32001R0045

Uredba (ES) št. 45/2001 evropskega parlamenta in Sveta

z dne 18. decembra 2000

o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah in organih Skupnosti in o prostem pretoku takih podatkov

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o ustanovitvi Evropske skupnosti in zlasti člena 286 Pogodbe,

ob upoštevanju predloga Komisije [1],

ob upoštevanju mnenja Ekonomsko-socialnega odbora [2],

v skladu s postopkom, določenim v členu 251 Pogodbe [3],

ob upoštevanju naslednjega:

(1) Člen 286 Pogodbe zahteva, da institucije in organi Skupnosti uporabljajo akte Skupnosti o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov.

(2) Popolnoma razvit sistem varstva osebnih podatkov ne zahteva samo določitve pravic posameznikov, na katere se nanašajo osebni podatki, ter dolžnosti za tiste, ki obdelujejo osebne podatke, ampak tudi ustrezne sankcije za kršitelje in nadzor neodvisnega nadzornega organa.

(3) Člen 286(2) Pogodbe zahteva ustanovitev neodvisnega nadzornega organa, odgovornega za spremljanje uporabe takih aktov Skupnosti v institucijah in organih Skupnosti.

(4) Člen 286(2) Pogodbe zahteva sprejem katerih koli drugih ustreznih določb, če je to primerno.

(5) Uredba je potrebna zato, da se posamezniku zagotovijo pravno izvršljive pravice, da se določijo dolžnosti upravljavcev pri obdelavi osebnih podatkov znotraj institucij in organov Skupnosti in da se ustanovi neodvisni nadzorni organ, odgovoren za spremljanje obdelave osebnih podatkov v institucijah in organih Skupnosti.

(6) Opravljeno je bilo posvetovanje z Delovno skupino o varstvu posameznikov pri obdelavi osebnih podatkov, ustanovljeno na podlagi člena 29 Direktive 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov [4].

(7) Osebe, ki jih je treba varovati, so tiste, katerih osebne podatke v katerem koli pomenu obdelujejo institucije ali organi Skupnosti, na primer zato, ker so v teh institucijah ali organih zaposlene.

(8) Načela varstva osebnih podatkov bi se morala uporabljati za katere koli informacije v zvezi z določeno ali določljivo osebo. Za odločitev, ali je oseba določljiva, bi bilo treba upoštevati vsa sredstva, za katera se pričakuje, da jih bo uporabil bodisi upravljavec ali pa katera koli druga oseba za določitev navedene osebe. Načela varstva se ne bi smela uporabljati za podatke, ki so spremenjeni v anonimne na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni več določljiv.

(9) Direktiva 95/46/ES zahteva od držav članic, da varujejo temeljne pravice in svoboščine fizičnih oseb ter zlasti njihovo pravico do zasebnosti pri obdelavi osebnih podatkov, da bi zagotovile prosti pretok osebnih podatkov v Skupnosti.

(10) Direktiva 97/66/ES Evropskega parlamenta in Sveta z dne 15. decembra 1997 o obdelavi osebnih podatkov in varstvu zasebnosti na področju telekomunikacij [5] opredeljuje in dopolnjuje Direktivo 95/46/ES glede obdelave osebnih podatkov na področju telekomunikacij.

(11) Razni drugi ukrepi Skupnosti, vključno z ukrepi o medsebojni pomoči med državnimi oblastmi in Komisijo, so tudi oblikovani za opredelitev in dopolnitev Direktive 95/46/ES na področjih, ki jih obravnavajo.

(12) Po vsej Skupnosti bi bilo treba zagotoviti dosledno in enotno uporabo pravil za varstvo temeljnih pravic in svoboščin posameznikov pri obdelavi osebnih podatkov.

(13) Cilj je zagotoviti tako učinkovito skladnost s predpisi, ki urejajo varstvo temeljnih pravic in svoboščin posameznikov, kot tudi prosti pretok osebnih podatkov med državami članicami ter institucijami in organi Skupnosti ali med institucijami in organi Skupnosti za namene, povezane z izvajanjem njihovih ustreznih pristojnosti.

(14) V ta namen bi bilo treba sprejeti ukrepe, zavezujoče za institucije in organe Skupnosti. Ti ukrepi bi se morali uporabljati za vse obdelave osebnih podatkov v vseh institucijah in organih Skupnosti, če se taka obdelava izvaja pri opravljanju dejavnosti, ki v celoti ali delno sodijo v področje uporabe zakonodaje Skupnosti.

(15) Če take obdelave izvajajo institucije ali organi Skupnosti pri opravljanju dejavnosti, ki ne sodijo v področje uporabe te uredbe, predvsem tistih, ki so določene v naslovih V in VI Pogodbe o Evropski uniji, se varstvo temeljnih pravic in svoboščin posameznikov zagotovi z ustreznim upoštevanjem člena 6 Pogodbe o Evropski uniji. Dostop do dokumentov, vključno s pogoji dostopa do dokumentov, ki vsebujejo osebne podatke, urejajo pravila, sprejeta na podlagi člena 225 Pogodbe ES, ki vključuje naslova V in VI Pogodbe o Evropski uniji.

(16) Ukrepi se ne bi smeli uporabljati za organe, ustanovljene zunaj okvira Skupnosti, niti ne bi smel biti evropski nadzornik za varstvo podatkov pristojen za spremljanje obdelave osebnih podatkov v takih organih.

(17) Učinkovitost varstva posameznikov pri obdelavi osebnih podatkov v Uniji predpostavlja doslednost ustreznih pravil in postopkov, ki veljajo za dejavnosti iz različnih pravnih kontekstov. Razvoj temeljnih načel varstva osebnih podatkov na področju pravosodnega sodelovanja v kazenskih zadevah ter policijskega in carinskega sodelovanja ter ustanovitev sekretariata za skupne nadzorne organe, ustanovljene s Konvencijo Europol, Konvencijo o uporabi informacijske tehnologije v carinske namene in Schengensko konvencijo pomenita prvi korak v tej smeri.

(18) Ta uredba ne bi smela vplivati na pravice in dolžnosti držav članic iz direktiv 95/46/ES in 97/66/ES. Ni namenjena spreminjanju obstoječih postopkov in praks, ki jih zakonito izvajajo države članice na področju državne varnosti, preprečevanja nereda ali preprečevanja, odkrivanja, preiskovanja in pregona kaznivih dejanj v skladu s Protokolom o privilegijih in imunitetah Evropskih skupnosti in z mednarodnim pravom.

(19) Institucije in organi Skupnosti bi morali obvestiti pristojne oblasti v državah članicah, kadar presodijo, da bi bilo treba prestreči sporočanje na njihovih telekomunikacijskih omrežjih v skladu z veljavnimi nacionalnimi predpisi.

