OBRAZLOŽITVENI MEMORANDUM

1. OZADJE PREDLOGA

Ta obrazložitveni memorandum podrobneje določa pristop za nov pravni okvir varstva osebnih podatkov v EU, kot je predstavljen v Sporočilu COM(2012) 9 final Pravni okvir sestavljata dva zakonodajna predloga:

– predlog uredbe Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov); in

– predlog direktive Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov.

Ta obrazložitveni memorandum se nanaša na drugi zakonodajni predlog.

Osrednji del veljavne zakonodaje EU o varstvu osebnih podatkov, tj. Direktiva 95/46/ES[1], je bil sprejet leta 1995 z dvema ciljema: varstvo temeljne pravice do varstva podatkov in zagotovitev prostega pretoka osebnih podatkov med državami članicami. Dopolnjen je bil z več pravnimi akti, ki so zagotovili posebna pravila o varstvu podatkov na področju policijskega sodelovanja in pravosodnega sodelovanja v kazenskih zadevah[2] (prejšnji tretji steber), vključno z Okvirnim sklepom Sveta 2008/977/PNZ [3].

Evropski svet je Komisijo pozval, naj oceni delovanje pravnih aktov EU o varstvu podatkov ter po potrebi predstavi nadaljnje zakonodajne in nezakonodajne pobude[4]. Evropski parlament je v resoluciji o stockholmskem programu[5] pozdravil celovit sistem varstva podatkov v EU in med drugim pozval k ponovnemu pregledu Okvirnega sklepa. Komisija je v Akcijskem načrtu izvajanja stockholmskega programa[6] poudarila potrebo po zagotavljanju, da se temeljna pravica do varstva osebnih podatkov dosledno uporablja v okviru politik EU. V Akcijskem načrtu je poudarjeno, da „[je treba] [v] globalni družbi, za katero so značilne hitre tehnološke spremembe in v kateri izmenjava informacij ne pozna meja, […] varovati zlasti zasebnost. Unija mora zagotoviti dosledno uporabo pravice do varstva podatkov. Okrepiti moramo položaj EU na področju varstva osebnih podatkov posameznikov v okviru politik EU, vključno s pregonom in preprečevanjem kaznivih dejanj, ter na področju mednarodnih odnosov.“.

Komisija je v sporočilu „Celovit pristop k varstvu osebnih podatkov v Evropski uniji“[7] sklenila, da EU potrebuje celovitejšo in skladnejšo politiko o temeljni pravici do varstva osebnih podatkov.

Področje uporabe Okvirnega sklepa 2008/977/PNZ je omejeno, ker se nanaša samo na čezmejno obdelavo podatkov, ne pa na postopke obdelave, ki jih izvajajo policijski in pravosodni organi zgolj na nacionalni ravni. To lahko ustvarja težave za policijo in druge pristojne organe na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja. Vedno ne zmorejo zlahka ločiti med obdelavo izključno na nacionalni in čezmejni ravni ali predvideti, ali bi lahko določeni osebni podatki pozneje postali predmet čezmejne obdelave (glej oddelek 2). Poleg tega Okvirni sklep zaradi svoje narave in vsebine nacionalnim predpisom držav članic pri izvajanju njegovih določb pušča veliko manevrskega prostora. Ob tem ne določa nobenega mehanizma ali svetovalne skupine, podobne delovni skupini iz člena 29, ki bi podpirala skupno razlago njegovih določb, niti ne predvideva nobenih izvedbenih pooblastil, na podlagi katerih bi Komisija lahko zagotovila skupni pristop pri njegovem izvajanju.

Člen 16(1) Pogodbe o delovanju Evropske unije (PDEU) vzpostavlja načelo, da ima vsakdo pravico do varstva osebnih podatkov. Poleg tega s členom 16(2) PDEU Lizbonska pogodba določa pravico do varstva podatkov kot načelo EU in uvaja posebno pravno podlago za sprejetje pravil o varstvu osebnih podatkov, ki velja tudi za pravosodno sodelovanje v kazenskih zadevah in policijsko sodelovanje. Člen 8 Listine EU o temeljnih pravicah vsebuje varstvo osebnih podatkov kot temeljno pravico. Člen 16 PDEU od zakonodajalca zahteva, da določi pravila v zvezi z varstvom posameznikov pri obdelavi osebnih podatkov tudi na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja, pri čemer obsegajo tako obdelavo podatkov na čezmejni kot nacionalni ravni. To bo omogočilo zaščito temeljnih pravic in svoboščin fizičnih oseb ter zlasti njihovo pravico do varstva osebnih podatkov, kar bo hkrati zagotovilo izmenjavo osebnih podatkov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij. To bo prispevalo k izboljšanju sodelovanja v boju proti kriminaliteti v Evropi.

Zaradi posebne narave področja policijskega sodelovanja in pravosodnega sodelovanja v kazenskih zadevah je bilo v izjavi št. 21[8] potrjeno, da bi lahko bili potrebni posebni predpisi o varstvu osebnih podatkov in o prostem pretoku takih podatkov na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja na podlagi člena 16 PDEU.

2. REZULTAT POSVETOVANJ Z ZAINTERESIRANIMI STRANMI IN OCENA UČINKA

Ta pobuda je rezultat obširnih posvetovanj z vsemi pomembnejšimi zainteresiranimi stranmi o pregledu obstoječega pravnega okvira varstva osebnih podatkov, ki so vključevala dve fazi javnega posvetovanja:

– od 9. julija do 31. decembra 2009 je potekalo posvetovanje o pravnem okviru za temeljno pravico do varstva osebnih podatkov. Komisija je prejela 168 odgovorov, od tega jih je bilo 127 od posameznikov, poslovnih organizacij in združenj, 12 pa od javnih organov. Nezaupni prispevki so na voljo na spletni strani Komisije[9];

– od 4. novembra 2010 do 15. januarja 2011 pa je potekalo posvetovanje o celovitem pristopu Komisije k varstvu osebnih podatkov v Evropski uniji. Komisija je prejela 305 odgovorov, od tega 54 od državljanov, 31 od javnih organov in 220 od zasebnih organizacij, zlasti poslovnih združenj in nevladnih organizacij. Nezaupni prispevki so na voljo na spletni strani Komisije[10].

Ker so bila ta posvetovanja osredotočena predvsem na pregled Direktive 95/46/ES, so se s ključnimi zainteresiranimi stranmi s področja kazenskega pregona izvajala usmerjena posvetovanja; predvsem je bila 29. junija 2010 organizirana delavnica z organi držav članic o uporabi predpisov o varstvu podatkov za javne organe, vključno s področjem policijskega sodelovanja in pravosodnega sodelovanja v kazenskih zadevah. Poleg tega je Komisija 2. februarja 2011 z organi držav članic izvedla delavnico za razpravo o izvajanju Okvirnega sklepa 2008/977/PNZ in, splošneje, vprašanjih v zvezi z varstvom podatkov na področju policijskega sodelovanja in pravosodnega sodelovanja v kazenskih zadevah.

Posvetovanje z državljani EU je potekalo prek raziskave Eurobarometra novembra in decembra 2010[11]. Izvedenih je bilo tudi več študij[12]. „Delovna skupina iz člena 29“[13] je Komisiji predložila več mnenj in koristne vire[14]. Tudi evropski nadzornik za varstvo podatkov je izdal celovito mnenje o vprašanjih, ki jih je Komisija izpostavila v sporočilu iz novembra 2010[15].

Evropski parlament je z resolucijo z dne 6. julija 2011 odobril poročilo, ki je podprlo pristop Komisije k reformi okvira varstva podatkov[16]. Svet Evropske unije je 24. februarja 2011 sprejel sklepe, v katerih je na splošno podprl namen Komisije za reformo okvira varstva osebnih podatkov, in se strinjal z več elementi pristopa Komisije. Tudi Evropski ekonomsko-socialni odbor je podprl splošno namero Komisije, da se zagotovita doslednejša uporaba predpisov EU o varstvu podatkov v vseh državah članicah in ustrezen pregled Direktive 95/46/EC.[17]

Komisija je v skladu s svojo politiko „boljše pravne ureditve“ opravila oceno učinka možnosti politike[18]. Ocena učinka je temeljila na treh ciljih politike, in sicer izboljšanju razsežnosti notranjega trga pri varstvu podatkov, povečanju učinkovitosti uveljavljanja pravic do varstva podatkov za posameznike ter oblikovanju celovitega in skladnega okvira, ki zajema vsa področja pristojnosti Unije, vključno s policijskim sodelovanjem in pravosodnim sodelovanjem v kazenskih zadevah. Zlasti v zvezi z zadnjim ciljem sta bili ocenjeni dve možnosti politike: prva, ki na tem področju v bistvu razširja področje uporabe predpisov o varstvu podatkov ter obravnava vrzeli in druga vprašanja iz Okvirnega sklepa, ter druga, ki je daljnosežnejša z zelo ustaljenimi in strogimi pravili, ki bi vključevala tudi takojšnjo spremembo vseh drugih pravnih aktov „prejšnjega tretjega stebra“. Tretja „minimalistična“ možnost, ki v glavnem temelji na sporočilih o razlagi in ukrepih za podporo politiki, kot so programi financiranja in tehnična orodja, z najmanjšo stopnjo zakonodajnega posredovanja, se ni štela za ustrezno za obravnavanje vprašanj, ki so bila na tem področju opredeljena v zvezi z varstvom podatkov.

V skladu z uveljavljeno metodologijo Komisije je bila s pomočjo medslužbene usmerjevalne skupine vsaka možnost politike ocenjena glede na učinkovitost pri doseganju ciljev politike, gospodarski učinek na zainteresirane strani (vključno z učinkom na proračun institucij EU), družbeni vpliv in učinek na temeljne pravice. Okoljski vplivi niso bili obravnavani.

Analiza celotnega učinka je privedla do razvoja najprimernejše možnosti politike, ki je vključena v ta predlog. Glede na oceno bo njeno izvajanje privedlo do nadaljnje krepitve varstva podatkov na tem področju politike, zlasti z vključevanjem obdelave podatkov na nacionalni ravni, s čimer se bo okrepila tudi pravna varnost za pristojne organe na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja.

Odbor za oceno učinka je 9. septembra 2011 podal mnenje o osnutku ocene učinka. V skladu z njegovim mnenjem so bile v oceno učinka vnesene zlasti naslednje spremembe:

– pojasnjeni so bili cilji veljavnega pravnega okvira (v kolikšni meri so bili oziroma niso bili doseženi) in cilji predvidene reforme;

– oddelku o opredelitvi težave so bili dodani več dokazov in dodatne razlage / dodatna pojasnila.

Komisija je pripravila tudi poročilo o izvajanju v zvezi z Okvirnim sklepom 2008/977/PNZ, in sicer na podlagi člena 29(2) Okvirnega sklepa, ki bo sprejeto kot del tega svežnja za varstvo podatkov[19]. Ugotovitve poročila, ki so temeljile na vložku držav članic, so prispevale tudi k pripravi ocene učinka.

3. PRAVNI ELEMENTI PREDLOGA 3.1. Pravna podlaga

Predlog temelji na členu 16(2) PDEU, ki je nova, posebna pravna podlaga, uvedena z Lizbonsko pogodbo, za sprejetje pravil o varstvu fizičnih oseb pri obdelavi osebnih podatkov s strani institucij, organov, uradov in agencij Unije ter držav članic v okviru dejavnosti s področja uporabe prava Unije, in o prostem pretoku takih podatkov.

Cilj predloga je zagotoviti dosledno in visoko raven varstva podatkov na tem področju ter tako okrepiti medsebojno zaupanje med policijo in pravosodnimi organi različnih držav članic ter spodbuditi prost pretok podatkov in sodelovanje med policijo in pravosodnimi organi.

3.2. Subsidiarnost in sorazmernost

V skladu z načelom subsidiarnosti (člen 5(3) PEU) se ukrepi na ravni Unije sprejmejo le, če in kolikor ciljev predlaganih ukrepov ni mogoče zadovoljivo doseči na ravni držav članic, temveč se zaradi njihovega obsega ali učinkov laže dosežejo na ravni Unije. Ob upoštevanju opisanih težav analiza subsidiarnosti kaže na nujnost ukrepanja na ravni EU na področjih policije in kazenskega pravosodja na podlagi naslednjega:

– pravica do varstva osebnih podatkov iz člena 8 Listine o temeljnih pravicah in člena 16(1) PDEU zahteva enako raven varstva podatkov v celotni Uniji. Zahteva enako raven varstva za podatke, ki se izmenjajo in so obdelani na nacionalni ravni;

– obstaja vedno večja potreba po tem, da organi kazenskega pregona v državah članicah vedno hitreje obdelujejo in izmenjujejo podatke za namene preprečevanja in boja proti mednarodni kriminaliteti in terorizmu. V tem smislu bodo jasna in dosledna pravila o varstvu podatkov na ravni EU pomagala pospeševati sodelovanje med takimi organi;

– poleg tega obstajajo praktični izzivi glede izvajanja zakonodaje o varstvu podatkov ter potreba po sodelovanju med državami članicami in njihovimi organi, ki ga je treba organizirati na ravni EU, da se zagotovi enotna uporaba prava Unije. V nekaterih primerih je EU v najboljšem položaju, da učinkovito in dosledno zagotovi enako raven varstva posameznikov pri prenosu njihovih osebnih podatkov v tretje države;

– države članice ne morejo same zmanjšati težav v trenutnih razmerah, zlasti tistih, ki so posledica razdrobljenosti v nacionalnih zakonodajah. Zato obstaja posebna potreba po vzpostavitvi usklajenega in skladnega okvira, ki omogoča nemoten čezmejni prenos osebnih podatkov znotraj EU, obenem pa zagotavlja učinkovito varstvo za vse posameznike v EU;

– predlagani zakonodajni ukrep na ravni EU bo verjetno učinkovitejši od podobnih ukrepov na ravni držav članic zaradi značilnosti in obsega težav, ki niso omejene na raven ene države članic ali več držav članic.

V skladu z načelom sorazmernosti mora biti vsako posredovanje ciljno usmerjeno in ne sme presegati okvirov, ki so potrebni za dosego ciljev. Na tem načelu je temeljila priprava tega predloga od opredelitve in vrednotenja drugih možnosti politike do osnutka zakonodajnega predloga.

Zato je direktiva najboljši pravni akt za zagotavljanje usklajevanja na tem področju na ravni EU, hkrati pa državam članicam dopušča potrebno prožnost pri izvajanju načel, pravil in njihovih izjem na nacionalni ravni. Komisija bo morala zaradi zapletenosti veljavnih nacionalnih pravil varstva osebnih podatkov, ki se obdelujejo na področjih policijskega sodelovanja in pravosodnega sodelovanja v kazenskih zadevah, ter cilja celovite uskladitve teh pravil s pomočjo te direktive od držav članic zahtevati, da zagotovijo obrazložitvene dokumente, ki pojasnjujejo odnos med sestavnimi deli direktive in ustreznimi deli nacionalnih pravnih aktov prenosa, da bo lahko opravila svojo nalogo nadziranja prenosa te direktive.

3.3. Povzetek vprašanj temeljnih pravic

Pravica do varstva osebnih podatkov je določena s členom 8 Listine EU o temeljnih pravicah in členom 16 PDEU ter s členom 8 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin. Kot je poudarilo Sodišče EU[20], pravica do varstva osebnih podatkov ni absolutna, temveč jo je treba obravnavati glede na vlogo, ki jo ima v družbi[21]. Varstvo podatkov je tesno povezano s spoštovanjem zasebnega in družinskega življenja, ki ga varuje člen 7 Listine. To odraža člen 1(1) Direktive 95/46/ES, ki določa, da države članice varujejo temeljne pravice in svoboščine fizičnih oseb in predvsem njihovo pravico do zasebnosti pri obdelavi osebnih podatkov.

Druge temeljne pravice iz Listine, na katere bo Direktiva morda vplivala, so prepoved vsakršne diskriminacije, med drugim na podlagi rase, etničnega porekla, genetskih značilnosti, vere ali prepričanja, političnega ali drugega mnenja, invalidnosti ali spolne usmerjenosti (člen 21); pravice otroka (člen 24) ter pravica do učinkovitega pravnega sredstva pred sodiščem in nepristranskega sodišča (člen 47).

3.4. Podrobna razlaga predloga 3.4.1. POGLAVJE I – SPLOŠNE DOLOČBE

Člen 1 določa vsebino Direktive, tj. pravila v zvezi z obdelavo osebnih podatkov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, ter dva cilja Direktive, tj. zaščito temeljnih pravic in svoboščin fizičnih oseb in zlasti njihove pravice do varstva osebnih podatkov, pri čemer se zagotavlja visoka raven javne varnosti, ter zagotovitev izmenjave osebnih podatkov med pristojnimi organi v Uniji.

Člen 2 določa področje uporabe Direktive. Področje uporabe Direktive ni omejeno na čezmejno obdelavo podatkov, ampak se uporablja za vse postopke obdelave, ki jih za namene Direktive izvajajo „pristojni organi“ (kot so opredeljeni v členu 3(14)). Direktiva se ne uporablja niti za obdelavo v sklopu dejavnosti zunaj področja uporabe zakonodaje Unije niti za obdelavo s strani institucij, organov, uradov in agencij Unije, ki je predmet Uredbe (ES) št. 45/2001 in druge posebne zakonodaje.

Člen 3 vsebuje opredelitve pojmov, ki se uporabljajo v Direktivi. Medtem ko so nekateri pojmi prevzeti iz Direktive 95/46/ES in Okvirnega sklepa 2008/977/PNZ, so drugi spremenjeni, dopolnjeni z dodatnimi ali na novo uvedenimi elementi. Nove opredelitve pojmov določajo „kršitev varnosti osebnih podatkov“, „genetske podatke“ in „biometrične podatke“, „pristojne organe“ (na podlagi člena 87 PDEU in člena 2(h) Okvirnega sklepa 2008/977/PNZ) in „otroka“ na podlagi Konvencije ZN o otrokovih pravicah[22].

