Help Print this page 

Document 31995L0046

Title and reference
Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995 . o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka
  • In force
OJ L 281, 23.11.1995, p. 31–50 (ES, DA, DE, EL, EN, FR, IT, NL, PT, FI, SV)
Special edition in Czech: Chapter 13 Volume 015 P. 355 - 374
Special edition in Estonian: Chapter 13 Volume 015 P. 355 - 374
Special edition in Latvian: Chapter 13 Volume 015 P. 355 - 374
Special edition in Lithuanian: Chapter 13 Volume 015 P. 355 - 374
Special edition in Hungarian Chapter 13 Volume 015 P. 355 - 374
Special edition in Maltese: Chapter 13 Volume 015 P. 355 - 374
Special edition in Polish: Chapter 13 Volume 015 P. 355 - 374
Special edition in Slovak: Chapter 13 Volume 015 P. 355 - 374
Special edition in Slovene: Chapter 13 Volume 015 P. 355 - 374
Special edition in Bulgarian: Chapter 13 Volume 017 P. 10 - 29
Special edition in Romanian: Chapter 13 Volume 017 P. 10 - 29
Special edition in Croatian: Chapter 13 Volume 007 P. 88 - 107

ELI: http://data.europa.eu/eli/dir/1995/46/oj
Multilingual display
Text

13/Sv. 007

HR

Službeni list Europske unije

88


31995L0046


L 281/31

SLUŽBENI LIST EUROPSKE UNIJE

24.10.1995.


DIREKTIVA 95/46/EZ EUROPSKOG PARLAMENTA I VIJEĆA

od 24. listopada 1995.

o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o osnivanju Europske zajednice, a posebno njegov članak 100.a,

uzimajući u obzir prijedlog Komisije (1),

uzimajući u obzir mišljenje Gospodarskog i socijalnog odbora (2),

u skladu s postupkom predviđenim u članku 189.b Ugovora (3),

(1)

budući da ciljevi Zajednice, kako je predviđeno Ugovorom koji je izmijenjen Ugovorom o Europskoj uniji, obuhvaćaju stvaranje sve čvršćeg saveza između naroda Europe, jačajući bliskije odnose između država koje pripadaju Zajednici, osiguravajući gospodarski i socijalni napredak zajedničkom akcijom kako bi se uklonile zapreke koje razdvajaju Europu, ohrabrujući stalno poboljšanje uvjeta života svojih naroda, čuvajući i jačajući mir i slobodu i promicanje demokracije na temelju temeljnih prava priznatih u ustavu i zakonima država članica te u Europskoj konvenciji za zaštitu ljudskih prava i temeljnih sloboda;

(2)

budući da su sustavi za obradu podataka osmišljeni da služe čovjeku; budući da moraju, bez obzira na nacionalnost ili boravište fizičkih osoba, poštivati njihova temeljna prava i slobode, pravo na privatnost, te doprinositi gospodarskom i socijalnom napretku, širenju trgovine i dobrobiti pojedinaca;

(3)

budući da uspostava i funkcioniranje unutarnjeg tržišta u kojem je, u skladu s člankom 7.a Ugovora, osigurano slobodno kretanje roba, osoba, usluga i kapitala, zahtijeva ne samo slobodno kretanje osobnih podataka iz jedne države članice u drugu, nego i očuvanje temeljnih prava pojedinaca;

(4)

budući da se u Zajednici sve više pribjegava obradi osobnih podataka u raznim područjima gospodarske i socijalne aktivnosti; budući da napredak ostvaren u računalnoj tehnologiji znatno olakšava obradu i razmjenu takvih podataka;

(5)

budući da će gospodarska i socijalna integracija koja proizlazi iz uspostave i funkcioniranja unutarnjeg tržišta u smislu članka 7.a Ugovora neophodno dovesti do znatnog povećanja u prekograničnom prijenosu osobnih podataka između svih onih koji su u privatnoj ili javnoj ulozi uključeni u gospodarske i socijalne aktivnosti u državama članicama; budući da će se razmjena osobnih podataka između poduzetnika u različitim državama članicama povećati; budući da se državna tijela u raznim državama članicama na temelju prava Zajednice pozivaju na suradnju i razmjenu osobnih podataka kako bi mogli izvršavati svoje ovlasti ili izvršavati zadatke u ime nekog tijela u drugoj državi članici u smislu područja bez unutarnjih granica kako je utemeljeno unutarnjim tržištem;

(6)

budući da, nadalje, sve veća znanstvena i tehnička suradnja i koordinirano uvođenje novih telekomunikacijskih mreža u Zajednici zahtijeva i olakšava prekogranični prijenos osobnih podataka;

(7)

budući da razlika u razinama zaštite prava i sloboda pojedinaca, posebno pravo na privatnost, u vezi obrade osobnih podataka u državama članicama može spriječiti prijenos takvih podataka s područja jedne države članice na područje druge države članice; budući da ta razlika može prema tome predstavljati zapreku provedbi niza gospodarskih aktivnosti na razini Zajednice, narušiti tržišno natjecanje i spriječiti tijela u obavljanju njihovih odgovornosti na temelju prava Zajednice; budući da je ta razlika u razinama zaštite uzrokovana velikom raznolikošću nacionalnih zakona i drugih propisa;

(8)

budući da, kako bi se uklonile zapreke prijenosu osobnih podataka, razina zaštite prava i sloboda pojedinaca u vezi s obradom takvih podataka mora biti jednaka u svim državama članicama; budući da je ovaj cilj odlučan za unutarnje tržište, ali ga države članice ne mogu postići same, posebno zbog razlika koje trenutačno postoje u relevantnom zakonodavstvu država članica i potrebe usklađivanja zakonodavstava država članica kako bi se osiguralo da prekogranični prijenos osobnih podataka bude dosljedan u skladu s ciljem unutarnjeg tržišta kako je predviđeno člankom 7.a Ugovora; budući da je prema tome potrebno da Zajednica uskladi ta zakonodavstva;

(9)

budući da, s obzirom na jednaku zaštitu koja je posljedica usklađivanja nacionalnih zakonodavstava, države članice više neće moći priječiti međusobno slobodno kretanje osobnih podataka na temelju zaštite prava i sloboda pojedinaca te posebno prava na privatnost; budući da će države članice imati prostor za djelovanje koji u smislu provedbe Direktive također mogu koristiti i poslovni i socijalni partneri; budući da će države članice biti u mogućnosti utvrditi u svojem nacionalnom zakonodavstvu opće uvjete koji određuju zakonitost obrade podataka; budući da će u tome države članice nastojati poboljšati zaštitu koju njihovo zakonodavstvo sada predviđa; budući da se, u okviru ovog prostora za djelovanje i u skladu s pravom Zajednice, mogu pojaviti različitosti u provedbi Direktive što bi moglo utjecati na kretanje podataka u nekoj državi članici te u Zajednici;

(10)

budući da je cilj nacionalnog zakonodavstva u vezi obrade osobnih podataka zaštiti temeljna prava i slobode, posebno pravo na privatnost koje je priznato u članku 8. Europske konvencije za zaštitu ljudskih prava i temeljnih sloboda te u općim načelima prava Zajednice; budući da iz tog razloga usklađivanje tih zakona ne smije dovesti do bilo kakvog smanjenja zaštite koju pružaju, nego naprotiv moraju težiti tome da osiguraju visoku razinu zaštite u Zajednici;

(11)

budući da načela zaštite prava i sloboda pojedinaca, posebno pravo na privatnost koje je obuhvaćeno ovom Direktivom, daju sadržaj i jačaju načela iz Konvencije Vijeća Europe od 28. siječnja 1981. za zaštitu pojedinaca u vezi s automatskom obradom osobnih podataka;

(12)

budući da se načela zaštite moraju primjenjivati na svaku obradu osobnih podataka koju provodi bilo koja osoba čije su aktivnosti uređene pravom Zajednice; budući da je potrebno isključiti obradu podataka koju provodi fizička osoba izvršavanjem aktivnosti koje su isključivo osobne ili domaće naravi, kao što je dopisivanje i vođenje evidencije adresata;

(13)

budući da su aktivnosti iz glava V. i VI. Ugovora o Europskoj uniji u vezi s javnom sigurnošću, obranom, nacionalnom sigurnošću ili aktivnosti države na području kaznenog prava izvan područja primjene prava Zajednice, ne dovodeći u pitanje obveze koje su države članice preuzele na temelju članka 56. stavka 2., članka 57. ili članka 100.a Ugovora o osnivanju Europske zajednice; budući da obrada osobnih podataka koja je neophodna za očuvanje gospodarske dobrobiti države nije u području primjene ove Direktive kada se takva obrada odnosi na pitanja nacionalne sigurnosti;

(14)

budući da se s obzirom na važnost aktualnog razvitka u okviru informacijskog društva, tehnika za prikupljanje, prijenos, rukovanje, snimanje, pohranjivanje ili komuniciranje zvučnih ili slikovnih podataka koji se odnose na fizičke osobe, ova Direktiva mora primijeniti na obradu koja uključuje takve podatke;

(15)

budući da je obrada takvih podataka obuhvaćena ovom Direktivom jedino ako je automatizirana ili ako su obrađeni podaci sadržani ili će biti sadržani u sustavu arhiviranja strukturiranom u skladu s posebnim mjerilima u vezi s pojedincima kako bi se omogućio lagani pristup tim osobnim podacima;

(16)

budući da obrada zvučnih i slikovnih podataka, kao u slučajevima video nadzora, nije u području primjene ove Direktive ako se provodi u svrhe javne sigurnosti, obrane, nacionalne sigurnosti ili tijekom državnih aktivnosti koje se odnose na kazneno pravo ili druge aktivnosti koje nisu u području primjene prava Zajednice;

(17)

budući da, u odnosu na obradu zvučnih i slikovnih podataka koja se provodi u svrhe novinarstva ili književnog ili umjetničkog izražavanja, posebno na audiovizualnom području, načela Direktive primjenjuju se ograničeno u skladu s odredbama predviđenim člankom 9. ove Direktive;