(20) Določbe, ki se uporabljajo za institucije in organe Skupnosti, bi morale ustrezati predpisom, določenim v zvezi z uskladitvijo nacionalne zakonodaje ali izvajanjem drugih usmeritev Skupnosti, predvsem na področju medsebojne pomoči. Vendar pa bo morda treba opredeliti in dopolniti te predpise, kadar varstvo pri obdelavi osebnih podatkov zagotavljajo institucije in organi Skupnosti.

(21) To velja za pravice posameznikov, katerih podatki se obdelujejo, za obveznosti institucij in organov Skupnosti, ki izvajajo obdelavo, ter za pooblastila, ki se podelijo neodvisnemu nadzornemu organu, odgovornemu za zagotavljanje pravilne uporabe te uredbe.

(22) Pravice, ki so odobrene posamezniku, na katerega se nanašajo osebni podatki, in njihovo izvajanje ne bi smeli vplivati na dolžnosti, ki so naložene upravljavcu.

(23) Neodvisni nadzorni organ bi moral izvajati svoje nadzorne naloge skladno s Pogodbo in skladno s človekovimi pravicami ter temeljnimi svoboščinami. Svoje poizvedbe bi moral voditi skladno s Protokolom o privilegijih in imunitetah ter skladno s kadrovskimi predpisi za uradnike Evropskih skupnosti in pogoji za zaposlitev, ki se uporabljajo za druge uslužbence Skupnosti.

(24) Sprejeti bi bilo treba potrebne tehnične ukrepe, da se omogoči dostop do katalogov postopkov obdelave, ki jih izvajajo uradne osebe za varstvo podatkov prek neodvisnega nadzornega organa.

(25) Odločitve neodvisnega nadzornega organa glede izjem, garancij, odobritev in pogojev v zvezi s postopki obdelave podatkov, kakor je opredeljeno v tej uredbi, bi bilo treba objaviti v poročilu o dejavnostih. Ne glede na objavo letnega poročila o dejavnostih pa lahko neodvisni nadzorni organ objavi poročila o posameznih temah.

(26) Določeni postopki obdelave, ki bi lahko predstavljali posamezno tveganje v zvezi s pravicami in svoboščinami posameznikov, na katere se nanašajo osebni podatki, so izpostavljeni predhodnemu preverjanju neodvisnega nadzornega organa. Mnenje, podano pri takem predhodnem preverjanju, vključno z mnenjem, ki izhaja iz odsotnosti odgovora v danem roku, ne bi smelo vplivati na poznejše izvajanje pooblastil neodvisnega nadzornega organa v zvezi z zadevnim postopkom obdelave.

(27) Obdelava osebnih podatkov za opravljanje nalog, ki jih v javnem interesu izvajajo institucije in organi Skupnosti, vključuje obdelavo osebnih podatkov, potrebnih za upravljanje in delovanje teh institucij in organov.

(28) V posameznih primerih bi morali obdelavo osebnih podatkov odobriti predpisi Skupnosti ali akti, ki prevzemajo določbe Skupnosti. Kljub temu pa lahko evropski nadzornik za varstvo podatkov v prehodnem obdobju, v katerem take določbe ne obstajajo, pa vse do njihovega sprejetja odobri obdelavo takih podatkov pod pogojem, da so sprejeti primerni zaščitni ukrepi. Pri tem bi moral predvsem upoštevati določbe, ki so jih sprejele države članice za obravnavo podobnih primerov.

(29) Ti primeri zadevajo obdelavo podatkov, ki kažejo na rasno ali etnično poreklo, politična mnenja, verska ali filozofska prepričanja ali pripadnost sindikatu, in obdelavo podatkov v zvezi z zdravstvenim ali spolnim življenjem, potrebnih zaradi skladnosti z določenimi pravicami in obveznostmi upravljavca na področju prava zaposlovanja ali zaradi razlogov bistvenega javnega interesa. Zadevajo tudi obdelavo podatkov v zvezi s kaznivimi dejanji, kazenskimi obsodbami ali varnostnimi ukrepi in pooblastilo za uporabo odločitve pri posamezniku, na katerega se nanašajo osebni podatki, ki ima zanj pravni učinek ali pa nanj znatno vpliva in ki temelji samo na avtomatski obdelavi podatkov, namenjeni ovrednotenju določenih osebnih vidikov v zvezi z njim.

(30) Morda bo zaradi preprečevanja nepooblaščene uporabe treba spremljati računalniške mreže, ki delujejo pod vodstvom institucij in organov Skupnosti. Evropski nadzornik za varstvo podatkov bi moral določiti, ali je to mogoče in pod katerimi pogoji.

(31) Odgovornost, ki izhaja iz kršitve te uredbe, ureja drugi odstavek člena 288 Pogodbe.

(32) V vsaki instituciji ali organu Skupnosti bi moral eden ali več uradnih oseb za varstvo podatkov zagotoviti, da se določbe te uredbe uporabljajo, in bi moral svetovati upravljavcem glede izpolnjevanja njihovih dolžnosti.

(33) Na podlagi člena 21 Uredbe Sveta (ES) št. 322/97 z dne 17. februarja 1997 o statistiki Skupnosti [6] ta uredba velja brez vpliva na Direktivo 95/46/ES.

(34) Na podlagi člena 8(8) Uredbe Sveta (ES) št. 2533/98 z dne 23. novembra 1998 o statističnih informacijah, ki jih zbira Evropska centralna banka [7], ta uredba velja brez vpliva na Direktivo 95/46/ES.

(35) Na podlagi člena 1(2) Uredbe Sveta (Euratom, EGS) št. 1588/90 z dne 11. junija 1990 o prenosu zaupnih podatkov na Statistični urad Evropskih skupnosti [8] ta uredba ne odstopa od posebnih predpisov Skupnosti ali nacionalnih predpisov v zvezi z varovanjem zaupnosti, ki ni statistična zaupnost.

(36) Ta uredba ni namenjena omejevanju manevrskega prostora držav članic pri pripravi njihove nacionalne zakonodaje o varstvu podatkov na podlagi člena 32 Direktive 95/46/ES skladno s členom 249 Pogodbe –

SPREJELA TO UREDBO:

POGLAVJE I

SPLOŠNE DOLOČBE

Člen 1

Predmet uredbe

1. Skladno s to uredbo institucije in organi, ki jih ustanovijo ali so ustanovljeni na podlagi pogodb o ustanovitvi Evropskih skupnosti, v nadaljnjem besedilu "institucije ali organi Skupnosti", varujejo temeljne pravice in svoboščine fizičnih oseb in predvsem njihovo pravico do zasebnosti pri obdelavi osebnih podatkov ter ne omejujejo niti ne prepovedujejo prostega pretoka osebnih podatkov med seboj ali prejemnikom, zavezanim nacionalni zakonodaji držav članic, ki izvaja Direktivo 95/46/ES.

