13/Sv. 034

HR

Službeni list Europske unije

6

---

32001R0045

---

L 008/1

SLUŽBENI LIST EUROPSKE UNIJE

18.12.2000.

---

UREDBA (EZ) br. 45/2001 EUROPSKOG PARLAMENTA I VIJEĆA

od 18. prosinca 2000.

o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o osnivanju Europske zajednice, a posebno njegov članak 286.,

uzimajući u obzir prijedlog Komisije (1),

uzimajući u obzir mišljenje Gospodarskog i socijalnog odbora (2),

u skladu s postupkom utvrđenim člankom 251. Ugovora (3),

budući da:

(1)	Članak 286. Ugovora zahtijeva da se na institucije i tijela Zajednice primjenjuju akti Zajednice o zaštiti pojedinaca pri obradi osobnih podataka i slobodnom kretanju takvih podataka.

(2)	Potpuno razvijen sustav zaštite osobnih podataka zahtijeva ne samo uspostavljanje prava osoba na koje se podaci odnose i dužnosti onih koji obrađuju osobne podatke, već i odgovarajuće sankcije za prekršitelje te praćenje od strane neovisnog nadzornog tijela.

(3)	Članak 286. stavak 2. Ugovora zahtijeva uspostavljanje neovisnog nadzornog tijela odgovornog za praćenje primjene takvih akata Zajednice u institucijama i tijelima Zajednice.

(4)	Članak 286. stavak 2. Ugovora zahtijeva usvajanje svih ostalih relevantnih odredaba koje se pokažu potrebnima.

(5)	Potrebna je uredba kako bi se pojedincu osiguralo zakonito ostvarivanje prava, utvrdile dužnosti voditelja obrade pri obradi podataka u institucijama i tijelima Zajednice i uspostavilo neovisno nadzorno tijelo odgovorno za praćenje obrade osobnih podataka u institucijama i tijelima Zajednice.

(6)	Obavljeno je savjetovanje s Radnom skupinom za zaštitu pojedinaca u vezi s obradom osobnih podataka, osnovanom prema članku 29. Direktive 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka (4).

(7)	Osobe koje treba zaštititi su one čije osobne podatke u bilo kojemu kontekstu obrađuju institucije ili tijela Zajednice, na primjer, zato što su te osobe zaposlene u tim institucijama ili tijelima.

(8)

Načela zaštite podataka trebaju se primjenjivati na svaku informaciju u vezi identificirane ili osobe koju se može identificirati. Prilikom utvrđivanja da li je moguće identificirati osobu treba voditi računa o svim sredstvima koje bi bilo voditelj obrade ili neka druga osoba mogla razumno upotrijebiti radi identificiranja dotične osobe. Načela zaštite ne bi se smjela primjenjivati na podatke dane anonimno tako da se više ne može identificirati osobu na koju se podaci odnose.

(9)	Direktiva 95/46/EZ zahtijeva od država članica zaštitu temeljnih prava i sloboda fizičkih osoba, a posebno njihovih prava na privatnost pri obradi osobnih podataka, kako bi se osiguralo slobodno kretanje osobnih podataka u Zajednici.

(10)	Direktiva 97/66/EZ Europskog parlamenta i Vijeća od 15. prosinca 1997. o obradi osobnih podataka i zaštiti privatnosti u području telekomunikacija (5), pobliže određuje i nadopunjava Direktivu 95/46/EZ u pogledu obrade osobnih podataka u području telekomunikacija.

(11)	Razne druge mjere Zajednice, uključujući i mjere o uzajamnoj pomoći između državnih tijela i Komisije, također su zamišljene kao pobliže određenje i nadopuna Direktive 95/46/EZ u sektorima na koje se odnose.

(12)	U cijeloj Zajednici treba osigurati dosljednu i ujednačenu primjenu pravila zaštite temeljnih prava i sloboda pojedinaca u vezi s obradom osobnih podataka.

(13)

Cilj je osigurati i učinkovito poštovanje pravila kojima se uređuje zaštita temeljnih prava i sloboda pojedinaca te slobodno kretanje osobnih podataka između država članica te institucija i tijela Zajednice ili između institucija i tijela Zajednice u svrhe povezane s izvršavanjem njihovih nadležnosti.

(14)

U tom cilju treba usvojiti obvezujuće mjere za institucije i tijela Zajednice. Te se mjere trebaju primjenjivati na cjelokupnu obradu osobnih podataka u institucijama i tijelima Zajednice ako se takva obrada provodi prilikom obavljanja aktivnosti koje su u cijelosti ili djelomično u području primjene prava Zajednice.

(15)

Kada takvu obradu provode institucije ili tijela Zajednice prilikom obavljanja aktivnosti koje nisu obuhvaćene područjem primjene ove Uredbe, posebno one navedene u glavama V. i VI. Ugovora o Europskoj uniji, zaštita temeljnih prava i sloboda pojedinaca osigurava se uz primjereno poštovanje članka 6. Ugovora o Europskoj uniji. Pristup ispravama, uključujući uvjete pristupa ispravama koje sadrže osobne podatke, uređuju pravila donijeta na temelju članka 255. Ugovora o EZ-u, čiji opseg uključuje glave V. i VI. Ugovora o Europskoj uniji.

(16)	Te mjere ne treba primjenjivati na tijela osnovana izvan okvira Zajednice, ni Europski nadzornik za zaštitu podataka ne bi trebao biti nadležan za praćenje obrade osobnih podataka od strane tih tijela.

(17)

Djelotvornost zaštite pojedinaca u vezi s obradom osobnih podataka u Uniji pretpostavlja dosljednost odgovarajućih pravila i postupaka primjenljivih na djelatnosti iz različitih pravnih konteksta. Prvi korak u tom smislu predstavlja razvoj temeljnih načela zaštite osobnih podataka u području pravosudne suradnje u kaznenim pitanjima te policijske i carinske suradnje, kao i osnivanje tajništva za zajednička nadzorna tijela uspostavljena Konvencijom o Europolu, Konvencijom o uporabi informacijske tehnologije u carinske svrhe i Schengenskom konvencijom.

(18)

Ova Uredba ne utječe na prava i obveze država članica iz direktiva 95/46/EZ i 97/66/EZ. Ona nije namijenjena mijenjanju postojećih postupaka i prakse koje zakonito provode države članice u području nacionalne sigurnosti, sprečavanja nereda ili sprečavanja, otkrivanja, istrage i gonjenja kaznenih djela u skladu s Protokolom o privilegijama i imunitetima Europskih zajednica i međunarodnog prava.

(19)	Institucije i tijela Zajednice trebaju obavijestiti nadležna tijela država članica kada smatraju da treba prekinuti komunikaciju na njihovim telekomunikacijskim mrežama u skladu s važećim nacionalnim odredbama.

(20)

Odredbe koje se primjenjuju na institucije i tijela Zajednice trebaju odgovarati odredbama utvrđenim u vezi s usklađivanjem nacionalnih propisa ili provedbom drugih politika Zajednice, posebno u području uzajamne pomoći. Međutim, može biti potrebno detaljnije utvrditi ili nadopuniti te odredbe kada se radi o osiguravanju zaštite u slučaju obrade osobnih podataka u institucijama i tijelima Zajednice.

(21)	To vrijedi za prava pojedinaca čiji se podaci obrađuju, za obveze institucija i tijela Zajednice koja obavljaju obradu te za ovlasti dodijeljene neovisnom nadzornom tijelu odgovornom za osiguranje pravilne primjene ove Uredbe.

(22)	Prava dodijeljena osobi na koju se podaci odnose i njihovo ostvarivanje ne trebaju utjecati na dužnosti voditelja obrade.

(23)

Neovisno nadzorno tijelo treba izvršavati svoje nadzorne funkcije u skladu s Ugovorom i uz poštovanje ljudskih prava i temeljnih sloboda. Ono svoje poslovanje treba voditi u skladu s Protokolom o privilegijama i imunitetima te sukladno Pravilniku o osoblju Europskih zajednica i uvjetima zapošljavanja koji se primjenjuju na ostale službenike Zajednica.

(24)	Treba usvojiti potrebne tehničke mjere kako bi se omogućio pristup evidencijama postupaka obrade koje vode službenici za zaštitu podataka putem neovisnog nadzornog tijela.

(25)

Odluke neovisnog nadzornog tijela o izuzećima, jamstvima, odobrenjima i uvjetima koji se odnose na postupke obrade podataka, kako je određeno u ovoj Uredbi, trebaju se objaviti u izvješću o aktivnostima. Neovisno o objavi godišnjeg izvješća o aktivnostima, neovisno nadzorno tijelo može objaviti izvješća o posebnim temama.

(26)

Određeni postupci obrade, koji bi mogli predstavljati posebne rizike u pogledu prava i sloboda osoba na koje se podaci odnose, podliježu prethodnoj provjeri od strane neovisnog nadzornog tijela. Mišljenje dano pri takvoj prethodnoj provjeri, uključujući mišljenje proizašlo zbog izostanka odgovora u zadanom roku, ne bi smjelo dovesti u pitanje naknadno izvršavanje ovlasti neovisnog nadzornog tijela u vezi s dotičnim postupkom obrade.

(27)	Obrada osobnih podataka radi izvršavanja zadataka koje institucije i tijela Zajednice provode u javnom interesu uključuje i obradu osobnih podataka potrebnu za upravljanje i djelovanje tih institucija i tijela.