(18)

budući da, kako bi se osiguralo da pojedinci nisu lišeni zaštite na koju imaju pravo na temelju ove Direktive, bilo kakva obrada osobnih podataka u Zajednici mora se izvršavati u skladu sa zakonodavstvom jedne od država članica; budući da se u vezi s time obrada za koju je odgovoran nadzornik s poslovnim nastanom u državi članici treba urediti zakonodavstvom te države;

(19)

budući da poslovni nastan na području države članice podrazumijeva učinkovito i stvarno provođenje aktivnosti kroz stabilne dogovore; budući da pravni oblik takvog poslovnog nastana, bilo da je to podružnica ili društvo-kći s pravnom osobnošću, nije odlučujući činitelj u tome smislu; budući da kada pojedini nadzornik ima poslovni nastan na području nekoliko država članica, posebno putem društava-kćeri, on mora osigurati, kako bi spriječio izbjegavanje nacionalnih propisa, da svaki poslovni nastan ispunjava obveze koje nalaže nacionalno zakonodavstvo koje se primjenjuje na njegove aktivnosti;

(20)

budući da obrada podataka koju provodi osoba s poslovnim nastanom u trećoj zemlji ne smije sprečavati zaštitu pojedinaca predviđenu ovom Direktivom; budući da u tim slučajevima obrada mora biti uređena zakonodavstvom države članice u kojoj su sredstva koja se koriste smještena te da moraju postojati jamstva koja će osigurati da se prava i obveze predviđene ovom Direktivom poštuju u praksi;

(21)

budući da ova Direktiva ne dovodi u pitanje načela teritorijalnosti koja se primjenjuju u kaznenim stvarima;

(22)

budući da države članice moraju u zakonodavstvu koje donose ili kada provode na temelju ove direktive donesene propise, podrobnije utvrditi opće okolnosti u kojima je obrada zakonita; budući da posebno članak 5. ove Direktive, zajedno s člancima 7. i 8. ove Direktive, omogućava državama članicama, neovisno o općim propisima, da utvrde posebne uvjete obrade za posebna područja i za razne vrste podataka iz članka 8. ove Direktive;

(23)

budući da su države članice ovlaštene osigurati provedbu zaštite pojedinaca putem općeg zakonodavstva o zaštiti pojedinaca u vezi obrade osobnih podataka te zakonima koji se donose na raznim područjima kao što su to oni koji se odnose na statističke ustanove;

(24)

budući da ova Direktiva nema utjecaja na zakonodavstvo u vezi zaštite pravnih osoba u odnosu na obradu podataka koji se na njih odnose;

(25)

budući da se načela zaštite s jedne strane moraju odraziti u obvezama koje su preuzele osobe, javna tijela, poduzetnici, agencije ili druga tijela nadležna za obradu, posebno u vezi s kvalitetom podataka, tehničkom sigurnošću, obavješćivanjem nadzornog tijela te okolnostima pod kojima se obrada može provoditi, i s druge strane, pravima koja imaju pojedinci čiji su podaci predmet obrade da ih se izvijesti da je obrada u tijeku, da imaju uvid u podatke, da zatraže ispravak i čak da se usprotive obradi pod nekim okolnostima;

(26)

budući da se načela zaštite moraju primjenjivati na sve podatke u vezi s utvrđenim osobama ili osobama koje se mogu utvrditi; budući da je, kako bi se utvrdilo može li se osobu utvrditi, potrebno uzeti u obzir sva sredstva koja nadzornik ili bilo koja druga osoba može opravdano koristiti da utvrdi navedenu osobu; budući da se načela zaštite ne primjenjuju na podatke koji su anonimni na takav način da se osoba čiji se podaci obrađuju više ne može utvrditi; budući da pravila ponašanja u smislu članka 27. ove Direktive mogu biti korisni instrument za davanje uputa u vezi s načinom na koji se podaci mogu napraviti anonimnima i zadržati u obliku u kojem utvrđivanje identiteta osobe čiji se podaci obrađuju više nije moguća;

(27)

budući da zaštita pojedinaca mora primjenjivati kako automatsku obradu podataka, tako i ručnu obradu; budući da područje primjene ove zaštite ne smije ovisiti o tehnikama koje se koriste, jer bi to u suprotnom stvorilo ozbiljan rizik od onemogućavanja; budući da u odnosu na ručnu obradu, ova Direktiva obuhvaća jedino sustave arhiviranja, a ne nestrukturiranu dokumentaciju; budući da posebno, sadržaj sustava arhiviranja mora biti strukturiran u skladu s posebnim mjerilima u vezi s pojedincima omogućavajući lakši pristup osobnim podacima; budući da, u skladu s pojmom iz članka 2. stavka (c) ove Direktive, različita mjerila za utvrđivanje sastavnih dijelova strukturiranog skupa osobnih podataka i različita mjerila koja uređuju pristup takvome nizu, može propisati svaka država članica; budući da dokumentacija ili skup dokumentacija kao i njihove naslovne stranice koje nisu strukturirane prema posebnim mjerilima ni pod kojim okolnostima nisu u području primjene ove Direktive;

(28)

budući da bilo koja obrada osobnih podataka mora biti zakonita i poštena prema tim pojedincima; budući da, posebno, podaci moraju biti odgovarajući, relevantni i ne smiju biti pretjerani u odnosu na svrhu zbog koje se obrađuju; budući da ta svrha mora biti izričita i opravdana i mora biti utvrđena u trenutku prikupljanja podataka; budući da svrha obrade nakon prikupljanja ne smije biti nespojiva sa svrhom koja je prvobitno određena;

(29)

budući da se daljnja obrada osobnih podataka u povijesne, statističke ili znanstvene svrhe općenito ne smatra nespojivom sa svrhom za koju su podaci prethodno prikupljeni pod uvjetom da države članice osiguraju odgovarajuću zaštitu; budući da ta zaštita mora posebno isključiti uporabu podataka kao potpora mjerama ili odlukama u vezi nekog pojedinca;

(30)

budući da, kako bi bila zakonita, se obrada osobnih podataka mora izvršiti uz suglasnost osobe čiji se podaci obrađuju ili biti neophodna za sklapanje ili izvršavanje ugovora koji obvezuje osobu čiji se podaci obrađuju, ili kao zakonski uvjet, ili za izvršavanje zadatka koji se provodi u javnom interesu ili u obavljanju javnih ovlasti, ili u zakonitom interesu fizičke ili pravne osobe, pod uvjetom da interesi ili prava i slobode osobe čiji se podaci obrađuju nisu prekršeni; budući da, posebno, kako bi se održala ravnoteža između interesa koji uključuju jamstvo učinkovitog natjecanja, države članice mogu utvrditi okolnosti u kojima se osobni podaci mogu koristiti ili otkriti trećoj stranci u smislu zakonitih uobičajenih poslovnih aktivnosti poduzetnika ili drugih tijela; budući da države članice mogu na sličan način utvrditi uvjete pod kojima se osobni podaci mogu otkriti trećoj stranci u svrhe oglašavanja bilo da se provodi u svrhe trgovine ili da ih provodi dobrotvorna organizacija ili bilo koja druga udruga ili ustanova koja je na primjer političke naravi, podložno odredbama koje omogućavaju osobi čiji se podaci obrađuju da se usprotivi obradi podataka koji se na nju odnose, bez troškova i da ne mora navesti razlog;

(31)

budući da se obrada osobnih podataka isto tako mora smatrati zakonitom kada se provodi radi zaštite nekog interesa koji je neophodan za život osobe čiji se podaci obrađuju;

(32)

budući da je zadatak nacionalnog zakonodavstva utvrditi hoće li nadzornik koji izvršava zadatak u javnom interesu ili pri izvršavanju javnih ovlasti biti državna uprava ili druga fizička ili pravna osoba kako je uređeno javnim ili privatnim pravom kao što je to neka profesionalna udruga;

(33)

budući da se podaci koji po svojoj prirodi mogu prekršiti temeljne slobode ili privatnost ne smiju obrađivati ako osoba čiji se podaci obrađuju nije dala svoju izričitu suglasnost; budući međutim da se odstupanja od ove zabrane moraju izričito navesti za posebne potrebe, posebno kada obradu podataka u zdravstvene svrhe provodi osoba na koju se odnosi zakonska obveza čuvanja profesionalne tajne ili kada neke udruge ili ustanove čija je svrha omogućavanje ostvarenja temeljnih sloboda tijekom obavljanja zakonitih aktivnosti;

(34)

budući da države članice također moraju biti ovlaštene, kada je to opravdano na temelju važnog javnog interesa, za odstupanje od zabrane obrađivanja osjetljivih kategorija podataka kada to opravdavaju važni razlozi javnog interesa na područjima kao što je javno zdravstvo i socijalna zaštita – posebno kako bi se osigurala kvaliteta i isplativost postupaka koji se koriste za rješavanje zahtjeva za ostvarenje pogodnosti i usluga iz sustava zdravstvenog osiguranja – znanstveno istraživanje i vladine statistike; budući da im je dužnost da pruže konkretnu i odgovarajuću zaštitu temeljnih prava i privatnosti pojedinaca;

(35)

budući da se, uz to, obrada osobnih podataka službeno priznatih vjerskih zajednica koju provode državna tijela u svrhe postizanja ciljeva predviđenih ustavnim pravom ili međunarodnim javnim pravom provodi radi važnog javnog interesa;

(36)

budući da kada tijekom izbornih aktivnosti djelovanje demokratskog sustava zahtijeva u određenim državama članicama da političke stranke prikupe podatke o političkom mišljenju ljudi, obrada takvih podataka može se dopustiti na temelju važnog javnog interesa, pod uvjetom da se uspostavi odgovarajuća zaštita;

(37)

budući da je obradu osobnih podataka u svrhe novinarstva ili književnog ili umjetničkog izražavanja, posebno na audiovizualnom području, potrebno izuzeti od zahtjeva nekih odredbi ove Direktive u onoj mjeri u kojoj je to potrebno da bi se uskladila temeljna prava pojedinaca sa slobodom obavješćivanja i posebno s pravom na dobivanje i pružanje podataka, kako je zajamčeno posebno člankom 10. Europske konvencije za zaštitu ljudskih prava i temeljnih sloboda; budući da bi prema tome države članice morale propisati iznimke i odstupanja potrebna u svrhu uspostave ravnoteže između temeljnih prava u odnosu na opće mjere o opravdanosti obrade podataka, mjera o prijenosu podataka trećim zemljama i ovlasti nadzornih tijela; budući da to međutim ne bi trebalo navesti države članice da propišu iznimke od mjera za osiguravanje sigurnost obrade; budući da bi barem nadzorna tijela za ovo područje morala imati i neke naknadne ovlasti, na primjer da objave redovito izvješće ili da upute predmet sudskim tijelima;

