EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52012PC0010
Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data
Predlog DIREKTIVA EVROPSKEGA PARLAMENTA IN SVETA o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov
Predlog DIREKTIVA EVROPSKEGA PARLAMENTA IN SVETA o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov
/* COM/2012/010 final - 2012/0010 (COD) */
Predlog DIREKTIVA EVROPSKEGA PARLAMENTA IN SVETA o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov /* COM/2012/010 final - 2012/0010 (COD) */
OBRAZLOŽITVENI MEMORANDUM
1.
OZADJE PREDLOGA
Ta obrazložitveni memorandum podrobneje določa
pristop za nov pravni okvir varstva osebnih podatkov v EU, kot je predstavljen
v Sporočilu COM(2012) 9 final Pravni okvir sestavljata dva
zakonodajna predloga: –
predlog uredbe Evropskega parlamenta in Sveta o
varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih
podatkov (Splošna uredba o varstvu podatkov); in –
predlog direktive Evropskega parlamenta in Sveta o
varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi
obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona
kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih
podatkov. Ta obrazložitveni memorandum se nanaša na
drugi zakonodajni predlog. Osrednji del veljavne zakonodaje EU o varstvu
osebnih podatkov, tj. Direktiva 95/46/ES[1], je bil
sprejet leta 1995 z dvema ciljema: varstvo temeljne pravice do varstva
podatkov in zagotovitev prostega pretoka osebnih podatkov med državami
članicami. Dopolnjen je bil z več pravnimi akti, ki so zagotovili posebna
pravila o varstvu podatkov na področju policijskega sodelovanja in pravosodnega
sodelovanja v kazenskih zadevah[2] (prejšnji tretji steber), vključno z Okvirnim sklepom Sveta 2008/977/PNZ [3]. Evropski svet je Komisijo pozval, naj oceni delovanje pravnih aktov EU
o varstvu podatkov ter po potrebi predstavi nadaljnje zakonodajne in
nezakonodajne pobude[4]. Evropski parlament je v resoluciji o stockholmskem programu[5] pozdravil celovit sistem varstva podatkov v EU in med drugim pozval k ponovnemu
pregledu Okvirnega sklepa. Komisija je v Akcijskem načrtu izvajanja
stockholmskega programa[6] poudarila potrebo po zagotavljanju, da se temeljna pravica do varstva
osebnih podatkov dosledno uporablja v okviru politik EU. V Akcijskem
načrtu je poudarjeno, da „[je treba] [v] globalni družbi, za katero so
značilne hitre tehnološke spremembe in v kateri izmenjava informacij ne pozna
meja, […] varovati zlasti zasebnost. Unija mora zagotoviti dosledno uporabo
pravice do varstva podatkov. Okrepiti moramo položaj EU na področju varstva
osebnih podatkov posameznikov v okviru politik EU, vključno s pregonom in
preprečevanjem kaznivih dejanj, ter na področju mednarodnih odnosov.“. Komisija je v sporočilu „Celovit pristop k
varstvu osebnih podatkov v Evropski uniji“[7] sklenila, da EU potrebuje celovitejšo in skladnejšo politiko o temeljni
pravici do varstva osebnih podatkov. Področje uporabe Okvirnega sklepa 2008/977/PNZ
je omejeno, ker se nanaša samo na čezmejno obdelavo podatkov, ne pa na postopke
obdelave, ki jih izvajajo policijski in pravosodni organi zgolj na nacionalni
ravni. To lahko ustvarja težave za policijo in druge pristojne organe na
področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega
sodelovanja. Vedno ne zmorejo zlahka ločiti med obdelavo izključno na
nacionalni in čezmejni ravni ali predvideti, ali bi lahko določeni osebni podatki
pozneje postali predmet čezmejne obdelave (glej oddelek 2). Poleg tega Okvirni
sklep zaradi svoje narave in vsebine nacionalnim predpisom držav članic pri
izvajanju njegovih določb pušča veliko manevrskega prostora. Ob tem ne določa
nobenega mehanizma ali svetovalne skupine, podobne delovni skupini iz
člena 29, ki bi podpirala skupno razlago njegovih določb, niti ne
predvideva nobenih izvedbenih pooblastil, na podlagi katerih bi Komisija lahko
zagotovila skupni pristop pri njegovem izvajanju. Člen 16(1) Pogodbe o delovanju Evropske
unije (PDEU) vzpostavlja načelo, da ima vsakdo pravico do varstva osebnih
podatkov. Poleg tega s členom 16(2) PDEU Lizbonska pogodba določa pravico
do varstva podatkov kot načelo EU in uvaja posebno pravno podlago za sprejetje
pravil o varstvu osebnih podatkov, ki velja tudi za pravosodno sodelovanje v
kazenskih zadevah in policijsko sodelovanje. Člen 8 Listine EU o temeljnih
pravicah vsebuje varstvo osebnih podatkov kot temeljno pravico. Člen 16
PDEU od zakonodajalca zahteva, da določi pravila v zvezi z varstvom
posameznikov pri obdelavi osebnih podatkov tudi na področjih pravosodnega
sodelovanja v kazenskih zadevah in policijskega sodelovanja, pri čemer obsegajo
tako obdelavo podatkov na čezmejni kot nacionalni ravni. To bo omogočilo zaščito
temeljnih pravic in svoboščin fizičnih oseb ter zlasti njihovo pravico do
varstva osebnih podatkov, kar bo hkrati zagotovilo izmenjavo osebnih podatkov
za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj
ali izvrševanja kazenskih sankcij. To bo prispevalo k izboljšanju sodelovanja v
boju proti kriminaliteti v Evropi. Zaradi posebne narave področja policijskega sodelovanja
in pravosodnega sodelovanja v kazenskih zadevah je bilo v izjavi št. 21[8] potrjeno, da bi lahko bili potrebni posebni predpisi o varstvu osebnih
podatkov in o prostem pretoku takih podatkov na področjih pravosodnega
sodelovanja v kazenskih zadevah in policijskega sodelovanja na podlagi
člena 16 PDEU.
2.
REZULTAT POSVETOVANJ Z ZAINTERESIRANIMI STRANMI IN OCENA UČINKA
Ta pobuda je rezultat obširnih posvetovanj z
vsemi pomembnejšimi zainteresiranimi stranmi o pregledu obstoječega pravnega
okvira varstva osebnih podatkov, ki so vključevala dve fazi javnega
posvetovanja: –
od 9. julija do 31. decembra 2009 je
potekalo posvetovanje o pravnem okviru za temeljno pravico do varstva
osebnih podatkov. Komisija je prejela 168 odgovorov, od tega jih je bilo
127 od posameznikov, poslovnih organizacij in združenj, 12 pa od javnih organov.
Nezaupni prispevki so na voljo na spletni strani Komisije[9]; –
od 4. novembra 2010 do 15. januarja 2011
pa je potekalo posvetovanje o celovitem pristopu Komisije k varstvu osebnih
podatkov v Evropski uniji. Komisija je prejela 305 odgovorov, od tega 54 od
državljanov, 31 od javnih organov in 220 od zasebnih organizacij, zlasti
poslovnih združenj in nevladnih organizacij. Nezaupni prispevki so na voljo na
spletni strani Komisije[10]. Ker so bila ta posvetovanja osredotočena
predvsem na pregled Direktive 95/46/ES, so se s ključnimi zainteresiranimi
stranmi s področja kazenskega pregona izvajala usmerjena posvetovanja; predvsem
je bila 29. junija 2010 organizirana delavnica z organi držav članic
o uporabi predpisov o varstvu podatkov za javne organe, vključno s področjem
policijskega sodelovanja in pravosodnega sodelovanja v kazenskih zadevah. Poleg
tega je Komisija 2. februarja 2011 z organi držav članic izvedla
delavnico za razpravo o izvajanju Okvirnega sklepa 2008/977/PNZ in, splošneje,
vprašanjih v zvezi z varstvom podatkov na področju policijskega sodelovanja in
pravosodnega sodelovanja v kazenskih zadevah. Posvetovanje z državljani EU je potekalo prek
raziskave Eurobarometra novembra in decembra 2010[11]. Izvedenih
je bilo tudi več študij[12]. „Delovna skupina iz člena 29“[13] je
Komisiji predložila več mnenj in koristne vire[14]. Tudi evropski
nadzornik za varstvo podatkov je izdal celovito mnenje o vprašanjih, ki jih je
Komisija izpostavila v sporočilu iz novembra 2010[15]. Evropski parlament je z resolucijo z dne
6. julija 2011 odobril poročilo, ki je podprlo pristop Komisije k reformi
okvira varstva podatkov[16]. Svet Evropske unije je 24. februarja 2011 sprejel sklepe, v
katerih je na splošno podprl namen Komisije za reformo okvira varstva osebnih podatkov,
in se strinjal z več elementi pristopa Komisije. Tudi Evropski
ekonomsko-socialni odbor je podprl splošno namero Komisije, da se zagotovita
doslednejša uporaba predpisov EU o varstvu podatkov v vseh državah
članicah in ustrezen pregled Direktive 95/46/EC.[17] Komisija je v skladu s svojo politiko „boljše
pravne ureditve“ opravila oceno učinka možnosti politike[18]. Ocena
učinka je temeljila na treh ciljih politike, in sicer izboljšanju razsežnosti
notranjega trga pri varstvu podatkov, povečanju učinkovitosti uveljavljanja
pravic do varstva podatkov za posameznike ter oblikovanju celovitega in
skladnega okvira, ki zajema vsa področja pristojnosti Unije, vključno s
policijskim sodelovanjem in pravosodnim sodelovanjem v kazenskih zadevah.
Zlasti v zvezi z zadnjim ciljem sta bili ocenjeni dve možnosti politike: prva,
ki na tem področju v bistvu razširja področje uporabe predpisov o varstvu
podatkov ter obravnava vrzeli in druga vprašanja iz Okvirnega sklepa, ter
druga, ki je daljnosežnejša z zelo ustaljenimi in strogimi pravili, ki bi
vključevala tudi takojšnjo spremembo vseh drugih pravnih aktov „prejšnjega
tretjega stebra“. Tretja „minimalistična“ možnost, ki v glavnem temelji na
sporočilih o razlagi in ukrepih za podporo politiki, kot so programi
financiranja in tehnična orodja, z najmanjšo stopnjo zakonodajnega posredovanja,
se ni štela za ustrezno za obravnavanje vprašanj, ki so bila na tem področju
opredeljena v zvezi z varstvom podatkov. V skladu z uveljavljeno metodologijo Komisije
je bila s pomočjo medslužbene usmerjevalne skupine vsaka možnost politike
ocenjena glede na učinkovitost pri doseganju ciljev politike, gospodarski učinek
na zainteresirane strani (vključno z učinkom na proračun institucij EU),
družbeni vpliv in učinek na temeljne pravice. Okoljski vplivi niso bili
obravnavani. Analiza celotnega učinka je privedla do
razvoja najprimernejše možnosti politike, ki je vključena v ta predlog. Glede
na oceno bo njeno izvajanje privedlo do nadaljnje krepitve varstva podatkov na
tem področju politike, zlasti z vključevanjem obdelave podatkov na nacionalni
ravni, s čimer se bo okrepila tudi pravna varnost za pristojne organe na
področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega
sodelovanja. Odbor za oceno učinka je
9. septembra 2011 podal mnenje o osnutku ocene učinka. V skladu z njegovim
mnenjem so bile v oceno učinka vnesene zlasti naslednje spremembe: –
pojasnjeni so bili cilji veljavnega pravnega okvira
(v kolikšni meri so bili oziroma niso bili doseženi) in cilji predvidene reforme; –
oddelku o opredelitvi težave so bili dodani več
dokazov in dodatne razlage / dodatna pojasnila. Komisija je pripravila tudi poročilo o
izvajanju v zvezi z Okvirnim sklepom 2008/977/PNZ, in sicer na podlagi
člena 29(2) Okvirnega sklepa, ki bo sprejeto kot del tega svežnja za
varstvo podatkov[19]. Ugotovitve poročila, ki so temeljile na vložku držav članic, so
prispevale tudi k pripravi ocene učinka.
3.
PRAVNI ELEMENTI PREDLOGA
3.1.
Pravna podlaga
Predlog temelji na členu 16(2) PDEU,
ki je nova, posebna pravna podlaga, uvedena z Lizbonsko pogodbo, za sprejetje
pravil o varstvu fizičnih oseb pri obdelavi osebnih podatkov s strani
institucij, organov, uradov in agencij Unije ter držav članic v okviru
dejavnosti s področja uporabe prava Unije, in o prostem pretoku takih podatkov. Cilj predloga je zagotoviti dosledno in visoko
raven varstva podatkov na tem področju ter tako okrepiti medsebojno zaupanje
med policijo in pravosodnimi organi različnih držav članic ter spodbuditi prost
pretok podatkov in sodelovanje med policijo in pravosodnimi organi.
3.2.
Subsidiarnost in sorazmernost
V skladu z načelom subsidiarnosti
(člen 5(3) PEU) se ukrepi na ravni Unije sprejmejo le, če in kolikor
ciljev predlaganih ukrepov ni mogoče zadovoljivo doseči na ravni držav članic,
temveč se zaradi njihovega obsega ali učinkov laže dosežejo na ravni Unije. Ob
upoštevanju opisanih težav analiza subsidiarnosti kaže na nujnost ukrepanja na
ravni EU na področjih policije in kazenskega pravosodja na podlagi naslednjega:
–
pravica do varstva osebnih podatkov iz člena 8
Listine o temeljnih pravicah in člena 16(1) PDEU zahteva enako raven varstva
podatkov v celotni Uniji. Zahteva enako raven varstva za podatke, ki se
izmenjajo in so obdelani na nacionalni ravni; –
obstaja vedno večja potreba po tem, da organi
kazenskega pregona v državah članicah vedno hitreje obdelujejo in izmenjujejo
podatke za namene preprečevanja in boja proti mednarodni kriminaliteti in
terorizmu. V tem smislu bodo jasna in dosledna pravila o varstvu podatkov na
ravni EU pomagala pospeševati sodelovanje med takimi organi; –
poleg tega obstajajo praktični izzivi glede
izvajanja zakonodaje o varstvu podatkov ter potreba po sodelovanju med državami
članicami in njihovimi organi, ki ga je treba organizirati na ravni EU, da se
zagotovi enotna uporaba prava Unije. V nekaterih primerih je EU v najboljšem
položaju, da učinkovito in dosledno zagotovi enako raven varstva posameznikov
pri prenosu njihovih osebnih podatkov v tretje države; –
države članice ne morejo same zmanjšati težav v
trenutnih razmerah, zlasti tistih, ki so posledica razdrobljenosti v
nacionalnih zakonodajah. Zato obstaja posebna potreba po vzpostavitvi
usklajenega in skladnega okvira, ki omogoča nemoten čezmejni prenos osebnih
podatkov znotraj EU, obenem pa zagotavlja učinkovito varstvo za vse posameznike
v EU; –
predlagani zakonodajni ukrep na ravni EU bo
verjetno učinkovitejši od podobnih ukrepov na ravni držav članic zaradi
značilnosti in obsega težav, ki niso omejene na raven ene države članic ali več
držav članic. V skladu z načelom sorazmernosti mora biti
vsako posredovanje ciljno usmerjeno in ne sme presegati okvirov, ki so potrebni
za dosego ciljev. Na tem načelu je temeljila priprava tega predloga od
opredelitve in vrednotenja drugih možnosti politike do osnutka zakonodajnega
predloga. Zato je direktiva najboljši pravni akt za
zagotavljanje usklajevanja na tem področju na ravni EU, hkrati pa državam
članicam dopušča potrebno prožnost pri izvajanju načel, pravil in njihovih
izjem na nacionalni ravni. Komisija bo morala zaradi zapletenosti veljavnih
nacionalnih pravil varstva osebnih podatkov, ki se obdelujejo na področjih
policijskega sodelovanja in pravosodnega sodelovanja v kazenskih zadevah, ter
cilja celovite uskladitve teh pravil s pomočjo te direktive od držav članic
zahtevati, da zagotovijo obrazložitvene dokumente, ki pojasnjujejo odnos med sestavnimi
deli direktive in ustreznimi deli nacionalnih pravnih aktov prenosa, da bo
lahko opravila svojo nalogo nadziranja prenosa te direktive.
3.3.
Povzetek vprašanj temeljnih pravic
Pravica do varstva osebnih podatkov je določena
s členom 8 Listine EU o temeljnih pravicah in členom 16 PDEU ter s
členom 8 Evropske konvencije o varstvu človekovih pravic in temeljnih
svoboščin. Kot je poudarilo Sodišče EU[20], pravica
do varstva osebnih podatkov ni absolutna, temveč jo je treba obravnavati glede
na vlogo, ki jo ima v družbi[21]. Varstvo podatkov je tesno povezano s spoštovanjem zasebnega in
družinskega življenja, ki ga varuje člen 7 Listine. To odraža
člen 1(1) Direktive 95/46/ES, ki določa, da države članice varujejo
temeljne pravice in svoboščine fizičnih oseb in predvsem njihovo pravico do
zasebnosti pri obdelavi osebnih podatkov. Druge temeljne pravice iz Listine, na katere
bo Direktiva morda vplivala, so prepoved vsakršne diskriminacije, med drugim na
podlagi rase, etničnega porekla, genetskih značilnosti, vere ali prepričanja,
političnega ali drugega mnenja, invalidnosti ali spolne usmerjenosti
(člen 21); pravice otroka (člen 24) ter pravica do učinkovitega
pravnega sredstva pred sodiščem in nepristranskega sodišča (člen 47).
3.4.
Podrobna razlaga predloga
3.4.1.
POGLAVJE I – SPLOŠNE DOLOČBE
Člen 1 določa vsebino Direktive, tj. pravila
v zvezi z obdelavo osebnih podatkov za namene preprečevanja, preiskovanja,
odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, ter
dva cilja Direktive, tj. zaščito temeljnih pravic in svoboščin fizičnih oseb in
zlasti njihove pravice do varstva osebnih podatkov, pri čemer se zagotavlja
visoka raven javne varnosti, ter zagotovitev izmenjave osebnih podatkov med
pristojnimi organi v Uniji. Člen 2 določa področje uporabe Direktive.
Področje uporabe Direktive ni omejeno na čezmejno obdelavo podatkov, ampak se
uporablja za vse postopke obdelave, ki jih za namene Direktive izvajajo
„pristojni organi“ (kot so opredeljeni v členu 3(14)). Direktiva se ne
uporablja niti za obdelavo v sklopu dejavnosti zunaj področja uporabe zakonodaje
Unije niti za obdelavo s strani institucij, organov, uradov in agencij Unije, ki
je predmet Uredbe (ES) št. 45/2001 in druge posebne zakonodaje. Člen 3 vsebuje opredelitve pojmov, ki se
uporabljajo v Direktivi. Medtem ko so nekateri pojmi prevzeti iz
Direktive 95/46/ES in Okvirnega sklepa 2008/977/PNZ, so drugi
spremenjeni, dopolnjeni z dodatnimi ali na novo uvedenimi elementi. Nove
opredelitve pojmov določajo „kršitev varnosti osebnih podatkov“, „genetske
podatke“ in „biometrične podatke“, „pristojne organe“ (na podlagi
člena 87 PDEU in člena 2(h) Okvirnega sklepa 2008/977/PNZ)
in „otroka“ na podlagi Konvencije ZN o otrokovih pravicah[22].
