Council Framework Decision 2008/977/JHA

Decyzja ramowa Rady 2008/977/WSiSW

of 27 November 2008

z dnia 27 listopada 2008 r.

on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters

w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych

THE COUNCIL OF THE EUROPEAN UNION,

RADA UNII EUROPEJSKIEJ,

Having regard to the Treaty on European Union, and in particular Articles 30, 31 and 34(2)(b) thereof,

uwzględniając Traktat o Unii Europejskiej, w szczególności jego art. 30 i 31 oraz art. 34 ust. 2 lit. b),

Having regard to the proposal from the Commission,

uwzględniając wniosek Komisji,

Having regard to the opinion of the European Parliament [1],

uwzględniając opinię Parlamentu Europejskiego [1],

Whereas:

a także mając na uwadze, co następuje:

(1) The European Union has set itself the objective of maintaining and developing the Union as an area of freedom, security and justice in which a high level of safety is to be provided by common action among the Member States in the fields of police and judicial cooperation in criminal matters.

(1) Unia Europejska postawiła sobie za cel utrzymanie i rozwój Unii jako obszaru wolności, bezpieczeństwa i sprawiedliwości, na którym wysoki poziom bezpieczeństwa ma zostać zapewniony przez wspólne działanie państw członkowskich w zakresie współpracy policyjnej i sądowej w sprawach karnych.

(2) Common action in the field of police cooperation under Article 30(1)(b) of the Treaty on European Union and common action on judicial cooperation in criminal matters under Article 31(1)(a) of the Treaty on European Union imply a need to process the relevant information which should be subject to appropriate provisions on the protection of personal data.

(2) Wspólne działanie w zakresie współpracy policyjnej zgodnie z art. 30 ust. 1 lit. b) Traktatu o Unii Europejskiej oraz wspólne działanie w zakresie współpracy sądowej w sprawach karnych zgodnie z art. 31 ust. 1 lit. a) Traktatu o Unii Europejskiej pociągają za sobą potrzebę przetwarzania istotnych informacji, które powinno podlegać właściwym przepisom o ochronie danych osobowych.

(3) Legislation falling within the scope of Title VI of the Treaty on European Union should foster police and judicial cooperation in criminal matters with regard to its efficiency as well as its legitimacy and compliance with fundamental rights, in particular the right to privacy and to the protection of personal data. Common standards regarding the processing and protection of personal data processed for the purpose of preventing and combating crime contribute to the achieving of both aims.

(3) Akty prawne objęte zakresem zastosowania tytułu VI Traktatu o Unii Europejskiej powinny poprawiać współpracę policyjną i sądową w sprawach karnych pod względem jej skuteczności i legalności oraz zgodności z prawami podstawowymi, w szczególności z prawem do prywatności i do ochrony danych osobowych. W osiąganiu obu tych celów mogą pomóc wspólne normy przetwarzania i ochrony danych osobowych, które przetwarza się w celu zapobiegania przestępczości i jej zwalczania.

(4) The Hague Programme on strengthening freedom, security and justice in the European Union, adopted by the European Council on 4 November 2004, stressed the need for an innovative approach to the cross-border exchange of law-enforcement information under the strict observation of key conditions in the area of data protection and invited the Commission to submit proposals in this regard by the end of 2005 at the latest. This was reflected in the Council and Commission Action Plan implementing the Hague Programme on strengthening freedom, security and justice in the European Union [2].

(4) W programie haskim, mającym na celu wzmacnianie wolności, bezpieczeństwa i sprawiedliwości w Unii Europejskiej, przyjętym przez Radę Europejską w dniu 4 listopada 2004 r., podkreślono potrzebę wypracowania innowacyjnego stanowiska w sprawie transgranicznej wymiany informacji istotnych dla ochrony porządku publicznego przy ścisłym przestrzeganiu kluczowych warunków w zakresie ochrony danych oraz wezwano Komisję do przedstawienia najpóźniej do końca roku 2005 wniosków w tej sprawie. Znalazło to odzwierciedlenie w Planie działania Rady i Komisji służącym realizacji programu haskiego mającego na celu wzmacnianie wolności, bezpieczeństwa i sprawiedliwości w Unii Europejskiej [2].

(5) The exchange of personal data within the framework of police and judicial cooperation in criminal matters, notably under the principle of availability of information as laid down in the Hague Programme, should be supported by clear rules enhancing mutual trust between the competent authorities and ensuring that the relevant information is protected in a way that excludes any discrimination in respect of such cooperation between the Member States while fully respecting fundamental rights of individuals. Existing instruments at the European level do not suffice; Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data [3] does not apply to the processing of personal data in the course of an activity which falls outside the scope of Community law, such as those provided for by Title VI of the Treaty on European Union, nor, in any case, to processing operations concerning public security, defence, state security or the activities of the State in areas of criminal law.

(5) Wymianę danych osobowych w ramach współpracy policyjnej i sądowej w sprawach karnych — zwłaszcza z uwagi na zasadę udostępniania informacji określoną w programie haskim — powinny wspierać jasne przepisy umacniające wzajemne zaufanie właściwych organów oraz zapewniające ochronę odnośnych informacji w sposób wyłączający wszelką dyskryminację w odniesieniu do takiej współpracy między państwami członkowskimi, przy równoczesnym pełnym poszanowaniu praw podstawowych osób fizycznych. Akty prawne obowiązujące na poziomie europejskim nie wystarczają; dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych [3] nie ma zastosowania do przetwarzania danych osobowych podczas działań, które nie są objęte zakresem stosowania prawa wspólnotowego, takich jak działania określone w tytule VI Traktatu o Unii Europejskiej, ani w żadnym przypadku do operacji przetwarzania dotyczących bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa i działań państwa w zakresie prawa karnego.

(6) This Framework Decision applies only to data gathered or processed by competent authorities for the purpose of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. This Framework Decision should leave it to Member States to determine more precisely at national level which other purposes are to be considered as incompatible with the purpose for which the personal data were originally collected. In general, further processing for historical, statistical or scientific purposes should not be considered as incompatible with the original purpose of the processing.

(6) Niniejszą decyzję ramową stosuje się wyłącznie do danych gromadzonych lub przetwarzanych przez właściwe organy w celu zapobiegania przestępstwom, ich ścigania, wykrywania lub karania lub w celu wykonywania sankcji karnych. Niniejsza decyzja ramowa powinna pozostawić w gestii państw członkowskich bardziej szczegółowe określenie na poziomie krajowym, jakie inne cele należy uważać za niezgodne z celem, do którego dane osobowe były pierwotnie gromadzone. Dalsze przetwarzanie danych osobowych do celów historycznych, statystycznych lub naukowych nie powinno na ogół być uważane za niezgodne z pierwotnym celem przetwarzania.

(7) The scope of this Framework Decision is limited to the processing of personal data transmitted or made available between Member States. No conclusions should be inferred from this limitation regarding the competence of the Union to adopt acts relating to the collection and processing of personal data at national level or the expediency for the Union to do so in the future.

(7) Zakres zastosowania niniejszej decyzji ramowej jest ograniczony do przetwarzania danych osobowych przekazywanych lub udostępnianych pomiędzy państwami członkowskimi. Ograniczenie to nie powinno wywierać żadnych skutków dla kompetencji Unii do przyjmowania aktów odnoszących się do gromadzenia i przetwarzania danych osobowych na poziomie krajowym lub praktycznych uzgodnień dotyczących przyjmowania ich przez Unię w przyszłości.

(8) In order to facilitate data exchanges within the Union, Member States intend to ensure that the standard of data protection achieved in national data processing matches that provided for in this Framework Decision. With regard to national data processing, this Framework Decision does not preclude Member States from providing safeguards for the protection of personal data higher than those established in this Framework Decision.

(8) W celu ułatwienia wymiany danych w Unii państwa członkowskie zamierzają zapewnić, aby poziom ochrony danych osiągnięty podczas krajowego przetwarzania danych odpowiadał poziomem ochronie określonej w niniejszej decyzji ramowej. W odniesieniu do przetwarzania danych na poziomie krajowym niniejsza decyzja ramowa nie wyklucza tego, by dla ochrony danych osobowych państwa członkowskie wprowadzały gwarancje bardziej rygorystyczne niż gwarancje ustanowione na mocy niniejszej decyzji ramowej.

(9) This Framework Decision should not apply to personal data which a Member State has obtained within the scope of this Framework Decision and which originated in that Member State.

(9) Niniejsza decyzja ramowa nie powinna mieć zastosowania do danych osobowych, które państwo członkowskie uzyskało w ramach zakresu zastosowania niniejszej decyzji ramowej i które z tego państwa pochodzą.

(10) The approximation of Member States’ laws should not result in any lessening of the data protection they afford but should, on the contrary, seek to ensure a high level of protection within the Union.

(10) Zbliżenie przepisów państw członkowskich nie powinno w żadnym razie skutkować osłabieniem zapewnianej przez nie ochrony danych, a wręcz przeciwnie – powinno mieć na celu zapewnienie wysokiego poziomu ochrony w obrębie Unii.

(11) It is necessary to specify the objectives of data protection within the framework of police and judicial activities and to lay down rules concerning the lawfulness of processing of personal data in order to ensure that any information that might be exchanged has been processed lawfully and in accordance with fundamental principles relating to data quality. At the same time the legitimate activities of the police, customs, judicial and other competent authorities should not be jeopardised in any way.

(11) Należy wyszczególnić cele ochrony danych w ramach działań policyjnych i sądowych oraz ustanowić zasady określające, czy przetwarzanie danych osobowych jest zgodne z prawem, by dzięki temu wszelkie informacje, które mogą podlegać wymianie, były przetwarzane legalnie i zgodnie z podstawowymi zasadami odnoszącymi się do jakości danych. Jednocześnie nie powinno to w żaden sposób zagrażać legalnym działaniom organów policyjnych, celnych, sądowych ani innych właściwych organów.

(12) The principle of accuracy of data is to be applied taking account of the nature and purpose of the processing concerned. For example, in particular in judicial proceedings data are based on the subjective perception of individuals and in some cases are totally unverifiable. Consequently, the requirement of accuracy cannot appertain to the accuracy of a statement but merely to the fact that a specific statement has been made.

(12) Zasadę ścisłości danych należy stosować, uwzględniając charakter i cel danego procesu przetwarzania. Na przykład dane uzyskiwane szczególnie w postępowaniu sądowym oparte są na indywidualnej, subiektywnej ocenie i w niektórych przypadkach są całkowicie nieweryfikowalne. Zatem wymóg ścisłości danych nie może odnosić się do ścisłości oświadczenia, lecz jedynie do faktu, że dane oświadczenie zostało złożone.

(13) Archiving in a separate data set should be permissible only if the data are no longer required and used for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. Archiving in a separate data set should also be permissible if the archived data are stored in a database with other data in such a way that they can no longer be used for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. The appropriateness of the archiving period should depend on the purposes of archiving and the legitimate interests of the data subjects. In the case of archiving for historical purposes a very long period may be envisaged.

(13) Archiwizowanie danych w postaci osobnego zestawu danych powinno być dopuszczalne tylko wtedy, gdy dane te nie są już wymagane ani wykorzystywane w celu zapobiegania przestępstwom, ich ścigania, wykrywania i karania oraz wykonywania sankcji karnych. Archiwizowanie danych w postaci osobnego zestawu powinno być dopuszczalne także wtedy, gdy archiwizowane dane są przechowywane w bazie danych wraz z innymi danymi w taki sposób, że nie można ich już wykorzystywać w celu zapobiegania przestępstwom, ich ścigania, wykrywania i karania oraz wykonywania sankcji karnych. Okres przechowywania danych w archiwum powinien zależeć od celu ich zarchiwizowania oraz od tego, czy leży to w uzasadnionym interesie osób, których dotyczą dane. W przypadku archiwizacji badań historycznych można także przewidzieć bardzo długi okres przechowywania.