3.4.2. POGLAVJE II – NAČELA

Člen 4 določa načela v zvezi z obdelavo osebnih podatkov, ki odražajo člen 6 Direktive 95/46/ES in člen 3 Okvirnega sklepa 2008/977/PNZ, pri čemer jih prilagaja posebnemu kontekstu te direktive.

Člen 5 vsebuje zahtevo po največjem možnem razlikovanju med različnimi vrstami osebnih podatkov posameznikov, na katere se nanašajo osebni podatki. To je nova določba, ki je ni niti v Direktivi 95/46/ES niti v Okvirnem sklepu 2008/977/PNZ, ampak jo je Komisija predlagala v svojem prvotnem predlogu okvirnega sklepa[23]. Temelji na Priporočilu Sveta Evrope št. R (87)15. Podobna pravila že obstajajo za Europol[24] in Eurojust[25].

Člen 6 o različnih stopnjah točnosti in zanesljivosti odraža načelo 3.2 Priporočila Sveta Evrope št. R (87)15. V Evropi podobna pravila, kakor so vključena tudi v predlog Komisije za okvirni sklep, že veljajo za Europol[26].

Člen 7 določa podlago za zakonito obdelavo, kadar je potrebna za skladnost izvajanja nalog, ki jih opravlja pristojni organ na podlagi nacionalne zakonodaje, z zakonsko obveznostjo, ki velja za upravljavca podatkov, da se zavarujejo življenjski interesi posameznika, na katerega se nanašajo osebni podatki, ali druge osebe ali da se prepreči neposredna in resna ogroženost javne varnosti. Drugi razlogi za zakonito obdelavo iz člena 7 Direktive 95/46/ES niso ustrezni za obdelavo na področju policije in kazenskega pravosodja.

Člen 8 določa splošno prepoved obdelave posebnih vrst osebnih podatkov in izjeme od tega splošnega pravila, pri čemer temelji na členu 8 Direktive 95/46/ES in dodaja genetske podatke, pri tem pa sledi sodni praksi Evropskega sodišča za človekove pravice[27].

Člen 9 v skladu s členom 7 Okvirnega sklepa 2008/977/PNZ določa prepoved ukrepov, ki temeljijo izključno na samodejni obdelavi osebnih podatkov, če niso predpisani in ne zagotavljajo ustreznih zaščitnih ukrepov.

3.4.3. POGLAVJE III – PRAVICE POSAMEZNIKA, NA KATEREGA SE NANAŠAJO OSEBNI PODATKI

Člen 10 uvaja obveznost držav članic, da zagotovijo lahko dostopne in razumljive informacije, kar v glavnem temelji na načelu 10 madridske resolucije o mednarodnih standardih o varstvu osebnih podatkov in zasebnosti[28], ter da upravljavcem naložijo dolžnost zagotavljanja postopkov in mehanizmov za spodbujanje uveljavljanja pravic posameznikov, na katere se nanašajo osebni podatki. To vključuje zahtevo, da je uveljavljanje pravic načeloma brezplačno.

Člen 11 podrobno opredeljuje dolžnost držav članic, da posamezniku, na katerega se nanašajo osebni podatki, zagotovijo informacije. Te dolžnosti temeljijo na členih 10 in 11 Direktive 95/46/ES, pri čemer ni več ločenih členov, ki bi razlikovala, ali se informacije zbirajo od posameznika, na katerega se nanašajo osebni podatki, ali ne, ter razširjajo obseg informacij, ki jih je treba zagotoviti. Določa izjeme od dolžnosti obveščanja, kadar so v demokratični družbi take izjeme sorazmerne in potrebne za opravljanje nalog pristojnih organov (kar temelji na členu 13 Direktive 95/46/ES in členu 17 Okvirnega sklepa 2008/977/PNZ).

Člen 12 določa dolžnost držav članic, da zagotovijo pravico posameznika, na katerega se nanašajo osebni podatki, do dostopa do njegovih osebnih podatkov. Sledi členu 12(a) Direktive 95/46/ES, pri čemer so dodani novi elementi za informacije posameznikov, na katere se nanašajo osebni podatki (o roku shranjevanja, njihovih pravicah do popravka, izbrisa ali omejitve in vložitve pritožbe).

Člen 13 določa, da lahko države članice sprejmejo zakonodajne ukrepe za omejitev pravice do dostopa, če to zahteva posebna narava obdelave podatkov na področjih policije in kazenskega pravosodja, in zagotavlja, da se posameznik, na katerega se nanašajo osebni podatki, obvesti o omejitvi dostopa v skladu s členom 17(2) in (3) Okvirnega sklepa 2008/977/PNZ.

Člen 14 uvaja pravilo, da je treba v primerih, kadar je neposreden dostop omejen, posameznika, na katerega se nanašajo osebni podatki, obvestiti o možnosti posrednega dostopa prek nadzornega organa, ki uveljavi pravico v njegovem imenu in mora posameznika, na katerega se nanašajo osebni podatki, obvestiti o izidu preverjanj.

Člen 15 o pravici do popravkov sledi členu 12(b) Direktive 95/46/ES, v zvezi z dolžnostmi v primeru zavrnitve pa členu 18(1) Okvirnega sklepa 2008/977/PNZ.

Člen 16 o pravici do izbrisa sledi členu 12(b) Direktive 95/46/ES, v zvezi z dolžnostmi v primeru zavrnitve pa členu 18(1) Okvirnega sklepa 2008/977/PNZ. Vključuje tudi pravico do označitve obdelave v nekaterih primerih, pri čemer se nadomesti nejasen pojem „blokiranje“, ki se uporablja v členu 12(b) Direktive 95/46/ES in členu 18(1) Okvirnega sklepa 2008/977/PNZ.

Člen 17 o popravkih, izbrisu in omejitvi obdelave v pravosodnih postopkih zagotavlja razjasnitev na podlagi člena 4(4) Okvirnega sklepa 2008/977/PNZ.

3.4.4. POGLAVJE IV – UPRAVLJAVEC IN OBDELOVALEC 3.4.4.1. ODDELEK 1 SPLOŠNE OBVEZNOSTI

Člen 18 opisuje pristojnost upravljavca, da ravna v skladu s to direktivo in zagotovi skladnost, vključno s sprejetjem politik in mehanizmov za zagotavljanje skladnosti.

Člen 19 določa, da morajo države članice zagotoviti skladnost dela upravljavca z obveznostmi, ki izhajajo iz načel vgrajenega varstva podatkov.

Člen 20 o skupnih upravljavcih razjasnjuje status skupnih upravljavcev glede odnosa med njimi.

Člen 21 razjasnjuje položaj in obveznost obdelovalcev, delno na podlagi člena 17(2) Direktive 95/46/ES, ter dodaja nove elemente, pri čemer določa, da se obdelovalec, ki podatkov ne obdeluje po navodilih upravljavca, šteje za soupravljavca.

Člen 22 o obdelavi pod vodstvom upravljavca in obdelovalca temelji na členu 16 Direktive 95/46/ES.

Člen 23 uvaja obveznost upravljavcev in obdelovalcev, da ohranijo dokumentacijo vseh postopkov in sistemov obdelave, za katere so pristojni.

Člen 24 se v skladu s členom 10(1) Okvirnega sklepa 2008/977/PNZ nanaša na dokumentiranje, pri čemer zagotavlja dodatna pojasnila.

Člen 25 razjasnjuje obveznosti upravljavca in obdelovalca v zvezi s sodelovanjem z nadzornim organom.

Člen 26 se na podlagi člena 23 Okvirnega sklepa 2008/977/PNZ nanaša na primere, v katerih je pred obdelavo obvezno posvetovanje z nadzornim organom.

3.4.4.2. ODDELEK 2 VARNOST PODATKOV

Člen 27 o varnosti obdelave podatkov temelji na veljavnem členu 17(1) Direktive 95/46/ES o varnosti obdelave in členu 22 Okvirnega sklepa 2008/977/PNZ, pri čemer razširja ustrezne obveznosti na obdelovalce, ne glede na njihovo pogodbo z upravljavcem.

Člena 28 in 29 uvajata dolžnost obveščanja o kršitvi varnosti osebnih podatkov, ki temelji na obvestilu o kršitvi varnosti osebnih podatkov iz člena 4(3) Direktive o e-zasebnosti 2002/58/ES, pri čemer razjasnjujeta in ločujeta dolžnost obveščanja nadzornega organa (člen 28) ter, v ustreznih okoliščinah, dolžnost obveščanja posameznika, na katerega se nanašajo osebni podatki (člen 29). Člen 29 s sklicevanjem na člen 11(4) določa tudi izjeme.

3.4.4.3. ODDELEK 3 URADNA OSEBA ZA VARSTVO PODATKOV

Člen 30 uvaja obveznost, da upravljavec imenuje pooblaščeno uradno osebo za varstvo podatkov, ki mora opravljati naloge, navedene v členu 32. Kjer več pristojnih organov deluje pod nadzorom osrednjega organa, ki ima vlogo upravljavca, mora vsaj ta osrednji organ imenovati tako uradno osebo za varstvo podatkov. Člen 18(2) Direktive 95/46/ES je državam članicam zagotovil možnost, da tako zahtevo uvedejo namesto splošne zahteve po uradnem obveščanju iz navedene direktive.

Člen 31 določa položaj uradne osebe za varstvo podatkov.

Člen 32 določa naloge uradne osebe za varstvo podatkov.

3.4.5. POGLAVJE V – PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE ALI MEDNARODNE ORGANIZACIJE

Člen 33 določa splošna načela za prenose podatkov v tretje države ali mednarodne organizacije na področjih policijskega sodelovanja in pravosodnega sodelovanja v kazenskih zadevah, vključno z nadaljnjimi prenosi. Razjasnjuje, da lahko prenosi v tretje države potekajo samo, če je prenos potreben za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij.

Člen 34 določa, da se lahko prenosi izvedejo v tisto tretjo državo, v zvezi s katero je Komisija sprejela sklep o ustreznosti na podlagi Uredbe št. …/201X ali posebej na področju policijskega sodelovanja in pravosodnega sodelovanja v kazenskih zadevah ali, če taki sklepi ne obstajajo, kjer so vzpostavljeni ustrezni zaščitni ukrepi. Direktiva zagotavlja, da se lahko prenosi še naprej izvajajo na podlagi ustreznih zaščitnih ukrepov in odstopanj, dokler ni izdanih sklepov o ustreznosti. Nadalje določa merila za oceno zadostne ali nezadostne ravni varstva, ki jo izvede Komisija, in izrecno vključuje vladavino prava, sodno varstvo in neodvisen nadzor. Člen zagotavlja tudi možnost Komisije, da oceni raven varstva, ki jo v tretji državi zagotavlja ozemeljska enota ali sektor za obdelavo. Določa, da se bo na področju uporabe te direktive uporabljal splošni sklep o ustreznosti, sprejet s postopki iz člena 38 Splošne uredbe o varstvu podatkov. Druga možnost je, da Komisija sprejme sklep o ustreznosti izključno za namene te direktive.

Člen 35 določa ustrezne zaščitne ukrepe, ki so potrebni pred mednarodnimi prenosi, če ni sklepa Komisije o ustreznosti. Te zaščitne ukrepe lahko navede pravno zavezujoč pravni akt, kot je mednarodni sporazum. Druga možnost je, da lahko upravljavec podatkov na podlagi ocene okoliščin prenosa sklene, da zaščitni ukrepi obstajajo.

Člen 36 na podlagi člena 26 Direktive 95/46/ES in člena 13 Okvirnega sklepa 2008/977/PNZ podrobneje razlaga odstopanja od zahtev pri prenosu podatkov.

Člen 37 države članice zavezuje k določitvi, da upravljavec prejemnika obvesti o vseh omejitvah obdelave in sprejme vse primerne ukrepe za zagotovitev, da prejemnik osebnih podatkov v tretji državi ali mednarodni organizaciji upošteva te omejitve.

Člen 38 izrecno določa uvedbo mehanizmov mednarodnega sodelovanja za varstvo osebnih podatkov med Komisijo in nadzornimi organi tretjih držav, zlasti tistih mehanizmov, za katere se šteje, da nudijo ustrezno raven varstva, pri čemer se upošteva Priporočilo Organizacije za gospodarsko sodelovanje in razvoj (OECD) o čezmejnem sodelovanju pri izvajanju predpisov za varstvo zasebnosti z dne 12. junija 2007.

POGLAVJE VI – NACIONALNI NADZORNI ORGANI

3.4.5.1. ODDELEK 1 STATUS NEODVISNOSTI

Člen 39 na podlagi člena 28(1) Direktive 95/46/ES in člena 25 Okvirnega sklepa 2008/977/PNZ države članice zavezuje, da ustanovijo nadzorne organe, pri čemer razširja poslanstvo teh organov, ki so lahko nadzorni organi, ustanovljeni na podlagi Splošne uredbe o varstvu podatkov, da prispevajo k dosledni uporabi Direktive v Uniji.

Člen 40 razjasnjuje pogoje za neodvisnost nadzornih organov, ki izvajajo sodne odločbe Sodišča Evropskih skupnosti[29], kar temelji tudi na členu 44 Uredbe (ES) št. 45/2001[30].

Člen 41 določa splošne pogoje za člane nadzornega organa, ki izvajajo zadevne sodne odločbe[31], kar temelji tudi na členu 42(2) do (6) Uredbe (ES) št. 45/2001.

Člen 42 določa, da morajo države članice s predpisom določiti pravila o ustanovitvi nadzornega organa, tudi o pogojih za njegove člane.

Člen 43 o poklicni molčečnosti članov in uslužbencev nadzornega organa temelji na členu 28(7) Direktive 95/46/ES in členu 25(4) Okvirnega sklepa 2008/977/PNZ.

3.4.5.2. ODDELEK 2 DOLŽNOSTI IN POOBLASTILA

Člen 44 na podlagi člena 28(6) Direktive 95/46/ES in člena 25(1) Okvirnega sklepa 2008/977/PNZ določa pristojnost nadzornih organov. Sodišča so, kadar delujejo kot sodni organ, izvzeta iz spremljanja s strani nadzornega organa, vendar morajo uporabljati materialne določbe varstva podatkov.

Člen 45 določa obveznost držav članic, da določijo dolžnosti nadzornega organa, vključno z obravnavanjem in preiskovanjem pritožb ter spodbujanjem ozaveščenosti javnosti o tveganju, pravilih, zaščitnih ukrepih in pravicah. Posebna dolžnost nadzornih organov v okviru te direktive je uveljavljanje pravice do dostopa v imenu posameznikov, na katere se nanašajo osebni podatki, in do preverjanja zakonitosti obdelave podatkov, kadar je neposreden dostop zavrnjen ali omejen.

Člen 46 na podlagi člena 28(3) Direktive 95/46/ES ter člena 25(2) in (3) Okvirnega sklepa 2008/977/PNZ določa pooblastila nadzornega organa. Člen 47 na podlagi člena 28(5) Direktive 95/46/ES nadzorne organe zavezuje, da pripravijo letna poročila o dejavnostih.

3.4.6. POGLAVJE VII – SODELOVANJE

Člen 48 uvaja pravila o obvezni medsebojni pomoči, medtem ko drugi odstavek člena 28(6) Direktive 95/46/ES določa samo splošno obveznost sodelovanja, ne da bi jo nadalje podrobneje določil.

Člen 49 določa, da Evropski svetovalni odbor za varstvo podatkov, ustanovljen s Splošno uredbo o varstvu podatkov, svoje naloge izvaja tudi v zvezi s postopki obdelave na področju uporabe te direktive. Komisija se bo za zagotovitev dodatne podpore prek strokovne skupine za kazenski pregon v zvezi z vidiki varstva podatkov posvetovala s predstavniki organov držav članic, pristojnih za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, ter s predstavniki Europola in Eurojusta.

3.4.7. POGLAVJE VIII – PRAVNA SREDSTVA, ODGOVORNOST IN SANKCIJE

Člen 50 na podlagi člena 28(4) Direktive 95/46/ES določa pravico vsakega posameznika, na katerega se nanašajo osebni podatki, da pri nadzornem organu vloži pritožbo, pri čemer se nanaša na vsako kršitev Direktive v zvezi s pritožnikom. Prav tako opredeljuje organe, organizacije ali združenja, ki lahko vložijo pritožbo v imenu posameznika, na katerega se nanašajo osebni podatki, in tudi neodvisno od pritožbe posameznika, na katerega se nanašajo osebni podatki, v primeru kršitve varnosti osebnih podatkov.

Člen 51 se nanaša na pravico do pravnega sredstva v sodnem postopku zoper nadzorni organ. Temelji na splošni določbi iz člena 28(3) Direktive 95/46/ES in zlasti zagotavlja, da lahko posameznik, na katerega se nanašajo osebni podatki, pri sodišču vloži pravno sredstvo, na podlagi katerega je nadzorni organ zavezan k ukrepanju v zvezi s pritožbo.

Člen 52 se na podlagi člena 22 Direktive 95/46/ES in člena 20 Okvirnega sklepa 2008/977/PNZ nanaša na pravico do pravnega sredstva v sodnem postopku zoper upravljavca ali obdelovalca.

Člen 53 uvaja skupne določbe za postopke pred sodiščem, vključno s pravicami organov, organizacij ali združenj, da posameznike, na katere se nanašajo osebni podatki, zastopajo pred sodišči, in pravico nadzornih organov, da sodelujejo v sodnem postopku. Obveznost držav članic, da zagotovijo hitro sprejetje ukrepov v okviru sodnega varstva, temelji na členu 18(1) Direktive o elektronskem poslovanju 2000/31/ES[32].

Člen 54 države članice zavezuje, da zagotovijo pravico do odškodnine. Temelji na členu 23 Direktive 95/46/ES in členu 19(1) Okvirnega sklepa 2008/977/PNZ, pri čemer razširja to pravico v primeru škode, ki jo povzročijo obdelovalci, ter razjasnjuje odgovornost soupravljavcev in soobdelovalcev.