(28)

U određenim slučajevima obradu podataka treba odobriti odredbama Zajednice ili aktima kojima se prenose odredbe Zajednice. Međutim, u prijelaznom razdoblju tijekom kojeg takve odredbe ne postoje, u očekivanju njihova usvajanja, Europski nadzornik za zaštitu podataka može odobriti obradu takvih podataka pod uvjetom da su usvojene odgovarajuće zaštitne mjere. On pri tome treba posebno voditi računa o odredbama koje su usvojile države članice za rješavanje sličnih slučajeva.

(29)

Ti se slučajevi odnose na obradu podataka koji otkrivaju rasno ili etničko podrijetlo, politička uvjerenja, vjerska ili filozofska uvjerenja ili sindikalno članstvo i na obradu podataka u vezi sa zdravljem ili spolnim životom, koji su potrebni radi poštovanja posebnih prava i dužnosti voditelja obrade u području prava zapošljavanja ili zbog važnog javnog interesa. Također se odnose na obradu podataka u vezi s kaznenim djelima, kaznenim presudama ili sigurnosnim mjerama te na odobrenje za primjenu odluke na subjekt podataka, koja proizvodi pravne učinke prema dotičnoj osobi ili na nju znatno utječu i koja se temelji isključivo na automatiziranoj obradi podataka namijenjenoj ocjeni osobnih aspekata u vezi s tom osobom.

(30)	Može biti potrebno pratiti računalne mreže koje djeluju pod kontrolom institucija i tijela Zajednice, i to radi sprečavanja njihove neovlaštene uporabe. Europski nadzornik za zaštitu podataka treba odrediti je li to moguće i pod kojim uvjetima.

(31)	Odgovornost koja proizlazi zbog kršenja ove Uredbe uređuje se u drugom stavku članka 288. Ugovora.

(32)	U svakoj instituciji ili tijelu Zajednice jedan ili nekoliko službenika za zaštitu podataka trebaju osigurati da se odredbe ove Uredbe primjenjuju te savjetovati voditelje obrade o ispunjavanju njihovih dužnosti.

(33)	Prema članku 21. Uredbe Vijeća (EZ) br. 322/97 od 17. veljače 1997. o statistici Zajednice (6), ta se Uredba primjenjuje ne dovodeći u pitanje Direktivu 95/46/EZ.

(34)	Prema članku 8. stavku 8. Uredbe Vijeća (EZ) br. 2533/98 od 23. studenoga 1998. o prikupljanju statističkih podataka od strane Europske središnje banke (7), ta se Uredba primjenjuje ne dovodeći u pitanje Direktivu 95/46/EZ.

(35)

Prema članku 1. stavku 2. Uredbe Vijeća (Euratom, EEZ) br. 1588/90 od 11. lipnja 1990. o prijenosu podataka povjerljivih statističkih podataka Statističkom uredu Europskih zajednica (8), ta Uredba ne odstupa od posebnih odredaba Zajednice ili od nacionalnih odredaba o zaštiti povjerljivosti različitoj od povjerljivosti statističkih podataka.

(36)	Ova Uredba nije namijenjena ograničavanju manevarskog prostora država članica u pripremi njihovih nacionalnih propisa o zaštiti podataka na temelju članka 32. Direktive 95/46/EZ u skladu s člankom 249. Ugovora,

DONIJELI SU OVU UREDBU:

POGLAVLJE I.

OPĆE ODREDBE

Članak 1.

Predmet Uredbe

1.   U skladu s ovom Uredbom, institucije i tijela osnovana Ugovorima ili na temelju Ugovora o osnivanju Europskih zajednica (dalje u tekstu: „institucije ili tijela Zajednice”) štite temeljna prava i slobode fizičkih osoba, a posebno njihovo pravo na privatnost u vezi s obradom osobnih podataka, te ne smiju ograničiti niti zabraniti slobodno kretanje osobnih podataka među njima ili prema primateljima, i to sukladno nacionalnom pravu država članica koje provode Direktivu 95/46/EZ.

2.   Neovisno nadzorno tijelo uspostavljeno ovom Uredbom (dalje u tekstu: „Europski nadzornik za zaštitu podataka”) prati primjenu odredaba ove Uredbe na sve postupke obrade koje provode institucije ili tijela Zajednice.

Članak 2.

Definicije

Za potrebe ove Uredbe:

(a)

„osobni podatak” znači svaka informacija koja se odnosi na identificirane fizičke osobe ili fizičke osobe koje se može identificirati (dalje u tekstu: „subjekt podataka”); osoba koja se može identificirati jest osoba koju se može izravno ili neizravno identificirati, i to posebno prema identifikacijskom broju ili prema jednom ili više svojstava značajnih za njezin fizički, fiziološki, mentalni, ekonomski, kulturni ili socijalni identitet;

(b)

„obrada osobnih podataka” (dalje u tekstu: „obrada”) znači svaki postupak ili niz postupaka koji se provode nad osobnim podacima, automatskim putem ili ne, kao što su prikupljanje, bilježenje, organizacija, pohrana, prilagodba ili promjena, vraćanje, savjetovanje, upotreba, priopćavanje prijenosom, širenje ili drugi način omogućavanja dostupnosti, usklađivanje ili kombiniranje, blokiranje, brisanje ili uništavanje;

(c)	„sustav datoteka osobnih podataka” (dalje u tekstu: „sustav datoteka”) znači svaki strukturirani skup osobnih podataka koji je dostupan prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

(d)

„voditelj obrade” znači institucija ili tijelo Zajednice, Glavna uprava, jedinica ili bilo koji drugi organizacijski subjekt koji samostalno ili zajedno s ostalima određuje svrhe i sredstva obrade osobnih podataka; ako su svrhe i sredstva obrade određeni posebnim aktom Zajednice, takvim aktom Zajednice može se odrediti voditelj obrade ili posebni kriteriji za njegovo imenovanje;

(e)	„izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili bilo koje drugo tijelo koje u ime voditelja obrade obrađuje osobne podatke;

(f)	„treća strana” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili tijelo, osim subjekta podataka, voditelja obrade, izvršitelja obrade i osobe koje su, pod izravnom nadležnošću voditelja obrade ili izvršitelja obrade, ovlaštene za obradu podataka;

(g)	„primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili bilo koje drugo tijelo kojemu se priopćavaju podaci, bilo da jest ili nije treća strana; međutim, tijela vlasti koja u okviru posebne istrage mogu primiti podatke ne smatraju se primateljima;

(h)	„suglasnost subjekta podataka” znači svako dragovoljno, točno određeno i svjesno navođenje vlastitih želja čime subjekt podataka daje svoju suglasnost za obradu osobnih podataka koji se na njega odnose.

Članak 3.

Područje primjene

1.   Ova se Uredba primjenjuje na obradu osobnih podataka u svim institucijama i tijelima Zajednice pod uvjetom da se takva obrada provodi u okviru obavljanja djelatnosti koje su u potpunosti ili djelomično u području primjene prava Zajednice.

2.   Ova se Uredba primjenjuje na obradu osobnih podataka u potpunosti ili djelomično automatskim putem, kao i na obradu osobnih podataka ostalim sredstvima koja čine dio sustava datoteka ili su namijenjena da budu dio sustava datoteka.

POGLAVLJE II.

OPĆA PRAVILA O ZAKONITOSTI OBRADE OSOBNIH PODATAKA

ODJELJAK 1.

NAČELA O KVALITETI PODATAKA

Članak 4.

Kvaliteta podataka

1.   Osobni podaci moraju biti:

(a)	obrađeni pravično i zakonito;

(b)

prikupljeni s točno utvrđenom, nedvosmislenom i zakonitom namjenom i ne dodatno obrađeni na način koji je nespojiv s tom namjenom. Daljnja obrada osobnih podataka u povijesne, statističke ili znanstvene svrhe ne smatra se nespojivom pod uvjetom da voditelj obrade osigura odgovarajuće zaštitne mjere, a posebno da osigura da se podaci neće obrađivati u neku drugu svrhu, niti se upotrebljavati kao podrška mjerama ili odlukama koje se odnose na bilo koju osobu;

(c)	odgovarajući, bitni i ne preopsežni u odnosu na svrhu u koju se prikupljaju i/ili dalje obrađuju;

(d)	točni i, ako je to potrebno, ažurirani; potrebno je poduzeti svaki razuman korak kako bi se podaci koji su netočni ili nepotpuni izbrisali ili ispravili, uzimajući u obzir svrhu zbog koje su prikupljeni ili zbog koje se dalje obrađuju;

(e)

pohranjeni u obliku koji dopušta identifikaciju subjekata podataka ne dulje nego što je to potrebno s obzirom na svrhu zbog koje su podaci prikupljeni ili zbog koje se dalje obrađuju. Institucija ili tijelo Zajednice dužno je propisati da osobne podatke, koji se pohranjuju na dulje razdoblje u svrhu povijesne, statističke ili znanstvene upotrebe, treba čuvati ili samo u anonimnom obliku ili, ako to nije moguće, samo s kodiranim identitetom subjekata podataka. U svakom slučaju, ti se podaci ne smiju upotrijebiti u neku drugu svrhu, osim u povijesne, statističke ili znanstvene svrhe.

2.   Voditelj obrade je dužan osigurati poštovanje stavka 1.

ODJELJAK 2.