2. Neodvisni nadzorni organ, ustanovljen s to uredbo, v nadaljnjem besedilu evropski nadzornik za varstvo podatkov, spremlja uporabo določb te uredbe pri vseh postopkih obdelave, ki jih izvajata institucija ali organ Skupnosti.

Člen 2

Opredelitve pojmov

V tej uredbi:

(a) "osebni podatek" pomeni katero koli informacijo, ki se nanaša na določeno ali določljivo fizično osebo, v nadaljnjem besedilu "posameznik, na katerega se nanašajo osebni podatki"; določljiva oseba je tista, ki se lahko neposredno ali posredno identificira, zlasti s pomočjo identifikacijske številke ali enega ali več dejavnikov, značilnih za njeno fizično, fiziološko, duševno, ekonomsko, kulturno ali socialno istovetnost;

(b) "obdelava osebnih podatkov", v nadaljnjem besedilu "obdelava", pomeni kakršenkoli postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki bodisi z avtomatskimi sredstvi ali brez njih, kot so zbiranje, beleženje, urejanje, shranjevanje, prilagajanje ali predelava, iskanje, posvetovanje, uporaba, posredovanje s prenosom, širjenje ali drugo razpolaganje, prilagajanje ali sestavljanje, blokiranje, izbris ali uničenje;

(c) "zbirka osebnih podatkov", v nadaljevanju "zbirka", pomeni vsak strukturiran niz osebnih podatkov, dostopen v skladu s posebnimi merili, bodisi da je centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(d) "upravljavec" pomeni institucijo ali organ Skupnosti, generalni direktorat, enoto ali katerikoli drugi organizacijski subjekt, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva opredeljuje posamezni akt Skupnosti, lahko tak akt Skupnosti določi upravljavca ali posamezna merila za njegovo imenovanje;

(e) "obdelovalec" pomeni fizično ali pravno osebo, javni organ, agencijo ali katerikoli drugi organ, ki obdeluje osebne podatke v imenu upravljavca;

(f) "tretja stranka" pomeni fizično ali pravno osebo, javni organ, agencijo ali organ, ki ni posameznik, na katerega se nanašajo osebni podatki, upravljavec, obdelovalec in osebe, ki so pooblaščene za obdelavo podatkov pod neposrednim vodstvom upravljavca ali obdelovalca;

(g) "prejemnik" pomeni fizično ali pravno osebo, javni organ, agencijo ali katerikoli drugi organ, kateremu se posredujejo podatki, bodisi da je tretja stranka ali ne; vendar pa se organi, ki lahko prejmejo podatke v okviru posamezne poizvedbe, ne štejejo za prejemnike;

(h) "privolitev posameznika, na katerega se nanašajo osebni podatki", pomeni vsako prostovoljno dano posebno in informirano navedbo njegovih želja, s katero posameznik, na katerega se nanašajo osebni podatki, izrazi svoje soglasje z obdelavo osebnih podatkov, ki se nanašajo nanj.

Člen 3

Področje uporabe

1. Ta uredba se uporablja za obdelavo osebnih podatkov v vseh institucijah in organih Skupnosti, če se taka obdelava izvaja pri opravljanju dejavnosti, ki v celoti ali delno sodijo na področje uporabe zakonodaje Skupnosti.

2. Ta uredba se uporablja za obdelavo osebnih podatkov, ki v celoti ali delno poteka z avtomatskimi sredstvi, in za obdelavo, drugačno kot z avtomatskimi sredstvi, osebnih podatkov, ki sestavljajo del zbirke ali ki so namenjeni sestavljanju dela zbirke.

POGLAVJE II

SPLOŠNA PRAVILA O ZAKONITOSTI OBDELAVE OSEBNIH PODATKOV

ODDELEK 1

NAČELA V ZVEZI S KAKOVOSTJO PODATKOV

Člen 4

Kakovost podatkov

1. Osebni podatki morajo biti:

(a) obdelani pošteno in zakonito;

(b) zbrani za določene, izrecne in zakonite namene in se ne smejo nadalje obdelovati na način, ki ni združljiv s temi nameni. Nadaljnja obdelava osebnih podatkov za zgodovinske, statistične ali znanstvene namene se ne šteje za nezdružljivo pod pogojem, da upravljavec določi ustrezne zaščitne ukrepe, zlasti za zagotovitev, da se podatki ne obdelujejo za noben drug namen ali da se ne uporabljajo v podporo ukrepov ali odločitev v zvezi z določenim posameznikom;

(c) primerni, ustrezni in ne pretirani glede na namene, za katere se zbirajo in/ali nadalje obdelujejo;

(d) točni, in kadar je to nujno, do dneva osveženi; uporabiti je treba vse razumne ukrepe za zagotovitev, da se netočni ali nepopolni podatki zbrišejo ali popravijo ob upoštevanju namenov, za katere so bili zbrani ali za katere se nadalje obdelujejo;

(e) shranjeni v obliki, ki dopušča identifikacijo posameznikov, na katere se nanašajo osebni podatki, le toliko časa, kakor je potrebno za namene, za katere so bili zbrani ali za katere se nadalje obdelujejo. Institucija ali organ Skupnosti predpiše, da se osebni podatki, ki jih je treba shraniti za daljše obdobje za zgodovinsko, statistično ali znanstveno uporabo, shranijo samo v anonimni obliki, ali če to ni mogoče, samo z zakodirano identiteto posameznikov, na katere se osebni podatki nanašajo. V nobenem primeru se osebni podatki ne smejo uporabiti za noben drug namen kakor za zgodovinski, statistični ali znanstveni namen.

2. Upravljavec mora zagotoviti, da se ravna skladno z odstavkom 1.

ODDELEK 2

MERILA ZA DOPUSTNOST OBDELAVE PODATKOV

Člen 5

Zakonitost obdelave

Osebni podatki se lahko obdelujejo samo, če:

(a) je obdelava potrebna za opravljanje nalog, ki se izvajajo v javnem interesu na podlagi pogodb o ustanovitvi Evropskih skupnosti ali drugih pravnih aktov, sprejetih na njihovi podlagi, ali pri zakonitem izvajanju javne oblasti, dodeljene instituciji ali organu Skupnosti ali tretji stranki, ki so ji posredovani podatki, ali

(b) je obdelava potrebna zaradi skladnosti s pravno zavezo, ki ji je zavezan upravljavec, ali

(c) je obdelava potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali da se na zahtevo posameznika, na katerega se nanašajo osebni podatki, izvedejo ukrepi pred sklenitvijo pogodbe, ali

(d) je posameznik, na katerega se nanašajo osebni podatki, nedvoumno dal svojo privolitev, ali

(e) je obdelava potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki.

