mogą być przewidziane przez Traktaty ustanawiające Wspólnoty Europejskie lub inne akty prawne przyjęte na ich podstawie lub, jeśli to konieczne, przez decyzję europejskiego inspektora ochrony danych.
|
|
Article 10
|
5. Przetwarzanie danych odnoszących się do przestępstw, wyroków skazujących za przestępstwa lub środków bezpieczeństwa może być przeprowadzone tylko za zezwoleniem Traktatów ustanawiających Wspólnoty Europejskie lub innych aktów prawnych przyjętych na ich podstawie lub, jeśli to konieczne, przez decyzję europejskiego inspektora ochrony danych przy zapewnieniu odpowiednich konkretnych zabezpieczeń.
|
|
The processing of special categories of data
|
6. Europejski inspektor ochrony danych określa warunki, które muszą być spełnione, aby osobisty numer identyfikacyjny lub inny identyfikator ogólnego przeznaczenia mogły być przetwarzane przez instytucje lub organ Wspólnoty.
|
|
1. The processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and of data concerning health or sex life, are prohibited.
|
SEKCJA 4
|
|
2. Paragraph 1 shall not apply where:
|
PRZEKAZANIE INFORMACJI PODMIOTOWI DANYCH
|
|
(a) the data subject has given his or her express consent to the processing of those data, except where the internal rules of the Community institution or body provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject's giving his or her consent, or
|
Artykuł 11
|
|
(b) processing is necessary for the purposes of complying with the specific rights and obligations of the controller in the field of employment law insofar as it is authorised by the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof, or, if necessary, insofar as it is agreed upon by the European Data Protection Supervisor, subject to adequate safeguards, or
|
Informacje w przypadku uzyskiwania danych od podmiotu danych
|
|
(c) processing is necessary to protect the vital interests of the data subject or of another person where the data subject is physically or legally incapable of giving his or her consent, or
|
1. Administrator dostarcza podmiotowi danych, od którego pobierane są dane odnoszące się do niego, przynajmniej następujące informacje, chyba że osoba już je posiada:
|
|
(d) processing relates to data which are manifestly made public by the data subject or is necessary for the establishment, exercise or defence of legal claims, or
|
a) tożsamość administratora danych;
|
|
(e) processing is carried out in the course of its legitimate activities with appropriate safeguards by a non-profit-seeking body which constitutes an entity integrated in a Community institution or body, not subject to national data protection law by virtue of Article 4 of Directive 95/46/EC, and with a political, philosophical, religious or trade-union aim and on condition that the processing relates solely to the members of this body or to persons who have regular contact with it in connection with its purposes and that the data are not disclosed to a third party without the consent of the data subjects.
|
b) cel przetwarzania danych, do których przeznaczone są dane;
|
|
3. Paragraph 1 shall not apply where processing of the data is required for the purposes of preventive medicine, medical diagnosis, the provision of care or treatment or the management of health-care services, and where those data are processed by a health professional subject to the obligation of professional secrecy or by another person also subject to an equivalent obligation of secrecy.
|
c) odbiorcy lub kategorie odbiorców danych;
|
|
4. Subject to the provision of appropriate safeguards, and for reasons of substantial public interest, exemptions in addition to those laid down in paragraph 2 may be laid down by the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof or, if necessary, by decision of the European Data Protection Supervisor.
|
d) tego, czy odpowiedzi na pytania są obowiązkowe, czy dobrowolne oraz ewentualne konsekwencje nieudzielenia odpowiedzi;
|
|
5. Processing of data relating to offences, criminal convictions or security measures may be carried out only if authorised by the Treaties establishing the European Communities or other legal instruments adopted on the basis thereof or, if necessary, by the European Data Protection Supervisor, subject to appropriate specific safeguards.
|
e) o prawie do dostępu do danych dotyczących tej osoby oraz do ich sprostowania;
|
|
6. The European Data Protection Supervisor shall determine the conditions under which a personal number or other identifier of general application may be processed by a Community institution or body.
|
f) wszelkich dalszych informacji, jak np.:
|
|
|
i) podstawa prawna operacji przetwarzania, dla której dane są przeznaczone;
|
|
SECTION 4
|
ii) termin, do którego przechowywane będą dane;
|
|
INFORMATION TO BE GIVEN TO THE DATA SUBJECT
|
iii) prawo do odwołania się w każdej chwili do europejskiego inspektora ochrony danych;
|
|
Article 11
|
o ile takie dalsze informacje są potrzebne, biorąc od uwagę szczególne okoliczności, w których dane są gromadzone, w celu zagwarantowania rzetelnego przetwarzania danych w związku z podmiotem danych.
|
|
Information to be supplied where the data have been obtained from the data subject
|
2. W drodze odstępstwa od ust. 1 dostarczenie informacji lub jej części z wyjątkiem informacji określonych w ust. 1 lit. a), b) i d) może być opóźnione na tak długo, jak jest to konieczne do celów statystycznych. Informacja musi być udostępniana, gdy tylko powód, dla którego jest ona niedostępna, przestaje istnieć.
|
|
1. The controller shall provide a data subject from whom data relating to himself/herself are collected with at least the following information, except where he or she already has it:
|
Artykuł 12
|
|
(a) the identity of the controller;
|
Informacje w przypadku uzyskiwania danych z innych źródeł niż podmiot danych
|
|
(b) the purposes of the processing operation for which the data are intended;
|
1. Gdy dane nie zostały uzyskane od podmiotu danych, administrator danych w chwili rozpoczęcia rejestrowania danych osobowych lub, jeśli przewidywane jest ich ujawnienie osobie trzeciej, lecz nie później niż w momencie, gdy dane są ujawnione po raz pierwszy, udostępni przynajmniej następujące informacje, chyba że podmiot danych już je ma:
|
|
(c) the recipients or categories of recipients of the data;
|
a) tożsamość administratora danych;
|
|
(d) whether replies to the questions are obligatory or voluntary, as well as the possible consequences of failure to reply;
|
b) cel przetwarzania danych;
|
|
(e) the existence of the right of access to, and the right to rectify, the data concerning him or her;
|
c) kategorie potrzebnych danych;
|
|
(f) any further information such as:
|
d) odbiorcy lub kategorie odbiorców danych;
|
|
(i) the legal basis of the processing operation for which the data are intended,
|
e) o prawie do dostępu do danych dotyczących tej osoby oraz do ich sprostowania;
|
|
(ii) the time-limits for storing the data,
|
f) wszelkich dalszych informacji, jak np.:
|
|
(iii) the right to have recourse at any time to the European Data Protection Supervisor,
|
i) podstawa prawna operacji przetwarzania, dla której dane są przeznaczone;
|
|
insofar as such further information is necessary, having regard to the specific circumstances in which the data are collected, to guarantee fair processing in respect of the data subject.
|
ii) termin, do którego przechowywane będą dane;
|
|
2. By way of derogation from paragraph 1, the provision of information or part of it, except for the information referred to in paragraph 1(a), (b) and (d), may be deferred as long as this is necessary for statistical purposes. The information must be provided as soon as the reason for which the information is withheld ceases to exist.
|
iii) prawo do odwołania się w każdej chwili do europejskiego inspektora ochrony danych;
|
|
|
iv) pochodzenie danych, chyba że administrator danych nie może ujawnić tej informacji z powodu tajemnicy zawodowej;
|
|
Article 12
|
o ile takie dalsze informacje są konieczne, biorąc od uwagę szczególne okoliczności, w których dane są gromadzone, w celu zagwarantowania rzetelnego przetwarzania danych w związku z podmiotem danych.
|
|
Information to be supplied where the data have not been obtained from the data subject
|
2. Ustęp 1 nie ma zastosowania, gdy, w szczególności dla przetwarzania do celów statystycznych lub do celów historycznych lub badań naukowych, dostarczenie tej informacji okazuje się niemożliwe lub wymagałoby nieproporcjonalnego wysiłku lub gdy zapis bądź ujawnianie są wyraźnie przewidziane przez prawo wspólnotowe. W tych przypadkach instytucja lub organ Wspólnoty zapewnia odpowiednie zabezpieczenia po konsultacji z europejskim inspektorem ochrony danych.
|
|
1. Where the data have not been obtained from the data subject, the controller shall at the time of undertaking the recording of personal data or, if a disclosure to a third party is envisaged, no later than the time when the data are first disclosed, provide the data subject with at least the following information, except where he or she already has it:
|
SEKCJA 5
|
|
(a) the identity of the controller;
|
PRAWA PODMIOTU DANYCH
|
|
(b) the purposes of the processing operation;
|
Artykuł 13
|
|
(c) the categories of data concerned;
|
Prawo dostępu do danych
|
|
(d) the recipients or categories of recipients;
|
Podmiot danych ma prawo do uzyskania od administratora danych bez ograniczeń, w dowolnym momencie w okresie trzech miesięcy od odebrania takiego życzenia przez administratora i bez opłat:
|
|
(e) the existence of the right of access to, and the right to rectify, the data concerning him or her;
|
a) potwierdzenia, czy dane odnoszące się do niego są przetwarzane;
|
|
(f) any further information such as:
|
b) informacji co najmniej o celu przetwarzania odnośnych kategorii danych i odbiorców lub kategorii odbiorców, którym dane są ujawnione;
|
|
(i) the legal basis of the processing operation for which the data are intended,
|
c) przekazania w zrozumiałej formie danych podlegających przetwarzaniu i wszelkich dostępnych informacji o ich źródle;
|
|
(ii) the time-limits for storing the data,
|
d) wiedzy o logice związanej z każdym automatycznym procesem decyzyjnym dotyczącym go.
|
|
(iii) the right to have recourse at any time to the European Data Protection Supervisor,
|
Artykuł 14
|
|
(iv) the origin of the data, except where the controller cannot disclose this information for reasons of professional secrecy,
|
Poprawki
|
|
insofar as such further information is necessary, having regard to the specific circumstances in which the data are processed, to guarantee fair processing in respect of the data subject.
|
Podmiot danych ma prawo uzyskania od administratora danych niezwłocznych poprawek niedokładnych lub niekompletnych danych osobowych.
|
|
2. Paragraph 1 shall not apply where, in particular for processing for statistical purposes or for the purposes of historical or scientific research, the provision of such information proves impossible or would involve a disproportionate effort or if recording or disclosure is expressly laid down by Community law. In these cases the Community institution or body shall provide for appropriate safeguards after consulting the European Data Protection Supervisor.