MJERILA ZA DOPUSTIVOST OBRADE PODATAKA

Članak 5.

Zakonitost obrade

Osobni podaci mogu se obrađivati samo:

(a)

ako je obrada potrebna za obavljanje zadatka koji se provodi u javnom interesu na temelju Ugovora o osnivanju Europskih zajednica ili drugih pravnih akata usvojenih na temelju istih ili u okviru zakonite primjene javne ovlasti dane instituciji ili tijelu Zajednice ili trećoj strani, kojima se podaci priopćavaju; ili

(b)	ako je obrada potrebna u svrhu poštovanja pravne obveze kojoj podliježe voditelj obrade; ili

(c)	ako je obrada potrebna za izvršenje ugovora u kojemu je subjekt podataka jedna od strana ili u svrhu poduzimanja koraka na zahtjev subjekta podataka, i to prije sklapanja ugovora; ili

(d)	ako je osoba na koju se podaci odnose za to dala svoju nedvosmislenu suglasnost; ili

(e)	ako je obrada potrebna kako bi se zaštitili životni interesi subjekta podataka.

Članak 6.

Promjena svrhe

Ne dovodeći u pitanje članke 4., 5. i 10.:

1.	Osobni podaci smiju se obrađivati za svrhe različite od onih za koje su prikupljeni, i to ako je promjena svrhe izričito dopuštena unutarnjim pravilima institucije ili tijela Zajednice.

2.	Osobni podaci prikupljeni isključivo u svrhu osiguranja zaštite ili kontrole sustava ili postupaka obrade ne smiju se upotrijebiti u neku drugu svrhu, osim za sprečavanje, istragu, otkrivanje i progon teških kaznenih djela.

Članak 7.

Prijenos osobnih podataka unutar ili među institucijama ili tijelima Zajednice

Ne dovodeći u pitanje članke 4., 5., 6. i 10.:

1.	Osobni podaci smiju se prenositi unutar ili u druge institucije ili tijela Zajednice ako su podaci potrebni za zakonito obavljanje zadataka koji su u nadležnosti primatelja.

2.

Ako se podaci prenose na zahtjev primatelja, i kako voditelj obrade, tako i primatelj snose odgovornost za zakonitost tog prijenosa. Od voditelja obrade se zahtijeva da provjeri nadležnost primatelja te da pravovremeno ocijeni potrebu za prijenosom podataka. Ako se pojave dvojbe u vezi potrebe za prijenosom, voditelj obrade je od primatelja dužan zatražiti dodatne informacije. Primatelj je dužan osigurati da se potreba za prijenosom podataka može naknadno provjeriti.

3.	Primatelj obrađuje osobne podatke samo u svrhu zbog koje su preneseni.

Članak 8.

Prijenos osobnih podataka primateljima koji nisu institucije i tijela Zajednice, a podliježu Direktivi 95/46/EZ

Ne dovodeći u pitanje članke 4., 5., 6. i 10. osobni podaci smiju se prenositi samo primateljima koji podliježu nacionalnim propisima usvojenima za provedbu Direktive 95/46/EZ:

(a)	ako primatelj utvrdi da su podaci potrebni za obavljanje zadatka koji se provodi u javnom interesu ili sukladno primjeni tijela javne vlasti; ili

(b)	ako primatelj utvrdi potrebu za prijenosom podataka i ako nema razloga za pretpostaviti da bi se mogli narušiti zakoniti interesi subjekta podataka.

Članak 9.

Prijenos osobnih podataka primateljima koji nisu institucije i tijela Zajednice, a koji ne podliježu Direktivi 95/46/EZ

1.   Osobni podaci prenose se primateljima koji nisu institucije i tijela Zajednice i koji ne podliježu nacionalnom pravu usvojenom na temelju Direktive 95/46/EZ samo ako je osigurana primjerena razina zaštite u državi primatelja ili unutar međunarodne organizacije primatelja i ako se podaci prenose samo radi omogućavanja izvršenja zadataka u nadležnosti voditelja obrade.

2.   Primjerenost razine zaštite koju pruža treća zemlja ili dotična međunarodna organizacija procjenjuje se s obzirom na sve okolnosti oko postupka prijenosa podataka ili niza postupaka prijenosa podataka. Posebna pozornost posvećuje se prirodi podataka, svrsi i trajanju predloženog postupka ili predloženih postupaka obrade, trećoj zemlji primatelju ili međunarodnoj organizaciji primatelju, općoj i sektorskoj vladavini prava na snazi u trećoj zemlji ili dotičnoj međunarodnoj organizaciji te strukovnim pravilima i zaštitnim mjerama koje se poštuju u toj trećoj zemlji ili međunarodnoj organizaciji.

3.   Institucije i tijela Zajednice dužne su obavijestiti Komisiju i Europskog nadzornika za zaštitu podataka o slučajevima za koje smatraju da treća zemlja ili dotična međunarodna organizacija ne osigurava primjerenu razinu zaštite u smislu stavka 2.

4.   Komisija je o svim slučajevima navedenima u stavku 3. dužna obavijestiti države članice.

5.   Institucije i tijela Zajednice dužni su poduzeti potrebne mjere za poštovanje odluka Komisije kada Komisija, sukladno članku 25. stavcima 4. i 6. Direktive 95/46/EZ, utvrdi da treća zemlja ili međunarodna organizacija osigurava ili ne osigurava primjerenu razinu zaštite.

6.   Odstupajući od stavaka 1. i 2., institucija ili tijelo Zajednice može prenijeti osobne podatke:

(a)	ako je subjekt podataka dao svoju nedvosmislenu suglasnost za predloženi prijenos; ili

(b)	ako je prijenos potreban za izvršenje ugovora između subjekta podataka i voditelja obrade ili za provedbu predugovornih mjera poduzetih kao odgovor na zahtjev subjekta podataka; ili

(c)	ako je prijenos potreban za zaključivanje ili izvršenje ugovora koji se sklapa između voditelja obrade i treće strane u interesu osobe na koju se podaci odnose; ili

(d)	ako je prijenos potreban ili je pravno obvezan na temelju važnog javnog interesa ili radi uspostavljanja, izvršenja ili obrane pravnih zahtjeva; ili

(e)	ako je prijenos potreban radi zaštite životnih interesa subjekta podataka; ili

(f)

ako se prijenos obavlja iz evidencije koja je, sukladno pravu Zajednice, namijenjena davanju informacija za javnost i koji je otvoren za savjetovanje, bilo javnosti općenito ili osobi koja može dokazati opravdani pravni interes, pod uvjetom da su u danom slučaju ispunjeni uvjeti za savjetovanje koji su utvrđeni pravom Zajednice.

7.   Ne dovodeći u pitanje stavak 6., Europski nadzornik za zaštitu podataka može odobriti prijenos ili niz prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju koja ne osigurava primjerenu razinu zaštite u smislu stavaka 1. i 2. ako voditelj obrade dokaže da postoje odgovarajuće zaštitne mjere koje se tiču zaštite privatnosti i temeljnih prava i sloboda osoba te ostvarivanja odgovarajućih prava. Takve zaštitne mjere mogu posebno proizlaziti iz točaka ugovora.

8.   Institucije i tijela Zajednice dužni su obavijestiti Europskog nadzornika za zaštitu podataka o kategorijama slučajeva u kojima su primijenili stavke 6. i 7.

ODJELJAK 3.

POSEBNE KATEGORIJE OBRADE

Članak 10.

Obrada posebnih kategorija podataka

1.   Zabranjena je obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička uvjerenja, vjerska ili filozofska uvjerenja, sindikalno članstvo te podataka koji se tiču zdravlja ili spolnog života.

2.   Stavak 1. ne primjenjuje se:

(a)	ako je subjekt podataka dao svoju izričitu suglasnost za obradu tih podataka, osim kada unutarnja pravila institucije ili tijela Zajednice propisuju da se zabrana na koju se poziva stavak 1. ne smije ukinuti davanjem suglasnosti subjekta podataka; ili

(b)

ako je obrada potrebna radi poštovanja posebnih prava i obveza voditelja obrade u području prava o zapošljavanju, pod uvjetom da je to odobreno Ugovorima o osnivanju Europskih zajednica ili drugim pravnim aktima donijetim na temelju Ugovora ili, prema potrebi, ako se s tim suglasio Europski nadzornik za zaštitu podataka, i to sukladno odgovarajućim zaštitnim mjerama; ili

(c)	ako je obrada potrebna zbog zaštite životnih interesa subjekta podataka ili neke druge osobe kada je subjekt podataka fizički ili pravno nesposoban dati svoju suglasnost; ili

(d)	ako se obrada tiče podataka koje je subjekt podataka očigledno učinio javnima ili je obrada potrebna radi uspostavljanja, izvršenja ili obrane pravnih zahtjeva; ili

(e)

ako obradu tijekom svojih zakonitih djelatnosti i uz odgovarajuće mjere zaštite obavlja neprofitno tijelo koje je subjekt uključen u instituciju ili tijelo Zajednice, a koje ne podliježe nacionalnom pravu o zaštiti podataka na temelju članka 4. Direktive 95/46/EZ i koje ima politički, filozofski, vjerski ili sindikalni cilj, a pod uvjetom da se obrada odnosi samo na članove tog tijela ili na osobe koje su s njim u redovitom kontaktu u vezi s njegovim ciljevima te da se podaci ne daju trećoj stranci bez suglasnosti subjekta podataka.

