4.5.2016   

HR

Službeni list Europske unije

L 119/89

(1)

Zaštita pojedinaca s obzirom na obradu osobnih podataka temeljno je pravo. Člankom 8. stavkom 1. Povelje Europske unije o temeljnim pravima („Povelja”) te člankom 16. stavkom 1. Ugovora o funkcioniranju Europske unije (UFEU) utvrđuje se da svatko ima pravo na zaštitu svojih osobnih podataka.

(2)

Načela i pravila o zaštiti pojedinaca u vezi s obradom njihovih osobnih podataka trebala bi poštovati njihova temeljna prava i slobode, a posebno njihovo pravo na zaštitu osobnih podataka, bez obzira na nacionalnost ili boravište pojedinaca. Ovom Direktivom želi se doprinijeti uspostavi područja slobode, sigurnosti i pravde.

(3)

Zbog brzog tehnološkog razvoja i globalizacije pojavili su se novi izazovi u zaštiti osobnih podataka. Opseg prikupljanja i razmjene osobnih podataka značajno se povećava. Tehnologijom se omogućuje obrada osobnih podataka u dosada nedosegnutom opsegu u provođenju aktivnosti poput sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija.

(4)

Slobodni protok osobnih podataka među nadležnim tijelima u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje unutar Unije, te prijenosa takvih osobnih podataka u treće zemlje i međunarodne organizacije trebalo bi se olakšati uz istodobno osiguravanje visoke razine zaštite osobnih podataka. Te promjene zahtijevaju izgradnju čvrstog i usklađenijeg okvira za zaštitu osobnih podataka u Uniji koji bi podupirala dosljedna provedba.

(5)

Direktiva 95/46/EZ Europskog parlamenta i Vijeća (3) primjenjuje se na svaku obradu osobnih podataka u državama članicama u javnom i privatnom sektoru. No ona se ne primjenjuje na obradu osobnih podataka tijekom djelatnosti koja je izvan područja primjene prava Zajednice, kao što su djelatnosti u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje.

(6)

Okvirna odluka Vijeća 2008/977/PUP (4) primjenjuje se na područja pravosudne suradnje u kaznenim stvarima i policijske suradnje. Područje primjene te okvirne odluke ograničeno je na obradu osobnih podataka koje države članice jedna drugoj prenose ili stavljaju na raspolaganje.

(7)

Osiguravanje dosljedne i visoke razine zaštite osobnih podataka pojedinaca te olakšavanje razmjene osobnih podataka među nadležnim tijelima država članica ključno je kako bi se osigurala učinkovita pravosudna suradnja u kaznenim tvarima i policijska suradnja. U tu svrhu, razina zaštite prava i sloboda pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, trebala bi biti jednaka u svim državama članicama. Učinkovita zaštita osobnih podataka u cijeloj Uniji zahtijeva jačanje pravâ ispitanika i obveza onih koji osobne podatke obrađuju, kao i jednakovrijedne ovlasti praćenja i osiguravanja usklađenosti s pravilima za zaštitu osobnih podataka u državama članicama.

(8)

Člankom 16. stavkom 2. UFEU-a Europskom parlamentu i Vijeću nalaže se utvrđivanje pravila o zaštiti pojedinaca s obzirom na obradu osobnih podataka i pravila o slobodnom kretanju takvih podataka.

(9)

Na temelju toga, Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća (5) utvrđuju se opća pravila za zaštitu pojedinaca u vezi s obradom osobnih podataka i za osiguravanje slobodnog kretanja osobnih podataka unutar Unije.

(10)

U Izjavi br. 21 o zaštiti osobnih podataka u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje, priloženoj završnom aktu međuvladine konferencije na kojoj je donesen Ugovor iz Lisabona, na konferenciji je potvrđeno da bi se određena pravila o zaštiti osobnih podataka i slobodnom kretanju osobnih podataka u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje na temelju članka 16. UFEU-a mogla pokazati neophodnima zbog specifične prirode tih područja.

(11)

Stoga je primjereno da se ta područja urede posebnom direktivom kojom bi se utvrdila posebna pravila o zaštiti pojedinaca s obzirom na osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, poštujući posebnu prirodu tih aktivnosti. Takva nadležna tijela mogu obuhvaćati ne samo tijela javne vlasti poput pravosudnih tijela, policije ili drugih tijela za izvršavanje zakonodavstva, nego i svako drugo tijelo ili subjekt kojem je pravom države članice povjereno obavljanje javnih nadležnosti i javnih ovlasti za potrebe ove Direktive. Ako takvo tijelo ili subjekt obrađuje osobne podatke u svrhe koje nisu svrhe ove Direktive, primjenjuje se Uredba (EU) 2016/679. Uredba (EU) 2016/679 primjenjuje se stoga u slučajevima kad tijelo ili subjekt prikuplja osobne podatke za druge potrebe i dalje ih obrađuje radi poštovanja pravne obveze kojoj podliježe. Na primjer, za potrebe istrage, otkrivanja ili kaznenog progona kaznenih djela financijske institucije zadržavaju određene osobne podatke koje obrađuju te pružaju te osobne podatke samo nadležnim nacionalnim tijelima u posebnim slučajevima i u skladu s pravom države članice. Tijelo ili subjekt koji obrađuje osobne podatke u ime takvih tijela u području primjene ove Direktive trebao bi biti obvezan ugovorom ili drugim pravnim aktom i odredbama primjenjivima na izvršitelje obrade u skladu s ovom Direktivom, dok na primjenu Uredbe (EU) 2016/679 nema učinaka u kontekstu aktivnosti obrade osobnih podataka koju obavlja izvršitelj obrade izvan područja primjene ove Direktive.

(12)

Aktivnosti koje provodi policija ili druga tijela za izvršavanje zakonodavstva uglavnom su usmjerene na sprečavanje, istragu, otkrivanje ili progon kaznenih djela, među ostalim na policijske aktivnosti bez prethodnog znanja o tome je li incident kazneno djelo. Takve aktivnosti mogu obuhvaćati i izvršavanje ovlasti uporabom mjera prisile poput policijskih aktivnosti na prosvjedima, velikim sportskim događanjima ili neredima. One također uključuju održavanje zakona i reda, kao zadaće dodijeljene policiji ili drugim tijelima za izvršavanje zakonodavstva ako je potrebna zaštita od prijetnji javnoj sigurnosti i njihovo sprečavanje te prijetnji temeljnim interesima društva zaštićenima zakonom, što može dovesti do kaznenog djela. Države članice mogu nadležnim tijelima povjeriti druge zadaće koje se ne provode nužno za potrebe sprečavanja, istrage, otkrivanja ili progona kaznenih djela, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, tako da je obrada osobnih podataka za te druge potrebe, u mjeri u kojoj potpada pod područje primjene prava Unije, obuhvaćena područjem primjene Uredbe (EU) 2016/679.

(13)

Pojam kaznenog djela u smislu ove Direktive trebao bi biti autonoman pojam prava Unije kako ga tumači Sud Europske unije („Sud”).

(14)

Budući da se ova Direktiva ne bi trebala primjenjivati na obradu osobnih podataka u okviru djelatnosti koja nije obuhvaćena područjem primjene prava Unije, djelatnosti u vezi s nacionalnom sigurnosti, djelatnosti agencija ili službi zaduženih za pitanja nacionalne sigurnosti i obrada osobnih podataka u državama članicama pri obavljanju djelatnosti obuhvaćenih glavom V. poglavljem 2. Ugovora o Europskoj uniji (UEU) ne bi se smjele smatrati djelatnostima koje se obuhvaćene područjem primjene ove Direktive.

(15)

Kako bi se pojedincima osigurala jednaka razina zaštite putem prava koja su zakonito ostvariva u cijeloj Uniji te se spriječila odstupanja koja ometaju razmjenu osobnih podataka među nadležnim tijelima, ovom bi se Direktivom trebalo predvidjeti usklađena pravila za zaštitu i slobodno kretanje osobnih podataka obrađenih u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje. Približavanje zakonodavstava država članica ne bi smjelo dovesti ni do kakvog smanjivanja zaštite osobnih podataka koju pružaju, već bi, upravo suprotno, trebalo težiti osiguravanju visoke razine zaštite unutar Unije. Države članice ne bi trebalo spriječiti u tome da osiguraju bolje zaštitne mjere za zaštitu prava i sloboda ispitanika u vezi s obradom osobnih podataka od strane nadležnih tijela od onih koje su utvrđene ovom Direktivom.

(16)

Ovom Direktivom ne dovodi se u pitanje načelo javnog pristupa službenim dokumentima. Na temelju Uredbe (EU) 2016/679 osobne podatke iz službenih dokumenata koje tijelo javne vlasti, javno ili privatno tijelo posjeduje u svrhu obavljanja zadaće u javnom interesu, to tijelo javne vlasti ili to javno ili privatno tijelo može otkriti u skladu s pravom Unije ili pravom države članice kojem to tijelo javne vlasti ili to javno ili privatno tijelo podliježe, kako bi se uskladio javni pristup službenim dokumentima s pravom na zaštitu osobnih podataka.

(17)

Zaštita koja se pruža ovom Direktivom u vezi s obradom osobnih podataka trebala bi se odnositi na pojedince bez obzira na njihovu nacionalnost ili boravište.

(18)

Radi sprečavanja stvaranja ozbiljnog rizika zaobilaženja propisa, zaštita pojedinaca trebala bi biti tehnološki neutralna i ne bi smjela ovisiti o upotrebljavanim tehnologijama. Zaštita pojedinaca trebala bi se primjenjivati na obradu osobnih podataka automatiziranim sredstvima, kao i na ručnu obradu, ako su osobni podaci pohranjeni ili ih se namjerava pohraniti u sustav pohrane. Dokumenti ili skupovi dokumenata, kao i njihove naslovne stranice, koji nisu strukturirani prema posebnim mjerilima ne bi trebali biti obuhvaćeni područjem primjene ove Direktive.

(19)

Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća (6) primjenjuje se na obradu osobnih podataka koju obavljaju institucije, tijela, uredi i agencije Unije. Uredba (EZ) br. 45/2001 i drugi pravni akti Unije primjenjivi na takvu obradu osobnih podataka trebali bi se prilagoditi načelima i pravilima utvrđenima u Uredbi (EU) 2016/679.

(20)

Ovom se Direktivom ne sprečava države članice da postupke i procedure obrade navedu u nacionalnim propisima o kaznenim postupcima u vezi s obradom osobnih podataka koju obavljaju sudovi i druga pravosudna tijela, posebno kad je riječ o osobnim podacima sadržanima u sudskoj odluci ili evidencijama povezanim s kaznenim postupcima.

(21)

Načela zaštite podataka trebala bi se primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Kako bi se odredilo može li se identitet pojedinca utvrditi, trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koja voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca. Kako bi se utvrdilo je li po svemu sudeći izgledno da se upotrebljavaju sredstva za utvrđivanje identiteta pojedinca, trebalo bi uzeti u obzir sve objektivne čimbenike, kao što su troškovi i vrijeme potrebno za utvrđivanje identiteta, uzimajući u obzir i tehnologiju dostupnu u vrijeme obrade i tehnološki razvoj. Načela zaštite podataka stoga se ne bi trebala primjenjivati na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su učinjeni anonimnima na način da se identitet ispitanika više ne može utvrditi.

(22)

Tijela javne vlasti kojima se otkrivaju osobni podaci u skladu s pravnom obvezom izvršavanja njihovih službenih zadaća, poput poreznih i carinskih tijela, jedinica za financijsku istragu, neovisnih upravnih tijela ili tijela za financijska tržišta odgovorna za reguliranje i nadzor tržišta vrijednosnih papira, ne bi se smjela smatrati primateljima ako prime osobne podatke koji su potrebni za provedbu određene istrage u općem interesu, u skladu s pravom Unije ili pravom države članice. Zahtjevi za otkrivanje koje šalju tijela javne vlasti trebali bi uvijek biti u pisanom obliku, obrazloženi i povremeni i ne bi se trebali odnositi na čitav sustav pohrane ili dovesti do međupovezanosti sustavâ pohrane. Tijela javne vlasti trebala bi obrađivati takve osobne podatke u skladu s primjenjivim pravilima za zaštitu podataka ovisno o svrhama obrade.

(23)

Genetski podaci trebali bi se definirati kao osobni podaci u vezi s naslijeđenim ili stečenim genetskim obilježjima pojedinca koji proizlaze iz analize biološkog uzorka pojedinca o kojemu je riječ, osobito analize kromosoma, deoksiribonukleinske kiseline (DNK) ili ribonukleinske kiseline (RNK) ili analize drugog elementa koji omogućuje dobivanje jednakovrijedne informacije. S obzirom na složenost i osjetljivost genetskih informacija postoji veliki rizik da voditelj obrade u razne svrhe zlouporabi i ponovno uporabi te informacije. U načelu bi se trebalo zabraniti svaki oblik diskriminacije na temelju genetskih obilježja.