|
Artykuł 15
|
|
|
Blokada
|
|
SECTION 5
|
1. Podmiot danych ma prawo uzyskania od administratora danych zablokowania danych, gdy:
|
|
RIGHTS OF THE DATA SUBJECT
|
a) podmiot danych kwestionuje ich dokładność, na czas pozwalający administratorowi na sprawdzenie dokładności włącznie z kompletnością danych; lub
|
|
Article 13
|
b) administrator przestał ich potrzebować do wykonania swoich zadań, ale muszą być przechowywane do celów dowodowych; lub
|
|
Right of access
|
c) przetwarzanie jest bezprawne i podmiot danych sprzeciwia się ich wykasowaniu, żądając w zamian ich zablokowania.
|
|
The data subject shall have the right to obtain, without constraint, at any time within three months from the receipt of the request and free of charge from the controller:
|
2. W zautomatyzowanym systemie przechowywania danych blokowanie powinno zasadniczo być zapewnione za pomocą środków technicznych. Fakt, że dane osobowe są zablokowane, powinien być wskazywany przez system w taki sposób, aby było jasne, że dane osobowe nie mogą być używane.
|
|
(a) confirmation as to whether or not data related to him or her are being processed;
|
3. Dane osobowe zablokowane na mocy niniejszego artykułu powinny z wyjątkiem przechowywania być przetwarzane jedynie do celów dowodowych lub za zgodą podmiotu danych lub w celu ochrony praw osoby trzeciej.
|
|
(b) information at least as to the purposes of the processing operation, the categories of data concerned, and the recipients or categories of recipients to whom the data are disclosed;
|
4. Podmiot danych, który zażądał i uzyskał blokowanie swoich danych, ma być poinformowany przez administratora danych zanim dane zostaną odblokowane.
|
|
(c) communication in an intelligible form of the data undergoing processing and of any available information as to their source;
|
Artykuł 16
|
|
(d) knowledge of the logic involved in any automated decision process concerning him or her.
|
Kasowanie
|
|
|
Podmiot danych ma prawo uzyskać od administratora skasowanie danych, jeżeli ich przetwarzanie jest niezgodne z prawem, szczególnie jeśli naruszone zostały przepisy sekcji 1, 2 i 3 rozdziału II.
|
|
Article 14
|
Artykuł 17
|
|
Rectification
|
Powiadomienie osób trzecich
|
|
The data subject shall have the right to obtain from the controller the rectification without delay of inaccurate or incomplete personal data.
|
Podmiot danych ma prawo uzyskać od administratora powiadomienie stron trzecich, którym dane zostały ujawnione, o wszelkich poprawkach, skasowaniu lub blokowaniu zgodnie z art. 13-16, o ile nie jest to niemożliwe lub nie wymaga nieproporcjonalnego wysiłku.
|
|
|
Artykuł 18
|
|
Article 15
|
Prawo sprzeciwu przysługujące podmiotowi danych
|
|
Blocking
|
Podmiot danych ma prawo:
|
|
1. The data subject shall have the right to obtain from the controller the blocking of data where:
|
a) sprzeciwić się w dowolnej chwili, ze względu na ważne przyczyny prawne odnoszące się do jej konkretnej sytuacji, przetwarzaniu danych odnoszących się do niego poza przypadkami podlegającymi art. 5 lit. b), c) i d). Jeżeli sprzeciw jest uzasadniony, przetwarzanie, o którym mowa, nie może dotyczyć powyższych danych;
|
|
(a) their accuracy is contested by the data subject, for a period enabling the controller to verify the accuracy, including the completeness, of the data, or;
|
b) zostać poinformowanym, zanim dane osobowe zostaną ujawnione osobom trzecim po raz pierwszy lub zanim zostaną użyte w ich imieniu do celów marketingu bezpośredniego i otrzymać wyraźną możliwość sprzeciwu, wolną od opłat, wobec takiego ujawnienia lub użycia.
|
|
(b) the controller no longer needs them for the accomplishment of its tasks but they have to be maintained for purposes of proof, or;
|
Artykuł 19
|
|
(c) the processing is unlawful and the data subject opposes their erasure and demands their blocking instead.
|
Zautomatyzowane decyzje indywidualne
|
|
2. In automated filing systems blocking shall in principle be ensured by technical means. The fact that the personal data are blocked shall be indicated in the system in such a way that it becomes clear that the personal data may not be used.
|
Podmiot danych ma prawo nie podlegać decyzji, która przynosi skutki prawne, które go dotyczą lub istotnie wpływają na niego i która oparta jest wyłącznie o zautomatyzowane przetwarzanie danych mające ocenić pewne osobiste aspekty odnoszące się do niego, takie jak jego wydajność pracy, solidność czy postępowanie, o ile decyzja nie jest wyraźnie uprawniona zgodnie z prawodawstwem krajowym lub legislacją wspólnotową lub, jeśli to konieczne, wyraźnie uprawomocniona przez europejskiego inspektora ochrony danych. W każdym przypadku użyte muszą być środki ochrony uprawnionych interesów podmiotu danych, takie jak ustalenia pozwalające mu na przedstawienia swojego punktu widzenia.
|
|
3. Personal data blocked pursuant to this Article shall, with the exception of their storage, only be processed for purposes of proof, or with the data subject's consent, or for the protection of the rights of a third party.
|
SEKCJA 6
|
|
4. The data subject who requested and obtained the blocking of his or her data shall be informed by the controller before the data are unblocked.
|
ZWOLNIENIA I OGRANICZENIA
|
|
|
Artykuł 20
|
|
Article 16
|
Zwolnienia i ograniczenia
|
|
Erasure
|
1. Instytucje i organy wspólnotowe mogą ograniczyć stosowanie art. 4 ust. 1, art. 11, art. 12 ust. 1, art. 13-17 i art. 37 ust. 1, jeżeli takie ograniczenie jest środkiem koniecznym, aby chronić:
|
|
The data subject shall have the right to obtain from the controller the erasure of data if their processing is unlawful, particularly where the provisions of Sections 1, 2 and 3 of Chapter II have been infringed.
|
a) zapobieganie, dochodzenie, wykrywanie i karanie przestępstw;
|
|
|
b) ważny interes ekonomiczny lub finansowy Państwa Członkowskiego lub Wspólnot Europejskich, łącznie z kwestiami pieniężnymi, budżetowymi i podatkowymi;
|
|
Article 17
|
c) ochronę podmiotu danych lub praw i wolności innych osób;
|
|
Notification to third parties
|
d) bezpieczeństwo narodowe, bezpieczeństwo publiczne lub obronność Państw Członkowskich;
|
|
The data subject shall have the right to obtain from the controller the notification to third parties to whom the data have been disclosed of any rectification, erasure or blocking pursuant to Articles 13 to 16 unless this proves impossible or involves a disproportionate effort.
|
e) funkcje kontrolne, inspekcyjne i regulacyjne związane nawet sporadycznie ze wykonywaniem władzy publicznej w przypadkach wymienionych w lit. a) i b).
|
|
|
2. Artykuły 13-16 nie mają zastosowania, gdy dane są przetwarzane jedynie do celów badań naukowych lub są przechowywane w formie osobistej przez okres nieprzekraczający okresu koniecznego jedynie do celów opracowania statystyk, pod warunkiem, że jasne jest, iż nie ma ryzyka naruszenia prywatności podmiotu danych i że administrator dostarcza odpowiednie zabezpieczenia prawne, aby zapewnić w szczególności, że dane nie zostaną użyte do podejmowania środków lub decyzji dotyczących konkretnych osób fizycznych.
|
|
Article 18
|
3. Jeżeli ustanowione jest ograniczenie przewidziane przez ust. 1, podmiot danych zostaje poinformowany zgodnie z prawem wspólnotowym o podstawowych powodach, na których opiera się stosowanie ograniczenia oraz jego prawie do odwołania się do europejskiego inspektora ochrony danych.
|
|
The data subject's right to object
|
4. Jeżeli podmiotowi danych odmówiono dostępu do danych w oparciu o ograniczenie przewidziane przez ust. 1, europejski inspektor ochrony danych po rozważeniu skargi poinformuje go, czy dane zostały przetworzone prawidłowo i jeżeli nie, czy dokonano koniecznych poprawek.
|
|
The data subject shall have the right:
|
5. Dostarczenie informacji, do których odnoszą się ust. 3 i 4, może być odłożone na tak długo, aby taka informacja nie pozbawiła efektu ograniczenia nałożonego przez ust. 1.
|
|
(a) to object at any time, on compelling legitimate grounds relating to his or her particular situation, to the processing of data relating to him or her, except in the cases covered by Article 5(b), (c) and (d). Where there is a justified objection, the processing in question may no longer involve those data;
|
SEKCJA 7
|
|
(b) to be informed before personal data are disclosed for the first time to third parties or before they are used on their behalf for the purposes of direct marketing, and to be expressly offered the right to object free of charge to such disclosure or use.
|
POUFNOŚĆ I BEZPIECZEŃSTWO PRZETWARZANIA DANYCH
|
|
|
Artykuł 21
|
|
Article 19
|
Poufność przetwarzania danych
|
|
Automated individual decisions
|
Osoba zatrudniona w instytucji lub organie Wspólnoty oraz sama instytucja lub organ Wspólnoty, działające jako jednostka przetwarzająca posiadająca dostęp do danych osobowych, nie będzie przetwarzała ich bez instrukcji od administratora, o ile nie wymaga tego prawo krajowe lub prawo wspólnotowe.
|
|
The data subject shall have the right not to be subject to a decision which produces legal effects concerning him or her or significantly affects him or her and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to him or her, such as his or her performance at work, reliability or conduct, unless the decision is expressly authorised pursuant to national or Community legislation or, if necessary, by the European Data Protection Supervisor. In either case, measures to safeguard the data subject's legitimate interests, such as arrangements allowing him or her to put his or her point of view, must be taken.
|
Artykuł 22
|
|
|
Bezpieczeństwo przetwarzania danych
|
|
SECTION 6
|
1. Uwzględniając stan wiedzy w tej dziedzinie oraz koszt realizacji, administrator wprowadza w życie właściwe środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa stosowny do zagrożeń stwarzanych przez przetwarzanie i charakteru chronionych danych osobowych.
|
|
EXEMPTIONS AND RESTRICTIONS
|
Środki takie są podejmowane w szczególności, aby zapobiec nieuprawnionemu ujawnieniu lub przypadkowemu udostępnieniu lub bezprawnemu zniszczeniu, przypadkowej utracie lub zmianie i aby zapobiec wszelkim innym bezprawnym formom przetwarzania.