3.   Stavak 1. ne primjenjuje se ako je obrada podataka potrebna radi preventivne medicine, zdravstvene dijagnoze, pružanja skrbi ili liječenja ili u svrhu upravljanja zdravstvenim uslugama i ako te podatke obrađuje zdravstveni radnik koji ima obvezu čuvanja službene tajne ili bilo koja druga osoba koja također ima istovrijednu obvezu čuvanja tajnosti podataka.

4.   Sukladno odredbi o osiguravanju odgovarajućih zaštitnih mjera, a zbog važnog javnog interesa, mogu se utvrditi i dodatne iznimke uz one navedene u stavku 2., i to na temelju Ugovora o osnivanju Europskih zajednica ili drugih pravnih akata donijetih na temelju njih ili, ako je to potrebno, na temelju odluke Europskog nadzornika za zaštitu podataka.

5.   Obrada podataka koji se odnose na kaznena djela, kaznene presude ili zaštitne mjere može se obaviti samo ako je odobrena Ugovorima o osnivanju Europskih zajednica ili drugim pravnim aktima donijetim na temelju njih ili, prema potrebi, ako je tu obradu odobrio Europski nadzornik za zaštitu podataka prema odgovarajućim, točno određenim zaštitnim mjerama.

6.   Europski nadzornik za zaštitu podataka određuje uvjete pod kojima institucija ili tijelo Zajednice može obraditi osobni identifikacijski broj ili drugu identifikacijsku oznaku opće namjene.

ODJELJAK 4.

INFORMACIJE KOJE SE DOSTAVLJAJU SUBJEKTU PODATAKA

Članak 11.

Informacije koje treba pribaviti kada su podaci pribavljeni od subjekta podataka

1.   Voditelj obrade pribavlja subjektu podataka od kojeg se prikupljaju podaci u vezi s njim barem sljedeće informacije, osim ako ih dotična osoba nije već dobila:

(a)	identitet voditelja obrade;

(b)	svrhu postupka obrade za koji su podaci namijenjeni;

(c)	primatelje ili kategorije primatelja podataka;

(d)	jesu li odgovori na pitanja obvezni ili dobrovoljni i koje su moguće posljedice izostanka odgovora;

(e)	postojanje prava na pristup podacima koji se tiču dotične osobe i pravo njihova ispravka;

(f)

sve dodatne informacije, kao što su: i. pravna osnova postupka obrade kojem su podaci namijenjeni; ii. rokovi za pohranu podataka; iii. pravo obraćanja u svakom trenutku Europskom nadzorniku za zaštitu podataka, pod uvjetom da su takve dodatne informacije potrebne kako bi se zajamčila ispravna obrada podataka s obzirom na subjekt podataka, uzimajući u obzir posebne okolnosti u kojima se podaci prikupljaju.

2.   Iznimno od stavka 1., pribavljanje informacija ili jednog njihovog dijela, osim informacija navedenih u stavku 1. točkama (a), (b) i (d), može se odgoditi koliko god je to potrebno u statističke svrhe. Informacije se moraju pribaviti čim prestane postojati razlog za njihovo uskraćivanje.

Članak 12.

Informacije koje treba pribaviti kada podaci nisu pribavljeni od subjekta podataka

1.   Kada podaci nisu pribavljeni od subjekta podataka, voditelj obrade je dužan, na početku evidentiranja osobnih podataka ili, ako je predviđeno priopćavanje podataka trećoj strani, najkasnije do trenutka kada se podaci prvi put priopćavaju, pribaviti subjektu podataka barem sljedeće informacije, osim ako ih dotična osoba nije već dobila:

(a)	identitet voditelja obrade;

(b)	svrhu postupka obrade;

(c)	kategorije predmetnih podataka;

(d)	primatelje ili kategorije primatelja;

(e)	postojanje prava na pristup podacima koji se tiču dotične osobe i pravo njihova ispravka;

(f)

sve dodatne informacije, kao što su: i. pravna osnova postupka obrade kojem su podaci namijenjeni; ii. rokovi za pohranu podataka; iii. pravo obraćanja u svakom trenutku Europskom nadzorniku za zaštitu podataka; iv. izvor podataka, osim ako voditelj obrade ne može dati tu informaciju zbog čuvanja službene tajne, pod uvjetom da su takve dodatne informacije potrebne kako bi se zajamčila pravična obrada podataka s obzirom na subjekt podataka, uzimajući u obzir posebne okolnosti u kojima se podaci obrađuju.

2.   Stavak 1. se ne primjenjuje ako se, posebno u slučajevima obrade u statističke svrhe ili u svrhu povijesnih ili znanstvenih istraživanja, pribavljanje takvih informacija pokaže nemogućim ili ako bi ono zahtijevalo nerazmjerne napore ili ako je evidentiranje ili objavljivanje podataka izričito propisano pravom Zajednice. U tim slučajevima institucija ili tijelo Zajednice dužno je, nakon savjetovanja s Europskim nadzornikom za zaštitu podataka, osigurati odgovarajuće zaštitne mjere.

ODJELJAK 5.

PRAVA SUBJEKTA PODATAKA

Članak 13.

Pravo pristupa

Subjekt podataka ima pravo, bez ograničenja, u bilo kojem trenutku, u roku od tri mjeseca od primitka zahtjeva, od voditelja obrade besplatno dobiti:

(a)	potvrdu o tome da li se podaci koji se na njega odnose obrađuju;

(b)	informaciju barem o svrsi postupka obrade, kategorijama predmetnih podataka i primateljima ili kategorijama primatelja kojima se podaci priopćavaju;

(c)	obavijest, u razumljivome obliku, o podacima koji se obrađuju te o svim dostupnim informacijama u vezi s njihovim izvorom;

(d)	saznanja o logici koja je u osnovi bilo kojeg automatiziranog postupka odlučivanja koji se tiče dotične osobe.

Članak 14.

Ispravljanje

Subjekt podataka ima pravo od voditelja obrade ishoditi ispravak netočnih ili nepotpunih osobnih podataka bez odlaganja.

Članak 15.

Blokiranje

1.   Subjekt podataka ima pravo od voditelja obrade ishoditi blokiranje podataka:

(a)	ako subjekt podataka osporava njihovu točnost, i to u razdoblju koje voditelju obrade omogućava provjeru točnosti podataka, uključujući i njihovu potpunost; ili

(b)	ako voditelju obrade predmetni podaci nisu više potrebni za izvršavanje njegovih zadataka, ali ih treba sačuvati u svrhu dokaza; ili

(c)	ako je obrada nezakonita, a subjekt podataka se protivi njihovom brisanju i umjesto toga zahtijeva njihovo blokiranje.

2.   U automatiziranim sustavima datoteka blokiranje se, u načelu, osigurava tehničkim sredstvima. Činjenica da su podaci blokirani naznačit će se u sustavu tako da postane jasno da se dotični osobni podaci ne smiju upotrijebiti.

3.   Osobni podaci blokirani u skladu s ovim člankom obrađuju se, osim pohranjivanjem, samo u svrhu dokazivanja ili uz suglasnost subjekta podataka ili u svrhu zaštite prava treće strane.

4.   Prije prekida blokiranja podataka, voditelj obrade je o tome dužan obavijestiti subjekt podataka.

Članak 16.

Brisanje

Subjekt podataka ima pravo ishoditi od voditelja obrade brisanje podataka ako je njihova obrada nezakonita, posebno ako su prekršene odredbe iz poglavlja II., odjeljaka 1., 2. i 3.

Članak 17.

Priopćavanje trećim stranama

Subjekt podataka ima pravo ishoditi od voditelja obrade priopćavanje trećim stranama, kojima su podaci preneseni, o svakome ispravljanju, brisanju ili blokiranju podataka na temelju članaka 13. do 16., osim ako se to ne pokaže nemogućim, odnosno osim ako to ne iziskuje nerazmjerne napore.

Članak 18.

Pravo subjekta podataka na prigovor

Subjekt podataka ima pravo:

(a)

u svakom trenutku i na temelju opravdanih razloga, koji se ne mogu izbjeći i koji se odnose na njegov poseban položaj, uložiti prigovor na obradu podataka koji ga se tiču, osim u slučajevima obuhvaćenim člankom 5. točkama (b), (c) i (d). Ako je prigovor opravdan, dotična obrada na smije više uključivati predmetne podatke;

(b)	biti obaviješten prije nego što se osobni podaci po prvi put priopće trećim stranama ili prije nego što se u njihovo ime upotrijebe u svrhu direktnog marketinga te biti izričito upućen u svoje pravo na besplatan prigovor na takvo priopćavanje ili uporabu predmetnih podataka.

Članak 19.

Automatizirane pojedinačne odluke

Subjekt podatka ima pravo ne biti predmetom odluke koja na njega proizvodi pravne učinke ili na njega znatno utječe i koja se temelji isključivo na automatiziranoj obradi podataka namijenjenoj procjeni određenih osobnih aspekata koji se na njega odnose, kao što su njegov radni učinak, pouzdanost ili vladanje, osim ako odluka nije izričito odobrena u skladu s nacionalnim zakonodavstvom ili zakonodavstvom Zajednice ili, ako je to potrebno, od strane Europskog nadzornika za zaštitu podataka. U svakome od tih slučajeva potrebno je poduzeti mjere zaštite zakonskih interesa subjekta podataka, kao što je omogućavanje iznošenja vlastitog stajališta.