Člen 55 države članice zavezuje, da določijo kazenske sankcije, sankcionirajo kršitve Direktive in zagotovijo izvajanje teh določb Direktive.

3.4.8. POGLAVJE IX – DELEGIRANI IN IZVEDBENI AKTI

Člen 56 vsebuje standardne določbe o prenosu pooblastil v skladu s členom 290 PDEU. Zakonodajnemu organu to omogoča, da na Komisijo prenese pooblastilo za sprejemanje nezakonodajnih aktov, ki se splošno uporabljajo in dopolnjujejo ali spreminjajo nekatere nebistvene elemente zakonodajnega akta (akti nezakonodajne narave).

Člen 57 vsebuje določbo o postopku v odboru, ki je potreben za prenos izvedbenih pooblastil na Komisijo, kadar so v skladu s členom 291 PDEU potrebni enotni pogoji za izvajanje pravno zavezujočih aktov Unije. Uporablja se postopek pregleda.

3.4.9. POGLAVJE XI – KONČNE DOLOČBE

Člen 58 razveljavlja Okvirni sklep 2008/977/PNZ.

Člen 59 določa, da posebne določbe v zvezi z obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, v aktih Unije, ki na področju uporabe Direktive urejajo obdelavo osebnih podatkov oziroma dostop do informacijskih sistemov in ki so bili sprejeti pred sprejetjem te direktive, ostanejo nespremenjene.

Člen 60 razjasnjuje povezavo te direktive z mednarodnimi sporazumi držav članic na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja, sklenjenimi v preteklosti.

Člen 61 določa obveznost Komisije, da oceni izvajanje Direktive in o tem poroča, da se oceni potreba po uskladitvi že veljavnih posebnih določb iz člena 59 s to direktivo.

Člen 62 določa obveznost držav članic, da Direktivo prenesejo v svojo nacionalno zakonodajo in Komisijo obvestijo o določbah, sprejetih v skladu z Direktivo.

Člen 63 določa dan začetka veljavnosti Direktive.

Člen 64 določa naslovnike Direktive.

4. PRORAČUNSKE POSLEDICE

Ocena finančnih posledic zakonodajnega predloga, ki je priložena predlogu Splošne uredbe o varstvu podatkov, obsega proračunske posledice uredbe in te direktive.

2012/0010 (COD)

Predlog

DIREKTIVA EVROPSKEGA PARLAMENTA IN SVETA

o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti člena 16(2) Pogodbe,

ob upoštevanju predloga Evropske komisije,

po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,

po posvetovanju z evropskim nadzornikom za varstvo podatkov [33],

v skladu z rednim zakonodajnim postopkom,

ob upoštevanju naslednjega:

(1) Varstvo fizičnih oseb pri obdelavi osebnih podatkov je temeljna pravica. Člen 8(1) Listine Evropske unije o temeljnih pravicah in člen 16(1) Pogodbe o delovanju Evropske unije določata, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj.

(2) Obdelava osebnih podatkov je namenjena temu, da služi človeku; načela in predpisi o varstvu posameznikov pri obdelavi njihovih osebnih podatkov morajo ne glede na narodnost ali prebivališče fizičnih oseb spoštovati njihove temeljne pravice in svoboščine, predvsem pravico do varstva osebnih podatkov. To bi moralo prispevati k oblikovanju območja svobode, varnosti in pravice.

(3) Hiter tehnološki razvoj in globalizacija sta prinesla nove izzive za varstvo osebnih podatkov. Obseg zbiranja in izmenjave podatkov se je bistveno povečal. Tehnologija pristojnim organom omogoča, da v doslej največjem obsegu uporabljajo osebne podatke za izvajanje svojih dejavnosti.

(4) To zahteva lajšanje prostega pretoka podatkov med pristojnimi organi v Uniji ter prenosa v tretje države in mednarodne organizacije, pri čemer se zagotavlja visoka raven varstva osebnih podatkov. Zaradi takšnega razvoja je treba v Uniji oblikovati trden in skladnejši okvir za varstvo podatkov, ki ga podpira dosledno izvajanje.

(5) Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov[34] se uporablja za vse postopke obdelave osebnih podatkov v državah članicah, tako v javnem kot zasebnem sektorju. Vendar se ne uporablja za obdelavo osebnih podatkov „med dejavnostjo, ki ne sodi na področje uporabe zakonodaje Skupnosti“, kot so dejavnosti na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja.

(6) Okvirni sklep Sveta 2008/977/PNZ z dne 27. novembra 2008 o varstvu osebnih podatkov, ki se obdelujejo v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah[35] se uporablja na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja. Področje uporabe tega okvirnega sklepa je omejeno na obdelavo osebnih podatkov, ki se posredujejo ali do katerih se omogoči dostop med državami članicami.

(7) Zagotavljanje dosledne in visoke ravni varstva osebnih podatkov posameznikov ter spodbujanje izmenjave osebnih podatkov med pristojnimi organi držav članic je bistvenega pomena za zagotovitev učinkovitega pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja. Zato mora biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, enaka v vseh državah članicah. Za učinkovito varstvo osebnih podatkov v Uniji ni potrebna samo krepitev pravic posameznikov, na katere se nanašajo osebni podatki, ter dolžnosti tistih, ki osebne podatke obdelujejo, ampak so potrebna tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili varstva osebnih podatkov v državah članicah.

(8) Člen 16(2) Pogodbe o delovanju Evropske unije določa, da morata Evropski parlament in Svet določiti pravila o varstvu fizičnih oseb pri obdelavi osebnih podatkov ter pravila o prostem pretoku osebnih podatkov.

(9) Na podlagi tega Uredba EU št. …/2012 Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu podatkov) določa splošna pravila varstva posameznikov pri obdelavi osebnih podatkov in zagotavljanja prostega pretoka osebnih podatkov v Uniji.

(10) V izjavi št. 21 o varstvu osebnih podatkov na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja, priloženi Sklepni listini medvladne konference, s katero je bila sprejeta Lizbonska pogodba, je konferenca potrdila, da bi lahko bila zaradi posebne narave pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja na teh področjih potrebna posebna pravila o varstvu osebnih podatkov in o prostem pretoku takih podatkov na podlagi člena 16 Pogodbe o delovanju Evropske unije.

(11) Zato bi morala posebna direktiva urediti posebno naravo teh področij in določati pravila v zvezi z varstvom posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij.

(12) Da se s pravno izvršljivimi pravicami zagotovi enaka raven varstva posameznikov v Uniji in da se preprečijo razhajanja, ki ovirajo izmenjavo osebnih podatkov med pristojnimi organi, bi morala Direktiva zagotoviti usklajene določbe za varstvo in prosti pretok osebnih podatkov na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja.

(13) Ta direktiva omogoča, da se pri uporabi njenih določb upošteva načelo javnega dostopa do uradnih dokumentov.

(14) Varstva, zagotovljenega s to direktivo, bi morale biti v zvezi z obdelavo osebnih podatkov deležne fizične osebe, ne glede na njihovo narodnost ali stalno prebivališče.

(15) Varstvo posameznikov bi moralo biti tehnološko nevtralno in neodvisno od uporabljenih metod, sicer bi to ustvarilo resno tveganje izogibanja izpolnjevanju obveznosti. Varstvo posameznikov bi moralo veljati za obdelavo osebnih podatkov s samodejnimi sredstvi in za ročno obdelavo, če podatki sestavljajo del zbirke ali so namenjeni oblikovanju dela zbirke. Zapisi ali nizi zapisov in njihove naslovnice, ki niso strukturirani v skladu s posebnimi merili, ne spadajo na področje uporabe te direktive. Ta direktiva se ne bi smela uporabljati za obdelavo osebnih podatkov med dejavnostjo, ki je zunaj področja uporabe prava Unije, zlasti v zvezi z nacionalno varnostjo, ali za podatke, ki jih obdelujejo institucije, organi, uradi in agencije Unije, kot sta Europol in Eurojust.

(16) Načela varstva bi morala veljati za vse informacije v zvezi z določeno ali določljivo fizično osebo. Za odločitev, ali je fizična oseba določljiva, je treba upoštevati vsa sredstva, za katera se pričakuje, da jih bo za določitev posameznika uporabil bodisi upravljavec bodisi katera koli druga oseba. Načela varstva podatkov se ne bi smela uporabljati za podatke, ki so spremenjeni v anonimne na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni več določljiv.

(17) Osebni podatki v zvezi z zdravjem bi morali obsegati zlasti vse podatke v zvezi z zdravstvenim stanjem posameznika, na katerega se nanašajo osebni podatki, informacije o registraciji posameznika za zagotavljanje zdravstvenih storitev; informacije o plačilih ali upravičenosti posameznika do zdravstvenega varstva; številko, znak ali posebno oznako, dodeljeno posamezniku za njegovo enolično identifikacijo v zdravstvene namene; vse informacije o posamezniku, zbrane med nudenjem zdravstvenih storitev posamezniku; informacije, pridobljene s testiranjem ali preiskavo dela telesa ali telesne snovi, vključno z biološkimi vzorci; istovetnost osebe, ki posamezniku nudi storitve zdravstvenega varstva, ali vse informacije, npr. o bolezni, invalidnosti, tveganju za nastanek bolezni, zdravstveni anamnezi, kliničnem zdravljenju ali o dejanskem fiziološkem ali biološkem stanju posameznika, na katerega se nanašajo osebni podatki, ne glede na vir teh podatkov, kot je npr. zdravnik ali drug zdravstveni delavec, bolnišnica, medicinski pripomoček ali diagnostični preskus in vitro.

(18) Vsaka obdelava osebnih podatkov mora biti poštena in zakonita glede na zadevne posameznike. Zlasti morajo biti posebni nameni, za katere se podatki obdelujejo, jasno določeni.

(19) Za preprečevanje, preiskovanje in pregon kaznivih dejanj je potrebno, da pristojni organi ohranijo in obdelajo osebne podatke, zbrane v okviru preprečevanja, preiskovanja, odkrivanja ali pregona posebnih kaznivih dejanj, zunaj tega okvira, da razvijejo razumevanje kriminalnih pojavov in trendov, zberejo obveščevalne podatke o organiziranih kriminalnih mrežah ter povežejo različna odkrita kazniva dejanja.

(20) Osebni podatki se ne smejo obdelovati za namene, ki niso skladni z namenom njihovega zbiranja. Osebni podatki morajo biti primerni, ustrezni in ne preobsežni za namene, za katere se osebni podatki obdelujejo. Sprejeti je treba vse potrebne ukrepe za zagotovitev, da se netočni osebni podatki popravijo ali izbrišejo.

(21) Načelo točnosti podatkov bi bilo treba uporabljati ob upoštevanju narave in namena zadevne obdelave. Zlasti v sodnih postopkih izjave, ki vsebujejo osebne podatke, pogosto temeljijo na subjektivnem dojemanju posameznikov in v nekaterih primerih niso vedno preverljive. Zato se zahteva po točnosti ne sme nanašati na točnost izjave, ampak samo na dejstvo, da je bila podana določena izjava.

(22) Pri razlagi in uporabi splošnih načel v zvezi z obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, je treba upoštevati posebnosti sektorja, vključno s posebnimi zastavljenimi cilji.

(23) Z obdelavo osebnih podatkov na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja je neločljivo povezano dejstvo, da se obdelujejo osebni podatki v zvezi z različnimi vrstami posameznikov, na katere se nanašajo osebni podatki. Zato je treba v največji možni meri jasno razlikovati med osebnimi podatki različnih vrst posameznikov, na katere se nanašajo osebni podatki, kot so osumljenci, osebe, obsojene za kaznivo dejanje, žrtve in tretje osebe, kot so priče, osebe, ki imajo pomembne informacije, ali stiki ter udeleženci pri kaznivem dejanju, povezani z osumljenci in obsojenimi storilci kaznivih dejanj.

(24) Osebne podatke je treba v največji možni meri razlikovati glede na stopnjo njihove točnosti in zanesljivosti. Dejstva je treba razlikovati od osebnih ocen, da se zagotovijo tako varstvo posameznikov kot kakovost in zanesljivost informacij, ki jih obdelujejo pristojni organi.

(25) Da bi bila obdelava osebnih podatkov zakonita, bi morala biti potrebna za skladnost s predpisano obveznostjo, ki velja za upravljavca, za opravljanje nalog, ki jih pristojni organ na podlagi zakonodaje izvaja v javnem interesu, ali da se zavarujejo življenjski interesi posameznika, na katerega se nanašajo osebni podatki, ali drugih oseb ali da se prepreči neposredna in resna ogroženost javne varnosti.

(26) Posebno varstvo je potrebno za osebne podatke, ki so po svoji naravi posebej občutljivi v zvezi s temeljnimi pravicami ali zasebnostjo, vključno z genetskimi podatki. Taki podatki se ne bi smeli obdelovati, razen če je obdelava izrecno določena s predpisom, ki zagotavlja ustrezne ukrepe za varovanje pravnega interesa posameznika, na katerega se nanašajo osebni podatki; ali če je obdelava potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe; ali če je obdelava povezana s podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, objavi.

(27) Vsaka fizična oseba bi morala imeti pravico, da se v zvezi z njo ne sprejme ukrep, ki temelji izključno na samodejni obdelavi, če ima škodljiv pravni učinek na navedeno osebo, razen če tako določa zakon in če je sprejet z ustreznimi ukrepi za varovanje pravnega interesa posameznika, na katerega se nanašajo osebni podatki.

(28) Da lahko posameznik, na katerega se nanašajo osebni podatki, uveljavlja svoje pravice, morajo biti vse informacije zanj lahko dostopne in lahko razumljive, kar vključuje tudi uporabo jasnega in preprostega jezika.

(29) Da bi lahko posameznik, na katerega se nanašajo osebni podatki, lažje uveljavljal pravice v okviru te direktive, je treba zagotoviti podrobnosti, vključno z mehanizmi za brezplačno zahtevo, predvsem za dostop do podatkov, popravke in izbris. Upravljavec bi moral biti zavezan k temu, da nemudoma odgovori na zahteve posameznika, na katerega se nanašajo osebni podatki.

(30) Načelo poštene obdelave zahteva, da je treba posameznike, na katere se nanašajo osebni podatki, obvestiti zlasti o obstoju postopka obdelave in njegovih namenih, o času trajanja shranjevanja podatkov, o obstoju pravice do dostopa, popravkov ali izbrisa in o pravici do vložitve pritožbe. Kadar se podatki zberejo od posameznika, na katerega se nanašajo osebni podatki, ga je treba obvestiti tudi o tem, ali je dolžan predložiti podatke, in o posledicah, če takih podatkov ne predloži.

(31) Posameznikom, na katere se nanašajo osebni podatki, bi bilo treba informacije v zvezi z obdelavo osebnih podatkov, ki se nanje nanašajo, posredovati ob zbiranju podatkov, ali kadar se podatki ne pridobijo od posameznika, na katerega se nanašajo osebni podatki, ob beleženju ali v primernem roku po zbiranju, in sicer glede na posebne okoliščine, v katerih se podatki obdelajo.

(32) Vsaka oseba mora imeti pravico dostopa do podatkov, ki so bili zbrani v zvezi z njo, in do enostavnega uveljavljanja te pravice, da bi se seznanila z obdelavo in preverila njeno zakonitost. Zato bi moral vsak posameznik, na katerega se nanašajo osebni podatki, imeti pravico do seznanitve s sporočilom in njegove pridobitve, zlasti o namenih, za katere se obdelujejo podatki, v kakšnem obdobju, kateri prejemniki prejmejo podatke, tudi v tretjih državah. Posameznikom, na katere se nanašajo osebni podatki, bi moralo biti omogočeno, da prejmejo kopijo svojih osebnih podatkov, ki se obdelujejo.

(33) Državam članicam bi moralo biti dovoljeno sprejeti zakonodajne ukrepe za zadržanje, omejitev ali izpustitev informacij posameznikov, na katere se nanašajo osebni podatki, ali dostopa do njihovih osebnih podatkov, če je taka delna ali popolna omejitev, ki mora upoštevati pravni interes zadevne osebe, nujen in sorazmeren ukrep v demokratični družbi za preprečitev oviranja uradnih ali drugih zakonitih preiskav, poizvedb ali postopkov; izogibanje vplivu na preprečevanje, odkrivanje, preiskovanje in pregon kaznivih dejanj ali izvrševanje kazenskih sankcij; zaščito javne ali nacionalne varnosti; ali varstvo posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih.

(34) Posameznika, na katerega se nanašajo osebni podatki, bi bilo treba o zavrnitvi ali omejitvi dostopa pisno obvestiti, tudi o dejanskem stanju ali pravni podlagi, na katerih temelji sklep.

(35) Če so države članice sprejele zakonodajne ukrepe za delno ali popolno omejitev pravice dostopa, mora imeti posameznik, na katerega se nanašajo osebni podatki, pravico do tega, da od pristojnega nacionalnega nadzornega organa zahteva pregled zakonitosti obdelave. Posameznika, na katerega se nanašajo osebni podatki, bi bilo treba o tej pravici obvestiti. Kadar nadzorni organ izvede dostop v imenu posameznika, na katerega se nanašajo osebni podatki, mora nadzorni organ posameznika, na katerega se nanašajo osebni podatki, obvestiti vsaj o tem, da je opravil vsa potrebna preverjanja, in o rezultatu v zvezi z zakonitostjo zadevne obdelave.

(36) Vsaka oseba mora imeti pravico do popravka netočnih osebnih podatkov, ki se nanašajo nanjo, in pravico do izbrisa, kadar obdelava takih podatkov ni skladna z glavnimi načeli iz te direktive. Če se osebni podatki obdelujejo med kazensko preiskavo in v kazenskem postopku, se lahko pravice do popravka, informacij, dostopa, izbrisa in omejitve obdelave uveljavljajo v skladu z nacionalnimi predpisi o sodnih postopkih.