|
|
Article 20
|
2. Gdy dane osobowe są przetwarzane za pomocą środków automatycznych, należy podjąć odpowiednie ze względu na ryzyko środki, w szczególności, aby:
|
|
Exemptions and restrictions
|
a) zapobiec uzyskaniu dostępu do systemów komputerowych przetwarzających dane osobowe przez osoby niepowołane;
|
|
1. The Community institutions and bodies may restrict the application of Article 4(1), Article 11, Article 12(1), Articles 13 to 17 and Article 37(1) where such restriction constitutes a necessary measure to safeguard:
|
b) zapobiec wszelkim bezprawnym odczytom, kopiowaniu, zmianie lub usunięciu nośnika informacji;
|
|
(a) the prevention, investigation, detection and prosecution of criminal offences;
|
c) zapobiec wszelkiemu bezprawnemu wprowadzaniu danych do pamięci, jak również wszelkiemu bezprawnemu ujawnieniu, zmianie lub kasowaniu przechowywanych danych osobowych;
|
|
(b) an important economic or financial interest of a Member State or of the European Communities, including monetary, budgetary and taxation matters;
|
d) zapobiec użyciu systemów przetwarzania danych przez osoby niepowołane za pomocą urządzeń służących do transmisji danych;
|
|
(c) the protection of the data subject or of the rights and freedoms of others;
|
e) zapewnić, że upoważnieni użytkownicy systemów przetwarzania danych nie mają dostępu do danych osobowych innych niż te, do których odnoszą się ich prawa dostępu;
|
|
(d) the national security, public security or defence of the Member States;
|
f) zapisywać, które dane osobowe zostały przekazane, kiedy i komu;
|
|
(e) a monitoring, inspection or regulatory task connected, even occasionally, with the exercise of official authority in the cases referred to in (a) and (b).
|
g) zapewnić, że w przyszłości będzie możliwe sprawdzenie, które dane osobowe zostały przetworzone, kiedy i przez kogo;
|
|
2. Articles 13 to 16 shall not apply when data are processed solely for purposes of scientific research or are kept in personal form for a period which does not exceed the period necessary for the sole purpose of compiling statistics, provided that there is clearly no risk of breaching the privacy of the data subject and that the controller provides adequate legal safeguards, in particular to ensure that the data are not used for taking measures or decisions regarding particular individuals.
|
h) zapewnić, że dane osobowe przetwarzane w imieniu osób trzecich mogą być przetwarzane tylko w sposób przepisany przez zlecający organ lub instytucję;
|
|
3. If a restriction provided for by paragraph 1 is imposed, the data subject shall be informed, in accordance with Community law, of the principal reasons on which the application of the restriction is based and of his or her right to have recourse to the European Data Protection Supervisor.
|
i) zapewnić, że podczas przekazywania danych osobowych i transportu nośników informacji dane nie będą czytane, kopiowane lub kasowane bez upoważnienia;
|
|
4. If a restriction provided for by paragraph 1 is relied upon to deny access to the data subject, the European Data Protection Supervisor shall, when investigating the complaint, only inform him or her of whether the data have been processed correctly and, if not, whether any necessary corrections have been made.
|
j) zaprojektować strukturę organizacyjną wewnątrz instytucji lub organu w taki sposób, aby spełniała specjalne wymagania dotyczące ochrony danych.
|
|
5. Provision of the information referred to under paragraphs 3 and 4 may be deferred for as long as such information would deprive the restriction imposed by paragraph 1 of its effect.
|
Artykuł 23
|
|
|
Przetwarzanie danych osobowych w imieniu administratorów
|
|
SECTION 7
|
1. Jeżeli operacja przetwarzania jest przeprowadzana w imieniu administratora, wybiera on jednostkę przetwarzającą zapewniającą wystarczające pod względem technicznym i organizacyjnym środki bezpieczeństwa wymagane przez art. 22 oraz zapewniającą gwarancję zgodności z tymi środkami.
|
|
CONFIDENTIALITY AND SECURITY OF PROCESSING
|
2. Przeprowadzanie operacji przetwarzania za pomocą jednostki przetwarzającej jest regulowane przez umowę lub akt prawny, na mocy których przetwarzający podlega administratorowi danych i które w szczególności postanawiają, że:
|
|
Article 21
|
a) jednostka przetwarzająca działa wyłącznie na podstawie instrukcji administratora danych;
|
|
Confidentiality of processing
|
b) zobowiązania określone w art. 21 i 22 ciążą także na jednostce przetwarzającej, o ile na mocy art. 16 lub art. 17 ust. 3 tiret drugie dyrektywy 95/46/WE jednostka przetwarzająca podlega już zobowiązaniom w odniesieniu do poufności i bezpieczeństwa ustanowionym przez prawo krajowe jednego z Państw Członkowskich.
|
|
A person employed with a Community institution or body and any Community institution or body itself acting as processor, with access to personal data, shall not process them except on instructions from the controller, unless required to do so by national or Community law.
|
3. Do celów dowodowych, części umowy lub aktu prawnego odnoszące się do ochrony danych i wymagania dotyczące środków, do których odnosi się art. 22, są sporządzane na piśmie lub w innej równorzędnej formie.
|
|
|
SEKCJA 8
|
|
Article 22
|
INSPEKTOR OCHRONY DANYCH
|
|
Security of processing
|
Artykuł 24
|
|
1. Having regard to the state of the art and the cost of their implementation, the controller shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risks represented by the processing and the nature of the personal data to be protected.
|
Powoływanie i zadania inspektora ochrony danych
|
|
Such measures shall be taken in particular to prevent any unauthorised disclosure or access, accidental or unlawful destruction or accidental loss, or alteration, and to prevent all other unlawful forms of processing.
|
1. Każda instytucja Wspólnoty i organ Wspólnoty wyznacza co najmniej jedną osobę jako inspektora ochrony danych. Zadaniem tej osoby jest:
|
|
2. Where personal data are processed by automated means, measures shall be taken as appropriate in view of the risks in particular with the aim of:
|
a) zapewnienie, że administratorzy i podmioty danych są poinformowani o swoich prawach i obowiązkach wynikających z niniejszego rozporządzenia;
|
|
(a) preventing any unauthorised person from gaining access to computer systems processing personal data;
|
b) odpowiadanie na prośby europejskiego inspektora ochrony danych i w ramach jego kompetencji współpraca z europejskim inspektorem ochrony danych na jego życzenie lub z własnej inicjatywy;
|
|
(b) preventing any unauthorised reading, copying, alteration or removal of storage media;
|
c) zapewnienie w sposób niezależny, wewnętrznego stosowania przepisów niniejszego rozporządzenia;
|
|
(c) preventing any unauthorised memory inputs as well as any unauthorised disclosure, alteration or erasure of stored personal data;
|
d) prowadzenie rejestru operacji przetwarzania przeprowadzonych przez administratora, zawierającego informacje, do których mowa w art. 25 ust. 2;
|
|
(d) preventing unauthorised persons from using data-processing systems by means of data transmission facilities;
|
e) powiadamianie europejskiego inspektora ochrony danych o operacjach przetwarzania, które mogą spowodować konkretne zagrożenia w rozumieniu art. 27.
|
|
(e) ensuring that authorised users of a data-processing system can access no personal data other than those to which their access right refers;
|
W ten sposób osoba ta zapewnia, że mało prawdopodobne jest, aby operacje przetwarzania wpłynęły negatywnie na prawa i wolności podmiotów danych.
|
|
(f) recording which personal data have been communicated, at what times and to whom;
|
2. Inspektor ochrony danych jest wybierany na podstawie swoich osobistych i zawodowych kwalifikacji, w szczególności swojej wiedzy o ochronie danych.
|
|
(g) ensuring that it will subsequently be possible to check which personal data have been processed, at what times and by whom;
|
3. Wybór inspektora ochrony danych nie może powodować konfliktu interesów między jego obowiązkami jako inspektora ochrony danych a innymi oficjalnymi obowiązkami, w szczególności w odniesieniu do stosowania przepisów niniejszego rozporządzenia.
|
|
(h) ensuring that personal data being processed on behalf of third parties can be processed only in the manner prescribed by the contracting institution or body;
|
4. Inspektor ochrony danych zostaje powołany na okres od dwóch do pięciu lat. Może on zostać ponownie powołany na maksymalny łączny okres dziesięciu lat. Może być zwolniony ze stanowiska inspektora ochrony danych przez instytucję lub organ Wspólnoty, która go powołała, tylko za zgodą europejskiego inspektora ochrony danych lub jeśli przestał spełniać warunki konieczne dla wykonywania jego obowiązków.
|
|
(i) ensuring that, during communication of personal data and during transport of storage media, the data cannot be read, copied or erased without authorisation;
|
5. Po powołaniu na stanowisko inspektor ochrony danych zostanie zarejestrowany u europejskiego inspektora ochrony danych przez instytucję lub organ, który go powołał.
|
|
(j) designing the organisational structure within an institution or body in such a way that it will meet the special requirements of data protection.
|
6. Instytucja lub organ Wspólnoty, która powołała inspektora ochrony danych, dostarczy mu personel i zasoby konieczne do wykonywania jego obowiązków.
|
|
|
7. W odniesieniu do wykonywania swoich obowiązków inspektor ochrony danych nie może otrzymywać żadnych instrukcji.
|
|
Article 23
|
8. Dalsze przepisy wykonawcze dotyczące inspektora ochrony danych będą przyjęte przez każdą instytucję lub organ Wspólnoty zgodnie z przepisami zawartymi w załączniku. Przepisy wykonawcze w szczególności dotyczą zadań, obowiązków i uprawnień inspektora ochrony danych.
|
|
Processing of personal data on behalf of controllers
|
Artykuł 25
|
|
1. Where a processing operation is carried out on its behalf, the controller shall choose a processor providing sufficient guarantees in respect of the technical and organisational security measures required by Article 22 and ensure compliance with those measures.
|
Powiadomienia skierowane do inspektora ochrony danych
|
|
2. The carrying out of a processing operation by way of a processor shall be governed by a contract or legal act binding the processor to the controller and stipulating in particular that:
|
1. Administrator powiadomi zawczasu inspektora ochrony danych o każdej operacji przetwarzania lub zestawie takich operacji, które mają służyć jednemu celowi lub kilku związanym celom.
|
|
(a) the processor shall act only on instructions from the controller;
|
2. Powyższe informacje zawierają:
|
|
(b) the obligations set out in Articles 21 and 22 shall also be incumbent on the processor unless, by virtue of Article 16 or Article 17(3), second indent, of Directive 95/46/EC, the processor is already subject to obligations with regard to confidentiality and security laid down in the national law of one of the Member States.
|
a) nazwę i adres administratora i wskazanie organizacyjnej części instytucji lub organu, któremu powierzono przetwarzanie danych osobowych dla danego celu;
|
|
3. For the purposes of keeping proof, the parts of the contract or the legal act relating to data protection and the requirements relating to the measures referred to in Article 22 shall be in writing or in another equivalent form.