ODJELJAK 6.

IZUZEĆA I OGRANIČENJA

Članak 20.

Izuzeća i ograničenja

1.   Institucije i tijela Zajednice mogu ograničiti primjenu članka 4. stavka 1., članka 11., članka 12. stavka 1., članaka 13. do 17. i članka 37. stavka 1. ako takvo ograničenje predstavlja neophodnu mjeru kojom se jamči:

(a)	sprečavanje, istraga, otkrivanje i progon kaznenih djela;

(b)	važan gospodarski ili financijski interes države članice ili Europskih zajednica, uključujući novčana, proračunska i porezna pitanja;

(c)	zaštita subjekta podataka ili prava i slobode drugih;

(d)	nacionalna sigurnost, javna sigurnost ili obrana država članica;

(e)	zadatak praćenja, inspekcije ili reguliranja povezan, čak i povremeno, s primjenom službene ovlasti u slučajevima navedenim u točkama (a) i (b).

2.   Članci od 13. do 16. ne primjenjuju se kada se podaci obrađuju isključivo u svrhu znanstvenog istraživanja ili kada se čuvaju u osobnome obliku tijekom razdoblja koje ne prelazi vrijeme potrebno samo za prikupljanje statističkih podataka, pod uvjetom da očigledno ne postoji opasnost od narušavanja privatnosti subjekta podataka i da voditelj obrade osigurava odgovarajuće pravne zaštitne mjere, posebno kako bi se zajamčilo da se podaci ne upotrebljavaju za poduzimanje mjera ili odluka u vezi s pojedinim osobama.

3.   Ako se nametne ograničenje predviđeno stavkom 1., subjekta podataka mora se, u skladu s pravom Zajednice, obavijestiti o glavnim razlozima na kojima se temelji primjena ograničenja te njegovom pravu obraćanja Europskom nadzorniku za zaštitu podataka.

4.   Ako se ograničenje predviđeno stavkom 1. primjenjuje radi odbijanja pristupa subjektu podataka, Europski nadzornik za zaštitu podataka dužan je, prilikom ispitivanja pritužbe, obavijestiti samo dotičnu osobu da li su podaci obrađeni točno, te ako nisu, jesu li izvršeni svi potrebni ispravci.

5.   Obavješćivanje iz stavaka 3. i 4. može se odgoditi tako dugo dok predmetne obavijesti mogu uskratiti ograničenje nametnuto stavkom 1.

ODJELJAK 7.

POVJERLJIVOST I ZAŠTITA OBRADE

Članak 21.

Povjerljivost obrade

Osoba zaposlena u instituciji ili tijelu Zajednice te bilo koja institucija ili tijelo Zajednice koje djeluje kao izvršitelj obrade s pristupom osobnim podacima ne smije obrađivati podatke bez uputa voditelja obrade, osim ako to zahtijeva nacionalno pravo ili pravo Zajednice.

Članak 22.

Zaštita obrade

1.   Uzimajući u obzir posljednja dostignuća tehnike i trošak njihove primjene, voditelj obrade je dužan primijeniti odgovarajuće tehničke i organizacijske mjere kako bi osigurao razinu zaštite odgovarajuću rizicima koje predstavljaju obrada i priroda osobnih podataka koje treba zaštititi.

Takve se mjere poduzimaju posebno radi sprečavanja svakog neovlaštenog objavljivanja ili pristupa, slučajnog ili nezakonitog uništavanja ili promjene te radi sprečavanja svih drugih nezakonitih oblika obrade.

2.   Ako se osobni podaci obrađuju automatiziranim sredstvima, poduzimaju se mjere koje su potrebne s obzirom na rizike, posebno u svrhu:

(a)	sprečavanja svake neovlaštene osobe u dobivanju pristupa računalnim sustavima koji obrađuju osobne podatke;

(b)	sprečavanja svakog neovlaštenog čitanja, preslikavanja, promjene ili uklanjanja sredstava pohranjivanja;

(c)	sprečavanja svakog neovlaštenog unošenja podataka u memoriju, kao i svakog neovlaštenog objavljivanja, promjene ili brisanja pohranjenih osobnih podataka;

(d)	sprečavanja neovlaštenih osoba u upotrebi sustava obrade podataka pomoću sredstva za prijenos podataka;

(e)	osiguravanja da ovlašteni korisnici sustava obrade podataka nemaju pristup drugim osobnim podacima osim podacima na koje se odnosi njihovo pravo pristupa;

(f)	zapisivanja koji su osobni podaci priopćeni, kada i komu;

(g)	osiguravanja da će naknadno biti moguće provjeriti koji su osobni podaci obrađeni, kada i od koga;

(h)	osiguravanja da se osobni podaci, koji se obrađuju u ime trećih strana, mogu obraditi samo na način propisan od strane ugovorne institucije ili tijela;

(i)	osiguravanja da se, tijekom priopćavanja osobnih podataka i tijekom prijenosa sredstava pohrane, podaci ne mogu čitati, preslikavati ili brisati bez odobrenja;

(j)	oblikovanja organizacijskog ustroja unutar institucije ili tijela na način kojim se ispunjavaju posebni zahtjevi zaštite podataka.

Članak 23.

Obrada osobnih podataka u ime voditelja obrade

1.   Ako se postupak obrade provodi u njegovo ime, voditelj obrade je dužan odabrati izvršitelja obrade koji osigurava dostatna jamstva u pogledu tehničkih i organizacijskih sigurnosnih mjera koje zahtijeva članak 22. i osigurati poštivanje tih mjera.

2.   Provođenje postupka obrade koji obavlja izvršitelj obrade mora biti uređen ugovorom ili pravnim aktom kojim se izvršitelj obrade vezuje uz voditelja obrade i kojim se posebno propisuje da:

(a)	izvršitelj obrade postupa isključivo prema uputama voditelja obrade;

(b)

su obveze navedene u člancima 21. i 22. također obvezatne za izvršitelja obrade, osim ako, na temelju članka 16. ili članka 17. stavka 3. druge alineje Direktive 95/46/EZ, izvršitelj obrade već ne podliježe obvezama o povjerljivosti i zaštiti koje su utvrđene nacionalnim pravom jedne od država članica.

3.   U svrhu čuvanja dokaza, dijelovi ugovora ili pravnog akta koji se odnose na zaštitu podataka i zahtjevi koji se odnose na mjere navedene u članku 22. moraju biti u pisanom ili nekom drugom istovrijednom obliku.

ODJELJAK 8.

SLUŽBENIK ZA ZAŠTITU PODATAKA

Članak 24.

Imenovanje i zadaci službenika za zaštitu podataka

1.   Svaka institucija Zajednice i svako tijelo Zajednice dužni su imenovati najmanje jednu osobu službenikom za zaštitu podataka. Ta osoba ima zadatak:

(a)	osigurati da voditelji obrade i subjekti podataka budu obaviješteni o svojim pravima i obvezama u skladu s ovom Uredbom;

(b)	odgovarati na zahtjeve Europskog nadzornika za zaštitu podataka i, u okviru svoje nadležnosti, surađivati s Europskim nadzornikom za zaštitu podataka na njegov zahtjev ili na vlastitu inicijativu;

(c)	osigurati, na neovisan način, unutarnju primjenu odredaba ove Uredbe;

(d)	voditi evidenciju postupaka obrade koje provodi voditelj obrade, a koji sadrži informacije navedene u članku 25. stavku 2.;

(e)	obavještavati Europskog nadzornika za zaštitu podataka o postupcima obrade koji možda predstavljaju posebne rizike u smislu članka 27.

Ta osoba na taj će način osigurati da postupci obrade vjerojatno neće imati štetan utjecaj na prava i slobode subjekta podataka.

2.   Službenik za zaštitu podataka bira se na temelju svojih osobnih i stručnih kvaliteta, a posebno na temelju svog stručnog poznavanja zaštite podataka.

3.   Izbor službenika za zaštitu podataka ne smije dovesti do sukoba interesa između njegove dužnosti službenika za zaštitu podataka i bilo kojih drugih službenih dužnosti, posebno u vezi primjene ove Uredbe.

4.   Službenik za zaštitu podataka imenuje se na razdoblje od dvije do pet godina. On ima pravo biti ponovno imenovan za ukupno razdoblje u trajanju od najviše deset godina. Službenika za zaštitu podataka te dužnosti može razriješiti institucija ili tijelo Zajednice koje ga je imenovalo, i to samo uz suglasnost Europskog nadzornika za zaštitu podataka ako službenik za zaštitu podataka više ne ispunjava uvjete potrebne za obavljanje njegovih dužnosti.

5.   Nakon imenovanja, službenika za zaštitu podataka kod Europskog nadzornika za zaštitu podataka upisuje institucija ili tijelo koje ga je imenovalo.

6.   Institucija ili tijelo Zajednice koji su imenovali službenika za zaštitu podataka dužni su osigurati mu osoblje i sredstva potrebna za izvršavanje njegovih dužnosti.

7.   Za obavljanje svojih dužnosti službenik za zaštitu podataka ne smije primati nikakve upute.

8.   Dodatna provedbena pravila koja se odnose na službenika za zaštitu podataka donosi svaka institucija ili tijelo Zajednice u skladu s odredbama iz Priloga. Provedbena pravila posebno se odnose na zadatke, dužnosti i ovlasti službenika za zaštitu podataka.