(14) Data may also be erased by destroying the data medium.

(14) Dane mogą być usuwane również poprzez zniszczenie ich nośnika.

(15) As regards inaccurate, incomplete or no longer up-to-date data transmitted or made available to another Member State and further processed by quasi-judicial authorities, meaning authorities with powers to make legally binding decisions, its rectification, erasure or blocking should be carried out in accordance with national law.

(15) W odniesieniu do nieścisłych, niekompletnych lub nieaktualnych danych przekazanych lub udostępnionych innym państwom członkowskim i przetwarzanych dalej przez organy quasi-sądowe, to jest organy uprawnione do podejmowania wiążących prawnie decyzji, korektę lub usuwanie danych, lub blokowanie do nich dostępu powinno być prowadzone zgodnie z prawem krajowym.

(16) Ensuring a high level of protection of the personal data of individuals requires common provisions to determine the lawfulness and the quality of data processed by competent authorities in other Member States.

(16) Zapewnienie osobom fizycznym wysokiego poziomu ochrony danych osobowych wymaga wspólnych przepisów, które określą zgodność z prawem i jakość danych przetwarzanych przez właściwe organy w innych państwach członkowskich.

(17) It is appropriate to lay down at the European level the conditions under which competent authorities of the Member States should be allowed to transmit and make available personal data received from other Member States to authorities and private parties in Member States. In many cases the transmission of personal data by the judiciary, police or customs to private parties is necessary to prosecute crime or to prevent an immediate and serious threat to public security or to prevent serious harm to the rights of individuals, for example, by issuing alerts concerning forgeries of securities to banks and credit institutions, or, in the area of vehicle crime, by communicating personal data to insurance companies in order to prevent illicit trafficking in stolen motor vehicles or to improve the conditions for the recovery of stolen motor vehicles from abroad. This is not tantamount to the transfer of police or judicial tasks to private parties.

(17) Celowe jest, aby na szczeblu europejskim określić, pod jakimi warunkami właściwe organy państw członkowskich mogą przekazywać i udostępniać dane osobowe otrzymane od innych państw członkowskich organom publicznym i podmiotom prywatnym w państwach członkowskich. W wielu przypadkach przekazywanie danych osobowych przez organy sądowe, policyjne lub celne podmiotom prywatnym jest konieczne, by można było karać przestępstwa lub zapobiegać bezpośrednim i poważnym zagrożeniom bezpieczeństwa publicznego lub zapobiegać poważnym naruszeniom praw osób fizycznych, na przykład poprzez powiadamianie banków i instytucji kredytowych o fałszerstwach papierów wartościowych lub – w związku z przestępstwami związanymi z pojazdami – poprzez przekazywanie firmom ubezpieczeniowym danych osobowych, by zapobiegać nielegalnemu handlowi skradzionymi pojazdami silnikowymi lub by usprawnić odzyskiwanie skradzionych samochodów z zagranicy. Niniejszy przepis nie dotyczy przekazywania zadań policyjnych lub sądowych podmiotom prywatnym.

(18) The rules in this Framework Decision regarding the transmission of personal data by the judiciary, police or customs to private parties do not apply to the disclosure of data to private parties (such as defence lawyers and victims) in the context of criminal proceedings.

(18) Zawarte w niniejszej decyzji ramowej zasady dotyczące przekazywania danych osobowych przez organy sądowe, policyjne lub celne podmiotom prywatnym nie dotyczą ujawniania danych podmiotom prywatnym (takim jak adwokaci i ofiary przestępstwa) w kontekście postępowania karnego.

(19) The further processing of personal data received from, or made available by, the competent authority of another Member State, in particular the further transmission of or making available such data, should be subject to common rules at European level.

(19) Dalsze przetwarzanie danych osobowych uzyskanych od właściwego organu innego państwa członkowskiego lub udostępnionych przez ten organ, a zwłaszcza dalsze przekazywanie lub udostępnianie takich danych, powinno podlegać wspólnym zasadom na szczeblu europejskim.

(20) Where personal data may be further processed after the Member State from which the data were obtained has given its consent, each Member State should be able to determine the modalities of such consent, including, for example, by means of a general consent for categories of information or categories of further processing.

(20) Jeżeli dane osobowe mogą być dalej przetwarzane za zgodą państwa członkowskiego, od którego te dane uzyskano, to każde państwo członkowskie powinno mieć możliwość określenia warunków takiej zgody, w tym na przykład poprzez udzielenie ogólnej zgody co do określonych kategorii informacji lub określonych kategorii dalszego przetwarzania.

(21) Where personal data may be further processed for administrative proceedings, these proceedings also include activities by regulatory and supervisory bodies.

(21) Jeżeli dane osobowe mogą być dalej przetwarzane w postępowaniach administracyjnych, to postępowania te obejmują też czynności prowadzone przez organy regulacyjne i nadzorcze.

(22) The legitimate activities of the police, customs, judicial and other competent authorities may require that data are sent to authorities in third States or international bodies that have obligations for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties.

(22) Legalne działania organów policyjnych, celnych, sądowych i innych właściwych organów mogą wymagać przesyłania danych organom państw trzecich lub organizacjom międzynarodowym, które zobowiązane są do zapobiegania przestępstwom, ich ścigania, wykrywania lub karania lub do wykonywania sankcji karnych.

(23) Where personal data are transferred from a Member State to third States or international bodies, these data should, in principle, benefit from an adequate level of protection.

(23) Jeżeli państwo członkowskie przekazuje dane osobowe państwom trzecim lub podmiotom międzynarodowym, dane te powinny z zasady być odpowiednio chronione.

(24) Where personal data are transferred from a Member State to third States or international bodies, such transfer should, in principle, take place only after the Member State from which the data were obtained has given its consent to the transfer. Each Member State should be able to determine the modalities of such consent, including, for example, by means of a general consent for categories of information or for specified third States.

(24) Przekazywanie danych osobowych z któregokolwiek państwa członkowskiego do państw trzecich lub podmiotów międzynarodowych powinno zasadniczo mieć miejsce wyłącznie za zgodą na ich przekazanie wydaną przez państwo członkowskie, od którego uzyskano te dane. Każde państwo członkowskie powinno mieć możliwość określenia warunków takiej zgody, w tym na przykład poprzez udzielenie ogólnej zgody co do określonych kategorii informacji lub określonych państw.

(25) The interests of efficient law enforcement cooperation require that where the nature of a threat to the public security of a Member State or a third State is so immediate as to render it impossible to obtain prior consent in good time, the competent authority should be able to transfer the relevant personal data to the third State concerned without such prior consent. The same could apply where other essential interests of a Member State of equal importance are at stake, for example where the critical infrastructure of a Member State could be the subject of an immediate and serious threat or where a Member State’s financial system could be seriously disrupted.

(25) Dla dobra sprawnej ochrony porządku publicznego konieczne jest, by – gdy charakter zagrożenia bezpieczeństwa publicznego w państwie członkowskim lub państwie trzecim jest tak bezpośredni, że uniemożliwia uzyskanie uprzedniej zgody na czas – właściwy organ mógł przekazać stosowne dane osobowe zainteresowanemu państwu trzeciemu bez takiej uprzedniej zgody. Ta sama zasada mogłaby mieć zastosowanie, gdy wchodzą w grę inne podstawowe i równie istotne interesy państwa członkowskiego, np. gdy mogłaby być bezpośrednio i poważnie zagrożona infrastruktura krytyczna państwa członkowskiego lub gdy system finansowy państwa członkowskiego mógłby zostać poważnie naruszony.

(26) It may be necessary to inform data subjects regarding the processing of their data, in particular where there has been particularly serious encroachment on their rights as a result of secret data collection measures, in order to ensure that data subjects can have effective legal protection.

(26) Może być konieczne, aby informować osoby, których dotyczą dane, o przetwarzaniu ich danych — zwłaszcza gdy tajne czynności pobierania danych spowodowały poważną ingerencję w ich prawa — i w ten sposób zapewnić im możliwość skorzystania ze skutecznej ochrony prawnej.

(27) Member States should ensure that the data subject is informed that the personal data could be or are being collected, processed or transmitted to another Member State for the purpose of prevention, investigation, detection, and prosecution of criminal offences or the execution of criminal penalties. The modalities of the right of the data subject to be informed and the exceptions thereto should be determined by national law. This may take a general form, for example, through the law or through the publication of a list of the processing operations.

(27) Państwo członkowskie powinno zapewnić poinformowanie osoby, której dotyczą dane, o tym, że jej dane osobowe mogą być lub są gromadzone, przetwarzane lub przekazywane innemu państwu członkowskiemu do zapobiegania przestępstwom, prowadzenia dochodzeń, wykrywania przestępstw, ich ścigania lub do wykonywania sankcji karnych. Warunki realizacji prawa osoby, której dotyczą dane, do otrzymywania informacji, oraz odnośne wyjątki powinny być określone w prawie krajowym. Może przybrać to formę ogólną, na przykład przez uchwalenie przepisów lub opublikowanie wykazu operacji przetwarzania.

(28) In order to ensure the protection of personal data without jeopardising the interests of criminal investigations, it is necessary to define the rights of the data subject.

(28) Aby zapewnić ochronę danych osobowych, a równocześnie nie udaremniać celu dochodzenia w sprawach karnych, należy określić prawa osoby, której dotyczą dane.

(29) Some Member States have provided for the right of access of the data subject in criminal matters through a system where the national supervisory authority, in place of the data subject, has access to all the personal data related to the data subject without any restriction and may also rectify, erase or update inaccurate data. In such a case of indirect access, the national law of those Member States may provide that the national supervisory authority will inform the data subject only that all the necessary verifications have taken place. However, those Member States also provide for possibilities of direct access for the data subject in specific cases, such as access to judicial records, in order to obtain copies of own criminal records or of documents relating to own hearings by the police services.

(29) Niektóre państwa członkowskie zapewniły osobie, której dotyczą dane wykorzystywane w postępowaniu karnym, prawo do dostępu do tych danych przez system, w którym krajowy organ nadzoru ma w zastępstwie tej osoby nieograniczony dostęp do wszystkich danych osobowych z nią związanych oraz może korygować, usuwać lub aktualizować nieścisłe dane. Jeżeli chodzi o taki pośredni dostęp, prawo krajowe tych państw członkowskich może stanowić, że krajowy organ nadzoru będzie informował osobę, której dotyczą dane, wyłącznie o tym, że dokonano wszystkich niezbędnych weryfikacji. Jednakże w konkretnych sprawach, takich jak dostęp do rejestrów sądowych w celu otrzymania wypisu ze swojej kartoteki w rejestrze karnym lub dokumentów dotyczących przesłuchania przez służby policyjne, odnośne państwa członkowskie stwarzają osobie, której dotyczą dane, także możliwość bezpośredniego dostępu do tych danych.

(30) It is appropriate to establish common rules on confidentiality and security of processing, on liability and penalties for unlawful use by competent authorities and on judicial remedies available to the data subject. It is, however, for each Member State to determine the nature of its tort rules and of the penalties applicable to violations of domestic data protection provisions.

(30) Celowe jest, aby ustanowić wspólne zasady poufności i bezpieczeństwa w przetwarzaniu danych, zasady odpowiedzialności prawnej i sankcje za niezgodne z prawem wykorzystanie danych przez właściwe organy, jak również środki odwoławcze dla osób, których dotyczą dane. Jednak każde państwo członkowskie już we własnym zakresie decyduje, jakie przepisy stosuje w dziedzinie odszkodowań i jakie sankcje za naruszenie krajowych przepisów o ochronie danych.