|
b) cel lub cele przetwarzania danych;
|
|
|
c) opis jednej lub wielu kategorii podmiotów danych i odnoszących się do nich danych lub kategorii danych;
|
|
SECTION 8
|
d) podstawę prawną operacji przetwarzania, dla której przeznaczone są dane;
|
|
DATA PROTECTION OFFICER
|
e) odbiorcę lub kategorie odbiorców, którym dane mogą być ujawnione;
|
|
Article 24
|
f) ogólne wskazanie limitów czasowych, w których zostaną zablokowane lub skasowane różne kategorie danych;
|
|
Appointment and tasks of the Data Protection Officer
|
g) propozycje przekazania danych do państw trzecich lub organizacji międzynarodowych;
|
|
1. Each Community institution and Community body shall appoint at least one person as data protection officer. That person shall have the task of:
|
h) ogólny opis pozwalający na wstępną ocenę, czy środki podjęte zgodnie z art. 22 w celu zapewnienia bezpieczeństwa przetwarzania są odpowiednie.
|
|
(a) ensuring that controllers and data subjects are informed of their rights and obligations pursuant to this Regulation;
|
3. Inspektor ochrony danych jest niezwłocznie powiadamiany o każdej zmianie wpływającej na informacje, do których odnosi się ust. 2.
|
|
(b) responding to requests from the European Data Protection Supervisor and, within the sphere of his or her competence, cooperating with the European Data Protection Supervisor at the latter's request or on his or her own initiative;
|
Artykuł 26
|
|
(c) ensuring in an independent manner the internal application of the provisions of this Regulation;
|
Rejestr
|
|
(d) keeping a register of the processing operations carried out by the controller, containing the items of information referred to in Article 25(2);
|
Inspektor ochrony danych utrzymuje rejestr operacji przetwarzania, o których został powiadomiony zgodnie z art. 25.
|
|
(e) notifying the European Data Protection Supervisor of the processing operations likely to present specific risks within the meaning of Article 27.
|
Rejestr zawiera przynajmniej informacje określone w art. 25 ust. 2 lit. a)–g). Rejestr może być poddany inspekcji przez każdą osobę bezpośrednio bądź pośrednio przez europejskiego inspektora przetwarzania danych.
|
|
That person shall thus ensure that the rights and freedoms of the data subjects are unlikely to be adversely affected by the processing operations.
|
SEKCJA 9
|
|
2. The Data Protection Officer shall be selected on the basis of his or her personal and professional qualities and, in particular, his or her expert knowledge of data protection.
|
UPRZEDNIE SPRAWDZANIE PRZEZ EUROPEJSKIEGO INSPEKTORA OCHRONY DANYCH ORAZ ZOBOWIĄZANIA DO WSPÓŁPRACY
|
|
3. The selection of the Data Protection Officer shall not be liable to result in a conflict of interests between his or her duty as Data Protection Officer and any other official duties, in particular in relation to the application of the provisions of this Regulation.
|
Artykuł 27
|
|
4. The Data Protection Officer shall be appointed for a term of between two and five years. He or she shall be eligible for reappointment up to a maximum total term of ten years. He or she may be dismissed from the post of Data Protection Officer by the Community institution or body which appointed him or her only with the consent of the European Data Protection Supervisor, if he or she no longer fulfils the conditions required for the performance of his or her duties.
|
Kontrola wstępna
|
|
5. After his or her appointment the Data Protection Officer shall be registered with the European Data Protection Supervisor by the institution or body which appointed him or her.
|
1. Operacje przetwarzania, mogące ze swej natury przez swój zakres lub swoje cele stworzyć konkretne zagrożenia dla praw i wolności podmiotów danych, podlegają uprzedniemu sprawdzeniu przez europejskiego inspektora ochrony danych.
|
|
6. The Community institution or body which appointed the Data Protection Officer shall provide him or her with the staff and resources necessary to carry out his or her duties.
|
2. Następujące operacje przetwarzania mogą stworzyć takie zagrożenia:
|
|
7. With respect to the performance of his or her duties, the Data Protection Officer may not receive any instructions.
|
a) przetwarzanie danych odnoszących się do zdrowia i dotyczących podejrzeń o popełnienie przestępstwa, przestępstw, wyroków karnych lub środków bezpieczeństwa;
|
|
8. Further implementing rules concerning the Data Protection Officer shall be adopted by each Community institution or body in accordance with the provisions in the Annex. The implementing rules shall in particular concern the tasks, duties and powers of the Data Protection Officer.
|
b) operacje przetwarzania zmierzające do oceny aspektów osobistych odnoszących się do podmiotu danych, włącznie z jego możliwościami, wydajnością lub postępowaniem;
|
|
|
c) operacje przetwarzania zezwalające na stworzenie powiązań między danymi przetwarzanymi dla różnych celów, nieuwzględnionymi w odpowiednim ustawodawstwie krajowym lub legislacji wspólnotowej;
|
|
Article 25
|
d) operacje przetwarzania w celu pozbawienia jednostki prawa, świadczenia lub wyłączenia jej z umowy.
|
|
Notification to the Data Protection Officer
|
3. Uprzednie sprawdzanie jest przeprowadzane przez europejskiego inspektora ochrony danych po odebraniu powiadomienia od inspektora ochrony danych, który w przypadkach wątpliwości co do potrzeby wstępnej kontroli konsultuje się z europejskim inspektorem ochrony danych.
|
|
1. The controller shall give prior notice to the Data Protection Officer of any processing operation or set of such operations intended to serve a single purpose or several related purposes.
|
4. Europejski inspektor ochrony danych dostarcza swoją opinię w terminie dwóch miesięcy od odebrania powiadomienia. Ten okres może być zawieszony do momentu, gdy europejski inspektor ochrony danych otrzyma dodatkowe informacje, których mógł zażądać. Jeżeli wymaga tego stopień komplikacji sprawy, okres ten może być wydłużony o następne dwa miesiące decyzją europejskiego inspektora ochrony danych. Administrator zostanie powiadomiony o takiej decyzji przed upływem pierwszego dwumiesięcznego okresu.
|
|
2. The information to be given shall include:
|
Jeżeli opinia nie została dostarczona do końca dwumiesięcznego okresu lub jego przedłużenia, przyjmuje się, że jest ona pozytywna.
|
|
(a) the name and address of the controller and an indication of the organisational parts of an institution or body entrusted with the processing of personal data for a particular purpose;
|
Jeżeli według opinii europejskiego inspektora ochrony danych przetwarzanie, o którym został powiadomiony, może być związane z naruszeniem jakiegokolwiek przepisu niniejszego rozporządzenia, tam gdzie jest to odpowiednie przedstawia on propozycje uniknięcia takiego naruszenia przepisów. Jeżeli administrator nie zmodyfikuje odpowiednio operacji przetwarzania, europejski inspektor ochrony danych może skorzystać z uprawnień nadanych mu na mocy art. 47 ust. 1.
|
|
(b) the purpose or purposes of the processing;
|
5. Europejski inspektor ochrony danych utrzymuje rejestr wszystkich operacji przetwarzania, o których został powiadomiony zgodnie z ust. 2. Rejestr zawiera informacje określone w art. 25 i jest ogólno dostępny.
|
|
(c) a description of the category or categories of data subjects and of the data or categories of data relating to them;
|
Artykuł 28
|
|
(d) the legal basis of the processing operation for which the data are intended;
|
Konsultacje
|
|
(e) the recipients or categories of recipient to whom the data might be disclosed;
|
1. Instytucje i organy wspólnotowe informują europejskiego inspektora ochrony danych, gdy podejmują środki administracyjne odnoszące się do przetwarzania danych osobowych, w których bierze udział instytucja lub organ Wspólnoty, sama lub razem z innymi.
|
|
(f) a general indication of the time limits for blocking and erasure of the different categories of data;
|
2. Przyjmując projekty aktu prawnego odnoszącego się do ochrony praw i wolności osoby fizycznej w odniesieniu do przetwarzania danych osobowych, Komisja konsultuje się z europejskim inspektorem ochrony danych.
|
|
(g) proposed transfers of data to third countries or international organisations;
|
Artykuł 29
|
|
(h) a general description allowing a preliminary assessment to be made of the appropriateness of the measures taken pursuant to Article 22 to ensure security of processing.
|
Obowiązek udzielania informacji
|
|
3. Any change affecting information referred to in paragraph 2 shall be notified promptly to the Data Protection Officer.
|
Instytucje i organy wspólnotowe informują europejskiego inspektora ochrony danych o środkach podjętych dla realizacji jego decyzji lub upoważnień, określonych w art. 46 lit h).
|
|
|
Artykuł 30
|
|
Article 26
|
Obowiązek współpracy
|
|
Register
|
Na jego żądanie, administratorzy wspomagają europejskiego inspektora ochrony danych w wykonaniu jego obowiązków, w szczególności przez dostarczanie informacji, do których odnosi się art. 47 ust. 2 lit. a) i przez udzielenie dostępu przewidzianego w art. 47 ust. 2 lit. b).
|
|
A register of processing operations notified in accordance with Article 25 shall be kept by each Data Protection Officer.
|
Artykuł 31
|
|
The registers shall contain at least the information referred to in Article 25(2)(a) to (g). The registers may be inspected by any person directly or indirectly through the European Data Processing Supervisor.
|
Obowiązek reagowania na skargi
|
|
|
W odpowiedzi na wykonywanie uprawnień przez europejskiego inspektora ochrony danych na mocy art. 47 ust. 1 lit. b) dany administrator informuje inspektora o swoim poglądzie w odpowiednim czasie określonym przez inspektora. Odpowiedź zawiera opis podjętych środków, jeżeli takie zostały podjęte w odpowiedzi na uwagi europejskiego inspektora ochrony danych.
|
|
SECTION 9
|
ROZDZIAŁ III
|
|
PRIOR CHECKING BY THE EUROPEAN DATA PROTECTION SUPERVISOR AND OBLIGATION TO COOPERATE
|
ŚRODKI ODWOŁAWCZE
|
|
Article 27
|
Artykuł 32
|
|
Prior checking
|
Środki odwoławcze
|
|
1. Processing operations likely to present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope or their purposes shall be subject to prior checking by the European Data Protection Supervisor.
|
1. Trybunał Sprawiedliwości Wspólnot Europejskich jest właściwy do orzekania w sporach odnoszących się do przepisów niniejszego rozporządzenia, włącznie z wszelkimi roszczeniami odszkodowawczymi.