Članak 25.

Obavješćivanje službenika za zaštitu podataka

1.   Voditelj obrade je dužan unaprijed obavijestiti službenika za zaštitu podataka o svakom postupku obrade ili nizu takvih postupaka predviđenih za jednu svrhu ili nekoliko povezanih svrha.

2.   Informacije koje se dostavljaju uključuju:

(a)	ime i prezime/naziv i adresu voditelja obrade te oznaku organizacijskih jedinica institucije ili tijela kojima je povjerena obrada osobnih podataka u određenu svrhu;

(b)	svrhu ili svrhe obrade;

(c)	opis kategorije ili kategorija subjekata podataka i podataka ili kategorija podataka koji se na njih odnose;

(d)	pravnu osnovu postupka obrade kojem su podaci namijenjeni;

(e)	primatelje ili kategorije primatelja kojima se podaci mogu obznaniti;

(f)	opću naznaku vremenskog ograničenja za blokiranje i brisanje različitih kategorija podataka;

(g)	predložene prijenose u treće zemlje ili međunarodne organizacije;

(h)	opći opis koji omogućava prethodnu procjenu prikladnosti mjera poduzetih na temelju članka 22. za osiguranje zaštite obrade.

3.   Službenika za zaštitu podataka odmah se obavješćuje o svakoj promjeni koja utječe na informacije navedene u stavku 2.

Članak 26.

Evidencija

Evidenciju postupaka obrade prijavljenih u skladu s člankom 25. vodi svaki službenik za zaštitu podataka.

Evidencije moraju sadržavati barem informacije navedene u članku 25. stavku 2. točkama od (a) do (g). Evidencije smije pregledati, izravno ili neizravno, svaka osoba, i to posredstvom Europskog nadzornika za zaštitu podataka.

ODJELJAK 9.

PRETHODNA PROVJERA KOJU OBAVLJA EUROPSKI NADZORNIK ZA ZAŠTITU PODATAKA I OBVEZA SURADNJE

Članak 27.

Prethodna provjera

1.   Postupci obrade, koji zbog svoje prirode, opsega ili svrhe, mogu predstavljati posebne rizike za prava i slobode subjekata podataka podliježu provjeri Europskog nadzornika za zaštitu podataka.

2.   Takve rizike mogu predstavljati sljedeći postupci obrade:

(a)	obrada podataka koji se odnose na zdravlje i navodna kaznena djela, kaznena djela, kaznene presude ili sigurnosne mjere;

(b)	postupci obrade namijenjeni ocjeni osobnih aspekata subjekta podataka, uključujući njegovu sposobnost, djelotvornost i vladanje;

(c)	postupci obrade koji omogućavaju povezivanje koje nije predviđeno nacionalnim zakonodavstvom ili zakonodavstvom Zajednice između podataka koji se obrađuju u različite svrhe;

(d)	postupci obrade u svrhu isključivanja pojedinaca iz prava, dobrobiti ili ugovora.

3.   Prethodne provjere obavlja Europski nadzornik za zaštitu podataka, i to po primitku obavijesti od službenika za zaštitu podataka koji je, u slučaju dvojbe o potrebi prethodne provjere, dužan savjetovati se s Europskim nadzornikom za zaštitu podataka.

4.   Europski nadzornik za zaštitu podataka daje svoje mišljenje u roku od dva mjeseca od primitka navedene obavijesti. Taj se rok može odgoditi dok Europski nadzornik za zaštitu podataka ne dobije sve dodatne informacije koje može zatražiti. Ako složenost predmeta to zahtijeva, navedeno razdoblje može se i produljiti za dodatna dva mjeseca odlukom Europskog nadzornika za zaštitu podataka. O toj se odluci voditelj obrade izvješćuje prije isteka početnog dvomjesečnog razdoblja.

Ako mišljenje nije poslano do kraja dvomjesečnog razdoblja ili do produljenja istoga, smatra se da je mišljenje pozitivno.

Ako je mišljenje Europskog nadzornika za zaštitu podataka da prijavljena obrada može uključivati kršenje bilo koje odredbe ove Uredbe, on je dužan, prema potrebi, dostaviti prijedloge za izbjegavanje takvog kršenja. Ako voditelj obrade ne preinači postupak obrade s tim u skladu, Europski nadzornik za zaštitu podataka može upotrijebiti svoje ovlasti koje su mu dane na temelju članka 47. stavka 1.

5.   Europski nadzornik za zaštitu podataka dužan je voditi evidenciju svih postupaka obrade koji su mu prijavljeni u skladu sa stavkom 2. Evidencija mora sadržavati informacije navedene u članku 25. i mora biti dostupna javnosti na uvid.

Članak 28.

Savjetovanje

1.   Institucije i tijela Zajednice dužni su obavijestiti Europskog nadzornika za zaštitu podataka kad pripremaju administrativne mjere koje se odnose na obradu osobnih podataka koja uključuje instituciju ili tijelo Zajednice pojedinačno ili zajedno s ostalima.

2.   Kada usvaja zakonski prijedlog koji se odnosi na zaštitu prava i slobodu pojedinaca pri obradi osobnih podataka, Komisija je dužna savjetovati se s Europskim nadzornikom za zaštitu podataka.

Članak 29.

Obveza obavješćivanja

Institucije i tijela Zajednice dužni su obavijestiti Europskog nadzornika za zaštitu podataka o mjerama poduzetima nakon njegovih odluka ili odobrenja na koje se poziva članak 46. točka (h).

Članak 30.

Obveza surađivanja

Voditelji obrade su dužni pomagati Europskom nadzorniku za zaštitu podataka, na njegov zahtjev, u obavljanju njegove dužnosti, posebno pribavljanjem informacija iz članka 47. stavka 2. točke (a) i jamčenjem pristupa kao što je propisano člankom 47. stavkom 2. točkom (b).

Članak 31.

Obveza reagiranja na navode

Kao odgovor na izvršavanje ovlasti Europskog nadzornika za zaštitu podataka prema članku 47. stavku 1. točki (b), dotični voditelj obrade dužan je o svojim stajalištima izvijestiti nadzornika u razumnom roku koji utvrđuje nadzornik. Kao reakcija na primjedbe Europskog nadzornika za zaštitu podataka, odgovor mora uključivati i opis poduzetih mjera, ako ih ima.

POGLAVLJE III.

PRAVNI LIJEKOVI

Članak 32.

Pravni lijekovi

1.   Sud Europskih zajednica nadležan je za rješavanje svih sporova koji se odnose na odredbe ove Uredbe, uključujući i zahtjeve za odštetu.

2.   Ne dovodeći u pitanje ni jedan pravni lijek, svaki subjekt podataka može uložiti pritužbu Europskom nadzorniku za zaštitu podataka ako smatra da su mu prava prema članku 286. Ugovora povrijeđena slijedom obrade njegovih osobnih podataka od strane institucije ili tijela Zajednice.

Ako Europski nadzornik za zaštitu podataka ne odgovori u roku od šest mjeseci, smatra se da je pritužba odbijena.

3.   Postupci protiv odluka Europskog nadzornika za zaštitu podataka pokreću se na Sudu Europskih zajednica.

4.   Svaka osoba koja je pretrpjela štetu zbog nezakonitog postupka obrade ili bilo kojeg drugog postupka kojem se protivi ova Uredba ima pravo na naknadu štete u skladu s člankom 288. Ugovora.

Članak 33.

Pritužbe osoblja Zajednice

Svaka osoba zaposlena u instituciji ili tijelu Zajednice može, bez postupanja putem službenih kanala, uložiti pritužbu Europskom nadzorniku za zaštitu podataka zbog navodnog kršenja odredaba ove Uredbe kojima se uređuje obrada osobnih podataka. Nitko ne smije pretrpjeti štetu zbog pritužbe uložene Europskom nadzorniku za zaštitu podataka zbog navodnog kršenja odredaba kojima se uređuje obrada osobnih podataka.

POGLAVLJE IV.

ZAŠTITA OSOBNIH PODATAKA I PRIVATNOSTI U OKVIRU UNUTARNJIH TELEKOMUNIKACIJSKIH MREŽA

Članak 34.

Područje primjene

Ne dovodeći u pitanje ostale odredbe ove Uredbe, ovo se poglavlje primjenjuje na obradu osobnih podataka u vezi s uporabom telekomunikacijskih mreža ili terminalne opreme čijim radom upravlja institucija ili tijelo Zajednice.

U svrhu ovog poglavlja „korisnik” znači svaka fizička osoba koja upotrebljava telekomunikacijsku mrežu ili terminalnu opremu čijim radom upravlja institucija ili tijelo Zajednice.

Članak 35.

Sigurnost

1.   Institucije i tijela Zajednice dužni su poduzeti odgovarajuće tehničke i organizacijske mjere kako bi zajamčili sigurnu uporabu telekomunikacijskih mreža i terminalne opreme, ako je potrebno zajedno s pružateljima javno dostupnih telekomunikacijskih usluga ili pružateljima javnih telekomunikacijskih mreža. Uzimajući u obzir najnovija tehnička dostignuća i troškove njihove provedbe, te mjere moraju osigurati razinu zaštite primjerenu postojećem riziku.

2.   U slučaju bilo kojeg rizika od kršenja mjera sigurnosti mreže i terminalne opreme, dotična institucija ili tijelo Zajednice dužni su korisnike obavijestiti o postojanju tog rizika i o svim mogućim rješenjima problema te drugim mogućim načinima komunikacije.