(38)

budući da ako obrada podataka treba biti pravedna, osoba čiji se podaci obrađuju mora imati mogućnost upoznati se s postupkom obrade i, kada se podaci prikupljaju od nje, moraju se dati točni i potpuni podaci, imajući na umu okolnosti prikupljanja;

(39)

budući da neki postupci obrade uključuju podatke koje nadzornik nije izravno prikupio od osobe čiji se podaci obrađuju; budući da se nadalje podaci mogu opravdano otkriti trećoj stranci, čak i ako otkrivanje nije bilo predviđeno u trenutku kada su podaci prikupljani od osobe čiji se podaci obrađuju; budući da je u svim tim slučajevima, osobu čiji se podaci obrađuju potrebno obavijestiti kada su podaci evidentirani ili barem kada su po prvi puta otkriveni trećoj stranci;

(40)

budući da, međutim, nije potrebno nametnuti tu obvezu ako osoba čiji se podaci obrađuju već ima taj podatak; budući štoviše da neće biti takve obveze ako je evidentiranje ili otkrivanje izričito propisano zakonodavstvom ili ako se davanje podataka osobi čiji se podaci obrađuju pokaže nemogućim ili bi uključilo nerazmjerni napor što bi mogao biti slučaj kada se obrada provodi u povijesne, statističke ili znanstvene svrhe; budući da se u tome smislu broj osoba čiji se podaci obrađuju, starost podataka te sve donesene zamjenske mjere mogu uzeti u obzir;

(41)

budući da svaka osoba mora biti u mogućnosti ostvariti pravo na pristup podacima koji se na nju odnose, a koji se obrađuju kako bi posebno provjerila točnost podataka te zakonitost obrade; budući da iz istih razloga svaka osoba čiji se podaci obrađuju također ima pravo znati logiku u automatskoj obradi podataka, barem u slučaju automatskih odluka iz članka 15. stavka 1. ove Direktive; budući da to pravo ne smije utjecati na poslovne tajne ili intelektualno vlasništvo te posebno na autorska prava kojim se štiti programska oprema; budući da ta pitanja međutim ne smiju dovesti do toga da se osobi čiji se podaci obrađuju odbiju svi podaci;

(42)

budući da države članice mogu, u interesu osoba čiji se podaci obrađuju ili kako bi se zaštitila prava i slobode drugih, ograničiti prava na pristup i podacima; budući da one na primjer mogu utvrditi da se pristup zdravstvenim podacima može dobiti jedino preko zdravstvenih radnika;

(43)

budući da na sličan način države članice mogu nametnuti ograničenja prava na pristup i podatke i na neke obveze nadzornika u onoj mjeri u kojoj su potrebna za očuvanje, na primjer, nacionalne sigurnosti, obrane, javne sigurnosti ili važnih gospodarskih ili financijskih interesa neke države članice ili Unije te kaznenih istraga, progona i radnji u vezi kršenja etike u zakonskim uređenim djelatnostima; budući da popis iznimaka i ograničenja mora uključivati zadaće nadziranja, inspekciju ili uređivanje potrebne za posljednja tri navedena područja u vezi s javnom sigurnošću, gospodarskim ili financijskim interesima i sprečavanjem kriminala; budući da popisivanje zadaća na ta tri područja ne utječe na opravdanost iznimaka ili ograničenja zbog nacionalne sigurnosti ili obrane;

(44)

budući da države članice također mogu, na temelju odredbi prava Zajednice, propisati iznimke od odredbi ove Direktive u vezi s pravom na pristup, obveza obavješćivanja pojedinaca i kvalitete podataka kako bi osigurali neke gore navedene svrhe;

(45)

budući da u slučajevima kada se podaci mogu zakonito obraditi na temelju javnog interesa, javne ovlasti ili zakonitih interesa fizičkih ili pravnih osoba, bilo koja osoba čiji se podaci obrađuju mora imati pravo iz zakonitih i jakih razloga u vezi s njezinim posebnim položajem, usprotiviti se obradi bilo kojih podataka koji se na nju odnose; budući da države članice mogu usprkos tome propisati protivne nacionalne odredbe;

(46)

budući da zaštita prava i sloboda u vezi osoba čiji se podaci obrađuju s obzirom na obradu podataka zahtijeva da se poduzmu odgovarajuće tehničke i organizacijske mjere, kako u trenutku planiranja sustava obrade, tako i u trenutku same obrade, posebno kako bi se zadržala sigurnost i tako spriječila neovlaštena obrada; budući da su države članice obvezne osigurati da se nadzornici pridržavaju tih mjera; budući da te mjere moraju osigurati odgovarajuću razinu sigurnosti, uzimajući u obzir najnovija dostignuća i troška njihove provedbe u vezi rizika u obradi i naravi podataka koje je potrebno zaštititi;

(47)

budući da kada se poruka koja sadrži osobne podatke prenosi putem telekomunikacija ili elektroničkom poštom čija je jedina svrha prijenos takvih poruka, smatrat će se da poruka potječe od nadzornika u pogledu osobnih podataka sadržanih u poruci, a ne od osobe koja pruža usluge prijenosa; budući da se oni koji nude takve usluge obično smatraju nadzornicima u pogledu obrade dodatnih osobnih podataka potrebnih za djelovanje službe;

(48)

budući da su postupci za obavješćivanje nadzornog tijela osmišljeni da osiguraju otkrivanje svrha i glavnih karakteristika bilo kojeg postupka obrade radi provjere da je taj postupak u skladu s nacionalnim mjerama poduzetima na temelju ove Direktive;

(49)

budući da, kako bi se izbjegle neprimjerene upravne formalnosti, države članice mogu predvidjeti iznimke od obveze obavješćivanja i pojednostavljivanja obavješćivanja u slučajevima kada nije vjerojatno da će obrada negativno utjecati na prava i slobode osobe čiji se podaci obrađuju, pod uvjetom da je u skladu s mjerama koje je poduzela država članica kojima se utvrđuju njegova ograničenja; budući da države članice mogu na sličan način predvidjeti izuzimanje ili pojednostavljivanje kada osoba koju je imenovao nadzornik osigura da izvršena obrada neće negativno utjecati na prava i slobode osobe čiji se podaci obrađuju; budući da takav službenik za zaštitu podataka, bilo da se radi o zaposleniku nadzornika ili ne, mora biti u stanju izvršavati svoju dužnost uz potpunu neovisnost;

(50)

budući da se izuzimanje ili pojednostavljivanje može predvidjeti u slučajevima obrade čija je jedina svrha vođenje evidencije kojoj je cilj u skladu s nacionalnim zakonodavstvom osigurati podatke javnosti i da javnost ili bilo koja osoba koja ima zakoniti interes ima mogućnost uvida u nju;

(51)

buduća da usprkos tome pojednostavljenje ili izuzimanje od obveza obavješćivanja ne oslobađa nadzornika od bilo kojih drugih obveza iz ove Direktive;

(52)

budući da se u ovom smislu naknadna provjera nadležnih tijela općenito smatra dovoljnom mjerom;

(53)

budući da, međutim, neki postupci obrade mogu predstavljati poseban rizik za prava i slobode osoba čiji se podaci obrađuju zbog njihove prirode, područja primjene ili svrhe, kao što je isključivanje pojedinaca od prava, pogodnosti ili ugovora, ili posebnom uporabom novih tehnologija; budući da je na državama članicama, ako to žele, da utvrde takve rizike u svojem zakonodavstvu;

(54)

budući da u pogledu svake obrade koja se poduzima u društvu, područje primjene koje predstavlja taj poseban rizik treba biti vrlo ograničeno; budući da države članice moraju predvidjeti da nadzorno tijelo ili službenik za zaštitu podataka u suradnji s vlastima provjeri takvu obradu prije nego što se ona izvrši; budući da prije takve provjere, nadzorno tijelo može, u skladu sa svojim nacionalnim zakonodavstvom, dati mišljenje ili odobrenje u vezi obrade; budući da se takva provjera može isto tako odvijati tijekom priprema mjera nacionalnog parlamenta ili mjera koje se temelje na takvoj zakonodavnoj mjeri kojom se utvrđuje narav obrade i propisuje odgovarajuća zaštita;

(55)

budući da, ako nadzornik ne poštuje prava osoba čiji se podaci obrađuju, nacionalno zakonodavstvo mora predvidjeti sudsku zaštitu; budući da nadzornik mora nadoknaditi bilo koju štetu koju osoba može pretrpjeti kao rezultat nezakonite obrade, koji se može izuzeti od odgovornosti ako dokaže da nije odgovoran za štetu, posebno u slučajevima kada utvrdi grešku osobe čiji se podaci obrađuju ili u slučaju više sile; budući da se moraju nametnuti sankcije bilo kojoj osobi, uređene privatnim ili javnim pravom, koja se ne pridržava nacionalnih mjera poduzetih u okviru ove Direktive;

(56)

budući da je prekogranični prijenos osobnih podataka potreban radi širenja međunarodne trgovine; budući da zaštita pojedinaca zajamčena u Zajednici ovom Direktivom ne priječi prijenos osobnih podataka trećim zemljama koje osiguravaju odgovarajuću razinu zaštite; budući da se odgovarajuća razina zaštite koju pruža treća zemlja procjenjuje ovisno o svim okolnostima oko prijenosa ili skupa postupaka prijenosa;

(57)

budući da se, s druge strane, prijenos osobnih podataka trećoj zemlji koja ne pruža odgovarajuću razinu zaštite mora zabraniti;