|
|
2. The following processing operations are likely to present such risks:
|
2. Bez uszczerbku dla jakiegokolwiek zaskarżenia, każdy podmiot danych może wnieść skargę do europejskiego inspektora ochrony danych, jeżeli uważa, że jego prawa wynikające z art. 286 Traktatu zostały naruszone w wyniku przetwarzania jego danych osobowych przez instytucję lub organ Wspólnoty.
|
|
(a) processing of data relating to health and to suspected offences, offences, criminal convictions or security measures;
|
Przy braku odpowiedzi europejskiego inspektora ochrony danych w ciągu sześciu miesięcy, skarga zostaje uznana za odrzuconą.
|
|
(b) processing operations intended to evaluate personal aspects relating to the data subject, including his or her ability, efficiency and conduct;
|
3. Odwołania od decyzji europejskiego inspektora ochrony danych wnoszone są do Trybunału Sprawiedliwości Wspólnot Europejskich.
|
|
(c) processing operations allowing linkages not provided for pursuant to national or Community legislation between data processed for different purposes;
|
4. Każda osoba, która poniosła szkodę w wyniku bezprawnej operacji przetwarzania lub jakiegokolwiek działania niezgodnego z niniejszym rozporządzeniem, ma prawo do odszkodowania zgodnie z art. 288 Traktatu.
|
|
(d) processing operations for the purpose of excluding individuals from a right, benefit or contract.
|
Artykuł 33
|
|
3. The prior checks shall be carried out by the European Data Protection Supervisor following receipt of a notification from the Data Protection Officer who, in case of doubt as to the need for prior checking, shall consult the European Data Protection Supervisor.
|
Skargi pracowników Wspólnoty
|
|
4. The European Data Protection Supervisor shall deliver his or her opinion within two months following receipt of the notification. This period may be suspended until the European Data Protection Supervisor has obtained any further information that he or she may have requested. When the complexity of the matter so requires, this period may also be extended for a further two months, by decision of the European Data Protection Supervisor. This decision shall be notified to the controller prior to expiry of the initial two-month period.
|
Każda osoba zatrudniona w instytucji lub organie Wspólnoty może złożyć skargę do europejskiego inspektora ochrony danych, dotyczącą domniemanego naruszenia przepisów niniejszego rozporządzenia regulującego przetwarzanie danych osobowych, bez użycia oficjalnych dróg. Nikt z góry nie przesądza konsekwencji złożenia skargi do europejskiego inspektora ochrony danych, dotyczącego domniemanego naruszenia przepisów rządzących przetwarzaniem danych osobowych.
|
|
If the opinion has not been delivered by the end of the two-month period, or any extension thereof, it shall be deemed to be favourable.
|
ROZDZIAŁ IV
|
|
If the opinion of the European Data Protection Supervisor is that the notified processing may involve a breach of any provision of this Regulation, he or she shall where appropriate make proposals to avoid such breach. Where the controller does not modify the processing operation accordingly, the European Data Protection Supervisor may exercise the powers granted to him or her under Article 47(1).
|
OCHRONA DANYCH OSOBOWYCH I PRYWATNOŚCI W KONTEKŚCIE WEWNĘTRZNYCH SIECI TELEKOMUNIKACYJNYCH
|
|
5. The European Data Protection Supervisor shall keep a register of all processing operations that have been notified to him or her pursuant to paragraph 2. The register shall contain the information referred to in Article 25 and shall be open to public inspection.
|
Artykuł 34
|
|
|
Zakres
|
|
Article 28
|
Bez uszczerbku dla innych przepisów niniejszego rozporządzenia, niniejszy rozdział stosuje się do przetwarzania danych osobowych w połączeniu z użyciem sieci telekomunikacyjnych lub urządzeń końcowych, działających pod kontrolą instytucji lub organu Wspólnoty.
|
|
Consultation
|
Do celów niniejszego rozdziału, "użytkownik" oznacza osobę fizyczną używającą sieci telekomunikacyjnej lub urządzenia końcowego działającego pod kontrolą instytucji lub organu Wspólnoty.
|
|
1. The Community institutions and bodies shall inform the European Data Protection Supervisor when drawing up administrative measures relating to the processing of personal data involving a Community institution or body alone or jointly with others.
|
Artykuł 35
|
|
2. When it adopts a legislative proposal relating to the protection of individuals' rights and freedoms with regard to the processing of personal data, the Commission shall consult the European Data Protection Supervisor.
|
Bezpieczeństwo
|
|
|
1. Instytucje i organy wspólnotowe zastosują właściwe środki techniczne i organizacyjne, aby chronić bezpieczne użycie sieci telekomunikacyjnych i urządzeń końcowych, jeśli to konieczne we współpracy z dostawcami ogólnodostępnych usług telekomunikacyjnych i dostawcami publicznych sieci telekomunikacyjnych. Uwzględniając poziom techniki i koszt ich wdrożenia, środki te zapewniają poziom bezpieczeństwa odpowiadający stwarzanemu zagrożeniu.
|
|
Article 29
|
2. W przypadku szczególnego zagrożenia naruszenia bezpieczeństwa sieci i urządzeń końcowych, instytucja lub organ Wspólnoty poinformuje użytkowników o istnieniu takiego zagrożenia oraz o wszelkich środkach odwoławczych i alternatywnych sposobach komunikacji.
|
|
Obligation to provide information
|
Artykuł 36
|
|
The Community institutions and bodies shall inform the European Data Protection Supervisor of the measures taken further to his or her decisions or authorisations as referred to in Article 46(h).
|
Poufność komunikacji
|
|
|
Instytucje i organy wspólnotowe zapewniają poufność komunikacji za pomocą sieci telekomunikacyjnych i urządzeń końcowych zgodnie z ogólnymi zasadami prawa wspólnotowego.
|
|
Article 30
|
Artykuł 37
|
|
Obligation to cooperate
|
Dane o połączeniach i dane billingowe
|
|
At his or her request, controllers shall assist the European Data Protection Supervisor in the performance of his or her duties, in particular by providing the information referred to in Article 47(2)(a) and by granting access as provided in Article 47(2)(b).
|
1. Bez uszczerbku dla przepisów ust. 2, 3 i 4 dane o połączeniach odnoszące się do użytkowników, które są przetwarzane i przechowywane w celu łączenia rozmów i innych połączeń w sieci telekomunikacyjnej, są kasowane lub czynione anonimowymi w chwili zakończenia rozmowy lub innego połączenia.
|
|
|
2. Jeśli jest to konieczne, dane o połączeniach wskazane w wykazie, na który wyraził zgodę europejski inspektor ochrony danych, mogą być przetwarzane w celu zarządzania budżetem telekomunikacyjnym i połączeniami, włącznie ze sprawdzaniem upoważnionego użycia systemów telekomunikacyjnych. Te dane będą wymazane lub uczynione anonimowymi tak szybko, jak to jest możliwe i nie później niż w sześć miesięcy po ich zebraniu, o ile nie muszą być przechowywane przez czas dłuższy w celu powstania lub zabezpieczenia roszczeń w sporze prawnym toczącym się przed sądem.
|
|
Article 31
|
3. Przetwarzanie danych o połączeniach wykonują osoby zajmujące się zarządzaniem danymi billingowymi, połączeniami lub budżetem.
|
|
Obligation to react to allegations
|
4. Użytkownicy sieci telekomunikacyjnych mają prawo otrzymać zbiorcze rachunki lub inne zapisy dotyczące wykonanych połączeń.
|
|
In response to the European Data Protection Supervisor's exercise of his or her powers under Article 47(1)(b), the controller concerned shall inform the Supervisor of its views within a reasonable period to be specified by the Supervisor. The reply shall also include a description of the measures taken, if any, in response to the remarks of the European Data Protection Supervisor.
|
Artykuł 38
|
|
|
Spisy użytkowników
|
|
CHAPTER III
|
1. Dane osobowe zawarte są w drukowanych lub elektronicznych spisach użytkowników i dostęp do takich spisów jest ograniczony do tego, co jest bezwzględnie konieczne do konkretnych celów spisu.
|
|
REMEDIES
|
2. Instytucje i organy wspólnotowe podejmą wszelkie dostępne środki, aby zapobiec użyciu danych osobowych zawartych w tych spisach, niezależnie od tego, czy są one ogólnodostępne czy nie, do celów marketingu bezpośredniego.
|
|
Article 32
|
Artykuł 39
|
|
Remedies
|
Prezentacja i zastrzeżenie numeru rozmówcy
|
|
1. The Court of Justice of the European Communities shall have jurisdiction to hear all disputes which relate to the provisions of this Regulation, including claims for damages.
|
1. Tam, gdzie oferowana jest identyfikacja rozmówcy, użytkownik dzwoniący ma możliwość prostym sposobem i wolnym od opłat wyeliminować prezentację identyfikacji swojego numeru.
|
|
2. Without prejudice to any judicial remedy, every data subject may lodge a complaint with the European Data Protection Supervisor if he or she considers that his or her rights under Article 286 of the Treaty have been infringed as a result of the processing of his or her personal data by a Community institution or body.
|
2. Tam, gdzie oferowana jest identyfikacja rozmówcy, użytkownik odbierający rozmowę ma możliwość prostym sposobem i wolnym od opłat wyeliminować identyfikację numeru rozmówcy.
|
|
In the absence of a response by the European Data Protection Supervisor within six months, the complaint shall be deemed to have been rejected.
|
3. Tam, gdzie oferowana jest identyfikacja rozmówcy, użytkownik odbierający rozmowę ma możliwość prostym sposobem i wolnym od opłat wyeliminować identyfikację swojego numeru.
|
|
3. Actions against decisions of the European Data Protection Supervisor shall be brought before the Court of Justice of the European Communities.
|
4. Tam, gdzie oferowana jest identyfikacja rozmówcy, instytucje i organy wspólnotowe informują użytkowników o możliwościach określonych przez ust. 1, 2 i 3.
|
|
4. Any person who has suffered damage because of an unlawful processing operation or any action incompatible with this Regulation shall have the right to have the damage made good in accordance with Article 288 of the Treaty.
|
Artykuł 40
|
|
|
Odstępstwa
|
|
Article 33
|
Instytucje i organy wspólnotowe zapewniają istnienie przejrzystych procedur regulujących sposób, w który mogą usunąć zastrzeżenie identyfikacji numeru rozmówcy dzwoniącego:
|
|
Complaints by Community staff
|
a) tymczasowo na wniosek użytkownika żądającego śledzenia dokuczliwych rozmów lub rozmów zawierających pogróżki;
|
|
Any person employed with a Community institution or body may lodge a complaint with the European Data Protection Supervisor regarding an alleged breach of the provisions of this Regulation governing the processing of personal data, without acting through official channels. No-one shall suffer prejudice on account of a complaint lodged with the European Data Protection Supervisor alleging a breach of the provisions governing the processing of personal data.