3.4.2.
POGLAVJE II – NAČELA
Člen 4 določa načela v zvezi z obdelavo
osebnih podatkov, ki odražajo člen 6 Direktive 95/46/ES in
člen 3 Okvirnega sklepa 2008/977/PNZ, pri čemer jih prilagaja
posebnemu kontekstu te direktive. Člen 5 vsebuje zahtevo po največjem
možnem razlikovanju med različnimi vrstami osebnih podatkov posameznikov, na
katere se nanašajo osebni podatki. To je nova določba, ki je ni niti v
Direktivi 95/46/ES niti v Okvirnem sklepu 2008/977/PNZ, ampak jo je
Komisija predlagala v svojem prvotnem predlogu okvirnega sklepa[23]. Temelji na Priporočilu Sveta Evrope št. R (87)15. Podobna
pravila že obstajajo za Europol[24] in
Eurojust[25]. Člen 6 o različnih stopnjah točnosti in
zanesljivosti odraža načelo 3.2 Priporočila Sveta Evrope št. R (87)15.
V Evropi podobna pravila, kakor so vključena tudi v predlog Komisije za okvirni
sklep, že veljajo za Europol[26]. Člen 7 določa podlago za zakonito
obdelavo, kadar je potrebna za skladnost izvajanja nalog, ki jih opravlja
pristojni organ na podlagi nacionalne zakonodaje, z zakonsko obveznostjo, ki
velja za upravljavca podatkov, da se zavarujejo življenjski interesi
posameznika, na katerega se nanašajo osebni podatki, ali druge osebe ali da se
prepreči neposredna in resna ogroženost javne varnosti. Drugi razlogi za
zakonito obdelavo iz člena 7 Direktive 95/46/ES niso ustrezni za
obdelavo na področju policije in kazenskega pravosodja. Člen 8 določa splošno prepoved obdelave
posebnih vrst osebnih podatkov in izjeme od tega splošnega pravila, pri čemer
temelji na členu 8 Direktive 95/46/ES in dodaja genetske podatke, pri
tem pa sledi sodni praksi Evropskega sodišča za človekove pravice[27]. Člen 9 v skladu s členom 7 Okvirnega
sklepa 2008/977/PNZ določa prepoved ukrepov, ki temeljijo izključno na samodejni
obdelavi osebnih podatkov, če niso predpisani in ne zagotavljajo ustreznih
zaščitnih ukrepov.
3.4.3.
POGLAVJE III – PRAVICE POSAMEZNIKA, NA
KATEREGA SE NANAŠAJO OSEBNI PODATKI
Člen 10 uvaja obveznost držav članic, da
zagotovijo lahko dostopne in razumljive informacije, kar v glavnem temelji na
načelu 10 madridske resolucije o mednarodnih standardih o varstvu osebnih
podatkov in zasebnosti[28], ter da upravljavcem naložijo dolžnost zagotavljanja postopkov in
mehanizmov za spodbujanje uveljavljanja pravic posameznikov, na katere se
nanašajo osebni podatki. To vključuje zahtevo, da je uveljavljanje pravic
načeloma brezplačno. Člen 11 podrobno opredeljuje dolžnost držav
članic, da posamezniku, na katerega se nanašajo osebni podatki, zagotovijo
informacije. Te dolžnosti temeljijo na členih 10 in 11
Direktive 95/46/ES, pri čemer ni več ločenih členov, ki bi razlikovala,
ali se informacije zbirajo od posameznika, na katerega se nanašajo osebni
podatki, ali ne, ter razširjajo obseg informacij, ki jih je treba zagotoviti.
Določa izjeme od dolžnosti obveščanja, kadar so v demokratični družbi take
izjeme sorazmerne in potrebne za opravljanje nalog pristojnih organov (kar
temelji na členu 13 Direktive 95/46/ES in členu 17 Okvirnega
sklepa 2008/977/PNZ). Člen 12 določa dolžnost držav članic, da
zagotovijo pravico posameznika, na katerega se nanašajo osebni podatki, do
dostopa do njegovih osebnih podatkov. Sledi členu 12(a)
Direktive 95/46/ES, pri čemer so dodani novi elementi za informacije
posameznikov, na katere se nanašajo osebni podatki (o roku shranjevanja,
njihovih pravicah do popravka, izbrisa ali omejitve in vložitve pritožbe). Člen 13 določa, da lahko države članice
sprejmejo zakonodajne ukrepe za omejitev pravice do dostopa, če to zahteva
posebna narava obdelave podatkov na področjih policije in kazenskega
pravosodja, in zagotavlja, da se posameznik, na katerega se nanašajo osebni
podatki, obvesti o omejitvi dostopa v skladu s členom 17(2) in (3)
Okvirnega sklepa 2008/977/PNZ. Člen 14 uvaja pravilo, da je treba v
primerih, kadar je neposreden dostop omejen, posameznika, na katerega se
nanašajo osebni podatki, obvestiti o možnosti posrednega dostopa prek
nadzornega organa, ki uveljavi pravico v njegovem imenu in mora posameznika, na
katerega se nanašajo osebni podatki, obvestiti o izidu preverjanj. Člen 15 o pravici do popravkov sledi
členu 12(b) Direktive 95/46/ES, v zvezi z dolžnostmi v primeru
zavrnitve pa členu 18(1) Okvirnega sklepa 2008/977/PNZ. Člen 16 o pravici do izbrisa sledi
členu 12(b) Direktive 95/46/ES, v zvezi z dolžnostmi v primeru
zavrnitve pa členu 18(1) Okvirnega sklepa 2008/977/PNZ. Vključuje
tudi pravico do označitve obdelave v nekaterih primerih, pri čemer se nadomesti
nejasen pojem „blokiranje“, ki se uporablja v členu 12(b)
Direktive 95/46/ES in členu 18(1) Okvirnega sklepa 2008/977/PNZ. Člen 17 o popravkih, izbrisu in omejitvi
obdelave v pravosodnih postopkih zagotavlja razjasnitev na podlagi
člena 4(4) Okvirnega sklepa 2008/977/PNZ.
3.4.4.
POGLAVJE IV – UPRAVLJAVEC IN OBDELOVALEC
3.4.4.1.
ODDELEK 1 SPLOŠNE OBVEZNOSTI
Člen 18 opisuje pristojnost upravljavca,
da ravna v skladu s to direktivo in zagotovi skladnost, vključno s sprejetjem
politik in mehanizmov za zagotavljanje skladnosti. Člen 19 določa, da morajo države članice
zagotoviti skladnost dela upravljavca z obveznostmi, ki izhajajo iz načel
vgrajenega varstva podatkov. Člen 20 o skupnih upravljavcih
razjasnjuje status skupnih upravljavcev glede odnosa med njimi. Člen 21 razjasnjuje položaj in obveznost
obdelovalcev, delno na podlagi člena 17(2) Direktive 95/46/ES, ter dodaja
nove elemente, pri čemer določa, da se obdelovalec, ki podatkov ne obdeluje po
navodilih upravljavca, šteje za soupravljavca. Člen 22 o obdelavi pod vodstvom
upravljavca in obdelovalca temelji na členu 16 Direktive 95/46/ES. Člen 23 uvaja obveznost upravljavcev in
obdelovalcev, da ohranijo dokumentacijo vseh postopkov in sistemov obdelave, za
katere so pristojni. Člen 24 se v skladu s členom 10(1)
Okvirnega sklepa 2008/977/PNZ nanaša na dokumentiranje, pri čemer
zagotavlja dodatna pojasnila. Člen 25 razjasnjuje obveznosti
upravljavca in obdelovalca v zvezi s sodelovanjem z nadzornim organom. Člen 26 se na podlagi člena 23
Okvirnega sklepa 2008/977/PNZ nanaša na primere, v katerih je pred
obdelavo obvezno posvetovanje z nadzornim organom.
3.4.4.2.
ODDELEK 2 VARNOST PODATKOV
Člen 27 o varnosti obdelave podatkov
temelji na veljavnem členu 17(1) Direktive 95/46/ES o varnosti
obdelave in členu 22 Okvirnega sklepa 2008/977/PNZ, pri čemer
razširja ustrezne obveznosti na obdelovalce, ne glede na njihovo pogodbo z upravljavcem. Člena 28 in 29 uvajata dolžnost obveščanja
o kršitvi varnosti osebnih podatkov, ki temelji na obvestilu o kršitvi varnosti
osebnih podatkov iz člena 4(3) Direktive o e-zasebnosti 2002/58/ES,
pri čemer razjasnjujeta in ločujeta dolžnost obveščanja nadzornega organa
(člen 28) ter, v ustreznih okoliščinah, dolžnost obveščanja posameznika,
na katerega se nanašajo osebni podatki (člen 29). Člen 29 s
sklicevanjem na člen 11(4) določa tudi izjeme.
3.4.4.3.
ODDELEK 3 URADNA OSEBA ZA VARSTVO PODATKOV
Člen 30 uvaja obveznost, da upravljavec
imenuje pooblaščeno uradno osebo za varstvo podatkov, ki mora opravljati
naloge, navedene v členu 32. Kjer več pristojnih organov deluje pod
nadzorom osrednjega organa, ki ima vlogo upravljavca, mora vsaj ta osrednji
organ imenovati tako uradno osebo za varstvo podatkov. Člen 18(2)
Direktive 95/46/ES je državam članicam zagotovil možnost, da tako zahtevo
uvedejo namesto splošne zahteve po uradnem obveščanju iz navedene direktive. Člen 31 določa položaj uradne osebe za
varstvo podatkov. Člen 32 določa naloge uradne osebe za
varstvo podatkov.
3.4.5.
POGLAVJE V – PRENOS OSEBNIH PODATKOV V TRETJE
DRŽAVE ALI MEDNARODNE ORGANIZACIJE
Člen 33 določa splošna načela za prenose
podatkov v tretje države ali mednarodne organizacije na področjih policijskega sodelovanja
in pravosodnega sodelovanja v kazenskih zadevah, vključno z nadaljnjimi
prenosi. Razjasnjuje, da lahko prenosi v tretje države potekajo samo, če je
prenos potreben za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih
dejanj ali izvrševanje kazenskih sankcij. Člen 34 določa, da se lahko prenosi
izvedejo v tisto tretjo državo, v zvezi s katero je Komisija sprejela sklep o
ustreznosti na podlagi Uredbe št. …/201X ali posebej na področju
policijskega sodelovanja in pravosodnega sodelovanja v kazenskih zadevah ali,
če taki sklepi ne obstajajo, kjer so vzpostavljeni ustrezni zaščitni ukrepi.
Direktiva zagotavlja, da se lahko prenosi še naprej izvajajo na podlagi
ustreznih zaščitnih ukrepov in odstopanj, dokler ni izdanih sklepov o ustreznosti.
Nadalje določa merila za oceno zadostne ali nezadostne ravni varstva, ki jo
izvede Komisija, in izrecno vključuje vladavino prava, sodno varstvo in
neodvisen nadzor. Člen zagotavlja tudi možnost Komisije, da oceni raven
varstva, ki jo v tretji državi zagotavlja ozemeljska enota ali sektor za
obdelavo. Določa, da se bo na področju uporabe te direktive uporabljal splošni
sklep o ustreznosti, sprejet s postopki iz člena 38 Splošne uredbe o varstvu
podatkov. Druga možnost je, da Komisija sprejme sklep o ustreznosti izključno
za namene te direktive. Člen 35 določa ustrezne zaščitne ukrepe,
ki so potrebni pred mednarodnimi prenosi, če ni sklepa Komisije o ustreznosti.
Te zaščitne ukrepe lahko navede pravno zavezujoč pravni akt, kot je mednarodni
sporazum. Druga možnost je, da lahko upravljavec podatkov na podlagi ocene
okoliščin prenosa sklene, da zaščitni ukrepi obstajajo. Člen 36 na podlagi člena 26
Direktive 95/46/ES in člena 13 Okvirnega sklepa 2008/977/PNZ
podrobneje razlaga odstopanja od zahtev pri prenosu podatkov. Člen 37 države članice zavezuje k določitvi,
da upravljavec prejemnika obvesti o vseh omejitvah obdelave in sprejme vse primerne
ukrepe za zagotovitev, da prejemnik osebnih podatkov v tretji državi ali
mednarodni organizaciji upošteva te omejitve. Člen 38 izrecno določa uvedbo mehanizmov mednarodnega
sodelovanja za varstvo osebnih podatkov med Komisijo in nadzornimi organi
tretjih držav, zlasti tistih mehanizmov, za katere se šteje, da nudijo ustrezno
raven varstva, pri čemer se upošteva Priporočilo Organizacije za gospodarsko
sodelovanje in razvoj (OECD) o čezmejnem sodelovanju pri izvajanju predpisov za
varstvo zasebnosti z dne 12. junija 2007. POGLAVJE VI – NACIONALNI NADZORNI ORGANI
3.4.5.1.
ODDELEK 1 STATUS NEODVISNOSTI
Člen 39 na podlagi člena 28(1)
Direktive 95/46/ES in člena 25 Okvirnega sklepa 2008/977/PNZ
države članice zavezuje, da ustanovijo nadzorne organe, pri čemer razširja
poslanstvo teh organov, ki so lahko nadzorni organi, ustanovljeni na podlagi Splošne
uredbe o varstvu podatkov, da prispevajo k dosledni uporabi Direktive v Uniji. Člen 40 razjasnjuje pogoje za neodvisnost
nadzornih organov, ki izvajajo sodne odločbe Sodišča Evropskih skupnosti[29], kar temelji tudi na členu 44 Uredbe (ES) št. 45/2001[30]. Člen 41 določa splošne pogoje za člane
nadzornega organa, ki izvajajo zadevne sodne odločbe[31], kar
temelji tudi na členu 42(2) do (6) Uredbe (ES) št. 45/2001. Člen 42 določa, da morajo države članice s
predpisom določiti pravila o ustanovitvi nadzornega organa, tudi o pogojih za
njegove člane. Člen 43 o poklicni molčečnosti članov in
uslužbencev nadzornega organa temelji na členu 28(7)
Direktive 95/46/ES in členu 25(4) Okvirnega sklepa 2008/977/PNZ.
3.4.5.2.
ODDELEK 2 DOLŽNOSTI IN POOBLASTILA
Člen 44 na podlagi člena 28(6)
Direktive 95/46/ES in člena 25(1) Okvirnega sklepa 2008/977/PNZ
določa pristojnost nadzornih organov. Sodišča so, kadar delujejo kot sodni
organ, izvzeta iz spremljanja s strani nadzornega organa, vendar morajo uporabljati
materialne določbe varstva podatkov. Člen 45 določa obveznost držav članic, da
določijo dolžnosti nadzornega organa, vključno z obravnavanjem in preiskovanjem
pritožb ter spodbujanjem ozaveščenosti javnosti o tveganju, pravilih, zaščitnih
ukrepih in pravicah. Posebna dolžnost nadzornih organov v okviru te direktive
je uveljavljanje pravice do dostopa v imenu posameznikov, na katere se nanašajo
osebni podatki, in do preverjanja zakonitosti obdelave podatkov, kadar je
neposreden dostop zavrnjen ali omejen. Člen 46 na podlagi člena 28(3)
Direktive 95/46/ES ter člena 25(2) in (3) Okvirnega
sklepa 2008/977/PNZ določa pooblastila nadzornega organa. Člen 47 na
podlagi člena 28(5) Direktive 95/46/ES nadzorne organe zavezuje, da
pripravijo letna poročila o dejavnostih.
3.4.6.
POGLAVJE VII – SODELOVANJE
Člen 48 uvaja pravila o obvezni
medsebojni pomoči, medtem ko drugi odstavek člena 28(6)
Direktive 95/46/ES določa samo splošno obveznost sodelovanja, ne da bi jo
nadalje podrobneje določil. Člen 49 določa, da Evropski svetovalni
odbor za varstvo podatkov, ustanovljen s Splošno uredbo o varstvu podatkov,
svoje naloge izvaja tudi v zvezi s postopki obdelave na področju uporabe te
direktive. Komisija se bo za zagotovitev dodatne podpore prek strokovne skupine
za kazenski pregon v zvezi z vidiki varstva podatkov posvetovala s predstavniki
organov držav članic, pristojnih za preprečevanje, preiskovanje, odkrivanje ali
pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, ter s predstavniki
Europola in Eurojusta.
3.4.7.
POGLAVJE VIII – PRAVNA SREDSTVA, ODGOVORNOST
IN SANKCIJE
Člen 50 na podlagi člena 28(4)
Direktive 95/46/ES določa pravico vsakega posameznika, na katerega se
nanašajo osebni podatki, da pri nadzornem organu vloži pritožbo, pri čemer se
nanaša na vsako kršitev Direktive v zvezi s pritožnikom. Prav tako opredeljuje
organe, organizacije ali združenja, ki lahko vložijo pritožbo v imenu
posameznika, na katerega se nanašajo osebni podatki, in tudi neodvisno od
pritožbe posameznika, na katerega se nanašajo osebni podatki, v primeru kršitve
varnosti osebnih podatkov. Člen 51 se nanaša na pravico do pravnega
sredstva v sodnem postopku zoper nadzorni organ. Temelji na splošni določbi iz
člena 28(3) Direktive 95/46/ES in zlasti zagotavlja, da lahko
posameznik, na katerega se nanašajo osebni podatki, pri sodišču vloži pravno
sredstvo, na podlagi katerega je nadzorni organ zavezan k ukrepanju v zvezi s
pritožbo. Člen 52 se na podlagi člena 22
Direktive 95/46/ES in člena 20 Okvirnega sklepa 2008/977/PNZ
nanaša na pravico do pravnega sredstva v sodnem postopku zoper upravljavca ali
obdelovalca. Člen 53 uvaja skupne določbe za postopke
pred sodiščem, vključno s pravicami organov, organizacij ali združenj, da
posameznike, na katere se nanašajo osebni podatki, zastopajo pred sodišči, in
pravico nadzornih organov, da sodelujejo v sodnem postopku. Obveznost držav
članic, da zagotovijo hitro sprejetje ukrepov v okviru sodnega varstva, temelji
na členu 18(1) Direktive o elektronskem poslovanju 2000/31/ES[32]. Člen 54 države članice zavezuje, da
zagotovijo pravico do odškodnine. Temelji na členu 23 Direktive 95/46/ES
in členu 19(1) Okvirnega sklepa 2008/977/PNZ, pri čemer razširja to pravico
v primeru škode, ki jo povzročijo obdelovalci, ter razjasnjuje odgovornost
soupravljavcev in soobdelovalcev. Člen 55 države članice zavezuje, da
določijo kazenske sankcije, sankcionirajo kršitve Direktive in zagotovijo izvajanje
teh določb Direktive.
3.4.8.
POGLAVJE IX
– DELEGIRANI IN IZVEDBENI AKTI
Člen 56 vsebuje standardne določbe o prenosu
pooblastil v skladu s členom 290 PDEU. Zakonodajnemu organu to omogoča, da
na Komisijo prenese pooblastilo za sprejemanje nezakonodajnih aktov, ki se
splošno uporabljajo in dopolnjujejo ali spreminjajo nekatere nebistvene
elemente zakonodajnega akta (akti nezakonodajne narave). Člen 57 vsebuje določbo o postopku v
odboru, ki je potreben za prenos izvedbenih pooblastil na Komisijo, kadar so v
skladu s členom 291 PDEU potrebni enotni pogoji za izvajanje pravno
zavezujočih aktov Unije. Uporablja se postopek pregleda.