(24)

Osobni podaci koji se odnose na zdravlje trebali bi obuhvaćati sve podatke koji se odnose na zdravstveno stanje ispitanika, a koji otkrivaju informacije u vezi s prijašnjim, trenutačnim ili budućim fizičkim ili mentalnim zdravstvenim stanjem ispitanika. To uključuje informacije o pojedincu prikupljene tijekom registracije ili tijekom pružanja tom pojedincu zdravstvenih usluga pojedincu kako je navedeno u Direktivi 2011/24/EU Europskog parlamenta i Vijeća (7); broj, simbol ili oznaku koja je pojedincu dodijeljena u svrhu jedinstvene identifikacije za zdravstvene svrhe; informacije izvedene iz testiranja ili ispitivanja dijela tijela ili tjelesne tvari, među ostalim iz genetskih podataka i bioloških uzoraka; i bilo kakvu informaciju na primjer o bolesti, invalidnosti, riziku od bolesti, medicinskoj povijesti, kliničkom tretmanu ili fiziološkom ili biomedicinskom stanju ispitanika neovisno o njegovu izvoru, kao na primjer od liječnika ili drugog zdravstvenog djelatnika, bolnice, medicinskog uređaja ili dijagnostičkog testa in vitro.

(25)

Sve države članice učlanjene su u Međunarodnu organizaciju kriminalističke policije (Interpol). Kako bi ispunio svoju misiju, Interpol prima, pohranjuje i prosljeđuje osobne podatke radi pružanja pomoći nadležnim tijelima u sprečavanju i suzbijanju međunarodnog kriminala. Stoga je primjereno ojačati suradnju između Unije i Interpola poticanjem učinkovite razmjene osobnih podataka, osiguravajući pritom poštovanje temeljnih prava i sloboda u vezi s automatskom obradom osobnih podataka. Ako se osobni podaci prenose iz Unije Interpolu i zemljama koje imaju svoje predstavnike u Interpolu, trebala bi se primjenjivati ova Direktiva, a osobito odredbe o međunarodnim prijenosima. Ovom se Direktivom ne bi smjela dovoditi u pitanje posebna pravila utvrđena u Zajedničkom stajalištu Vijeća 2005/69/PUP (8) i Odluci Vijeća 2007/533/PUP (9).

(26)

Svaka obrada osobnih podataka mora biti zakonita, poštena i transparentna u odnosu na pojedince na koje se odnosi te provedena samo u posebne svrhe utvrđene zakonom. To samo po sebi ne sprečava tijela za izvršavanje zakonodavstva u obavljanju aktivnosti kao što su tajne istrage ili video nadzor. Takve aktivnosti mogu se provesti u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje pod uvjetom da su utvrđene zakonom i predstavljaju nužnu i razmjernu mjeru u demokratskom društvu uz dužno poštovanje legitimnih interesa dotičnog pojedinca. Načelo zaštite podataka u pogledu poštene obrade odvojeno je od pojma prava na pošteno suđenje, kako je utvrđeno u članku 47. Povelje i u članku 6. Europske konvencije za zaštitu ljudskih prava i temeljnih sloboda. Pojedince bi trebalo upoznati s rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom njihovih osobnih podataka i načinom ostvarivanja njihovih prava u vezi s obradom. Posebne svrhe obrade osobnih podataka osobito bi trebale biti izričite i legitimne te utvrđene u trenutku prikupljanja osobnih podataka. Osobni podaci trebali bi biti primjereni i bitni za potrebe za koje se obrađuju. Osobito bi trebalo osigurati da se ne prikupljaju suvišni osobni podaci i da se ne pohranjuju dulje nego što je nužno za potrebe za koje se obrađuju. Osobni podaci smjeli bi se obrađivati samo ako se svrha obrade opravdano ne može postići drugim sredstvima. Radi osiguravanja da se podaci ne drže dulje no što je potrebno, voditelj obrade trebao bi odrediti vremenske rokove za brisanje ili periodično preispitivanje. Države članice trebale bi utvrditi odgovarajuće zaštitne mjere za osobne podatke koji se pohranjuju na dulja razdoblja u svrhe arhiviranja u javnom interesu, u znanstvene, statističke ili povijesne svrhe.

(27)

Radi sprečavanja, istrage i progona kaznenih djela nužno je da nadležna tijela obrađuju osobne podatke prikupljene u kontekstu sprečavanja, istrage, otkrivanja ili progona posebnih kaznenih djela izvan tog konteksta kako bi stekla uvid u kriminalne aktivnosti te kako bi mogla povezati različita otkrivena kaznena djela.

(28)

Radi očuvanja sigurnosti u vezi s obradom i sprečavanja obrade kojom bi se kršila ova Direktiva, osobni podaci trebali bi se obrađivati na način da se osigura odgovarajuća razina sigurnosti i povjerljivosti, među ostalim sprečavanjem neovlaštenog pristupa osobnim podacima ili uporabe osobnih podataka i opreme koji se upotrebljavaju za obradu, te da se uzimaju u obzir najnovija raspoloživa dostignuća i tehnologija te troškovi provedbe u odnosu na rizike i vrstu osobnih podataka koji se trebaju zaštititi.

(29)

Osobni podaci trebali bi se prikupljati u posebne, izričite i zakonite svrhe u području primjene ove Direktive te ih se ne bi smjelo obrađivati u svrhe koje nisu u skladu sa svrhama sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje. Ako osobne podatke obrađuje isti ili drugi voditelj obrade u neku svrhu iz područja primjene ove Direktive koja je različita od one za koju su podaci prikupljeni, takva bi obrada trebala biti dopuštena pod uvjetima da je takva obrada odobrena u skladu s primjenjivim pravnim odredbama te da je nužna za tu drugu svrhu i razmjerna toj drugoj svrsi.

(30)

Trebalo bi primijeniti načelo točnosti podataka uzimajući u obzir prirodu i svrhu dotične obrade. Izjave koje sadržavaju osobne podatke temelje se, osobito u sudskim postupcima, na subjektivnoj percepciji pojedinaca i ne mogu uvijek provjeriti. Stoga se zahtjev za točnošću ne bi trebao odnositi na točnost izjave, već samo na činjenicu da je određena izjava dana.

(31)

Za obradu osobnih podataka na područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje svojstveno je da se obrađuju osobni podaci koji se odnose na različite kategorije ispitanika. Stoga bi što je više moguće i ako je primjenjivo trebalo praviti jasnu razliku između osobnih podataka različitih kategorija ispitanika, primjerice: osumnjičenika; osoba osuđenih za kazneno djelo; žrtava i drugih strana, kao što su svjedoci; osobe koje posjeduju važne informacije ili kontakte; te pomagači osumnjičenika i osuđenih počinitelja kaznenih djela. Time se ne bi smjela spriječiti primjena prava pretpostavke nedužnosti kako je zajamčena Poveljom i Europskom konvencijom o ljudskim pravima, a kako se tumači u sudskoj praksi Suda i Europskog suda za ljudska prava.

(32)

Nadležna tijela trebala bi osigurati da se osobni podaci koji su netočni, nepotpuni ili više nisu ažurni ne prenose i ne stavljaju na raspolaganje. Kako bi osigurala zaštitu pojedinaca, točnost, potpunost ili mjeru u kojoj su osobni podaci ažurni te pouzdanost osobnih podataka koji se prenose ili stavljaju na raspolaganje, nadležna tijela trebala bi, koliko god je to moguće, dodati potrebne informacije u sve prijenose osobnih podataka.

(33)

Ako se ovom Direktivom upućuje na pravo države članice, pravnu osnovu ili zakonodavnu mjeru, to ne znači nužno da parlament mora donijeti zakonodavni akt, ne dovodeći u pitanje zahtjeve u skladu s ustavnim poretkom dotične države članice. Međutim, takvo pravo države članice, pravna osnova ili zakonodavna mjera trebala bi biti jasna i precizna, a njezina primjena trebala bi biti predvidljiva osobama na koje se primjenjuje sukladno sudskoj praksi Suda i Europskog suda za ljudska prava. U pravu države članice kojim se uređuje obrada osobnih podataka unutar područja primjene ove Direktive trebali bi se navesti barem ciljevi, osobni podaci koji se obrađuju, svrhe obrade i postupci za očuvanje cjelovitosti i povjerljivosti osobnih podataka te postupci za njihovo uništenje, čime bi se zajamčila dostatna zaštita od rizika od zlouporabe i proizvoljnosti.

(34)

Obrada osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, trebala bi obuhvaćati svaki postupak ili skup postupaka koji se provode na osobnim podacima ili skupovima osobnih podataka u te svrhe, bilo automatiziranim putem ili na drugi način, kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, usklađivanje ili kombiniranje, ograničavanje obrade, brisanje ili uništavanje. Posebno, pravila ove Direktive trebala bi se primjenjivati na prijenos osobnih podataka za potrebe iz ove Direktive primatelju koji ne podliježe ovoj Direktivi. Takav primatelj trebao bi obuhvaćati fizičku ili pravnu osobu, tijelo javne vlasti, agenciju ili bilo koje drugo tijelo kojem nadležno tijelo zakonito otkriva osobne podatke. Ako je osobne podatke izvorno prikupilo nadležno tijelo za neku od svrha iz ove Direktive, na obradu tih podataka u svrhe koje su različite od onih iz ove Direktive, ako je takva obrada odobrena pravom Unije ili pravom države članice, trebala bi se primjenjivati Uredba (EU) 2016/679. Posebno, pravila iz Uredbe (EU) 2016/679 trebala bi se primjenjivati na prijenos osobnih podataka za svrhe koje su izvan područja primjene ove Direktive. Na obradu osobnih podataka od strane primatelja koji nije nadležno tijelo niti djeluje kao takvo u smislu ove Direktive i kojem nadležno tijelo zakonito otkriva osobne podatke trebala bi se primjenjivati Uredba (EU) 2016/679. Pri provedbi ove Direktive države članice trebale bi također imati mogućnost dodatno precizirati primjenu pravila iz Uredbe (EU) 2016/679, podložno uvjetima koji su u njoj utvrđeni.

(35)

Kako bi bila zakonita, obrada osobnih podataka na temelju ove Direktive trebala bi biti nužna za obavljanje nekog zadatka nadležnog tijela u interesu javnosti na temelju prava Unije ili prava države članice u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje. Tim bi se aktivnostima trebala obuhvatiti zaštita ključnih interesa ispitanika. Ako je obavljanje zadaća sprečavanja, istraživanja, otkrivanja ili kaznenog progona kaznenih djela institucionalno zakonom dodijeljeno nadležnim tijelima, ona od pojedinaca smiju zatražiti da ispune podnesene zahtjeve ili to im narediti. U takvom slučaju privola ispitanika, kako je definirana u Uredbi (EU) 2016/679 ne bi smjela biti pravna osnova za obradu osobnih podataka od strane nadležnih tijela. Ako ispitanik mora ispuniti pravnu obvezu, on nema pravi i slobodan izbor, stoga se reakcija ispitanika ne bi mogla smatrati dovoljno slobodnim izrazom njegovih želja. To ne bi smjelo spriječiti države članice da zakonski predvide da ispitanik može pristati na obradu svojih osobnih podataka za potrebe iz ove Direktive, poput DNK testiranja u kaznenim istragama ili praćenja svoje lokacije pomoću elektroničkih oznaka za izvršavanje kaznenih sankcija.

(36)

Ako se pravom Unije ili pravom države članice koje se primjenjuje na nadležno tijelo koje prenosi podatke propisuju posebni uvjeti primjenjivi na obradu osobnih podataka u posebnim okolnostima, primjerice u pogledu uporabe oznaka za postupanje s dokumentima, države članice trebale bi osigurati da nadležno tijelo koje prenosi podatke primatelja takvih osobnih podataka obavijesti o tim uvjetima i o zahtjevu za poštovanje tih uvjeta. Takvi bi uvjeti, primjerice mogli obuhvaćati zabranu u pogledu daljnjeg prijenosa osobnih podataka drugima ili njihove upotrebe u druge svrhe, osim onih za koje su preneseni primatelju ili u pogledu obavijesti ispitaniku u slučaju ograničenja prava na informaciju bez prethodnog odobrenja nadležnog tijela koje prenosi podatke. Te bi se obveze trebale primjenjivati i na prijenose primateljima u trećim zemljama ili međunarodnim organizacijama koje obavlja nadležno tijelo koje prenosi podatke. Države članice trebale bi osigurati da nadležno tijelo koje prenosi podatke takve uvjete ne primjenjuje na primatelje u drugim državama članicama ni na druge agencije, urede i tijela osnovana na temelju glave V. poglavlja 4. i 5. UFEU-a, osim onih koji su primjenjivi na slične prijenose podataka u državi članici u kojoj se nalazi to nadležno tijelo.