|
b) w odniesieniu do linii dla jednostek otrzymujących telefony alarmowe w celu odpowiadania na takie telefony.
|
|
|
ROZDZIAŁ V
|
|
CHAPTER IV
|
NIEZALEŻNY ORGAN NADZORU: EUROPEJSKI INSPEKTOR OCHRONY DANYCH
|
|
PROTECTION OF PERSONAL DATA AND PRIVACY IN THE CONTEXT OF INTERNAL TELECOMMUNICATIONS NETWORKS
|
Artykuł 41
|
|
Article 34
|
Europejski inspektor ochrony danych
|
|
Scope
|
1. Niniejszym ustanawia się niezależny organ nadzoru nazywany europejskim inspektorem ochrony danych.
|
|
Without prejudice to the other provisions of this Regulation, this Chapter shall apply to the processing of personal data in connection with the use of telecommunications networks or terminal equipment operated under the control of a Community institution or body.
|
2. Europejski inspektor ochrony danych jest odpowiedzialny za zapewnienie, że podstawowe prawa i wolności osób fizycznych, w szczególności prawo do prywatności, są respektowane przez instytucje i organy wspólnotowe w odniesieniu do przetwarzania danych osobowych.
|
|
For the purposes of this Chapter, "user" shall mean any natural person using a telecommunications network or terminal equipment operated under the control of a Community institution or body.
|
Europejski inspektor ochrony danych jest odpowiedzialny za monitorowanie i zapewnienie zastosowania przepisów niniejszego rozporządzenia i każdego innego aktu wspólnotowego, odnoszącego się do podstawowych praw i wolności osób fizycznych, w odniesieniu do przetwarzania danych osobowych przez instytucje i organy wspólnotowe oraz za doradzanie instytucjom i organom wspólnotowym i podmiotom danych we wszystkich kwestiach związanych z przetwarzaniem danych osobowych. W tym celu wypełnia on obowiązki przewidziane w art. 46 i korzysta z uprawnień nadanych w art. 47.
|
|
|
Artykuł 42
|
|
Article 35
|
Powoływanie
|
|
Security
|
1. Parlament Europejski i Rada powołuje europejskiego inspektora ochrony danych w drodze wspólnego porozumienia na okres pięciu lat, na podstawie listy ustalonej przez Komisję po ogłoszeniu publicznego naboru dla kandydatów.
|
|
1. The Community institutions and bodies shall take appropriate technical and organisational measures to safeguard the secure use of the telecommunications networks and terminal equipment, if necessary in conjunction with the providers of publicly available telecommunications services or the providers of public telecommunications networks. Having regard to the state of the art and the cost of their implementation, these measures shall ensure a level of security appropriate to the risk presented.
|
Zastępca inspektora, który wspomaga inspektora w wykonywaniu jego obowiązków i zastępuje go, gdy inspektor jest nieobecny lub nie może ich wypełniać, jest powoływany zgodnie z tą samą procedurą i na ten sam okres.
|
|
2. In the event of any particular risk of a breach of the security of the network and terminal equipment, the Community institution or body concerned shall inform users of the existence of that risk and of any possible remedies and alternative means of communication.
|
2. Europejski inspektor ochrony danych jest wybierany spośród osób, których niezależność jest niekwestionowana i o których wiadomo, że mają doświadczenie i umiejętności wymagane do spełniania obowiązków europejskiego inspektora ochrony danych, ponieważ na przykład należy lub należała do organów nadzoru określonych w art. 28 dyrektywy 95/46/WE.
|
|
|
3. Europejski inspektor ochrony danych może być powołany ponownie na to stanowisko.
|
|
Article 36
|
4. Poza przypadkami normalnej rotacji lub śmiercią, obowiązki europejskiego inspektora ochrony danych zakończą się w przypadku rezygnacji lub przymusowej dymisji zgodnie z ust. 5.
|
|
Confidentiality of communications
|
5. Europejski inspektor ochrony danych może być zwolniony lub pozbawiony praw do emerytury lub innych świadczeń na jego rzecz przez Trybunał Sprawiedliwości na wniosek Parlamentu Europejskiego, Rady lub Komisji, jeżeli przestanie spełniać warunki wymagane dla wykonania jego obowiązków lub jeśli jest winny poważnego uchybienia.
|
|
Community institutions and bodies shall ensure the confidentiality of communications by means of telecommunications networks and terminal equipment, in accordance with the general principles of Community law.
|
6. W przypadku zwykłej zmiany lub dobrowolnej rezygnacji europejski inspektor ochrony danych pełni swoją funkcję do czasu, gdy nie zostanie zastąpiony.
|
|
|
7. Art. 12-15 i 18 Protokołu w sprawie przywilejów i immunitetów Wspólnot Europejskich stosują się także do europejskiego inspektora ochrony danych.
|
|
Article 37
|
8. Ust. 2-7 stosuje się do zastępcy inspektora.
|
|
Traffic and billing data
|
Artykuł 43
|
|
1. Without prejudice to the provisions of paragraphs 2, 3 and 4, traffic data relating to users which are processed and stored to establish calls and other connections over the telecommunications network shall be erased or made anonymous upon termination of the call or other connection.
|
Rozporządzania i ogólne warunki wypełniania obowiązków przez europejskiego inspektora ochrony danych, personel i środki finansowe
|
|
2. If necessary, traffic data as indicated in a list agreed by the European Data Protection Supervisor may be processed for the purpose of telecommunications budget and traffic management, including the verification of authorised use of the telecommunications systems. These data shall be erased or made anonymous as soon as possible and no later than six months after collection, unless they need to be kept for a longer period to establish, exercise or defend a right in a legal claim pending before a court.
|
1. Parlament Europejski, Rada i Komisja w drodze wspólnego porozumienia określą rozporządzenia i generalne warunki wykonywania obowiązków europejskiego inspektora ochrony danych, w szczególności jego płacy, przyznanych funduszy i innych świadczeń jako wynagrodzenie.
|
|
3. Processing of traffic and billing data shall only be carried out by persons handling billing, traffic or budget management.
|
2. Władze budżetowe zapewnią, że europejski inspektor ochrony danych otrzyma zasoby ludzkie i finansowe konieczne do wykonania swoich zadań.
|
|
4. Users of the telecommunication networks shall have the right to receive non-itemised bills or other records of calls made.
|
3. Budżet europejskiego inspektora ochrony danych jest umieszczony w osobnej pozycji budżetu w sekcji VIII ogólnego budżetu Unii Europejskiej.
|
|
|
4. Europejski inspektor ochrony danych jest wspomagany przez sekretariat. Urzędnicy i inny personel sekretariatu jest wyznaczany przez europejskiego inspektora ochrony danych; ich przełożonym jest europejski inspektor ochrony danych i podlegają wyłącznie jemu. Ich liczba jest wyznaczana każdego roku jako część procedury ustalania budżetów.
|
|
Article 38
|
5. Urzędnicy i inny personel sekretariatu europejskiego inspektora ochrony danych podlegają zasadom i rozporządzeniom mającym zastosowanie do urzędników i innego personelu Wspólnot Europejskich.
|
|
Directories of users
|
6. W kwestiach dotyczących personelu sekretariatu europejski inspektor ochrony danych posiada ten sam status jak instytucje w rozumieniu art. 1 regulaminu pracowniczego urzędników Wspólnot Europejskich.
|
|
1. Personal data contained in printed or electronic directories of users and access to such directories shall be limited to what is strictly necessary for the specific purposes of the directory.
|
Artykuł 44
|
|
2. The Community institutions and bodies shall take all the necessary measures to prevent personal data contained in those directories, regardless of whether they are accessible to the public or not, from being used for direct marketing purposes.
|
Niezależność
|
|
|
1. Europejski inspektor ochrony danych wykonuje swoje obowiązki w sposób całkowicie niezależny.
|
|
Article 39
|
2. Europejski inspektor ochrony danych podczas wykonywania swoich obowiązków nie oczekuje i nie przyjmuje instrukcji od nikogo.
|
|
Presentation and restriction of calling and connected line identification
|
3. Europejski inspektor ochrony danych powstrzymuje się od wszelkich czynności niezgodnych ze swoimi obowiązkami i podczas swojej kadencji nie wykonuje żadnej innej zarobkowej lub niezarobkowej działalności zawodowej.
|
|
1. Where presentation of calling-line identification is offered, the calling user shall have the possibility via a simple means, free of charge, to eliminate the presentation of the calling-line identification.
|
4. Europejski inspektor ochrony danych po zakończeniu swojej kadencji zachowuje się z uczciwością i dyskrecją, jeżeli chodzi o przyjmowanie zleceń i korzyści.
|
|
2. Where presentation of calling-line identification is offered, the called user shall have the possibility via a simple means, free of charge, to prevent the presentation of the calling-line identification of incoming calls.
|
Artykuł 45
|
|
3. Where presentation of connected-line identification is offered, the called user shall have the possibility via a simple means, free of charge, to eliminate the presentation of the connected-line identification to the calling user.
|
Tajemnica zawodowa
|
|
4. Where presentation of calling or connected-line identification is offered, the Community institutions and bodies shall inform the users thereof and of the possibilities set out in paragraphs 1, 2 and 3.
|
Europejski inspektor ochrony danych oraz jego personel, w trakcie pełnienia funkcji i po ich zakończeniu, podlega obowiązkowi zachowania tajemnicy zawodowej w odniesieniu do wszelkich poufnych informacji, które uzyskał w trakcie wykonywania oficjalnych obowiązków.
|
|
|
Artykuł 46
|
|
Article 40
|
Obowiązki
|
|
Derogations
|
Europejski inspektor ochrony danych:
|
|
Community institutions and bodies shall ensure that there are transparent procedures governing the way in which they may override the elimination of the presentation of calling-line identification:
|
a) wysłuchuje i bada skargi oraz informuje podmiot danych o wyniku w odpowiednim czasie;
|
|
(a) on a temporary basis, upon application of a user requesting the tracing of malicious or nuisance calls;
|
b) przeprowadza dochodzenia zarówno z własnej inicjatywy, jak i na podstawie skarg oraz informuje podmioty danych o ich wyniku w rozsądnym czasie;
|
|
(b) on a per-line basis for organisational entities dealing with emergency calls, for the purpose of answering such calls.