(31) This Framework Decision allows the principle of public access to official documents to be taken into account when implementing the principles set out in this Framework Decision.

(31) Niniejsza decyzja ramowa pozwala, by podczas realizacji ustanowionych w niej zasad uwzględnić zasadę publicznego dostępu do dokumentów urzędowych.

(32) When necessary to protect personal data in relation to processing which by scale or by type holds specific risks for fundamental rights and freedoms, for example processing by means of new technologies, mechanisms or procedures, it is appropriate to ensure that the competent national supervisory authorities are consulted prior to the establishment of filing systems aimed at the processing of these data.

(32) Gdy konieczna jest ochrona danych osobowych w związku z przetwarzaniem, które ze względu na swoją skalę lub rodzaj stanowi określone zagrożenie dla podstawowych praw i wolności, na przykład przetwarzaniem z wykorzystaniem nowych technologii, mechanizmów lub procedur, należy zapewnić konsultacje z właściwymi krajowymi organami nadzoru przed utworzeniem zbiorów danych przeznaczonych do przetwarzania tych danych.

(33) The establishment in Member States of supervisory authorities, exercising their functions with complete independence, is an essential component of the protection of personal data processed within the framework of police and judicial cooperation between the Member States.

(33) Ustanowienie przez państwa członkowskie organów nadzoru, pełniących swoje funkcje w sposób całkowicie niezależny, jest zasadniczym elementem ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej między państwami członkowskimi.

(34) The supervisory authorities already established in Member States under Directive 95/46/EC should also be able to assume responsibility for the tasks to be performed by the national supervisory authorities to be established under this Framework Decision.

(34) Organy nadzorcze ustanowione już w państwach członkowskich na mocy dyrektywy 95/46/WE powinny mieć także możliwość podejmowania zadań, które mają zostać powierzone krajowym organom nadzoru ustanowionym na mocy niniejszej decyzji ramowej.

(35) Such supervisory authorities should have the necessary means to perform their duties, including powers of investigation and intervention, particularly in cases of complaints from individuals, or powers to engage in legal proceedings. These supervisory authorities should help to ensure transparency of processing in the Member States within whose jurisdiction they fall. However, their powers should not interfere with specific rules set out for criminal proceedings or the independence of the judiciary.

(35) Te organy nadzorcze powinny dysponować środkami niezbędnymi do wykonywania swoich zadań, w tym uprawnieniami dochodzeniowymi i interwencyjnymi, szczególnie na wypadek skarg osób fizycznych, lub uprawnieniami do tego, by wnosić sprawę do sądu. Te organy nadzorcze powinny pomagać w zapewnianiu przejrzystości przetwarzania danych w państwach członkowskich, których jurysdykcji podlegają. Jednakże uprawnienia tych organów nie powinny kolidować ze szczególnymi zasadami określonymi w odniesieniu do postępowań karnych ani z niezawisłością wymiaru sprawiedliwości.

(36) Article 47 of the Treaty on European Union stipulates that nothing in it is to affect the Treaties establishing the European Communities or the subsequent Treaties and Acts modifying or supplementing them. Accordingly, this Framework Decision does not affect the protection of personal data under Community law, in particular as provided for in Directive 95/46/EC, in Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data [4] and in Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) [5].

(36) Artykuł 47 Traktatu o Unii Europejskiej stanowi, że żadne postanowienie tego Traktatu nie może naruszać traktatów ustanawiających Wspólnoty Europejskie ani późniejszych traktatów lub aktów prawnych zmieniających lub uzupełniających te traktaty. Zatem niniejsza decyzja ramowa nie wpływa również na ochronę danych osobowych na mocy prawa wspólnotowego, a w szczególności nie narusza przepisów dyrektywy 95/46/WE, rozporządzenia (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych [4] ani dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) [5].

(37) This Framework Decision is without prejudice to the rules pertaining to illicit access to data laid down in Council Framework Decision 2005/222/JHA of 24 February 2005 on attacks against information systems [6].

(37) Niniejsza decyzja ramowa nie narusza przepisów, które dotyczą bezprawnego dostępu do danych i są określone w decyzji ramowej Rady 2005/222/WSiSW z dnia 24 lutego 2005 r. w sprawie ataków na systemy informatyczne [6].

(38) This Framework Decision is without prejudice to existing obligations and commitments incumbent upon Member States or upon the Union by virtue of bilateral and/or multilateral agreements with third States. Future agreements should comply with the rules on exchanges with third States.

(38) Niniejsza decyzja ramowa nie narusza istniejących obowiązków i zobowiązań państw członkowskich lub Unii wynikających z dwustronnych lub wielostronnych umów z państwami trzecimi. Umowy, które zostaną zawarte w przyszłości, powinny być zgodne z przepisami o wymianie danych z państwami trzecimi.

(39) Several acts, adopted on the basis of Title VI of the Treaty on European Union, contain specific provisions on the protection of personal data exchanged or otherwise processed pursuant to those acts. In some cases these provisions constitute a complete and coherent set of rules covering all relevant aspects of data protection (principles of data quality, rules on data security, regulation of the rights and safeguards of data subjects, organisation of supervision and liability) and they regulate these matters in more detail than this Framework Decision. The relevant set of data protection provisions of those acts, in particular those governing the functioning of Europol, Eurojust, the Schengen Information System (SIS) and the Customs Information System (CIS), as well as those introducing direct access for the authorities of Member States to certain data systems of other Member States, should not be affected by this Framework Decision. The same applies in respect of the data protection provisions governing the automated transfer between Member States of DNA profiles, dactyloscopic data and national vehicle registration data pursuant to the Council Decision 2008/615/JHA of 23 June 2008 on the stepping up of cross-border cooperation, particularly in combating terrorism and cross-border crime [7].

(39) Kilka aktów przyjętych na podstawie tytułu VI Traktatu o Unii Europejskiej zawiera szczegółowe przepisy o ochronie danych osobowych wymienianych lub inaczej przetwarzanych zgodnie z tymi aktami. W niektórych przypadkach przepisy te stanowią wyczerpujący i spójny zbiór zasad obejmujących wszystkie istotne aspekty ochrony danych (zasady jakości danych, ich bezpieczeństwa, uregulowania co do praw i gwarancji przysługujących osobom, których dotyczą dane, regulacje co do organizacji nadzoru oraz odpowiedzialności prawnej) oraz regulują te kwestie bardziej szczegółowo niż niniejsza decyzja ramowa. Odnośne przepisy o ochronie danych określone w tych aktach, zwłaszcza w aktach regulujących działanie Europolu, Eurojustu, Systemu Informacji Schengen (SIS) i Systemu Informacji Celnej (CIS) oraz aktach dających organom państw członkowskich bezpośredni dostęp do niektórych systemów danych innych państw członkowskich, nie powinny zostać naruszone przez niniejszą decyzję ramową. To samo ma zastosowanie do przepisów o ochronie danych regulujące zautomatyzowane przekazywanie profili DNA, danych daktyloskopijnych i krajowych danych o rejestracji pojazdów między państwami członkowskimi na podstawie decyzji Rady 2008/615/WSiSW z dnia 23 czerwca 2008 r. w sprawie intensyfikacji współpracy transgranicznej, szczególnie w zwalczaniu terroryzmu i przestępczości transgranicznej [7].

(40) In other cases the provisions on data protection in acts, adopted on the basis of Title VI of the Treaty on European Union, are more limited in scope. They often set specific conditions for the Member State receiving information containing personal data from other Member States as to the purposes for which it can use those data, but refer for other aspects of data protection to the Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data of 28 January 1981 or to national law. To the extent that the provisions of those acts imposing conditions on receiving Member States as to the use or further transfer of personal data are more restrictive than those contained in the corresponding provisions of this Framework Decision, the former provisions should remain unaffected. However, for all other aspects the rules set out in this Framework Decision should be applied.

(40) W innych przypadkach przepisy o ochronie danych zawarte w aktach, które przyjęto na podstawie tytułu VI Traktatu o Unii Europejskiej, mają węższy zakres zastosowania. Przepisy te narzucają często państwu członkowskiemu, które od innych państw członkowskich otrzymuje informacje z danymi osobowymi, określone warunki co do celów, do jakich może ono wykorzystywać te dane, ale w innych kwestiach ochrony danych odsyłają do konwencji Rady Europy z dnia 28 stycznia 1981 r. o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych, lub do prawa krajowego. Jeżeli przepisy tych aktów, które otrzymującemu państwu członkowskiemu narzucają warunki wykorzystywania lub dalszego przekazywania danych osobowych, są bardziej rygorystyczne niż przepisy zawarte w odnośnych częściach niniejszej decyzji ramowej, to te pierwsze przepisy powinny zachować niezmienioną moc. Jednakże pod wszystkimi innymi względami należy stosować przepisy określone w niniejszej decyzji ramowej.

(41) This Framework Decision does not affect the Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, the Additional Protocol to that Convention of 8 November 2001 or the Council of Europe conventions on judicial cooperation in criminal matters.

(41) Niniejsza decyzja ramowa nie narusza konwencji Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych ani protokołu dodatkowego do tej konwencji z dnia 8 listopada 2001 r., ani też konwencji Rady Europy o współpracy sądowej w sprawach karnych.

(42) Since the objective of this Framework Decision, namely the determination of common rules for the protection of personal data processed in the framework of police and judicial cooperation in criminal matters, cannot be sufficiently achieved by the Member States, and can therefore, by reason of the scale and effects of the action, be better achieved at the Union level, the Union may adopt measures in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty establishing the European Community and referred to in Article 2 of the Treaty on European Union. In accordance with the principle of proportionality as set out in Article 5 of the Treaty establishing the European Community, this Framework Decision does not go beyond what is necessary to achieve that objective.

(42) W związku z tym, że cel niniejszej decyzji ramowej, mianowicie określenie wspólnych zasad ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych, nie mogą być w stopniu wystarczającym osiągnięte przez państwa członkowskie, natomiast z uwagi na skalę i skutki działania mogą zostać osiągnięte z większym powodzeniem na poziomie Unii, Unia może podjąć środki zgodnie z zasadą pomocniczości określoną w art. 5 Traktatu ustanawiającego Wspólnotę Europejską i o której mowa w art. 2 Traktatu o Unii Europejskiej. Zgodnie z zasadą proporcjonalności określoną w art. 5 Traktatu ustanawiającego Wspólnotę Europejską niniejsza decyzja ramowa nie wykracza poza to, co jest konieczne do osiągnięcia tego celu.

(43) The United Kingdom is taking part in this Framework Decision, in accordance with Article 5 of the Protocol integrating the Schengen acquis into the framework of the European Union annexed to the Treaty on European Union and to the Treaty establishing the European Community, and Article 8(2) of Council Decision 2000/365/EC of 29 May 2000 concerning the request of the United Kingdom of Great Britain and Northern Ireland to take part in some of the provisions of the Schengen acquis [8].

(43) Zjednoczone Królestwo uczestniczy w niniejszej decyzji ramowej zgodnie z art. 5 Protokołu włączającego dorobek Schengen w ramy Unii Europejskiej, dołączonego do Traktatu o Unii Europejskiej i Traktatu ustanawiającego Wspólnotę Europejską, oraz art. 8 ust. 2 decyzji Rady 2000/365/WE z dnia 29 maja 2000 r. dotyczącej wniosku Zjednoczonego Królestwa Wielkiej Brytanii i Irlandii Północnej o zastosowanie wobec niego niektórych przepisów dorobku Schengen [8].