(37)

Osobni podaci koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode. Ti bi osobni podaci trebali obuhvatiti osobne podatke koji otkrivaju rasno ili etničko podrijetlo, pri čemu upotreba termina „rasno podrijetlo” u ovoj Direktivi ne podrazumijeva da Unija prihvaća teorije koje pokušavaju odrediti postojanje odvojenih ljudskih rasa. Takvi se osobni podaci ne bi smjeli obrađivati, osim ako se na obradu primjenjuju odgovarajuće zaštitne mjere u pogledu prava i sloboda ispitanika utvrđene zakonom te ako je dopuštena u slučajevima dopuštenima zakonom; a ako već nije dopuštena takvim zakonom da je obrada nužna radi zaštite životno važnih interesa ispitanika ili druge osobe; ili se obrada odnosi na podatke za koje je očito da ih je objavio ispitanik. Odgovarajuće zaštitne mjere u pogledu prava i sloboda ispitanika mogle bi, primjerice, obuhvaćati i mogućnost da se ti podaci prikupljaju samo u vezi s ostalim podacima dotičnog pojedinca, mogućnost da se prikupljeni podaci primjereno osiguravaju te stroža pravila za pristup osoblja nadležnog tijela podacima i zabranu prijenosa tih podataka. Obradu takvih podataka trebalo bi zakonom također dopustiti ako je ispitanik izričito pristao na obradu koja je za njega osobito intruzivna. Sama privola ispitanika, međutim, ne bi smjela biti pravna osnova za obradu takvih osjetljivih osobnih podatka od strane nadležnih tijela.

(38)

Ispitanik bi trebao imati pravo da se na njega ne odnosi odluka kojom se procjenjuju osobni aspekti u vezi s njim koja se isključivo temelji na automatiziranoj obradi i koja proizvodi štetne pravne učinke koji se na njega odnose ili na njega znatno utječu. U svakom slučaju na takvu bi se obradu trebale primjenjivati odgovarajuće zaštitne mjere, uključujući pružanje posebnih informacija ispitaniku i pravo na izravnu ljudsku intervenciju, posebno pravo da izrazi svoje stajalište, da dobije objašnjenje odluke donesene nakon takve procjene ida ospori tu odluku. Izrada profila koja dovodi do diskriminacije pojedinaca na temelju osobnih podataka koji su prema svojoj prirodi posebno osjetljivi u odnosu na temeljna prava i slobode trebala bi biti zabranjena na temelju uvjeta utvrđenih u člancima 21. i 52. Povelje.

(39)

S ciljem omogućivanja ispitaniku da ostvari svoja prava, svaka bi informacija ispitaniku trebala biti lako dostupna, među ostalim na internetskoj stranici voditelja obrade, te lako razumljiva, uporabom jasnog i jednostavnog jezika. Takve informacije trebale bi biti prilagođene potrebama ranjivih osoba kao što su djeca.

(40)

Trebalo bi predvidjeti modalitete kojima se olakšava ostvarivanje prava ispitanika u okviru odredaba donesenih na temelju ove Direktive, uključujući mehanizme za podnošenje zahtjeva te, ako je primjenjivo, besplatno ostvarivanje, osobito zahtjeva za pristup osobnim podacima, njihovo ispravljanje ili brisanje i ograničavanje obrade. Voditelj obrade trebao bi biti dužan odgovoriti na zahtjev ispitanika bez nepotrebne odgode, osim ako voditelj obrade primjeni ograničenja na prava ispitanika u skladu s ovom Direktivom. Osim toga, ako su zahtjevi očigledno neutemeljeni ili pretjerani, primjerice ako ispitanik neopravdano i opetovano traži informacije ili ako ispitanik zlouporabi svoje pravo na informacije, primjerice davanjem lažnih ili obmanjujućih informacija prilikom podnošenja zahtjeva, voditelj obrade trebao bi imati mogućnost naplatiti razumnu naknadu ili odbiti postupiti po zahtjevu.

(41)

Ako voditelj obrade zatraži dodatne informacije koje su potrebne radi potvrde identiteta ispitanika, te bi se informacije trebale obrađivati samo u tu određenu svrhu i ne bi se smjele pohranjivati dulje nego što je potrebno za tu svrhu.

(42)

Ispitaniku bi trebalo staviti na raspolaganje najmanje sljedeće informacije: identitet voditelja obrade, postojanje postupka obrade, svrhe obrade, pravo na podnošenje pritužbe i postojanje prava da se od voditelja obrade zatraži pristup obradi te ispravak ili brisanje osobnih podataka ili ograničavanje obrade. To bi se moglo obaviti na internetskoj stranici nadležnog tijela. Usto, u određenim slučajevima i kako bi mu se omogućilo ostvarivanje njegovih prava, ispitanika bi se trebalo obavijestiti o pravnoj osnovi za obradu te o tome koliko dugo će se ti podaci pohranjivati, u mjeri u kojoj su takve dodatne informacije potrebne, uzimajući u obzir određene okolnosti pod kojima se podaci obrađuju kako bi se zajamčila poštena obrada u odnosu na ispitanika.

(43)

Pojedinac bi trebao imati pravo pristupa prikupljenim podacima koji se na njega odnose te ostvarivati to pravo lako i u razumnim intervalima kako bi bio svjestan obrade i provjerio njezinu zakonitost. Svaki bi ispitanik stoga trebao imati pravo znati za i primiti obavijest o tome u koje se svrhe i na koje razdoblje podaci obrađuju te o primateljima podataka, uključujući one u trećim zemljama. Ako takve obavijesti uključuju informacije o izvoru osobnih podataka, tim se informacijama ne bi smio otkrivati identitet fizičkih osoba, a posebno povjerljivih izvora. Kako bi se to pravo poštovalo, dovoljno je da ispitanik ima pun sažetak tih podataka u razumljivom obliku, to jest obliku koji omogućuje da ispitanik sazna te podatke i provjeri da su točni i obrađeni u skladu s ovom Direktivom, kako bi imao mogućnost ostvariti prava koje su mu dodijeljena ovom Direktivom. Takav sažetak trebao bi se dati u obliku preslike osobnih podataka koji su u postupku obrade.

(44)

Države članice trebale bi imati mogućnost donošenja zakonodavnih mjera za odgađanje, ograničavanje ili ispuštanje informacija ispitanicima ili ograničavanje, u potpunosti ili djelomično, pristupa njihovim osobnim podacima u mjeri i dokle god takva mjera predstavlja nužnu i proporcionalnu mjeru u demokratskom društvu uz dužno poštovanje temeljnih prava i legitimnih interesa dotičnog pojedinca kako bi se izbjegla ometanja službenih ili pravnih ispitivanja, istraga ili postupaka te dovođenje u pitanje sprečavanja, istrage,otkrivanja ili progona kaznenih djela ili kako bi se izvršavale kaznene sankcije, zaštitila javna ili nacionalna sigurnost ili zaštitila prava i slobode drugih. Voditelj obrade trebao bi konkretnim i pojedinačnim ispitivanjem svakog slučaja procijeniti je li potrebno primijeniti djelomično ili potpuno ograničavanje prava pristupa.

(45)

Svako odbijanje ili ograničavanje pristupa trebalo bi se u načelu pisanim putem priopćiti ispitaniku i trebalo bi uključivati činjenične ili pravne razloge na kojima se ta odluka temelji.

(46)

Svako ograničavanje prava ispitanika mora biti u skladu s Poveljom i Europskom konvencijom o zaštiti ljudskih prava, kako se tumače u sudskoj praksi Suda odnosno Europskog suda za ljudska prava, te se njime posebno mora poštovati bit tih prava i sloboda.

(47)

Pojedinac bi trebao imati pravo na ispravak netočnih osobnih podataka koji se na njega odnose, posebno ako se odnose na činjenice, kao i pravo na njihovo brisanje ako obrada takvih podataka krši ovu Direktivu. Međutim, pravo na ispravak podataka ne bi smio utjecati na primjerice sadržaj svjedočenja svjedoka. Pojedinac bi trebao imati i pravo na ograničavanje obrade ako osporava točnost osobnih podataka i ako točnost ili netočnost podataka nije moguće utvrditi ili ako se osobni podaci moraju zadržati kao dokaz. Obradu osobnih podataka posebno bi, umjesto da ih se briše, trebalo ograničiti ako u određenom slučaju postoje opravdani razlozi za pretpostavku da bi brisanje moglo utjecati na legitimne interese ispitanika. U takvom slučaju ograničeni podaci trebali bi se obrađivati samo u svrhu zbog koje nisu bili izbrisani. Metode ograničavanja obrade osobnih podataka mogle bi, među ostalim, uključivati premještanje odabranih podataka u drugi sustav obrade, primjerice u svrhe pohrane, ili onemogućavanje dostupnosti odabranih podataka. U automatiziranim sustavima pohrane ograničavanje obrade osobnih podataka u načelu bi se trebalo osigurati tehničkim sredstvima. Činjenicu da je obrada osobnih podataka ograničena trebalo bi navesti u sustavu tako da bude jasno da je obrada osobnih podataka ograničena. O takvom ispravku ili brisanju osobnih podatka ili ograničavanju obrade trebalo bi obavijestiti primatelje kojima su ti podaci otkriveni te nadležna tijela od kojih potječu netočni podaci. Voditelji obrade te podatke također ne bi smjeli širiti dalje.

(48)

Ako voditelj obrade ispitaniku uskraćuje pravo na informiranje, pristup, ispravak ili brisanje osobnih podataka ili ograničavanje obrade, ispitanik bi trebao imati pravo zatražiti od nacionalnog nadzornog tijela provjeru zakonitosti obrade. Ispitanik bi trebao biti obaviješten o tom pravu. Ako nadzorno tijelo djeluje u ime ispitanika, nadzorno tijelo trebalo bi obavijestiti ispitanika barem o tome da je nadzorno tijelo obavilo sve potrebne provjere ili preispitivanja. Nadzorno bi tijelo također trebalo obavijestiti ispitanika o njegovu pravu na pravni lijek.

(49)

Ako se osobni podaci obrađuju u okviru kaznene istrage i sudskih postupaka u kaznenim predmetima, države članice trebale bi imati mogućnost predvidjeti da se ostvarivanje prava na informiranje, pristup i ispravak ili brisanje osobnih podataka i ograničavanje obrade obavlja u skladu s nacionalnim pravilima o sudskom postupku.

(50)

Trebalo bi uspostaviti dužnost i odgovornost voditelja obrade za svaku obradu osobnih podataka koju provede sâm voditelj obrade ili netko drugi u ime voditelja obrade. Voditelj obrade posebno bi trebao imati obvezu provođenja odgovarajućih i djelotvornih mjera te biti u mogućnosti dokazati da su aktivnosti obrade usklađene s ovom Direktivom. Takvim bi se mjerama trebalo u obzir uzeti prirodu, opseg, kontekst i svrhe obrade te rizik za prava i slobode pojedinaca. Mjerama koje voditelj obrade poduzima trebalo bi obuhvatiti sastavljanje i provedbu posebnih zaštitnih mjera u vezi s obradom osobnih podataka ranjivih pojedinaca kao što su djeca.

(51)

Rizik za prava i slobode pojedinaca različitih vjerojatnosti i ozbiljnosti može proizaći iz obrade podataka koja bi mogla prouzročiti fizičku, materijalnu ili nematerijalnu štetu, osobito ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, štete za ugled, gubitka povjerljivosti podataka zaštićenih profesionalnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije ili bilo koje druge značajne gospodarske ili društvene štete; ako ispitanici mogu biti uskraćeni za svoja prava i slobode ili za provođenje nadzora nad njihovim osobnim podacima; ako se obrađuju osobni podaci koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstva u sindikatu; ako je riječ o obradi genetskih podataka ili biometrijskih podataka u svrhu jedinstvene identifikacije osobe ili ako je riječ o obradi podataka u vezi sa zdravljem ili podataka u vezi sa spolnim životom i spolnim opredjeljenjem, ili kaznenim osudama i kaznenim djelima, ili povezanim sigurnosnim mjerama; ako se procjenjuju osobni aspekti, osobito analiza i predviđanje aspekata u vezi s učinkom na poslu, gospodarskom situacijom, zdravljem, osobnim preferencijama ili interesima, pouzdanošću ili ponašanjem, lokacijom ili kretanjem kako bi se izradili ili upotrebljavali osobni profili; ako se obrađuju osobni podaci ranjivih pojedinaca, osobito djece; ili ako obrada uključuje veliku količinu osobnih podataka i utječe na velik broj ispitanika.

(52)

Vjerojatnost i ozbiljnost rizika trebali bi se određivati s obzirom na prirodu, opseg, kontekst i svrhe obrade. Rizik bi se trebao procjenjivati na temelju objektivne procjene kojom se utvrđuje uključuju li postupci obrade podataka visok rizik. Visok rizik znači osobit rizik ugrožavanja prava i sloboda ispitanikâ.

(53)

Zaštita prava i sloboda pojedinaca u vezi s obradom osobnih podataka zahtijeva poduzimanje odgovarajućih tehničkih i organizacijskih mjera kako bi se osiguralo ispunjavanje zahtjeva ove Direktive. Provedba tih mjera ne bi smjela ovisiti isključivo o gospodarskim razlozima. Radi dokazivanja sukladnosti s ovom Direktivom voditelj obrade trebao bi donijeti interne politike i provesti mjere kojima se osobito poštuju načela tehničke zaštite podataka i integrirane zaštite podataka. Ako je voditelj obrade proveo procjenu učinka na zaštitu podataka u skladu s ovom Direktivom, rezultati bi se trebali uzeti u obzir pri razvoju tih mjera i postupaka. Te mjere bi se mogle, među ostalim, sastojati od primjene pseudonimizacije što je prije moguće. Primjena pseudonimizacije za potrebe ove Direktive može služiti kao sredstvo kojim bi se mogao olakšati slobodan protok osobnih podataka unutar područja slobode, sigurnosti i pravde.