Člen 6

Sprememba namena

Ne da bi to posegalo v člene 4, 5 in 10:

1. se osebni podatki obdelujejo za drugačne namene, kakor so bili zbrani, samo v primeru, če notranji predpisi institucije ali organa Skupnosti izrecno dovoljujejo spremembo namena.

2. Osebni podatki, zbrani izključno za zagotovitev varnosti ali vodenja sistemov obdelave ali delovnih postopkov, se ne smejo uporabiti za noben drug namen, razen za preprečevanje, preiskovanje, odkrivanje in preganjanje težjih kaznivih dejanj.

Člen 7

Prenos osebnih podatkov znotraj institucij ali organov Skupnosti ali med njimi

Ne da bi to posegalo v člene 4, 5, 6 in 10:

1. se osebni podatki prenašajo znotraj institucij ali organov Skupnosti ali drugim samo, če so podatki potrebni za zakonito opravljanje nalog, ki jih zajema pristojnost prejemnika.

2. Kadar se podatki prenesejo na zahtevo prejemnika, tako upravljavec kakor prejemnik nosita odgovornost za zakonitost tega prenosa.

Od upravljavca se zahteva, da preveri pristojnost prejemnika in da začasno oceni potrebo po prenosu podatkov. Če se pojavijo dvomi o tej potrebi, upravljavec od prejemnika zahteva nadaljnje informacije.

Prejemnik zagotovi, da se lahko naknadno preveri potreba po prenosu podatkov.

3. Prejemnik obdeluje osebne podatke samo za namene, za katere je bil opravljen njihov prenos.

Člen 8

Prenos osebnih podatkov prejemnikom, ki niso institucije in organi Skupnosti, za katere velja Direktiva 95/46/ES

Brez poseganja v člene 4, 5, 6 in 10 se osebni podatki prenesejo prejemnikom, ki so zavezani nacionalni zakonodaji, sprejeti za izvajanje Direktive 95/46/ES,

(a) če prejemnik dokaže, da so podatki potrebni za opravljanje naloge, ki se izvaja v javnem interesu, ali so predmet izvajanja javnih pooblastil, ali

(b) če prejemnik dokaže potrebo po prenosu podatkov in če ni razloga za domnevo, da bi se morda poseglo v zakonite interese posameznika, na katerega se nanašajo osebni podatki.

Člen 9

Prenos osebnih podatkov prejemnikom, ki niso institucije in organi Skupnosti, za katere ne velja Direktiva 95/46/ES

1. Osebni podatki se prenesejo prejemnikom, ki niso institucije in organi Skupnosti in ki niso zavezani nacionalni zakonodaji, sprejeti skladno z Direktivo 95/46/ES, samo, če se zagotovi ustrezna raven varstva v državi prejemnika ali znotraj mednarodne organizacije prejemnika in če se podatki prenesejo samo zato, da se omogoči izvedba nalog, za katere je pristojen upravljavec.

2. Ustreznost ravni varstva, ki jo nudi zadevna tretja država ali mednarodna organizacija, se ovrednoti glede na vse okoliščine postopka prenosa podatkov ali niza postopkov prenosa podatkov; posebno pozornost je treba nameniti naravi podatkov, namenu in trajanju predlaganega postopka ali postopkov obdelave, tretji državi prejemnici ali mednarodni organizaciji prejemnici, pravni ureditvi, tako splošni kot sektorski, ki velja v zadevni tretji državi ali mednarodni organizaciji, ter strokovnim predpisom in varnostnim ukrepom, ki se uporabljajo v tisti tretji državi ali mednarodni organizaciji.

3. Institucije in organi Skupnosti obvestijo Komisijo in evropskega nadzornika za varstvo podatkov o primerih, za katere menijo, da zadevna tretja država ali mednarodna organizacija ne zagotavlja ustrezne ravni varstva v smislu odstavka 2.

4. Komisija obvesti države članice o vseh primerih, navedenih v odstavku 3.

5. Institucije in organi Skupnosti sprejmejo potrebne ukrepe za uskladitev z odločitvami, ki jih sprejme Komisija, ko skladno s členom 25(4) in (6) Direktive 95/46/ES ugotovi, da tretja država ali mednarodna organizacija zagotavlja ali ne zagotavlja ustrezne ravni varstva.

6. Kot izjema od odstavkov 1 in 2 lahko institucija ali organ Skupnosti prenese osebne podatke, če:

(a) je posameznik, na katerega se nanašajo osebni podatki, nedvoumno dal svojo privolitev k predlaganemu prenosu; ali

(b) je prenos potreben za izvajanje pogodbe med posameznikom, na katerega se nanašajo osebni podatki, in upravljavcem ali pa za izvajanje predpogodbenih ukrepov, sprejetih kot odgovor na zahtevo posameznika, na katerega se nanašajo osebni podatki; ali

(c) je prenos potreben za sklenitev ali izvedbo pogodbe, sklenjene med upravljavcem in tretjo stranko v korist posameznika, na katerega se nanašajo osebni podatki; ali

(d) je prenos potreben ali pravno obvezen na podlagi pomembnega javnega interesa ali zaradi uveljavitve, izvajanja ali obrambe pravnih zahtevkov; ali

(e) je prenos potreben, da bi zavarovali življenjske interese posameznika, na katerega se nanašajo osebni podatki; ali

(f) se prenos opravi iz kataloga, ki je po zakonodaji Skupnosti namenjen zagotavljanju informacij javnosti in ki je na voljo za vpogled bodisi javnosti na splošno ali katerikoli osebi, ki lahko izkaže pravni interes v meri, da so v posameznem primeru izpolnjeni pogoji, določeni v zakonodaji Skupnosti za tak vpogled.

7. Brez poseganja v odstavek 6 lahko evropski nadzornik za varstvo podatkov dovoli prenos ali niz prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo, ki ne zagotavlja ustrezne ravni varstva v smislu odstavkov 1 in 2, kadar upravljavec navede ustrezne zaščitne ukrepe v zvezi z varstvom zasebnosti in temeljnih pravic ter svoboščin posameznikov in v zvezi z uresničevanjem ustreznih pravic; takšni zaščitni ukrepi lahko izhajajo predvsem iz ustreznih pogodbenih klavzul.