(44) Ireland is taking part in this Framework Decision in accordance with Article 5 of the Protocol integrating the Schengen acquis into the framework of the European Union annexed to the Treaty on European Union and to the Treaty establishing the European Community, and Article 6(2) of Council Decision 2002/192/EC of 28 February 2002 concerning Ireland’s request to take part in some of the provisions of the Schengen acquis [9].

(44) Irlandia uczestniczy w niniejszej decyzji ramowej zgodnie z art. 5 Protokołu włączającego dorobek Schengen w ramy Unii Europejskiej, załączonego do Traktatu o Unii Europejskiej i Traktatu ustanawiającego Wspólnotę Europejską, oraz art. 6 ust. 2 decyzji Rady 2002/192/WE z dnia 28 lutego 2002 r. dotyczącej wniosku Irlandii o zastosowanie wobec niej niektórych przepisów dorobku Schengen [9].

(45) As regards Iceland and Norway, this Framework Decision constitutes a development of provisions of the Schengen acquis within the meaning of the Agreement concluded by the Council of the European Union and the Republic of Iceland and the Kingdom of Norway concerning the latter’s association with the implementation, application and development of the Schengen acquis [10], which fall within the area referred to in Article 1, points H and I of Council Decision 1999/437/EC [11] on certain arrangements for the application of that Agreement.

(45) W odniesieniu do Islandii i Norwegii niniejsza decyzja ramowa stanowi rozwinięcie przepisów dorobku Schengen w rozumieniu Układu zawartego przez Radę Unii Europejskiej i Republikę Islandii oraz Królestwo Norwegii dotyczącego włączenia tych dwóch państw we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen [10], które wchodzą w zakres obszarów, o których mowa w art. 1 pkt H oraz I decyzji Rady 1999/437/WE [11] w sprawie niektórych warunków stosowania tego układu.

(46) As regards Switzerland, this Framework Decision constitutes a development of the provisions of the Schengen acquis within the meaning of the Agreement between the European Union, the European Community and the Swiss Confederation on the Swiss Confederation’s association with the implementation, application and development of the Schengen acquis [12], which fall within the area referred to in Article 1, point H and I of Decision 1999/437/EC read in conjunction with Article 3 of Council Decision 2008/149/JHA [13] on the conclusion of that Agreement on behalf of the European Union.

(46) W odniesieniu do Szwajcarii niniejsza decyzja ramowa stanowi rozwinięcie tych przepisów dorobku Schengen — w rozumieniu Umowy zawartej między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen [12] — które wchodzą w zakres obszarów, o których mowa w art. 1 pkt H oraz I decyzji 1999/437/WE w związku z art. 3 decyzji Rady 2008/149/WSiSW [13] w sprawie podpisania tej umowy w imieniu Unii Europejskiej.

(47) As regards Liechtenstein, this Framework Decision constitutes a development of the provisions of the Schengen acquis within the meaning of the Protocol signed between the European Union, the European Community, the Swiss Confederation and the Principality of Liechtenstein on the accession of the Principality of Liechtenstein to the Agreement between the European Union, the European Community and the Swiss Confederation on the Swiss Confederation’s association with the implementation, application and development of the Schengen acquis, which fall within the area referred to in Article 1, point H and I of Decision 1999/437/EC read in conjunction with Article 3 of Council Decision 2008/262/JHA [14] on the signature of that Protocol on behalf of the European Union.

(47) W odniesieniu do Liechtensteinu niniejsza decyzja ramowa stanowi rozwinięcie tych przepisów dorobku Schengen — w rozumieniu Protokołu między Unią Europejską, Wspólnotą Europejską, Konfederacją Szwajcarską i Księstwem Liechtensteinu o przystąpieniu Księstwa Liechtensteinu do Umowy między Unią Europejską, Wspólnotą Europejską i Konfederacją Szwajcarską dotyczącej włączenia Konfederacji Szwajcarskiej we wprowadzanie w życie, stosowanie i rozwój dorobku Schengen — które wchodzą w zakres obszarów, o których mowa w art. 1 pkt H oraz I decyzji Rady 1999/437/WE w związku z art. 3 decyzji Rady 2008/262/WSiSW [14] w sprawie podpisania tego protokołu w imieniu Unii Europejskiej.

(48) This Framework Decision respects the fundamental rights and observes the principles recognised in particular by the Charter of Fundamental Rights of the European Union [15]. This Framework Decision seeks to ensure full respect for the rights to privacy and the protection of personal data reflected in Articles 7 and 8 of the Charter,

(48) Niniejsza decyzja ramowa nie narusza praw podstawowych i jest zgodna z zasadami uznanymi w szczególności w Karcie praw podstawowych Unii Europejskiej [15]. Niniejsza decyzja ramowa ma zapewnić pełne poszanowanie prawa do prywatności i do uzyskania ochrony danych osobowych, które to prawa odzwierciedlone są w art. 7 i 8 Karty,

HAS ADOPTED THIS FRAMEWORK DECISION:

PRZYJMUJE NINIEJSZĄ DECYZJĘ RAMOWĄ:

Article 1

Artykuł 1

Purpose and scope

Cel i zakres zastosowania

1. The purpose of this Framework Decision is to ensure a high level of protection of the fundamental rights and freedoms of natural persons, and in particular their right to privacy, with respect to the processing of personal data in the framework of police and judicial cooperation in criminal matters, provided for by Title VI of the Treaty on European Union, while guaranteeing a high level of public safety.

1. Celem niniejszej decyzji ramowej jest zapewnienie wysokiego poziomu ochrony praw podstawowych i wolności osób fizycznych, a zwłaszcza ich prawa do prywatności, podczas przetwarzania danych osobowych w ramach współpracy policyjnej i sądowej w sprawach karnych, o której mowa w tytule VI Traktatu o Unii Europejskiej, przy równoczesnym zagwarantowaniu wysokiego poziomu bezpieczeństwa publicznego.

2. In accordance with this Framework Decision, Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy when, for the purpose of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, personal data:

2. Zgodnie z niniejszą decyzją ramową państwa członkowskie chronią prawa podstawowe i wolności osób fizycznych, a zwłaszcza ich prawo do prywatności, gdy w celu zapobiegania przestępstwom, wykrywania przestępstw, ich ścigania lub karania lub wykonywania sankcji karnych dane osobowe:

(a) are or have been transmitted or made available between Member States;

a) są przekazywane lub udostępniane między państwami członkowskimi lub też zostały już przez nie sobie nawzajem przekazane lub udostępnione;

(b) are or have been transmitted or made available by Member States to authorities or to information systems established on the basis of Title VI of the Treaty on European Union; or

b) są przekazywane lub udostępniane przez państwa członkowskie organom lub systemom informacyjnym utworzonym na podstawie tytułu VI Traktatu o Unii Europejskiej lub też zostały już im przekazane lub udostępnione; lub

(c) are or have been transmitted or made available to the competent authorities of the Member States by authorities or information systems established on the basis of the Treaty on European Union or the Treaty establishing the European Community.

c) są przekazywane lub udostępniane właściwym organom państw członkowskich przez organy lub systemy informacyjne utworzone na podstawie Traktatu o Unii Europejskiej lub Traktatu ustanawiającego Wspólnotę Europejską lub też zostały już przez nie przekazane lub udostępnione.

3. This Framework Decision shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means, of personal data which form part of a filing system or are intended to form part of a filing system.

3. Niniejszą decyzję ramową stosuje się do przetwarzania całkowicie lub częściowo w sposób zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych, które stanowią lub mają stanowić część zbioru danych.

4. This Framework Decision is without prejudice to essential national security interests and specific intelligence activities in the field of national security.

4. Niniejsza decyzja ramowa nie narusza podstawowych interesów bezpieczeństwa narodowego i określonych działań wywiadowczych w zakresie bezpieczeństwa narodowego.

5. This Framework Decision shall not preclude Member States from providing, for the protection of personal data collected or processed at national level, higher safeguards than those established in this Framework Decision.

5. Niniejsza decyzja ramowa nie stanowi dla państw członkowskich przeszkody w ustanawianiu wyższych gwarancji ochrony bezpieczeństwa danych osobowych gromadzonych lub przetwarzanych na szczeblu krajowym niż gwarancje ustanowione na mocy niniejszej decyzji ramowej.

Article 2

Artykuł 2

Definitions

Definicje

For the purposes of this Framework Decision:

Do celów niniejszej decyzji ramowej:

(a) "personal data" mean any information relating to an identified or identifiable natural person ("data subject"); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;

a) "dane osobowe" oznaczają wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej ("osoby, której dotyczą dane"); osoba możliwa do zidentyfikowania to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny lub jeden lub więcej szczególnych czynników określających jej tożsamością fizyczną, fizjologiczną, psychiczną, ekonomiczną, kulturową czy społeczną;

(b) "processing of personal data" and "processing" mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organisation, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;

b) "przetwarzanie danych osobowych" oraz "przetwarzanie" oznacza każdą operację lub zestaw operacji dokonywanych na danych osobowych w sposób zautomatyzowany lub inny, takich jak gromadzenie, rejestracja, porządkowanie, przechowywanie, adaptacja lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez przekazanie, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie;

c) "blokowanie" oznacza znakowanie przechowywanych danych osobowych w celu ograniczenia ich przetwarzania w przyszłości;

(d) "personal data filing system" and "filing system" mean any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;

d) "zbiór danych osobowych" oraz "zbiór" oznacza każdy uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, scentralizowany, zdecentralizowany lub rozproszony funkcjonalnie lub geograficznie;

(e) "processor" means any body which processes personal data on behalf of the controller;

e) "przetwarzający dane" oznacza każdy organ, który dane osobowe przetwarza w imieniu administratora danych;

(f) "recipient" means any body to which data are disclosed;

f) "odbiorca" oznacza każdy organ, któremu dane są ujawniane;

(g) "the data subject’s consent" means any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed;

g) "zgoda osoby, której dotyczą dane" oznacza dobrowolne konkretne i świadome oświadczenie woli, przez które osoba, której dotyczą dane, wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych;

(h) "competent authorities" mean agencies or bodies established by legal acts adopted by the Council pursuant to Title VI of the Treaty on European Union, as well as police, customs, judicial and other competent authorities of the Member States that are authorised by national law to process personal data within the scope of this Framework Decision;

h) "właściwe organy" oznaczają agencje lub organy utworzone na mocy aktów przyjętych przez Radę na podstawie tytułu VI Traktatu o Unii Europejskiej, oraz organy policyjne, celne, sądowe i inne właściwe organy państw członkowskich, które to organy na mocy prawa krajowego upoważnione są do przetwarzania danych osobowych w zakresie stosowania niniejszej decyzji ramowej;

(i) "controller" means the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data;

i) "administrator danych" oznacza osobę fizyczną lub prawną, organ publiczny, agencję lub inny organ, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych;

(j) "referencing" means the marking of stored personal data without the aim of limiting their processing in future;

j) "wstawianie odnośników" oznacza znakowanie przechowywanych danych osobowych, którego celem nie jest ograniczenie ich przetwarzania w przyszłości;

(k) "to make anonymous" means to modify personal data in such a way that details of personal or material circumstances can no longer or only with disproportionate investment of time, cost and labour be attributed to an identified or identifiable natural person.

k) "anonimizacja danych" oznacza takie przekształcenie danych osobowych, po którym nie można już przyporządkować poszczególnych informacji osobistych lub rzeczowych do określonej lub możliwej do zidentyfikowania osoby fizycznej albo można tego dokonać jedynie niewspółmiernie dużym nakładem czasu, kosztów i sił.