3.4.9.
POGLAVJE XI – KONČNE DOLOČBE
Člen 58 razveljavlja Okvirni
sklep 2008/977/PNZ. Člen 59 določa, da posebne določbe v
zvezi z obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene
preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali
izvrševanja kazenskih sankcij, v aktih Unije, ki na področju uporabe Direktive
urejajo obdelavo osebnih podatkov oziroma dostop do informacijskih sistemov in
ki so bili sprejeti pred sprejetjem te direktive, ostanejo nespremenjene. Člen 60 razjasnjuje povezavo te direktive
z mednarodnimi sporazumi držav članic na področju pravosodnega sodelovanja v
kazenskih zadevah in policijskega sodelovanja, sklenjenimi v preteklosti. Člen 61 določa obveznost Komisije, da oceni
izvajanje Direktive in o tem poroča, da se oceni potreba po uskladitvi že
veljavnih posebnih določb iz člena 59 s to direktivo. Člen 62 določa obveznost držav članic, da
Direktivo prenesejo v svojo nacionalno zakonodajo in Komisijo obvestijo o
določbah, sprejetih v skladu z Direktivo. Člen 63 določa dan začetka veljavnosti Direktive. Člen 64 določa naslovnike Direktive.
4.
PRORAČUNSKE POSLEDICE
Ocena finančnih posledic zakonodajnega
predloga, ki je priložena predlogu Splošne uredbe o varstvu podatkov, obsega
proračunske posledice uredbe in te direktive. 2012/0010 (COD) Predlog DIREKTIVA EVROPSKEGA PARLAMENTA IN SVETA o varstvu posameznikov pri obdelavi osebnih
podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja,
preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih
sankcij, in o prostem pretoku takih podatkov EVROPSKI PARLAMENT IN SVET EVROPSKE
UNIJE STA – ob upoštevanju Pogodbe o delovanju Evropske
unije in zlasti člena 16(2) Pogodbe, ob upoštevanju predloga Evropske komisije, po posredovanju osnutka zakonodajnega akta
nacionalnim parlamentom, po posvetovanju z evropskim nadzornikom za
varstvo podatkov [33], v skladu z rednim zakonodajnim postopkom, ob upoštevanju naslednjega: (1)
Varstvo fizičnih oseb pri obdelavi osebnih podatkov
je temeljna pravica. Člen 8(1) Listine Evropske unije o temeljnih pravicah
in člen 16(1) Pogodbe o delovanju Evropske unije določata, da ima vsakdo
pravico do varstva osebnih podatkov, ki se nanašajo nanj. (2)
Obdelava osebnih podatkov je namenjena temu, da
služi človeku; načela in predpisi o varstvu posameznikov pri obdelavi njihovih
osebnih podatkov morajo ne glede na narodnost ali prebivališče fizičnih oseb
spoštovati njihove temeljne pravice in svoboščine, predvsem pravico do varstva
osebnih podatkov. To bi moralo prispevati k oblikovanju območja svobode,
varnosti in pravice. (3)
Hiter tehnološki razvoj in globalizacija sta
prinesla nove izzive za varstvo osebnih podatkov. Obseg zbiranja in izmenjave podatkov
se je bistveno povečal. Tehnologija pristojnim organom omogoča, da v doslej
največjem obsegu uporabljajo osebne podatke za izvajanje svojih dejavnosti. (4)
To zahteva lajšanje prostega pretoka podatkov med
pristojnimi organi v Uniji ter prenosa v tretje države in mednarodne
organizacije, pri čemer se zagotavlja visoka raven varstva osebnih podatkov. Zaradi
takšnega razvoja je treba v Uniji oblikovati trden in skladnejši okvir za
varstvo podatkov, ki ga podpira dosledno izvajanje. (5)
Direktiva Evropskega parlamenta in Sveta 95/46/ES
z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi
osebnih podatkov in o prostem pretoku takih podatkov[34] se uporablja za vse postopke
obdelave osebnih podatkov v državah članicah, tako v javnem kot zasebnem
sektorju. Vendar se ne uporablja za obdelavo osebnih podatkov „med dejavnostjo,
ki ne sodi na področje uporabe zakonodaje Skupnosti“, kot so dejavnosti na
področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega
sodelovanja. (6)
Okvirni sklep Sveta 2008/977/PNZ z dne
27. novembra 2008 o varstvu osebnih podatkov, ki se obdelujejo v
okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah[35] se uporablja na področjih
pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja.
Področje uporabe tega okvirnega sklepa je omejeno na obdelavo osebnih podatkov,
ki se posredujejo ali do katerih se omogoči dostop med državami članicami. (7)
Zagotavljanje dosledne in visoke ravni varstva
osebnih podatkov posameznikov ter spodbujanje izmenjave osebnih podatkov med pristojnimi
organi držav članic je bistvenega pomena za zagotovitev učinkovitega
pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja. Zato mora
biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih
podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja,
preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih
sankcij, enaka v vseh državah članicah. Za učinkovito varstvo osebnih podatkov
v Uniji ni potrebna samo krepitev pravic posameznikov, na katere se nanašajo
osebni podatki, ter dolžnosti tistih, ki osebne podatke obdelujejo, ampak so
potrebna tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti
s pravili varstva osebnih podatkov v državah članicah. (8)
Člen 16(2) Pogodbe o delovanju Evropske unije
določa, da morata Evropski parlament in Svet določiti pravila o varstvu
fizičnih oseb pri obdelavi osebnih podatkov ter pravila o prostem pretoku
osebnih podatkov. (9)
Na podlagi tega Uredba EU št. …/2012
Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih
podatkov in o prostem pretoku takih podatkov (Splošna uredba o varstvu
podatkov) določa splošna pravila varstva posameznikov pri obdelavi osebnih
podatkov in zagotavljanja prostega pretoka osebnih podatkov v Uniji. (10)
V izjavi št. 21 o varstvu osebnih podatkov na
področju pravosodnega sodelovanja v kazenskih zadevah in policijskega
sodelovanja, priloženi Sklepni listini medvladne konference, s katero je bila
sprejeta Lizbonska pogodba, je konferenca potrdila, da bi lahko bila zaradi
posebne narave pravosodnega sodelovanja v kazenskih zadevah in policijskega
sodelovanja na teh področjih potrebna posebna pravila o varstvu osebnih
podatkov in o prostem pretoku takih podatkov na podlagi člena 16 Pogodbe o
delovanju Evropske unije. (11)
Zato bi morala posebna direktiva urediti posebno
naravo teh področij in določati pravila v zvezi z varstvom posameznikov pri
obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene
preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali
izvrševanja kazenskih sankcij. (12)
Da se s pravno izvršljivimi pravicami zagotovi
enaka raven varstva posameznikov v Uniji in da se preprečijo razhajanja, ki ovirajo
izmenjavo osebnih podatkov med pristojnimi organi, bi morala Direktiva
zagotoviti usklajene določbe za varstvo in prosti pretok osebnih podatkov na
področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega
sodelovanja. (13)
Ta direktiva omogoča, da se pri uporabi njenih določb
upošteva načelo javnega dostopa do uradnih dokumentov. (14)
Varstva, zagotovljenega s to direktivo, bi morale
biti v zvezi z obdelavo osebnih podatkov deležne fizične osebe, ne glede na
njihovo narodnost ali stalno prebivališče. (15)
Varstvo posameznikov bi moralo biti tehnološko
nevtralno in neodvisno od uporabljenih metod, sicer bi to ustvarilo resno
tveganje izogibanja izpolnjevanju obveznosti. Varstvo posameznikov bi moralo veljati
za obdelavo osebnih podatkov s samodejnimi sredstvi in za ročno obdelavo, če
podatki sestavljajo del zbirke ali so namenjeni oblikovanju dela zbirke. Zapisi
ali nizi zapisov in njihove naslovnice, ki niso strukturirani v skladu s
posebnimi merili, ne spadajo na področje uporabe te direktive. Ta direktiva se
ne bi smela uporabljati za obdelavo osebnih podatkov med dejavnostjo, ki je
zunaj področja uporabe prava Unije, zlasti v zvezi z nacionalno varnostjo, ali
za podatke, ki jih obdelujejo institucije, organi, uradi in agencije Unije, kot
sta Europol in Eurojust. (16)
Načela varstva bi morala veljati za vse informacije
v zvezi z določeno ali določljivo fizično osebo. Za odločitev, ali je fizična
oseba določljiva, je treba upoštevati vsa sredstva, za katera se pričakuje, da
jih bo za določitev posameznika uporabil bodisi upravljavec bodisi katera koli
druga oseba. Načela varstva podatkov se ne bi smela uporabljati za podatke, ki
so spremenjeni v anonimne na tak način, da posameznik, na katerega se nanašajo
osebni podatki, ni več določljiv. (17)
Osebni podatki v zvezi z zdravjem bi morali obsegati
zlasti vse podatke v zvezi z zdravstvenim stanjem posameznika, na katerega se
nanašajo osebni podatki, informacije o registraciji posameznika za zagotavljanje
zdravstvenih storitev; informacije o plačilih ali upravičenosti posameznika do
zdravstvenega varstva; številko, znak ali posebno oznako, dodeljeno posamezniku
za njegovo enolično identifikacijo v zdravstvene namene; vse informacije o
posamezniku, zbrane med nudenjem zdravstvenih storitev posamezniku;
informacije, pridobljene s testiranjem ali preiskavo dela telesa ali telesne
snovi, vključno z biološkimi vzorci; istovetnost osebe, ki posamezniku nudi
storitve zdravstvenega varstva, ali vse informacije, npr. o bolezni,
invalidnosti, tveganju za nastanek bolezni, zdravstveni anamnezi, kliničnem
zdravljenju ali o dejanskem fiziološkem ali biološkem stanju posameznika, na
katerega se nanašajo osebni podatki, ne glede na vir teh podatkov, kot je npr.
zdravnik ali drug zdravstveni delavec, bolnišnica, medicinski pripomoček ali
diagnostični preskus in vitro. (18)
Vsaka obdelava osebnih podatkov mora biti poštena
in zakonita glede na zadevne posameznike. Zlasti morajo biti posebni nameni, za
katere se podatki obdelujejo, jasno določeni. (19)
Za preprečevanje, preiskovanje in pregon kaznivih
dejanj je potrebno, da pristojni organi ohranijo in obdelajo osebne podatke,
zbrane v okviru preprečevanja, preiskovanja, odkrivanja ali pregona posebnih
kaznivih dejanj, zunaj tega okvira, da razvijejo razumevanje kriminalnih
pojavov in trendov, zberejo obveščevalne podatke o organiziranih kriminalnih
mrežah ter povežejo različna odkrita kazniva dejanja. (20)
Osebni podatki se ne smejo obdelovati za namene, ki
niso skladni z namenom njihovega zbiranja. Osebni podatki morajo biti primerni,
ustrezni in ne preobsežni za namene, za katere se osebni podatki obdelujejo. Sprejeti
je treba vse potrebne ukrepe za zagotovitev, da se netočni osebni podatki
popravijo ali izbrišejo. (21)
Načelo točnosti podatkov bi bilo treba uporabljati
ob upoštevanju narave in namena zadevne obdelave. Zlasti v sodnih postopkih
izjave, ki vsebujejo osebne podatke, pogosto temeljijo na subjektivnem
dojemanju posameznikov in v nekaterih primerih niso vedno preverljive. Zato se
zahteva po točnosti ne sme nanašati na točnost izjave, ampak samo na dejstvo,
da je bila podana določena izjava. (22)
Pri razlagi in uporabi splošnih načel v zvezi z
obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene
preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali
izvrševanja kazenskih sankcij, je treba upoštevati posebnosti sektorja,
vključno s posebnimi zastavljenimi cilji. (23)
Z obdelavo osebnih podatkov na področjih
pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja je
neločljivo povezano dejstvo, da se obdelujejo osebni podatki v zvezi z različnimi
vrstami posameznikov, na katere se nanašajo osebni podatki. Zato je treba v
največji možni meri jasno razlikovati med osebnimi podatki različnih vrst
posameznikov, na katere se nanašajo osebni podatki, kot so osumljenci, osebe,
obsojene za kaznivo dejanje, žrtve in tretje osebe, kot so priče, osebe, ki
imajo pomembne informacije, ali stiki ter udeleženci pri kaznivem dejanju,
povezani z osumljenci in obsojenimi storilci kaznivih dejanj. (24)
Osebne podatke je treba v največji možni meri
razlikovati glede na stopnjo njihove točnosti in zanesljivosti. Dejstva je
treba razlikovati od osebnih ocen, da se zagotovijo tako varstvo posameznikov
kot kakovost in zanesljivost informacij, ki jih obdelujejo pristojni organi. (25)
Da bi bila obdelava osebnih podatkov zakonita, bi morala
biti potrebna za skladnost s predpisano obveznostjo, ki velja za upravljavca,
za opravljanje nalog, ki jih pristojni organ na podlagi zakonodaje izvaja v
javnem interesu, ali da se zavarujejo življenjski interesi posameznika, na
katerega se nanašajo osebni podatki, ali drugih oseb ali da se prepreči
neposredna in resna ogroženost javne varnosti. (26)
Posebno varstvo je potrebno za osebne podatke, ki
so po svoji naravi posebej občutljivi v zvezi s temeljnimi pravicami ali
zasebnostjo, vključno z genetskimi podatki. Taki podatki se ne bi smeli
obdelovati, razen če je obdelava izrecno določena s predpisom, ki zagotavlja
ustrezne ukrepe za varovanje pravnega interesa posameznika, na katerega se
nanašajo osebni podatki; ali če je obdelava potrebna za varstvo življenjskih
interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe;
ali če je obdelava povezana s podatki, ki jih posameznik, na katerega se
nanašajo osebni podatki, objavi. (27)
Vsaka fizična oseba bi morala imeti pravico, da se
v zvezi z njo ne sprejme ukrep, ki temelji izključno na samodejni obdelavi, če
ima škodljiv pravni učinek na navedeno osebo, razen če tako določa zakon in če
je sprejet z ustreznimi ukrepi za varovanje pravnega interesa posameznika, na
katerega se nanašajo osebni podatki. (28)
Da lahko posameznik, na katerega se nanašajo osebni
podatki, uveljavlja svoje pravice, morajo biti vse informacije zanj lahko
dostopne in lahko razumljive, kar vključuje tudi uporabo jasnega in preprostega
jezika. (29)
Da bi lahko posameznik, na katerega se nanašajo
osebni podatki, lažje uveljavljal pravice v okviru te direktive, je treba
zagotoviti podrobnosti, vključno z mehanizmi za brezplačno zahtevo, predvsem za
dostop do podatkov, popravke in izbris. Upravljavec bi moral biti zavezan k
temu, da nemudoma odgovori na zahteve posameznika, na katerega se nanašajo
osebni podatki. (30)
Načelo poštene obdelave zahteva, da je treba
posameznike, na katere se nanašajo osebni podatki, obvestiti zlasti o obstoju
postopka obdelave in njegovih namenih, o času trajanja shranjevanja podatkov, o
obstoju pravice do dostopa, popravkov ali izbrisa in o pravici do vložitve
pritožbe. Kadar se podatki zberejo od posameznika, na katerega se nanašajo
osebni podatki, ga je treba obvestiti tudi o tem, ali je dolžan predložiti
podatke, in o posledicah, če takih podatkov ne predloži. (31)
Posameznikom, na katere se nanašajo osebni podatki,
bi bilo treba informacije v zvezi z obdelavo osebnih podatkov, ki se nanje
nanašajo, posredovati ob zbiranju podatkov, ali kadar se podatki ne pridobijo
od posameznika, na katerega se nanašajo osebni podatki, ob beleženju ali v primernem
roku po zbiranju, in sicer glede na posebne okoliščine, v katerih se podatki
obdelajo. (32)
Vsaka oseba mora imeti pravico dostopa do podatkov,
ki so bili zbrani v zvezi z njo, in do enostavnega uveljavljanja te pravice, da
bi se seznanila z obdelavo in preverila njeno zakonitost. Zato bi moral vsak
posameznik, na katerega se nanašajo osebni podatki, imeti pravico do seznanitve
s sporočilom in njegove pridobitve, zlasti o namenih, za katere se obdelujejo
podatki, v kakšnem obdobju, kateri prejemniki prejmejo podatke, tudi v tretjih
državah. Posameznikom, na katere se nanašajo osebni podatki, bi moralo biti
omogočeno, da prejmejo kopijo svojih osebnih podatkov, ki se obdelujejo. (33)
Državam članicam bi moralo biti dovoljeno sprejeti
zakonodajne ukrepe za zadržanje, omejitev ali izpustitev informacij
posameznikov, na katere se nanašajo osebni podatki, ali dostopa do njihovih osebnih
podatkov, če je taka delna ali popolna omejitev, ki mora upoštevati pravni interes
zadevne osebe, nujen in sorazmeren ukrep v demokratični družbi za preprečitev
oviranja uradnih ali drugih zakonitih preiskav, poizvedb ali postopkov;
izogibanje vplivu na preprečevanje, odkrivanje, preiskovanje in pregon kaznivih
dejanj ali izvrševanje kazenskih sankcij; zaščito javne ali nacionalne
varnosti; ali varstvo posameznika, na katerega se nanašajo osebni podatki, ali
pravic in svoboščin drugih. (34)
Posameznika, na katerega se nanašajo osebni
podatki, bi bilo treba o zavrnitvi ali omejitvi dostopa pisno obvestiti, tudi o
dejanskem stanju ali pravni podlagi, na katerih temelji sklep. (35)
Če so države članice sprejele zakonodajne ukrepe za
delno ali popolno omejitev pravice dostopa, mora imeti posameznik, na katerega
se nanašajo osebni podatki, pravico do tega, da od pristojnega nacionalnega
nadzornega organa zahteva pregled zakonitosti obdelave. Posameznika, na
katerega se nanašajo osebni podatki, bi bilo treba o tej pravici obvestiti. Kadar
nadzorni organ izvede dostop v imenu posameznika, na katerega se nanašajo
osebni podatki, mora nadzorni organ posameznika, na katerega se nanašajo osebni
podatki, obvestiti vsaj o tem, da je opravil vsa potrebna preverjanja, in o
rezultatu v zvezi z zakonitostjo zadevne obdelave. (36)
Vsaka oseba mora imeti pravico do popravka netočnih
osebnih podatkov, ki se nanašajo nanjo, in pravico do izbrisa, kadar obdelava
takih podatkov ni skladna z glavnimi načeli iz te direktive. Če se osebni
podatki obdelujejo med kazensko preiskavo in v kazenskem postopku, se lahko pravice
do popravka, informacij, dostopa, izbrisa in omejitve obdelave uveljavljajo v
skladu z nacionalnimi predpisi o sodnih postopkih. (37)
Določiti bi bilo treba vse vidike pristojnosti in
odgovornosti upravljavca za vsako obdelavo osebnih podatkov, ki jo izvede ali ki
se izvede v njegovem imenu. Upravljavec bi moral zlasti zagotoviti skladnost
postopkov obdelave s pravili, sprejetimi v skladu s to direktivo. (38)
Zaradi varstva pravic in svoboščin posameznikov, na
katere se nanašajo osebni podatki, v zvezi z obdelavo osebnih podatkov je treba
sprejeti primerne tehnične in organizacijske ukrepe, s čimer se zagotovi
izpolnitev zahtev iz Direktive. Upravljavec bi moral za zagotovitev skladnosti
z določbami predpisov, sprejetih v skladu s to direktivo, sprejeti politike in
izvesti ustrezne ukrepe, ki izpolnjujejo zlasti načela o vgrajenem varstvu
podatkov. (39)
Zaradi varstva pravic in svoboščin posameznikov, na
katere se nanašajo osebni podatki, ter pristojnosti in odgovornosti
upravljavcev in obdelovalcev je treba na podlagi te direktive jasno določiti
pristojnosti, tudi v primeru, če upravljavec skupaj z drugimi upravljavci
določa namene, pogoje in sredstva obdelave ali če se postopek obdelave izvaja v
imenu upravljavca. (40)
Upravljavec ali obdelovalec bi moral dokumentirati
postopke obdelave, da spremlja skladnost s to direktivo. Vsak upravljavec ali
obdelovalec bi moral biti zavezan k sodelovanju z nadzornimi organi in na
zahtevo omogočiti dostop do te dokumentacije, da bi tako lahko služila
spremljanju postopkov obdelave. (41)
Upravljavec ali obdelovalec bi se moral v nekaterih
primerih pred obdelavo posvetovati z nadzornim organom, da bi se s preprečevalnimi
ukrepi zagotovilo učinkovito varstvo pravic in svoboščin posameznikov, na
katere se nanašajo osebni podatki. (42)
Kršitev varnosti osebnih podatkov lahko, če se ne
obravnava ustrezno in pravočasno, zadevnemu posamezniku povzroči škodo,
vključno z okrnitvijo ugleda. Zato mora upravljavec takoj, ko ugotovi, da je do
take kršitve prišlo, o njej obvestiti pristojni nacionalni organ. Posameznike,
pri katerih bi lahko kršitev škodljivo vplivala na njihove osebne podatke ali
zasebnost, je treba o tem nemudoma obvestiti, da lahko sprejmejo potrebne
varnostne ukrepe. Za kršitev je treba domnevati, da škodljivo vpliva na osebne
podatke ali zasebnost posameznika, kadar lahko vodi, na primer, do kraje ali zlorabe
identitete, fizične škode, hudega poniževanja ali okrnitve ugleda v zvezi z
obdelavo osebnih podatkov. (43)
Pri določanju podrobnih pravil o obliki zapisa in
postopkih, ki se uporabljajo za obvestilo o kršitvi varnosti osebnih podatkov,
bi bilo treba ustrezno upoštevati okoliščine kršitve, vključno s tem, ali so
bili osebni podatki zaščiteni z ustreznimi tehničnimi zaščitnimi ukrepi, ki
učinkovito zmanjšujejo verjetnost zlorabe. Poleg tega bi bilo treba pri takih
pravilih in postopkih upoštevati pravni interes pristojnih organov, če bi
zgodnje razkritje lahko po nepotrebnem oviralo preiskavo okoliščin kršitve. (44)
Upravljavec ali obdelovalec določi osebo, ki
upravljavcu ali obdelovalcu pomaga pri spremljanju skladnosti z določbami
predpisov, sprejetih v skladu s to direktivo. Več subjektov lahko skupaj
imenuje uradno osebo za varstvo podatkov. Uradnim osebam za varstvo podatkov
mora biti omogočeno, da neodvisno in učinkovito opravljajo svoje dolžnosti in
naloge. (45)
Države članice bi morale zagotoviti, da se prenos v
tretjo državo izvede samo, če je to potrebno za preprečevanje, preiskovanje,
odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij in če
je upravljavec v tretji državi ali mednarodni organizaciji organ, pristojen v
smislu te direktive. Prenos se lahko izvede v primerih, ko Komisija odloči, da
zadevna tretja država ali mednarodna organizacija zagotavlja ustrezno raven
varstva ali da so bili navedeni ustrezni zaščitni ukrepi. (46)
Komisija se lahko odloči, da določena tretja država
ali ozemeljska enota ali sektor za obdelavo v tretji državi ali mednarodna
organizacija nudi zadostno raven varstva podatkov, s čimer zagotavlja pravno varnost
in enotnost v Uniji v zvezi s tretjimi državami ali mednarodnimi
organizacijami, za katere se šteje, da zagotavljajo tako raven varstva, pri
čemer taka odločitev Komisije velja za celotno Unijo. V teh primerih za prenose
osebnih podatkov v te države posebno pooblastilo ni potrebno. (47)
Komisija bi morala v skladu s temeljnimi
vrednotami, na katerih temelji Unija, zlasti z varstvom človekovih pravic,
upoštevati, na kakšen način se v tretjih državah spoštujejo načelo vladavine
prava, dostop do sodnega varstva ter mednarodne norme in standardi človekovih
pravic. (48)
Komisiji bi morala biti tudi zmožna ugotoviti, da
tretja država ali ozemeljska enota ali sektor za obdelavo v tretji državi ali
mednarodna organizacija ne nudi zadostne ravni varstva podatkov. Posledično bi moral
biti prenos osebnih podatkov v navedeno tretjo državo prepovedan, razen če
temelji na mednarodnem sporazumu, ustreznih zaščitnih ukrepih ali odstopanju.