(37) Določiti bi bilo treba vse vidike pristojnosti in odgovornosti upravljavca za vsako obdelavo osebnih podatkov, ki jo izvede ali ki se izvede v njegovem imenu. Upravljavec bi moral zlasti zagotoviti skladnost postopkov obdelave s pravili, sprejetimi v skladu s to direktivo.

(38) Zaradi varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov je treba sprejeti primerne tehnične in organizacijske ukrepe, s čimer se zagotovi izpolnitev zahtev iz Direktive. Upravljavec bi moral za zagotovitev skladnosti z določbami predpisov, sprejetih v skladu s to direktivo, sprejeti politike in izvesti ustrezne ukrepe, ki izpolnjujejo zlasti načela o vgrajenem varstvu podatkov.

(39) Zaradi varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, ter pristojnosti in odgovornosti upravljavcev in obdelovalcev je treba na podlagi te direktive jasno določiti pristojnosti, tudi v primeru, če upravljavec skupaj z drugimi upravljavci določa namene, pogoje in sredstva obdelave ali če se postopek obdelave izvaja v imenu upravljavca.

(40) Upravljavec ali obdelovalec bi moral dokumentirati postopke obdelave, da spremlja skladnost s to direktivo. Vsak upravljavec ali obdelovalec bi moral biti zavezan k sodelovanju z nadzornimi organi in na zahtevo omogočiti dostop do te dokumentacije, da bi tako lahko služila spremljanju postopkov obdelave.

(41) Upravljavec ali obdelovalec bi se moral v nekaterih primerih pred obdelavo posvetovati z nadzornim organom, da bi se s preprečevalnimi ukrepi zagotovilo učinkovito varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki.

(42) Kršitev varnosti osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnemu posamezniku povzroči škodo, vključno z okrnitvijo ugleda. Zato mora upravljavec takoj, ko ugotovi, da je do take kršitve prišlo, o njej obvestiti pristojni nacionalni organ. Posameznike, pri katerih bi lahko kršitev škodljivo vplivala na njihove osebne podatke ali zasebnost, je treba o tem nemudoma obvestiti, da lahko sprejmejo potrebne varnostne ukrepe. Za kršitev je treba domnevati, da škodljivo vpliva na osebne podatke ali zasebnost posameznika, kadar lahko vodi, na primer, do kraje ali zlorabe identitete, fizične škode, hudega poniževanja ali okrnitve ugleda v zvezi z obdelavo osebnih podatkov.

(43) Pri določanju podrobnih pravil o obliki zapisa in postopkih, ki se uporabljajo za obvestilo o kršitvi varnosti osebnih podatkov, bi bilo treba ustrezno upoštevati okoliščine kršitve, vključno s tem, ali so bili osebni podatki zaščiteni z ustreznimi tehničnimi zaščitnimi ukrepi, ki učinkovito zmanjšujejo verjetnost zlorabe. Poleg tega bi bilo treba pri takih pravilih in postopkih upoštevati pravni interes pristojnih organov, če bi zgodnje razkritje lahko po nepotrebnem oviralo preiskavo okoliščin kršitve.

(44) Upravljavec ali obdelovalec določi osebo, ki upravljavcu ali obdelovalcu pomaga pri spremljanju skladnosti z določbami predpisov, sprejetih v skladu s to direktivo. Več subjektov lahko skupaj imenuje uradno osebo za varstvo podatkov. Uradnim osebam za varstvo podatkov mora biti omogočeno, da neodvisno in učinkovito opravljajo svoje dolžnosti in naloge.

(45) Države članice bi morale zagotoviti, da se prenos v tretjo državo izvede samo, če je to potrebno za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij in če je upravljavec v tretji državi ali mednarodni organizaciji organ, pristojen v smislu te direktive. Prenos se lahko izvede v primerih, ko Komisija odloči, da zadevna tretja država ali mednarodna organizacija zagotavlja ustrezno raven varstva ali da so bili navedeni ustrezni zaščitni ukrepi.

(46) Komisija se lahko odloči, da določena tretja država ali ozemeljska enota ali sektor za obdelavo v tretji državi ali mednarodna organizacija nudi zadostno raven varstva podatkov, s čimer zagotavlja pravno varnost in enotnost v Uniji v zvezi s tretjimi državami ali mednarodnimi organizacijami, za katere se šteje, da zagotavljajo tako raven varstva, pri čemer taka odločitev Komisije velja za celotno Unijo. V teh primerih za prenose osebnih podatkov v te države posebno pooblastilo ni potrebno.

(47) Komisija bi morala v skladu s temeljnimi vrednotami, na katerih temelji Unija, zlasti z varstvom človekovih pravic, upoštevati, na kakšen način se v tretjih državah spoštujejo načelo vladavine prava, dostop do sodnega varstva ter mednarodne norme in standardi človekovih pravic.

(48) Komisiji bi morala biti tudi zmožna ugotoviti, da tretja država ali ozemeljska enota ali sektor za obdelavo v tretji državi ali mednarodna organizacija ne nudi zadostne ravni varstva podatkov. Posledično bi moral biti prenos osebnih podatkov v navedeno tretjo državo prepovedan, razen če temelji na mednarodnem sporazumu, ustreznih zaščitnih ukrepih ali odstopanju. Oblikovati je treba določbo za postopke posvetovanj med Komisijo in takimi tretjimi državami ali mednarodnimi organizacijami. Vendar tak sklep Komisije ne posega v možnost izvedbe prenosov na podlagi ustreznih zaščitnih ukrepov ali na podlagi odstopanja, določenega v Direktivi.

(49) Prenosi, ki ne temeljijo na takem sklepu o ustreznosti, morajo biti dovoljeni samo, če so bili v pravno zavezujočem pravnem aktu navedeni ustrezni zaščitni ukrepi, ki zagotavljajo varstvo osebnih podatkov, ali če je upravljavec ali obdelovalec ocenil vse okoliščine postopka prenosa podatkov ali niza postopkov prenosa podatkov in na podlagi te ocene meni, da obstajajo ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov. V primerih, v katerih ni razlogov za odobritev prenosa, je treba po potrebi omogočiti odstopanja, da se zavarujejo življenjski interesi posameznika, na katerega se nanašajo osebni podatki, oziroma druge osebe ali da se zaščiti pravni interes posameznika, na katerega se nanašajo osebni podatki, če to določa predpis države članice o posredovanju osebnih podatkov, ali kadar je to bistveno za preprečevanje neposredne in resne ogroženosti javne varnosti države članice ali tretje države ali v posameznih primerih za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij ali v posameznih primerih zaradi uveljavitve, izvajanja ali obrambe pravnih zahtevkov.

(50) Pri čezmejnem prenosu osebnih podatkov se lahko poveča tveganje v zvezi z zmožnostjo posameznikov pri uveljavljanju pravic do varstva podatkov, da se zaščitijo pred nezakonito uporabo ali razkritjem navedenih podatkov. Hkrati lahko nadzorni organi ugotovijo, da ne morejo obravnavati pritožb ali izvesti preiskav v zvezi z dejavnostmi zunaj svojih mej. Nezadostna pooblastila za preprečevanje kršitev ali njihovo odpravo in neskladne pravne ureditve lahko ovirajo njihova prizadevanja za čezmejno sodelovanje. Zato obstaja potreba po spodbujanju tesnejšega sodelovanja med nadzornimi organi za varstvo podatkov za pomoč pri izmenjavi informacij s tujimi nadzornimi organi za varstvo podatkov.

(51) Ustanovitev nadzornih organov v državah članicah, ki popolnoma neodvisno opravljajo svoje naloge, je bistveni del varstva posameznikov pri obdelavi njihovih osebnih podatkov. Nadzorni organi bi morali spremljati uporabo določb te direktive in prispevati k njeni dosledni uporabi v Uniji za zaščito fizičnih oseb v zvezi z obdelavo njihovih osebnih podatkov. V ta namen je potrebno medsebojno sodelovanje nadzornih organov in njihovo sodelovanje s Komisijo.

(52) Države članice lahko nadzornemu organu, ki je v državah članicah že ustanovljen na podlagi Uredbe (EU) št. …/2012, podelijo pristojnost za izvajanje nalog, ki jih izvajajo nacionalni nadzorni organi, ustanovljeni na podlagi te direktive.

(53) Državam članicam bi morala biti omogočena ustanovitev več kot enega nadzornega organa zaradi njegove umestitve v njihovo ustavno, organizacijsko in upravno strukturo. Vsakemu nadzornemu organu bi bilo treba zagotoviti zadostne finančne in človeške vire, prostore in infrastrukturo, ki so potrebni za učinkovito opravljanje njihovih nalog, vključno z nalogami v zvezi z medsebojno pomočjo in sodelovanjem z drugimi nadzornimi organi v vsej Uniji.

(54) Vsaka država članica bi morala predpisati splošne pogoje za člane nadzornega organa, ki bi morali zlasti določati, da te člane imenuje parlament ali vlada države članice, ter vsebovati pravila o osebnih kvalifikacijah in položaju teh članov.

(55) Čeprav se ta direktiva uporablja tudi za dejavnosti nacionalnih sodišč, pa pristojnost nadzornih organov ne sme obsegati obdelave osebnih podatkov, kadar ta delujejo kot sodni organ, da se zaščiti neodvisnost sodnikov pri opravljanju njihovih sodnih nalog. Vendar bi mora biti ta izjema omejena na dejanska sodna opravila v sodnih postopkih in se ne bi smela uporabljati za druge dejavnosti, v katere bi lahko bili vključeni sodniki v skladu z nacionalno zakonodajo.

(56) Za zagotovitev doslednega spremljanja in izvajanja te direktive v vsej Uniji bi morali biti dolžnosti in učinkovita pooblastila nadzornih organov v vseh državah članicah enaki, vključno s pooblastili za preiskovanje, pravno zavezujoče posredovanje, izdajo odločb in naložitev sankcij, zlasti v primerih pritožb posameznikov, ter za sodelovanje v sodnem postopku.

(57) Vsak nadzorni organ bi moral obravnavati pritožbe, ki jih vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, in preiskati zadevo. Preiskavo na podlagi pritožbe bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen, saj je lahko odločba nadzornega organa predmet sodne presoje. Nadzorni organ bi moral posameznika, na katerega se nanašajo osebni podatki, v primernem roku obvestiti o stanju zadeve in odločitvi o pritožbi. Če mora nadzorni organ zadevo podrobneje preučiti ali se uskladiti z drugim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo osebni podatki, posredovati informacije o stanju zadeve med postopkom.

(58) Nadzorni organi bi si morali medsebojno pomagati pri opravljanju svojih dolžnosti in zagotoviti medsebojno pomoč, da se zagotovita dosledna uporaba in izvajanje določb predpisov, sprejetih v skladu s to direktivo.

(59) Evropski odbor za varstvo podatkov, ustanovljen z Uredbo (EU) št. …/2012, bi moral prispevati k dosledni uporabi te direktive v vsej Uniji, vključno s svetovanjem Komisiji in spodbujanjem sodelovanja nadzornih organov v vsej Uniji.

(60) Vsak posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico do vložitve pritožbe pri nadzornem organu v kateri koli državi članici in pravico do pravnega sredstva v sodnem postopku, če meni, da so njegove pravice iz te direktive kršene, ali če nadzorni organ ne obravnava pritožbe ali ne ukrepa, kadar je tak ukrep potreben za zaščito pravic posameznika, na katerega se nanašajo osebni podatki.

(61) Vsak organ, organizacija ali združenje, katerega namen je varstvo pravic in interesov posameznikov, na katere se nanašajo osebni podatki, v zvezi z varstvom njihovih podatkov in ki je ustanovljen v skladu z nacionalno zakonodajo države članice, bi moral imeti pravico do vložitve pritožbe ali uveljavitve pravice do pravnega sredstva v sodnem postopku v imenu posameznikov, na katere se nanašajo osebni podatki, če ga ti za to ustrezno pooblastijo, ali do vložitve lastne pritožbe, neodvisno od pritožbe posameznika, na katerega se nanašajo osebni podatki, če meni, da je prišlo do kršitve varnosti osebnih podatkov.

(62) Vsaka fizična ali pravna oseba bi morala imeti pravico do pravnega sredstva v sodnem postopku zoper odločbo nadzornega organa v zvezi z njo. Postopke zoper nadzorni organ je treba začeti pred sodišči države članice, v kateri ima nadzorni organ sedež.

(63) Države članice morajo zagotoviti, da zaradi učinkovitosti sodni postopki omogočajo hitro sprejetje ukrepov za odpravo ali preprečevanje kršitve te direktive.

(64) Vso škodo, ki jo oseba lahko utrpi zaradi nezakonite obdelave, bi moral povrniti upravljavec ali obdelovalec, vendar mu tega ni treba storiti, če dokaže, da ni odgovoren za škodo, predvsem kadar ugotovi napako na strani posameznika, na katerega se nanašajo osebni podatki, ali v primeru višje sile.

(65) Kaznovati je treba vsako fizično ali pravno osebo, za katero velja zasebno ali javno pravo in ki ne ravna v skladu s to direktivo. Države članice bi morale zagotoviti, da so kazenske sankcije učinkovite, sorazmerne in odvračilne, ter sprejeti vse ukrepe za izvršitev kazenskih sankcij.

(66) Da se dosežejo cilji te direktive, in sicer da se zaščitijo temeljne pravice in svoboščine fizičnih oseb in zlasti njihova pravica do varstva osebnih podatkov, ter da se zagotovi svobodna izmenjava osebnih podatkov s strani pristojnih organov v Uniji, je treba na Komisijo prenesti pooblastila, da lahko v skladu s členom 290 Pogodbe o delovanju Evropske unije sprejema akte. Zlasti je treba sprejeti delegirane akte v zvezi z obvestili o kršitvah varnosti osebnih podatkov, posredovanimi nadzornemu organu. Prav tako je zlasti pomembno, da Komisija pri svojem pripravljalnem delu opravi ustrezna posvetovanja, vključno na ravni strokovnjakov. Komisija mora pri pripravi in oblikovanju delegiranih aktov zagotoviti, da so ustrezni dokumenti Evropskemu parlamentu in Svetu predloženi istočasno, pravočasno in na ustrezen način.

(67) Za zagotovitev enotnih pogojev za izvajanje te direktive v zvezi z dokumentiranjem s strani upravljavcev in obdelovalcev, varnostjo obdelovanja, zlasti v zvezi s standardi šifriranja, obveščanjem nadzornega organa o kršitvah varnosti osebnih podatkov ter ustrezno ravnjo varstva, ki ga zagotovi tretja država ali ozemeljska enota ali sektor za obdelavo v tej tretji državi ali mednarodna organizacija, je treba na Komisijo prenesti izvedbena pooblastila. Ta pooblastila je treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije[36].

(68) Postopek pregleda se uporabi za sprejetje ukrepov v zvezi z dokumentiranjem s strani upravljavcev in obdelovalcev, varnostjo obdelovanja, obveščanjem nadzornega organa o kršitvah varnosti osebnih podatkov ter ustrezno ravnjo varstva, ki ga zagotovi tretja država ali ozemeljska enota ali sektor za obdelavo v tej tretji državi ali mednarodna organizacija, če je področje uporabe teh aktov splošno.

(69) Komisija mora sprejeti izvedbene akte, ki se začnejo takoj uporabljati, na podlagi ustrezno utemeljenih nujnih primerov v zvezi s tretjo državo ali ozemeljsko enoto ali sektorjem za obdelavo v tej tretji državi ali mednarodno organizacijo, ki ne zagotavlja ustrezne ravni varstva.

(70) Ker države članice ne morejo zadovoljivo doseči ciljev te direktive, tj. zaščititi temeljne pravice in svoboščine fizičnih oseb in zlasti njihovo pravico do varstva osebnih podatkov ter zagotoviti svobodno izmenjavo osebnih podatkov s strani pristojnih organov v Uniji, in se lahko zato zaradi obsega ali učinkov ukrepov lažje dosežejo na ravni Unije, lahko Unija v skladu z načelom subsidiarnosti sprejme ukrepe, kot je določeno v členu 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti, kakor je določeno v navedenem členu, ta direktiva ne presega tistega, kar je potrebno za doseganje navedenega cilja.

(71) S to direktivo bi bilo treba razveljaviti Okvirni sklep 2008/977/PNZ.

(72) Posebne določbe v zvezi z obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, v aktih Unije, ki so bili sprejeti pred sprejetjem te direktive in urejajo obdelavo osebnih podatkov v državah članicah oziroma dostop določenih organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi pogodb, bi morale ostati nespremenjene. Komisija bi morala ovrednotiti položaj glede na odnos med to direktivo in akti, ki so bili sprejeti pred sprejetjem te direktive in urejajo obdelavo osebnih podatkov v državah članicah oziroma dostop določenih organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi pogodb, da se oceni potreba po prilagoditvi teh posebnih določb tej direktivi.

(73) Za zagotovitev celovitega in skladnega varstva osebnih podatkov v Uniji je treba v skladu s to direktivo spremeniti mednarodne sporazume, ki so jih države članice sklenile pred začetkom veljavnosti te direktive.

(74) Ta direktiva ne posega v pravila o boju proti spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji, kot so določena v Direktivi 2011/92/EU Evropskega parlamenta in Sveta z dne 13. decembra 2011[37].

(75) V skladu s členom 6a Protokola o stališču Združenega kraljestva in Irske v zvezi z območjem svobode, varnosti in pravice, ki je priložen k Pogodbi o Evropski uniji in k Pogodbi o delovanju Evropske unije, pravila iz te direktive ne zavezujejo Združenega kraljestva in Irske, če ju ne zavezujejo pravila, ki urejajo oblike pravosodnega sodelovanja v kazenskih zadevah ali policijskega sodelovanja, v okviru katerih je treba upoštevati določbe predpisov, sprejetih na podlagi člena 16 Pogodbe o delovanju Evropske unije.