Article 3

Artykuł 3

Principles of lawfulness, proportionality and purpose

Zasady legalności, proporcjonalności i celowości

1. Personal data may be collected by the competent authorities only for specified, explicit and legitimate purposes in the framework of their tasks and may be processed only for the same purpose for which data were collected. Processing of the data shall be lawful and adequate, relevant and not excessive in relation to the purposes for which they are collected.

1. Właściwe organy mogą gromadzić dane osobowe tylko do określonych, jednoznacznych i legalnych celów w ramach swoich zadań oraz przetwarzać je tylko do celów, w jakich zostały zgromadzone. Dane są przetwarzane zgodnie z prawem, adekwatnie do celu, w jakim są gromadzone, w związku z tym celem i w sposób niewykraczający poza ten cel.

2. Further processing for another purpose shall be permitted in so far as:

2. Dane wolno przetwarzać dalej w innym celu, o ile:

(a) it is not incompatible with the purposes for which the data were collected;

a) nie jest to sprzeczne z celami, w jakich zostały zgromadzone;

(b) the competent authorities are authorised to process such data for such other purpose in accordance with the applicable legal provisions; and

b) właściwe organy są upoważnione do tego, by przetwarzać takie dane w takim innym celu zgodnie z obowiązującymi przepisami prawa; oraz

c) przetwarzanie jest konieczne i proporcjonalne względem tego innego celu.

The competent authorities may also further process the transmitted personal data for historical, statistical or scientific purposes, provided that Member States provide appropriate safeguards, such as making the data anonymous.

Ponadto właściwe organy mogą otrzymane dane przetwarzać dalej w celach historycznych, statystycznych lub naukowych, o ile państwa członkowskie zapewniają odpowiednie gwarancje, takie jak anonimizacja danych.

Article 4

Artykuł 4

Rectification, erasure and blocking

Korekta i usuwanie danych oraz blokowanie dostępu do nich

1. Personal data shall be rectified if inaccurate and, where this is possible and necessary, completed or updated.

1. Dane osobowe są korygowane, jeżeli są nieścisłe, oraz w miarę możliwości i potrzeb uzupełniane i aktualizowane.

2. Personal data shall be erased or made anonymous when they are no longer required for the purposes for which they were lawfully collected or are lawfully further processed. Archiving of those data in a separate data set for an appropriate period in accordance with national law shall not be affected by this provision.

2. Dane osobowe zostają usunięte lub zanonimizowane, jeżeli nie są już potrzebne w celach, do których zostały legalnie zgromadzone lub w których są legalnie dalej przetwarzane. Niniejszy przepis nie wpływa na archiwizację tych danych w osobnym zbiorze przez odpowiedni okres zgodnie z prawem krajowym.

3. Personal data shall be blocked instead of erased if there are reasonable grounds to believe that erasure could affect the legitimate interests of the data subject. Blocked data shall be processed only for the purpose which prevented their erasure.

3. Dane osobowe blokuje się zamiast ich usunięcia, jeżeli istnieją uzasadnione podstawy, by sądzić, że usunięcie danych godziłoby w słuszne interesy osoby, której dotyczą dane. Dane, do których dostęp został zablokowany, mogą być przetwarzane jedynie w celu, z uwagi na który ich usunięcie nie było możliwe.

4. When the personal data are contained in a judicial decision or record related to the issuance of a judicial decision, the rectification, erasure or blocking shall be carried out in accordance with national rules on judicial proceedings.

4. Jeżeli dane osobowe są zawarte w orzeczeniu sądowym lub zapisie związanym z wydaniem orzeczenia sądowego, korektę, usunięcie lub zablokowanie dostępu przeprowadza się zgodnie z krajowymi przepisami dotyczącymi postępowania sądowego.

Article 5

Artykuł 5

Establishment of time limits for erasure and review

Ustalenie terminów usunięcia danych i przeglądu

Appropriate time limits shall be established for the erasure of personal data or for a periodic review of the need for the storage of the data. Procedural measures shall ensure that these time limits are observed.

Ustala się odpowiednie terminy usunięcia danych osobowych lub okresowego przeglądu, mającego na celu ustalenie potrzeby dalszego przechowywania danych. Przestrzeganie tych terminów zapewniają odpowiednie rozwiązania proceduralne.

Article 6

Artykuł 6

Processing of special categories of data

Przetwarzanie szczególnych kategorii danych

The processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs or trade-union membership and the processing of data concerning health or sex life shall be permitted only when this is strictly necessary and when the national law provides adequate safeguards.

Dane osobowe, które ujawniają pochodzenie rasowe i etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe albo przynależność do związków zawodowych, oraz dane osobowe dotyczące stanu zdrowia i seksualności wolno przetwarzać tylko wtedy, gdy jest to bezwzględnie konieczne i gdy prawo krajowe przewiduje stosowne gwarancje.

Article 7

Artykuł 7

Automated individual decisions

Zautomatyzowane decyzje w indywidualnych sprawach

A decision which produces an adverse legal effect for the data subject or significantly affects him and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to the data subject shall be permitted only if authorised by a law which also lays down measures to safeguard the data subject’s legitimate interests.

Decyzja wywołująca niekorzystne skutki prawne dla osoby, której dotyczą dane, lub mająca na tę osobę istotny wpływ i oparta wyłącznie na zautomatyzowanym przetwarzaniu danych mającym służyć ocenie niektórych aspektów o charakterze osobistym dotyczących osoby, której dotyczą dane, jest dopuszczalna tylko w przypadkach dozwolonych prawem, które przewiduje również środki ochrony uzasadnionych interesów osoby, której dotyczą dane.

Article 8

Artykuł 8

Verification of quality of data that are transmitted or made available

Weryfikacja jakości przekazywanych lub udostępnianych danych

1. The competent authorities shall take all reasonable steps to provide that personal data which are inaccurate, incomplete or no longer up to date are not transmitted or made available. To that end, the competent authorities shall, as far as practicable, verify the quality of personal data before they are transmitted or made available. As far as possible, in all transmissions of data, available information shall be added which enables the receiving Member State to assess the degree of accuracy, completeness, up-to-dateness and reliability. If personal data were transmitted without request the receiving authority shall verify without delay whether these data are necessary for the purpose for which they were transmitted.

1. Właściwe organy podejmują wszelkie uzasadnione działania, aby nieścisłe, niepełne lub nieaktualne już dane osobowe nie były przekazywane ani udostępniane. W tym celu właściwe organy w miarę możliwości weryfikują jakość danych osobowych przed ich przekazaniem lub udostępnieniem. Ilekroć przekazuje się dane, dołącza się do nich w miarę możliwości informacje, dzięki którym odbierające je państwo członkowskie może ocenić stopień ścisłości, kompletności, aktualności i rzetelności tych danych. Jeżeli dane osobowe zostały przekazane w braku wniosku, odbierający je organ bezzwłocznie sprawdza, czy dane te są potrzebne w celach, w których zostały przekazane.

2. If it emerges that incorrect data have been transmitted or data have been unlawfully transmitted, the recipient must be notified without delay. The data must be rectified, erased, or blocked without delay in accordance with Article 4.

2. Jeżeli stwierdzono, że przekazano dane nieprawidłowe lub że dane przekazano nielegalnie, należy o tym bezzwłocznie poinformować odbiorcę. Takie dane muszą zostać bezzwłocznie skorygowane, usunięte lub zablokowane zgodnie z art. 4.

Article 9

Artykuł 9

Time limits

Terminy

1. Upon transmission or making available of the data, the transmitting authority may in line with the national law and in accordance with Articles 4 and 5, indicate the time limits for the retention of data, upon the expiry of which the recipient must erase or block the data or review whether or not they are still needed. This obligation shall not apply if, at the time of the expiry of these time limits, the data are required for a current investigation, prosecution of criminal offences or enforcement of criminal penalties.

1. W momencie przekazania lub udostępniania danych organ przekazujący może, zgodnie z prawem krajowym i zgodnie z art. 4 i 5, wskazać terminy przechowywania danych, po których upływie odbiorca musi te dane usunąć lub zablokować, lub dokonać przeglądu, mającego na celu ustalenie ich dalszej przydatności. Obowiązek ten nie ma zastosowania, jeżeli – w chwili upłynięcia tych terminów – dane są wymagane na potrzeby bieżącego ścigania lub karania przestępstw lub wykonywania sankcji karnych.

2. Where the transmitting authority has not indicated a time limit in accordance with paragraph 1, the time limits referred to in Articles 4 and 5 for the retention of data provided for under the national law of the receiving Member State shall apply.

2. Jeżeli organ przekazujący dane nie wskazał terminu zgodnie z ust. 1, stosuje się terminy przechowywania danych określone prawem krajowym odbierającego je państwa członkowskiego, o których mowa w art. 4 i 5.

Article 10

Artykuł 10

Logging and documentation

Odnotowywanie i dokumentacja

1. All transmissions of personal data are to be logged or documented for the purposes of verification of the lawfulness of the data processing, self-monitoring and ensuring proper data integrity and security.

1. Każdy przypadek przekazania danych osobowych należy odnotować lub udokumentować w celach weryfikacji legalności przetwarzania danych i samokontroli oraz zapewnienia odpowiedniej integralności i bezpieczeństwa danych.

2. Logs or documentation prepared under paragraph 1 shall be communicated on request to the competent supervisory authority for the control of data protection. The competent supervisory authority shall use this information only for the control of data protection and for ensuring proper data processing as well as data integrity and security.

2. Wpisy lub dokumentacja sporządzone na mocy ust. 1 udostępniane są właściwemu organowi nadzoru, na jego żądanie, w celu kontroli ochrony danych. Właściwy organ nadzoru wykorzystuje te informacje wyłącznie w celu kontroli ochrony danych oraz zapewnienia odpowiedniego przetwarzania danych, jak również integralności i bezpieczeństwa danych.

Article 11

Artykuł 11

Processing of personal data received from or made available by another Member State

Przetwarzanie danych osobowych otrzymanych lub udostępnionych przez inne państwo członkowskie

Personal data received from or made available by the competent authority of another Member State may, in accordance with the requirements of Article 3(2), be further processed only for the following purposes other than those for which they were transmitted or made available:

Dane osobowe otrzymane lub udostępnione przez właściwy organ innego państwa członkowskiego mogą być dalej przetwarzane zgodnie z wymogami określonymi w art. 3 ust. 2 wyłącznie w następujących celach, innych niż te, do których zostały przekazane lub udostępnione:

(a) the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties other than those for which they were transmitted or made available;

a) zapobieganie przestępstwom, ich ściganie, wykrywanie lub karanie lub wykonywanie sankcji karnych – w odniesieniu do przestępstw i sankcji karnych innych niż te, w stosunku do których przekazano lub udostępniono przedmiotowe dane;

(b) other judicial and administrative proceedings directly related to the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;

b) inne postępowania sądowe i administracyjne bezpośrednio związane z zapobieganiem przestępstwom, ich ściganiem, wykrywaniem lub karaniem lub z wykonywaniem sankcji karnych;

c) zażegnania bezpośredniego i poważnego zagrożenia bezpieczeństwa publicznego; lub

(d) any other purpose only with the prior consent of the transmitting Member State or with the consent of the data subject, given in accordance with national law.

d) w innym celu — wyłącznie za uprzednią zgodą państwa członkowskiego przekazującego dane lub za zgodą osoby, której dotyczą dane, udzieloną zgodnie z prawem krajowym.

Article 12

Artykuł 12

Compliance with national processing restrictions

Przestrzeganie krajowych ograniczeń w przetwarzaniu danych

1. Where, under the law of the transmitting Member State, specific processing restrictions apply in specific circumstances to data exchanges between competent authorities within that Member State, the transmitting authority shall inform the recipient of such restrictions. The recipient shall ensure that these processing restrictions are met.