Oblikovati je treba določbo za postopke posvetovanj med Komisijo in takimi
tretjimi državami ali mednarodnimi organizacijami. Vendar tak sklep Komisije ne
posega v možnost izvedbe prenosov na podlagi ustreznih zaščitnih ukrepov ali na
podlagi odstopanja, določenega v Direktivi. (49)
Prenosi, ki ne temeljijo na takem sklepu o
ustreznosti, morajo biti dovoljeni samo, če so bili v pravno zavezujočem pravnem
aktu navedeni ustrezni zaščitni ukrepi, ki zagotavljajo varstvo osebnih
podatkov, ali če je upravljavec ali obdelovalec ocenil vse okoliščine postopka
prenosa podatkov ali niza postopkov prenosa podatkov in na podlagi te ocene
meni, da obstajajo ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov.
V primerih, v katerih ni razlogov za odobritev prenosa, je treba po potrebi
omogočiti odstopanja, da se zavarujejo življenjski interesi posameznika, na
katerega se nanašajo osebni podatki, oziroma druge osebe ali da se zaščiti pravni
interes posameznika, na katerega se nanašajo osebni podatki, če to določa predpis
države članice o posredovanju osebnih podatkov, ali kadar je to bistveno za preprečevanje
neposredne in resne ogroženosti javne varnosti države članice ali tretje države
ali v posameznih primerih za namene preprečevanja, preiskovanja, odkrivanja ali
pregona kaznivih dejanj ali izvrševanja kazenskih sankcij ali v posameznih
primerih zaradi uveljavitve, izvajanja ali obrambe pravnih zahtevkov. (50)
Pri čezmejnem prenosu osebnih podatkov se lahko
poveča tveganje v zvezi z zmožnostjo posameznikov pri uveljavljanju pravic do
varstva podatkov, da se zaščitijo pred nezakonito uporabo ali razkritjem navedenih
podatkov. Hkrati lahko nadzorni organi ugotovijo, da ne morejo obravnavati
pritožb ali izvesti preiskav v zvezi z dejavnostmi zunaj svojih mej. Nezadostna
pooblastila za preprečevanje kršitev ali njihovo odpravo in neskladne pravne
ureditve lahko ovirajo njihova prizadevanja za čezmejno sodelovanje. Zato
obstaja potreba po spodbujanju tesnejšega sodelovanja med nadzornimi organi za
varstvo podatkov za pomoč pri izmenjavi informacij s tujimi nadzornimi organi
za varstvo podatkov. (51)
Ustanovitev nadzornih organov v državah članicah,
ki popolnoma neodvisno opravljajo svoje naloge, je bistveni del varstva
posameznikov pri obdelavi njihovih osebnih podatkov. Nadzorni organi bi morali
spremljati uporabo določb te direktive in prispevati k njeni dosledni uporabi v
Uniji za zaščito fizičnih oseb v zvezi z obdelavo njihovih osebnih podatkov. V
ta namen je potrebno medsebojno sodelovanje nadzornih organov in njihovo sodelovanje
s Komisijo. (52)
Države članice lahko nadzornemu organu, ki je v
državah članicah že ustanovljen na podlagi Uredbe (EU) št. …/2012, podelijo
pristojnost za izvajanje nalog, ki jih izvajajo nacionalni nadzorni organi,
ustanovljeni na podlagi te direktive. (53)
Državam članicam bi morala biti omogočena
ustanovitev več kot enega nadzornega organa zaradi njegove umestitve v njihovo
ustavno, organizacijsko in upravno strukturo. Vsakemu nadzornemu organu bi bilo
treba zagotoviti zadostne finančne in človeške vire, prostore in infrastrukturo,
ki so potrebni za učinkovito opravljanje njihovih nalog, vključno z nalogami v
zvezi z medsebojno pomočjo in sodelovanjem z drugimi nadzornimi organi v vsej
Uniji. (54)
Vsaka država članica bi morala predpisati splošne
pogoje za člane nadzornega organa, ki bi morali zlasti določati, da te člane imenuje
parlament ali vlada države članice, ter vsebovati pravila o osebnih
kvalifikacijah in položaju teh članov. (55)
Čeprav se ta direktiva uporablja tudi za dejavnosti
nacionalnih sodišč, pa pristojnost nadzornih organov ne sme obsegati obdelave
osebnih podatkov, kadar ta delujejo kot sodni organ, da se zaščiti neodvisnost
sodnikov pri opravljanju njihovih sodnih nalog. Vendar bi mora biti ta izjema
omejena na dejanska sodna opravila v sodnih postopkih in se ne bi smela
uporabljati za druge dejavnosti, v katere bi lahko bili vključeni sodniki v
skladu z nacionalno zakonodajo. (56)
Za zagotovitev doslednega spremljanja in izvajanja
te direktive v vsej Uniji bi morali biti dolžnosti in učinkovita pooblastila
nadzornih organov v vseh državah članicah enaki, vključno s pooblastili za
preiskovanje, pravno zavezujoče posredovanje, izdajo odločb in naložitev sankcij,
zlasti v primerih pritožb posameznikov, ter za sodelovanje v sodnem postopku. (57)
Vsak nadzorni organ bi moral obravnavati pritožbe,
ki jih vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, in
preiskati zadevo. Preiskavo na podlagi pritožbe bi bilo treba izvesti v obsegu,
ki je v posamezni zadevi ustrezen, saj je lahko odločba nadzornega organa
predmet sodne presoje. Nadzorni organ bi moral posameznika, na katerega se
nanašajo osebni podatki, v primernem roku obvestiti o stanju zadeve in odločitvi
o pritožbi. Če mora nadzorni organ zadevo podrobneje preučiti ali se uskladiti
z drugim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo
osebni podatki, posredovati informacije o stanju zadeve med postopkom. (58)
Nadzorni organi bi si morali medsebojno pomagati
pri opravljanju svojih dolžnosti in zagotoviti medsebojno pomoč, da se
zagotovita dosledna uporaba in izvajanje določb predpisov, sprejetih v skladu s
to direktivo. (59)
Evropski odbor za varstvo podatkov, ustanovljen z
Uredbo (EU) št. …/2012, bi moral prispevati k dosledni uporabi te
direktive v vsej Uniji, vključno s svetovanjem Komisiji in spodbujanjem
sodelovanja nadzornih organov v vsej Uniji. (60)
Vsak posameznik, na katerega se nanašajo osebni
podatki, bi moral imeti pravico do vložitve pritožbe pri nadzornem organu v
kateri koli državi članici in pravico do pravnega sredstva v sodnem postopku,
če meni, da so njegove pravice iz te direktive kršene, ali če nadzorni organ ne
obravnava pritožbe ali ne ukrepa, kadar je tak ukrep potreben za zaščito pravic
posameznika, na katerega se nanašajo osebni podatki. (61)
Vsak organ, organizacija ali združenje, katerega namen
je varstvo pravic in interesov posameznikov, na katere se nanašajo osebni
podatki, v zvezi z varstvom njihovih podatkov in ki je ustanovljen v skladu z nacionalno
zakonodajo države članice, bi moral imeti pravico do vložitve pritožbe ali uveljavitve
pravice do pravnega sredstva v sodnem postopku v imenu posameznikov, na katere
se nanašajo osebni podatki, če ga ti za to ustrezno pooblastijo, ali do vložitve
lastne pritožbe, neodvisno od pritožbe posameznika, na katerega se nanašajo
osebni podatki, če meni, da je prišlo do kršitve varnosti osebnih podatkov. (62)
Vsaka fizična ali pravna oseba bi morala imeti
pravico do pravnega sredstva v sodnem postopku zoper odločbo nadzornega organa v
zvezi z njo. Postopke zoper nadzorni organ je treba začeti pred sodišči države
članice, v kateri ima nadzorni organ sedež. (63)
Države članice morajo zagotoviti, da zaradi
učinkovitosti sodni postopki omogočajo hitro sprejetje ukrepov za odpravo ali
preprečevanje kršitve te direktive. (64)
Vso škodo, ki jo oseba lahko utrpi zaradi
nezakonite obdelave, bi moral povrniti upravljavec ali obdelovalec, vendar mu
tega ni treba storiti, če dokaže, da ni odgovoren za škodo, predvsem kadar
ugotovi napako na strani posameznika, na katerega se nanašajo osebni podatki,
ali v primeru višje sile. (65)
Kaznovati je treba vsako fizično ali pravno osebo,
za katero velja zasebno ali javno pravo in ki ne ravna v skladu s to direktivo.
Države članice bi morale zagotoviti, da so kazenske sankcije učinkovite,
sorazmerne in odvračilne, ter sprejeti vse ukrepe za izvršitev kazenskih
sankcij. (66)
Da se dosežejo cilji te direktive, in sicer da se
zaščitijo temeljne pravice in svoboščine fizičnih oseb in zlasti njihova
pravica do varstva osebnih podatkov, ter da se zagotovi svobodna izmenjava
osebnih podatkov s strani pristojnih organov v Uniji, je treba na Komisijo
prenesti pooblastila, da lahko v skladu s členom 290 Pogodbe o delovanju
Evropske unije sprejema akte. Zlasti je treba sprejeti delegirane akte v zvezi
z obvestili o kršitvah varnosti osebnih podatkov, posredovanimi nadzornemu
organu. Prav tako je zlasti pomembno, da Komisija pri svojem pripravljalnem
delu opravi ustrezna posvetovanja, vključno na ravni strokovnjakov. Komisija
mora pri pripravi in oblikovanju delegiranih aktov zagotoviti, da so ustrezni
dokumenti Evropskemu parlamentu in Svetu predloženi istočasno, pravočasno in na
ustrezen način. (67)
Za zagotovitev enotnih pogojev za izvajanje te
direktive v zvezi z dokumentiranjem s strani upravljavcev in obdelovalcev,
varnostjo obdelovanja, zlasti v zvezi s standardi šifriranja, obveščanjem
nadzornega organa o kršitvah varnosti osebnih podatkov ter ustrezno ravnjo
varstva, ki ga zagotovi tretja država ali ozemeljska enota ali sektor za
obdelavo v tej tretji državi ali mednarodna organizacija, je treba na Komisijo
prenesti izvedbena pooblastila. Ta pooblastila je treba izvajati v skladu z
Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne
16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi
katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije[36]. (68)
Postopek pregleda se uporabi za sprejetje ukrepov v
zvezi z dokumentiranjem s strani upravljavcev in obdelovalcev, varnostjo
obdelovanja, obveščanjem nadzornega organa o kršitvah varnosti osebnih podatkov
ter ustrezno ravnjo varstva, ki ga zagotovi tretja država ali ozemeljska enota
ali sektor za obdelavo v tej tretji državi ali mednarodna organizacija, če je
področje uporabe teh aktov splošno. (69)
Komisija mora sprejeti izvedbene akte, ki se
začnejo takoj uporabljati, na podlagi ustrezno utemeljenih nujnih primerov v
zvezi s tretjo državo ali ozemeljsko enoto ali sektorjem za obdelavo v tej
tretji državi ali mednarodno organizacijo, ki ne zagotavlja ustrezne ravni varstva. (70)
Ker države članice ne morejo zadovoljivo doseči
ciljev te direktive, tj. zaščititi temeljne pravice in svoboščine fizičnih oseb
in zlasti njihovo pravico do varstva osebnih podatkov ter zagotoviti svobodno
izmenjavo osebnih podatkov s strani pristojnih organov v Uniji, in se lahko
zato zaradi obsega ali učinkov ukrepov lažje dosežejo na ravni Unije, lahko
Unija v skladu z načelom subsidiarnosti sprejme ukrepe, kot je določeno v
členu 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti, kakor
je določeno v navedenem členu, ta direktiva ne presega tistega, kar je potrebno
za doseganje navedenega cilja. (71)
S to direktivo bi bilo treba razveljaviti Okvirni
sklep 2008/977/PNZ. (72)
Posebne določbe v zvezi z obdelavo osebnih
podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja,
preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih
sankcij, v aktih Unije, ki so bili sprejeti pred sprejetjem te direktive in
urejajo obdelavo osebnih podatkov v državah članicah oziroma dostop določenih
organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi pogodb,
bi morale ostati nespremenjene. Komisija bi morala ovrednotiti položaj glede na
odnos med to direktivo in akti, ki so bili sprejeti pred sprejetjem te direktive
in urejajo obdelavo osebnih podatkov v državah članicah oziroma dostop
določenih organov držav članic do informacijskih sistemov, vzpostavljenih na
podlagi pogodb, da se oceni potreba po prilagoditvi teh posebnih določb tej
direktivi. (73)
Za zagotovitev celovitega in skladnega varstva
osebnih podatkov v Uniji je treba v skladu s to direktivo spremeniti mednarodne
sporazume, ki so jih države članice sklenile pred začetkom veljavnosti te
direktive. (74)
Ta direktiva ne posega v pravila o boju proti
spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji, kot so
določena v Direktivi 2011/92/EU Evropskega parlamenta in Sveta z dne
13. decembra 2011[37]. (75)
V skladu s členom 6a Protokola o stališču
Združenega kraljestva in Irske v zvezi z območjem svobode, varnosti in pravice,
ki je priložen k Pogodbi o Evropski uniji in k Pogodbi o delovanju Evropske
unije, pravila iz te direktive ne zavezujejo Združenega kraljestva in Irske, če
ju ne zavezujejo pravila, ki urejajo oblike pravosodnega sodelovanja v kazenskih
zadevah ali policijskega sodelovanja, v okviru katerih je treba upoštevati določbe
predpisov, sprejetih na podlagi člena 16 Pogodbe o delovanju Evropske
unije. (76)
Za Dansko v skladu s členoma 2 in 2a Protokola
o stališču Danske, ki je priložen k Pogodbi o Evropski uniji in Pogodbi o delovanju
Evropske unije, ta direktiva ni zavezujoča niti se v njej ne uporablja. Ker ta
direktiva nadgrajuje schengenski pravni red na podlagi naslova V tretjega
dela Pogodbe o delovanju Evropske unije, se mora Danska v skladu s
členom 4 navedenega protokola v šestih mesecih po sprejetju te direktive
odločiti, ali jo bo prenesla v svoje nacionalno pravo. (77)
Kar zadeva Islandijo in Norveško, ta direktiva
pomeni razvoj določb schengenskega pravnega reda v smislu Sporazuma,
sklenjenega med Svetom Evropske unije ter Republiko Islandijo in Kraljevino
Norveško, o pridružitvi teh dveh držav k izvajanju, uporabi in razvoju
schengenskega pravnega reda[38].