Članak 36.

Povjerljivost komunikacija

Institucije i tijela Zajednice dužni su osigurati povjerljivost komunikacija posredstvom telekomunikacijskih mreža i terminalne opreme u skladu s općim načelima prava Zajednice.

Članak 37.

Podaci o prometu i fakturiranju

1.   Ne dovodeći u pitanje odredbe stavaka 2., 3. i 4., podaci o prometu koji se odnose na korisnike i koji su obrađeni i pohranjeni radi uspostavljanja poziva i drugih veza putem telekomunikacijske mreže moraju se izbrisati ili učiniti anonimnima po završetku poziva ili drugih veza.

2.   Ako je to potrebno, podaci o prometu, prikazani na popisu s kojim se usuglasio Europski nadzornik za zaštitu podataka, mogu se obrađivati u svrhu telekomunikacijskog proračuna i upravljanja prometom, uključujući i provjeru odobrene uporabe telekomunikacijskih sustava. Ti se podaci moraju izbrisati ili učiniti anonimnima što je prije moguće, a najkasnije šest mjeseci nakon njihovog prikupljanja, osim ako ih treba čuvati tijekom duljeg vremenskog razdoblja radi utvrđivanja, ostvarivanja ili obrane prava u zakonskom zahtjevu čije je rješavanje na sudu u tijeku.

3.   Obradu podataka o prometu i fakturiranju obavljaju samo osobe koje se bave fakturiranjem, prometom ili proračunskim upravljanjem.

4.   Korisnici telekomunikacijskih mreža imaju pravo primanja računa koji nisu specificirani po stavkama ili drugih ispisa obavljenih poziva.

Članak 38.

Imenici korisnika

1.   Osobni podaci sadržani u tiskanim ili elektroničkim imenicima korisnika i pristup takvim imenicima moraju se ograničiti na ono što je neophodno za točno određene namjene imenika.

2.   Institucije i tijela Zajednice dužni su poduzeti sve potrebne mjere kako bi spriječili da se osobni podaci sadržani u tim imenicima, bez obzira na to jesu li dostupni javnosti ili nisu, upotrebljavaju u svrhu direktnog marketinga.

Članak 39.

Prikaz ili zabrana prikaza broja pozivatelja i pozivanog

1.   Ako je ponuđen prikaz broja pozivatelja, korisnik pozivatelj mora imati mogućnost da na jednostavan način i besplatno isključi prikaz tog broja.

2.   Ako je ponuđen prikaz broja pozivatelja, pozivani korisnik mora imati mogućnost da na jednostavan način i besplatno spriječi prikazivanje broja dolazećih poziva.

3.   Ako je ponuđen prikaz broja pozivanog korisnika, taj korisnik mora imati mogućnost da na jednostavan način i besplatno isključi prikaz tog broja korisniku pozivatelju.

4.   Ako je ponuđen prikaz broja pozivatelja ili pozivanog, institucije i tijela Zajednice dužni su korisnike obavijestiti o tome i o mogućnostima iznesenima u stavcima 1., 2. i 3.

Članak 40.

Odstupanja

Institucije i tijela Zajednice dužni su osigurati postojanje transparentnih postupaka kojima je uređen način na koji korisnici mogu odbaciti isključenje prikaza broja pozivatelja:

(a)	na privremenoj osnovi, na temelju zahtjeva korisnika kojim se traži ulazak u trag zlonamjernim ili uznemirujućim pozivima;

(b)	na temelju pojedinačnih telefonskih linija za organizacijske jedinice koje se bave pozivima u nuždi, i to u svrhu odgovaranja na takve pozive.

POGLAVLJE V.

NEOVISNO NADZORNO TIJELO: EUROPSKI NADZORNIK ZA ZAŠTITU PODATAKA

Članak 41.

Europski nadzornik za zaštitu podataka

1.   Ovom se Uredbom osniva neovisno nadzorno tijelo koje se naziva Europski nadzornik za zaštitu podataka.

2.   U vezi s obradom osobnih podataka, Europski nadzornik za zaštitu podataka dužan je osigurati da institucije i tijela Zajednice poštuju temeljna prava i slobode fizičkih osoba, a posebno njihovo pravo na privatnost.

Europski nadzornik za zaštitu podataka odgovoran je za praćenje i osiguravanje primjene odredaba ove Uredbe i svih ostalih akata Zajednice koji se odnose na zaštitu temeljnih prava i sloboda fizičkih osoba u vezi s obradom osobnih podataka u instituciji ili tijelu Zajednice, kao i za savjetovanje institucija i tijela Zajednice te subjekata podataka o svim pitanjima koja se tiču obrade osobnih podataka. U tu svrhu Europski nadzornik za zaštitu podataka mora ispunjavati dužnosti propisane člankom 46. i izvršavati ovlasti koje su mu dodijeljene člankom 47.

Članak 42.

Imenovanje

1.   Europski parlament i Vijeće sporazumno imenuju Europskog nadzornika za zaštitu podataka na razdoblje od pet godina na temelju popisa koji je Komisija sastavila nakon javnog natječaja za kandidate.

Sukladno istom postupku, na isto se razdoblje imenuje i pomoćnik nadzornika, koji dotičnom pomaže u izvršavanju svih dužnosti i zamjenjuje ga kada je odsutan ili spriječen u njihovu izvršavanju.

2.   Europski nadzornik za zaštitu podataka bira se iz redova osoba čija je neovisnost izvan sumnje i koje su priznate kao osobe koje imaju iskustvo i vještine potrebne za obavljanje dužnosti Europskog nadzornika za zaštitu podataka, jer, primjerice, pripadaju ili su pripadali nadzornim tijelima navedenima u članku 28. Direktive 95/46/EZ.

3.   Europski nadzornik za zaštitu podataka može biti ponovo imenovan.

4.   Osim u slučaju uobičajene zamjene ili smrti, dužnosti Europskog nadzornika za zaštitu podataka prestaju u slučaju njegovog odstupanja ili obvezatnog umirovljenja u skladu sa stavkom 5.

5.   Na zahtjev Europskog parlamenta, Vijeća ili Komisije, Sud može Europskog nadzornika za zaštitu podataka razriješiti dužnosti ili mu oduzeti pravo na mirovinu ili na druge pogodnosti u zamjenu za mirovinu ako više ne ispunjava uvjete neophodne za obavljanje njegovih dužnosti ili ako je kriv za ozbiljne propuste.

6.   U slučaju uobičajene zamjene ili dragovoljnog odstupanja s dužnosti, Europski nadzornik za zaštitu podataka ostaje i dalje na svom položaju dok mu se ne pronađe zamjena.

7.   Članci od 12. do 15. i članak 18. Protokola Europskih zajednica o privilegijama i imunitetima primjenjuju se i na Europskog nadzornika za zaštitu podataka.

8.   Stavci od 2. do 7. primjenjuju se na pomoćnika nadzornika.

Članak 43.

Propisi i opći uvjeti kojima se uređuje obavljanje dužnosti Europskog nadzornika za zaštitu podataka, njegovo osoblje i financijska sredstva

1.   Europski parlament, Vijeće i Komisija dužni su sporazumno utvrditi propise i opće uvjete kojima se uređuje obavljanje dužnosti Europskog nadzornika za zaštitu podataka, a posebno njegova plaća, doplaci i ostale pogodnosti koje ima umjesto novčane naknade.

2.   Tijelo nadležno za proračun dužno je osigurati da Europski nadzornik za zaštitu podataka dobije osoblje i financijska sredstva potrebna za obavljanje svojih zadataka.

3.   Proračun Europskog nadzornika za zaštitu podataka prikazuje se kao posebna proračunska stavka u odjeljku VIII. općeg proračuna Europske unije.

4.   Europskom nadzorniku za zaštitu podataka pomaže Tajništvo. Dužnosnike i ostale članove osoblja imenuje Europski nadzornik za zaštitu podataka. Njihov nadređeni je Europski nadzornik za zaštitu podataka i oni rade isključivo prema njegovim uputama. Njihov se broj određuje svake godine kao dio postupka izrade proračuna.

5.   Dužnosnici i ostali članovi osoblja Tajništva Europskog nadzornika za zaštitu podataka podliježu pravilima i propisima koji se primjenjuju na dužnosnike i ostale službenike Europskih zajednica.

6.   U predmetima koji se tiču osoblja Tajništva, Europski nadzornik za zaštitu podataka ima isti status kao i institucije u smislu članka 1. Pravilnika o osoblju za dužnosnike Europskih zajednica.

Članak 44.

Neovisnost

1.   Europski nadzornik za zaštitu podataka dužan je postupati potpuno neovisno prilikom izvršavanja svojih dužnosti.

2.   Prilikom izvršavanja svojih dužnosti, Europski nadzornik za zaštitu podataka ne smije tražiti niti primati ničije upute.

3.   Europski nadzornik za zaštitu podataka mora se suzdržati od svakog postupka koji je nespojiv s njegovim dužnostima i ne smije se tijekom obnašanja svoje dužnosti baviti nijednom drugom djelatnošću, bilo da ona donosi ili ne donosi dobit.

4.   Europski nadzornik za zaštitu podataka dužan je, po isteku svoje službe, postupati moralno i s mjerom u pogledu prihvaćanja imenovanja i povlastica.

Članak 45.