1. Jeżeli, zgodnie z prawem przekazującego państwa członkowskiego, w określonych przypadkach do wymiany danych między właściwymi organami w tym państwie członkowskim mają zastosowanie szczególne ograniczenia w przetwarzaniu danych, organ przekazujący informuje odbiorcę o takich ograniczeniach. Odbiorca zapewnia, aby te ograniczenia w przetwarzaniu były przestrzegane.

2. When applying paragraph 1, Member States shall not apply restrictions regarding data transmissions to other Member States or to agencies or bodies established pursuant to Title VI of the Treaty on European Union other than those applicable to similar national data transmissions.

2. W ramach stosowania ust. 1 państwa członkowskie nie stosują ograniczeń dotyczących przekazywania danych innym państwom członkowskim lub agencjom lub organom utworzonym na mocy tytułu VI Traktatu o Unii Europejskiej innych niż ograniczenia stosowane w analogicznych przypadkach przekazywania danych w kraju.

Article 13

Artykuł 13

Transfer to competent authorities in third States or to international bodies

Przekazywanie danych właściwym organom w państwach trzecich lub instytucjom międzynarodowym

1. Member States shall provide that personal data transmitted or made available by the competent authority of another Member State may be transferred to third States or international bodies, only if:

1. Państwa członkowskie określają, że dane osobowe przekazane lub udostępnione przez właściwy organ innego państwa członkowskiego mogą być przekazywane państwom trzecim lub instytucjom międzynarodowym tylko wtedy, gdy:

(a) it is necessary for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;

a) jest to konieczne do zapobiegania przestępstwom, ich ścigania, wykrywania lub karania lub do wykonywania sankcji karnych;

(b) the receiving authority in the third State or receiving international body is responsible for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;

b) otrzymujący organ w państwie trzecim lub otrzymująca instytucja międzynarodowa odpowiadają za zapobieganie przestępstwom, ich ściganie, wykrywanie lub karanie lub za wykonywanie sankcji karnych;

(c) the Member State from which the data were obtained has given its consent to transfer in compliance with its national law; and

c) państwo członkowskie, od którego uzyskano dane, wyraziło zgodę na ich przekazanie zgodnie ze swoim prawem krajowym; oraz

(d) the third State or international body concerned ensures an adequate level of protection for the intended data processing.

d) dane państwo trzecie lub dana instytucja międzynarodowa zapewniają odpowiedni stopień ochrony dla mającego nastąpić przetwarzania danych.

2. Transfer without prior consent in accordance with paragraph 1(c) shall be permitted only if transfer of the data is essential for the prevention of an immediate and serious threat to public security of a Member State or a third State or to essential interests of a Member State and the prior consent cannot be obtained in good time. The authority responsible for giving consent shall be informed without delay.

2. Przekazywanie danych bez uprzedniej zgody, o której mowa w ust. 1 lit. c), dopuszczalne jest jedynie wtedy, gdy przekazanie jest niezbędne dla zażegnania bezpośredniego i poważnego zagrożenia bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego lub podstawowych interesów państwa członkowskiego, a uprzedniej zgody nie można uzyskać na czas. Niezwłocznie informuje się o tym organ odpowiedzialny za wydanie zgody.

3. By way of derogation from paragraph 1(d), personal data may be transferred if:

3. Na zasadzie odstępstwa od ust. 1 lit. d) dane osobowe można przekazać, gdy:

(a) the national law of the Member State transferring the data so provides because of:

a) prawo krajowe państwa członkowskiego przekazującego na to zezwala ze względu na:

(i) legitimate specific interests of the data subject; or

(i) określony uzasadniony interes osoby, której dotyczą dane; lub

(ii) legitimate prevailing interests, especially important public interests; or

(ii) uzasadniony interes ogólny, zwłaszcza z uwagi na ważny interes publiczny; lub

(b) the third State or receiving international body provides safeguards which are deemed adequate by the Member State concerned according to its national law.

b) państwo trzecie lub otrzymująca instytucja międzynarodowa przewidują gwarancje, które dane państwo członkowskie uważa za odpowiednie zgodnie ze swoim prawem krajowym.

4. The adequacy of the level of protection referred to in paragraph 1(d) shall be assessed in the light of all the circumstances surrounding a data transfer operation or a set of data transfer operations. Particular consideration shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the State of origin and the State or international body of final destination of the data, the rules of law, both general and sectoral, in force in the third State or international body in question and the professional rules and security measures which apply.

4. Odpowiedniość stopnia ochrony, o którym mowa w ust. 1 lit. d), jest oceniana w świetle wszystkich okoliczności towarzyszących operacji przekazania danych lub zestawu takich operacji. Szczególną uwagę zwraca się na charakter danych, cel i czas trwania proponowanej operacji lub proponowanych operacji przetwarzania, państwo pochodzenia danych oraz państwo lub instytucję międzynarodową ostatecznego przeznaczenia danych, przepisy prawa — zarówno ogólne, jak i branżowe — obowiązujące w danym państwie trzecim lub w danej instytucji międzynarodowej oraz stosowane zasady zawodowe i środki zabezpieczenia.

Article 14

Artykuł 14

Transmission to private parties in Member States

Przekazywanie danych podmiotom prywatnym w państwach członkowskich

1. Member States shall provide that personal data received from or made available by the competent authority of another Member State may be transmitted to private parties only if:

1. Państwa członkowskie określają, że dane osobowe przekazane lub udostępnione przez właściwy organ innego państwa członkowskiego mogą być przekazywane podmiotom prywatnym tylko wtedy, gdy:

(a) the competent authority of the Member State from which the data were obtained has consented to transmission in compliance with its national law;

a) właściwy organ państwa członkowskiego, z którego uzyskano odnośne dane, wyraził zgodę na ich przekazanie zgodnie ze swoim prawem krajowym;

(b) no legitimate specific interests of the data subject prevent transmission; and

b) nie istnieje żaden szczególny uzasadniony interes osoby, której dotyczą dane, zapobiegający przekazaniu; oraz

c) w szczególnych przypadkach przekazanie danych ma dla właściwego organu, który przekazuje dane podmiotowi prywatnemu, zasadnicze znaczenie, z uwagi na:

(i) the performance of a task lawfully assigned to it;

(i) wykonywanie zadań przyznanych mu zgodnie z prawem;

(ii) the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;

(ii) zapobieganie przestępstwom, ich wykrywanie lub ściganie lub wykonywanie sankcji karnych;

(iii) the prevention of an immediate and serious threat to public security; or

(iii) zażegnanie bezpośredniego i poważnego zagrożenia bezpieczeństwa publicznego; lub

(iv) the prevention of serious harm to the rights of individuals.

(iv) zapobieżenie poważnemu naruszeniu praw osób fizycznych.

2. The competent authority transmitting the data to a private party shall inform the latter of the purposes for which the data may exclusively be used.

2. Właściwy organ przekazujący dane podmiotowi prywatnemu informuje go o celach, do jakich dane te mogą zostać wyłącznie wykorzystane.

Article 15

Artykuł 15

Information on request of the competent authority

Informacje udzielane na wniosek właściwego organu

The recipient shall, on request, inform the competent authority which transmitted or made available the personal data about their processing.

Na wniosek właściwego organu, który przekazał lub udostępnił dane osobowe, odbiorca informuje ten organ o ich przetwarzaniu.

Article 16

Artykuł 16

Information for the data subject

Informacje przeznaczone dla osoby, której dotyczą dane

1. Member States shall ensure that the data subject is informed regarding the collection or processing of personal data by their competent authorities, in accordance with national law.

1. Państwa członkowskie zapewniają, aby ich właściwe organy informowały zgodnie z prawem krajowym osobę, której dotyczą dane, o gromadzeniu lub przetwarzaniu jej danych osobowych.

2. When personal data have been transmitted or made available between Member States, each Member State may, in accordance with the provisions of its national law referred to in paragraph 1, ask that the other Member State does not inform the data subject. In such case the latter Member State shall not inform the data subject without the prior consent of the other Member State.

2. Jeżeli dane osobowe zostały przekazane lub udostępnione między państwami członkowskimi, każde państwo członkowskie może zgodnie z przepisami swojego prawa krajowego, o których mowa w ust. 1, zwrócić się do tego drugiego państwa członkowskiego z prośbą o nieinformowanie osoby, której dotyczą dane. W takim przypadku to drugie państwo członkowskie nie informuje osoby, której dotyczą dane, bez uprzedniej zgody tego pierwszego państwa członkowskiego.

Article 17

Artykuł 17

Right of access

Prawo dostępu

1. Every data subject shall have the right to obtain, following requests made at reasonable intervals, without constraint and without excessive delay or expense:

1. Każda osoba, której dotyczą dane, ma prawo otrzymać, na wniosek wyrażony w rozsądnych odstępach czasu, bez ograniczeń i bez nadmiernego opóźnienia lub nadmiernie wysokich kosztów:

(a) at least a confirmation from the controller or from the national supervisory authority as to whether or not data relating to him have been transmitted or made available and information on the recipients or categories of recipients to whom the data have been disclosed and communication of the data undergoing processing; or

a) przynajmniej potwierdzenie ze strony administratora danych lub krajowego organu nadzoru, czy odnoszące się do niej dane zostały przekazane lub udostępnione, oraz informacje o odbiorcy lub kategoriach odbiorców, którym dane zostały ujawnione, a także powiadomienie o tym, które dane są przetwarzane; lub

(b) at least a confirmation from the national supervisory authority that all necessary verifications have taken place.

b) przynajmniej potwierdzenie ze strony krajowego organu nadzoru, że dokonano wszystkich koniecznych weryfikacji.

2. The Member States may adopt legislative measures restricting access to information pursuant to paragraph 1(a), where such a restriction, with due regard for the legitimate interests of the person concerned, constitutes a necessary and proportional measure:

2. Państwa członkowskie mogą przyjmować środki ustawodawcze ograniczające dostęp do informacji, o których mowa w ust. 1 lit. a), jeżeli takie ograniczenie, z należytym uwzględnieniem uzasadnionego interesu odnośnej osoby, stanowi konieczny i proporcjonalny środek:

(a) to avoid obstructing official or legal inquiries, investigations or procedures;

a) pozwalający uniknąć przeszkód w urzędowych lub prawnych śledztwach, dochodzeniach lub postępowaniach;

(b) to avoid prejudicing the prevention, detection, investigation and prosecution of criminal offences or for the execution of criminal penalties;

b) pozwalający uniknąć niekorzystnego wpływu na zapobieganie przestępstwom, ich ściganie, wykrywanie lub karanie lub na wykonywanie sankcji karnych;

c) służący ochronie bezpieczeństwa publicznego;

(d) to protect national security;

d) służący ochronie bezpieczeństwa narodowego;

(e) to protect the data subject or the rights and freedoms of others.

e) służący ochronie osoby, której dotyczą dane, oraz praw i wolności innych osób.

3. Any refusal or restriction of access shall be set out in writing to the data subject. At the same time, the factual or legal reasons on which the decision is based shall also be communicated to him. The latter communication may be omitted where a reason under paragraph 2(a) to (e) exists. In all of these cases the data subject shall be advised that he may appeal to the competent national supervisory authority, a judicial authority or to a court.

3. Każda odmowa lub ograniczenie dostępu zostaje przedstawione na piśmie osobie, której dotyczą dane. Równocześnie przedstawia się jej podstawy faktyczne lub prawne, na których opiera się decyzja. Od ich przedstawienia można odstąpić w przypadkach, o których mowa w ust. 2 lit. a)–e). We wszystkich tych przypadkach poucza się osobę, której dotyczą dane, o możliwości wniesienia odwołania do właściwego krajowego organu nadzoru, organu sądowego lub sądu.