(54)

Zaštita prava i sloboda ispitanikâ, kao i odgovornost i obveze voditeljâ obrade i izvršiteljâ obrade, također u vezi s praćenjem i mjerama nadzornih tijela, zahtijevaju jasno utvrđivanje odgovornosti ovom Direktivom, među ostalim i u slučajevima u kojima voditelj obrade određuje svrhe i sredstva obrade zajedno s drugim voditeljima obrade ili kada se postupak obrade provodi u ime voditelja obrade.

(55)

Obrada koju provodi izvršitelj obrade trebala bi biti uređena pravnim aktom uključujući ugovor kojim se izvršitelj obrade obvezuje prema voditelju obrade te kojim se posebno utvrđuje da bi izvršitelj obrade trebao djelovati samo prema uputama voditelja obrade. Izvršitelj obrade trebao bi uzimati u obzir načelo tehničke i integrirane zaštite podataka.

(56)

Voditelj obrade ili izvršitelj obrade trebao bi voditi evidenciju o svim kategorijama aktivnosti obrade pod svojom odgovornošću radi dokazivanja sukladnosti s ovom Direktivom. Svaki voditelj obrade i izvršitelj obrade trebali bi biti obvezni surađivati s nadzornim tijelom i tu mu evidenciju na zahtjev staviti na raspolaganje kako bi ona poslužila za praćenje tih postupaka obrade. Voditelj obrade ili izvršitelj obrade koji obrađuje osobne podatke u neautomatiziranim sustavima obrade trebao bi imati učinkovite metode za dokazivanje zakonitosti obrade, omogućivanje samopraćenja i osiguravanje cjelovitosti i sigurnosti podataka, poput zapisa ili drugih oblika evidencije.

(57)

Zapise bi trebalo voditi barem za postupke u automatiziranim sustavima obrade kao što su prikupljanje, izmjene, obavljanje uvida, otkrivanje, uključujući prijenose, kombiniranje ili brisanje. Identitet osobe koja je obavila uvid u osobne podatke ili ih otkrila trebao bi se evidentirati i na temelju te identifikacije trebalo bi biti moguće naći opravdanje za postupke obrade. Zapise bi se trebalo upotrebljavati samo u svrhe provjere zakonitosti obrade podataka, samopraćenja i osiguravanja cjelovitosti i sigurnosti podataka te u kaznenim postupcima. Samopraćenje obuhvaća i unutarnje stegovne postupke nadležnih tijela.

(58)

Voditelj obrade trebao bi izvršiti procjenu učinka na zaštitu podataka ako je vjerojatno da postupci obrade zbog svoje prirode, opsega ili svrhe mogu dovesti do posebna rizika za prava i slobode ispitanika, a ta bi procjena posebno trebala uključivati mjere, zaštitne mjere i mehanizme predviđene za osiguravanje zaštite osobnih podataka i za dokazivanje usklađenosti s ovom Direktivom. Procjenama učinka trebali bi se obuhvatiti relevantni sustavi i procesi postupaka obrade, ali ne i pojedinačni slučajevi.

(59)

Kako bi se osigurala učinkovita zaštita prava i sloboda ispitanika, u određenim bi se slučajevima prije obrade voditelj obrade ili izvršitelj obrade trebao savjetovati s nadzornim tijelom.

(60)

Kako bi se očuvala sigurnost i spriječila obrada kojom se krši ova Direktiva, voditelj obrade ili izvršitelj obrade trebao bi procijeniti rizike povezane s obradom te bi trebao provesti mjere za njihovo ublažavanje, kao što je enkripcija. Takvim bi se mjerama trebala osigurati odgovarajuća razina zaštite, uključujući povjerljivost, te uzeti u obzir najnovija dostignuća i troškovi provedbe u odnosu na rizik i vrstu osobnih podataka koji se trebaju zaštititi. Prilikom procjene rizika za sigurnost podataka u obzir bi trebalo uzeti rizike koje predstavlja obrada podataka poput slučajnog ili nezakonitog uništenja, gubitka, izmjene ili neovlaštenog otkrivanja osobnih podataka ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani, a što osobito može dovesti do fizičke, materijalne ili nematerijalne štete. Voditelj obrade i izvršitelj obrade trebali bi osigurati da obradu osobnih podataka ne provode neovlaštene osobe.

(61)

Ako se povreda osobnih podataka ne rješava na odgovarajući način i pravodobno, ona može prouzročiti fizičku, materijalnu ili nematerijalnu štetu pojedincima, kao što su gubitak nadzora nad njihovim osobnim podacima ili ograničavanje njihovih prava, diskriminacija, krađa identiteta ili prijevara, financijski gubitak, neovlašteni obrnuti postupak pseudonimizacije, šteta za ugled, gubitak povjerljivosti osobnih podataka zaštićenih poslovnom tajnom ili bilo koju drugu značajnu gospodarsku ili društvenu štetu za dotičnog pojedinca. Stoga, čim voditelj obrade primijeti da je došlo do povrede osobnih podataka, trebao bi o tome izvijestiti nadležno nadzorno tijelo bez nepotrebnog odgađanja i to, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi osobnih podataka, osim ako voditelj obrade podataka može dokazati, u skladu s načelom odgovornosti, da povreda osobnih podataka vjerojatno neće prouzročiti rizik za prava i slobode pojedinaca. Ako se takvo obavješćivanje ne može postići u roku od 72 sata, obavijest bi trebala biti popraćena razlozima kašnjenja, a informacije se mogu pružiti u fazama bez nepotrebnog daljnjeg odgađanja.

(62)

Pojedince bi bez nepotrebnog odgađanja trebalo obavijestiti ako je vjerojatno da će povreda osobnih podataka dovesti do visokog rizika za prava i slobode pojedinaca, kako bi mogli poduzeti potrebne mjere opreza. U obavijesti bi trebalo opisati prirodu povrede osobnih podataka kao i preporuke kako bi dotični pojedinac mogao ublažiti potencijalne negativne učinke. Obavijesti bi se ispitanicima trebala pružiti što je prije, u razumnim granicama, izvedivo i u bliskoj suradnji s nadzornim tijelom te poštujući njegove upute ili upute drugih relevantnih tijela vlasti. Na primjer, o potrebi za umanjivanjem neposrednog rizika od štete bilo bi potrebno odmah obavijestiti ispitanike, dok potreba za provedbom odgovarajućih mjera protiv daljnje ili slične povrede osobnih podataka može opravdati duži rok za obavijest. Ako se izbjegavanje ometanja službenih ili pravnih ispitivanja, istragâ ili postupaka, izbjegavanje dovođenja u pitanje sprečavanja, otkrivanja, istrage ili progona kaznenih djela ili izvršavanja kaznenih sankcija, zaštita javne sigurnosti, zaštita nacionalne sigurnosti ili zaštita prava i sloboda drugih ne može postići odgodom ili ograničavanjem obavješćivanja dotičnog pojedinca o povredi osobnih podataka, takva bi se obavijest, u izuzetnim okolnostima, mogla uskratiti.

(63)

Voditelj obrade trebao bi imenovati osobu koja će mu pomagati u praćenju unutarnje usklađenosti s odredbama donesenima u skladu s ovom Direktivom, osim ako država članica odluči o izuzeću sudova i drugih neovisnih pravosudnih tijela kada djeluju u okviru svoje sudske nadležnosti. Ta bi osoba mogla biti jedan od zaposlenika voditelja obrade koji su prošli posebno osposobljavanje u vezi s pravom i praksama u području zaštite podataka kako bi stekli stručno znanje u tom području. Nužna razina stručnog znanja trebala bi se utvrditi posebno u odnosu na postupke obrade podataka koji se provode te na zaštitu koju za obrađene osobne podatke zahtijeva voditelj obrade. Njegova zadaća može se provoditi na pola radnog vremena ili na puno radno vrijeme. Službenika za zaštitu podataka može zajednički imenovati nekoliko voditelja obrade uzimajući u obzir svoju organizacijsku strukturu i veličinu, primjerice u slučaju zajedničkih resursa u središnjim odjelima. Ta se osoba može imenovati i na različita radna mjesta unutar strukture dotičnih voditelja obrade. Ta bi osoba trebala pomagati voditelju obrade i zaposlenicima u vezi s obradom osobnih podataka pružajući im informacije i savjete o usklađenosti s njihovim odgovarajućim obvezama u vezi sa zaštitom podataka. Takvi službenici za zaštitu podataka trebali bi biti u mogućnosti neovisno obavljati svoje dužnosti i zadaće u skladu s pravom države članice.

(64)

Države članice trebale bi osigurati da se prijenos podataka u treću zemlju ili međunarodnu organizaciju provodi samo ako je nužan za sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje te da je voditelj obrade u trećoj zemlji ili međunarodnoj organizaciji tijelo koje je nadležno u smislu ove Direktive. Prijenos podataka trebali bi obavljati samo nadležna tijela u svojstvu voditeljâ obrade, osim u slučaju da se od izvršiteljâ obrade izričito zatražilo da izvrše prijenos u ime voditeljâ obrade. Takav prijenos podataka može se provoditi u slučajevima kada je Komisija utvrdila da dotična treća zemlja ili međunarodna organizacija jamči odgovarajuću razinu zaštite, nakon što su pružene odgovarajuće zaštitne mjere ili kada se primjenjuju odstupanja za posebne situacije. Ako se osobni podaci prenose iz Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne bi smjela biti narušena razina zaštite pojedinaca predviđena ovom Direktivom u Uniji, među ostalim u slučajevima daljnjeg prijenosa osobnih podataka iz treće zemlje ili međunarodne organizacije voditeljima obrade, izvršiteljima obrade u istoj ili u nekoj drugoj trećoj zemlji ili međunarodnoj organizaciji.

(65)

Ako se osobni podaci prenose iz države članice u treće zemlje ili međunarodne organizacije takav bi se prijenos u načelu trebao odvijati tek nakon što ga odobri država članica od koje su ti podaci dobiveni. U slučajevima kada je prijetnja javnoj sigurnosti države članice ili treće zemlje ili neophodnim interesima država članica toliko neposredna da nije moguće pravodobno dobiti prethodno odobrenje, interesi učinkovite suradnje u izvršavanju zakonodavstva nalažu da bi nadležno tijelo trebalo imati mogućnost prijenosa relevantnih osobnih podataka dotičnoj trećoj zemlji ili međunarodnoj organizaciji bez takvog prethodnog odobrenja. Države članice trebale bi osigurati da se treće zemlje ili međunarodne organizacije obavijesti o svim posebnim uvjetima u vezi s prijenosom. Daljnji prijenosi osobnih podataka trebali bi ovisiti o prethodnom odobrenju nadležnog tijela koje je provelo prvotni prijenos podataka. Pri odlučivanju o zahtjevu za odobrenje daljnjeg prijenosa, nadležno tijelo koje je provelo prvotni prijenos trebalo bi uzeti u obzir sve relevantne čimbenike, uključujući ozbiljnost kaznenog djela, određene uvjete pod kojima i svrhu u koju su podaci prvotno preneseni, prirodu i uvjete izvršenja kaznene sankcije te razinu zaštite osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji kojoj su osobni podaci dalje preneseni. Nadležno tijelo koje je provelo prvotni prijenos podataka trebalo bi imati mogućnost zahtijevati i da se daljnji prijenos obavlja pod posebnim uvjetima. Takvi posebni uvjeti mogu se opisati primjerice u kodeksima postupanja.

(66)

Komisija bi trebala imati mogućnost odlučiti s učinkom na cijelu Uniju da određene treće zemlje, područje ili jedan ili više posebnih sektora u kojima se obavlja obrada u trećoj zemlji, ili međunarodna organizacija pružaju odgovarajuću razinu zaštite podataka te na taj način pružaju pravnu sigurnost i ujednačenost u cijeloj Uniji kad je riječ o trećim zemljama ili međunarodnim organizacijama za koje se smatra da pružaju takvu razinu zaštite. U takvim slučajevima, prijenose osobnih podataka tim zemljama trebalo bi biti moguće provesti bez odobrenja, osim ako druga država članica iz koje su podaci dobiveni mora dati svoje odobrenje za prijenos.