(76) Za Dansko v skladu s členoma 2 in 2a Protokola o stališču Danske, ki je priložen k Pogodbi o Evropski uniji in Pogodbi o delovanju Evropske unije, ta direktiva ni zavezujoča niti se v njej ne uporablja. Ker ta direktiva nadgrajuje schengenski pravni red na podlagi naslova V tretjega dela Pogodbe o delovanju Evropske unije, se mora Danska v skladu s členom 4 navedenega protokola v šestih mesecih po sprejetju te direktive odločiti, ali jo bo prenesla v svoje nacionalno pravo.

(77) Kar zadeva Islandijo in Norveško, ta direktiva pomeni razvoj določb schengenskega pravnega reda v smislu Sporazuma, sklenjenega med Svetom Evropske unije ter Republiko Islandijo in Kraljevino Norveško, o pridružitvi teh dveh držav k izvajanju, uporabi in razvoju schengenskega pravnega reda[38].

(78) Kar zadeva Švico, ta direktiva pomeni razvoj določb schengenskega pravnega reda v smislu Sporazuma med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda[39].

(79) Kar zadeva Lihtenštajn, ta direktiva pomeni razvoj določb schengenskega pravnega reda v smislu Protokola med Evropsko unijo, Evropsko skupnostjo, Švicarsko konfederacijo in Kneževino Lihtenštajn o pristopu Kneževine Lihtenštajn k Sporazumu med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda[40].

(80) Ta direktiva spoštuje temeljne pravice in upošteva načela, ki jih priznava Listina Evropske unije o temeljnih pravicah, kakor so vsebovani v Pogodbi, zlasti pravico do spoštovanja zasebnega in družinskega življenja, pravico do varstva osebnih podatkov, pravico do učinkovitega pravnega sredstva in do nepristranskega sojenja. Omejitve teh pravic so v skladu s členom 52(1) Listine, ker so potrebne za izpolnjevanje ciljev splošnega interesa, ki jih priznava Unija, ali zadovoljevanje potrebe po zaščiti pravic in svoboščin drugih.

(81) V skladu s skupno politično izjavo držav članic in Komisije o obrazložitvenih dokumentih z dne 28. septembra 2011 se države članice zavezujejo, da bodo obvestilu o ukrepih za prenos v nacionalno zakonodajo v upravičenih primerih priložile enega ali več dokumentov, v katerih bo pojasnjeno razmerje med sestavnimi elementi direktive in ustreznimi deli nacionalnih pravnih aktov za prenos. Zakonodajalec meni, da je posredovanje takih dokumentov v primeru te direktive upravičeno.

(82) Ta direktiva državam članicam ne bi smela preprečevati uveljavljanja pravic posameznikov, na katere se nanašajo osebni podatki, do informacij, dostopa, popravka, izbrisa in omejitve njihovih osebnih podatkov, obdelanih v kazenskem postopku, in njihovih možnih omejitvah v zvezi s tem v nacionalnih predpisih o kazenskem postopku –

SPREJELA NASLEDNJO DIREKTIVO:

POGLAVJE I

SPLOŠNE DOLOČBE

Člen 1 Vsebina in cilji

1.           Ta direktiva določa pravila v zvezi z varstvom posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij.

2.           Države članice v skladu s to direktivo:

(a)     varujejo temeljne pravice in svoboščine fizičnih oseb ter zlasti njihovo pravico do varstva osebnih podatkov; in

(b)     zagotovijo, da izmenjava osebnih podatkov med pristojnimi organi v Uniji ni niti omejena niti prepovedana iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov.

Člen 2 Področje uporabe

1.           Ta direktiva se uporablja za obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene iz člena 1(1).

2.           Ta direktiva se uporablja za obdelavo osebnih podatkov v celoti ali delno s samodejnimi sredstvi in za drugačno obdelavo kakor s samodejnimi sredstvi za osebne podatke, ki sestavljajo del zbirke ali so namenjeni oblikovanju dela zbirke.

3.           Ta direktiva se ne uporablja za obdelavo osebnih podatkov:

(a)     v okviru dejavnosti zunaj področja uporabe zakonodaje Unije, zlasti v zvezi z nacionalno varnostjo;

(b)     ki jo izvajajo institucije, organi, uradi in agencije Unije.

Člen 3 Opredelitve pojmov

V tej direktivi:

(1) „posameznik, na katerega se nanašajo osebni podatki“ pomeni določeno fizično osebo ali fizično osebo, ki je neposredno ali posredno določljiva s sredstvi, za katera se razumno pričakuje, da jih bo uporabil upravljavec ali vsaka druga fizična ali pravna oseba, zlasti z navedbo identifikacijske številke, podatkov o lokaciji, spletnih identifikatorjev ali enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto navedene osebe;

(2) „osebni podatki“ pomenijo vsako informacijo v zvezi s posameznikom, na katerega se nanašajo osebni podatki;

(3) „obdelava“ pomeni vsak postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki ali nizi osebnih podatkov s samodejnimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali predelava, iskanje, vpogled, uporaba, razkritje s posredovanjem, širjenje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejitev, izbris ali uničenje;

(4) „omejitev obdelave“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

(5) „zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki je dostopen v skladu s posebnimi merili, in sicer centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(6) „upravljavec“ pomeni pristojni javni organ, ki sam ali skupaj z drugimi določa namene, pogoje in sredstva obdelave osebnih podatkov; kadar namene, pogoje in sredstva obdelave določa zakonodaja Unije ali zakonodaja držav članic, lahko upravljavca ali posebna merila za njegovo imenovanje določi zakonodaja Unije ali zakonodaja držav članic;

(7) „obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali vsak drug organ, ki obdeluje osebne podatke v imenu upravljavca;

(8) „prejemnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali vsak drug organ, ki so mu bili podatki razkriti;

(9) „kršitev varnosti osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(10) „genetski podatki“ pomenijo vse podatke ne glede na njihovo vrsto v zvezi z značilnostmi posameznika, ki so podedovane ali pridobljene v zgodnjem prenatalnem obdobju;

(11) „biometrični podatki“ pomenijo vse podatke v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo njegovo edinstveno identifikacijo, kot so podobe obraza ali daktiloskopski podatki;

(12) „podatki o zdravstvenem stanju“ pomenijo vsako informacijo, ki se nanaša na telesno ali duševno zdravje posameznika ali na izvajanje zdravstvenih storitev za posameznika;

(13) „otrok“ pomeni osebo, mlajšo od 18 let;

(14) „pristojni organi“ pomenijo vsak javni organ, pristojen za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(15) „nadzorni organ“ pomeni javni organ, ki ga v skladu s členom 39 ustanovi država članica.

POGLAVJE II

NAČELA

Člen 4 Načela v zvezi z obdelavo osebnih podatkov

Države članice zagotovijo, da so osebni podatki obvezno:

(a)     obdelani pošteno in zakonito;

(b)     zbrani za določene, jasne in zakonite namene ter se ne smejo naprej obdelovati na način, ki je nezdružljiv s temi nameni;

(c)     primerni, ustrezni in ne pretirani glede na namene, za katere se obdelujejo;

(d)     točni in po potrebi posodobljeni; sprejeti je treba vse primerne ukrepe za zagotovitev, da se netočni osebni podatki nemudoma izbrišejo ali popravijo ob upoštevanju namenov, za katere se obdelujejo;

(e)     shranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo;

(f)      obdelani v okviru pristojnosti in odgovornosti upravljavca, ki zagotovi skladnost z določbami predpisov, sprejetih v skladu s to direktivo.

.

Člen 5 Razlikovanje med različnimi vrstami posameznikov, na katere se nanašajo osebni podatki

1.           Države članice zagotovijo, da upravljavec v največji možni meri jasno razlikuje med osebnimi podatki različnih vrst posameznikov, na katere se nanašajo osebni podatki, kot so:

(a)     osebe, v zvezi s katerimi obstaja utemeljen sum, da so storile kaznivo dejanje ali ga nameravajo storiti;

(b)     osebe, ki so bile obsojene za kaznivo dejanje;

(c)     žrtve kaznivega dejanja ali osebe, v zvezi s katerimi zaradi nekaterih dejstev obstajajo razlogi za utemeljen sum, da bi lahko postale žrtve kaznivega dejanja;

(d)     tretje osebe, povezane s kaznivim dejanjem, kot so osebe, od katerih bi se lahko zahtevalo pričanje v preiskavah v zvezi s kaznivimi dejanji ali poznejšimi kazenskimi postopki, ali osebe, ki lahko zagotovijo informacije o kaznivih dejanjih, ali stiki ali sodelavci osebe iz odstavkov (a) in (b); ter

(e)     osebe, ki ne spadajo v nobeno od vrst posameznikov iz tega člena.

Člen 6 Različne stopnje točnosti in zanesljivosti osebnih podatkov

1.           Države članice zagotovijo, da se različne vrste osebnih podatkov, ki se obdelujejo, v največji možni meri razlikujejo glede na njihovo stopnjo točnosti in zanesljivosti.

2.           Države članice zagotovijo, da se osebni podatki, ki temeljijo na dejstvih, v največji možni meri razlikujejo od osebnih podatkov, ki temeljijo na osebnih mnenjih.

Člen 7 Zakonitost obdelave

Države članice zagotovijo, da je obdelava osebnih podatkov zakonita le, če je potrebna in v obsegu, v katerem je potrebna:

(a) za opravljanje naloge, ki jo na podlagi zakonodaje izvaja pristojni organ za namene iz člena 1(1); ali

(b) zaradi skladnosti s pravno obveznostjo upravljavca; ali

(c) za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe; ali

(d) za preprečitev neposredne in resne ogroženosti javne varnosti.

Člen 8 Obdelava posebnih vrst osebnih podatkov

1.           Države članice prepovejo obdelavo osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično prepričanje, vero ali prepričanje, članstvo v sindikatu, genetske podatke ali podatke v zvezi z zdravstvenim ali spolnim življenjem.

2.           Odstavek 1 se ne uporablja, kadar:

(a)     je obdelava dovoljena z zakonom, ki zagotavlja ustrezne zaščitne ukrepe; ali

(b)     je obdelava potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe; ali

(c)     je obdelava povezana s podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, objavi.

Člen 9 Ukrepi na podlagi oblikovanja profilov in samodejna obdelava

1.           Države članice zagotovijo, da se ukrepi, ki imajo škodljiv pravni učinek na posameznika, na katerega se nanašajo osebni podatki, ali ki nanj znatno vplivajo in temeljijo zgolj na samodejni obdelavi osebnih podatkov za namene ocene nekaterih osebnih vidikov posameznika, na katerega se nanašajo osebni podatki, prepovejo, razen če so dovoljeni z zakonom, ki opredeljuje ukrepe za zaščito pravnega interesa posameznika, na katerega se nanašajo osebni podatki.

2.           Samodejna obdelava osebnih podatkov za namene ocene nekaterih osebnih vidikov posameznika, na katerega se nanašajo osebni podatki, ne temelji zgolj na posebnih vrstah osebnih podatkov iz člena 8.

POGLAVJE III

PRAVICE POSAMEZNIKA, NA KATEREGA SE NANAŠAJO OSEBNI PODATKI

Člen 10 Načini uveljavljanja pravic posameznika, na katerega se nanašajo osebni podatki

1.           Države članice zagotovijo, da upravljavec izvede vse primerne ukrepe za pregledne in lahko dostopne politike v zvezi z obdelavo osebnih podatkov in za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki.

2.           Države članice zagotovijo, da upravljavec posamezniku, na katerega se nanašajo osebni podatki, vse informacije in vsa sporočila v zvezi z obdelavo osebnih podatkov posreduje v razumljivi obliki, pri čemer uporabi jasen in preprost jezik.

3.           Države članice zagotovijo, da upravljavec izvede vse primerne ukrepe za določitev postopkov za zagotavljanje informacij iz člena 11 in za uveljavljanje pravic posameznikov, na katere se nanašajo osebni podatki, iz členov 12 do 17.

4.           Države članice zagotovijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, nemudoma obvesti o nadaljnjih ukrepih.

5.           Države članice zagotovijo, da so informacije in vsi ukrepi upravljavca v zvezi z zahtevo iz odstavkov 3 in 4 brezplačni. Če so zahteve nadležne, zlasti zaradi njihove ponavljajoče se narave ali velikosti ali obsega zahteve, lahko upravljavec zaračuna pristojbino za zagotavljanje informacij ali izvajanje zahtevanih ukrepov ali pa ne izvede ukrepa. V tem primeru nosi breme dokazovanja nadležne narave zahteve upravljavec.

Člen 11 Informacije, ki se zagotovijo posamezniku, na katerega se nanašajo osebni podatki

1.           Države članice zagotovijo, da upravljavec pri zbiranju osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, sprejme vse ustrezne ukrepe, da posamezniku, na katerega se nanašajo osebni podatki, zagotovi vsaj naslednje:

(a)     informacije o identiteti upravljavca in uradne osebe za varstvo podatkov ter njune kontaktne podatke;

(b)     informacije o namenih obdelave osebnih podatkov;

(c)     informacije o roku shranjevanja osebnih podatkov;

(d)     informacije o obstoju pravice, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek, izbris ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki;

(e)     informacije o pravici do vložitve pritožbe pri nadzornem organu iz člena 39 in njegove kontaktne podatke;

(f)      informacije o prejemnikih ali vrstah prejemnikov osebnih podatkov, tudi v tretjih državah ali mednarodnih organizacijah;

(g)     vse nadaljnje informacije, če so te nadaljnje informacije potrebne za zagotovitev poštene obdelave glede na posameznika, na katerega se nanašajo osebni podatki, pri čemer se upoštevajo posebne okoliščine, v katerih se obdelujejo osebni podatki.

2.           Če se osebni podatki zbirajo od posameznika, na katerega se nanašajo osebni podatki, upravljavec posameznika, na katerega se nanašajo osebni podatki, poleg informacij iz odstavka 1 obvesti o tem, ali je zagotovitev osebnih podatkov obvezna ali prostovoljna in o možnih posledicah, če se taki podatki ne zagotovijo.

3.           Upravljavec zagotovi informacije iz odstavka 1:

(a)     ob pridobitvi osebnih podatkov od posameznika, na katerega se nanašajo osebni podatki; ali

(b)     kadar se osebni podatki ne zberejo od posameznika, na katerega se nanašajo osebni podatki, med beleženjem ali v primernem roku po zbiranju glede na posebne okoliščine, v katerih se podatki obdelajo.

4.           Države članice lahko sprejmejo zakonodajne ukrepe za zadržanje, omejitev ali opustitev zagotovitve informacij posameznikom, na katere se nanašajo osebni podatki, če je taka delna ali popolna omejitev, ki mora upoštevati pravni interes zadevne osebe, nujen in sorazmeren ukrep v demokratični družbi:

(a) za preprečitev oviranja uradnih in zakonitih preiskav, poizvedb ali postopkov;

(b) za izogibanje vplivu na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(c) za zaščito javne varnosti;

(d) za zaščito nacionalne varnosti;

(e) za zaščito pravic in svoboščin drugih.

5.           Države članice lahko določijo vrste obdelave podatkov, ki se lahko v celoti ali delno obravnavajo kot izjeme iz odstavka 4.

Člen 12 Pravica do dostopa za posameznika, na katerega se nanašajo osebni podatki

1.           Države članice določijo pravico posameznika, na katerega se nanašajo osebni podatki, da od upravljavca pridobi potrditev, ali se v zvezi z njim obdelujejo osebni podatki ali ne. Če se taki osebni podatki obdelujejo, upravljavec zagotovi naslednje:

(a)     informacije o namenih obdelave;

(b)     informacije o vrstah zadevnih osebnih podatkov;

(c)     informacije o prejemnikih ali vrstah prejemnikov, ki so jim bili posredovani osebni podatki, zlasti prejemnikih v tretjih državah;

(d)     informacije o roku shranjevanja osebnih podatkov;

(e)     informacije o obstoju pravice, da od upravljavca zahteva popravek, izbris ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se nanašajo osebni podatki;

(f)      informacije o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;

(g)     sporočilo o osebnih podatkih, ki se obdelujejo, in o vseh dostopnih informacijah v zvezi z njihovim virom.

2.           Države članice določijo pravico posameznika, na katerega se nanašajo osebni podatki, da od upravljavca pridobi kopijo osebnih podatkov, ki se obdelujejo.

Člen 13 Omejitve pravice do dostopa

1. Države članice lahko sprejmejo zakonodajne ukrepe, s katerimi posamezniku, na katerega se nanašajo osebni podatki, popolnoma ali delno omejijo pravico do dostopa, če je taka delna ali popolna omejitev, ki mora upoštevati pravni interes zadevne osebe, nujen in sorazmeren ukrep v demokratični družbi:

(a) za preprečitev oviranja uradnih in zakonitih preiskav, poizvedb ali postopkov;

(b) za izogibanje vplivu na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(c) za zaščito javne varnosti;

(d) za zaščito nacionalne varnosti;

(e) za zaščito pravic in svoboščin drugih.

2. Države članice lahko predpišejo tudi vrste obdelave podatkov, ki se lahko v celoti ali delno obravnavajo kot izjeme iz odstavka 1.

3. Države članice v primerih iz odstavkov 1 in 2 določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, pisno obvesti o vsaki zavrnitvi ali omejitvi dostopa, o razlogih za zavrnitev ter o možnostih za vložitev pritožbe pri nadzornem organu in uveljavitev pravnega sredstva v sodnem postopku. Informacije o dejanskem stanju ali pravni podlagi, na katerih temelji odločitev, se lahko izpustijo, če bi zagotovitev takih informacij razvrednotila namen iz odstavka 1.

4. Države članice zagotovijo, da upravljavec dokumentira razloge, zakaj ni obvestil posameznika, na katerega se nanašajo osebni podatki, o dejanskem stanju ali pravni podlagi, na katerih temelji odločitev.

Člen 14 Načini uveljavljanja pravice do dostopa

1.           Države članice posamezniku, na katerega se nanašajo osebni podatki, zagotovijo pravico, da, zlasti v primerih iz člena 13, od nadzornega organa zahteva pregled zakonitosti obdelave.