8. Institucije in organi Skupnosti obvestijo evropskega nadzornika za varstvo podatkov o vrstah primerov, kjer so uporabili odstavka 6 in 7.

ODDELEK 3

POSEBNE VRSTE OBDELAVE

Člen 10

Obdelava posebnih vrst podatkov

1. Prepovedana je obdelava osebnih podatkov, ki kažejo na rasno ali etnično poreklo, politična prepričanja, verska ali filozofska prepričanja, pripadnost sindikatu, ter podatkov v zvezi z zdravstvenim ali spolnim življenjem.

2. Odstavek 1 se ne uporablja, kadar:

(a) posameznik, na katerega se nanašajo osebni podatki, poda svojo izrecno privolitev k obdelavi teh podatkov, razen kadar notranji predpisi institucije ali organa Skupnosti določajo, da se od prepovedi iz odstavka 1 ne sme odstopiti z dajanjem privolitve posameznika, na katerega se nanašajo osebni podatki, ali

(b) je obdelava potrebna zaradi skladnosti s posebnimi pravicami in dolžnostmi upravljavca na področju prava zaposlovanja, če to dovoljujejo pogodbe o ustanovitvi Evropskih skupnosti ali drugi pravni akti, sprejeti na tej podlagi, ali po potrebi, če se s tem strinja evropski nadzornik za varstvo podatkov ob upoštevanju ustreznih zaščitnih ukrepov, ali

(c) je obdelava potrebna za varstvo življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe, kadar je posameznik, na katerega se nanašajo osebni podatki, fizično ali pravno nesposoben dati svojo privolitev, ali

(d) je obdelava povezana s podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, očitno naredi javne, ali so potrebni za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov, ali

(e) obdelavo izvaja v toku svojih zakonitih dejavnosti z ustreznimi zaščitnimi ukrepi nepridobitni organ, ki predstavlja v institucijo ali organ Skupnosti vključeni subjekt, ki ni zavezan notranji zakonodaji o varstvu podatkov na podlagi člena 4 Direktive 95/46/ES in ki ima politični, filozofski, verski ali sindikalni cilj ter pod pogojem, da se obdelava nanaša samo na člane tega organa ali osebe, ki so v rednem stiku z njim v zvezi z njegovimi cilji, ter da se podatki ne posredujejo tretji stranki brez privolitve posameznikov, na katere se nanašajo osebni podatki.

3. Odstavek 1 se ne uporablja, kadar se obdelava podatkov zahteva za namene preventivne medicine, zdravstvene diagnoze, zagotovitve oskrbe ali zdravljenja ali vodenja zdravstvenih storitev in kadar te podatke obdeluje zdravstveni strokovnjak ob upoštevanju dolžnosti poklicne tajnosti ali kakšna druga oseba, ki je tudi zavezana enaki dolžnosti tajnosti.

4. Ob zagotovitvi ustreznih zaščitnih ukrepov in zaradi bistvenega javnega interesa lahko izjeme poleg tistih, ki so navedene v odstavku 2, določijo pogodbe o ustanovitvi Evropskih skupnosti ali drugi pravni akti, sprejeti na njihovi podlagi, ali po potrebi odločitev evropskega nadzornika za varstvo podatkov.

5. Obdelava podatkov v zvezi s kaznivimi dejanji, kazenskimi obsodbami ali varnostnimi ukrepi se lahko izvede samo, če jo dovolijo pogodbe o ustanovitvi Evropskih skupnosti ali drugi pravni akti, sprejeti na njihovi podlagi, ali po potrebi evropski nadzornik za varstvo podatkov ob upoštevanju ustreznih posebnih zaščitnih ukrepov.

6. Evropski nadzornik za varstvo podatkov določi pogoje, pod katerimi lahko institucija ali organ Skupnosti obdeluje osebno številko ali kakšen drugi identifikator splošne uporabe.

ODDELEK 4

INFORMACIJE, KI SE POSREDUJEJO POSAMEZNIKU, NA KATEREGA SE NANAŠAJO OSEBNI PODATKI

Člen 11

Informacije, ki jih je treba priskrbeti ob pridobitvi podatkov od posameznika, na katerega se nanašajo osebni podatki

1. Upravljavec zagotovi posamezniku, na katerega se nanašajo osebni podatki in od katerega se zbirajo podatki v zvezi z njim/njo, vsaj naslednje informacije, razen v primeru, da jih ta že ima:

(a) istovetnost upravljavca;

(b) namene postopka obdelave podatkov;

(c) prejemnike ali vrste prejemnikov podatkov;

(d) ali so odgovori na vprašanja obvezni ali prostovoljni, pa tudi možne posledice v primeru, da ne odgovori;

(e) obstoj pravice dostopa in pravice popravka podatkov, ki se nanašajo nanj;

(f) vse nadaljnje informacije, kot so:

(i) pravna podlaga postopka obdelave podatkov,

(ii) roki za shranjevanje podatkov,

(iii) pravica, da se kadarkoli obrne na evropskega nadzornika za varstvo podatkov,

če so take nadaljnje informacije potrebne, ob upoštevanju posebnih okoliščin, v katerih se zbirajo podatki, da se zagotovi poštena obdelava glede na posameznika, na katerega se nanašajo osebni podatki.

2. Kot izjema od odstavka 1 se lahko preskrba z informacijami ali njihovim delom odloži za toliko časa, kot je to potrebno zaradi statističnih namenov, razen informacij, navedenih v odstavkih 1(a), (b) in (d). Informacije je treba zagotoviti takoj, ko razlog njihovega zadrževanja preneha obstajati.

Člen 12

Informacije, ki jih je treba priskrbeti, kadar podatki niso bili pridobljeni od posameznika, na katerega se nanašajo osebni podatki

1. Kadar podatki niso bili pridobljeni od posameznika, na katerega se nanašajo osebni podatki, upravljavec v času zbiranja osebnih podatkov ali pa najpozneje ob prvem posredovanju podatkov, če je predvideno posredovanje tretji stranki, zagotovi posamezniku, na katerega se nanašajo osebni podatki, vsaj naslednje informacije, razen če jih ta že ima:

(a) istovetnost upravljavca;

(b) namene postopka obdelave podatkov;

(c) vrste predmetnih podatkov;

(d) prejemnike ali vrste prejemnikov podatkov;

(e) obstoj pravice dostopa in pravice popravka podatkov, ki se nanašajo nanj;

(f) vse nadaljnje informacije, kot so:

(i) pravna podlaga postopka obdelave podatkov,

(ii) roki shranjevanja podatkov,

(iii) pravica, da se kadarkoli obrne na evropskega nadzornika za varstvo podatkov,

(iv) izvor podatkov, razen če upravljavec ne more posredovati teh informacij zaradi poklicne tajnosti,

če so take nadaljnje informacije ob upoštevanju posebnih okoliščin, v katerih se obdelujejo podatki, potrebne za zagotovitev poštene obdelave glede na posameznika, na katerega se osebni podatki nanašajo.