(78)
Kar zadeva Švico, ta direktiva pomeni razvoj določb
schengenskega pravnega reda v smislu Sporazuma med Evropsko unijo, Evropsko
skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k
izvajanju, uporabi in razvoju schengenskega pravnega reda[39]. (79)
Kar zadeva Lihtenštajn, ta direktiva pomeni razvoj
določb schengenskega pravnega reda v smislu Protokola med Evropsko unijo,
Evropsko skupnostjo, Švicarsko konfederacijo in Kneževino Lihtenštajn o
pristopu Kneževine Lihtenštajn k Sporazumu med Evropsko unijo, Evropsko
skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k
izvajanju, uporabi in razvoju schengenskega pravnega reda[40]. (80)
Ta direktiva spoštuje temeljne pravice in upošteva
načela, ki jih priznava Listina Evropske unije o temeljnih pravicah, kakor so
vsebovani v Pogodbi, zlasti pravico do spoštovanja zasebnega in družinskega
življenja, pravico do varstva osebnih podatkov, pravico do učinkovitega
pravnega sredstva in do nepristranskega sojenja. Omejitve teh pravic so v
skladu s členom 52(1) Listine, ker so potrebne za izpolnjevanje ciljev
splošnega interesa, ki jih priznava Unija, ali zadovoljevanje potrebe po
zaščiti pravic in svoboščin drugih. (81)
V skladu s skupno politično izjavo držav članic in
Komisije o obrazložitvenih dokumentih z dne 28. septembra 2011
se države članice zavezujejo, da bodo obvestilu o ukrepih za prenos v
nacionalno zakonodajo v upravičenih primerih priložile enega ali več
dokumentov, v katerih bo pojasnjeno razmerje med sestavnimi elementi direktive
in ustreznimi deli nacionalnih pravnih aktov za prenos. Zakonodajalec meni, da
je posredovanje takih dokumentov v primeru te direktive upravičeno. (82)
Ta direktiva državam članicam ne bi smela
preprečevati uveljavljanja pravic posameznikov, na katere se nanašajo osebni podatki,
do informacij, dostopa, popravka, izbrisa in omejitve njihovih osebnih podatkov,
obdelanih v kazenskem postopku, in njihovih možnih omejitvah v zvezi s tem v
nacionalnih predpisih o kazenskem postopku – SPREJELA NASLEDNJO DIREKTIVO: POGLAVJE I SPLOŠNE DOLOČBE Člen 1
Vsebina in cilji 1. Ta direktiva določa pravila v
zvezi z varstvom posameznikov pri obdelavi osebnih podatkov, ki jih pristojni
organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona
kaznivih dejanj ali izvrševanja kazenskih sankcij. 2. Države članice v skladu s to
direktivo: (a) varujejo temeljne pravice in svoboščine
fizičnih oseb ter zlasti njihovo pravico do varstva osebnih podatkov; in (b) zagotovijo, da izmenjava osebnih podatkov
med pristojnimi organi v Uniji ni niti omejena niti prepovedana iz razlogov,
povezanih z varstvom posameznikov pri obdelavi osebnih podatkov. Člen 2
Področje uporabe 1. Ta direktiva se uporablja za
obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene iz
člena 1(1). 2. Ta direktiva se uporablja za
obdelavo osebnih podatkov v celoti ali delno s samodejnimi sredstvi in za
drugačno obdelavo kakor s samodejnimi sredstvi za osebne podatke, ki
sestavljajo del zbirke ali so namenjeni oblikovanju dela zbirke. 3. Ta direktiva se ne uporablja
za obdelavo osebnih podatkov: (a) v okviru dejavnosti zunaj področja
uporabe zakonodaje Unije, zlasti v zvezi z nacionalno varnostjo; (b) ki jo izvajajo institucije, organi, uradi
in agencije Unije. Člen 3
Opredelitve pojmov V tej direktivi: (1)
„posameznik, na katerega se nanašajo osebni
podatki“ pomeni določeno fizično osebo ali fizično osebo, ki je neposredno ali
posredno določljiva s sredstvi, za katera se razumno pričakuje, da jih bo
uporabil upravljavec ali vsaka druga fizična ali pravna oseba, zlasti z navedbo
identifikacijske številke, podatkov o lokaciji, spletnih identifikatorjev ali
enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko,
duševno, gospodarsko, kulturno ali družbeno identiteto navedene osebe; (2)
„osebni podatki“ pomenijo vsako informacijo v zvezi
s posameznikom, na katerega se nanašajo osebni podatki; (3)
„obdelava“ pomeni vsak postopek ali niz postopkov,
ki se izvajajo v zvezi z osebnimi podatki ali nizi osebnih podatkov s samodejnimi
sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje,
shranjevanje, prilagajanje ali predelava, iskanje, vpogled, uporaba, razkritje
s posredovanjem, širjenje ali drugačno omogočanje dostopa, prilagajanje ali
kombiniranje, omejitev, izbris ali uničenje; (4)
„omejitev obdelave“ pomeni označevanje shranjenih
osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti; (5)
„zbirka“ pomeni vsak strukturiran niz osebnih
podatkov, ki je dostopen v skladu s posebnimi merili, in sicer centraliziran,
decentraliziran ali razpršen na funkcionalni ali geografski podlagi; (6)
„upravljavec“ pomeni pristojni javni organ, ki sam
ali skupaj z drugimi določa namene, pogoje in sredstva obdelave osebnih
podatkov; kadar namene, pogoje in sredstva obdelave določa zakonodaja Unije ali
zakonodaja držav članic, lahko upravljavca ali posebna merila za njegovo
imenovanje določi zakonodaja Unije ali zakonodaja držav članic; (7)
„obdelovalec“ pomeni fizično ali pravno osebo,
javni organ, agencijo ali vsak drug organ, ki obdeluje osebne podatke v imenu
upravljavca; (8)
„prejemnik“ pomeni fizično ali pravno osebo, javni
organ, agencijo ali vsak drug organ, ki so mu bili podatki razkriti; (9)
„kršitev varnosti osebnih podatkov“ pomeni kršitev
varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo,
nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani,
shranjeni ali kako drugače obdelani; (10)
„genetski podatki“ pomenijo vse podatke ne glede na
njihovo vrsto v zvezi z značilnostmi posameznika, ki so podedovane ali
pridobljene v zgodnjem prenatalnem obdobju; (11)
„biometrični podatki“ pomenijo vse podatke v zvezi
s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki
omogočajo njegovo edinstveno identifikacijo, kot so podobe obraza ali daktiloskopski
podatki; (12)
„podatki o zdravstvenem stanju“ pomenijo vsako
informacijo, ki se nanaša na telesno ali duševno zdravje posameznika ali na
izvajanje zdravstvenih storitev za posameznika; (13)
„otrok“ pomeni osebo, mlajšo od 18 let; (14)
„pristojni organi“ pomenijo vsak javni organ,
pristojen za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj
ali izvrševanje kazenskih sankcij; (15)
„nadzorni organ“ pomeni javni organ, ki ga v skladu
s členom 39 ustanovi država članica. POGLAVJE II NAČELA Člen 4
Načela v zvezi z obdelavo osebnih podatkov Države članice zagotovijo, da so osebni
podatki obvezno: (a) obdelani pošteno in zakonito; (b) zbrani za določene, jasne in zakonite
namene ter se ne smejo naprej obdelovati na način, ki je nezdružljiv s temi
nameni; (c) primerni, ustrezni in ne pretirani glede
na namene, za katere se obdelujejo; (d) točni in po potrebi posodobljeni; sprejeti
je treba vse primerne ukrepe za zagotovitev, da se netočni osebni podatki
nemudoma izbrišejo ali popravijo ob upoštevanju namenov, za katere se
obdelujejo; (e) shranjeni v obliki, ki dopušča
identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko
časa, kolikor je potrebno za namene, za katere se osebni podatki obdelujejo; (f) obdelani v okviru pristojnosti in
odgovornosti upravljavca, ki zagotovi skladnost z določbami predpisov, sprejetih
v skladu s to direktivo. . Člen 5
Razlikovanje med različnimi vrstami posameznikov, na katere se nanašajo osebni
podatki 1. Države članice zagotovijo, da
upravljavec v največji možni meri jasno razlikuje med osebnimi podatki različnih
vrst posameznikov, na katere se nanašajo osebni podatki, kot so: (a) osebe, v zvezi s katerimi obstaja
utemeljen sum, da so storile kaznivo dejanje ali ga nameravajo storiti; (b) osebe, ki so bile obsojene za kaznivo
dejanje; (c) žrtve kaznivega dejanja ali osebe, v
zvezi s katerimi zaradi nekaterih dejstev obstajajo razlogi za utemeljen sum,
da bi lahko postale žrtve kaznivega dejanja; (d) tretje osebe, povezane s kaznivim dejanjem,
kot so osebe, od katerih bi se lahko zahtevalo pričanje v preiskavah v zvezi s
kaznivimi dejanji ali poznejšimi kazenskimi postopki, ali osebe, ki lahko
zagotovijo informacije o kaznivih dejanjih, ali stiki ali sodelavci osebe iz
odstavkov (a) in (b); ter (e) osebe, ki ne spadajo v nobeno od vrst
posameznikov iz tega člena. Člen 6
Različne stopnje točnosti in zanesljivosti osebnih podatkov 1. Države članice zagotovijo, da se
različne vrste osebnih podatkov, ki se obdelujejo, v največji možni meri
razlikujejo glede na njihovo stopnjo točnosti in zanesljivosti. 2. Države članice zagotovijo, da se
osebni podatki, ki temeljijo na dejstvih, v največji možni meri razlikujejo od
osebnih podatkov, ki temeljijo na osebnih mnenjih. Člen 7
Zakonitost obdelave Države članice zagotovijo, da je obdelava osebnih
podatkov zakonita le, če je potrebna in v obsegu, v katerem je potrebna: (a)
za opravljanje naloge, ki jo na podlagi zakonodaje izvaja
pristojni organ za namene iz člena 1(1); ali (b)
zaradi skladnosti s pravno obveznostjo upravljavca;
ali (c)
za varstvo življenjskih interesov posameznika, na
katerega se nanašajo osebni podatki, ali druge osebe; ali (d)
za preprečitev neposredne in resne ogroženosti
javne varnosti. Člen 8
Obdelava posebnih vrst osebnih podatkov 1. Države članice prepovejo
obdelavo osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično
prepričanje, vero ali prepričanje, članstvo v sindikatu, genetske podatke ali
podatke v zvezi z zdravstvenim ali spolnim življenjem. 2. Odstavek 1 se ne
uporablja, kadar: (a) je obdelava dovoljena z zakonom, ki
zagotavlja ustrezne zaščitne ukrepe; ali (b) je obdelava potrebna za varstvo
življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali
druge osebe; ali (c) je obdelava povezana s podatki, ki jih
posameznik, na katerega se nanašajo osebni podatki, objavi. Člen 9
Ukrepi na podlagi oblikovanja profilov in samodejna obdelava 1. Države
članice zagotovijo, da se ukrepi, ki imajo škodljiv pravni učinek na
posameznika, na katerega se nanašajo osebni podatki, ali ki nanj znatno vplivajo
in temeljijo zgolj na samodejni obdelavi osebnih podatkov za namene ocene nekaterih
osebnih vidikov posameznika, na katerega se nanašajo osebni podatki, prepovejo,
razen če so dovoljeni z zakonom, ki opredeljuje ukrepe za zaščito pravnega interesa
posameznika, na katerega se nanašajo osebni podatki. 2. Samodejna
obdelava osebnih podatkov za namene ocene nekaterih osebnih vidikov
posameznika, na katerega se nanašajo osebni podatki, ne temelji zgolj na
posebnih vrstah osebnih podatkov iz člena 8. POGLAVJE III PRAVICE POSAMEZNIKA, NA KATEREGA SE NANAŠAJO OSEBNI PODATKI Člen 10
Načini uveljavljanja pravic posameznika, na
katerega se nanašajo osebni podatki 1. Države članice zagotovijo, da
upravljavec izvede vse primerne ukrepe za pregledne in lahko dostopne politike
v zvezi z obdelavo osebnih podatkov in za uveljavljanje pravic posameznika, na
katerega se nanašajo osebni podatki. 2. Države članice zagotovijo, da
upravljavec posamezniku, na katerega se nanašajo osebni podatki, vse
informacije in vsa sporočila v zvezi z obdelavo osebnih podatkov posreduje v
razumljivi obliki, pri čemer uporabi jasen in preprost jezik. 3. Države članice zagotovijo, da
upravljavec izvede vse primerne ukrepe za določitev postopkov za zagotavljanje
informacij iz člena 11 in za uveljavljanje pravic posameznikov, na katere
se nanašajo osebni podatki, iz členov 12 do 17. 4. Države članice zagotovijo, da
upravljavec posameznika, na katerega se nanašajo osebni podatki, nemudoma obvesti
o nadaljnjih ukrepih. 5. Države članice zagotovijo, da
so informacije in vsi ukrepi upravljavca v zvezi z zahtevo iz odstavkov 3
in 4 brezplačni. Če so zahteve nadležne, zlasti zaradi njihove ponavljajoče se
narave ali velikosti ali obsega zahteve, lahko upravljavec zaračuna pristojbino
za zagotavljanje informacij ali izvajanje zahtevanih ukrepov ali pa ne izvede
ukrepa. V tem primeru nosi breme dokazovanja nadležne narave zahteve
upravljavec. Člen 11
Informacije, ki se zagotovijo posamezniku, na
katerega se nanašajo osebni podatki 1. Države članice zagotovijo, da
upravljavec pri zbiranju osebnih podatkov v zvezi s posameznikom, na katerega
se nanašajo osebni podatki, sprejme vse ustrezne ukrepe, da posamezniku, na
katerega se nanašajo osebni podatki, zagotovi vsaj naslednje: (a) informacije o identiteti upravljavca in
uradne osebe za varstvo podatkov ter njune kontaktne podatke; (b) informacije o namenih obdelave osebnih
podatkov; (c) informacije o roku shranjevanja osebnih
podatkov; (d) informacije o obstoju pravice, da se od
upravljavca zahtevajo dostop do osebnih podatkov in popravek, izbris ali
omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se
nanašajo osebni podatki; (e) informacije o pravici do vložitve
pritožbe pri nadzornem organu iz člena 39 in njegove kontaktne podatke; (f) informacije o prejemnikih ali vrstah prejemnikov
osebnih podatkov, tudi v tretjih državah ali mednarodnih organizacijah; (g) vse nadaljnje informacije, če so te
nadaljnje informacije potrebne za zagotovitev poštene obdelave glede na
posameznika, na katerega se nanašajo osebni podatki, pri čemer se upoštevajo
posebne okoliščine, v katerih se obdelujejo osebni podatki. 2. Če se osebni podatki zbirajo
od posameznika, na katerega se nanašajo osebni podatki, upravljavec
posameznika, na katerega se nanašajo osebni podatki, poleg informacij iz
odstavka 1 obvesti o tem, ali je zagotovitev osebnih podatkov obvezna ali
prostovoljna in o možnih posledicah, če se taki podatki ne zagotovijo. 3. Upravljavec zagotovi
informacije iz odstavka 1: (a) ob pridobitvi osebnih podatkov od
posameznika, na katerega se nanašajo osebni podatki; ali (b) kadar se osebni podatki ne zberejo od
posameznika, na katerega se nanašajo osebni podatki, med beleženjem ali v primernem
roku po zbiranju glede na posebne okoliščine, v katerih se podatki obdelajo. 4. Države članice lahko
sprejmejo zakonodajne ukrepe za zadržanje, omejitev ali opustitev zagotovitve informacij
posameznikom, na katere se nanašajo osebni podatki, če je taka delna ali popolna
omejitev, ki mora upoštevati pravni interes zadevne osebe, nujen in sorazmeren ukrep
v demokratični družbi: (a)
za preprečitev oviranja uradnih in zakonitih
preiskav, poizvedb ali postopkov; (b)
za izogibanje vplivu na preprečevanje,
preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih
sankcij; (c)
za zaščito javne varnosti; (d)
za zaščito nacionalne varnosti; (e)
za zaščito pravic in svoboščin drugih. 5. Države članice lahko določijo
vrste obdelave podatkov, ki se lahko v celoti ali delno obravnavajo kot izjeme
iz odstavka 4. Člen 12
Pravica do dostopa za posameznika, na katerega se
nanašajo osebni podatki 1. Države članice določijo
pravico posameznika, na katerega se nanašajo osebni podatki, da od upravljavca
pridobi potrditev, ali se v zvezi z njim obdelujejo osebni podatki ali ne. Če
se taki osebni podatki obdelujejo, upravljavec zagotovi naslednje: (a) informacije o namenih obdelave; (b) informacije o vrstah zadevnih osebnih
podatkov; (c) informacije o prejemnikih ali vrstah prejemnikov,
ki so jim bili posredovani osebni podatki, zlasti prejemnikih v tretjih državah; (d) informacije o roku shranjevanja osebnih
podatkov; (e) informacije o obstoju pravice, da od
upravljavca zahteva popravek, izbris ali omejitev obdelave osebnih podatkov v
zvezi s posameznikom, na katerega se nanašajo osebni podatki; (f) informacije o pravici do vložitve
pritožbe pri nadzornem organu in njegove kontaktne podatke; (g) sporočilo o osebnih podatkih, ki se
obdelujejo, in o vseh dostopnih informacijah v zvezi z njihovim virom. 2. Države članice določijo
pravico posameznika, na katerega se nanašajo osebni podatki, da od upravljavca
pridobi kopijo osebnih podatkov, ki se obdelujejo. Člen 13
Omejitve pravice do dostopa 1.
Države članice lahko sprejmejo zakonodajne ukrepe,
s katerimi posamezniku, na katerega se nanašajo osebni podatki, popolnoma ali
delno omejijo pravico do dostopa, če je taka delna ali popolna omejitev, ki
mora upoštevati pravni interes zadevne osebe, nujen in sorazmeren ukrep v
demokratični družbi: (a)
za preprečitev oviranja uradnih in zakonitih
preiskav, poizvedb ali postopkov; (b)
za izogibanje vplivu na preprečevanje,
preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih
sankcij; (c)
za zaščito javne varnosti; (d)
za zaščito nacionalne varnosti; (e)
za zaščito pravic in svoboščin drugih. 2.
Države članice lahko predpišejo tudi vrste obdelave
podatkov, ki se lahko v celoti ali delno obravnavajo kot izjeme iz
odstavka 1. 3.
Države članice v primerih iz odstavkov 1 in 2
določijo, da upravljavec posameznika, na katerega se nanašajo osebni podatki,
pisno obvesti o vsaki zavrnitvi ali omejitvi dostopa, o razlogih za zavrnitev
ter o možnostih za vložitev pritožbe pri nadzornem organu in uveljavitev
pravnega sredstva v sodnem postopku. Informacije o dejanskem stanju ali pravni podlagi,
na katerih temelji odločitev, se lahko izpustijo, če bi zagotovitev takih
informacij razvrednotila namen iz odstavka 1. 4.