2.           Države članice zagotovijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o pravici do zahteve po posredovanju nadzornega organa v skladu z odstavkom 1.

3.           Če posameznik, na katerega se nanašajo osebni podatki, uveljavlja pravico iz odstavka 1, ga nadzorni organ obvesti vsaj o tem, da je izvedel vsa potrebna preverjanja, in o izidu v zvezi z zakonitostjo zadevne obdelave.

Člen 15 Pravica do popravka

1.           Države članice zagotovijo, da ima posameznik, na katerega se nanašajo osebni podatki, pravico pri upravljavcu doseči popravek netočnih osebnih podatkov v zvezi z njim. Posameznik, na katerega se nanašajo osebni podatki, ima pravico do dopolnitve nepopolnih osebnih podatkov, zlasti z izjavo o popravku.

2.           Države članice zagotovijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, pisno obvesti o vsaki zavrnitvi popravka, razlogih za zavrnitev ter možnostih za vložitev pritožbe pri nadzornem organu in uveljavitev pravnega sredstva v sodnem postopku.

Člen 16 Pravica do izbrisa

1. Države članice zagotovijo, da ima posameznik, na katerega se nanašajo osebni podatki, pravico pri upravljavcu doseči izbris osebnih podatkov v zvezi z njim, če obdelava ni skladna z določbami predpisov, sprejetih v skladu s členom 4(a) do (e) ter členoma 7 in 8 te direktive.

2. Upravljavec izvede izbris nemudoma.

3. Upravljavec namesto izbrisa označi osebne podatke, kadar:

(a) posameznik, na katerega se nanašajo osebni podatki, oporeka njihovi točnosti, in sicer za čas, ki upravljavcu omogoča preveriti točnost podatkov;

(b) je treba osebne podatke ohraniti za namene dokazovanja;

(c) posameznik, na katerega se nanašajo osebni podatki, nasprotuje njihovemu izbrisu in namesto tega zahteva omejitev njihove uporabe.

4. Države članice zagotovijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki, pisno obvesti o vsaki zavrnitvi izbrisa ali označevanja obdelave, razlogih za zavrnitev ter možnostih za vložitev pritožbe pri nadzornem organu in uveljavitev pravnega sredstva v sodnem postopku.

Člen 17 Pravice posameznika, na katerega se nanašajo osebni podatki, v kazenski preiskavi in kazenskem postopku

Države članice lahko zagotovijo, da se pravice do informacij, dostopa, popravkov, izbrisa in omejitve obdelave iz členov 11 do 16 izvedejo v skladu z nacionalnimi predpisi o sodnih postopkih, če so osebni podatki v sodni odločbi ali sodnem spisu, ki se obdela med kazensko preiskavo in kazenskim postopkom.

POGLAVJE IV UPRAVLJAVEC IN OBDELOVALEC

ODDELEK 1 SPLOŠNE OBVEZNOSTI

Člen 18 Pristojnost upravljavca

1.           Države članice zagotovijo, da upravljavec sprejme politike in izvede ustrezne ukrepe za zagotovitev obdelave osebnih podatkov v skladu z določbami predpisov, sprejetih v skladu s to direktivo.

2.           Ukrepi iz odstavka 1 obsegajo zlasti:

(a)     hranjenje dokumentacije iz člena 23;

(b)     skladnost z zahtevami za predhodno posvetovanje v skladu s členom 26;

(c)     izvajanje zahtev za varnost podatkov iz člena 27;

(d)     imenovanje uradne osebe za varstvo podatkov v skladu s členom 30.

3.           Upravljavec uporabi mehanizme za zagotovitev preverjanja učinkovitosti ukrepov iz odstavka 1 tega člena. Če je to preverjanje sorazmerno, ga izvedejo neodvisni notranji ali zunanji revizorji.

Člen 19 Vgrajeno varstvo podatkov

1.           Države članice zagotovijo, da upravljavec ob upoštevanju doseženega razvoja tehnologije in stroškov izvajanja izvede ustrezne tehnične in organizacijske ukrepe in postopke na tak način, da obdelava ustreza zahtevam določb predpisov, sprejetih v skladu s to direktivo, in zagotavlja zaščito pravic posameznika, na katerega se nanašajo osebni podatki.

2.           Upravljavec uporabi mehanizme za zagotovitev, da se privzeto obdelajo samo tisti osebni podatki, ki so potrebni za namene obdelave.

Člen 20 Skupni upravljavci

Države članice zagotovijo, da morajo skupni upravljavci, kadar upravljavec določi namene, pogoje in sredstva obdelave osebnih podatkov skupaj z drugimi, z medsebojnim dogovorom določiti svoje naloge za skladnost z določbami predpisov, sprejetih v skladu s to direktivo, zlasti v zvezi s postopki in mehanizmi za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki.

Člen 21 Obdelovalec

1. Kadar se postopek obdelave izvede v imenu upravljavca, države članice določijo, da mora upravljavec izbrati obdelovalca, ki zagotovi zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih ukrepov in postopkov na tak način, da obdelava ustreza zahtevam določb predpisov, sprejetih v skladu s to direktivo, in zagotovi zaščito pravic posameznika, na katerega se nanašajo osebni podatki.

2. Države članice zagotovijo, da mora izvajanje obdelave prek obdelovalca urejati pravni akt, ki določa obveznosti obdelovalca do upravljavca, predvsem da obdelovalec deluje samo po navodilih upravljavca, zlasti kadar je prenos uporabljenih osebnih podatkov prepovedan.

3. Če obdelovalec obdela osebne podatke, katerih obdelave upravljavec od njega ni zahteval, se obdelovalec v zvezi s to obdelavo obravnava kot upravljavec in zanj veljajo pravila o skupnih upravljavcih iz člena 20.

Člen 22 Obdelava pod vodstvom upravljavca in obdelovalca

Države članice zagotovijo, da lahko obdelovalec in vsaka oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca, ki ima dostop do osebnih podatkov, osebne podatke obdelata samo po navodilih upravljavca ali če to zahteva zakonodaja Unije ali nacionalna zakonodaja.

Člen 23 Dokumentacija

1. Države članice zagotovijo, da vsak upravljavec in obdelovalec ohrani dokumentacijo vseh sistemov in postopkov obdelave v okviru svoje pristojnosti.

2. Dokumentacija vsebuje vsaj naslednje informacije o:

(a)     imenu upravljavca ali katerega koli skupnega upravljavca ali obdelovalca in njegove kontaktne podatke;

(b)     namenih obdelave;

(c)     prejemnikih ali vrstah prejemnikov osebnih podatkov;

(d)     prenosih podatkov v tretjo državo ali mednarodno organizacijo, vključno z identifikacijo te tretje države ali mednarodne organizacije.

3.           Upravljavec in obdelovalec nadzornemu organu na zahtevo omogočita dostop do dokumentacije.

Člen 24 Vodenje evidenc

1.           Države članice zagotovijo vodenje evidenc vsaj o naslednjih postopkih obdelave: zbiranje, predelava, vpogled, razkritje, kombiniranje ali izbris. Evidence vpogleda in razkritja kažejo zlasti namen, datum in čas takih postopkov ter v največji možni meri istovetnost osebe, ki je vpogledala v osebne podatke ali jih je razkrila.

2.           Evidence se uporabljajo izključno za preverjanje zakonitosti obdelave podatkov, notranje spremljanje ter zagotavljanje neoporečnosti in varnosti podatkov.

Člen 25 Sodelovanje z nadzornim organom

1.           Države članice zagotovijo, da upravljavec in obdelovalec pri opravljanju svojih dolžnosti na zahtevo sodelujeta z nadzornim organom, zlasti z zagotavljanjem vseh informacij, ki jih nadzorni organ potrebuje za opravljanje svojih dolžnosti.

2.           Kot odziv na izvajanje pooblastil nadzornega organa iz točk (a) in (b) člena 46 upravljavec in obdelovalec nadzornemu organu odgovorita v primernem roku. Odgovor vključuje opis sprejetih ukrepov in doseženih rezultatov kot odziv na pripombe nadzornega organa.

Člen 26 Predhodno posvetovanje z nadzornim organom

1. Države članice zagotovijo, da se upravljavec ali obdelovalec pred obdelavo osebnih podatkov, ki bodo del nove zbirke, posvetuje z nadzornim organom, če:

(a)     bodo obdelane posebne vrste podatkov iz člena 8;

(b)     vrsta obdelave, predvsem zaradi uporabe novih tehnologij, mehanizmov ali postopkov, sicer vključuje posebna tveganja za temeljne pravice in svoboščine ter zlasti za varstvo osebnih podatkov posameznika, na katerega se nanašajo osebni podatki.

2. Države članice lahko zagotovijo, da nadzorni organ oblikuje seznam postopkov obdelave, o katerih se je treba v skladu z odstavkom 1 predhodno posvetovati.

ODDELEK 2 VARNOST PODATKOV

Člen 27 Varnost obdelave

1.           Države članice določijo, da morata upravljavec in obdelovalec izvajati ustrezne tehnične in organizacijske ukrepe za zagotovitev ravni varnosti, ustrezne tveganjem, ki jih pomenita obdelava in narava podatkov, ki jih je treba varovati, pri čemer se upoštevajo doseženi razvoj tehnologije in stroški za njihovo izvajanje.

2.           V zvezi s samodejno obdelavo podatkov vsaka država članica zagotovi, da upravljavec ali obdelovalec po oceni tveganj izvede ukrepe, katerih namen je:

(a) nepooblaščenim osebam onemogočiti dostop do opreme za obdelavo podatkov, ki se uporablja za obdelavo osebnih podatkov (nadzor dostopa do opreme);

(b) preprečiti nepooblaščeno branje, prepisovanje, spreminjanje ali odnašanje nosilcev podatkov (nadzor nosilcev podatkov);

(c) preprečiti nepooblaščeno vnašanje podatkov v podatkovne zbirke in nepooblaščeno pregledovanje, spreminjanje ali brisanje shranjenih osebnih podatkov (nadzor shranjevanja);

(d) nepooblaščenim osebam, ki uporabljajo opremo za prenos podatkov, preprečiti uporabo sistemov za samodejno obdelavo podatkov (nadzor uporabnikov);

(e) zagotoviti, da imajo osebe, pooblaščene za uporabo samodejnega sistema obdelave podatkov, dostop samo do podatkov, ki jih zajema njihovo pooblastilo za dostop (nadzor dostopa do podatkov);

(f) zagotoviti možnost preverjanja in ugotavljanja, katerim organom so osebni podatki bili ali bi lahko bili poslani oziroma jim je bil ali bi jim lahko bil omogočen dostop do njih prek opreme za prenos podatkov (nadzor prenosa);

(g) zagotoviti, da se lahko naknadno preveri in ugotovi, kateri osebni podatki so bili vneseni v sisteme za samodejno obdelavo podatkov ter kdaj in kdo jih je vnesel (nadzor vnosa);

(h) preprečiti nepooblaščeno branje, prepisovanje, spreminjanje ali izbris osebnih podatkov med pošiljanjem osebnih podatkov ali med premeščanjem nosilcev podatkov (nadzor premeščanja);

(i) zagotoviti, da se lahko nameščeni sistemi v primeru prekinitve ponovno vzpostavijo (obnova);

(j) zagotoviti, da funkcije sistema delujejo, da se pojavljanje napak v funkcijah sporoči (zanesljivost) in da shranjeni osebni podatki ne morejo postati neuporabni zaradi okvare sistema (neoporečnost).

3.           Komisija lahko po potrebi sprejme izvedbene akte za določitev zahtev iz odstavkov 1 in 2, glede na različne okoliščine, zlasti standarde šifriranja. Navedeni izvedbeni akti se sprejmejo v skladu postopkom pregleda iz člena 57(2).

Člen 28 Obveščanje nadzornega organa o kršitvi varnosti osebnih podatkov

1.           Države članice zagotovijo, da mora upravljavec v primeru kršitve varnosti osebnih podatkov o kršitvi nemudoma, in če je mogoče, najpozneje v 24 urah po odkritju kršitve obvestiti nadzorni organ. Upravljavec nadzornemu organu na zahtevo predloži primerno utemeljitev v primerih, kadar nadzorni organ ni bil obveščen v 24 urah.

2.           Obdelovalec takoj po odkritju kršitve varnosti osebnih podatkov na to opozori in o tem obvesti upravljavca.

3.           Obvestilo iz odstavka 1 vsebuje vsaj:

(a)     opis kršitve varnosti osebnih podatkov, vključno z vrstami in številom zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrstami in številom zadevnih evidenc podatkov;

(b)     sporočilo o istovetnosti in kontaktnih podatkih uradne osebe za varstvo podatkov iz člena 30 ali drugi kontaktni točki, pri katerih je mogoče pridobiti več informacij;

(c)     priporočene ukrepe za ublažitev morebitnih škodljivih učinkov kršitve varnosti osebnih podatkov;

(d)     opis možnih posledic kršitve varnosti osebnih podatkov;

(e)     opis ukrepov, ki jih upravljavec predlaga ali sprejme za obravnavanje kršitve varnosti osebnih podatkov.

4.           Države članice zagotovijo, da upravljavec dokumentira vsako kršitev varnosti osebnih podatkov, kar vključuje dejstva v zvezi s kršitvijo, njene učinke in sprejete popravne ukrepe. Ta dokumentacija mora nadzornemu organu omogočati, da preveri skladnost s tem členom. Dokumentacija vključuje samo informacije, potrebne za ta namen.

5.           Komisija je pooblaščena za sprejetje delegiranih aktov v skladu s členom 56 za namen nadaljnje določitve meril in zahtev za ugotavljanje kršitve varnosti podatkov iz odstavkov 1 in 2 ter za posebne okoliščine, v katerih se od upravljavca in obdelovalca zahteva, da predložita obvestilo o kršitvi varnosti osebnih podatkov.

6.           Komisija lahko določi standardno obliko takega obvestila nadzornemu organu, postopke, ki se uporabljajo za zahtevo po obvestilu, ter obliko in načine dokumentiranja iz odstavka 4, vključno z roki za zagotovitev informacij iz dokumentacije. Navedeni izvedbeni akti se sprejmejo v skladu postopkom pregleda iz člena 57(2).

Člen 29 Obveščanje posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov

1.           Če je verjetno, da kršitev varnosti osebnih podatkov škodljivo vpliva na varstvo osebnih podatkov ali zasebnost posameznika, na katerega se nanašajo osebni podatki, države članice zagotovijo, da upravljavec po predložitvi obvestila iz člena 28 posamezniku, na katerega se nanašajo osebni podatki, nemudoma pošlje sporočilo o kršitvi varnosti osebnih podatkov.

2.           Sporočilo posamezniku, na katerega se nanašajo osebni podatki, iz odstavka 1 opisuje kršitev varnosti osebnih podatkov ter vsebuje vsaj informacije in priporočila iz točk (b) in (c) člena 28(3).

3.           Posameznika, na katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov ni treba obvestiti, če je upravljavec nadzornemu organu zadovoljivo dokazal, da je izvedel ustrezne tehnološke zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila kršena varnost. Zaradi takih tehnoloških zaščitnih ukrepov bi morali biti podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih.

4.           Obveščanje posameznika, na katerega se nanašajo osebni podatki, se lahko zaradi razlogov iz člena 11(4) zadrži, omeji ali opusti.

ODDELEK 3 URADNA OSEBA ZA VARSTVO PODATKOV

Člen 30 Imenovanje uradne osebe za varstvo podatkov

1. Države članice zagotovijo, da upravljavec ali obdelovalec imenuje uradno osebo za varstvo podatkov.

2. Uradna oseba za varstvo podatkov se imenuje na podlagi strokovnih odlik in zlasti strokovnega znanja o zakonodaji in praksah varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 32.

3. Uradna oseba za varstvo podatkov se lahko določi za več subjektov, pri čemer se upošteva organizacijska struktura pristojnega organa.

Člen 31 Položaj uradne osebe za varstvo podatkov

1. Države članice določijo, da upravljavec ali obdelovalec zagotovi, da je uradna oseba za varstvo podatkov ustrezno in pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov.

2. Upravljavec ali obdelovalec zagotovi, do so uradni osebi za varstvo podatkov zagotovljena vsa sredstva za učinkovito in neodvisno opravljanje dolžnosti in nalog iz člena 32 ter da uradna oseba za varstvo podatkov ne prejema nikakršnih navodil v zvezi z opravljanjem funkcije.

Člen 32 Naloge uradne osebe za varstvo podatkov

Države članice zagotovijo, da upravljavec ali obdelovalec uradni osebi za varstvo podatkov zaupa vsaj naslednje naloge:

(a) obveščanje in svetovanje upravljavcu ali obdelovalcu v zvezi z njegovimi obveznostmi v skladu z določbami predpisov, sprejetih v skladu s to direktivo, ter dokumentiranje te dejavnosti in prejetih odgovorov;

(b) spremljanje izvajanja in uporabe politik v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, usposabljanjem uslužbencev, vključenih v postopke obdelave, in s tem povezanimi revizijami;

(c) spremljanje izvajanja in uporabe določb predpisov, sprejetih v skladu s to direktivo, zlasti v zvezi z zahtevami, povezanimi z vgrajenim varstvom podatkov in varnostjo podatkov, ter v zvezi z informacijami posameznikov, na katere se nanašajo osebni podatki, in njihovimi zahtevami pri uveljavljanju pravic na podlagi določb predpisov, sprejetih v skladu s to direktivo;

(d) zagotavljanje ohranjanja dokumentacije iz člena 23;

(e) spremljanje dokumentiranja, obveščanja in posredovanja sporočil o kršitvah varnosti osebnih podatkov iz členov 28 in 29;

(f) spremljanje prijave nadzornemu organu za predhodno posvetovanje, če se to zahteva v skladu s členom 26;

(g) spremljanje odgovora na zahteve nadzornega organa in sodelovanje, v okviru pristojnosti uradne osebe za varstvo podatkov, z nadzornim organom na zahtevo slednjega ali na njegovo lastno pobudo;

(h) delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo in posvetovanje z nadzornim organom na pobudo uradne osebe za varstvo podatkov, če je to primerno.