Article 18

Artykuł 18

Right to rectification, erasure or blocking

Prawo do uzyskania korekty danych, ich usunięcia lub zablokowania do nich dostępu

1. The data subject shall have the right to expect the controller to fulfil its duties in accordance with Articles 4, 8 and 9 concerning the rectification, erasure or blocking of personal data which arise from this Framework Decision. Member States shall lay down whether the data subject may assert this right directly against the controller or through the intermediary of the competent national supervisory authority. If the controller refuses rectification, erasure or blocking, the refusal must be communicated in writing to the data subject who must be informed of the possibilities provided for in national law for lodging a complaint or seeking judicial remedy. Upon examination of the complaint or judicial remedy, the data subject shall be informed whether the controller acted properly or not. Member States may also provide that the data subject shall be informed by the competent national supervisory authority that a review has taken place.

1. Osoba, której dotyczą dane, ma prawo oczekiwać, że administrator danych wywiąże się ze swoich obowiązków określonych w art. 4, 8 i 9, dotyczących korygowania, usuwania danych osobowych i blokowania do nich dostępu, a które to obowiązki wynikają z niniejszej decyzji ramowej. Państwa członkowskie decydują, czy osoba, której dotyczą dane, może dochodzić tego prawa bezpośrednio u administratora danych czy za pośrednictwem właściwego krajowego organu nadzoru. Jeżeli administrator danych odmówi skorygowania, usunięcia danych lub zablokowania do nich dostępu, odmowę tę należy przekazać osobie, której dotyczą dane, na piśmie oraz poinformować ją o możliwościach składania zażaleń lub korzystania ze środków odwoławczych przewidzianych prawem krajowym. Po rozpatrzeniu zażalenia lub środka odwoławczego informuje się osobę, której dotyczą dane, czy administrator danych działał właściwie. Państwa członkowskie mogą także postanowić, że osoba, której dotyczą dane, zostaje poinformowana przez właściwy krajowy organ nadzoru, że przeprowadzono przegląd.

2. If the accuracy of an item of personal data is contested by the data subject and its accuracy or inaccuracy cannot be ascertained, referencing of that item of data may take place.

2. Jeżeli osoba, której dotyczą dane, kwestionuje ścisłość jakiegoś elementu swoich danych osobowych, i o ścisłości tego elementu nie można rozstrzygnąć, w odniesieniu do tego elementu można wstawić odnośnik.

Article 19

Artykuł 19

Right to compensation

Prawo do odszkodowania

1. Any person who has suffered damage as a result of an unlawful processing operation or of any act incompatible with the national provisions adopted pursuant to this Framework Decision shall be entitled to receive compensation for the damage suffered from the controller or other authority competent under national law.

1. Każda osoba, która poniosła szkodę w wyniku niezgodnej z prawem operacji przetwarzania danych lub w wyniku innego czynu niezgodnego z przepisami krajowymi przyjętymi zgodnie z niniejszą decyzją ramową, jest uprawniona do otrzymania odszkodowania za wyrządzoną szkodę od administratora danych lub innego organu właściwego zgodnie z prawem krajowym.

2. Where a competent authority of a Member State has transmitted personal data, the recipient cannot, in the context of its liability vis-à-vis the injured party in accordance with national law, cite in its defence that the data transmitted were inaccurate. If the recipient pays compensation for damage caused by the use of incorrectly transmitted data, the transmitting competent authority shall refund to the recipient the amount paid in damages, taking into account any fault that may lie with the recipient.

2. Jeżeli dane osobowe zostały przekazane przez właściwy organ innego państwa członkowskiego, odbiorca, ponosząc zgodnie z prawem krajowym odpowiedzialność wobec poszkodowanego, nie może na swoją obronę powoływać się na zarzut nieścisłości otrzymanych danych. Jeżeli odbiorca wypłaci odszkodowanie za szkodę spowodowaną korzystaniem z nieprawidłowo przekazanych danych, właściwy organ, które dane te przekazał, zwraca odbiorcy kwotę wypłaconego odszkodowania, uwzględniając ewentualne błędy leżące po stronie odbiorcy.

Article 20

Artykuł 20

Judicial remedies

Środki odwoławcze

Without prejudice to any administrative remedy for which provision may be made prior to referral to the judicial authority, the data subject shall have the right to a judicial remedy for any breach of the rights guaranteed to him by the applicable national law.

Bez uszczerbku dla możliwości skorzystania z administracyjnych środków odwoławczych, jakie mogą być przewidziane przed skierowaniem sprawy do organu sądowego, osoba, której dotyczą dane, ma prawo do skorzystania ze środka odwoławczego w przypadku naruszenia jej praw zagwarantowanych obowiązującym prawem krajowym.

Article 21

Artykuł 21

Confidentiality of processing

Poufność przetwarzania danych

1. Any person who has access to personal data which fall within the scope of this Framework Decision may process such data only if that person is a member of, or acts on instructions of, the competent authority, unless he is required to do so by law.

1. Każda osoba, które ma dostęp do danych osobowych objętych zakresem stosowania niniejszej decyzji ramowej, może przetwarzać te dane tylko wtedy, gdy jest pracownikiem właściwego organu lub gdy działa na jego polecenie, chyba że obowiązek przetwarzania wynika z mocy prawa.

2. Persons working for a competent authority of a Member State shall be bound by all the data protection rules which apply to the competent authority in question.

2. Osoby pracujące we właściwym organie państwa członkowskiego podlegają wszystkim przepisom o ochronie danych, które obowiązują dany właściwy organ.

Article 22

Artykuł 22

Security of processing

Bezpieczeństwo przetwarzania danych

1. Member States shall provide that the competent authorities must implement appropriate technical and organisational measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission over a network or the making available by granting direct automated access, and against all other unlawful forms of processing, taking into account in particular the risks represented by the processing and the nature of the data to be protected. Having regard to the state of the art and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected.

1. Państwa członkowskie określają, że właściwe organy muszą wdrożyć odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed ich przypadkowym lub nielegalnym zniszczeniem, przypadkową utratą, modyfikacją, nieuprawnionym ujawnieniem lub dostępem do nich — w szczególności gdy przetwarzanie wiąże się z przekazywaniem danych za pomocą sieci lub z udostępnianiem ich przez udzielenie bezpośredniego zautomatyzowanego dostępu do nich — oraz przed wszelkimi innymi niedozwolonymi formami przetwarzania; należy przy tym uwzględnić zwłaszcza ryzyko wiążące się z przetwarzaniem i charakterem danych podlegających ochronie. Biorąc pod uwagę poziom rozwoju techniki i koszty ich wdrożenia, środki takie muszą zapewniać poziom bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem i charakterem danych podlegających ochronie.

2. In respect of automated data processing each Member State shall implement measures designed to:

2. W zakresie zautomatyzowanego przetwarzania danych każde państwo członkowskie wdraża środki przeznaczone do:

(a) deny unauthorised persons access to data-processing equipment used for processing personal data (equipment access control);

a) uniemożliwienia osobom nieuprawnionym dostępu do infrastruktury przetwarzania danych, wykorzystywanej do przetwarzania danych osobowych (kontrola dostępu do infrastruktury);

(b) prevent the unauthorised reading, copying, modification or removal of data media (data media control);

b) zabezpieczenia przed nieuprawnionym odczytem, kopiowaniem, modyfikowaniem lub usuwaniem nośników danych (kontrola nośników danych);

(c) prevent the unauthorised input of data and the unauthorised inspection, modification or deletion of stored personal data (storage control);

c) uniemożliwienia nieuprawnionego wprowadzania danych i nieuprawnionego studiowania, zmieniania lub usuwania przechowywanych danych osobowych (kontrola przechowywania danych);

(d) prevent the use of automated data-processing systems by unauthorised persons using data communication equipment (user control);

d) uniemożliwienia korzystania z systemów zautomatyzowanego przetwarzania danych przez osoby nieuprawnione, używające sprzętu do przekazywania danych (kontrola użytkowników);

(e) ensure that persons authorised to use an automated data-processing system only have access to the data covered by their access authorisation (data access control);

e) zapewnienia, aby osoby uprawnione do korzystania z systemu zautomatyzowanego przetwarzania danych miały dostęp wyłącznie do danych objętych posiadanym przez siebie upoważnieniem (kontrola dostępu do danych);

(f) ensure that it is possible to verify and establish to which bodies personal data have been or may be transmitted or made available using data communication equipment (communication control);

f) zapewnienia możliwości zweryfikowania i stwierdzenia, jakim organom dane osobowe zostały lub mogą zostać przesłane lub udostępnione za pomocą sprzętu do przekazywania danych (kontrola przesyłania danych);

(g) ensure that it is subsequently possible to verify and establish which personal data have been input into automated data-processing systems and when and by whom the data were input (input control);

g) zapewnienia możliwości następczego zweryfikowania i stwierdzenia, jakie dane osobowe zostały wprowadzone do systemów automatycznego przetwarzania danych, kiedy i przez kogo (kontrola wprowadzania danych);

(h) prevent the unauthorised reading, copying, modification or deletion of personal data during transfers of personal data or during transportation of data media (transport control);

h) przeciwdziałania nieautoryzowanemu odczytowi, kopiowaniu, modyfikowaniu lub usuwaniu danych osobowych podczas przekazywania danych osobowych lub podczas przenoszenia nośników danych (kontrola transportu);

(i) ensure that installed systems may, in case of interruption, be restored (recovery);

i) zapewnienia przywrócenia zainstalowanego systemu w przypadku awarii (przywracalność); oraz

(j) ensure that the functions of the system perform, that the appearance of faults in the functions is reported (reliability) and that stored data cannot be corrupted by means of a malfunctioning of the system (integrity).

j) zapewnienia wykonywania przez system swoich funkcji i zgłaszania występujących w nich błędów (niezawodność) oraz zapewnienia zapobieżenia uszkodzeniom przechowywanych danych spowodowanym błędnym działaniem systemu (integralność).

3. Member States shall provide that processors may be designated only if they guarantee that they observe the requisite technical and organisational measures under paragraph 1 and comply with the instructions under Article 21. The competent authority shall monitor the processor in those respects.

3. Państwa członkowskie określają, że przetwarzający dane mogą zostać wyznaczeni wyłącznie, jeżeli gwarantują wdrożenie wymaganych środków technicznych i organizacyjnych zgodnie z ust. 1 oraz przestrzegają zasad określonych w art. 21. Nadzór nad przetwarzającym dane jest sprawowany w tym względzie przez właściwy organ.

4. Personal data may be processed by a processor only on the basis of a legal act or a written contract.

4. Przetwarzający dane może przetwarzać dane osobowe jedynie na podstawie aktu prawnego lub pisemnej umowy.

Article 23

Artykuł 23

Prior consultation

Uprzednie konsultacje

Member States shall ensure that the competent national supervisory authorities are consulted prior to the processing of personal data which will form part of a new filing system to be created where:

Państwa członkowskie zapewniają, aby — przed przetworzeniem danych osobowych, które będą stanowić część mającego powstać nowego zbioru danych — przeprowadzono konsultacje z właściwymi krajowymi organami nadzoru, jeżeli:

(a) special categories of data referred to in Article 6 are to be processed; or

a) przetwarzane mają być szczególne kategorie danych, o których mowa w art. 6; lub

(b) the type of processing, in particular using new technologies, mechanism or procedures, holds otherwise specific risks for the fundamental rights and freedoms, and in particular the privacy, of the data subject.

b) sposób przetwarzania, w szczególności stosowanie nowych technologii, mechanizmów lub procedur, niesie ze sobą określone ryzyko dla podstawowych praw i wolności osoby, której dotyczą dane, a zwłaszcza jej prywatności.