2. Odstavek 1 se ne uporablja, če se zlasti zaradi obdelave v statistične namene ali za namene zgodovinskih ali znanstvenih raziskav izkaže zagotovitev take informacije za nemogočo, ali če bi to pomenilo nesorazmeren napor, ali pa če zakonodaja Skupnosti izrecno določa zbiranje ali posredovanje. V teh primerih institucija ali organ Skupnosti zagotovi ustrezne zaščitne ukrepe po posvetovanju z evropskim nadzornikom za varstvo podatkov.

ODDELEK 5

PRAVICE POSAMEZNIKA, NA KATEREGA SE NANAŠAJO OSEBNI PODATKI

Člen 13

Pravica dostopa

Posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca neomejeno pridobiti kadarkoli v roku treh mesecev od prejema zahtevka in brezplačno:

(a) potrdilo o tem, ali se obdelujejo podatki, ki se nanašajo nanj;

(b) informacijo vsaj o namenih postopka obdelave, vrstah predmetnih podatkov in prejemnikih ali vrstah prejemnikov, ki so jim posredovani podatki;

(c) v razumljivi obliki sporočilo o podatkih, ki se obdelujejo, in o vseh razpoložljivih informacijah v zvezi z njihovim virom;

(d) informacije o logiki, ki jo vsebuje vsak avtomatizirani postopek odločanja v zvezi z njim.

Člen 14

Popravljanje

Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči pri upravljavcu brez odlašanja popravek netočnih ali nepopolnih osebnih podatkov.

Člen 15

Blokiranje

1. Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči pri upravljavcu blokiranje podatkov, kadar:

(a) posameznik, na katerega se nanašajo osebni podatki, oporeka njihovi točnosti, in sicer za čas, ki omogoča upravljavcu preveriti njihovo točnost, vključno s popolnostjo podatkov, ali;

(b) jih upravljavec ne potrebuje več za izpolnitev svojih nalog, vendar jih je treba ohraniti za namene dokazovanja, ali;

(c) je obdelava nezakonita in posameznik, na katerega se nanašajo osebni podatki, nasprotuje njihovemu izbrisu in namesto tega zahteva njihovo blokiranje.

2. Pri avtomatiziranih zbirkah se blokiranje načeloma zagotovi s tehničnimi sredstvi. Dejstvo, da so osebni podatki blokirani, se označi v sistemu na način, ki jasno pokaže, da se osebni podatki ne smejo uporabiti.

3. Osebni podatki, ki so blokirani skladno s tem členom, se z izjemo shranjevanja, obdelujejo samo za namen dokazovanja ali s privolitvijo posameznika, na katerega se nanašajo osebni podatki, ali za varstvo pravic tretje stranke.

4. Posameznika, na katerega se nanašajo osebni podatki in ki je zahteval in dosegel blokiranje svojih podatkov, upravljavec pred deblokiranjem podatkov obvesti o tem.

Člen 16

Izbris

Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči pri upravljavcu izbris podatkov, če je njihova obdelava nezakonita, predvsem če so bile kršene določbe oddelkov 1, 2 in 3 poglavja II.

Člen 17

Uradno obvestilo tretjim strankam

Posameznik, na katerega se nanašajo osebni podatki, ima pravico doseči pri upravljavcu uradno obvestilo tretjim strankam, ki so jim bili posredovani podatki, o vsakem popravku, izbrisu ali blokiranju skladno s členi 13 do 16, razen če se to izkaže za nemogoče ali če vključuje nesorazmerne napore.

Člen 18

Pravica posameznika, na katerega se nanašajo osebni podatki, do ugovora

Posameznik, na katerega se nanašajo osebni podatki, ima pravico:

(a) da na nujni zakoniti podlagi v zvezi s svojim posebnim položajem kadarkoli ugovarja obdelavi podatkov, ki se nanašajo nanj, razen v primerih, ki jih zajema člen 5(b), (c) in (d). Kadar obstaja utemeljen ugovor, predmetna obdelava ne sme več vključevati teh podatkov;

(b) da je obveščen pred prvim posredovanjem osebnih podatkov tretjim strankam ali preden se podatki v njihovem imenu uporabijo za namen neposrednega trženja ter da mu je izrecno ponujena pravica do brezplačnega ugovora proti takemu posredovanju ali uporabi.

Člen 19

Avtomatizirane posamezne odločitve

Posameznik, na katerega se nanašajo osebni podatki, ima pravico, da se o njem ne bo sprejela odločitev, ki prinaša pravne učinke v zvezi z njim ali ki nanj pomembno vpliva in ki temelji samo na avtomatizirani obdelavi podatkov, namenjenih ovrednotenju posameznih osebnih vidikov v zvezi z njim, kot na primer njegova uspešnost pri delu, zanesljivost ali vedenje, razen če je odločitev izrecno odobrena skladno z nacionalno zakonodajo ali zakonodajo Skupnosti ali jo je po potrebi odobril evropski nadzornik za varstvo podatkov. V vsakem primeru pa je treba sprejeti ukrepe za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, kot so na primer ureditve, ki mu omogočajo izražanje njegovega stališča.

ODDELEK 6

IZJEME IN OMEJITVE

Člen 20

Izjeme in omejitve

1. Institucije in organi Skupnosti lahko omejijo uporabo člena 4(1), člena 11, člena 12(1), členov 13 do 17 in člena 37(1), kadar taka omejitev predstavlja potrebni ukrep za zaščito:

(a) preprečevanja, raziskovanja, odkrivanja in pregona kaznivih dejanj;

(b) pomembnega gospodarskega ali finančnega interesa države članice ali Evropskih skupnosti, vključno z monetarnimi, proračunskimi in davčnimi zadevami;

(c) varstva posameznika, na katerega se nanašajo osebni podatki, ali pravic in svoboščin drugih;

(d) državne varnosti, javne varnosti ali obrambe držav članic;

(e) spremljevalne, nadzorne ali redne naloge, povezane, čeprav občasno, z izvajanjem javne oblasti v primerih iz (a) in (b).