Države članice zagotovijo, da upravljavec
dokumentira razloge, zakaj ni obvestil posameznika, na katerega se nanašajo
osebni podatki, o dejanskem stanju ali pravni podlagi, na katerih temelji
odločitev. Člen 14
Načini uveljavljanja pravice do dostopa 1. Države članice posamezniku,
na katerega se nanašajo osebni podatki, zagotovijo pravico, da, zlasti v
primerih iz člena 13, od nadzornega organa zahteva pregled zakonitosti
obdelave. 2. Države članice zagotovijo, da
upravljavec posameznika, na katerega se nanašajo osebni podatki, obvesti o
pravici do zahteve po posredovanju nadzornega organa v skladu z
odstavkom 1. 3. Če posameznik, na katerega se
nanašajo osebni podatki, uveljavlja pravico iz odstavka 1, ga nadzorni
organ obvesti vsaj o tem, da je izvedel vsa potrebna preverjanja, in o izidu v
zvezi z zakonitostjo zadevne obdelave. Člen 15
Pravica do popravka 1. Države članice zagotovijo, da
ima posameznik, na katerega se nanašajo osebni podatki, pravico pri upravljavcu
doseči popravek netočnih osebnih podatkov v zvezi z njim. Posameznik, na
katerega se nanašajo osebni podatki, ima pravico do dopolnitve nepopolnih
osebnih podatkov, zlasti z izjavo o popravku. 2. Države članice zagotovijo, da
upravljavec posameznika, na katerega se nanašajo osebni podatki, pisno obvesti
o vsaki zavrnitvi popravka, razlogih za zavrnitev ter možnostih za vložitev
pritožbe pri nadzornem organu in uveljavitev pravnega sredstva v sodnem
postopku. Člen 16
Pravica do izbrisa 1.
Države članice zagotovijo, da ima posameznik, na
katerega se nanašajo osebni podatki, pravico pri upravljavcu doseči izbris
osebnih podatkov v zvezi z njim, če obdelava ni skladna z določbami predpisov,
sprejetih v skladu s členom 4(a) do (e) ter členoma 7 in 8 te
direktive. 2.
Upravljavec izvede izbris nemudoma. 3.
Upravljavec namesto izbrisa označi osebne podatke,
kadar: (a)
posameznik, na katerega se nanašajo osebni podatki,
oporeka njihovi točnosti, in sicer za čas, ki upravljavcu omogoča preveriti
točnost podatkov; (b)
je treba osebne podatke ohraniti za namene
dokazovanja; (c)
posameznik, na katerega se nanašajo osebni podatki,
nasprotuje njihovemu izbrisu in namesto tega zahteva omejitev njihove uporabe. 4.
Države članice zagotovijo, da upravljavec
posameznika, na katerega se nanašajo osebni podatki, pisno obvesti o vsaki
zavrnitvi izbrisa ali označevanja obdelave, razlogih za zavrnitev ter možnostih
za vložitev pritožbe pri nadzornem organu in uveljavitev pravnega sredstva v
sodnem postopku. Člen 17
Pravice posameznika, na katerega se nanašajo osebni podatki, v kazenski
preiskavi in kazenskem postopku Države članice lahko zagotovijo, da se pravice
do informacij, dostopa, popravkov, izbrisa in omejitve obdelave iz
členov 11 do 16 izvedejo v skladu z nacionalnimi predpisi o sodnih
postopkih, če so osebni podatki v sodni odločbi ali sodnem spisu, ki se obdela
med kazensko preiskavo in kazenskim postopkom. POGLAVJE IV
UPRAVLJAVEC IN OBDELOVALEC ODDELEK 1
SPLOŠNE OBVEZNOSTI Člen 18
Pristojnost upravljavca 1. Države članice zagotovijo, da
upravljavec sprejme politike in izvede ustrezne ukrepe za zagotovitev obdelave
osebnih podatkov v skladu z določbami predpisov, sprejetih v skladu s to
direktivo. 2. Ukrepi iz odstavka 1 obsegajo
zlasti: (a) hranjenje dokumentacije iz člena 23; (b) skladnost z zahtevami za predhodno
posvetovanje v skladu s členom 26; (c) izvajanje zahtev za varnost podatkov iz
člena 27; (d) imenovanje uradne osebe za varstvo
podatkov v skladu s členom 30. 3. Upravljavec uporabi mehanizme
za zagotovitev preverjanja učinkovitosti ukrepov iz odstavka 1 tega člena.
Če je to preverjanje sorazmerno, ga izvedejo neodvisni notranji ali zunanji
revizorji. Člen 19
Vgrajeno varstvo podatkov 1. Države članice zagotovijo, da
upravljavec ob upoštevanju doseženega razvoja tehnologije in stroškov izvajanja
izvede ustrezne tehnične in organizacijske ukrepe in postopke na tak način, da
obdelava ustreza zahtevam določb predpisov, sprejetih v skladu s to direktivo,
in zagotavlja zaščito pravic posameznika, na katerega se nanašajo osebni
podatki. 2. Upravljavec uporabi mehanizme
za zagotovitev, da se privzeto obdelajo samo tisti osebni podatki, ki so
potrebni za namene obdelave. Člen 20
Skupni upravljavci Države članice zagotovijo, da morajo skupni
upravljavci, kadar upravljavec določi namene, pogoje in sredstva obdelave
osebnih podatkov skupaj z drugimi, z medsebojnim dogovorom določiti svoje naloge
za skladnost z določbami predpisov, sprejetih v skladu s to direktivo, zlasti v
zvezi s postopki in mehanizmi za uveljavljanje pravic posameznika, na katerega
se nanašajo osebni podatki. Člen 21
Obdelovalec 1.
Kadar se postopek obdelave izvede v imenu
upravljavca, države članice določijo, da mora upravljavec izbrati obdelovalca,
ki zagotovi zadostna jamstva za izvedbo ustreznih tehničnih in organizacijskih
ukrepov in postopkov na tak način, da obdelava ustreza zahtevam določb predpisov,
sprejetih v skladu s to direktivo, in zagotovi zaščito pravic posameznika, na
katerega se nanašajo osebni podatki. 2.
Države članice zagotovijo, da mora izvajanje
obdelave prek obdelovalca urejati pravni akt, ki določa obveznosti obdelovalca do
upravljavca, predvsem da obdelovalec deluje samo po navodilih upravljavca,
zlasti kadar je prenos uporabljenih osebnih podatkov prepovedan. 3.
Če obdelovalec obdela osebne podatke, katerih obdelave
upravljavec od njega ni zahteval, se obdelovalec v zvezi s to obdelavo
obravnava kot upravljavec in zanj veljajo pravila o skupnih upravljavcih iz člena 20. Člen 22
Obdelava pod vodstvom upravljavca in obdelovalca Države članice zagotovijo, da lahko
obdelovalec in vsaka oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca,
ki ima dostop do osebnih podatkov, osebne podatke obdelata samo po navodilih
upravljavca ali če to zahteva zakonodaja Unije ali nacionalna zakonodaja. Člen 23
Dokumentacija 1.
Države članice zagotovijo, da vsak upravljavec in
obdelovalec ohrani dokumentacijo vseh sistemov in postopkov obdelave v okviru
svoje pristojnosti. 2.
Dokumentacija vsebuje vsaj naslednje informacije o: (a) imenu upravljavca ali katerega koli
skupnega upravljavca ali obdelovalca in njegove kontaktne podatke; (b) namenih obdelave; (c) prejemnikih ali vrstah prejemnikov
osebnih podatkov; (d) prenosih podatkov v tretjo državo ali
mednarodno organizacijo, vključno z identifikacijo te tretje države ali
mednarodne organizacije. 3. Upravljavec in obdelovalec
nadzornemu organu na zahtevo omogočita dostop do dokumentacije. Člen 24
Vodenje evidenc 1. Države članice zagotovijo vodenje
evidenc vsaj o naslednjih postopkih obdelave: zbiranje, predelava, vpogled,
razkritje, kombiniranje ali izbris. Evidence vpogleda in razkritja kažejo
zlasti namen, datum in čas takih postopkov ter v največji možni meri istovetnost
osebe, ki je vpogledala v osebne podatke ali jih je razkrila. 2. Evidence se uporabljajo izključno
za preverjanje zakonitosti obdelave podatkov, notranje spremljanje ter
zagotavljanje neoporečnosti in varnosti podatkov. Člen 25
Sodelovanje z nadzornim organom 1. Države
članice zagotovijo, da upravljavec in obdelovalec pri opravljanju svojih
dolžnosti na zahtevo sodelujeta z nadzornim organom, zlasti z zagotavljanjem
vseh informacij, ki jih nadzorni organ potrebuje za opravljanje svojih
dolžnosti. 2. Kot
odziv na izvajanje pooblastil nadzornega organa iz točk (a) in (b)
člena 46 upravljavec in obdelovalec nadzornemu organu odgovorita v primernem
roku. Odgovor vključuje opis sprejetih ukrepov in doseženih rezultatov kot
odziv na pripombe nadzornega organa. Člen 26
Predhodno posvetovanje z nadzornim organom 1.
Države članice zagotovijo, da se upravljavec ali
obdelovalec pred obdelavo osebnih podatkov, ki bodo del nove zbirke, posvetuje
z nadzornim organom, če: (a) bodo obdelane posebne vrste podatkov iz
člena 8; (b) vrsta obdelave, predvsem zaradi uporabe novih
tehnologij, mehanizmov ali postopkov, sicer vključuje posebna tveganja za
temeljne pravice in svoboščine ter zlasti za varstvo osebnih podatkov
posameznika, na katerega se nanašajo osebni podatki. 2.
Države članice lahko zagotovijo, da nadzorni organ
oblikuje seznam postopkov obdelave, o katerih se je treba v skladu z odstavkom 1
predhodno posvetovati. ODDELEK 2
VARNOST PODATKOV Člen 27
Varnost obdelave 1. Države
članice določijo, da morata upravljavec in obdelovalec izvajati ustrezne
tehnične in organizacijske ukrepe za zagotovitev ravni varnosti, ustrezne
tveganjem, ki jih pomenita obdelava in narava podatkov, ki jih je treba
varovati, pri čemer se upoštevajo doseženi razvoj tehnologije in stroški za
njihovo izvajanje. 2. V
zvezi s samodejno obdelavo podatkov vsaka država članica zagotovi, da upravljavec
ali obdelovalec po oceni tveganj izvede ukrepe, katerih namen je: (a)
nepooblaščenim osebam onemogočiti dostop do opreme
za obdelavo podatkov, ki se uporablja za obdelavo osebnih podatkov (nadzor
dostopa do opreme); (b)
preprečiti nepooblaščeno branje, prepisovanje,
spreminjanje ali odnašanje nosilcev podatkov (nadzor nosilcev podatkov); (c)
preprečiti nepooblaščeno vnašanje podatkov v
podatkovne zbirke in nepooblaščeno pregledovanje, spreminjanje ali brisanje
shranjenih osebnih podatkov (nadzor shranjevanja); (d)
nepooblaščenim osebam, ki uporabljajo opremo za
prenos podatkov, preprečiti uporabo sistemov za samodejno obdelavo podatkov
(nadzor uporabnikov); (e)
zagotoviti, da imajo osebe, pooblaščene za uporabo samodejnega
sistema obdelave podatkov, dostop samo do podatkov, ki jih zajema njihovo
pooblastilo za dostop (nadzor dostopa do podatkov); (f)
zagotoviti možnost preverjanja in ugotavljanja,
katerim organom so osebni podatki bili ali bi lahko bili poslani oziroma jim je
bil ali bi jim lahko bil omogočen dostop do njih prek opreme za prenos podatkov
(nadzor prenosa); (g)
zagotoviti, da se lahko naknadno preveri in
ugotovi, kateri osebni podatki so bili vneseni v sisteme za samodejno obdelavo
podatkov ter kdaj in kdo jih je vnesel (nadzor vnosa); (h)
preprečiti nepooblaščeno branje, prepisovanje,
spreminjanje ali izbris osebnih podatkov med pošiljanjem osebnih podatkov ali
med premeščanjem nosilcev podatkov (nadzor premeščanja); (i)
zagotoviti, da se lahko nameščeni sistemi v primeru
prekinitve ponovno vzpostavijo (obnova); (j)
zagotoviti, da funkcije sistema delujejo, da se
pojavljanje napak v funkcijah sporoči (zanesljivost) in da shranjeni osebni
podatki ne morejo postati neuporabni zaradi okvare sistema (neoporečnost). 3. Komisija
lahko po potrebi sprejme izvedbene akte za določitev zahtev iz odstavkov 1
in 2, glede na različne okoliščine, zlasti standarde šifriranja. Navedeni
izvedbeni akti se sprejmejo v skladu postopkom pregleda iz člena 57(2). Člen 28
Obveščanje nadzornega
organa o kršitvi varnosti osebnih podatkov 1. Države članice zagotovijo, da
mora upravljavec v primeru kršitve varnosti osebnih podatkov o kršitvi nemudoma,
in če je mogoče, najpozneje v 24 urah po odkritju kršitve obvestiti nadzorni
organ. Upravljavec nadzornemu organu na zahtevo predloži primerno utemeljitev v
primerih, kadar nadzorni organ ni bil obveščen v 24 urah. 2. Obdelovalec takoj po odkritju
kršitve varnosti osebnih podatkov na to opozori in o tem obvesti upravljavca. 3. Obvestilo iz odstavka 1
vsebuje vsaj: (a) opis kršitve varnosti osebnih podatkov,
vključno z vrstami in številom zadevnih posameznikov, na katere se nanašajo
osebni podatki, ter vrstami in številom zadevnih evidenc podatkov; (b) sporočilo o istovetnosti in kontaktnih
podatkih uradne osebe za varstvo podatkov iz člena 30 ali drugi kontaktni
točki, pri katerih je mogoče pridobiti več informacij; (c) priporočene ukrepe za ublažitev
morebitnih škodljivih učinkov kršitve varnosti osebnih podatkov; (d) opis možnih posledic kršitve varnosti
osebnih podatkov; (e) opis ukrepov, ki jih upravljavec predlaga
ali sprejme za obravnavanje kršitve varnosti osebnih podatkov. 4. Države članice zagotovijo, da
upravljavec dokumentira vsako kršitev varnosti osebnih podatkov, kar vključuje
dejstva v zvezi s kršitvijo, njene učinke in sprejete popravne ukrepe. Ta dokumentacija
mora nadzornemu organu omogočati, da preveri skladnost s tem členom.
Dokumentacija vključuje samo informacije, potrebne za ta namen. 5. Komisija je pooblaščena za
sprejetje delegiranih aktov v skladu s členom 56 za namen nadaljnje določitve
meril in zahtev za ugotavljanje kršitve varnosti podatkov iz odstavkov 1
in 2 ter za posebne okoliščine, v katerih se od upravljavca in obdelovalca
zahteva, da predložita obvestilo o kršitvi varnosti osebnih podatkov. 6. Komisija lahko določi
standardno obliko takega obvestila nadzornemu organu, postopke, ki se
uporabljajo za zahtevo po obvestilu, ter obliko in načine dokumentiranja iz
odstavka 4, vključno z roki za zagotovitev informacij iz dokumentacije.
Navedeni izvedbeni akti se sprejmejo v skladu postopkom pregleda iz
člena 57(2). Člen 29
Obveščanje posameznika, na
katerega se nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov 1. Če je verjetno, da kršitev
varnosti osebnih podatkov škodljivo vpliva na varstvo osebnih podatkov ali
zasebnost posameznika, na katerega se nanašajo osebni podatki, države članice
zagotovijo, da upravljavec po predložitvi obvestila iz člena 28
posamezniku, na katerega se nanašajo osebni podatki, nemudoma pošlje sporočilo
o kršitvi varnosti osebnih podatkov. 2. Sporočilo posamezniku, na
katerega se nanašajo osebni podatki, iz odstavka 1 opisuje kršitev
varnosti osebnih podatkov ter vsebuje vsaj informacije in priporočila iz
točk (b) in (c) člena 28(3). 3. Posameznika, na katerega se
nanašajo osebni podatki, o kršitvi varnosti osebnih podatkov ni treba obvestiti,
če je upravljavec nadzornemu organu zadovoljivo dokazal, da je izvedel ustrezne
tehnološke zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke,
v zvezi s katerimi je bila kršena varnost. Zaradi takih tehnoloških zaščitnih
ukrepov bi morali biti podatki nerazumljivi vsem, ki niso pooblaščeni za dostop
do njih. 4. Obveščanje posameznika, na
katerega se nanašajo osebni podatki, se lahko zaradi razlogov iz
člena 11(4) zadrži, omeji ali opusti. ODDELEK 3
URADNA OSEBA ZA VARSTVO PODATKOV Člen 30
Imenovanje uradne osebe za varstvo podatkov 1.
Države članice zagotovijo, da upravljavec ali
obdelovalec imenuje uradno osebo za varstvo podatkov. 2.
Uradna oseba za varstvo podatkov se imenuje na
podlagi strokovnih odlik in zlasti strokovnega znanja o zakonodaji in praksah
varstva podatkov ter zmožnosti za izpolnjevanje nalog iz člena 32. 3.
Uradna oseba za varstvo podatkov se lahko določi za
več subjektov, pri čemer se upošteva organizacijska struktura pristojnega
organa. Člen 31
Položaj uradne osebe za
varstvo podatkov 1.
Države članice določijo, da upravljavec ali
obdelovalec zagotovi, da je uradna oseba za varstvo podatkov ustrezno in
pravočasno vključena v vse zadeve v zvezi z varstvom osebnih podatkov. 2.