(58)

budući da je potrebno propisati iznimke od ove zabrane u nekim okolnostima kada je osoba čiji se podaci obrađuju dala svoju suglasnost, kada je prijenos potreban u vezi s ugovorom ili pravnim zahtjevom, kada zaštita nekog važnog javnog interesa to zahtijeva, na primjer u slučajevima međunarodnog prijenosa podataka između poreznih i carinskih tijela ili između službi nadležnih za pitanja socijalnog osiguranja, ili kada se prijenos obavlja iz evidencije ustrojene zakonom s namjerom da u nju imaju uvid javnost ili osobe koje za to imaju zakonit interes; budući da u tom slučaju prijenos ne bi smio uključivati cjelokupne podatke ili sve vrste podataka sadržanih u evidenciji i kada je namjena evidencije da se s njom savjetuju osobe koje imaju zakoniti interes, prijenos je potrebno izvršiti na zahtjev tih osoba ako će one biti primatelji;

(59)

budući da se mogu poduzeti posebne mjere da se nadoknadi pomanjkanje zaštite u trećim zemljama u slučajevima kada nadzornik daje odgovarajuću zaštitu; budući da je, štoviše, potrebno predvidjeti pregovore između Zajednice i takvih trećih zemalja;

(60)

budući da se u svakom slučaju prijenos u treće zemlje može izvršiti jedino uz potpuno poštivanje odredbi koje su donijele države članice u skladu s ovom Direktivom, a posebno njenim člankom 8.;

(61)

budući da države članice i Komisija u skladu sa svojim nadležnostima moraju potaknuti trgovačke i druge interesne organizacije na izradu pravila ponašanja kako bi olakšala primjenu ove Direktive, uzimajući u obzir posebne karakteristike obrade koja se provodi u nekim područjima te poštujući nacionalne propise donesene za njezinu provedbu;

(62)

budući da je osnivanje potpuno neovisnih nadzornih tijela u državama članicama osnovni dio zaštite pojedinaca u vezi obrade osobnih podataka;

(63)

budući da ta tijela moraju imati potrebna sredstva za izvršavanje svojih dužnosti, uključujući ovlasti istrage i intervencije, posebno u slučajevima žalbi pojedinaca, te ovlasti za sudjelovanje u sudskim postupcima; budući da takva tijela moraju pomoći osigurati preglednost obrade u državama članicama u čijoj su nadležnosti;

(64)

budući da tijela u različitim državama članicama moraju pomagati jedna drugoj u obavljanju svojih dužnosti kako bi osiguralo odgovarajuće poštivanje propisa o zaštiti u cijeloj Europskoj uniji;

(65)

budući da je na razini Zajednice potrebno osnovati Radnu skupinu za zaštitu pojedinaca u vezi s obradom osobnih podataka koja mora potpuno neovisno obavljati svoje funkcije; budući da, uzimajući u obzir njezinu posebnu prirodu, mora obavijestiti Komisiju i posebno doprinijeti jednoobraznoj primjeni nacionalnih propisa donesenih u skladu s ovom Direktivom;

(66)

budući da, u odnosu na prijenos podataka trećim zemljama, primjena ove Direktive zahtijeva dodjelu provedbenih ovlasti Komisiji i uspostavu postupka iz Odluke Vijeća 87/373/EEZ (4);

(67)

budući da je 20. prosinca 1994. sklopljen sporazum o modus vivendi između Europskog parlamenta, Vijeća i Komisije u vezi s provedbom mjera za akte donesene u skladu s postupkom iz članka 189.b Ugovora o EZ-u;

(68)

budući da se načela izložena u ovoj Direktivi u vezi sa zaštitom prava i sloboda pojedinaca, posebno njihova prava na privatnost, u vezi s obradom osobnih podataka mogu nadopuniti ili pojasniti, naročito u odnosu na neka područja, posebnim pravilima koja se temelje na tim načelima;

(69)

budući da državama članicama treba omogućiti razdoblje od najviše tri godine od stupanja na snagu nacionalnih propisa kojima se prenosi ova Direktiva u kojima će se ova nova nacionalna pravila postupno primijeniti na sve postupke obrade koji su već u tijeku; budući da će se, kako bi se osigurala usklađenost postojećeg ručnog sustava arhiviranja s nekim odredbama Direktive, državama članicama radi bolje isplativosti primjene tih mjera odobriti daljnje razdoblje koje istječe 12 godina od dana donošenja ove Direktive; budući da se, kada se podaci sadržani u takvim sustavima arhiviranja obrađuju ručno, tijekom tog produženog prijelaznog razdoblja spomenuti sustavi moraju uskladiti s tim odredbama u trenutku obrade;

(70)

budući da nije neophodno da osoba čiji se podaci obrađuju ponovi svoju suglasnost kako bi nadzornik nakon stupanja na snagu nacionalnih propisa donesenih u skladu s ovom Direktivom nastavio s obradom bilo kojih osjetljivih podataka potrebnih za izvršavanje ugovora sklopljenog na temelju slobodne i informirane suglasnosti prije stupanja na snagu ovih odredbi;

(71)

budući da ova Direktiva ne priječi države članice da propišu trgovačke aktivnosti namijenjene potrošačima s prebivalištem na području u onoj mjeri u kojoj se taj propis ne odnosi na zaštitu pojedinaca u vezi s obradom osobnih podataka;

(72)

budući da ova Direktiva dopušta da se pri provedbi načela iz ove Direktive uzme u obzir načelo pristupa javnosti službenim dokumentima,

DONIJELI SU OVU DIREKTIVU:

POGLAVLJE I.

OPĆE ODREDBE

Članak 1.

Cilj Direktive

1.   U skladu s ovom Direktivom, države članice štite temeljna prava i slobode fizičkih osoba, a posebno njihova prava na privatnost u vezi s obradom osobnih podataka.

2.   Države članice ne ograničavaju ni zabranjuju slobodni prijenos osobnih podataka između država članica iz razloga povezanih sa zaštitom osiguranom u stavku 1. ovog članka.

Članak 2.

Definicije

U smislu ove Direktive:

(a)

„osobni podaci” znači bilo koji podaci koji se odnose na utvrđenu fizičku osobu ili fizičku osobu koju se može utvrditi („osoba čiji se podaci obrađuju”); osoba koja se može utvrditi je osoba čiji je identitet moguće utvrditi, izravno ili neizravno, a posebno navođenjem identifikacijskog broja ili jednog ili više činitelja značajnih za njegov fizički, fiziološki, mentalni, gospodarski, kulturni ili socijalni identitet;

(b)

„obrada osobnih podataka” („obrada”) znači bilo koji postupak ili skup postupaka koji se provode nad osobnim podacima, bilo automatskim putem ili ne, kao što je prikupljanje, snimanje, organiziranje, pohrana, prilagođavanje ili mijenjanje, vraćanje, obavljanje uvida, uporaba, otkrivanje prijenosom i širenjem ili stavljanje na raspolaganje drugim načinom, poravnavanje ili kombiniranje, blokiranje, brisanje ili uništavanje;

c)

„sustav arhiviranja osobnih podataka” („sustav arhiviranja”) znači bilo koji strukturirani skup osobnih podataka koji je dostupan prema posebnim mjerilima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

(d)

„nadzornik” znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo koje samo ili zajedno s drugima utvrđuje svrhu i načine obrade osobnih podataka; kada su svrha i načini obrade utvrđeni nacionalnim zakonodavstvom ili pravom Zajednice, nadzornik ili posebna mjerila za njegovo imenovanje mogu se utvrditi nacionalnim zakonodavstvom ili pravom Zajednice;

(e)

„obrađivač” znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo koje obrađuje osobne podatke u ime nadzornika;

(f)

„treća stranka” znači bilo koja fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo osim osobe čiji se podaci obrađuju, nadzornika, obrađivača i osoba koje su na temelju izravne ovlasti nadzornika ili obrađivača ovlaštene obrađivati podatke;

(g)

„primatelj” znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo kojem se podaci otkrivaju, bilo da je treća strana ili ne; međutim, tijela koja dobivaju podatke u okviru posebnog upita ne smatraju se primateljima;

(h)

„suglasnost osobe čiji se podaci obrađuju” znači svaka dobrovoljno dana, posebna i informirana izjava volje, kojom osoba čiji se podaci obrađuju daje svoju suglasnost da se obrade osobni podaci koji se na nju odnose.

Članak 3.

Područje primjene

1.   Ova Direktiva se primjenjuje na osobne podatke koji se u cijelosti ili djelomično obrađuju automatskim putem i na obradu podataka koja nije automatska, a koja čini dio sustava arhiviranja ili će činiti dio sustava arhiviranja.

2.   Ova se Direktiva ne primjenjuje na obradu osobnih podataka:

tijekom aktivnosti koja je izvan područja primjene prava Zajednice, kao što je predviđeno u glavama V. i VI. Ugovora o Europskoj uniji i u svakom slučaju na postupke obrade koji se odnose na javnu sigurnost, obranu, nacionalnu sigurnost (uključujući gospodarsku dobrobit države kada se operacija obrade odnosi na pitanja nacionalne sigurnosti) i aktivnosti države u području kaznenog prava,

koju provodi fizička osoba tijekom aktivnosti isključivo osobne ili domaće naravi.

Članak 4.

Primjena nacionalnog prava

1.   Svaka država članica na obradu osobnih podataka primjenjuje nacionalne propise koje donese u skladu s ovom Direktivom kada:

(a)

se obrada provodi u smislu aktivnosti poslovnog nastana nadzornika na području države članice; kada taj nadzornik ima poslovni nastan na području nekoliko država članica, on mora poduzeti potrebne mjere kako bi osigurao da svaki od tih poslovnih nastana ispunjava obveze propisane važećim nacionalnim pravom;

(b)

nadzornik nema poslovni nastan na području države članice, nego na mjestu na kojem se njeno nacionalno pravo primjenjuje na temelju međunarodnog javnog prava;

(c)

nadzornik nema poslovni nastan na području Zajednice i u svrhu obrade osobnih podataka koristi opremu, bilo da je automatizirana ili ne, smještenu na području navedene države članice, ako se takva oprema ne koristi isključivo u svrhe prijenosa preko područja Zajednice.

2.   U okolnostima iz stavka 1. točke (c) ovog članka nadzornik mora imenovati zastupnika s poslovnim nastanom na području te države članice, ne dovodeći u pitanje pravna sredstva koja se mogu podnijeti protiv samog nadzornika.

POGLAVLJE II.