(67)

U skladu s temeljnim vrijednostima na kojima je Unija osnovana, osobito zaštitom ljudskih prava, pri svojoj procjeni treće zemlje ili područja ili posebnog sektora u trećoj zemlji Komisija bi trebala uzeti u obzir kako dotična treća zemlja poštuje vladavinu prava, pristup pravosuđu, kao i međunarodne norme i standarde ljudskih prava i njihove opće i sektorsko zakone, uključujući zakonodavstvo o javnoj sigurnosti, obrani i nacionalnoj sigurnosti kao i javni poredak i kazneno pravo. Pri donošenju odluke o primjerenosti u vezi s područjem ili posebnim sektorom u trećoj zemlji trebalo bi uzeti u obzir jasne i objektivne kriterije, kao što su specifične aktivnosti obrade i područje primjene mjerodavnih zakonskih standarda i zakonodavstva koji su na snaziu trećoj zemlji. Treća bi zemlja trebala ponuditi jamstva kojima se osigurava primjerena razina zaštite, u osnovi istovjetna onoj koja je osigurana u Uniji, osobito ako se podaci obrađuju u jednom ili više posebnih sektora. Konkretno, treća zemlja trebala bi osigurati učinkovit neovisan nadzor zaštite podataka te mehanizme suradnje s tijelima država članica za zaštitu podataka, dok bi ispitanici trebali imati učinkovita i ostvariva prava te učinkovitu upravnu i sudsku zaštitu.

(68)

Osim međunarodnih obveza koje su treća zemlja ili međunarodna organizacija preuzele, Komisija bi također trebala uzeti u obzir obveze koje proizlaze iz sudjelovanja treće zemlje ili međunarodne organizacije u multilateralnim ili regionalnim sustavima, posebno u odnosu na zaštitu osobnih podataka, kao i provedbu tih obveza. Posebno bi trebalo uzeti u obzir pristupanje treće zemlje Konvenciji Vijeća Europe od 28. siječnja 1981. o zaštiti pojedinaca vezanoj uz automatsku obradu osobnih podataka te njezin Dodatni protokol. Komisija bi se trebala posavjetovati s Europskim odborom za zaštitu podataka osnovanim u okviru Uredbe (EU) 2016/679 („Odbor”) kada ocjenjuje razinu zaštite u trećim zemljama ili međunarodnim organizacijama. Komisija bi također trebala uzeti u obzir svaku relevantnu odluku o primjerenosti Komisije donesenu u skladu s člankom 45. Uredbe (EU) 2016/679.

(69)

Komisija bi trebala pratiti djelovanje odluka o razini zaštite u trećoj zemlji, na području ili u posebnom sektoru u trećoj zemlji, ili u međunarodnoj organizaciji. U svojim odlukama o primjerenosti Komisija bi trebala predvidjeti mehanizam periodičnog preispitivanja njihovog funkcioniranja. To periodično preispitivanje trebalo bi provesti uz savjetovanje s dotičnom trećom zemljom ili međunarodnom organizacijom i uzeti u obzir sve relevantne događaje u trećoj zemlji ili međunarodnoj organizaciji.

(70)

Komisija bi također trebala imati mogućnost utvrditi da treća zemlja, područje, posebni sektor unutar treće zemlje ili međunarodna organizacija više ne osiguravaju primjereni stupanj zaštite podataka. Stoga bi se prijenos osobnih podataka u tu treću zemlju ili međunarodnu organizaciju trebao zabraniti, osim ako su ispunjeni uvjeti iz ove Direktive koji se odnose na prijenose koji podliježu odgovarajućim zaštitnim mjerama i odstupanjima za posebne situacije. Trebalo bi predvidjeti savjetovanje između Komisije i takvih trećih zemalja ili međunarodnih organizacija. Komisija bi trebala pravodobno obavijestiti treću zemlju ili međunarodnu organizaciju o razlozima i započeti savjetovanja s njom kako bi se riješila situacija.

(71)

Prijenose podataka koji se ne temelje na takvoj odluci o primjerenosti smjelo bi dopustiti samo ako su pravno obvezujućim instrumentom osigurane odgovarajuće zaštitne mjere kojima se jamči zaštita osobnih podataka ili ako je voditelj obrade procijenio sve okolnosti u vezi s postupkom prijenosa podataka i na temelju te procjene smatra da postoje odgovarajuće zaštitne mjere u vezi sa zaštitom osobnih podataka. Takvi pravno obvezujući instrumenti mogli bi na primjer biti pravno obvezujući bilateralni sporazumi koje su sklopile države članice i provele ih u svoj pravni poredak te bi ih mogli primjenjivati njihovi ispitanici, osiguravajući poštovanje zahtjevâ zaštite podataka i prava ispitanika, uključujući pravo dobivanja učinkovite upravne ili sudske zaštite. Voditelj obrade trebao bi imati mogućnost uzeti u obzir sporazume o suradnji sklopljene između Europola ili Eurojusta i trećih zemalja kojima se omogućuje razmjena osobnih podataka pri procjeni svih okolnosti u vezi s prijenosom podataka. Voditelj obrade trebao bi imati mogućnost uzeti u obzir i da će prijenos osobnih podataka podlijegati obvezama povjerljivosti i načelu specifičnosti, osiguravajući da se podaci neće obrađivati u druge svrhe osim za potrebe prijenosa. Uz to bi voditelj obrade trebao uzeti u obzir da se osobni podaci neće upotrebljavati za traženje, donošenje ili izvršenje smrtne kazne ili bilo kojeg oblika okrutnog i nečovječnog postupanja. Iako bi se ti uvjeti mogli smatrati odgovarajućim zaštitnim mjerama koje omogućuju prijenos podataka, voditelj obrade trebao bi imati mogućnost zahtijevati dodatne zaštitne mjere.

(72)

Ako ne postoji odluka o primjerenosti ili odgovarajuće zaštitne mjere, prijenos ili kategorija prijenosa mogla bi se dogoditi samo u posebnim situacijama, ako je potrebno kako bi se zaštitili ključni interesi ispitanika ili druge osobe ili kako bi se zaštitili legitimni interesi ispitanika ako je tako predviđeno pravom države članice koja obavlja prijenos osobnih podataka;radi sprečavanja neposredne i ozbiljne prijetnje javnoj sigurnosti države članice ili treće zemlje; u pojedinačnom slučaju u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, ili u pojedinačnom slučaju radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva. Ta bi se odstupanja trebala tumačiti ograničeno i ne bi smjela omogućiti česte, opsežne i strukturne prijenose osobnih podataka ni masovne prijenose podataka, već bi se trebala ograničiti na podatke koji su nužni. Takvi prijenosi trebali bi se dokumentirati i dostaviti nadzornom tijelu na zahtjev kako bi se pratila zakonitost prijenosa.

(73)

Nadležna tijela država članica primjenjuju bilateralne ili multilateralne međunarodne sporazume na snazi, sklopljene s trećim zemljama u području pravosudne suradnje u kaznenim stvarima i policijske suradnje za razmjenu bitnih informacija kako bi mogla obavljati zadaće koje su im pravno dodijeljene. To se u načelu odvija putem suradnje tijela koja su nadležna u dotičnim trećim zemljama za potrebe ove Direktive, ili barem uz tu suradnju, a ponekad čak i ako bilateralni ili multilateralni međunarodni sporazum ne postoji. Međutim, u posebnim pojedinačnim slučajevima redovni postupci kojima se zahtjeva kontaktiranje takvog tijela u trećoj zemlji mogu biti neučinkoviti ili neprimjereni, osobito zato što se prijenos ne može provesti pravodobno ili zato što to tijelo u trećoj zemlji ne poštuje vladavinu prava ili međunarodne norme i standarde ljudskih prava, tako da nadležna tijela država članica mogu odlučiti prenijeti osobne podatke izravno primateljima s poslovnim nastanom u tim trećim zemljama. To se može dogoditi u slučaju da postoji hitna potreba za prijenosom osobnih podataka kako bi se spasio život osobe kojoj prijeti opasnost da postane žrtva kaznenog djela ili u interesu sprečavanja neposrednog počinjenja kaznenog djela, uključujući terorizam. Čak i ako se taj prijenos između nadležnih tijela i primatelja s poslovnim nastanom u trećim zemljama provodi samo u posebnim pojedinačnim slučajevima, ovom bi se Direktivom trebali predvidjeti uvjeti za reguliranje takvih slučajeva. Te se odredbe ne bi smjelo smatrati odstupanjima od bilo kojeg postojećeg bilateralnog ili multilateralnog međunarodnog sporazuma u području pravosudne suradnje u kaznenim stvarima i policijske suradnje. Ta bi se pravila trebala primjenjivati uz ostala pravila ove Direktive, posebno ona o zakonitosti obrade podataka i poglavlje V.

(74)

Kada se osobni podaci kreću preko granica, može se povećati rizik koji prijeti sposobnosti pojedinaca da ostvare svoja prava zaštite podataka, osobito da se zaštite od nezakonite uporabe ili otkrivanja tih podataka. Nadzorna tijela mogu istodobno otkriti da nisu u stanju rješavati pritužbe ili voditi istrage u vezi s aktivnostima izvan svojih granica. Njihove napore da rade zajedno u prekograničnom kontekstu također mogu omesti nedovoljne ovlasti za sprečavanje ili ispravljanje i nedosljedni pravni režimi. Stoga postoji potreba za promicanjem bliskije suradnje među nadzornim tijelima za zaštitu podataka, što bi im pomoglo u razmjeni informacija s nadzornim tijelima za zaštitu podataka u inozemstvu.

(75)

Uspostava nadzornih tijela u državama članicama koja mogu potpuno samostalno izvršavati svoje dužnosti ključna je sastavnica zaštite pojedinaca u vezi s obradom njihovih osobnih podataka. Nadzorna tijela trebala bi pratiti primjenu odredaba donesenih na temelju ove Direktive i doprinositi njihovoj dosljednoj primjeni u cijeloj Uniji kako bi zaštitila pojedince u vezi s obradom njihovih osobnih podataka. U tu bi svrhu nadzorna tijela trebala surađivati jedna s drugima te s Komisijom.

(76)

Nadzornom tijelu koje je već uspostavljeno u okviru Uredbe (EU) 2016/679 države članice mogu povjeriti odgovornost za zadaće koje trebaju provoditi nacionalna nadzorna tijela koja se trebaju uspostaviti u skladu s ovom Direktivom.

(77)

Državama članicama trebalo bi dopustiti uspostavljanje više od jednog nadzornog tijela kako bi se odrazila njihova ustavna, organizacijska i administrativna struktura. Svako nadzorno tijelo trebalo bi imati na raspolaganju financijske i ljudske resurse, prostorije i infrastrukturu, koji su potrebni za djelotvorno izvršavanje njihovih zadaća, uključujući zadaće povezane s uzajamnom pomoći i suradnjom s drugim nadzornim tijelima u cijeloj Uniji. Svako nadzorno tijelo trebalo bi imati odvojeni, javni godišnji proračun koji može biti dio ukupnog državnog ili nacionalnog proračuna.

(78)

Nadzorna tijela trebalo bi podvrgnuti neovisnim mehanizmima kontrole ili praćenja u vezi s njihovim financijskim izdacima, pod uvjetom da ta financijska kontrola ne utječe na njihovu neovisnost.

(79)

Opći uvjeti za člana ili članove nadzornog tijela trebali bi biti propisani pravom države članice i posebno bi trebali osiguravati da te članove imenuju parlament, vlada ili šef države dotične države članice na temelju prijedloga vlade, člana vlade, parlamenta ili doma parlamenta, ili neovisno tijelo kojem je pravom države članice povjereno imenovanje putem transparentnog postupka. Radi osiguravanja neovisnosti nadzornog tijela član ili članovi trebali bi se ponašati pošteno, suzdržavati od svake radnje koja nije u skladu s njihovim dužnostima i ne bi se smjeli tijekom obavljanja mandata baviti bilo kakvom djelatnošću koja nije sukladna s tom funkcijom, bez obzira na to je li ona plaćena ili ne. Kako bi se osigurala neovisnost nadzornog tijela, nadzorno tijelo trebalo bi odabrati osoblje, što može uključivati intervenciju neovisnog tijela kojemu je taj zadatak povjeren pravom države članice.

(80)

Iako se ova Direktiva također primjenjuje na aktivnosti nacionalnih sudova i drugih pravosudnih tijela, nadležnost nadzornih tijela ne bi smjela obuhvaćati obradu osobnih podataka kada sudovi djeluju u okviru svoje sudske nadležnosti kako bi se zaštitila neovisnost sudaca u provođenju njihovih sudskih zadaća. To bi izuzeće trebalo ograničiti na pravosudne aktivnosti u sudskim postupcima i ne primjenjivati ga na ostale aktivnosti u koje bi se suci u skladu s pravom države članice mogli uključiti. Države članice također bi trebale imati mogućnost osigurati da nadležnost nadzornog tijela ne obuhvaća obradu osobnih podataka drugih neovisnih pravosudnih tijela kada djeluju u okviru svoje sudske nadležnosti, primjerice ureda javnog tužitelja. U svakom slučaju, usklađenost sudova i drugih neovisnih pravosudnih tijela s pravilima ove Direktive uvijek podliježe neovisnom nadzoru u skladu s člankom 8. stavkom 3. Povelje.

(81)

Svako nadzorno tijelo trebalo bi rješavati pritužbe koje podnese bilo koji ispitanik te bi trebalo istražiti slučaj ili ga proslijediti nadležnom nadzornom tijelu. Nakon pritužbe trebalo bi provesti istragu, koja podliježe sudskom preispitivanju, u onoj mjeri koja je u određenom slučaju prikladna. Nadzorno tijelo trebalo bi u razumnom roku izvijestiti ispitanika o napretku i ishodu pritužbe. Ako slučaj zahtijeva dodatnu istragu ili koordinaciju s drugim nadzornim tijelom, ispitaniku bi trebalo pružiti privremene informacije.