Upravljavec ali obdelovalec zagotovi, do so uradni
osebi za varstvo podatkov zagotovljena vsa sredstva za učinkovito in neodvisno
opravljanje dolžnosti in nalog iz člena 32 ter da uradna oseba za varstvo
podatkov ne prejema nikakršnih navodil v zvezi z opravljanjem funkcije. Člen 32
Naloge uradne osebe za varstvo podatkov Države članice zagotovijo, da upravljavec ali
obdelovalec uradni osebi za varstvo podatkov zaupa vsaj naslednje naloge: (a)
obveščanje in svetovanje upravljavcu ali
obdelovalcu v zvezi z njegovimi obveznostmi v skladu z določbami predpisov,
sprejetih v skladu s to direktivo, ter dokumentiranje te dejavnosti in prejetih
odgovorov; (b)
spremljanje izvajanja in uporabe politik v zvezi z
varstvom osebnih podatkov, vključno z dodeljevanjem nalog, usposabljanjem
uslužbencev, vključenih v postopke obdelave, in s tem povezanimi revizijami; (c)
spremljanje izvajanja in uporabe določb predpisov,
sprejetih v skladu s to direktivo, zlasti v zvezi z zahtevami, povezanimi z vgrajenim
varstvom podatkov in varnostjo podatkov, ter v zvezi z informacijami
posameznikov, na katere se nanašajo osebni podatki, in njihovimi zahtevami pri
uveljavljanju pravic na podlagi določb predpisov, sprejetih v skladu s to
direktivo; (d)
zagotavljanje ohranjanja dokumentacije iz
člena 23; (e)
spremljanje dokumentiranja, obveščanja in
posredovanja sporočil o kršitvah varnosti osebnih podatkov iz členov 28 in
29; (f)
spremljanje prijave nadzornemu organu za predhodno
posvetovanje, če se to zahteva v skladu s členom 26; (g)
spremljanje odgovora na zahteve nadzornega organa
in sodelovanje, v okviru pristojnosti uradne osebe za varstvo podatkov, z
nadzornim organom na zahtevo slednjega ali na njegovo lastno pobudo; (h)
delovanje kot kontaktna točka za nadzorni organ pri
vprašanjih v zvezi z obdelavo in posvetovanje z nadzornim organom na pobudo
uradne osebe za varstvo podatkov, če je to primerno. POGLAVJE V
PRENOS OSEBNIH PODATKOV V TRETJE DRŽAVE ALI MEDNARODNE ORGANIZACIJE Člen 33
Splošna načela za prenose osebnih podatkov Države članice predvidijo, da lahko pristojni organi vsak prenos
osebnih podatkov, ki se obdelujejo ali so namenjeni obdelavi po prenosu v
tretjo državo ali mednarodno organizacijo, vključno z nadaljnjim prenosom v
drugo tretjo državo ali mednarodno organizacijo, izvede samo, če: (a) je prenos potreben za preprečevanje,
preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih
sankcij; ter (b) upravljavec in obdelovalec ravnata v
skladu s pogoji iz tega poglavja. Člen 34
Prenosi s sklepom o ustreznosti 1. Države članice zagotovijo
možnost prenosa osebnih podatkov v tretjo državo ali mednarodno organizacijo,
če je Komisija v skladu s členom 41 Uredbe (EU) št. …/2012 ali v
skladu z odstavkom 3 tega člena odločila, da zadevna tretja država, zadevna
ozemeljska enota, zadevni sektor za obdelavo v tej tretji državi ali zadevna
mednarodna organizacija zagotavlja ustrezno raven varstva. Za tak prenos ni
potrebno nobeno dodatno pooblastilo. 2. Če v skladu s členom 41
Uredbe (EU) št. …/2012 ni bil sprejet noben sklep, Komisija oceni
ustreznost ravni varstva, pri čemer upošteva naslednje: (a) načelo vladavine prava, ustrezno veljavno
zakonodajo, tako splošno kot sektorsko, tudi glede javne varnosti, obrambe,
nacionalne varnosti in kazenskega prava ter glede varnostnih ukrepov, ki se
upoštevajo v navedeni državi ali mednarodni organizaciji; prav tako učinkovite
in izvršljive pravice vključno z učinkovitim upravnim in sodnim varstvom za
posameznike, na katere se nanašajo osebni podatki, zlasti za tiste posameznike,
na katere se nanašajo osebni podatki, ki imajo stalno prebivališče v Uniji in
katerih osebni podatki se prenašajo; (b) obstoj in učinkovito delovanje enega ali
več neodvisnih nadzornih organov v zadevni tretji državi ali zadevni mednarodni
organizaciji, ki so pristojni za zagotavljanje skladnosti s predpisi o varstvu
podatkov, za pomoč in svetovanje posamezniku, na katerega se nanašajo osebni
podatki, pri uveljavljanju njegovih pravic ter za sodelovanje z nadzornimi
organi Unije in držav članic; ter (c) mednarodne obveznosti, ki jih je prevzela
zadevna tretja država ali zadevna mednarodna organizacija. 3. Komisija lahko v okviru te
direktive odloči, da tretja država ali ozemeljska enota ali sektor za obdelavo v
navedeni tretji državi ali mednarodna organizacija zagotavlja ustrezno raven
varstva v smislu odstavka 2. Takšni izvedbeni akti se sprejmejo v skladu s
postopkom pregleda iz člena 57(2). 4. V izvedbenih aktih se določi njihova
ozemeljska in sektorska uporaba, po potrebi pa se opredelijo nadzorni organ iz točke (b)
odstavka 2. 5. Komisija lahko v okviru te
direktive odloči, da tretja država, ozemeljska enota, sektor za obdelavo v navedeni
tretji državi ali mednarodna organizacija ne zagotavlja ustrezne ravni varstva
v smislu odstavka 2, zlasti kadar ustrezna zakonodaja, tako splošna kot
sektorska, ki velja v tretji državi ali mednarodni organizaciji, ne zagotavlja
učinkovitih in izvršljivih pravic, vključno z učinkovitim upravnim in sodnim
varstvom za posameznike, na katere se nanašajo osebni podatki, zlasti za tiste
posameznike, na katere se nanašajo osebni podatki, katerih osebni podatki se
prenašajo. Takšni izvedbeni akti se sprejmejo v skladu s postopkom pregleda iz
člena 57(2) ali v izjemno nujnih primerih za posameznike glede na njihovo
pravico do varstva osebnih podatkov v skladu s postopkom iz člena 57(3). 6. Če Komisija v skladu z
odstavkom 5 odloči, da je vsak prenos osebnih podatkov v zadevno tretjo
državo, v zadevno ozemeljsko enoto, v zadevni sektor za obdelavo v navedeni tretji
državi ali v zadevno mednarodno organizacijo prepovedan, države članice
zagotovijo, da ta odločitev ne posega v prenose iz člena 35(1) ali da je v
skladu s členom 36. Komisija v primernem roku začne izvajati posvetovanja
s tretjo državo ali mednarodno organizacijo v zvezi z urejanjem položaja, ki je
posledica sklepa iz odstavka 5 tega člena. 7. Komisija v Uradnem listu
Evropske unije objavi seznam navedenih tretjih držav, ozemeljskih enot in
sektorjev za obdelavo v tretji državi ali mednarodni organizaciji, v zvezi s
katerimi se odloči, ali je ustrezna raven varstva dosežena ali ne. 8. Komisija spremlja uporabo
izvedbenih aktov iz odstavkov 3 in 5. Člen 35
Prenosi z ustreznimi zaščitnimi ukrepi 1.
Če Komisija ni sprejela nobenega sklepa v skladu s
členom 34, države članice zagotovijo, da se lahko prenos osebnih podatkov
prejemniku v tretji državi ali mednarodni organizaciji izvede, če: (a) so bili v pravno zavezujočem pravnem aktu
navedeni ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov; ali (b) je upravljavec ali obdelovalec ocenil vse
okoliščine v zvezi s prenosom osebnih podatkov in sklene, da v zvezi z varstvom
osebnih podatkov obstajajo ustrezni zaščitni ukrepi. 2.
Odločitev za prenose na podlagi odstavka 1(b)
sprejmejo ustrezno pooblaščeni uslužbenci. Te prenose je treba dokumentirati, pri
čemer mora biti dokumentacija na voljo na zahtevo nadzornega organa. Člen 36
Odstopanja Z odstopanjem od
členov 34 in 35 države članice zagotovijo, da se lahko prenos osebnih
podatkov v tretjo državo ali mednarodno organizacijo izvede samo, če: (a) je prenos potreben za zaščito življenjskih
interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe;
ali (b) je prenos potreben za zaščito pravnega interesa
posameznika, na katerega se nanašajo osebni podatki, če to določa zakonodaja
države članice, ki prenaša osebne podatke; ali (c) je prenos podatkov bistvenega pomena za
preprečitev neposredne in resne ogroženosti javne varnosti države članice ali
tretje države; ali (d) je prenos v posameznih primerih potreben
za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj
ali izvrševanja kazenskih sankcij; ali (e) je prenos v posameznih primerih potreben
zaradi uveljavitve, izvajanja ali obrambe pravnih zahtevkov v zvezi s
preprečevanjem, preiskovanjem, odkrivanjem ali pregonom kaznivih dejanj ali
izvrševanjem posebne kazenske sankcije. Člen 37
Posebni pogoji za prenos osebnih podatkov Države članice zagotovijo, da upravljavec
prejemnika osebnih podatkov obvesti o vseh omejitvah in sprejme vse primerne
ukrepe za zagotovitev, da se te omejitve upoštevajo. Člen 38
Mednarodno sodelovanje za varstvo osebnih podatkov 1. Komisija in države članice v
zvezi s tretjimi državami in mednarodnimi organizacijami sprejmejo ustrezne
ukrepe, da: (a)
oblikujejo učinkovite mehanizme mednarodnega sodelovanja
za spodbujanje uveljavljanja zakonodaje o varstvu osebnih podatkov; (b)
zagotovijo mednarodno medsebojno pomoč pri
uveljavljanju zakonodaje o varstvu osebnih podatkov, vključno z obveščanjem,
posredovanjem pritožbe, pomočjo pri preiskavah in izmenjavo informacij, v zvezi
s čimer se uporabljajo ustrezni zaščitni ukrepi za varstvo osebnih podatkov ter
drugih temeljnih pravic in svoboščin; (c)
ustrezne zainteresirane strani vključijo v razpravo
in dejavnosti, katerih cilj je pospeševanje mednarodnega sodelovanja pri
uveljavljanju zakonodaje o varstvu osebnih podatkov; (d)
spodbudijo izmenjavo in dokumentiranje zakonodaje
in prakse za varstvo osebnih podatkov. 2. Komisija za namene iz
odstavka 1 sprejme ustrezne ukrepe za spodbujanje odnosa s tretjimi
državami ali z mednarodnimi organizacijami in zlasti z njihovimi nadzornimi
organi, če je Komisija odločila, da zagotavljajo ustrezno raven varstva v
smislu člena 34(3). POGLAVJE VI
NEODVISNI NADZORNI ORGANI ODDELEK 1
STATUS NEODVISNOSTI Člen 39
Nadzorni organ 1.
Vsaka država članica določi, da je eden ali več
javnih organov pristojnih za spremljanje uporabe določb predpisov, sprejetih v
skladu s to direktivo, in za prispevanje k dosledni uporabi Direktive v Uniji
za zaščito temeljnih pravic in svoboščin fizičnih oseb v zvezi z obdelavo
njihovih osebnih podatkov ter za zagotovitev prostega pretoka osebnih podatkov
v Uniji. V ta namen je potrebno medsebojno sodelovanje nadzornih organov in
sodelovanje s Komisijo. 2.
Države članice lahko določijo, da nadzorni organ,
ustanovljen v državah članicah v skladu z Uredbo (EU) št. …/2012,
prevzame pristojnost izvajanja nalog nadzornega organa, ki bo ustanovljen v
skladu z odstavkom 1 tega člena. 3.
Če je v državi članici ustanovljen več kot en
nadzorni organ, ta država članica določi nadzorni organ, ki deluje kot enotna
kontaktna točka za učinkovito udeležbo navedenih organov v Evropskem odboru za
varstvo podatkov. Člen 40
Neodvisnost 1. Države članice zagotovijo, da
nadzorni organ pri izvajanju svojih nalog in pooblastil, ki so mu bili zaupani,
ravna popolnoma neodvisno. 2. Vsaka država članica
zagotovi, da člani nadzornega organa pri izvajanju svojih nalog nikogar ne prosijo
za navodila in jih od nikogar ne sprejemajo. 3. Člani nadzornega organa se
vzdržijo vsakega delovanja, ki je nezdružljivo z njihovimi dolžnostmi, in se v
času svojega mandata ne ukvarjajo z nobenim nezdružljivim delom, bodisi
profitnim bodisi neprofitnim. 4. Člani nadzornega organa po prenehanju
svojega mandata ravnajo neoporečno in preudarno glede sprejemanja imenovanj in
ugodnosti. 5. Vsaka država članica
zagotovi, da so nadzornemu organu na voljo zadostni človeški, tehnični in
finančni viri, prostori in infrastruktura, ki so potrebni za učinkovito
izvajanje njegovih nalog in pooblastil, vključno s tistimi, ki se izvedejo v
smislu medsebojne pomoči, sodelovanja in dejavne udeležbe v Evropskem odboru za
varstvo podatkov. 6. Vsaka država članica
zagotovi, da ima nadzorni organ svoje osebje, člane katerega imenuje in usmerja
vodja nadzornega organa. 7. Države članice zagotovijo, da
se izvaja finančni nadzor nadzornega organa, kar pa ne vpliva na njegovo
neodvisnost. Države članice zagotovijo, da ima nadzorni organ ločene letne
proračune. Proračuni se objavijo. Člen 41
Splošni pogoji za člane nadzornega organa 1. Države članice zagotovijo, da
člane nadzornega organa imenuje parlament ali vlada zadevne države članice. 2. Člani se izberejo izmed oseb,
o neodvisnosti katerih ni nikakršnih dvomov ter ki dokazujejo izkušnje in
strokovnost, potrebne za opravljanje njihovih dolžnosti. 3. Dolžnosti člana prenehajo v
primeru prenehanja mandata, odstopa ali prisilne razrešitve v skladu z
odstavkom 5. 4. Pristojno nacionalno sodišče
lahko razreši člana ali mu odvzame pravico do pokojnine ali do drugih podobnih ugodnosti,
če član ne izpolnjuje več pogojev, ki se zahtevajo za opravljanje njegovih
dolžnosti, ali če je zagrešil hujšo kršitev. 5. Če članu mandat preneha ali če
član odstopi, še naprej opravlja svoje dolžnosti, dokler ni imenovan nov član. Člen 42
Pravila o ustanovitvi nadzornega organa Vsaka država članica predpiše: (a) ustanovitev in status nadzornega
organa v skladu s členoma 39 in 40; (b) kvalifikacije, izkušnje in
strokovnost, ki se zahtevajo za opravljanje dolžnosti članov nadzornega organa;
(c) pravila in postopke za imenovanje
članov nadzornega organa ter pravila o ukrepih ali delu, ki so nezdružljivi z
dolžnostmi urada; (d) trajanje mandata članov nadzornega
organa, ki ni krajši od štirih let, razen pri prvem imenovanju po začetku
veljavnosti te direktive, del katerega lahko traja krajše obdobje; (e) ali se lahko člani nadzornega organa
ponovno imenujejo; (f) uredbe in skupne pogoje, ki urejajo
dolžnosti članov in uslužbencev nadzornega organa; (g) pravila in postopke o prenehanju
dolžnosti članov nadzornega organa, tudi če ne izpolnjujejo več pogojev, ki se
zahtevajo za opravljanje njihovih dolžnosti, ali če so zagrešili hujšo kršitev.
Člen 43
Poklicna molčečnost Države članice določijo, da so člani in osebje
nadzornega organa tako v času svojega mandata kot po njegovem prenehanju dolžni
varovati poklicno molčečnost v zvezi z vsemi zaupnimi informacijami, s katerimi
so se seznanili v času opravljanja svojih uradnih dolžnosti. ODDELEK 2
DOLŽNOSTI IN POOBLASTILA Člen 44
Pristojnost 1. Države članice zagotovijo, da
vsak nadzorni organ na ozemlju svoje države članice izvaja pooblastila, ki so
mu bila podeljena v skladu s to direktivo. 2. Države
članice zagotovijo, da nadzorni organ ni pristojen za nadzor postopkov obdelave
sodišč, kadar delujejo kot sodni organ. Člen 45
Dolžnosti 1. Države članice zagotovijo, da
nadzorni organ: (a)
spremlja in zagotavlja uporabo določb predpisov,
sprejetih v skladu s to direktivo, in njene izvedbene ukrepe; (b)
obravnava pritožbe, ki jih v skladu s
členom 50 vloži kateri koli posameznik, na katerega se nanašajo osebni
podatki, ali združenje, ki ga je ta posameznik, na katerega se nanašajo osebni
podatki, ustrezno pooblastil za zastopanje, v ustreznem obsegu preuči zadevo
ter posameznika, na katerega se nanašajo osebni podatki, ali združenje v primernem
roku obvesti o stanju zadeve in odločitvi o pritožbi, zlasti če je potrebna podrobnejša
preučitev ali uskladitev z drugim nadzornim organom; (c)
preverja zakonitost obdelave podatkov v skladu s
členom 14 ter posameznika, na katerega se nanašajo osebni podatki, v
primernem roku obvesti o izidu pregleda ali o razlogih, zaradi katerih se
pregled ni izvedel; (d)
zagotavlja medsebojno pomoč drugim nadzornim
organom ter doslednost pri uporabi in izvajanju določb predpisov, sprejetih v
skladu s to direktivo; (e)
na lastno pobudo ali na podlagi pritožbe ali na
zahtevo drugega nadzornega organa izvaja preiskave in o izidu v primernem roku
obvesti posameznika, na katerega se nanašajo osebni podatki, če je vložil pritožbo;
(f)
spremlja razvoj na zadevnem področju, kolikor vpliva
na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih
tehnologij; (g)
institucijam in organom držav članic svetuje o
zakonodajnih in upravnih ukrepih, ki so povezani z varstvom pravic in svoboščin
posameznikov v zvezi z obdelavo osebnih podatkov; (h)
svetuje o postopkih obdelave v skladu s
členom 26; (i)
sodeluje pri dejavnostih Evropskega odbora za
varstvo podatkov. 2. Vsak nadzorni organ spodbuja
ozaveščenost javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v
zvezi z obdelavo osebnih podatkov. Posebna pozornost se nameni dejavnostim, ki
izrecno obravnavajo otroke. 3. Nadzorni organ na zahtevo
posamezniku, na katerega se nanašajo osebni podatki, svetuje pri uveljavljanju
pravic, določenih v določbah predpisov, sprejetih v skladu s to direktivo, in v
zvezi s tem po potrebi sodeluje z nadzornimi organi v drugih državah članicah. 4. Nadzorni organ za pritožbe iz
točke (b) odstavka 1 zagotovi obrazec za vložitev pritožbe, ki se
lahko izpolni elektronsko, pri čemer niso izključena druga komunikacijska
sredstva. 5. Države članice zagotovijo, da
je opravljanje dolžnosti nadzornega organa za posameznika, na katerega se
nanašajo osebni podatki, brezplačno. 6. Če so zahteve nadležne,
zlasti zaradi njihove ponavljajoče se narave, lahko nadzorni organ zaračuna
pristojbino ali ne izvede ukrepa, ki ga zahteva posameznik, na katerega se
nanašajo osebni podatki. V tem primeru nosi breme dokazovanja nadležne narave
zahteve nadzorni organ. Člen 46
Pooblastila Države članice zagotovijo, da se vsakemu
nadzornemu organu podelijo predvsem: (a) preiskovalna pooblastila, kot so
pooblastila za dostop do podatkov o vsebini postopkov obdelave, in pooblastila
za zbiranje vseh informacij, ki so potrebne za izvajanje njegovih nadzornih
nalog; (b) učinkovita pooblastila za posredovanje,
kot je dajanje mnenj pred izvajanjem obdelave, in zagotavljanje ustrezne objave
takih mnenj, odrejanje omejitve, izbrisa ali uničenja podatkov, naložitev začasne
ali dokončne prepovedi obdelave, opozarjanje ali opominjanje upravljavca, ali
predložitev zadeve nacionalnim parlamentom ali drugim političnim institucijam; (c) pooblastila za sodelovanje v sodnih
postopkih, kadar so kršene določbe predpisov, sprejetih v skladu s to direktivo,
ali za seznanitev pravosodnih organov s temi kršitvami. Člen 47
Poročilo o dejavnostih Države članice zagotovijo, da vsak nadzorni
organ pripravi letno poročilo o svojih dejavnostih. Poročilo se da na voljo
Komisiji in Evropskemu odboru za varstvo podatkov. POGLAVJE VII
SODELOVANJE Člen 48
Medsebojna pomoč 1. Države članice določijo, da
nadzorni organi drug drugemu zagotovijo medsebojno pomoč ter tako na dosleden
način izvajajo in uporabljajo določbe predpisov v skladu s to direktivo, in
uvedejo ukrepe za učinkovito medsebojno sodelovanje. Medsebojna pomoč obsega
zlasti zahteve za informacije in nadzorne ukrepe, kot so zahteve za izvedbo
predhodnih posvetovanj, pregledov in preiskav. 2. Države članice zagotovijo, da
nadzorni organ sprejme vse ustrezne ukrepe, potrebne za odgovor na zahtevo
drugega nadzornega organa. 3. Zaprošeni nadzorni organ
obvesti nadzorni organ prosilec o rezultatih ali, odvisno od posameznega
primera, o napredku ali sprejetih ukrepih, da se ugodi zahtevi nadzornega
organa prosilca. Člen 49
Naloge Evropskega odbora za varstvo podatkov 1. Evropski odbor za varstvo
podatkov, ustanovljen z Uredbo (EU) št. …/2012, v zvezi z obdelavo v
okviru področja uporabe te direktive opravlja naslednje naloge: (a)
Komisiji svetuje o vseh vprašanjih v zvezi z
varstvom osebnih podatkov v Uniji, tudi o vseh predlogih sprememb te direktive; (b)
na zahtevo Komisije, na lastno pobudo ali na pobudo
katerega od svojih članov preuči vsako vprašanje, ki se nanaša na uporabo
določb predpisov, sprejetih v skladu s to direktivo, ter izda smernice,
priporočila in najboljše prakse, namenjene nadzornim organom za spodbuditev
dosledne uporabe teh določb; (c)
pregleda praktično uporabo smernic, priporočil in
najboljših praks iz točke (b) ter o tem redno poroča Komisiji; (d)
Komisiji poda mnenje o ravni varstva v tretjih državah
ali mednarodnih organizacijah; (e)
spodbuja sodelovanje ter učinkovito dvostransko in
večstransko izmenjavo informacij in praks med nadzornimi organi; (f)
spodbuja skupne programe usposabljanja ter
pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi
organi tretjih držav ali mednarodnih organizacij; (g)
spodbuja izmenjavo znanja in dokumentacije z
nadzornimi organi za varstvo podatkov po svetu, vključno z zakonodajo in prakso
na področju varstva osebnih podatkov. 2. Če Komisija od Evropskega
odbora za varstvo podatkov zahteva nasvet, lahko določi rok, v katerem Evropski
odbor za varstvo podatkov zagotovi tak nasvet, pri čemer se upošteva nujnost
zadeve. 3. Evropski odbor za varstvo
podatkov Komisiji in odboru iz člena 57(1) posreduje svoja mnenja,
smernice, priporočila in najboljše prakse ter jih objavi. 4. Komisija Evropski odbor za
varstvo podatkov obvesti o ukrepu, ki ga je sprejela na podlagi mnenj, smernic,
priporočil in najboljših praks, ki jih je izdal Evropski odbor za varstvo
podatkov. POGLAVJE VIII
PRAVNA SREDSTVA, ODGOVORNOST IN SANKCIJE Člen 50
Pravica do vložitve pritožbe pri nadzornem organu 1. Brez poseganja v vsako drugo pravno
sredstvo v upravnem ali sodnem postopku države članice zagotovijo pravico
vsakega posameznika, na katerega se nanašajo osebni podatki, da pri nadzornem
organu v kateri koli državi članici vloži pritožbo, če meni, da obdelava
osebnih podatkov v zvezi z njim ni skladna z določbami predpisov, sprejetih v
skladu s to direktivo. 2. Države članice zagotovijo, da
ima vsak organ, organizacija ali združenje, katerega cilj je zaščita pravic in
interesov posameznikov, na katere se nanašajo osebni podatki, v zvezi z varstvom
njihovih osebnih podatkov, in ki je ustanovljen v skladu z nacionalno zakonodajo,
pravico do vložitve pritožbe pri nadzornem organu v kateri koli državi članici
v imenu enega ali več posameznikov, na katere se nanašajo osebni podatki, če
meni, da so bile zaradi obdelave osebnih podatkov kršene pravice posameznika,
na katerega se nanašajo osebni podatki, iz te direktive., Organizacija ali
združenje mora dobiti ustrezno pooblastilo posameznika, na katerega se nanašajo
osebni podatki. 3. Države članice zagotovijo, da
ima vsak organ, organizacija ali združenje iz odstavka 2, neodvisno od
pritožbe posameznika, na katerega se nanašajo osebni podatki, pravico, da pri
nadzornem organu v kateri koli državi članici vloži pritožbo, če meni, da je prišlo
do kršitve varnosti osebnih podatkov. Člen 51
Pravica do pravnega sredstva v sodnem postopku zoper
nadzorni organ 1.