OPĆA PRAVILA O ZAKONITOSTI OBRADE OSOBNIH PODATAKA

Članak 5.

Države članice u granicama odredbi ovog poglavlja podrobno utvrđuju uvjete pod kojima je obrada podataka zakonita.

ODJELJAK I.

NAČELA KOJA SE ODNOSE NA KVALITETU PODATAKA

Članak 6.

1.   Države članice osiguravaju da su osobni podaci;

(a)

obrađeni pošteno i zakonito;

(b)

prikupljeni u posebne, izričite i zakonite svrhe te da ih se dalje ne obrađuje na način koji bi bio nespojiv s tom svrhom. Daljnja obrada podataka u povijesne, statističke ili znanstvene svrhe ne smatra se nespojivom pod uvjetom da ta država članica osigura odgovarajuću zaštitu;

(c)

prikladni, relevantni i da nisu pretjerani u odnosu na svrhu zbog koje se prikupljaju i/ili dalje obrađuju;

(d)

točni i, po potrebi, dopunjeni; potrebno je poduzeti sve odgovarajuće mjere da se podaci koji su netočni ili nepotpuni izbrišu ili isprave, uzimajući u obzir svrhu zbog koje se prikupljaju ili zbog koje se dalje obrađuju;

(e)

čuvani u obliku koji omogućava identifikaciju osoba čiji se podaci obrađuju samo tijekom razdoblja potrebnog u svrhe zbog kojih se podaci prikupljaju ili zbog kojih se dalje obrađuju. Države članice dužne su predvidjeti odgovarajuću zaštitu za pohranu osobnih podataka za duža razdoblja ili za povijesnu, statističku ili znanstvenu uporabu.

2.   Nadzornik mora osigurati postupanje u skladu sa stavkom 1. ovog članka.

ODJELJAK II.

MJERILA ZA ZAKONITOST OBRADE PODATAKA

Članak 7.

Države članice osiguravaju da se osobni podaci mogu obrađivati jedino ako:

(a)

je osoba čiji se podaci obrađuju nedvosmisleno dala svoju suglasnost; ili

(b)

je obrada potrebna za izvršavanje ugovora kojem je osoba čiji se podaci obrađuju stranka ili kako bi se poduzele mjere na zahtjev osobe čiji se podaci obrađuju prije sklapanja ugovora; ili

(c)

je obrada potrebna za sukladnost sa zakonskom obvezom kojoj nadzornik podliježe; ili

(d)

je obrada potrebna kako bi se zaštitili vitalni interesi osobe čiji se podaci obrađuju; ili

(e)

je obrada potrebna za izvršavanje zadatka koji se provodi zbog javnog interesa ili pri izvršavanju javne ovlasti koju ima nadzornik ili treća stranka kojoj se podaci otkrivaju; ili

(f)

je obrada potrebna u svrhe zakonitog interesa kojeg ima nadzornik ili treća stranka ili stranke kojima se podaci otkrivaju, osim kada su ti podaci podređeni interesu za temeljna prava i slobode osobe čiji se podaci obrađuju koja zahtijeva zaštitu na temelju članka 1. stavka 1. ove Direktive.

ODJELJAK III.

POSEBNE VRSTE OBRADE

Članak 8.

Obrada posebnih vrsta podataka

1.   Države članice zabranjuju obradu osobnih podataka kojima se otkriva rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja, članstvo u sindikatu i obradu podataka u vezi sa zdravljem ili spolnim životom.

2.   Stavak 1. ovog članka ne primjenjuje se kada je:

(a)

osoba čiji se podaci obrađuju dala svoju izričitu suglasnost za obradu tih podataka, osim kada je zakonodavstvom države članice predviđeno da se zabrana iz stavka 1. ovog članka ne može ukinuti na način da osoba čiji se podaci obrađuju da svoju suglasnost; ili

(b)

obrada potrebna u svrhe izvršavanja obveza i posebnih prava nadzornika na području zakonodavstva o zapošljavanju u onoj mjeri u kojoj je to dopušteno nacionalnim zakonodavstvom koje pruža odgovarajuću zaštitu; ili

(c)

obrada potrebna radi zaštite vitalnih interesa osobe čiji se podaci obrađuju ili druge osobe kada osoba čiji se podaci obrađuju nije fizički ili pravno sposobna dati svoju suglasnost; ili

(d)

obradu provodi tijekom svojih zakonitih aktivnosti uz odgovarajuću zaštitu ustanova, udruga ili nekog drugog neprofitnog tijela s političkim, filozofskim, vjerskim ili sindikalnim ciljem i pod uvjetom da se obrada odnosi jedino na članove tijela ili na osobe koje su u redovitom kontaktu s njime u pogledu njihove svrhe te da se podaci ne otkrivaju trećoj stranci bez suglasnosti osobe čiji se podaci obrađuju; ili

(e)

obrada se odnosi na podatke koje je objavila osoba čiji se podaci obrađuju ili kada je potrebno radi uspostave, provedbe ili obrane pravnih zahtjeva.

3.   Stavak 1. ovog članka ne primjenjuje se kada je obrada podataka potrebna u svrhe preventivne medicine, medicinske dijagnoze, zdravstvene skrbi ili liječenja ili upravljanja zdravstvenim službama, te kada te podatke obrađuje zdravstveni radnik koji na temelju nacionalnog zakonodavstva ili pravila koje donesu nacionalna nadležna tijela podliježe obvezi čuvanja profesionalne tajne ili druga osoba koja također podliježe istoj obvezi čuvanja tajne.

4.   Uzimajući u obzir utvrđivanje odgovarajuće zaštite, države članice mogu nacionalnim zakonodavstvom ili odlukom nadzornog tijela zbog značajnog javnog interesa, propisati dodatne iznimke osim onih iz stavka 2. ovog članka.

5.   Obrada podataka koji se odnose na kaznena djela, kaznene presude ili sigurnosne mjere mogu se izvršiti jedino pod nadzorom službenog tijela, ili ako je nacionalnim zakonodavstvom predviđena odgovarajuća zaštita, uzimajući u obzir iznimke koje može odobriti država članica na temelju nacionalnih propisa uz odgovarajuću zaštitu. Međutim, potpuna evidencija kaznenih presuda se može voditi jedino pod nadzorom službenog tijela.

Države članice mogu propisati da se podaci koji se odnose na upravne sankcije ili presude u građanskim stvarima također mogu obrađivati pod nadzorom službenog tijela.

6.   Komisiju je potrebno obavijestiti o iznimkama od stavka 1. ovog članka predviđenima u stavcima 4. i 5. ovog članka.

7.   Države članice utvrđuju uvjete pod kojima se obrađuje nacionalni identifikacijski broj ili bilo koji drugi način identifikacije za opću uporabu.

Članak 9.

Obrada osobnih podataka i sloboda izražavanja

Države članice utvrđuju iznimke ili odstupanja od odredbi ovog poglavlja, poglavlja IV. i poglavlja VI. za obradu osobnih podataka izvršenih isključivo u novinarske svrhe ili radi umjetničkog ili književnog izražavanja jedino ako su potrebni radi usklađivanja prava na privatnost s propisima o slobodi izražavanja.

ODJELJAK IV.

PODACI KOJI SE DAJU OSOBI ČIJI PODACI SE OBRAĐUJU

Članak 10.

Podaci u slučajevima prikupljanja podataka od osobe čiji se podaci obrađuju

Države članice propisuju da nadzornik ili njegov zastupnik moraju dati osobi čiji se podaci obrađuju, a od koje se prikupljaju podaci, barem sljedeće podatke, osim u slučaju da ih već ima:

(a)

identitet nadzornika i njegovog zastupnika, ako ga ima;

(b)

svrhu obrade podataka;

(c)

bilo koje daljnje podatke kao što su

primatelji ili vrste primatelja podataka,

jesu li odgovori na pitanja obvezni ili dobrovoljni te moguće posljedice u slučaju da se ne odgovori na pitanja,

postojanje prava na pristup podacima i prava na ispravljanje podataka koji se na nju odnose

ako su takvi daljnji podaci potrebni, uzimajući u obzir posebne okolnosti u kojima se podaci prikupljaju, osigurati poštenu obradu u odnosu na osobu čiji se podaci obrađuju.

Članak 11.

Podaci kada podaci nisu dobiveni od osobe čiji se podaci obrađuju

1.   Kada podaci nisu dobiveni od osobe čiji se podaci obrađuju, države članice propisuju da nadzornik ili njegov zastupnik u trenutku bilježenja osobnih podataka ili ako je predviđeno otkrivanje trećoj stranci, najkasnije u trenutku kada su podaci po prvi puta otkriveni, moraju dati osobi čiji se podaci obrađuju barem sljedeće podatke, osim u slučaju da ih već ima:

(a)

identitet nadzornika i njegovog zastupnika, ako ga ima;

(b)

svrhu obrade;

(c)

bilo koje daljnje podatke kao što su

vrste podataka,

primatelji ili vrste primatelja podataka,

postojanje prava na pristup podacima i pravo na ispravljanje podataka koji se na nju odnose

ako su daljnji podaci potrebni, uzimajući u obzir posebne okolnosti u kojima se podaci obrađuju, jamstvo poštene obrade u odnosu na osobu čiji se podaci obrađuju.

2.   Stavak 1. ovog članka ne primjenjuje se, prije svega za obradu u statističke svrhe ili u svrhe povijesnog ili znanstvenog istraživanja, kada je davanje takvih podataka nemoguće ili ako bi uključivalo nerazmjerni napor ili ako je bilježenje ili otkrivanje izričito propisano zakonom. U tim slučajevima države članice propisuju odgovarajuću zaštitu.

ODJELJAK V.

PRAVO OSOBE ČIJI SE PODACI OBRAĐUJU NA PRISTUP PODACIMA

Članak 12.