(82)

Kako bi se osigurao učinkovit, pouzdan i dosljedan nadzor sukladnosti s ovom Direktivom i njezine provedbe u cijeloj Uniji na temelju UFEU-a, kako ga tumači Sud, nadzorna tijela trebala bi u svakoj državi članici imati iste zadaće i stvarne ovlasti, među ostalim istražne, korektivne i savjetodavne ovlasti koje su im potrebne za obavljanje njihovih zadaća. Međutim, njihovim ovlastima ne bi se smjela ometati posebna pravila za kazneni postupak, uključujući istragu i progon kaznenih dijela, ili neovisnost pravosuđa. Ne dovodeći u pitanje ovlasti tijelâ kaznenog progona na temelju prava države članice, nadzorna tijela također bi trebala imati ovlast za obavješćivanje pravosudnih tijela o kršenjima ove Direktive ili za vođenje pravnih postupaka. Ovlasti nadzornih tijela trebale bi se izvršavati u skladu s primjerenim postupovnim zaštitnim mjerama utvrđenima u pravu Unije i pravu države članice nepristrano, pošteno i u razumnom roku. Posebno bi svaka mjera trebala biti primjerena, potrebna i proporcionalna cilju osiguravanja sukladnosti s ovom Direktivom, uzimajući u obzir okolnosti svakog pojedinačnog slučaja, poštovanje prava svake osobe da se sasluša prije poduzimanja bilo koje pojedinačne mjere koja bi štetno utjecala na nju te izbjegavanje suvišnih troškova i prekomjernih neugodnosti za dotičnu osobu. Istražne ovlasti u pogledu pristupa objektima trebale bi se izvršavati u skladu s posebnim zahtjevima prava države članice, poput zahtjeva za dobivanje prethodnog sudskog ovlaštenja. Donošenje pravno obvezujuće odluke trebalo bi podlijegati sudskom preispitivanju u državi članici nadzornog tijela koje je donijelo odluku.

(83)

Nadzorna tijela trebala bi jedna drugima pomagati u obavljanju zadaća i pružati si uzajamnu pomoć kako bi zajamčila dosljednu primjenu i provedbu odredaba donesenih na temelju ove Direktive.

(84)

Odbor bi trebao doprinositi dosljednoj primjeni ove Direktive u cijeloj Uniji, što uključuje savjetovanje Komisije i promicanje suradnje među nadzornim tijelima u cijeloj Uniji.

(85)

Svaki bi ispitanik trebao imati pravo podnijeti pritužbu jednom nadzornom tijelu i imati pravo na učinkovit pravni lijek u skladu s člankom 47. Povelje o temeljnim pravima ako ispitanik smatra da su prekršena njegova prava prema odredbama donesenima na temelju ove Direktive ili ako nadzorno tijelo ne postupi po pritužbi, odbaci ili odbije,u cijelosti ili djelomično, ili ne postupi kada je takvo postupanje potrebno u svrhu zaštite prava ispitanika. Slijedom pritužbe, trebalo bi provesti istragu, koja podliježe sudskom preispitivanju, u onoj mjeri koja je u određenom slučaju prikladna. Nadležno nadzorno tijelo trebalo bi u razumnom roku izvijestiti ispitanika o napretku i ishodu pritužbe. Ako slučaj zahtijeva dodatnu istragu ili koordinaciju s drugim nadzornim tijelom, ispitaniku bi trebalo pružiti privremene informacije. Kako bi se olakšalo podnošenje pritužbi, svako nadzorno tijelo trebalo bi poduzeti mjere poput osiguranja obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući ostala sredstva komunikacije.

(86)

Svaka fizička ili pravna osoba trebala bi imati pravo na učinkovit pravni lijek pred nadležnim nacionalnim sudom protiv odluke nadzornog tijela kojom se proizvode pravni učinci u vezi s tom osobom. Takva se odluka posebno odnosi na provedbu istražnih, korektivnih i autorizacijskih ovlasti nadzornog tijela ili odbacivanje ili odbijanje pritužaba. To pravo međutim ne obuhvaća druge mjere nadzornih tijela koje nisu pravno obvezujuće poput mišljenja ili savjeta koja je dalo nadzorno tijelo. Postupci protiv nadzornog tijela trebali bi se pokrenuti pred sudovima države članice u kojoj nadzorno tijelo ima poslovni nastan te bi se trebali voditi u skladu s pravom te države članice. Ti sudovi trebali bi imati punu nadležnost koja bi trebala obuhvaćati nadležnost za ispitivanje svih činjeničnih i pravnih pitanja bitnih za spor.

(87)

Ako ispitanik smatra da su prekršena njegova prava iz ove Direktive, trebao bi imati pravo ovlastiti tijelo, čiji je cilj zaštititi prava i interese ispitanikâ u vezi sa zaštitom njihovih osobnih podataka i koje je osnovano u skladu s pravom države članice, da podnese pritužbu u njegovo ime nadzornom tijelu i da ostvari pravo na pravni lijek. Pravo na zastupanje ispitanika ne bi trebalo dovesti u pitanje postupovno pravo države članice kojim se može zahtijevati da ispitanike pred nacionalnim sudovima obavezno zastupa odvjetnik, kako je definirano u Direktivi Vijeća77/249/EEZ (10).

(88)

Svaku štetu koju osoba može pretrpjeti uslijed obrade kojom se krše odredbe donesene na temelju ove Direktive trebao bi nadoknaditi voditelj obrade ili bilo koje drugo tijelo nadležno u skladu s pravom države članice. Pojam štete trebalo bi široko tumačiti s obzirom na sudsku praksu Suda tako da se u potpunosti odražavaju ciljevi ove Direktive. Time se ne dovode u pitanje zahtjevi za naknadu štete koji proizlaze iz kršenja drugih pravila Unije ili prava države članice. Pri upućivanju na obradu koja je nezakonita ili krši odredbe donesene na temelju ove Direktive, to upućivanje također obuhvaća obradu kojom se krše provedbeni akti doneseni na temelju ove Direktive. Ispitanici bi trebali dobiti punu i djelotvornu naknadu za štetu koju su pretrpjeli.

(89)

Svakoj fizičkoj ili pravnoj osobi koja krši ovu Direktivu, neovisno o tome podliježe li privatnom ili javnom pravu, trebalo bi izreći sankcije. Države članice trebale bi osigurati da su sankcije učinkovite, proporcionalne i odvraćajuće te bi trebale poduzeti sve mjere za njihovu provedbu.

(90)

Radi osiguranja jedinstvenih uvjeta za provedbu ove Direktive, Komisiji bi se trebale dodijeliti provedbene ovlasti za: primjerenu razinu zaštite koju pruža treća zemlja, područje ili posebni sektor unutar treće zemlje ili međunarodna organizacija i format i postupke za uzajamnu pomoć i aranžmane za razmjenu informacija elektroničkim putem između nadzornih tijela te između nadzornih tijela i Odbora. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (11).

(91)

Za donošenje provedbenih akata o odgovarajućoj razini zaštite koju pruža treća zemlja ili područje ili posebni sektor unutar te treće zemlje ili međunarodna organizacija; format i postupke za uzajamnu pomoć i sustave razmjene informacija elektroničkim putem između nadzornih tijela te između nadzornih tijela i Odbora trebalo bi primjenjivati postupak ispitivanja, s obzirom na to da ti akti imaju opće područje primjene.

(92)

Komisija bi trebala donijeti provedbene akte koji se odmah primjenjuju kada,u opravdanim slučajevima povezanima s trećom zemljom, područjem ili posebnim sektorom unutar treće zemlje ili međunarodnom organizacijom koji više ne osiguravaju odgovarajuću razinu zaštite, to zahtijevaju krajnje hitni razlozi.

(93)

S obzirom na to da ciljeve ove Direktive, a to su zaštita temeljnih prava i sloboda pojedinaca, posebno njihova prava na zaštitu osobnih podataka i osiguravanje slobodne razmjene osobnih podataka među nadležnim tijelima unutar Unije, ne mogu dostatno ostvariti države članice, nego se zbog opsega ili učinka djelovanja oni na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. UEU-a. U skladu s načelom proporcionalnosti utvrđenim tom članku, ova Direktiva ne prelazi ono što je potrebno za ostvarivanje tih ciljeva.

(94)

Posebne odredbe akata Unije donesenih u području pravosudne suradnje u kaznenim stvarima i policijske suradnje koje su donesene prije datuma donošenja ove Direktive, kojima se uređuje obrada osobnih podataka između država članica ili pristup imenovanih tijela država članica informacijskim sustavima uspostavljenima u skladu s Ugovorima, trebale bi ostati nepromijenjene, kao što su, na primjer, posebne odredbe o zaštiti osobnih podataka koje se primjenjuju u skladu s Odlukom Vijeća 2008/615/PUP (12) ili članak 23. Konvencije o uzajamnoj pravnoj pomoći u kaznenim stvarima među državama članicama Europske unije. (13) Budući da se člankom 8. Povelje i člankom 16. UFEU-a zahtijeva da se temeljno pravo na zaštitu osobnih podataka treba osigurati na dosljedan način širom Unije, Komisija bi trebala ocijeniti situaciju u pogledu odnosa između ove Direktive i akata donesenih prije datuma donošenja ove Direktive kojima se uređuje obrada osobnih podataka između država članica ili pristup imenovanih tijela država članica informacijskim sustavima uspostavljenima u skladu s Ugovorima kako bi procijenila potrebu za usklađivanjem tih posebnih odredaba s ovom Direktivom. Komisija bi prema potrebi trebala izraditi prijedloge s ciljem osiguravanja dosljednih pravnih pravila koja se odnose na obradu osobnih podataka.

(95)

Kako bi se osigurala sveobuhvatna i dosljedna zaštita osobnih podataka u Uniji, međunarodni sporazumi koje su države članice sklopile prije datuma stupanja na snagu ove Direktive, a koji su u skladu s odgovarajućim pravom Unije primjenjivim prije tog datuma, trebali bi ostati na snazi dok ih se ne izmijeni, zamijeni ili stavi izvan snage.

(96)

Za prenošenje ove Direktive državama članicama trebalo bi se dati razdoblje od najviše dvije godine od datuma njezina stupanja na snagu. Obrade koje su već u tijeku na taj datum trebalo bi uskladiti s ovom Direktivom u roku od dvije godine nakon što ova Direktiva stupi na snagu. Međutim, ako je takva obrada u skladu s pravom Unije koje se primjenjuje prije datuma stupanja na snagu ove Direktive, zahtjevi ove Direktive u pogledu prethodnog savjetovanja s nadzornim tijelom ne bi se trebali primjenjivati na postupke obrade koji su već u tijeku na taj datum, s obzirom da te zahtjeve, zbog same njihove prirode, treba ispuniti prije obrade. Ako se države članice koriste duljim razdobljem provedbe koje istječe sedam godina od stupanja na snagu ove Direktive kako bi ispunile obveze zapisivanja za automatizirane sustave obrade uspostavljene prije datuma tog datuma, voditelj obrade ili izvršitelj obrade trebali bi imati učinkovite metode za dokazivanje zakonitosti obrade podataka, za omogućivanje samopraćenja i za osiguravanje integriteta podataka i sigurnosti podataka, poput zapisa ili drugih oblika evidencije.

(97)

Ovom Direktivom ne dovode se u pitanje pravila o suzbijanju seksualnog zlostavljanja i seksualnog iskorištavanja djece i dječje pornografije kako je utvrđeno Direktivom 2011/93/EU Europskog parlamenta i Vijeća (14).

(98)

Okvirnu odluku 2008/977/PUP stoga bi trebalo staviti izvan snage.

(99)

U skladu s člankom 6.a Protokola br. 21 o stajalištu Ujedinjene Kraljevine i Irske s obzirom na područja slobode, sigurnosti i pravde, priloženog UEU-u i UFEU-u, Ujedinjenu Kraljevinu i Irsku ne obvezuju pravila utvrđena ovom Direktivom koja se odnose na obradu osobnih podataka od strane država članica pri obavljanju djelatnosti koje su obuhvaćene dijelom trećim glavom V. poglavljem 4. ili poglavljem 5. UFEU-a ako Ujedinjenu Kraljevinu i Irsku ne obvezuju pravila koja uređuju oblike pravosudne suradnje u kaznenim stvarima ili policijske suradnje za koja se traži usklađenost s odredbama utvrđenima na temelju članka 16. UFEU-a.

(100)

U skladu s člancima 2. i 2.a Protokola br. 22 o stajalištu Danske, priloženog UEU-u i UFEU-u, Dansku ne obvezuju pravila utvrđena ovom Direktivom niti ona podliježe primjeni tih pravila koja se odnose na obradu osobnih podataka od strane država članica pri obavljanju djelatnosti koje su obuhvaćene dijelom trećim glavom V. poglavljem 4. ili poglavljem 5. UFEU-a. S obzirom na to da se ova Direktiva temelji na schengenskoj pravnoj stečevini u skladu s dijelom trećim glavom V. UFEU-a, Danska u skladu s člankom 4. tog protokola u roku od šest mjeseci nakon donošenja ove Direktive odlučuje hoće li je provesti u svojem nacionalnom pravu.