Države članice zagotovijo pravico do pravnega
sredstva v sodnem postopku zoper odločitve nadzornega organa. 2.
Vsak posameznik, na katerega se nanašajo osebni
podatki, ima pravico do pravnega sredstva v sodnem postopku, s katerim zahteva
ukrepanje nadzornega organa v zvezi s pritožbo, če ta ne odloči o potrebni
zaščiti njegovih pravic, ali če nadzorni organ posameznika, na katerega se
nanašajo osebni podatki, v treh mesecih ne obvesti o stanju zadeve ali odločitvi
o pritožbi v skladu s točko (b) člena 45(1). 3.
Države članice zagotovijo možnost, da se pred
sodišči države članice, v kateri ima nadzorni organ sedež, začne postopek zoper
nadzorni organ. Člen 52
Pravica do pravnega sredstva v sodnem postopku zoper upravljavca ali
obdelovalca Brez poseganja v katero koli dostopno upravno
sredstvo, vključno s pravico do vložitve pritožbe pri nadzornem organu, države
članice zagotovijo pravico vsake fizične osebe do pravnega sredstva v sodnem
postopku, če meni, da so bile njene pravice iz določb predpisov, sprejetih v
skladu s to direktivo, kršene zaradi obdelave njenih osebnih podatkov, ki ni
bila skladna z navedenimi določbami. Člen 53
Splošna pravila za postopke pred sodiščem 1. Države članice zagotovijo, da
ima vsak organ, organizacija ali združenje iz člena 50(2) pravico do
uveljavljanja pravic iz členov 51 in 52 v imenu enega ali več
posameznikov, na katere se nanašajo osebni podatki. 2. Vsak nadzorni organ ima
pravico do sodelovanja v sodnih postopkih in vložitve tožbe pri sodišču za izvrševanje
določb predpisov, sprejetih v skladu s to direktivo, ali za zagotovitev
doslednosti varstva osebnih podatkov v Uniji. 3. Države članice zagotovijo, da
sodno varstvo, ki ga določa nacionalna zakonodaja, omogoča hitro sprejetje
ukrepov, vključno z začasnimi ukrepi, namenjenimi ustavitvi izvajanja domnevne
kršitve in preprečitvi nadaljnjega oškodovanja zadevnih interesov. Člen 54
Odgovornost in pravica do odškodnine 1. Države članice zagotovijo, da
ima vsak posameznik, ki je utrpel škodo zaradi nezakonitega postopka obdelave
ali dejanja, ki je nezdružljivo z določbami predpisov, sprejetih v skladu s to
direktivo, pravico od upravljavca ali obdelovalca dobiti odškodnino za nastalo
škodo. 2. Če je v obdelavo vključenih
več upravljavcev ali obdelovalcev, je vsak upravljavec ali obdelovalec solidarno
odgovoren za celoten znesek škode. 3. Upravljavec ali obdelovalec
je lahko v celoti ali delno prost te odgovornosti, če dokaže, da ni odgovoren
za dogodek, ki je povzročil škodo. Člen 55
Kazenske sankcije Države članice določijo pravila o kazenskih
sankcijah, ki se uporabljajo za kršitve določb predpisov, sprejetih v skladu s
to direktivo, in sprejmejo vse ukrepe, potrebne za zagotovitev njihovega
izvajanja. Določene kazenske sankcije morajo biti učinkovite, sorazmerne in
odvračilne. POGLAVJE IX
DELEGIRANI
AKTI IN IZVEDBENI AKTI Člen 56
Prenos pooblastila 1. Pooblastilo za sprejemanje
delegiranih aktov se na Komisijo prenese pod pogoji iz tega člena. 2. Pooblastilo iz
člena 28(5) se na Komisijo prenese za nedoločen čas od dne začetka
veljavnosti te direktive. 3. Evropski parlament ali Svet
lahko kadar koli prekliče pooblastilo iz člena 28(5). S sklepom o preklicu
preneha veljati pooblastilo iz navedenega sklepa. Preklic začne veljati dan po
objavi sklepa v Uradnem listu Evropske unije ali na poznejši datum, ki
je v njem naveden. Sklep ne vpliva na veljavnost že veljavnih delegiranih
aktov. 4. Komisija takoj po sprejetju
delegiranega akta o tem hkrati obvesti Evropski parlament in Svet. 5. Delegirani akt, sprejet v
skladu s členom 28(5), začne veljati le, če mu Evropski parlament ali Svet
v dveh mesecih od obvestila, ki sta ga prejela v zvezi z navedenim aktom, ne
nasprotujeta ali če sta pred iztekom tega roka oba obvestila Komisijo, da mu ne
bosta nasprotovala. Navedeni rok se na pobudo Evropskega parlamenta ali Sveta
podaljša za dva meseca. Člen 57
Postopek v odboru 1.
Komisiji pomaga odbor. Ta odbor je odbor v smislu
Uredbe (EU) št. 182/2011. 2.
Pri sklicevanju na ta odstavek se uporablja
člen 5 Uredbe (EU) št. 182/2011. 3.
Pri sklicevanju na ta odstavek se uporablja
člen 8 Uredbe (EU) št. 182/2011 v povezavi s členom 5
Uredbe. POGLAVJE X
KONČNE DOLOČBE Člen 58
Razveljavitev 1. Okvirni sklep
Sveta 2008/977/PNZ se razveljavi. 2. Sklicevanja na razveljavljeni
okvirni sklep iz odstavka 1 se štejejo kot sklicevanja na to direktivo. Člen 59
Povezava s predhodno sprejetimi akti Unije za
pravosodno sodelovanje v kazenskih zadevah in policijsko sodelovanje Posebne določbe o varstvu osebnih podatkov v
zvezi z obdelavo osebnih podatkov, ki jih pristojni organi obdelujejo za namene
preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali
izvrševanja kazenskih sankcij v aktih Unije, ki so bili sprejeti pred dnem sprejetja
te direktive, ki ureja obdelavo osebnih podatkov v državah članicah in dostop
določenih organov držav članic do informacijskih sistemov, vzpostavljenih na
podlagi Pogodb, ostanejo nespremenjene. Člen 60
Povezava s predhodno sklenjenimi mednarodnimi
sporazumi na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega
sodelovanja Mednarodni sporazumi, ki jih države članice
sklenejo pred začetkom veljavnosti te direktive, se po potrebi spremenijo v
petih letih po začetku veljavnosti te direktive. Člen 61
Ocena 1. Komisija oceni uporabo te
direktive. 2. Komisija
v treh letih po začetku veljavnosti te direktive pregleda druge akte, ki jih je
sprejela Evropska unija in urejajo obdelavo osebnih podatkov, ki jih pristojni
organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona
kaznivih dejanj ali izvrševanje kazenskih sankcij, zlasti akte iz člena 59,
ki jih je sprejela Unija, da se oceni potreba po njihovi uskladitvi s to
direktivo in se po potrebi oblikujejo ustrezni predlogi za spremembo teh aktov,
da se zagotovi dosleden pristop k varstvu osebnih podatkov v okviru področja uporabe
te direktive. 3. Komisija redno predloži poročila
o oceni in pregledu te direktive v skladu z odstavkom 1 Evropskemu
parlamentu in Svetu. Prva poročila predloži najpozneje štiri leta po začetku
veljavnosti te direktive. Nadaljnja poročila nato predloži vsaka štiri leta.
Komisija po potrebi predloži ustrezne predloge z namenom spremembe te direktive
in uskladitve drugih pravnih aktov. Poročilo se javno objavi. Člen 62
Izvajanje 1. Države članice najpozneje do
[datum / dve leti po začetku veljavnosti] sprejmejo in objavijo
zakone in druge predpise, potrebne za uskladitev s to direktivo. Komisiji nemudoma
sporočijo besedilo navedenih predpisov. Navedene predpise uporabljajo od
xx. xx. 201x [datum / dve leti po začetku veljavnosti]. Države članice se v sprejetih predpisih sklicujejo
na to direktivo ali pa sklic nanjo navedejo ob njihovi uradni objavi. Način
sklicevanja določijo države članice. 2. Države članice Komisiji
sporočijo besedilo glavnih predpisov nacionalne zakonodaje, ki jih sprejmejo na
področju, ki ga obsega ta direktiva. Člen 63
Začetek veljavnosti in uporaba Ta direktiva začne veljati prvi dan po objavi
v Uradnem listu Evropske unije. Člen 64
Naslovniki Ta direktiva je
naslovljena na države članice. V Bruslju, 25.1.2012 Za Evropski parlament Za
Svet Predsednik Predsednik [1] Direktiva Evropskega parlamenta in Sveta 95/46/ES
z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi
osebnih podatkov in o prostem pretoku takih podatkov (UL L 281/95,
str. 31). [2] Glej celoten seznam v Prilogi 3 k oceni učinka
(SEC(2012) 72). [3] Okvirni sklep Sveta 2008/977/PNZ z dne
27. novembra 2008 o varstvu osebnih podatkov, ki se obdelujejo v
okviru policijskega in pravosodnega sodelovanja v kazenskih zadevah (UL L 350,
30.12.2008, str. 60). [4] V stockholmskem programu (UL C 115, 4.5.2010,
str. 1). [5] Glej resolucijo Evropskega parlamenta o stockholmskem
programu, sprejeto dne 25. novembra 2009. [6] COM(2010) 171 final [7] Sporočilo Evropske komisije „Celovit pristop k varstvu
osebnih podatkov v Evropski uniji“, COM(2010) 609 final z dne
4. novembra 2010. [8] Izjava št. 21 o varstvu osebnih podatkov na področju
pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja
(priložena Sklepni listini medvladne konference, s katero je bila sprejeta
Lizbonska pogodba, 13. 12. 2007). [9] http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm. [10] http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm. [11] Posebni Eurobarometer (EB) št. 359, Attitudes on Data
Protection and Electronic Identity in the European Union (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. [12] Glej Študijo o gospodarskih koristih tehnologij za
boljše varovanje zasebnosti (Study on the economic benefits of privacy
enhancing technologies) ali Primerjalno študijo o različnih pristopih k
novim izzivom na področju varovanja zasebnosti, zlasti na podlagi tehnološkega
razvoja (Comparative study on different approaches to new privacy
challenges, in particular in the light of technological developments),
januar 2010.
(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).
[13] Delovna skupina je bila ustanovljena leta 1996 (s
členom 29 Direktive), pri čemer ji je bil dodeljen svetovalni status;
sestavljajo jo predstavniki nacionalnih nadzornih organov za varstvo podatkov, evropski
nadzornik za varstvo podatkov in Komisija. Za več informacij o njenih
dejavnostih glej http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm. [14] Glej zlasti naslednja mnenja: o „prihodnosti zasebnosti“
(2009, WP 168), o pojmih „upravljavec“ in „obdelovalec“ (1/2010,
WP 169), o spletnem vedenjskem oglaševanju
(2/2010, WP 171); o načelu zanesljivega izvajanja (3/2010, WP 173); o
pravu, ki se uporablja (8/2010, WP 179); in o soglasju (15/2011, WP 187).
Na zahtevo Komisije je sprejela tudi naslednje tri svetovalne dokumente: o
obvestilih, o občutljivih podatkih in o praktičnem izvajanju člena 28(6) Direktive
95/46/EC. Vsi so dostopni na: http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm. [15] Dostopno na spletni strani evropskega nadzornika za
varstvo podatkov: http://www.edps.europa.eu/EDPSWEB/edps/EDPS?lang=sl. [16] Resolucija EP z dne 6. julija 2011 o
celovitem pristopu k varstvu osebnih podatkov v Evropski uniji (2011/2025(INI),
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2011-0323+0+DOC+XML+V0//SL
(poročevalec: poslanec Evropskega parlamenta Axel Voss (EPP/DE)). [17] CESE 999/2011. [18] SEC(2012) 72. [19] COM(2012) 12. [20] Sodba Sodišča EU z dne 9. novembra 2010 v združenih
zadevah C-92/09 in C-93/09, Volker und Markus Schecke in Eifert, ZOdl. 2010,
str. I-0000.. [21] V skladu s členom 52(1) Listine se lahko omejitve
uresničevanja pravice do varstva podatkov uvedejo samo, če so predpisane z
zakonom, če spoštujejo bistveno vsebino pravice in svoboščin ter so ob upoštevanju
načela sorazmernosti potrebne in dejansko ustrezajo ciljem splošnega interesa,
ki jih priznava Evropska unija, ali če so potrebne zaradi zaščite pravic in
svoboščin drugih. [22] Na pojem „otrok“ se sklicuje tudi člen 2(a)
Direktive 2011/92/EU Evropskega parlamenta in Sveta z dne
13. decembra 2011 o boju proti spolni zlorabi in spolnemu
izkoriščanju otrok ter otroški pornografiji in nadomestitvi Okvirnega sklepa
Sveta 2004/68/PNZ (UL L 335, 17.12.2011, str. 1). [23] COM(2005) 475 final [24] Člen 14 Sklepa o ustanovitvi
Europola 2009/371/PNZ. [25] Člen 15 Sklepa o okrepitvi
Eurojusta 2009/426/PNZ. [26] Člen 14 Sklepa o ustanovitvi
Europola 2009/371/PNZ. [27] Sodba Evropskega sodišča za človekove pravice z dne
4. decembra 2008, S. in Marper proti Združenemu kraljestvu (vlogi
št. 30562/04 in 30566/04). [28] Sprejeta na mednarodni konferenci pooblaščencev za varstvo
podatkov in zasebnosti dne 5. novembra 2009. [29] Sodba Sodišča EU z dne 9. marca 2010,
Komisija proti Nemčiji (C-518/07, ZOdl. 2010, str. I-1885). [30] Uredba (ES) št. 45/2001 Evropskega parlamenta in
Sveta z dne 18. decembra 2000 o varstvu posameznikov pri
obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem
pretoku takih podatkov (UL L 8, 12.1.2001, str. 1). [31] Glej opombo 27. [32] Direktiva 2000/31/ES Evropskega parlamenta in Sveta
z dne 8. junija 2000 o nekaterih pravnih vidikih storitev
informacijske družbe, zlasti elektronskega poslovanja na notranjem trgu
(Direktiva o elektronskem poslovanju, UL L 178, 17.7.2000, str. 1). [33] UL C , , str. . [34] UL L 281, 23.11.1995, str. 31. [35] UL L 350, 30.12.2008, str. 60. [36] UL L 55, 28.2.2011, str. 13. [37] UL L 335, 17.12.2011, str. 1. [38] UL L 176, 10.7.1999,
str. 36. [39] UL L 53, 27.2.2008, str. 52. [40] UL L 160, 18.6.2011, str. 19.