|
c) monitoruje i zapewnia zastosowanie przepisów niniejszego rozporządzenia i każdego innego aktu wspólnotowego odnoszącego się do ochrony osób fizycznych w odniesieniu do przetwarzania danych osobowych przez instytucję lub organ Wspólnoty, z wyjątkiem Trybunału Sprawiedliwości Wspólnot Europejskich działającego z mocy prawa;
|
|
|
d) doradza wszystkim instytucjom i organom wspólnotowym, albo z własnej inicjatywy, albo w odpowiedzi na konsultacje, we wszystkich kwestiach dotyczących przetwarzania danych osobowych, w szczególności zanim przyjmą przepisy wewnętrzne związane z ochroną podstawowych praw i wolności w odniesieniu do przetwarzania danych osobowych;
|
|
CHAPTER V
|
e) monitoruje rozwój w odpowiednich dziedzinach, o ile ma on wpływ na ochronę danych osobowych, w szczególności rozwój technologii informatycznych i telekomunikacyjnych;
|
|
INDEPENDENT SUPERVISORY AUTHORITY: THE EUROPEAN DATA PROTECTION SUPERVISOR
|
f) i) współpracuje z krajowymi organami nadzoru, do których odnosi się art. 28 dyrektywy 95/46/WE w krajach, do których ta dyrektywa ma zastosowanie, w stopniu koniecznym dla wykonywania ich obowiązków, w szczególności poprzez wymianę wszystkich użytecznych informacji i wnioskowanie, aby taka władza lub organ skorzystała ze swoich uprawnień lub odpowiadając na wniosek takiej władzy lub organu;
|
|
Article 41
|
ii) współpracuje także z organami nadzoru w dziedzinie ochrony danych ustanowionymi przez tytuł VI Traktatu o Unii Europejskiej, w szczególności mając na względzie poprawę spójności i zastosowania reguł i procedur, za zapewnienie zgodności z którymi są odpowiednio odpowiedzialne;
|
|
European Data Protection Supervisor
|
g) bierze udział w działalności grupy roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, o którym mówi art. 29 dyrektywy 95/46/WE;
|
|
1. An independent supervisory authority is hereby established referred to as the European Data Protection Supervisor.
|
h) określa, podaje powody i ogłasza wyłączenia z zabezpieczenia, upoważnienia i warunki wspomniane w art. 10 ust. 2 lit. b), ust. 4, 5 i 6, art. 12 ust. 2, art. 19 i art. 37 ust. 2;
|
|
2. With respect to the processing of personal data, the European Data Protection Supervisor shall be responsible for ensuring that the fundamental rights and freedoms of natural persons, and in particular their right to privacy, are respected by the Community institutions and bodies.
|
i) prowadzi rejestr operacji przetwarzania, o których został powiadomiony na mocy art. 27 ust. 2 i które zostały zarejestrowane zgodnie z art. 27 ust. 5, oraz zapewnia metody dostępu do rejestrów prowadzonych przez inspektorów ochrony danych na mocy art. 26;
|
|
The European Data Protection Supervisor shall be responsible for monitoring and ensuring the application of the provisions of this Regulation and any other Community act relating to the protection of the fundamental rights and freedoms of natural persons with regard to the processing of personal data by a Community institution or body, and for advising Community institutions and bodies and data subjects on all matters concerning the processing of personal data. To these ends he or she shall fulfil the duties provided for in Article 46 and exercise the powers granted in Article 47.
|
j) przeprowadza wstępne kontrole przetwarzania, o których został powiadomiony;
|
|
|
k) uchwala swój regulamin wewnętrzny.
|
|
Article 42
|
Artykuł 47
|
|
Appointment
|
Uprawnienia
|
|
1. The European Parliament and the Council shall appoint by common accord the European Data Protection Supervisor for a term of five years, on the basis of a list drawn up by the Commission following a public call for candidates.
|
1. Europejski inspektor ochrony danych może:
|
|
An Assistant Supervisor shall be appointed in accordance with the same procedure and for the same term, who shall assist the Supervisor in all the latter's duties and act as a replacement when the Supervisor is absent or prevented from attending to them.
|
a) doradzać podmiotom danych w kwestii korzystania z ich praw;
|
|
2. The European Data Protection Supervisor shall be chosen from persons whose independence is beyond doubt and who are acknowledged as having the experience and skills required to perform the duties of European Data Protection Supervisor, for example because they belong or have belonged to the supervisory authorities referred to in Article 28 of Directive 95/46/EC.
|
b) przekazać sprawę administratorowi w przypadku domniemanego naruszenia przepisów rządzących przetwarzaniem danych osobowych i w miarę potrzeb zaproponować środki prawne dla usunięcia tego naruszenia i dla poprawy ochrony podmiotów danych;
|
|
3. The European Data Protection Supervisor shall be eligible for reappointment.
|
c) nakazać, aby przyjęte zostały wnioski o skorzystaniu z pewnych praw w odniesieniu do danych, gdy takie wnioski zostały odrzucone z naruszeniem art. 13–19;
|
|
4. Apart from normal replacement or death, the duties of the European Data Protection Supervisor shall end in the event of resignation or compulsory retirement in accordance with paragraph 5.
|
d) ostrzec lub upomnieć administratora danych;
|
|
5. The European Data Protection Supervisor may be dismissed or deprived of his or her right to a pension or other benefits in its stead by the Court of Justice at the request of the European Parliament, the Council or the Commission, if he or she no longer fulfils the conditions required for the performance of his or her duties or if he or she is guilty of serious misconduct.
|
e) nakazać poprawę, zablokowanie, wykasowanie lub zniszczenie wszystkich danych, jeżeli były one przetwarzane z naruszeniem przepisów rządzących przetwarzaniem danych osobowych oraz powiadomienie o takich działaniach osób trzecich, którym dane zostały ujawnione;
|
|
6. In the event of normal replacement or voluntary resignation, the European Data Protection Supervisor shall nevertheless remain in office until he or she has been replaced.
|
f) nałożyć czasowy lub całkowity zakaz przetwarzania;
|
|
7. Articles 12 to 15 and 18 of the Protocol on the Privileges and Immunities of the European Communities shall also apply to the European Data Protection Supervisor.
|
g) przekazać sprawę odpowiedniej instytucji lub organowi Wspólnoty i jeśli to konieczne Parlamentowi Europejskiemu, Radzie i Komisji;
|
|
8. Paragraphs 2 to 7 shall apply to the Assistant Supervisor.
|
h) przekazać sprawę Trybunałowi Sprawiedliwości Wspólnot Europejskich zgodnie z warunkami przewidzianymi w Traktacie;
|
|
|
i) interweniować w sprawach wniesionych przed Trybunał Sprawiedliwości Wspólnot Europejskich.
|
|
Article 43
|
2. Europejski inspektor ochrony danych ma uprawnienia:
|
|
Regulations and general conditions governing the performance of the European Data Protection Supervisor's duties, staff and financial resources
|
a) do uzyskania od administratora lub instytucji bądź organu Wspólnoty dostępu do wszystkich danych osobowych i do wszystkich informacji koniecznych dla prowadzonych przez niego dochodzeń;
|
|
1. The European Parliament, the Council and the Commission shall by common accord determine the regulations and general conditions governing the performance of the European Data Protection Supervisor's duties and in particular his or her salary, allowances and any other benefits in lieu of remuneration.
|
b) do uzyskania dostępu do pomieszczeń, w których administrator lub instytucja bądź organ Wspólnoty prowadzi działalność, jeżeli są wystarczające powody, aby przypuszczać, że prowadzona jest tam działalność podlegająca niniejszemu rozporządzeniu.
|
|
2. The budget authority shall ensure that the European Data Protection Supervisor is provided with the human and financial resources necessary for the performance of his or her tasks.
|
Artykuł 48
|
|
3. The European Data Protection Supervisor's budget shall be shown in a separate budget heading in Section VIII of the general budget of the European Union.
|
Sprawozdanie z działalności
|
|
4. The European Data Protection Supervisor shall be assisted by a Secretariat. The officials and the other staff members of the Secretariat shall be appointed by the European Data Protection Supervisor; their superior shall be the European Data Protection Supervisor and they shall be subject exclusively to his or her direction. Their numbers shall be decided each year as part of the budgetary procedure.
|
1. Europejski inspektor ochrony danych składa roczne sprawozdanie ze swojej działalności Parlamentowi Europejskiemu, Radzie i Komisji i jednocześnie je publikuje.
|
|
5. The officials and the other staff members of the European Data Protection Supervisor's Secretariat shall be subject to the rules and regulations applicable to officials and other servants of the European Communities.
|
2. Europejski inspektor ochrony danych przekazuje sprawozdanie z działalności innym instytucjom i organom wspólnotowym, które mogą dołączyć komentarze, mając na względzie możliwe badanie sprawozdania w Parlamencie Europejskim, w szczególności w odniesieniu do opisu środków podjętych w odpowiedzi na uwagi poczynione przez europejskiego inspektora ochrony danych zgodnie z art. 31.
|
|
6. In matters concerning the Secretariat staff, the European Data Protection Supervisor shall have the same status as the institutions within the meaning of Article 1 of the Staff Regulations of Officials of the European Communities.
|
ROZDZIAŁ VI
|
|
|
PRZEPISY KOŃCOWE
|
|
Article 44
|
Artykuł 49
|
|
Independence
|
Sankcje
|
|
1. The European Data Protection Supervisor shall act in complete independence in the performance of his or her duties.
|
Niedopełnienie zobowiązań wynikających z niniejszego rozporządzenia, niezależnie od tego, czy celowe czy przez zaniedbanie, powoduje, że urzędnik lub inny funkcjonariusz Wspólnot Europejskich podlega karze dyscyplinarnej zgodnie z regułami i procedurami ustanowionymi przez regulamin pracowniczy urzędników Wspólnot europejskich lub w warunkach zatrudnienia mających zastosowanie do innych pracowników.
|
|
2. The European Data Protection Supervisor shall, in the performance of his or her duties, neither seek nor take instructions from anybody.
|
Artykuł 50
|
|
3. The European Data Protection Supervisor shall refrain from any action incompatible with his or her duties and shall not, during his or her term of office, engage in any other occupation, whether gainful or not.
|
Okres przejściowy
|
|
4. The European Data Protection Supervisor shall, after his or her term of office, behave with integrity and discretion as regards the acceptance of appointments and benefits.
|
Instytucje i organy wspólnotowe zapewnią, że operacje przetwarzania będące w toku w dniu, gdy niniejsze rozporządzenie wchodzi w życie, zostaną doprowadzone do zgodności z niniejszym rozporządzeniem w ciągu roku od tej daty.
|
|
|
Artykuł 51
|
|
Article 45
|
Wprowadzenie w życie
|
|
Professional secrecy
|
Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Wspólnot Europejskich.