Pravo na pristup

Države članice osiguravaju da svaka osoba čiji se podaci obrađuju ima pravo dobiti od nadzornika:

(a)

bez prisile, u razumnim rokovima te bez pretjerane odgode ili troška:

potvrdu obrađuju li se ili ne podaci koji se na nju odnose te podatak barem u vezi svrhe obrade, vrste podataka te primatelje ili vrste primatelja kojima se podaci otkrivaju,

obavijest u razumljivom obliku o podacima koji se obrađuju te bilo koje podatke o njihovom izvoru,

podatke o logici uključenoj u automatsku obradu podataka koja se na nju odnosi barem u slučaju automatskih odluka iz članka 15. stavka 1. ove Direktive;

(b)

prema potrebi, ispravak, brisanje ili blokiranje podataka čija obrada nije u skladu s ovom Direktivom, posebno zbog nepotpunih ili netočnih podataka;

(c)

obavijest trećim strankama kojima su podaci otkriveni o svim ispravcima, brisanjima ili blokiranju izvršenom u skladu s točkom (b), ako se to pokaže nemogućim ili uključuje nerazmjeran napor.

ODJELJAK VI.

IZNIMKE I OGRANIČENJA

Članak 13.

Iznimke i ograničenja

1.   Države članice mogu donijeti propise za ograničavanje područja primjene obveza i prava iz članka 6. stavka 1., članka 10., članka 11. stavka 1. te članka 12. i 21. ove Direktive kada takvo ograničavanje predstavlja potrebne mjere za zaštitu:

(a)

nacionalne sigurnosti;

(b)

obrane;

(c)

javne sigurnosti;

(d)

sprečavanja, istrage, otkrivanja i progona kaznenih djela ili kršenja etike zakonom uređenih djelatnosti;

(e)

važnoga gospodarskog ili financijskog interesa države članice ili Europske unije, uključujući novčana, proračunska i porezna pitanja;

(f)

nadzora, inspekcije ili regulatorne funkcije povezane, čak i povremeno, s izvršavanjem javnih ovlasti u slučajevima iz točke (c), (d) i (e);

(g)

zaštite osobe čiji se podaci obrađuju ili prava i slobode drugih.

2.   Uzimajući u obzir odgovarajuću pravnu zaštitu, posebno da se podaci ne koriste za poduzimanje mjera ili odluka u vezi bilo kojeg određenog pojedinca, države članice mogu, kada očito nema rizika od kršenja privatnosti osobe čiji se podaci obrađuju, zakonski ograničiti prava iz članka 12. ove Direktive kada se podaci obrađuju isključivo u svrhe znanstvenog istraživanja ili kada se čuvaju u osobnom obliku najduže tijekom razdoblja potrebnog za isključivu svrhu izrade statistike.

ODJELJAK VII.

PRAVO OSOBE ČIJI SE PODACI OBRAĐUJU NA PRIGOVOR

Članak 14.

Pravo osobe čiji se podaci obrađuju na prigovor

Države članice odobravaju osobi čiji se podaci obrađuju pravo:

(a)

barem u slučajevima iz članka 7. stavaka (e) i (f) ove Direktive, da prigovori u bilo kojem trenutku zbog jakih i zakonitih razloga u vezi njezine određene situacije na obradu podataka koji se odnose na nju, osim kada je drugačije propisano nacionalnim zakonodavstvom. Ako je prigovor osnovan, obrada koju je započeo nadzornik ne smije više obuhvaćati te podatke;

(b)

da, na zahtjev i besplatno, prigovori obradi osobnih podataka koji se odnose na nju za koje nadzornik predviđa da će se obrađivati u svrhe izravne trgovine ili da je se obavijesti prije nego li se osobni podaci otkriju po prvi puta trećim strankama ili koriste u njihovo ime u svrhe izravne trgovine te da dobije izričito pravo na besplatni prigovor na takvo otkrivanje ili uporabu.

Države članice poduzimaju potrebne mjere kako bi osigurale da su osobe čiji se podaci obrađuju upoznate s pravom iz podstavka (b).

Članak 15.

Automatske pojedinačne odluke

1.   Države članice svakoj osobi priznaju pravo da o njoj ne donese odluku koja proizvodi pravne učinke u vezi nje ili na nju značajno utječe i koja je isključivo osnovana na automatskoj obradi podataka s namjerom procjene određenih osobnih vidova koji se na nju odnose, kao što je njezin uspjeh na poslu, kreditna sposobnost, pouzdanost, ponašanje itd.

2.   Uzimajući u obzir druge članke ove Direktive, države članice utvrđuju da se o osobi može donijeti odluka iz stavka 1. ovog članka ako je ta odluka:

(a)

donesena tijekom sklapanja ili izvršenja ugovora, pod uvjetom da je zahtjev za sklapanje ili izvršenje ugovora kojeg je podnijela osoba čiji podaci se obrađuju, ispunjen ili da postoje odgovarajuće mjere za zaštitu njezinih zakonitih interesa, kao što su dogovori koji joj omogućavaju izražavanje svog mišljenja; ili

(b)

dopuštena zakonodavstvom koje također utvrđuje mjere za zaštitu zakonitih interesa osobe čiji se podaci obrađuju.

ODJELJAK VIII.

POVJERLJIVOST I SIGURNOST OBRADE

Članak 16.

Povjerljivost obrade

Svaka osoba koja djeluje na temelju ovlaštenja nadzornika ili obrađivača, uključujući i samog obrađivača, koja ima pristup osobnim podacima ne smije ih obrađivati osim na temelju uputa nadzornika i ako mu zakon tako nalaže.

Članak 17.

Sigurnost obrade

1.   Države članice utvrđuju da nadzornik mora provoditi odgovarajuće tehničke i organizacijske mjere kako bi zaštitio osobne podatke od slučajnog ili nezakonitog uništavanja ili slučajnoga gubitka, izmjene, neovlaštenog otkrivanja ili pristupa, posebno kada obrada uključuje prijenos podataka putem mreže te protiv svih drugih nezakonitih oblika obrade.

Uzimajući u obzir najnovija dostignuća i trošak njihove provedbe, takve mjere osiguravaju razinu sigurnosti koja odgovara rizicima obrade i prirodi podataka koje je potrebno zaštititi.

2.   Države članice utvrđuju da nadzornik mora, kada se obrada provodi u njegovo ime, izabrati obrađivača koji daje dovoljna jamstva u vezi mjera tehničke sigurnosti kojima je uređena obrada koju je potrebno izvršiti, te da osigura poštivanje tih mjera.

3.   Obrada koju izvršava obrađivač mora se utvrditi ugovorom ili pravnim aktom koji obrađivača obvezuje prema nadzorniku i koji posebno utvrđuje da:

obrađivač djeluje jedino na temelju uputa nadzornika,

obveze iz stavka 1. ovog članka, kako je utvrđeno zakonodavstvom države članice u kojoj obrađivač ima poslovni nastan, također obvezuju i obrađivača.

4.   U svrhu dokazivanja, dijelovi ugovora ili pravnog akta koji se odnose na zaštitu podataka te uvjeti u vezi mjera iz stavka 1. ovog članka moraju biti u pisanom ili drugom jednako vrijednom obliku.

ODJELJAK IX.

OBAVJEŠĆIVANJE

Članak 18.

Obveza obavješćivanja nadzornog tijela

1.   Države članice osiguravaju da nadzornik ili njegov zastupnik, ako ga ima, moraju obavijestiti nadzorno tijelo iz članka 28. ove Direktive prije izvršavanja potpune ili djelomične automatske obrade ili skupa takvih operacija s namjerom da služi jednoj svrsi ili nekoliko povezanih svrha.

2.   Države članice mogu propisati pojednostavljenje ili iznimku od obveze obavješćivanja jedino u sljedećim slučajevima i pod sljedećim uvjetima:

kada se, za vrste obrade za koje s obzirom na podatke koje je potrebno obraditi nije vjerojatno da će negativno utjecati na prava i slobode osoba čiji se podaci obrađuju, navode svrhe obrade, podaci ili vrste podataka koji se obrađuju, vrste ili vrste osoba čiji podaci se obrađuju, primatelji ili vrste primatelja kojima se podaci otkrivaju, te razdoblje tijekom kojeg će se podaci čuvati, i/ili

kada nadzornik, u skladu s nacionalnim zakonodavstvom koje se odnosi na njegovo poslovanje, imenuje službenika za zaštitu podataka koja je posebno nadležna:

osigurati na neovisan način unutarnju primjenu nacionalnih odredbi donesenih u skladu s ovom Direktivom,

voditi evidenciju operacija obrade koje izvršava nadzornik, a sadrži pojedine podatke iz članka 21. stavka 2. ove Direktive,

osiguravajući time da operacije obrade neće negativno utjecati na prava i slobode osoba čiji se podaci obrađuju.

3.   Države članice mogu propisati da se stavak 1. ovog članka ne odnosi na obradu čija je isključiva svrha vođenje evidencije koja je u skladu sa zakonima ili propisima namijenjena pružanju podataka javnosti i koja je javnosti općenito ili bilo kojoj osobi koja ima zakoniti interes na raspolaganju.

4.   Države članice mogu propisati iznimke od obveze obavješćivanja ili pojednostavljenja obavješćivanja za postupke obrade iz članka 8. stavka 2. točka (d) ove Direktive.

5.   Države članice mogu propisati da se neki ili svi neautomatski postupci obrade koji uključuju osobne podatke priopće ili naložiti da se na te postupke obrade primjenjuje pojednostavljeno obavješćivanje.

Članak 19.

Sadržaj obavijesti

1.   Države članice utvrđuju podatke koje je potrebno navesti u obavijesti. To uključuje barem:

(a)

ime i adresu nadzornika i njegovog zastupnika, ako ga ima;

(b)

svrhu ili svrhe obrade;

(c)

opis vrste ili vrsta osoba čiji se podaci obrađuju i podataka i vrsta podataka koji se odnose na njih;

(d)

primatelje ili vrste primatelja kojima se podaci mogu otkriti;

(e)

predloženi prijenos podataka trećim zemljama;

(f)

opći opis koji omogućava prethodnu procjenu prikladnosti mjera donesenih u skladu s člankom 17. ove Direktive kako bi se osigurala sigurnost obrade.

2.   Države članice određuju postupke na temelju kojih se nadzorno tijelo mora obavijestiti o bilo kojoj promjeni koja utječe na podatke iz stavka 1. ovog članka.

Članak 20.

Prethodna provjera

1.   Države članice utvrđuju postupke obrade koji bi mogli predstavljati poseban rizik za prava i slobode osoba čiji se podaci obrađuju te brinu jesu li ti postupci obrade provjereni prije njihova početka.