2. Členi 13 do 16 se ne uporabljajo, če se podatki obdelujejo samo za znanstveno raziskovanje ali če se hranijo v obliki, ki omogoča identifikacijo posameznika za čas, ne daljši od obdobja, potrebnega za edini namen ustvarjanja statistike, kadar očitno ni nobenega tveganja za kršitev zasebnosti posameznika, na katerega se nanašajo osebni podatki, in upravljavec predvidi primerne zakonite zaščitne ukrepe, zlasti za zagotovitev, da se podatki ne uporabljajo za sprejemanje ukrepov ali odločitev v zvezi z določenimi posamezniki.

3. Če se naloži omejitev, ki jo predvideva odstavek 1, se skladno z zakonodajo Skupnosti obvesti posameznika, na katerega se nanašajo osebni podatki, o glavnih razlogih, na katerih temelji uporaba omejitve, in o njegovi pravici, da se obrne na evropskega nadzornika za varstvo podatkov.

4. Če se pri odklonitvi dostopa posamezniku, na katerega se nanašajo osebni podatki, sklicuje na omejitev, ki jo predvideva odstavek 1, evropski nadzornik za varstvo podatkov pri preiskovanju pritožbe posameznika samo obvesti, ali so bili podatki pravilno obdelani, in če niso bili, ali so bili opravljeni kakšni potrebni popravki.

5. Zbiranje informacij, navedeno v odstavkih 3 in 4, se lahko odloži za toliko časa, za kolikor bi take informacije odvzele učinek omejitvi, ki jo postavlja odstavek 1.

ODDELEK 7

ZAUPNOST IN VARNOST OBDELAVE

Člen 21

Zaupnost obdelave

Oseba z dostopom do osebnih podatkov, ki jo zaposluje institucija ali organ Skupnosti, ter katera koli institucija ali organ Skupnosti, ki deluje kot obdelovalec, ne sme obdelovati podatkov brez navodil upravljavca, razen če tega ne zahteva nacionalna zakonodaja ali zakonodaja Skupnosti.

Člen 22

Varnost obdelave

1. Ob upoštevanju tehničnega stanja in stroška njihove izvedbe upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da bi zagotovil raven zavarovanja, primerno tveganju, ki ga predstavlja obdelava, in značaju osebnih podatkov, ki jih je treba varovati.

Taki ukrepi se sprejmejo zlasti za preprečevanje kakršnega koli nepooblaščenega posredovanja ali dostopa, naključnega ali nezakonitega uničenja ali naključne izgube ali predelave in za preprečitev vseh drugih nezakonitih oblik obdelave.

2. Kadar se osebni podatki obdelujejo z avtomatskimi sredstvi, je treba sprejeti ustrezne ukrepe glede na tveganje, zlasti s ciljem:

(a) preprečevanja, da bi katera koli nepooblaščena oseba pridobila dostop do računalniških sistemov, ki obdelujejo osebne podatke;

(b) preprečevanja kakršnih koli nepooblaščenih prebiranj, kopiranj, predelav ali odstranitev sredstev shranjevanja;

(c) preprečevanja kakršnih koli nepooblaščenih vnosov spomina ter tudi kakršnih koli nepooblaščenih posredovanj, predelav ali izbrisa shranjenih osebnih podatkov;

(d) preprečevanja, da bi nepooblaščene osebe uporabile sisteme obdelave podatkov s pomočjo sredstev za prenos podatkov;

(e) zagotavljanja, da pooblaščeni uporabniki sistema za obdelavo podatkov ne bi imeli dostopa do osebnih podatkov, razen tistih, na katere se nanaša njihova pravica dostopa;

(f) zapisovanja, kateri osebni podatki so bili sporočeni, kdaj in komu;

(g) zagotavljanja, da bo pozneje mogoče preveriti, kateri osebni podatki so bili obdelani, kdaj in kdo jih je obdeloval;

(h) zagotavljanja, da se osebni podatki, ki se obdelujejo v imenu tretjih strank, lahko obdelajo samo na način, ki ga predpiše pogodbena institucija ali organ;

(i) zagotavljanja, da med sporočanjem osebnih podatkov in med transportom sredstev za shranjevanje, podatkov ni mogoče prebrati, prekopirati ali izbrisati brez pooblastila;

(j) oblikovanja organizacijske strukture znotraj institucije ali organa tako, da bo izpolnjevala posebne zahteve varstva podatkov.

Člen 23

Obdelava osebnih podatkov v imenu upravljavcev

1. Kadar se postopek obdelave izvaja v imenu upravljavca, le-ta izbere obdelovalca, ki zagotovi zadostna jamstva v zvezi s tehničnimi in organizacijskimi varnostnimi ukrepi, ki jih zahteva člen 22, in zagotovi skladnost s temi ukrepi.

2. Izvajanje postopka obdelave prek obdelovalca ureja pogodba ali pravni predpis, ki zavezuje obdelovalca upravljavcu in ki zlasti določa, da:

(a) obdelovalec deluje samo po navodilih upravljavca;

(b) obveznosti, ki so določene v členih 21 in 22, zavezujejo tudi obdelovalca, razen če je na podlagi člena 16 ali člena 17(3), druga alinea, Direktive 95/46/ES, obdelovalec že zavezan obveznostim v zvezi z zaupnostjo in zavarovanjem, predpisanim v nacionalni zakonodaji ene izmed držav članic.

3. Za namen hranjenja dokazil so deli pogodbe ali pravnega predpisa v zvezi z varstvom podatkov in zahteve v zvezi z ukrepi iz člena 22 v pisni ali v drugi enakovredni obliki.

ODDELEK 8

URADNA OSEBA ZA VARSTVO PODATKOV

Člen 24

Imenovanje in naloge uradne osebe za varstvo podatkov

1. Vsaka institucija Skupnosti in organ Skupnosti imenuje najmanj eno osebo za uradno osebo za varstvo podatkov. Ta oseba je odgovorna za:

(a) zagotavljanje, da so upravljavci in posamezniki, na katere se nanašajo osebni podatki, obveščeni o svojih pravicah in dolžnostih skladno s to uredbo;

(b) odgovarjanje na zahteve evropskega nadzornika za varstvo podatkov na področju svoje pristojnosti, za sodelovanje z evropskim nadzornikom za varstvo podatkov na zahtevo le-tega ali na svojo lastno pobudo;

(c) zagotavljanje notranje uporabe določb te uredbe na neodvisen način;

(d) vodenje kataloga postopkov obdelave, ki jih izvaja upravljavec, v katerem so vsebovani deli informacij iz člena 25(2);

(e) obveščanje evropskega nadzornika za varstvo podatkov o postopkih obdelave, ki verjetno predstavljajo določeno tveganje v smislu člena 27.

Ta oseba tako zagotavlja, da postopki obdelave zelo verjetno ne bodo škodljivo vplivali na pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

2. Uradna oseba za varstvo podatkov se izbere na podlagi njenih osebnih in poklicnih kvalitet in zlasti njenega strokovnega poznavanja varstva podatkov.