|
|
The European Data Protection Supervisor and his or her staff shall, both during and after their term of office, be subject to a duty of professional secrecy with regard to any confidential information which has come to their knowledge in the course of the performance of their official duties.
|
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich Państwach Członkowskich.
|
|
|
|
|
Article 46
|
Sporządzono w Brukseli, dnia 18 grudnia 2000 r.
|
|
Duties
|
W imieniu Parlamentu Europejskiego
|
|
The European Data Protection Supervisor shall:
|
N. Fontaine
|
|
(a) hear and investigate complaints, and inform the data subject of the outcome within a reasonable period;
|
Przewodniczący
|
|
(b) conduct inquiries either on his or her own initiative or on the basis of a complaint, and inform the data subjects of the outcome within a reasonable period;
|
W imieniu Rady
|
|
(c) monitor and ensure the application of the provisions of this Regulation and any other Community act relating to the protection of natural persons with regard to the processing of personal data by a Community institution or body with the exception of the Court of Justice of the European Communities acting in its judicial capacity;
|
D. Voynet
|
|
(d) advise all Community institutions and bodies, either on his or her own initiative or in response to a consultation, on all matters concerning the processing of personal data, in particular before they draw up internal rules relating to the protection of fundamental rights and freedoms with regard to the processing of personal data;
|
Przewodniczący
|
|
(e) monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies;
|
[1] Dz.U. C 376E z 28.12.1999, str. 24.
|
|
(f) (i) cooperate with the national supervisory authorities referred to in Article 28 of Directive 95/46/EC in the countries to which that Directive applies to the extent necessary for the performance of their respective duties, in particular by exchanging all useful information, requesting such authority or body to exercise its powers or responding to a request from such authority or body;
|
[2] Dz.U. C 51 z 23.2.2000, str. 48.
|
|
(ii) also cooperate with the supervisory data protection bodies established under Title VI of the Treaty on European Union particularly with a view to improving consistency in applying the rules and procedures with which they are respectively responsible for ensuring compliance;
|
[3] Opinia Parlamentu Europejskiego z dnia 14 listopada 2000 r. oraz decyzja Rady z dnia 30 listopada 2000 r.
|
|
(g) participate in the activities of the Working Party on the Protection of Individuals with regard to the Processing of Personal Data set up by Article 29 of Directive 95/46/EC;
|
[4] Dz.U. L 281 z 23.11.1995, str. 31.
|
|
(h) determine, give reasons for and make public the exemptions, safeguards, authorisations and conditions mentioned in Article 10(2)(b),(4), (5) and (6), in Article 12(2), in Article 19 and in Article 37(2);
|
[5] Dz.U. L 24 z 30.1.1998, str. 1.
|
|
(i) keep a register of processing operations notified to him or her by virtue of Article 27(2) and registered in accordance with Article 27(5), and provide means of access to the registers kept by the Data Protection Officers under Article 26;
|
[6] Dz.U. L 52 z 22.2.1997, str. 1.
|
|
(j) carry out a prior check of processing notified to him or her;
|
[7] Dz.U. L 318 z 27.11.1998, str. 8.
|
|
(k) establish his or her Rules of Procedure.
|
[8] Dz.U. L 151 z 15.6.1990, str. 1. Rozporządzenie zmienione rozporządzeniem (WE) nr 322/97 (Dz.U. L 52 z 22.2.1997, str. 1).
|
|
|
--------------------------------------------------
|
|
Article 47
|
ZAŁĄCZNIK
|
|
Powers
|
1. Inspektor ochrony danych może formułować zalecenia w zakresie praktycznego usprawnienia ochrony danych, skierowane do instytucji lub organu Wspólnoty, która go powołała, i doradzać temu organowi lub instytucji i odpowiedniemu administratorowi w kwestiach związanych z zastosowaniem przepisów o ochronie danych. Co więcej, może ze swojej własnej inicjatywy lub na wniosek instytucji lub organu Wspólnoty, która go powołała, na wniosek administratora, odpowiedniego komitetu personelu lub dowolnej osoby badać sprawy i zdarzenia odnoszące się bezpośrednio do jego zadań i które zwróciły jego uwagę oraz złożyć sprawozdanie osobie, która zleciła dochodzenie bądź administratorowi.
|
|
1. The European Data Protection Supervisor may:
|
2. Instytucja lub organ Wspólnoty, która powołała inspektora ochrony danych, odpowiedni administrator, odpowiedni komitet personelu lub dowolna osoba może skonsultować się z nim bez korzystania z kanałów oficjalnych, w każdej sprawie dotyczącej interpretacji i stosowania niniejszego rozporządzenia.
|
|
(a) give advice to data subjects in the exercise of their rights;
|
3. Nikt z góry nie przesądza w kwestii spraw, na które zwrócono uwagę odpowiedniego inspektora ochrony danych, dotyczących domniemanego naruszenia przepisów niniejszego rozporządzenia.
|
|
(b) refer the matter to the controller in the event of an alleged breach of the provisions governing the processing of personal data, and, where appropriate, make proposals for remedying that breach and for improving the protection of the data subjects;
|
4. Każdy właściwy administrator ma wspomagać inspektora ochrony danych w wykonywaniu jego obowiązków i udzielić informacji w odpowiedzi na pytania. Podczas pełnienia swoich obowiązków inspektor ochrony danych ma nieustanny dostęp do wszystkich biur, urządzeń przetwarzających dane i nośników danych.
|
|
(c) order that requests to exercise certain rights in relation to data be complied with where such requests have been refused in breach of Articles 13 to 19;
|
5. Inspektor ochrony danych, w wymaganym stopniu, jest zwolniony z innej działalności. Inspektor ochrony danych i jego personel, do których stosuje się art. 287 Traktatu, zobowiązani są do nieujawniania informacji lub dokumentów, które uzyskują w ramach swoich obowiązków.
|
|
(d) warn or admonish the controller;
|
--------------------------------------------------
|
|
(e) order the rectification, blocking, erasure or destruction of all data when they have been processed in breach of the provisions governing the processing of personal data and the notification of such actions to third parties to whom the data have been disclosed;
|
|
|
(f) impose a temporary or definitive ban on processing;
|
|
|
(g) refer the matter to the Community institution or body concerned and, if necessary, to the European Parliament, the Council and the Commission;
|
|
|
(h) refer the matter to the Court of Justice of the European Communities under the conditions provided for in the Treaty;
|
|
|
(i) intervene in actions brought before the Court of Justice of the European Communities.
|
|
|
2. The European Data Protection Supervisor shall have the power:
|
|
|
(a) to obtain from a controller or Community institution or body access to all personal data and to all information necessary for his or her enquiries;
|
|
|
(b) to obtain access to any premises in which a controller or Community institution or body carries on its activities when there are reasonable grounds for presuming that an activity covered by this Regulation is being carried out there.
|
|
|
|
|
|
Article 48
|
|
|
Activities report
|
|
|
1. The European Data Protection Supervisor shall submit an annual report on his or her activities to the European Parliament, the Council and the Commission and at the same time make it public.
|
|
|
2. The European Data Protection Supervisor shall forward the activities report to the other Community institutions and bodies, which may submit comments with a view to possible examination of the report in the European Parliament, in particular in relation to the description of the measures taken in response to the remarks made by the European Data Protection Supervisor under Article 31.
|
|
|
|
|
|
CHAPTER VI
|
|
|
FINAL PROVISIONS
|
|
|
Article 49
|
|
|
Sanctions
|
|
|
Any failure to comply with the obligations pursuant to this Regulation, whether intentionally or through negligence on his or her part, shall make an official or other servant of the European Communities liable to disciplinary action, in accordance with the rules and procedures laid down in the Staff Regulations of Officials of the European Communities or in the conditions of employment applicable to other servants.
|
|
|
|
|
|
Article 50
|
|
|
Transitional period
|
|
|
Community institutions and bodies shall ensure that processing operations already under way on the date this Regulation enters into force are brought into conformity with this Regulation within one year of that date.
|
|
|
|
|
|
Article 51
|
|
|
Entry into force
|
|
|
This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Communities.
|
|
|
|
|
|
This Regulation shall be binding in its entirety and directly applicable in all Member States.
|
|
|
Done at Brussels, 18 December 2000.
|
|
|
|
|
|
For the European Parliament
|
|
|
The President
|
|
|
N. Fontaine
|
|
|
|
|
|
For the Council
|
|
|
The President
|
|
|
D. Voynet
|
|
|
|
|
|
(1) OJ C 376E, 28.12.1999, p. 24.
|
|
|
(2) OJ C 51, 23.2.2000, p. 48.
|
|
|
(3) Opinion of the European Parliament of 14 November 2000 and Council Decision of 30 November 2000.
|
|
|
(4) OJ L 281, 23.11.1995, p. 31.
|
|
|
(5) OJ L 24, 30.1.1998, p. 1.
|
|
|
(6) OJ L 52, 22.2.1997, p. 1.
|
|
|
(7) OJ L 318, 27.11.1998, p. 8.
|
|
|
(8) OJ L 151, 15. 6.1990, p. 1. Regulation as amended by Regulation (EC) No 322/97 (OJ L 52, 22.2.1997, p. 1).
|
|
|
|
|
|
|
|
|
|
|
|
ANNEX
|
|
|
|
|
|
1. The Data Protection Officer may make recommendations for the practical improvement of data protection to the Community institution or body which appointed him or her and advise it and the controller concerned on matters concerning the application of data protection provisions. Furthermore he or she may, on his or her own initiative or at the request of the Community institution or body which appointed him or her, the controller, the Staff Committee concerned or any individual, investigate matters and occurrences directly relating to his or her tasks and which come to his or her notice, and report back to the person who commissioned the investigation or to the controller.
|
|
|
2. The Data Protection Officer may be consulted by the Community institution or body which appointed him or her, by the controller concerned, by the Staff Committee concerned and by any individual, without going through the official channels, on any matter concerning the interpretation or application of this Regulation.
|
|
|
3. No one shall suffer prejudice on account of a matter brought to the attention of the competent Data Protection Officer alleging that a breach of the provisions of this Regulation has taken place.
|
|
|
4. Every controller concerned shall be required to assist the Data Protection Officer in performing his or her duties and to give information in reply to questions. In performing his or her duties, the Data Protection Officer shall have access at all times to the data forming the subject-matter of processing operations and to all offices, data-processing installations and data carriers.
|
|
|
5. To the extent required, the Data Protection Officer shall be relieved of other activities. The Data Protection Officer and his or her staff, to whom Article 287 of the Treaty shall apply, shall be required not to divulge information or documents which they obtain in the course of their duties.
|
|