2.   Takve prethodne provjere izvršava nadzorno tijelo nakon što primi obavijest od nadzornika ili službenika za zaštitu podataka koji se u slučaju sumnje mora savjetovati s nadzornim tijelom.

3.   Države članice mogu također provoditi takve provjere u smislu priprema mjera nacionalnog parlamenta ili mjera na temelju takve zakonodavne mjere i koja utvrđuje prirodu obrade i propisuje odgovarajuću zaštitu.

Članak 21.

Objavljivanje postupka obrade

1.   Države članice poduzimaju mjere kako bi osigurale da se postupci obrade objave.

2.   Države članice osiguravaju da nadzorno tijelo vodi evidenciju postupaka obrade priopćene u skladu s člankom 18. ove Direktive.

Evidencija sadrži barem podatke iz članka 19. stavka 1. točke (a) do (e) ove Direktive.

Evidenciju može pregledati bilo koja osoba.

3.   Države članice osiguravaju, u vezi s postupcima obrade koji ne podliježu obavješćivanju, da nadzornici ili drugo tijelo koje imenuju države članice svakoj osobi na zahtjev stavi na raspolaganje barem podatke iz članka 19. stavka 1. točke (a) do (e) ove Direktive u odgovarajućem obliku.

Države članice mogu propisati da se ova odredba ne primjenjuje na obradu čija je jedina svrha vođenje evidencije koja u skladu sa zakonima ili propisima ima namjeru pružati podatke javnosti i koja je dostupna javnosti općenito ili svakoj osobi koja ima zakoniti interes.

POGLAVLJE III.

PRAVNI LIJEKOVI, ODGOVORNOST I SANKCIJE

Članak 22.

Pravni lijekovi

Ne dovodeći u pitanje pravne lijekove u upravnom postupku koji se mogu propisati, među ostalim, pred nadzornim tijelom iz članka 28. ove Direktive, prije upućivanja sudskom tijelu države članice utvrđuju pravo svake osobe na pravni lijek za slučaj kršenja prava koje joj je osigurano nacionalnim pravom koje se primjenjuje na tu obradu.

Članak 23.

Odgovornost

1.   Država članica propisuje da svaka osoba koja je pretrpjela štetu kao rezultat nezakonitog postupka obrade ili bilo kojeg djela koje je nespojivo s odredbama nacionalnog prava donesenim u skladu s ovom Direktivom ima pravo od nadzornika zahtijevati naknadu štete.

2.   Nadzornik se može u cijelosti ili djelomično izuzeti od ove odgovornosti ako dokaže da nije odgovoran za slučaj koji je doveo do štete.

Članak 24.

Sankcije

Države članice donose odgovarajuće mjere kako bi osigurale potpunu provedbu odredbi ove Direktive i posebno propisuju sankcije koje se nameću u slučaju kršenja odredbi donesenih u skladu s ovom Direktivom.

POGLAVLJE IV.

PRIJENOS OSOBNIH PODATAKA TREĆIM ZEMLJAMA

Članak 25.

Načela

1.   Države članice osiguravaju da se prijenos osobnih podataka koji se obrađuju ili koje je potrebno obraditi nakon prijenosa trećoj zemlji može izvršiti jedino ako, ne dovodeći u pitanje nacionalne odredbe donesene u skladu s drugim odredbama ove Direktive, te treće zemlje osiguraju odgovarajuću razinu zaštite.

2.   Odgovarajuća razina zaštite koju osiguravaju treće zemlje procjenjuje se ovisno o svim okolnostima u vezi s prijenosom podataka ili skupom postupaka prijenosa podataka; posebno se razmatra priroda podataka, svrha i trajanje predloženog postupka ili postupka obrade, država podrijetla i država konačnog odredišta, važeća pravna pravila, kako ona opća, tako i posebna, u toj trećoj zemlji te profesionalna pravila i mjere sigurnosti koje se primjenjuju u toj državi.

3.   Države članice i Komisija međusobno se obavješćuju o slučajevima za koje smatraju da treća zemlja ne osigurava odgovarajuću razinu zaštite u smislu stavka 2. ovog članka.

4.   Ako Komisija na temelju postupka iz članka 31. stavka 2. ove Direktive utvrdi da treća zemlja ne osigurava odgovarajuću razinu zaštite u smislu stavka 2. ovog članka, države članice poduzimaju mjere potrebne za sprečavanje bilo kakvog prijenosa podataka iste vrste toj trećoj zemlji.

5.   Kada je primjereno, Komisija započinje pregovore s ciljem ispravljanja položaja koji je doveo do činjeničnog stanja iz stavka 4. ovog članka.

6.   Komisija može u skladu s postupkom iz članka 31. stavka 2. ove Direktive, utvrditi da treća zemlja temeljem domaćeg zakonodavstva ili međunarodnih obveza koje je preuzela, osigurava odgovarajuću razinu zaštite u smislu stavka 2. ovog članka, posebno nakon završetka pregovora iz stavka 5. ovog članka, za zaštitu privatnog života i osnovnih sloboda i prava pojedinaca.

Države članice poduzimaju mjere potrebne za usklađivanje s odlukom Komisije.

Članak 26.

Iznimke

1.   Iznimno od članka 25. ove Direktive i ako nacionalno zakonodavstvo za pojedine slučajeve ne propisuje drugačije, države članice osiguravaju da se prijenos ili skup prijenosa osobnih podataka trećoj zemlji koja ne osigurava odgovarajuću razinu zaštite u smislu članka 25. stavka 2. ove Direktive može izvršiti pod uvjetom:

(a)

da je osoba čiji se podaci obrađuju dala svoju nedvosmislenu suglasnost predloženom prijenosu; ili

(b)

da je prijenos potreban radi izvršenja ugovora između osobe čiji se podaci obrađuju i nadzornika ili provedbe predugovornih mjera poduzetih na zahtjev osobe čiji se podaci obrađuju; ili

(c)

da je prijenos potreban za sklapanje ili izvršenje ugovora sklopljenog u interesu osobe čiji se podaci obrađuju između nadzornika i treće stranke; ili

(d)

da je prijenos potreban ili propisan zakonom radi važnog javnog interesa ili uspostave, izvršenja ili obrane prava na pravne zahtjeve; ili

(e)

da je prijenos potreban kako bi se zaštitili vitalni interesi osobe čiji se podaci obrađuju; ili

(f)

prijenos se obavlja iz evidencije koja u skladu sa zakonima ili propisima treba javnosti pružiti podatke i koja je na raspolaganju javnosti općenito ili svakoj osobi koja može dokazati svoj zakoniti interes u mjeri u kojoj su u određenom slučaju ispunjeni uvjeti u vezi dostupnosti propisani zakonom.

2.   Ne dovodeći u pitanje stavak 1. ovog članka, država članica može odobriti prijenos ili skup prijenosa osobnih podataka trećoj zemlji koja ne osigurava odgovarajuću razinu zaštite u smislu članka 25. stavka 2. ove Direktive, kada nadzornik daje dovoljna jamstva u vezi zaštite privatnosti i temeljnih prava i sloboda pojedinaca te u vezi ostvarivanja tih prava; takva jamstva mogu posebno proizlaziti iz odgovarajućih ugovornih klauzula.

3.   Države članice obavješćuju Komisiju i druge države članice o odobrenjima koja su izdala u skladu sa stavkom 2. ovog članka

Ako država članica ili Komisija prigovori iz zakonitih razloga u vezi zaštite privatnosti i temeljnih prava i sloboda pojedinaca, Komisija poduzima odgovarajuće mjere u skladu s postupkom iz članka 31. stavka 2. ove Direktive

Države članice poduzimaju mjere potrebne za usklađivanje s odlukom Komisije.

4.   Ako Komisija odluči, u skladu s postupkom iz članka 31. stavka 2. ove Direktive, da neke standardne ugovorne klauzule daju dovoljna jamstva iz stavka 2. ovog članka, države članice poduzimaju odgovarajuće mjere za usklađivanje s odlukom Komisije.

POGLAVLJE V.

PRAVILA PONAŠANJA

Članak 27.

1.   Države članice i Komisija potiču izradu pravila ponašanja koja imaju za cilj doprinijeti ispravnoj provedbi nacionalnih propisa koje donesu države članice u skladu s ovom Direktivom, uzimajući u obzir posebne značajke različitih područja.

2.   Države članice trgovačkim udrugama i drugim tijelima koja zastupaju druge vrste nadzornika koji su sastavili prijedloge nacionalnih pravila ili koji imaju namjeru izmijeniti ili proširiti postojeća nacionalna pravila omogućavaju da ih podnesu na mišljenje nacionalnim tijelima.

Države članice osiguravaju da to tijelo utvrdi, među ostalim, jesu li predani prijedlozi u skladu s nacionalnim odredbama donesenim u skladu s ovom Direktivom. Ako to smatra prikladnim, tijelo traži mišljenje osoba čiji podaci se obrađuju ili njihovih zastupnika.

3.   Prijedlozi pravila Zajednice i izmjene ili produženje postojećih pravila Zajednice mogu se podnijeti Radnoj skupini iz članka 29. ove Direktive. Ta Radna skupina utvrđuje, među ostalim, jesu li predani prijedlozi u skladu s nacionalnim odredbama donesenim u skladu s ovom Direktivom. Ako smatra prikladnim, tijelo traži mišljenje osoba čiji se podaci obrađuju ili njezinih zastupnika. Komisija može osigurati odgovarajuću objavu pravila koje je odobrila Radna skupina.

POGLAVLJE VI.

NADZORNO TIJELO I RADNA SKUPINA ZA ZAŠTITU POJEDINACA U VEZI OBRADE OSOBNIH PODATAKA

Članak 28.

Nadzorno tijelo

1.   Svaka država članica osigurava da je jedno ili više javnih tijela na njenom području odgovorno za nadzor primjene odredbi koje su donijele države članice u skladu s ovom Direktivom.

Ta tijela u provedbi funkcija koje su im povjerene djeluju potpuno neovisno.

2.   Svaka država članica osigurava da se pri izradi zakonodavnih i upravnih akata u vezi zaštite prava i sloboda pojedinaca u odnosu na obradu osobnih podataka savjetuju nadzorna tijela.