Čuvanje službene tajne

Europski nadzornik za zaštitu podataka i njegovo osoblje podliježu, kako tijekom, tako i po isteku svoje službe, dužnosti čuvanja službene tajne u vezi svake povjerljive informacije koju su saznali tijekom obavljanja svojih službenih dužnosti.

Članak 46.

Dužnosti

Europski nadzornik za zaštitu podataka dužan je:

(a)	saslušati i ispitati pritužbe te o ishodu obavijestiti subjekt podataka u razumnom roku;

(b)	provesti ispitivanja, bilo na vlastitu inicijativu ili na temelju pritužbe, te u razumnom roku obavijestiti o ishodu subjekt podataka;

(c)	pratiti i osigurati primjenu odredaba ove Uredbe i svakog drugog akta Zajednice koji se odnosi na zaštitu fizičkih osoba s obzirom na obradu osobnih podataka od strane institucije ili tijela Zajednice, osim Suda Europskih zajednica u slučajevima kada djeluje u svome svojstvu suda;

(d)

uputiti sve institucije i tijela Zajednice, bilo na vlastitu inicijativu ili kao odgovor na zatraženo savjetovanje, u pogledu svih pitanja koja se tiču obrade osobnih podataka, posebno prije no što dotične institucije i tijela sastave svoja unutarnja pravila koja se odnose na zaštitu temeljnih prava i sloboda s obzirom na obradu osobnih podataka;

(e)	pratiti odgovarajuće razvojne trendove u mjeri u kojoj oni utječu na zaštitu osobnih podataka, posebno razvoj informacijske i komunikacijske tehnologije;

(f)

i. surađivati s državnim nadzornim tijelima iz članka 28. Direktive 95/46/EZ u državama na koje se ta Direktiva primjenjuje, i to u mjeri koja je potrebna za obavljanje njihovih dužnosti, posebno izmjenjujući sve korisne informacije, zahtijevajući od takve vlasti ili tijela da izvršava svoje ovlasti ili odgovarajući na zahtjev takve vlasti ili tijela; ii. surađivati i s nadzornim tijelima za zaštitu podataka osnovanim na temelju glave VI. Ugovora o Europskoj uniji, posebno s ciljem poboljšanja dosljednosti u primjeni pravila i postupaka za čije je poštovanje svako takvo tijelo odgovorno;

(g)	sudjelovati u aktivnostima Radne skupine za zaštitu pojedinaca u vezi s obradom osobnih podataka koja je osnovana na temelju članka 29. Direktive 95/46/EZ;

(h)	odrediti, obrazložiti i objaviti izuzeća, zaštitne mjere, odobrenja i uvjete navedene u članku 10. stavku 2. točki (b), stavcima 4., 5. i 6., u članku 12. stavku 2., u članku 19. i u članku 37. stavku 2.;

(i)	voditi evidenciju postupaka obrade koji su mu prijavljeni na temelju članka 27. stavka 2. i upisani u skladu s člankom 27. stavkom 5. te osigurati način pristupa evidencijama koje vode službenici za zaštitu podataka prema članku 26.;

(j)	provoditi prethodnu provjeru obrade koja mu je prijavljena;

(k)	donijeti svoj Poslovnik.

Članak 47.

Ovlasti

1.   Europski nadzornik za zaštitu podataka može:

(a)	davati savjete subjektima podataka prilikom ostvarivanja njihovih prava;

(b)	uputiti predmet voditelju obrade u slučaju navodnog kršenja odredaba kojima se uređuje obrada osobnih podataka i, prema potrebi, dati svoje prijedloge za uklanjanje takvog kršenja odredaba i poboljšanje zaštite subjekata podataka;

(c)	naložiti da se udovolji zahtjevima za ostvarivanje određenih prava u vezi s podacima kada su takvi zahtjevi odbijeni zbog kršenja članaka od 13. do 19.;

(d)	upozoriti ili opomenuti voditelja obrade;

(e)	naložiti ispravljanje, blokiranje, brisanje ili uništavanje svih podataka kad su bili obrađeni uz kršenje odredaba kojima se uređuje obrada osobnih podataka i naložiti da se o takvim postupcima obavijeste treće strane, kojima su predmetni podaci bili obznanjeni;

(f)	narediti privremenu ili konačnu zabranu obrade;

(g)	uputiti predmet odgovarajućoj instituciji ili tijelu Zajednice i, ako je potrebno, Europskom parlamentu, Vijeću i Komisiji;

(h)	uputiti predmet Sudu Europskih zajednica pod uvjetima propisanima Ugovorom;

(i)	posredovati u postupcima pred Sudom Europskih zajednica.

2.   Europski nadzornik za zaštitu podataka ovlašten je:

(a)	od voditelja obrade ili institucije ili tijela Zajednice dobiti pristup svim osobnim podacima i svim informacijama potrebnima za svoja ispitivanja;

(b)	dobiti pristup svim prostorijama u kojima voditelj obrade ili institucija ili tijelo Zajednice obavlja svoje djelatnosti kada postoje opravdani razlozi za pretpostavku da se u dotičnim prostorijama obavlja djelatnost obuhvaćena ovom Uredbom.

Članak 48.

Izvješće o aktivnostima

1.   Europski nadzornik za zaštitu podataka podnosi godišnje izvješće o svojim aktivnostima Europskom parlamentu, Vijeću i Komisiji i istodobno ih objavljuje.

2.   Europski nadzornik za zaštitu podataka upućuje izvješće o aktivnostima ostalim institucijama i tijelima Zajednice koji mogu iznijeti svoje primjedbe imajući na umu moguće preispitivanje izvješća u Europskom parlamentu, posebno s obzirom na opis mjera poduzetih kao odgovor na primjedbe Europskog nadzornika za zaštitu podataka prema članku 31.

POGLAVLJE VI.

ZAVRŠNE ODREDBE

Članak 49.

Sankcije

Svaki propust u poštovanju obveza prema ovoj Uredbi, bilo da je namjeran ili posljedica nemara dužnosnika ili nekog drugog službenika Europskih zajednica, čini ih podložnima stegovnom postupku u skladu s pravilima i postupcima koji su utvrđeni Pravilnikom o osoblju za dužnosnike Europskih zajednica ili uvjetima zapošljavanja koji se primjenjuju na druge službenike.

Članak 50.

Prijelazno razdoblje

Institucije i tijela Zajednice dužni su osigurati da se postupci obrade koji su već u tijeku na dan stupanja na snagu ove Uredbe usklade s ovom Uredbom u roku od godinu dana od tog datuma.

Članak 51.

Stupanje na snagu

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europskih zajednica.

---

(1)  SL C 376 E, 28.12.1999., str. 24.

(2)  SL C 51, 23.2.2000., str. 48.

(3)  Mišljenje Europskog parlamenta od 14. studenoga 2000. i Odluka Vijeća od 30. studenoga 2000.

(4)  SL L 281, 23.11.1995., str. 31.

(5)  SL L 24, 30.1.1998., str. 1.

(6)  SL L 52, 22.2.1997., str. 1.

(7)  SL L 318, 27.11.1998., str. 8.

(8)  SL L 151, 15.6.1990., str. 1. Uredba kako je izmijenjena Uredbom (EZ) br. 322/97 (SL L 52, 22.2.1997., str. 1.).

---

PRILOG

1.

Službenik za zaštitu podataka može dati svoje preporuke za praktično poboljšanje zaštite podataka instituciji ili tijelu Zajednice koji su ga imenovali te savjetovati tu instituciju ili tijelo Zajednice i dotičnog voditelja obrade o pitanjima koja se tiču primjene odredaba o zaštiti podataka. Nadalje, službenik za zaštitu podataka može, bilo na vlastitu inicijativu ili na zahtjev institucije ili tijela Zajednice koji su ga imenovali, na zahtjev voditelja obrade, odgovarajućeg odbora za osoblje ili bilo koje druge osobe, istražiti pitanja i događanja koji se izravno odnose na njegove zadatke, a koje je zapazio te povratno o tome izvijestiti osobu koja je zatražila istragu ili voditelja obrade.

2.

O svakom pitanju koje se odnosi na tumačenje ili primjenu ove Uredbe sa službenikom za zaštitu podataka može se savjetovati institucija ili tijelo Zajednice koji su ga imenovali te odgovarajući voditelj obrade, odgovarajući odbor za osoblje i svaka druga osoba, ne koristeći pri tome službene kanale.

3.	Nitko ne smije pretrpjeti štetu zbog predmeta na koji je skrenuta pozornost nadležnomu službeniku za zaštitu podataka u kojem je navodno došlo do kršenja odredaba ove Uredbe.

4.

Od svakog se voditelja obrade zahtijeva da pomaže službeniku za zaštitu podataka u obavljanju njegovih dužnosti i pribavlja informacije kojima se odgovara na upite. Pri izvršavanju svojih dužnosti službenik za zaštitu podataka mora u svakom trenutku imati pristup podacima koji predstavljaju sadržaj postupaka obrade te svim uredima, instalacijama za obradu podataka i prijenosnicima podataka.

5.	U mjeri u kojoj je to potrebno službenik za zaštitu podataka oslobađa se od svih ostalih aktivnosti. Od službenika za zaštitu podataka i njegova osoblja, na koje se primjenjuje članak 287. Ugovora, zahtijeva se da ne odaju informacije ili dokumente koje dobiju tijekom obavljanja svojih dužnosti.

---