Article 24

Artykuł 24

Penalties

Sankcje

Member States shall adopt suitable measures to ensure the full implementation of the provisions of this Framework Decision and shall in particular lay down effective, proportionate and dissuasive penalties to be imposed in case of infringements of the provisions adopted pursuant to this Framework Decision.

Państwa członkowskie przyjmują odpowiednie środki w celu zapewnienia pełnego wdrożenia przepisów niniejszej decyzji ramowej oraz określają w szczególności skuteczne, proporcjonalne i odstraszające sankcje za naruszenie przepisów przyjmowanych zgodnie z niniejszą decyzją ramową.

Article 25

Artykuł 25

National supervisory authorities

Krajowe organy nadzoru

1. Each Member State shall provide that one or more public authorities are responsible for advising and monitoring the application within its territory of the provisions adopted by the Member States pursuant to this Framework Decision. These authorities shall act with complete independence in exercising the functions entrusted to them.

1. Każde państwo członkowskie określa, że co najmniej jeden organ władzy publicznej odpowiada za prowadzenie doradztwa i monitorowania w zakresie stosowania na jego terytorium przepisów przyjętych przez państwa członkowskie zgodnie z niniejszą decyzją ramową. Powierzone funkcje organy te wypełniają w sposób całkowicie niezależny.

2. Each authority shall in particular be endowed with:

2. Każdemu organowi nadaje się w szczególności:

(a) investigative powers, such as powers of access to data forming the subject matter of processing operations and powers to collect all the information necessary for the performance of its supervisory duties;

a) uprawnienia dochodzeniowe, takie jak prawo do dostępu do danych, które stanowią przedmiot operacji przetwarzania, oraz prawo do gromadzenia wszelkich informacji potrzebnych mu do wykonywania swoich funkcji nadzorczych;

(b) effective powers of intervention, such as, for example, that of delivering opinions before processing operations are carried out, and ensuring appropriate publication of such opinions, of ordering the blocking, erasure or destruction of data, of imposing a temporary or definitive ban on processing, of warning or admonishing the controller, or that of referring the matter to national parliaments or other political institutions;

b) skuteczne uprawnienia interwencyjne — takie jak wydawanie opinii przed przeprowadzeniem operacji przetwarzania danych oraz zapewnienie odpowiedniej publikacji takich opinii; nakazywanie blokady dostępu do danych, ich usunięcia lub zniszczenia; nakładanie czasowego lub ostatecznego zakazu przetwarzania danych; wydawanie administratorowi danych ostrzeżeń lub upomnień lub przekazywanie sprawy parlamentowi państwa członkowskiego lub innym instytucjom politycznym;

(c) the power to engage in legal proceedings where the national provisions adopted pursuant to this Framework Decision have been infringed or to bring this infringement to the attention of the judicial authorities. Decisions by the supervisory authority which give rise to complaints may be appealed against through the courts.

c) uprawnienie do podejmowania postępowań prawnych w przypadku naruszenia krajowych przepisów przyjętych na mocy niniejszej decyzji ramowej lub do powiadamiania organów sądowych o takich naruszeniach. Od decyzji organu nadzoru, stanowiących podstawę skargi, przysługuje odwołanie do sądu.

3. Each supervisory authority shall hear claims lodged by any person concerning the protection of his rights and freedoms in regard to the processing of personal data. The person concerned shall be informed of the outcome of the claim.

3. Każdy organ nadzoru rozpatruje wnioski złożone przez dowolną osobę, dotyczące ochrony jej praw i swobód w odniesieniu do przetwarzania danych osobowych. Daną osobę powiadamia się o wyniku rozpatrzenia wniosku.

4. Member States shall provide that the members and staff of the supervisory authority are bound by the data protection provisions applicable to the competent authority in question and, even after their employment has ended, are to be subject to a duty of professional secrecy with regard to confidential information to which they have access.

4. Państwa członkowskie określają, że pracownicy i urzędnicy organów nadzoru podlegają tym samym przepisom o ochronie danych, które obowiązują dany właściwy organ, oraz — nawet po upływie ich okresu zatrudnienia — obowiązkowi zachowania tajemnicy zawodowej w odniesieniu do informacji poufnych, do których mieli dostęp.

Article 26

Artykuł 26

Relationship to agreements with third States

Stosunek względem umów z państwami trzecimi

This Framework Decision is without prejudice to any obligations and commitments incumbent upon Member States or upon the Union by virtue of bilateral and/or multilateral agreements with third States existing at the time of adoption of this Framework Decision.

Niniejsza decyzja ramowa nie narusza istniejących obowiązków i zobowiązań państw członkowskich lub Unii wynikających z dwu- lub wielostronnych umów z państwami trzecimi obowiązujących w dniu przyjęcia niniejszej decyzji ramowej.

In the application of these agreements, the transfer to a third State of personal data obtained from another Member State, shall be carried out while respecting Article 13(1)(c) or (2), as appropriate.

W ramach wykonywania tych umów przekazywanie danych osobowych otrzymanych od innego państwa członkowskiego państwu trzeciemu odbywa się z poszanowaniem, odpowiednio, art. 13 ust. 1 lit. c) lub art. 13 ust. 2.

Article 27

Artykuł 27

Evaluation

Ocena

1. Member States shall report to the Commission by 27 November 2013 on the national measures they have taken to ensure full compliance with this Framework Decision, and particularly with regard to those provisions that already have to be complied with when data is collected. The Commission shall examine in particular the implications of those provisions for the scope of this Framework Decision as laid down in Article 1(2).

1. Do dnia 27 listopada 2013 r. państwa członkowskie składają Komisji sprawozdania na temat krajowych środków zastosowanych w celu zapewnienia pełnego przestrzegania niniejszej decyzji ramowej, a zwłaszcza na temat przepisów, które muszą być przestrzegane już na etapie gromadzenia danych. Komisja bada w szczególności wpływ tych przepisów na zakres zastosowania niniejszej decyzji ramowej określony w art. 1 ust. 2.

2. The Commission shall report to the European Parliament and the Council within one year on the outcome of the evaluation referred to in paragraph 1, and shall accompany its report with any appropriate proposals for amendments to this Framework Decision.

2. W terminie jednego roku Komisja składa Parlamentowi Europejskiemu i Radzie sprawozdanie z wyników oceny, o której mowa w ust. 1, i załącza do niego odpowiednie propozycje zmian do niniejszej decyzji ramowej.

Article 28

Artykuł 28

Relationship to previously adopted acts of the Union

Związek z uprzednio przyjętymi aktami Unii

Where in acts, adopted under Title VI of the Treaty on European Union prior to the date of entry into force of this Framework Decision and regulating the exchange of personal data between Member States or the access of designated authorities of Member States to information systems established pursuant to the Treaty establishing the European Community, specific conditions have been introduced as to the use of such data by the receiving Member State, these conditions shall take precedence over the provisions of this Framework Decision on the use of data received from or made available by another Member State.

Jeżeli akty, które przyjęto na podstawie tytułu VI Traktatu o Unii Europejskiej przed wejściem w życie niniejszej decyzji ramowej i które regulują wymianę danych osobowych między państwami członkowskimi lub dostęp wyznaczonych organów państw członkowskich do systemów informacyjnych utworzonych zgodnie z Traktatem ustanawiającym Wspólnotę Europejską, wprowadziły szczegółowe warunki korzystania z takich danych przez otrzymujące je państwo członkowskie, to warunki te są nadrzędne względem przepisów niniejszej decyzji ramowej dotyczących korzystania z danych, które przekazało lub udostępniło inne państwo członkowskie.

Article 29

Artykuł 29

Implementation

Wdrożenie

1. Member States shall take the necessary measures to comply with the provisions of this Framework Decision before 27 November 2010.

1. Państwa członkowskie podejmują niezbędne środki w celu wykonania przepisów niniejszej decyzji ramowej przed dniem 27 listopada 2010 r.

2. By the same date Member States shall transmit to the General Secretariat of the Council and to the Commission the text of the provisions transposing into their national law the obligations imposed on them under this Framework Decision, as well as information on the supervisory authorities referred to in Article 25. On the basis of a report established using this information by the Commission, the Council shall, before 27 November 2011, assess the extent to which Member States have complied with the provisions of this Framework Decision.

2. W tym samym terminie państwa członkowskie przekazują Sekretariatowi Generalnemu Rady i Komisji tekst przepisów przenoszących obowiązki nałożone na nie na mocy niniejszej decyzji ramowej do ich prawa krajowego, oraz informacje o organach nadzoru, o których mowa w art. 25. Na podstawie sprawozdania opracowanego przez Komisję w oparciu o te informacje Rada ocenia przed dniem 27 listopada 2011 r., w jakim zakresie państwa członkowskie wykonały przepisy niniejszej decyzji ramowej.

Article 30

Artykuł 30

Entry into force

Wejście w życie

This Framework Decision shall enter into force on the 20th day following its publication in the Official Journal of the European Union.

Niniejsza decyzja ramowa wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Done at Brussels, 27 November 2008.

Sporządzono w Brukseli, dnia 27 listopada 2008 r.

For the Council

W imieniu Rady

The President

M. Alliot-Marie

Przewodniczący

[1] OJ C 125 E, 22.5.2008, p. 154.

[1] Dz.U. C 125 E z 22.5.2008, s. 154.

[2] OJ C 198, 12.8.2005, p. 1.

[2] Dz.U. C 198 z 12.8.2005, s. 1.

[3] OJ L 281, 23.11.1995, p. 31.

[3] Dz.U. L 281 z 23.11.1995, s. 31.

[4] OJ L 8, 12.1.2001, p. 1.

[4] Dz.U. L 8 z 12.1.2001, s. 1.

[5] OJ L 201, 31.7.2002, p. 37.

[5] Dz.U. L 201 z 31.7.2002, s. 37.

[6] OJ L 69, 16.3.2005, p. 67.

[6] Dz.U. L 69 z 16.3.2005, s. 67.

[7] OJ L 210, 6.8.2008, p. 1.

[7] Dz.U. L 210 z 6.8.2008, s. 1.

[8] OJ L 131, 1.6.2000, p. 43.

[8] Dz.U. L 131 z 1.6.2000, s. 43.

[9] OJ L 64, 7.3.2002, p. 20.

[9] Dz.U. L 64 z 7.3.2002, s. 20.

[10] OJ L 176, 10.7.1999, p. 36.

[10] Dz.U. L 176 z 10.7.1999, s. 36.

[11] OJ L 176, 10.7.1999, p. 31.

[11] Dz.U. L 176 z 10.7.1999, s. 31.

[12] OJ L 53, 27.2.2008, p. 52.

[12] Dz.U. L 53 z 27.2.2008, s. 52.

[13] OJ L 53, 27.2.2008, p. 50.

[13] Dz.U. L 53 z 27.2.2008, s. 50.

[14] OJ L 83, 26.3.2008, p. 5.

[14] Dz.U. L 83 z 26.3.2008, s. 5.

[15] OJ C 303, 14.12.2007, p. 1.

[15] Dz.U. C 303 z 14.12.2007, s. 1.

--------------------------------------------------

Top

BG CS DA DE EL EN ES ET FI FR HU IT LT LV MT NL PL PT RO SK SL SV	BG CS DA DE EL EN ES ET FI FR HU IT LT LV MT NL PL PT RO SK SL SV
en	pl

Bilingual display

en

pl