3.   Svako tijelo posebno ima:

istražne ovlasti, kao što je ovlast pristupa podacima koji su predmet postupaka obrade i ovlasti za prikupljanje svih podataka potrebnih za izvršavanje svojih nadzornih dužnosti,

učinkovite ovlasti za posredovanje, kao što je na primjer davanje mišljenja prije nego li se izvrše postupci obrade, u skladu s člankom 20. ove Direktive, te osiguranje odgovarajuće objave takvih mišljenja te ovlasti naređivanja blokiranja, brisanja ili uništavanja podataka, nametanja privremene ili konačne zabrane obrade, upozoravanja ili opominjanja nadzornika ili upućivanja predmeta nacionalnim parlamentima ili drugim političkim institucijama,

ovlast za sudjelovanje u sudskim postupcima ako su prekršene nacionalne odredbe donesene u skladu s ovom Direktivom ili za upoznavanje sudskih tijela tim kršenjima

Protiv odluka nadzornog tijela mogu se izjaviti žalbe putem sudova.

4.   Svako nadzorno tijelo razmatra zahtjeve koje podnese bilo koja osoba ili bilo koja udruga koja zastupa tu osobu, u vezi zaštite njezinih prava i sloboda u odnosu na obradu osobnih podataka. Tu osobu se izvještava o ishodu tog zahtjeva.

Svako nadzorno tijelo posebno razmatra zahtjev za provjeru zakonitosti obrade podataka koji preda bilo koja osoba kada se primjenjuju nacionalne odredbe donesene u skladu s člankom 13. ove Direktive. Osobu se u svakom slučaju obavješćuje da je provjera u tijeku.

5.   Svako nadzorno tijelo redovito sastavlja izvješće o svojim aktivnostima. Izvješće se javno objavljuje.

6.   Svako nadzorno tijelo je na području svoje države članice nadležno za provedbu ovlasti koje su mu dodijeljene u skladu sa stavkom 3. ovog članka, neovisno o tome koje se nacionalno pravo primjenjuje na tu obradu. Svako tijelo može zatražiti tijelo druge države članice da provodi svoje ovlasti.

Nadzorna tijela međusobno surađuju u mjeri potrebnoj za izvršavanje svojih ovlasti, posebno razmjenom korisnih podataka.

7.   Države članice osiguravaju da se na članove i osoblje nadzornog tijela, čak i nakon prestanka njihovog zaposlenja, primjenjuje dužnost čuvanja profesionalne tajne u vezi povjerljivih podataka kojima su imali pristup.

Članak 29.

Radna skupina za zaštitu pojedinaca u vezi s obradom osobnih podataka

1.   Osniva se Radna skupina za zaštitu pojedinaca u vezi s obradom osobnih podataka, u daljnjem tekstu „Radna skupina”.

Radna skupina ima savjetodavni status i djeluje neovisno.

2.   Radna skupina je sastavljena od predstavnika nadzornog tijela ili tijelâ koje imenuje svaka država članica i predstavnika tijela ili tijelâ osnovanih za ustanove i tijela Zajednice te predstavnika Komisije.

Sve članove Radne skupine imenuju ustanova, tijelo ili tijelâ koja zastupaju. Kada država članica imenuje više od jednog nadzornog tijela, imenuje zajedničkog zastupnika. Jednako važi za tijela osnovana za ustanove i tijela Zajednice.

3.   Radna skupina donosi odluke običnom većinom predstavnika nadzornog tijela.

4.   Radna skupina izabire predsjedatelja. Mandat predsjedatelja je dvije godine. Može se ponovno imenovati.

5.   Tajništvo Radne skupne osigurava Komisija.

6.   Radna skupina donosi Poslovnik o radu.

7.   Radna skupina razmatra točke koje na dnevni red stavi predsjedatelj na svoju vlastitu inicijativu ili na zahtjev predstavnika nadzornog tijela ili na zahtjev Komisije.

Članak 30.

1.   Radna skupina:

(a)

ispituje bilo koje pitanje u vezi s primjenom nacionalnih mjera donesenih na temelju ove Direktive radi doprinosa jednoobraznoj primjeni takvih mjera;

(b)

daje Komisiji mišljenje o razini zaštite u Zajednici i trećim zemljama;

(c)

savjetuje Komisiju u vezi bilo koje predložene izmjene ove Direktive, bilo kojih dodatnih ili posebnih mjera za očuvanje prava i sloboda fizičkih osoba u vezi obrade osobnih podataka i bilo kojih drugih predloženih mjera Zajednice koje utječu na ta prava i slobode;

(d)

daje mišljenje u vezi pravila ponašanja sastavljenih na razini Zajednice.

2.   Ako Radna skupina utvrdi da dolazi do odstupanja između zakonodavstva ili prakse država članica koja bi mogla utjecati na jednakovrijednost zaštite osoba u vezi obrade osobnih podataka u Zajednici, o tome obavješćuje Komisiju.

3.   Radna skupina može, na svoju vlastitu inicijativu, dati preporuke za sva pitanja u vezi zaštite osoba u odnosu na obradu osobnih podataka u Zajednici.

4.   Mišljenja i preporuke Radne skupine dostavljaju se Komisiji i odboru iz članka 31. ove Direktive.

5.   Komisija obavješćuje Radnu skupinu o mjerama koje je poduzela kao odgovor na njezina mišljenja i preporuke. To čini u izvješću koje se također dostavlja Europskom parlamentu i Vijeću. Izvješće se javno objavljuje.

6.   Radna skupina sastavlja godišnje izvješće o zaštiti fizičkih osoba u odnosu na obradu osobnih podataka u Zajednici i trećim zemljama, koje šalje Komisiji, Europskom parlamentu i Vijeću. Izvješće se javno objavljuje.

POGLAVLJE VII.

PROVEDBENE MJERE ZAJEDNICE

Članak 31.

Odbor

1.   Komisiji pomaže odbor sastavljen od predstavnika država članica kojem predsjeda predstavnik Komisije.

2.   Predstavnik Komisije podnosi odboru prijedlog mjera koje je potrebno poduzeti. Odbor dostavlja svoje mišljenje o prijedlogu u roku kojeg predsjedatelj može odrediti u skladu s hitnosti predmeta.

Mišljenje se usvaja većinom iz članka 148. stavka 2. Ugovora. Glasovi predstavnika država članica u okviru odbora ponderiraju se na način određen u tom članku. Predsjedatelj nema pravo glasa.

Komisija donosi mjere koje se odmah primjenjuju. Međutim, ako te mjere nisu u skladu s mišljenjem odbora, Komisija ih priopćava Vijeću. U tom slučaju:

Komisija odgađa primjenu mjera koje je donijela na rok od tri mjeseca od datuma priopćenja,

Vijeće može u roku iz alineje prve kvalificiranom većinom donijeti drugačiju odluku.

KONAČNE ODREDBE

Članak 32.

1.   Države članice donose zakone i druge propise potrebne za usklađivanje s ovom Direktivom najkasnije u roku od tri godine od dana njezinog donošenja.

Kad države članice donose ove mjere, te mjere prilikom njihove službene odjave sadržavaju uputu na ovu Direktivu ili se uz njih navodi takva uputa. Načine tog upućivanja određuju države članice.

2.   Države članice osiguravaju da je obrada koja je već u tijeku na dan kada nacionalni propisi doneseni u skladu s ovom Direktivom stupe na snagu, usklađena s tim odredbama u roku od tri godine od tog datuma.

Iznimno od prethodnog podstavka, države članice mogu propisati da se obrada podataka koji se već čuvaju u sustavima ručnog arhiviranja na datum stupanja na snagu propisa donesenih u skladu s ovom Direktivom, uskladi s člancima 6, 7. i 8. ove Direktive u roku od 12 godina od dana njihovog donošenja. Države članice, međutim, odobravaju osobi čiji podaci se obrađuju pravo pristupa, ispravljanja, brisanja ili blokiranja podataka koji su nepotpuni, netočni ili pohranjeni na način koji nije spojiv s opravdanom svrhom nadzornika, na njen zahtjev i posebno u trenutku ostvarivanja njenih prava.

3.   Iznimno od stavka 2. ovog članka, države članice mogu propisati da se, pod uvjetom odgovarajuće zaštite, podaci koji se čuvaju isključivo u svrhe povijesnog istraživanja ne moraju uskladiti s člancima 6., 7. i 8. ove Direktive.

4.   Države članice Komisiji dostavljaju tekst glavnih odredaba nacionalnog prava koje donesu u području na koje se odnosi ova Direktiva.

Članak 33.

Komisija o provedbi ove Direktive redovito izvješćuje Vijeće i Europski parlament, počevši najkasnije tri godine nakon datuma iz članka 32. stavka 1. ove Direktive, pri čemu uz svoje izvješće po potrebi prilaže odgovarajuće prijedloge za izmjenu. Izvješće se javno objavljuje.

Komisija posebno ispituje primjenu ove Direktive na obradu zvukovnih i slikovnih podataka u vezi fizičkih osoba te podnosi sve odgovarajuće prijedloge koji se pokažu potrebnima, uzimajući u obzir razvoj u računalne tehnologije te ovisno o napretku informacijskog društva.

Članak 34.

Ova je Direktiva upućena državama članicama.

Sastavljeno u Luxembourgu 24. listopada 1995.

Za Europski parlament

Predsjednik

K. HAENSCH

Za Vijeće

Predsjednik

L. ATIENZA SERNA


(1)  SL C 277, 5.11.1990., str. 3.

i SL C 311, 27.11.1992., str. 30.

(2)  SL C 159, 17.6.1991., str. 38.

(3)  Mišljenje Europskog parlamenta od 11. ožujka 1992. (SL C 94, 13.4.1992., str. 198.), potvrđeno 2. prosinca 1993. (SL C 342, 20.12.1993., str. 30.); Zajedničko stajalište Vijeća od 20. veljače 1995. (SL C 93, 13.4.1995., str. 1.) i Odluka Europskog parlamenta od 15. lipnja 1995. (SL C 166, 3.7.1995.).

(4)  SL L 197, 18.7.1987., str. 33.


Top