POGLAVJE V PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE ALI MEDNARODNE ORGANIZACIJE

Člen 33 Splošna načela za prenose osebnih podatkov

Države članice predvidijo, da lahko pristojni organi vsak prenos osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v tretjo državo ali mednarodno organizacijo, vključno z nadaljnjim prenosom v drugo tretjo državo ali mednarodno organizacijo, izvede samo, če:

(a)     je prenos potreben za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij; ter

(b)     upravljavec in obdelovalec ravnata v skladu s pogoji iz tega poglavja.

Člen 34 Prenosi s sklepom o ustreznosti

1.           Države članice zagotovijo možnost prenosa osebnih podatkov v tretjo državo ali mednarodno organizacijo, če je Komisija v skladu s členom 41 Uredbe (EU) št. …/2012 ali v skladu z odstavkom 3 tega člena odločila, da zadevna tretja država, zadevna ozemeljska enota, zadevni sektor za obdelavo v tej tretji državi ali zadevna mednarodna organizacija zagotavlja ustrezno raven varstva. Za tak prenos ni potrebno nobeno dodatno pooblastilo.

2.           Če v skladu s členom 41 Uredbe (EU) št. …/2012 ni bil sprejet noben sklep, Komisija oceni ustreznost ravni varstva, pri čemer upošteva naslednje:

(a)     načelo vladavine prava, ustrezno veljavno zakonodajo, tako splošno kot sektorsko, tudi glede javne varnosti, obrambe, nacionalne varnosti in kazenskega prava ter glede varnostnih ukrepov, ki se upoštevajo v navedeni državi ali mednarodni organizaciji; prav tako učinkovite in izvršljive pravice vključno z učinkovitim upravnim in sodnim varstvom za posameznike, na katere se nanašajo osebni podatki, zlasti za tiste posameznike, na katere se nanašajo osebni podatki, ki imajo stalno prebivališče v Uniji in katerih osebni podatki se prenašajo;

(b)     obstoj in učinkovito delovanje enega ali več neodvisnih nadzornih organov v zadevni tretji državi ali zadevni mednarodni organizaciji, ki so pristojni za zagotavljanje skladnosti s predpisi o varstvu podatkov, za pomoč in svetovanje posamezniku, na katerega se nanašajo osebni podatki, pri uveljavljanju njegovih pravic ter za sodelovanje z nadzornimi organi Unije in držav članic; ter

(c)     mednarodne obveznosti, ki jih je prevzela zadevna tretja država ali zadevna mednarodna organizacija.

3.           Komisija lahko v okviru te direktive odloči, da tretja država ali ozemeljska enota ali sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven varstva v smislu odstavka 2. Takšni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 57(2).

4.           V izvedbenih aktih se določi njihova ozemeljska in sektorska uporaba, po potrebi pa se opredelijo nadzorni organ iz točke (b) odstavka 2.

5.           Komisija lahko v okviru te direktive odloči, da tretja država, ozemeljska enota, sektor za obdelavo v navedeni tretji državi ali mednarodna organizacija ne zagotavlja ustrezne ravni varstva v smislu odstavka 2, zlasti kadar ustrezna zakonodaja, tako splošna kot sektorska, ki velja v tretji državi ali mednarodni organizaciji, ne zagotavlja učinkovitih in izvršljivih pravic, vključno z učinkovitim upravnim in sodnim varstvom za posameznike, na katere se nanašajo osebni podatki, zlasti za tiste posameznike, na katere se nanašajo osebni podatki, katerih osebni podatki se prenašajo. Takšni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz člena 57(2) ali v izjemno nujnih primerih za posameznike glede na njihovo pravico do varstva osebnih podatkov v skladu s postopkom iz člena 57(3).

6.           Če Komisija v skladu z odstavkom 5 odloči, da je vsak prenos osebnih podatkov v zadevno tretjo državo, v zadevno ozemeljsko enoto, v zadevni sektor za obdelavo v navedeni tretji državi ali v zadevno mednarodno organizacijo prepovedan, države članice zagotovijo, da ta odločitev ne posega v prenose iz člena 35(1) ali da je v skladu s členom 36. Komisija v primernem roku začne izvajati posvetovanja s tretjo državo ali mednarodno organizacijo v zvezi z urejanjem položaja, ki je posledica sklepa iz odstavka 5 tega člena.

7.           Komisija v Uradnem listu Evropske unije objavi seznam navedenih tretjih držav, ozemeljskih enot in sektorjev za obdelavo v tretji državi ali mednarodni organizaciji, v zvezi s katerimi se odloči, ali je ustrezna raven varstva dosežena ali ne.

8.           Komisija spremlja uporabo izvedbenih aktov iz odstavkov 3 in 5.

Člen 35 Prenosi z ustreznimi zaščitnimi ukrepi

1. Če Komisija ni sprejela nobenega sklepa v skladu s členom 34, države članice zagotovijo, da se lahko prenos osebnih podatkov prejemniku v tretji državi ali mednarodni organizaciji izvede, če:

(a)     so bili v pravno zavezujočem pravnem aktu navedeni ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov; ali

(b)     je upravljavec ali obdelovalec ocenil vse okoliščine v zvezi s prenosom osebnih podatkov in sklene, da v zvezi z varstvom osebnih podatkov obstajajo ustrezni zaščitni ukrepi.

2. Odločitev za prenose na podlagi odstavka 1(b) sprejmejo ustrezno pooblaščeni uslužbenci. Te prenose je treba dokumentirati, pri čemer mora biti dokumentacija na voljo na zahtevo nadzornega organa.

Člen 36 Odstopanja

Z odstopanjem od členov 34 in 35 države članice zagotovijo, da se lahko prenos osebnih podatkov v tretjo državo ali mednarodno organizacijo izvede samo, če:

(a)      je prenos potreben za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe; ali

(b)     je prenos potreben za zaščito pravnega interesa posameznika, na katerega se nanašajo osebni podatki, če to določa zakonodaja države članice, ki prenaša osebne podatke; ali

(c)      je prenos podatkov bistvenega pomena za preprečitev neposredne in resne ogroženosti javne varnosti države članice ali tretje države; ali

(d)     je prenos v posameznih primerih potreben za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij; ali

(e)      je prenos v posameznih primerih potreben zaradi uveljavitve, izvajanja ali obrambe pravnih zahtevkov v zvezi s preprečevanjem, preiskovanjem, odkrivanjem ali pregonom kaznivih dejanj ali izvrševanjem posebne kazenske sankcije.

Člen 37 Posebni pogoji za prenos osebnih podatkov

Države članice zagotovijo, da upravljavec prejemnika osebnih podatkov obvesti o vseh omejitvah in sprejme vse primerne ukrepe za zagotovitev, da se te omejitve upoštevajo.

Člen 38 Mednarodno sodelovanje za varstvo osebnih podatkov

1.           Komisija in države članice v zvezi s tretjimi državami in mednarodnimi organizacijami sprejmejo ustrezne ukrepe, da:

(a) oblikujejo učinkovite mehanizme mednarodnega sodelovanja za spodbujanje uveljavljanja zakonodaje o varstvu osebnih podatkov;

(b) zagotovijo mednarodno medsebojno pomoč pri uveljavljanju zakonodaje o varstvu osebnih podatkov, vključno z obveščanjem, posredovanjem pritožbe, pomočjo pri preiskavah in izmenjavo informacij, v zvezi s čimer se uporabljajo ustrezni zaščitni ukrepi za varstvo osebnih podatkov ter drugih temeljnih pravic in svoboščin;

(c) ustrezne zainteresirane strani vključijo v razpravo in dejavnosti, katerih cilj je pospeševanje mednarodnega sodelovanja pri uveljavljanju zakonodaje o varstvu osebnih podatkov;

(d) spodbudijo izmenjavo in dokumentiranje zakonodaje in prakse za varstvo osebnih podatkov.

2.           Komisija za namene iz odstavka 1 sprejme ustrezne ukrepe za spodbujanje odnosa s tretjimi državami ali z mednarodnimi organizacijami in zlasti z njihovimi nadzornimi organi, če je Komisija odločila, da zagotavljajo ustrezno raven varstva v smislu člena 34(3).

POGLAVJE VI NEODVISNI NADZORNI ORGANI

ODDELEK 1 STATUS NEODVISNOSTI

Člen 39 Nadzorni organ

1. Vsaka država članica določi, da je eden ali več javnih organov pristojnih za spremljanje uporabe določb predpisov, sprejetih v skladu s to direktivo, in za prispevanje k dosledni uporabi Direktive v Uniji za zaščito temeljnih pravic in svoboščin fizičnih oseb v zvezi z obdelavo njihovih osebnih podatkov ter za zagotovitev prostega pretoka osebnih podatkov v Uniji. V ta namen je potrebno medsebojno sodelovanje nadzornih organov in sodelovanje s Komisijo.

2. Države članice lahko določijo, da nadzorni organ, ustanovljen v državah članicah v skladu z Uredbo (EU) št. …/2012, prevzame pristojnost izvajanja nalog nadzornega organa, ki bo ustanovljen v skladu z odstavkom 1 tega člena.

3. Če je v državi članici ustanovljen več kot en nadzorni organ, ta država članica določi nadzorni organ, ki deluje kot enotna kontaktna točka za učinkovito udeležbo navedenih organov v Evropskem odboru za varstvo podatkov.

Člen 40 Neodvisnost

1.           Države članice zagotovijo, da nadzorni organ pri izvajanju svojih nalog in pooblastil, ki so mu bili zaupani, ravna popolnoma neodvisno.

2.           Vsaka država članica zagotovi, da člani nadzornega organa pri izvajanju svojih nalog nikogar ne prosijo za navodila in jih od nikogar ne sprejemajo.

3.           Člani nadzornega organa se vzdržijo vsakega delovanja, ki je nezdružljivo z njihovimi dolžnostmi, in se v času svojega mandata ne ukvarjajo z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim.

4.           Člani nadzornega organa po prenehanju svojega mandata ravnajo neoporečno in preudarno glede sprejemanja imenovanj in ugodnosti.

5.           Vsaka država članica zagotovi, da so nadzornemu organu na voljo zadostni človeški, tehnični in finančni viri, prostori in infrastruktura, ki so potrebni za učinkovito izvajanje njegovih nalog in pooblastil, vključno s tistimi, ki se izvedejo v smislu medsebojne pomoči, sodelovanja in dejavne udeležbe v Evropskem odboru za varstvo podatkov.

6.           Vsaka država članica zagotovi, da ima nadzorni organ svoje osebje, člane katerega imenuje in usmerja vodja nadzornega organa.

7.           Države članice zagotovijo, da se izvaja finančni nadzor nadzornega organa, kar pa ne vpliva na njegovo neodvisnost. Države članice zagotovijo, da ima nadzorni organ ločene letne proračune. Proračuni se objavijo.

Člen 41 Splošni pogoji za člane nadzornega organa

1.           Države članice zagotovijo, da člane nadzornega organa imenuje parlament ali vlada zadevne države članice.

2.           Člani se izberejo izmed oseb, o neodvisnosti katerih ni nikakršnih dvomov ter ki dokazujejo izkušnje in strokovnost, potrebne za opravljanje njihovih dolžnosti.

3.           Dolžnosti člana prenehajo v primeru prenehanja mandata, odstopa ali prisilne razrešitve v skladu z odstavkom 5.

4.           Pristojno nacionalno sodišče lahko razreši člana ali mu odvzame pravico do pokojnine ali do drugih podobnih ugodnosti, če član ne izpolnjuje več pogojev, ki se zahtevajo za opravljanje njegovih dolžnosti, ali če je zagrešil hujšo kršitev.

5.           Če članu mandat preneha ali če član odstopi, še naprej opravlja svoje dolžnosti, dokler ni imenovan nov član.

Člen 42 Pravila o ustanovitvi nadzornega organa

Vsaka država članica predpiše:

(a)          ustanovitev in status nadzornega organa v skladu s členoma 39 in 40;

(b)          kvalifikacije, izkušnje in strokovnost, ki se zahtevajo za opravljanje dolžnosti članov nadzornega organa;

(c)          pravila in postopke za imenovanje članov nadzornega organa ter pravila o ukrepih ali delu, ki so nezdružljivi z dolžnostmi urada;

(d)          trajanje mandata članov nadzornega organa, ki ni krajši od štirih let, razen pri prvem imenovanju po začetku veljavnosti te direktive, del katerega lahko traja krajše obdobje;

(e)          ali se lahko člani nadzornega organa ponovno imenujejo;

(f)           uredbe in skupne pogoje, ki urejajo dolžnosti članov in uslužbencev nadzornega organa;

(g)          pravila in postopke o prenehanju dolžnosti članov nadzornega organa, tudi če ne izpolnjujejo več pogojev, ki se zahtevajo za opravljanje njihovih dolžnosti, ali če so zagrešili hujšo kršitev.

Člen 43 Poklicna molčečnost

Države članice določijo, da so člani in osebje nadzornega organa tako v času svojega mandata kot po njegovem prenehanju dolžni varovati poklicno molčečnost v zvezi z vsemi zaupnimi informacijami, s katerimi so se seznanili v času opravljanja svojih uradnih dolžnosti.

ODDELEK 2 DOLŽNOSTI IN POOBLASTILA

Člen 44 Pristojnost

1.           Države članice zagotovijo, da vsak nadzorni organ na ozemlju svoje države članice izvaja pooblastila, ki so mu bila podeljena v skladu s to direktivo.

2.           Države članice zagotovijo, da nadzorni organ ni pristojen za nadzor postopkov obdelave sodišč, kadar delujejo kot sodni organ.

Člen 45 Dolžnosti

1.           Države članice zagotovijo, da nadzorni organ:

(a) spremlja in zagotavlja uporabo določb predpisov, sprejetih v skladu s to direktivo, in njene izvedbene ukrepe;

(b) obravnava pritožbe, ki jih v skladu s členom 50 vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, ali združenje, ki ga je ta posameznik, na katerega se nanašajo osebni podatki, ustrezno pooblastil za zastopanje, v ustreznem obsegu preuči zadevo ter posameznika, na katerega se nanašajo osebni podatki, ali združenje v primernem roku obvesti o stanju zadeve in odločitvi o pritožbi, zlasti če je potrebna podrobnejša preučitev ali uskladitev z drugim nadzornim organom;

(c) preverja zakonitost obdelave podatkov v skladu s členom 14 ter posameznika, na katerega se nanašajo osebni podatki, v primernem roku obvesti o izidu pregleda ali o razlogih, zaradi katerih se pregled ni izvedel;

(d) zagotavlja medsebojno pomoč drugim nadzornim organom ter doslednost pri uporabi in izvajanju določb predpisov, sprejetih v skladu s to direktivo;

(e) na lastno pobudo ali na podlagi pritožbe ali na zahtevo drugega nadzornega organa izvaja preiskave in o izidu v primernem roku obvesti posameznika, na katerega se nanašajo osebni podatki, če je vložil pritožbo;

(f) spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij;

(g) institucijam in organom držav članic svetuje o zakonodajnih in upravnih ukrepih, ki so povezani z varstvom pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov;

(h) svetuje o postopkih obdelave v skladu s členom 26;

(i) sodeluje pri dejavnostih Evropskega odbora za varstvo podatkov.

2.           Vsak nadzorni organ spodbuja ozaveščenost javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo osebnih podatkov. Posebna pozornost se nameni dejavnostim, ki izrecno obravnavajo otroke.

3.           Nadzorni organ na zahtevo posamezniku, na katerega se nanašajo osebni podatki, svetuje pri uveljavljanju pravic, določenih v določbah predpisov, sprejetih v skladu s to direktivo, in v zvezi s tem po potrebi sodeluje z nadzornimi organi v drugih državah članicah.

4.           Nadzorni organ za pritožbe iz točke (b) odstavka 1 zagotovi obrazec za vložitev pritožbe, ki se lahko izpolni elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

5.           Države članice zagotovijo, da je opravljanje dolžnosti nadzornega organa za posameznika, na katerega se nanašajo osebni podatki, brezplačno.

6.           Če so zahteve nadležne, zlasti zaradi njihove ponavljajoče se narave, lahko nadzorni organ zaračuna pristojbino ali ne izvede ukrepa, ki ga zahteva posameznik, na katerega se nanašajo osebni podatki. V tem primeru nosi breme dokazovanja nadležne narave zahteve nadzorni organ.

Člen 46 Pooblastila

Države članice zagotovijo, da se vsakemu nadzornemu organu podelijo predvsem:

(a)     preiskovalna pooblastila, kot so pooblastila za dostop do podatkov o vsebini postopkov obdelave, in pooblastila za zbiranje vseh informacij, ki so potrebne za izvajanje njegovih nadzornih nalog;

(b)     učinkovita pooblastila za posredovanje, kot je dajanje mnenj pred izvajanjem obdelave, in zagotavljanje ustrezne objave takih mnenj, odrejanje omejitve, izbrisa ali uničenja podatkov, naložitev začasne ali dokončne prepovedi obdelave, opozarjanje ali opominjanje upravljavca, ali predložitev zadeve nacionalnim parlamentom ali drugim političnim institucijam;

(c)     pooblastila za sodelovanje v sodnih postopkih, kadar so kršene določbe predpisov, sprejetih v skladu s to direktivo, ali za seznanitev pravosodnih organov s temi kršitvami.

Člen 47 Poročilo o dejavnostih

Države članice zagotovijo, da vsak nadzorni organ pripravi letno poročilo o svojih dejavnostih. Poročilo se da na voljo Komisiji in Evropskemu odboru za varstvo podatkov.