(101)

U pogledu Islanda i Norveške ova Direktiva predstavlja razvoj odredaba schengenske pravne stečevine, u smislu Sporazuma između Vijeća Europske Unije i Republike Islanda i Kraljevine Norveške o pridruživanju tih dviju država provedbi, primjeni i razvoju schengenske pravne stečevine (15).

(102)

U pogledu Švicarske ova Direktiva predstavlja razvoj odredaba schengenske pravne stečevine, u smislu Sporazuma između Europske Unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju schengenske pravne stečevine (16).

(103)

U pogledu Lihtenštajna ova Direktiva predstavlja razvoj odredaba schengenske pravne stečevine, u smislu Protokola između Europske unije, Europske zajednice, Švicarske Konfederacije i Kneževine Lihtenštajna o pristupanju Kneževine Lihtenštajna Sporazumu između Europske unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju schengenske pravne stečevine (17).

(104)

Ovom Direktivom poštuju se temeljna prava i uvažavaju načela priznata Poveljom, kako je utvrđeno u UFEU-u, a posebno pravo na poštovanje privatnog i obiteljskog života, pravo na zaštitu osobnih podataka, pravo na učinkoviti pravni lijek i na pošteno suđenje. Ograničenja tih prava u skladu su s člankom 52. stavkom 1. Povelje jer su potrebna za ostvarivanje ciljeva od općeg interesa koje priznaje Unija ili potrebe za zaštitom prava i sloboda drugih.

(105)

U skladu sa Zajedničkom političkom izjavom država članica i Komisije od 28. rujna 2011. o dokumentima s objašnjenjima, države članice obvezale su se da će u opravdanim slučajevima uz obavijest o svojim mjerama za prenošenje priložiti jedan ili više dokumenata u kojima se objašnjava veza između sastavnih dijelova direktive i odgovarajućih dijelova nacionalnih mjera za prenošenje. U pogledu ove Direktive zakonodavac smatra da je prijenos takvih dokumenata opravdan.

(106)

Izvršeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 28. stavkom 2. Uredbe (EZ) br. 45/2001 te je dao mišljenje 7. ožujka 2012. (18).

(107)

Ovom se Direktivom ne bi smjelo sprečavati države članice da u nacionalna pravila o kaznenom postupku uvedu ostvarivanje prava ispitanikâ na informacije, pristup i ispravak ili brisanje osobnih podataka te ograničavanje obrade tijekom kaznenog postupka, kao i moguća ograničenja tih prava,

(a)

štite temeljna prava i slobode pojedinaca, a posebno njihovo pravo na zaštitu osobnih podataka; i

(b)

osiguravaju da se razmjena osobnih podataka među nadležnim tijelima unutar Unije, kada se takva razmjena zahtijeva pravom Unije ili pravom države članice, ne ograniči niti zabrani iz razloga povezanih sa zaštitom pojedinaca u pogledu obrade osobnih podataka.

(a)

tijekom djelatnosti koja nije obuhvaćena opsegom prava Unije;

(b)

koju obavljaju institucije, tijela, uredi i agencije Unije.

1.

„osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi „ispitanik”; pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

2.

„obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

3.

„ograničavanje obrade” znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti;

4.

„izrada profila” znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;

5.

„pseudonimizacija” znači obrada osobnih podataka na način da se podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;

6.

„sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

7.

„nadležno tijelo” znači:

8.

„voditelj obrade” znači nadležno tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se odrediti pravom Unije ili pravom države članice;

9.

„izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;

10.

„primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u sladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade;

11.

„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;

12.

„genetski podaci” znači svi osobni podaci koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca;

13.

„biometrijski podaci” znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci;

14.

„podaci koji se odnose na zdravlje” znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu;

15.

„nadzorno tijelo” znači neovisno tijelo javne vlasti koje je osnovala država članica u skladu s člankom 41.;

16.

„međunarodna organizacija” znači organizacija i njezina podređena tijela uređena međunarodnim javnim pravom ili bilo koje drugo tijelo koje su sporazumom ili na osnovi sporazuma osnovale dvije ili više zemalja.

(a)

obrađivani zakonito i pošteno;

(b)

prikupljeni u posebne, izričite i zakonite svrhe te da ih se ne obrađuje na način koji nije u skladu s tim svrhama;

(c)

primjereni i relevantni te da ne nisu pretjerani u odnosu na svrhe u koje se obrađuju;

(d)

točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave;

(e)

čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju;

(f)

obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera.

(a)

ako je voditelj obrade ovlašten za obradu takvih osobnih podataka u takvu svrhu u skladu s pravom Unije ili pravom države članice; te

(b)

ako je obrada nužna i proporcionalna toj drugoj svrsi u skladu s pravom Unije ili pravom države članice.

(a)

osobe za koje postoje ozbiljni razlozi za vjerovati da su počinile ili će počiniti kazneno djelo;

(b)

osobe osuđene za kazneno djelo;

(c)

žrtve kaznenog djela ili osobe u pogledu kojih postoje određene činjenice koje daju razloge vjerovati da bi ta osoba mogla biti žrtva kaznenog djela; i

(d)

druge strane u kaznenim djelima, kao što su osobe koje se može pozvati da svjedoče u istragama u vezi s kaznenim djelima ili naknadnom kaznenom postupku, osobe koje mogu dati informacije o kaznenim djelima ili osobe za kontakt ili suradnici jedne od osoba iz točaka (a) i (b).

(a)

ako je dopušteno pravom Unije ili pravom države članice;

(b)

radi zaštite vitalnih interesa ispitanika ili drugog pojedinca; ili

(c)

ako se takva obrada odnosi na podatke za koje je očito da ih je objavio ispitanik.

(a)

naplatiti razumnu naknadu, uzimajući u obzir administrativne troškove za pružanje informacija ili obavijesti ili za poduzimanje traženih mjera; ili

(b)

odbiti postupiti po zahtjevu.

(a)

identitet i kontaktne podatke voditelja obrade;

(b)

kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;

(c)

svrhe obrade za koje su ti osobni podaci namijenjeni;

(d)

pravo na podnošenje pritužbe nadzornom tijelu i kontaktne podatke nadzornog tijela;

(e)

postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima, njihov ispravak ili brisanje, ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika.

(a)

pravnoj osnovi obrade;

(b)

razdoblju u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;

(c)

ako je primjenjivo, kategorijama primatelja osobnih podataka, uključujući treće zemlje ili međunarodne organizacije;

(d)

prema potrebi, dodatne informacije, osobito ako se osobni podaci prikupljaju bez znanja ispitanika.

(a)

izbjeglo ometanje službenih ili pravnih ispitivanja, istraga ili postupaka;

(b)

izbjeglo dovođenje u pitanje sprečavanja, otkrivanja, istrage ili progona kaznenih djela ili izvršavanja kaznenih sankcija;

(c)

zaštitila javna sigurnost;

(d)

zaštitila nacionalna sigurnost;

(e)

zaštitila prava i slobode drugih.

(a)

svrhama obrade i pravnoj osnovi obrade;

(b)

kategorijama osobnih podataka o kojima je riječ;

(c)

primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama;

(d)

ako je to moguće, predviđenom razdoblju u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;

(e)

postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika;

(f)

o pravu na podnošenje pritužbe nadzornom tijelu i kontaktne podatke nadzornog tijela;

(g)

obavješćivanju o osobnim podacima koji se obrađuju i o svim dostupnim informacijama o njihovu izvoru.

(a)

izbjeglo ometanje službenih ili pravnih ispitivanja, istraga ili postupaka;

(b)

izbjeglo dovođenje u pitanje sprečavanja, otkrivanja, istrage ili progona kaznenih djela ili izvršavanja kaznenih sankcija;

(c)

zaštitila javna sigurnost;

(d)

zaštitila nacionalna sigurnost;

(e)

zaštitila prava i slobode drugih.

(a)

ispitanik osporava točnost osobnih podataka, a njihovu točnost ili netočnost nije moguće utvrditi; ili

(b)

osobni podaci moraju biti sačuvani kao dokaz.

(a)

izbjeglo ometanje službenih ili pravnih ispitivanja, istraga ili postupaka;

(b)

izbjeglo dovođenje u pitanje sprečavanja, otkrivanja, istrage ili progona kaznenih djela ili izvršavanja kaznenih sankcija;

(c)

zaštitila javna sigurnost;

(d)

zaštitila nacionalna sigurnost;

(e)

zaštitila prava i slobode drugih.

(a)

djeluje samo prema uputama voditelja obrade;

(b)

osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim odredbama o povjerljivosti;

(c)

bilo kojim odgovarajućim sredstvom pomaže voditelju obrade osigurati usklađenost s odredbama o pravima ispitanika;

(d)

prema izboru voditelja obrade, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluge obrade podataka te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka;

(e)

voditelju obrade stavlja na raspolaganje sve informacije potrebne za dokazivanje poštovanja ovog članka;

(f)

poštuje uvjete iz stavaka 2 i 3. za angažiranje drugog izvršitelja obrade.

(a)

ime i kontaktne podatke voditelja obrade i bilo kojeg zajedničkog voditelja obrade te službenika za zaštitu podataka;

(b)

svrhe obrade;

(c)

kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;

(d)

opis kategorija ispitanika i kategorija osobnih podataka;

(e)

ako je primjenjivo, upotreba izrade profila;

(f)

ako je primjenjivo, kategorije prijenosâ osobnih podataka u treću zemlju ili međunarodnu organizaciju;

(g)

pravnu osnovu za postupak obrade, uključujući prijenose, kojem su osobni podaci namijenjeni;

(h)

ako je moguće, predviđene rokove za brisanje različitih kategorija osobnih podataka;

i.

ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 29. stavka 1.

(a)

ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te, kada je to primjenjivo, službenika za zaštitu podataka;

(b)

kategorije obrade koje se provode za svakog voditelja obrade;

(c)

ako je primjenjivo, podatke o prijenosu osobnih podataka u treću zemlju ili međunarodnu organizaciju, ako za to postoji izričita uputa voditelja obrade, uključujući identificiranje te treće zemlje ili međunarodne organizacije,

(d)

ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 29. stavka 1.

(a)

procjena učinka na zaštitu podataka kako je predviđeno člankom 27. upućuje na to da bi obrada mogla rezultirati visokim rizikom ako voditelj obrade ne poduzme mjere kako bi umanjio rizik; ili

(b)

vrsta obrade, posebno ako se upotrebljavaju nove tehnologije, mehanizmi ili postupci, predstavlja visok rizik za prava i slobode ispitanikâ.

(a)

neovlaštenim osobama zabraniti pristup opremi za obradu koja se upotrebljava za obradu („nadzor pristupa opremi”);

(b)

spriječiti neovlašteno čitanje, kopiranje, mijenjanje ili uklanjanje nosača podataka („nadzor nosača podataka”);

(c)

spriječiti neovlašteno unošenje osobnih podataka te neovlašteno pregledavanje, mijenjanje ili brisanje pohranjenih osobnih podataka („nadzor pohrane”);

(d)

spriječiti upotrebu sustava automatizirane obrade neovlaštenim osobama koje se koriste opremom za podatkovnu komunikaciju „(nadzor korisnika”);

(e)

osigurati da osobe koje su ovlaštene za upotrebu sustava automatizirane obrade imaju pristup samo osobnim podacima koji su predviđeni njihovim odobrenjem za pristup („nadzor pristupa podacima”);

(f)

osigurati mogućnost da se provjeri i utvrdi kojim tijelima su osobni podaci preneseni ili bi mogli biti preneseni ili stavljeni na raspolaganje upotrebom opreme za podatkovnu komunikaciju („nadzor komunikacije”);

(g)

osigurati mogućnost da se naknadno provjeri i utvrdi koji su osobni podaci uneseni u sustave automatizirane obrade te tko ih je i kada unio („nadzor unosa”);

(h)

spriječiti neovlašteno čitanje, kopiranje, mijenjanje ili brisanje osobnih podataka tijekom prijenosa osobnih podataka ili prijenosa nosača podataka („nadzor prijenosa”);

i.

osigurati mogućnost ponovne uspostave instaliranih sustava u slučaju prekida („ponovna uspostava”);

(j)

osigurati da sustav dobro funkcionira, da se pojava grešaka u funkcioniranju sustava prijavi („pouzdanost”) i da se pohranjeni osobni podaci ne mogu ugroziti zbog nedostataka u funkcioniranju sustava („cjelovitost”).

(a)

opisati priroda povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj ispitanika te kategorije i približan broj evidencija osobnih podataka o kojima je riječ;

(b)

navesti ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još informacija;

(c)

opisati vjerojatne posljedice povrede osobnih podataka;

(d)

opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica.

(a)

voditelj obrade proveo je odgovarajuće tehnološke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom osobnih podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija;

(b)

voditelj obrade poduzeo je naknadne mjere kojima se osigurava da pojava visokog rizika za prava i slobode ispitanika iz stavka 1. više nije vjerojatna;

(c)

on bi uključivao nerazmjeran napor. U takvom slučaju, umjesto toga mora postojati javno obavješćivanje ili slična mjera kojom se ispitanici izvješćuju na jednako djelotvoran način.

(a)

informiranje i savjetovanje voditelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama na temelju ove Direktive te drugih odredaba prava Unije ili prava države članice o zaštiti podataka;

(b)

praćenje poštovanja ove Direktive, drugih odredaba prava Unije ili prava države članice o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući i raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade i povezanim revizijama;

(c)

pružanje savjeta, kada je to zatraženo, po pitanju procjene učinka na zaštitu podataka i praćenje njezina izvršavanja na temelju članka 27.;

(d)

suradnja s nadzornim tijelom;

(e)

djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima povezanima s obradom, što uključuje i prethodno savjetovanje iz članka 28. te savjetovanje, prema potrebi, u pogledu svih drugih pitanja.

(a)

prijenos je nužan u svrhe utvrđene u članku 1. stavku 1.;

(b)

osobni podaci prenose se voditelju obrade u trećoj zemlji ili međunarodnoj organizaciji koji predstavlja javno tijelo nadležno za potrebe iz članka 1. stavka 1.;

(c)

ako su osobni podaci preneseni ili stavljeni na raspolaganje iz druge države članice, ta je država članica dala prethodno odobrenje za prijenos u skladu sa svojim nacionalnim pravom;

(d)

Komisija je donijela odluku o primjerenosti na temelju članka 36. ili, u nedostatku takve odluke,odgovarajuće zaštitne mjere predviđene su ili postoje na temelju članka 37. ili se, u nedostatku odluke o primjerenosti na temelju članka 36. i odgovarajućih zaštitnih mjera u skladu s člankom 37. primjenjuju odstupanja za posebne situacije na temelju članka 38.; i

(e)

u slučaju daljnjeg prijenosa u još jednu treću zemlju ili međunarodnu organizaciju, nadležno tijelo koje je izvršilo prvotni prijenos ili drugo nadležno tijelo iste države članice, nakon što je uzelo u obzir sve relevantne čimbenike, uključujući ozbiljnost kaznenog djela, svrhu s kojom su osobni podaci prvotno preneseni i razinu zaštite osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji kojoj su dalje preneseni osobni podaci, odobrava daljnji prijenos.

(a)

vladavinu prava, poštovanje ljudskih prava i temeljnih sloboda, mjerodavno zakonodavstvo, i opće i sektorsko, što uključuje zakonodavstvo o javnoj sigurnosti, obrani, nacionalnoj sigurnosti, kaznenom pravu i pristupu tijela javne vlasti osobnim podacima, kao i provedbu takvog zakonodavstva, pravila o zaštiti podataka, pravila struke i mjere sigurnosti, što uključuje pravila za daljnji prijenos osobnih podataka još jednoj trećoj zemlji ili međunarodnoj organizaciji, koja se poštuju u toj zemlji ili međunarodnoj organizaciji, sudsku praksu te postojanje djelotvornih i provedivih prava ispitanika te djelotvorne upravne i sudske zaštite ispitanika čiji se osobni podaci prenose;

(b)

postojanje i djelotvorno funkcioniranje jednog neovisnog nadzornog tijela ili više njih u trećoj zemlji, ili tijela kojem podliježe međunarodna organizacija, odgovornih za osiguravanje i provođenje poštovanja pravila o zaštiti podataka, uključujući primjerene ovlasti izvršavanja zakonodavstva, za pružanje pomoći ispitanicima i njihovo savjetovanje u ostvarivanju njihovih prava te za suradnju s nadzornim tijelima država članica; i

(c)

međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela ili druge obveze koje proizlaze iz pravno obvezujućih konvencija ili instrumenata, kao i iz njezina sudjelovanja u multilateralnim ili regionalnim sustavima, osobito u vezi sa zaštitom osobnih podataka.

(a)

ako su odgovarajuće zaštitne mjere u pogledu zaštite osobnih podataka predviđene u pravno obvezujućem instrumentu; ili

(b)

ako je voditelj obrade procijenio sve okolnosti u vezi s prijenosom osobnih podataka i zaključio da postoje odgovarajuće zaštitne mjere u pogledu zaštite osobnih podataka.

(a)

kako bi se zaštitili vitalni interesi ispitanika ili druge osobe;

(b)

kako bi se zaštitili legitimni interesi ispitanika, ako je tako predviđeno pravom države članice koja obavlja prijenos osobnih podataka;

(c)

kako bi se spriječila neposredna i ozbiljna prijetnja javnoj sigurnosti države članice ili treće zemlje;

(d)

u pojedinačnim slučajevima u svrhe navedene u članku 1. stavku 1.; ili

(e)

u pojedinačnom slučaju radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva u vezi sa svrhama navedenima u članku 1. stavku 1.

(a)

prijenos je nužan za obavljanje zadaće nadležnog tijela koje obavlja prijenos kako je predviđeno pravom Unije ili pravom države članice u svrhe navedene u članku 1. stavku 1.;

(b)

nadležno tijelo koje obavlja prijenos utvrdi da temeljna prava i slobode dotičnog ispitanika nemaju prednost nad javnim interesom koji iziskuje prijenos u dotičnom slučaju;

(c)

nadležno tijelo koje obavlja prijenos smatra da je prijenos tijelu nadležnom u svrhe iz članka 1. stavka 1. u trećoj zemlji neučinkovit ili neprimjeren, posebno zato što se prijenos ne može pravodobno ostvariti;

(d)

tijelo koje je u trećoj zemlji nadležno u svrhe iz članka 1. stavka 1.obaviješteno je bez nepotrebnog odgađanja, osim ako je to neučinkovito ili neprimjereno;

(e)

nadležno tijelo koje obavlja prijenos obavijesti primatelja o određenoj svrsi ili svrhama u koje potonji može obrađivati osobne podatke samo ako je takva obrada nužna.

(a)

razvile mehanizme međunarodne suradnje za olakšavanje djelotvornijeg izvršavanja zakonodavstva o zaštiti osobnih podataka;

(b)

osigurale međunarodnu uzajamnu pomoć u izvršavanju zakonodavstva o zaštiti osobnih podataka, uključujući obavješćivanjem, upućivanjem pritužbi, pomoći u istragama i razmjenom informacija, pridržavajući se zaštitnih mjera za zaštitu osobnih podataka i drugih temeljnih prava i sloboda;

c)

uključile relevantne dionike u raspravu i aktivnosti čiji je cilj produbiti međunarodnu suradnju u izvršavanju zakonodavstva o zaštiti osobnih podataka;

d)

promicale razmjenu i dokumentiranje zakonodavstva i prakse u vezi sa zaštitom osobnih podataka, među ostalim u vezi sa sukobima nadležnosti s trećim zemljama.

—

njihov parlament;

—

njihova vlada;

—

njihov šef države; ili

—

neovisno tijelo kojem je pravom države članice povjereno to imenovanje.

(a)

osnivanje svakog nadzornog tijela;

(b)

kvalifikacije i uvjete prihvatljivosti potrebne za imenovanje članom svakog nadzornog tijela;

(c)

pravila i postupke za imenovanje člana ili članova svakog nadzornog tijela;

(d)

trajanje mandata člana ili članova svakog nadzornog tijela ne kraćeg od četiri godine, osim za prvo imenovanje nakon 6. svibnja 2016., a čiji dio može trajati kraće ako je to potrebno kako bi se zaštitila neovisnost nadzornog tijela putem postupka postupnog imenovanja;

(e)

jesu li član ili članovi svakog nadzornog tijela prihvatljivi da budu ponovo izabrani i, ako jesu, na koliko mandata;

(f)

uvjete kojima se uređuju obveze člana ili članova osoblja svakog nadzornog tijela, zabrane djelovanja, poslova i pogodnosti koji nisu u skladu s tim tijekom i nakon mandata te pravila kojima se uređuje prestanak radnog odnosa.

(a)

prati i provodi primjenu odredaba donesenih na temelju ove Direktive i njezinih provedbenih mjera;

(b)

promiče javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom te njihovo razumijevanje;

(c)

savjetuje, u skladu s pravom države članice, nacionalni parlament, vladu i druge institucije i tijela o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca u pogledu obrade;

(d)

promiče osviještenost voditeljâ obrade i izvršitelja obrade o njihovim obvezama na temelju ove Direktive;

(e)

na zahtjev pruža informacije bilo kojem ispitaniku u vezi s ostvarivanjem njihovih prava na temelju ove Direktive, a prema potrebi, u tu svrhu surađuje s nadzornim tijelima u drugim državama članicama;

(f)

rješava pritužbe koje podnesu ispitanik ili tijelo, organizacija ili udruženje u skladu s člankom 55. i istražuje u odgovarajućoj mjeri predmet pritužbe te izvješćuje u razumnom roku podnositelja pritužbe o napretku i ishodu istrage, posebno ako je potrebna daljnja istraga ili koordinacija s drugim nadzornim tijelom;

(g)

provjerava zakonitost obrade u skladu s člankom 17. i u razumnom roku obavješćuje ispitanika o ishodu provjere na temelju stavka 3. tog članka ili razlozima zbog kojih provjera nije obavljena;

(h)

surađuje s drugim nadzornim tijelima, među ostalim dijeljenjem informacija, te pruža uzajamnu pomoć drugim nadzornim tijelima s ciljem osiguravanja dosljednosti primjene i provedbe ove Direktive;

(i)

provodi istrage o primjeni ove Direktive, među ostalim na temelju informacija primljenih od drugog nadzornog ili drugog tijela javne vlasti;

(j)

prati relevantni razvoj događaja ako oni imaju utjecaj na zaštitu osobnih podataka, posebno razvoj informacijskih i komunikacijskih tehnologija;

(k)

pruža savjete o postupcima obrade iz članka 28.; i

(l)

doprinosi aktivnostima Odbora.

(a)

izdavati upozorenja voditelju obrade ili izvršitelju obrade da bi namjeravani postupci obrade mogli prouzročiti kršenje odredaba donesenih na temelju ove Direktive;

(b)

narediti voditelju obrade ili izvršitelju obrade da, prema potrebi, postupke obrade uskladi s odredbama donesenima na temelju ove Direktive, na određeni način i u određenom roku, posebno na način da zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade na temelju članka 16.;

(c)

privremeno ili konačno ograničiti, među ostalim zabraniti, obradu.

(a)

nije nadležno za predmet zahtjeva ili za mjere koje se od njega traže da ih provede; ili

(b)

poštovanje zahtjeva kršilo bi ovu Direktivu ili pravo Unije ili pravo države članice kojem podliježe nadzorno tijelo koje zaprimi zahtjev.

(a)

savjetuje Komisiju o svim pitanjima u vezi sa zaštitom osobnih podataka u Uniji kao i o svakoj predloženoj izmjeni ove Direktive;

(b)

ispituje na vlastitu inicijativu, na zahtjev jednog od svojih članova ili na zahtjev Komisije sva pitanja koja obuhvaćaju primjenu ove Direktive i izdaje smjernice, preporuke i primjere najbolje prakse kako bi poticao dosljednu primjenu ove Direktive;

(c)

izrađuje smjernice za nadzorna tijela u pogledu primjene mjera iz članka 47. stavaka 1. i 3.;

(d)

izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog podstavka za utvrđivanje povrede osobnih podataka te određivanje nepotrebnog odgađanja iz članka 30. stavaka 1. i 2. te za posebne okolnosti u kojima se od voditelja obrade ili izvršitelja obrade zahtijeva obavješćivanje o povredi osobnih podataka;

(e)

izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog podstavka u pogledu okolnosti u kojima će povreda osobnih podataka vjerojatno dovesti do visokog rizika u pogledu pravâ i sloboda pojedinaca kako je navedeno u članku 31. stavku 1.;

(f)

preispituje praktičnu primjenu smjernica, preporuka i primjera najbolje prakse iz točaka (b) i (c);

(g)

daje mišljenje Komisiji o procjeni primjerenosti razine zaštite koja postoji u trećoj zemlji, području ili jednom ili više određenih sektora u trećoj zemlji, ili međunarodnoj organizaciji, uključujući procjenu o tome jesu li takva treća zemlja, područje, određeni sektor ili međunarodna organizacija prestali osiguravati primjerenu razinu zaštite;

(h)

promiče suradnju i djelotvornu bilateralnu i multilateralnu razmjenu informacija i primjera najbolje prakse među nadzornim tijelima;

(i)

promiče zajedničke programe osposobljavanja i potpomaže razmjenu osoblja među nadzornim tijelima, te prema potrebi, s nadzornim tijelima trećih zemalja ili međunarodnih organizacija;

(j)

promiče razmjenu znanja i dokumentacije o zakonima i praksi u vezi sa zaštitom podataka s nadzornim tijelima za zaštitu podataka širom svijeta.