POGLAVJE VII SODELOVANJE

Člen 48 Medsebojna pomoč

1.           Države članice določijo, da nadzorni organi drug drugemu zagotovijo medsebojno pomoč ter tako na dosleden način izvajajo in uporabljajo določbe predpisov v skladu s to direktivo, in uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za izvedbo predhodnih posvetovanj, pregledov in preiskav.

2.           Države članice zagotovijo, da nadzorni organ sprejme vse ustrezne ukrepe, potrebne za odgovor na zahtevo drugega nadzornega organa.

3.           Zaprošeni nadzorni organ obvesti nadzorni organ prosilec o rezultatih ali, odvisno od posameznega primera, o napredku ali sprejetih ukrepih, da se ugodi zahtevi nadzornega organa prosilca.

Člen 49 Naloge Evropskega odbora za varstvo podatkov

1.           Evropski odbor za varstvo podatkov, ustanovljen z Uredbo (EU) št. …/2012, v zvezi z obdelavo v okviru področja uporabe te direktive opravlja naslednje naloge:

(a) Komisiji svetuje o vseh vprašanjih v zvezi z varstvom osebnih podatkov v Uniji, tudi o vseh predlogih sprememb te direktive;

(b) na zahtevo Komisije, na lastno pobudo ali na pobudo katerega od svojih članov preuči vsako vprašanje, ki se nanaša na uporabo določb predpisov, sprejetih v skladu s to direktivo, ter izda smernice, priporočila in najboljše prakse, namenjene nadzornim organom za spodbuditev dosledne uporabe teh določb;

(c) pregleda praktično uporabo smernic, priporočil in najboljših praks iz točke (b) ter o tem redno poroča Komisiji;

(d) Komisiji poda mnenje o ravni varstva v tretjih državah ali mednarodnih organizacijah;

(e) spodbuja sodelovanje ter učinkovito dvostransko in večstransko izmenjavo informacij in praks med nadzornimi organi;

(f) spodbuja skupne programe usposabljanja ter pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi organi tretjih držav ali mednarodnih organizacij;

(g) spodbuja izmenjavo znanja in dokumentacije z nadzornimi organi za varstvo podatkov po svetu, vključno z zakonodajo in prakso na področju varstva osebnih podatkov.

2.           Če Komisija od Evropskega odbora za varstvo podatkov zahteva nasvet, lahko določi rok, v katerem Evropski odbor za varstvo podatkov zagotovi tak nasvet, pri čemer se upošteva nujnost zadeve.

3.           Evropski odbor za varstvo podatkov Komisiji in odboru iz člena 57(1) posreduje svoja mnenja, smernice, priporočila in najboljše prakse ter jih objavi.

4.           Komisija Evropski odbor za varstvo podatkov obvesti o ukrepu, ki ga je sprejela na podlagi mnenj, smernic, priporočil in najboljših praks, ki jih je izdal Evropski odbor za varstvo podatkov.

POGLAVJE VIII PRAVNA SREDSTVA, ODGOVORNOST IN SANKCIJE

Člen 50 Pravica do vložitve pritožbe pri nadzornem organu

1.           Brez poseganja v vsako drugo pravno sredstvo v upravnem ali sodnem postopku države članice zagotovijo pravico vsakega posameznika, na katerega se nanašajo osebni podatki, da pri nadzornem organu v kateri koli državi članici vloži pritožbo, če meni, da obdelava osebnih podatkov v zvezi z njim ni skladna z določbami predpisov, sprejetih v skladu s to direktivo.

2.           Države članice zagotovijo, da ima vsak organ, organizacija ali združenje, katerega cilj je zaščita pravic in interesov posameznikov, na katere se nanašajo osebni podatki, v zvezi z varstvom njihovih osebnih podatkov, in ki je ustanovljen v skladu z nacionalno zakonodajo, pravico do vložitve pritožbe pri nadzornem organu v kateri koli državi članici v imenu enega ali več posameznikov, na katere se nanašajo osebni podatki, če meni, da so bile zaradi obdelave osebnih podatkov kršene pravice posameznika, na katerega se nanašajo osebni podatki, iz te direktive., Organizacija ali združenje mora dobiti ustrezno pooblastilo posameznika, na katerega se nanašajo osebni podatki.

3.           Države članice zagotovijo, da ima vsak organ, organizacija ali združenje iz odstavka 2, neodvisno od pritožbe posameznika, na katerega se nanašajo osebni podatki, pravico, da pri nadzornem organu v kateri koli državi članici vloži pritožbo, če meni, da je prišlo do kršitve varnosti osebnih podatkov.

Člen 51 Pravica do pravnega sredstva v sodnem postopku zoper nadzorni organ

1. Države članice zagotovijo pravico do pravnega sredstva v sodnem postopku zoper odločitve nadzornega organa.

2. Vsak posameznik, na katerega se nanašajo osebni podatki, ima pravico do pravnega sredstva v sodnem postopku, s katerim zahteva ukrepanje nadzornega organa v zvezi s pritožbo, če ta ne odloči o potrebni zaščiti njegovih pravic, ali če nadzorni organ posameznika, na katerega se nanašajo osebni podatki, v treh mesecih ne obvesti o stanju zadeve ali odločitvi o pritožbi v skladu s točko (b) člena 45(1).

3. Države članice zagotovijo možnost, da se pred sodišči države članice, v kateri ima nadzorni organ sedež, začne postopek zoper nadzorni organ.

Člen 52 Pravica do pravnega sredstva v sodnem postopku zoper upravljavca ali obdelovalca

Brez poseganja v katero koli dostopno upravno sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu, države članice zagotovijo pravico vsake fizične osebe do pravnega sredstva v sodnem postopku, če meni, da so bile njene pravice iz določb predpisov, sprejetih v skladu s to direktivo, kršene zaradi obdelave njenih osebnih podatkov, ki ni bila skladna z navedenimi določbami.

Člen 53 Splošna pravila za postopke pred sodiščem

1.           Države članice zagotovijo, da ima vsak organ, organizacija ali združenje iz člena 50(2) pravico do uveljavljanja pravic iz členov 51 in 52 v imenu enega ali več posameznikov, na katere se nanašajo osebni podatki.

2.           Vsak nadzorni organ ima pravico do sodelovanja v sodnih postopkih in vložitve tožbe pri sodišču za izvrševanje določb predpisov, sprejetih v skladu s to direktivo, ali za zagotovitev doslednosti varstva osebnih podatkov v Uniji.

3.           Države članice zagotovijo, da sodno varstvo, ki ga določa nacionalna zakonodaja, omogoča hitro sprejetje ukrepov, vključno z začasnimi ukrepi, namenjenimi ustavitvi izvajanja domnevne kršitve in preprečitvi nadaljnjega oškodovanja zadevnih interesov.

Člen 54 Odgovornost in pravica do odškodnine

1.           Države članice zagotovijo, da ima vsak posameznik, ki je utrpel škodo zaradi nezakonitega postopka obdelave ali dejanja, ki je nezdružljivo z določbami predpisov, sprejetih v skladu s to direktivo, pravico od upravljavca ali obdelovalca dobiti odškodnino za nastalo škodo.

2.           Če je v obdelavo vključenih več upravljavcev ali obdelovalcev, je vsak upravljavec ali obdelovalec solidarno odgovoren za celoten znesek škode.

3.           Upravljavec ali obdelovalec je lahko v celoti ali delno prost te odgovornosti, če dokaže, da ni odgovoren za dogodek, ki je povzročil škodo.

Člen 55 Kazenske sankcije

Države članice določijo pravila o kazenskih sankcijah, ki se uporabljajo za kršitve določb predpisov, sprejetih v skladu s to direktivo, in sprejmejo vse ukrepe, potrebne za zagotovitev njihovega izvajanja. Določene kazenske sankcije morajo biti učinkovite, sorazmerne in odvračilne.

POGLAVJE IX DELEGIRANI AKTI IN IZVEDBENI AKTI

Člen 56 Prenos pooblastila

1.           Pooblastilo za sprejemanje delegiranih aktov se na Komisijo prenese pod pogoji iz tega člena.

2.           Pooblastilo iz člena 28(5) se na Komisijo prenese za nedoločen čas od dne začetka veljavnosti te direktive.

3.           Evropski parlament ali Svet lahko kadar koli prekliče pooblastilo iz člena 28(5). S sklepom o preklicu preneha veljati pooblastilo iz navedenega sklepa. Preklic začne veljati dan po objavi sklepa v Uradnem listu Evropske unije ali na poznejši datum, ki je v njem naveden. Sklep ne vpliva na veljavnost že veljavnih delegiranih aktov.

4.           Komisija takoj po sprejetju delegiranega akta o tem hkrati obvesti Evropski parlament in Svet.

5.           Delegirani akt, sprejet v skladu s členom 28(5), začne veljati le, če mu Evropski parlament ali Svet v dveh mesecih od obvestila, ki sta ga prejela v zvezi z navedenim aktom, ne nasprotujeta ali če sta pred iztekom tega roka oba obvestila Komisijo, da mu ne bosta nasprotovala. Navedeni rok se na pobudo Evropskega parlamenta ali Sveta podaljša za dva meseca.

Člen 57 Postopek v odboru

1. Komisiji pomaga odbor. Ta odbor je odbor v smislu Uredbe (EU) št. 182/2011.

2. Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.

3. Pri sklicevanju na ta odstavek se uporablja člen 8 Uredbe (EU) št. 182/2011 v povezavi s členom 5 Uredbe.

POGLAVJE X KONČNE DOLOČBE

Člen 58 Razveljavitev

1.           Okvirni sklep Sveta 2008/977/PNZ se razveljavi.

2.           Sklicevanja na razveljavljeni okvirni sklep iz odstavka 1 se štejejo kot sklicevanja na to direktivo.

Člen 59 Povezava s predhodno sprejetimi akti Unije za pravosodno sodelovanje v kazenskih zadevah in policijsko sodelovanje

Posebne določbe o varstvu osebnih podatkov v zvezi z obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij v aktih Unije, ki so bili sprejeti pred dnem sprejetja te direktive, ki ureja obdelavo osebnih podatkov v državah članicah in dostop določenih organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi Pogodb, ostanejo nespremenjene.

Člen 60 Povezava s predhodno sklenjenimi mednarodnimi sporazumi na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja

Mednarodni sporazumi, ki jih države članice sklenejo pred začetkom veljavnosti te direktive, se po potrebi spremenijo v petih letih po začetku veljavnosti te direktive.

Člen 61 Ocena

1.           Komisija oceni uporabo te direktive.

2.           Komisija v treh letih po začetku veljavnosti te direktive pregleda druge akte, ki jih je sprejela Evropska unija in urejajo obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanje kazenskih sankcij, zlasti akte iz člena 59, ki jih je sprejela Unija, da se oceni potreba po njihovi uskladitvi s to direktivo in se po potrebi oblikujejo ustrezni predlogi za spremembo teh aktov, da se zagotovi dosleden pristop k varstvu osebnih podatkov v okviru področja uporabe te direktive.

3.           Komisija redno predloži poročila o oceni in pregledu te direktive v skladu z odstavkom 1 Evropskemu parlamentu in Svetu. Prva poročila predloži najpozneje štiri leta po začetku veljavnosti te direktive. Nadaljnja poročila nato predloži vsaka štiri leta. Komisija po potrebi predloži ustrezne predloge z namenom spremembe te direktive in uskladitve drugih pravnih aktov. Poročilo se javno objavi.

Člen 62 Izvajanje

1.           Države članice najpozneje do [datum / dve leti po začetku veljavnosti] sprejmejo in objavijo zakone in druge predpise, potrebne za uskladitev s to direktivo. Komisiji nemudoma sporočijo besedilo navedenih predpisov.

Navedene predpise uporabljajo od xx. xx. 201x [datum / dve leti po začetku veljavnosti].

Države članice se v sprejetih predpisih sklicujejo na to direktivo ali pa sklic nanjo navedejo ob njihovi uradni objavi. Način sklicevanja določijo države članice.

2.           Države članice Komisiji sporočijo besedilo glavnih predpisov nacionalne zakonodaje, ki jih sprejmejo na področju, ki ga obsega ta direktiva.

Člen 63 Začetek veljavnosti in uporaba

Ta direktiva začne veljati prvi dan po objavi v Uradnem listu Evropske unije.

Člen 64 Naslovniki

Ta direktiva je naslovljena na države članice.

V Bruslju, 25.1.2012

Za Evropski parlament                                  Za Svet

Predsednik                                                     Predsednik

[1]               Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (UL L 281/95, str. 31).

[2]               Glej celoten seznam v Prilogi 3 k oceni učinka (SEC(2012) 72).

[3]               Okvirni sklep Sveta 2008/977/PNZ z dne 27. novembra 2008 o varstvu osebnih podatkov, ki se obdelujejo v okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah (UL L 350, 30.12.2008, str. 60).

[4]               V stockholmskem programu (UL C 115, 4.5.2010, str. 1).

[5]               Glej resolucijo Evropskega parlamenta o stockholmskem programu, sprejeto dne 25. novembra 2009.

[6]               COM(2010) 171 final

[7]               Sporočilo Evropske komisije „Celovit pristop k varstvu osebnih podatkov v Evropski uniji“, COM(2010) 609 final z dne 4. novembra 2010.

[8]               Izjava št. 21 o varstvu osebnih podatkov na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja (priložena Sklepni listini medvladne konference, s katero je bila sprejeta Lizbonska pogodba, 13. 12. 2007).

[9]               http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[10]             http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[11]             Posebni Eurobarometer (EB) št. 359, Attitudes on Data Protection and Electronic Identity in the European Union (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[12]             Glej Študijo o gospodarskih koristih tehnologij za boljše varovanje zasebnosti (Study on the economic benefits of privacy enhancing technologies) ali Primerjalno študijo o različnih pristopih k novim izzivom na področju varovanja zasebnosti, zlasti na podlagi tehnološkega razvoja (Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments), januar 2010.       (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[13]             Delovna skupina je bila ustanovljena leta 1996 (s členom 29 Direktive), pri čemer ji je bil dodeljen svetovalni status; sestavljajo jo predstavniki nacionalnih nadzornih organov za varstvo podatkov, evropski nadzornik za varstvo podatkov in Komisija. Za več informacij o njenih dejavnostih glej http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[14]             Glej zlasti naslednja mnenja: o „prihodnosti zasebnosti“ (2009, WP 168), o pojmih „upravljavec“ in „obdelovalec“ (1/2010, WP 169), o spletnem vedenjskem oglaševanju (2/2010, WP 171); o načelu zanesljivega izvajanja (3/2010, WP 173); o pravu, ki se uporablja (8/2010, WP 179); in o soglasju (15/2011, WP 187). Na zahtevo Komisije je sprejela tudi naslednje tri svetovalne dokumente: o obvestilih, o občutljivih podatkih in o praktičnem izvajanju člena 28(6) Direktive 95/46/EC. Vsi so dostopni na: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[15]             Dostopno na spletni strani evropskega nadzornika za varstvo podatkov: http://www.edps.europa.eu/EDPSWEB/edps/EDPS?lang=sl.

[16]             Resolucija EP z dne 6. julija 2011 o celovitem pristopu k varstvu osebnih podatkov v Evropski uniji (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2011-0323+0+DOC+XML+V0//SL (poročevalec: poslanec Evropskega parlamenta Axel Voss (EPP/DE)).

[17]             CESE 999/2011.

[18]             SEC(2012) 72.

[19]             COM(2012) 12.

[20]             Sodba Sodišča EU z dne 9. novembra 2010 v združenih zadevah C-92/09 in C-93/09, Volker und Markus Schecke in Eifert, ZOdl. 2010, str. I-0000..

[21]             V skladu s členom 52(1) Listine se lahko omejitve uresničevanja pravice do varstva podatkov uvedejo samo, če so predpisane z zakonom, če spoštujejo bistveno vsebino pravice in svoboščin ter so ob upoštevanju načela sorazmernosti potrebne in dejansko ustrezajo ciljem splošnega interesa, ki jih priznava Evropska unija, ali če so potrebne zaradi zaščite pravic in svoboščin drugih.

[22]             Na pojem „otrok“ se sklicuje tudi člen 2(a) Direktive 2011/92/EU Evropskega parlamenta in Sveta z dne 13. decembra 2011 o boju proti spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji in nadomestitvi Okvirnega sklepa Sveta 2004/68/PNZ (UL L 335, 17.12.2011, str. 1).

[23]             COM(2005) 475 final

[24]             Člen 14 Sklepa o ustanovitvi Europola 2009/371/PNZ.

[25]             Člen 15 Sklepa o okrepitvi Eurojusta 2009/426/PNZ.

[26]             Člen 14 Sklepa o ustanovitvi Europola 2009/371/PNZ.

[27]             Sodba Evropskega sodišča za človekove pravice z dne 4. decembra 2008, S. in Marper proti Združenemu kraljestvu (vlogi št. 30562/04 in 30566/04).

[28]             Sprejeta na mednarodni konferenci pooblaščencev za varstvo podatkov in zasebnosti dne 5. novembra 2009.

[29]             Sodba Sodišča EU z dne 9. marca 2010, Komisija proti Nemčiji (C-518/07, ZOdl. 2010, str. I-1885).

[30]             Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta z dne 18. decembra 2000 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov (UL L 8, 12.1.2001, str. 1).

[31]             Glej opombo 27.

[32]             Direktiva 2000/31/ES Evropskega parlamenta in Sveta z dne 8. junija 2000 o nekaterih pravnih vidikih storitev informacijske družbe, zlasti elektronskega poslovanja na notranjem trgu (Direktiva o elektronskem poslovanju, UL L 178, 17.7.2000, str. 1).

[33]             UL C , , str. .

[34]             UL L 281, 23.11.1995, str. 31.

[35]             UL L 350, 30.12.2008, str. 60.

[36]             UL L 55, 28.2.2011, str. 13.

[37]             UL L 335, 17.12.2011, str. 1.

[38]             UL L 176, 10.7.1999, str. 36.

[39]             UL L 53, 27.2.2008, str. 52.

[40]             UL L 160, 18.6.2011, str. 19.