3. Izbira uradne osebe za varstvo podatkov ni izpostavljena nasprotju interesom med njegovo dolžnostjo uradne osebe za varstvo podatkov in vsemi drugimi uradnimi dolžnostmi, zlasti v zvezi z uporabo določb te uredbe.

4. Uradna oseba za varstvo podatkov se imenuje za dobo od dveh do petih let. Upravičena je do ponovnega imenovanja do največ deset let celotnega mandata. Institucija ali organ Skupnosti, ki jo je imenoval, jo lahko razreši s položaja uradne osebe za varstvo podatkov samo s soglasjem evropskega nadzornika za varstvo podatkov, če ne izpolnjuje več pogojev, potrebnih za opravljanje njenih dolžnosti.

5. Po njenem imenovanju institucija ali organ, ki jo je imenovala, vpiše uradno osebo za varstvo podatkov pri evropskem nadzorniku za varstvo podatkov.

6. Institucija ali organ Skupnosti, ki imenuje uradno osebo za varstvo podatkov, ji preskrbi osebje in sredstva, potrebna za opravljanja njenih dolžnosti.

7. Uradna oseba za varstvo podatkov ne sme prejeti nobenih navodil v zvezi z opravljanjem njenih dolžnosti.

8. Nadaljnja izvedbena pravila v zvezi z uradno osebo za varstvo podatkov sprejme posamezna institucija ali organ Skupnosti v skladu z določbami v Prilogi. Izvedbena pravila se nanašajo predvsem na naloge, dolžnosti in pooblastila uradne osebe za varstvo podatkov.

Člen 25

Uradno obvestilo uradni osebi za varstvo podatkov

1. Upravljavec vnaprej obvesti uradno osebo za varstvo podatkov o vsakem postopku obdelave ali nizu takih postopkov, ki so namenjeni enemu samemu cilju ali več povezanim ciljem.

2. Informacije, ki jih je treba dati, zajemajo:

(a) ime in naslov upravljavca in prikaz organizacijskih delov institucije ali organa, ki mu je zaupana obdelava osebnih podatkov za posamezni namen;

(b) namen ali namene obdelave;

(c) opis kategorije ali kategorij posameznikov, na katere se nanašajo osebni podatki, in podatkov ali kategorij podatkov, ki se nanašajo nanje;

(d) pravno podlago postopka obdelave podatkov,

(e) prejemnike ali kategorije prejemnikov, ki bi se jim lahko posredovali podatki;

(f) splošno navedbo rokov za blokiranje in izbris različnih kategorij podatkov;

(g) predlagane prenose podatkov v tretje države ali mednarodne organizacije;

(h) splošni opis, ki omogoča predhodno oceno o ustreznosti ukrepov, sprejetih v skladu s členom 22 za zagotavljanje varnosti obdelave.

3. O vsaki spremembi, ki vpliva na informacije iz odstavka 2, je treba takoj uradno obvestiti uradno osebo za varstvo podatkov.

Člen 26

Katalog

Vsaka uradna oseba za varstvo podatkov vodi katalog postopkov obdelave, ki so sporočeni skladno s členom 25.

Katalogi vsebujejo vsaj tiste informacije, ki so navedene v členu 25(2)(a) do (g). Kataloge lahko neposredno ali posredno pregleda katera koli oseba prek evropskega nadzornika za obdelavo podatkov.

ODDELEK 9

PREDHODNO PREVERJANJE, KI GA OPRAVI EVROPSKI NADZORNIK ZA VARSTVO PODATKOV, IN DOLŽNOST SODELOVANJA

Člen 27

Predhodno preverjanje

1. Postopke obdelave, ki zaradi svojega značaja verjetno predstavljajo določeno tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, njihov obseg ali njihove cilje, mora predhodno preveriti evropski nadzornik za varstvo podatkov.

2. Tako tveganje predstavljajo naslednji postopki obdelave:

(a) obdelava podatkov v zvezi z zdravjem in sumi kaznivih dejanj, kaznivimi dejanji, kazenskimi obsodbami ali varnostnimi ukrepi;

(b) postopki obdelave, ki so namenjeni ovrednotenju osebnih vidikov v zvezi s posameznikom, na katerega se nanašajo osebni podatki, vključno z njegovo sposobnostjo, učinkovitostjo in ravnanjem;

(c) postopki obdelave za omogočanje povezav, ki niso predvidene skladno z nacionalno zakonodajo ali zakonodajo Skupnosti med podatki, obdelovanimi za različne namene;

(d) postopki obdelave z namenom odvzema pravice, ugodnosti ali pogodbe posamezniku.

3. Predhodna preverjanja opravi evropski nadzornik za varstvo podatkov po prejemu uradnega obvestila uradne osebe za varstvo podatkov, ki se v primeru dvoma o potrebi po predhodnem preverjanju posvetuje z evropskim nadzornikom za varstvo podatkov.

4. Evropski nadzornik za varstvo podatkov poda svoje mnenje v dveh mesecih po prejemu uradnega obvestila. Ta rok se lahko začasno odloži, dokler evropski nadzornik za varstvo podatkov ne pridobi nadaljnjih informacij, ki jih je morda zahteval. S sklepom evropskega nadzornika za varstvo podatkov pa se ta rok lahko podaljša še za nadaljnja dva meseca, če to zahteva zapletenost zadeve. Upravljavec mora biti uradno obveščen o tem sklepu pred iztekom začetnega dvomesečnega obdobja.

Če mnenje do konca dvomesečnega obdobja ali njegovega podaljšanja ni podano, se šteje, da je mnenje pozitivno.

Če bi po mnenju evropskega nadzornika za varstvo podatkov obdelava, o kateri je uradno obveščen, lahko imela za posledico kršitev posamezne določbe te uredbe, mora po potrebi podati predloge za preprečitev take kršitve. Če upravljavec ne prilagodi ustrezno postopka obdelave, lahko evropski nadzornik za varstvo podatkov izvrši pooblastila, ki so mu podeljena skladno s členom 47(1).

5. Evropski nadzornik za varstvo podatkov vodi katalog vseh postopkov obdelav, o katerih je bil uradno obveščen skladno z odstavkom 2. Katalog vsebuje informacije iz člena 25 in je na voljo javnemu vpogledu.

Člen 28

Posvetovanje

1. Institucije in organi Skupnosti obvestijo evropskega nadzornika za varstvo podatkov, kadar pripravljajo upravne ukrepe v zvezi z obdelavo osebnih podatkov, ki vključuje institucijo ali organ Skupnosti samo ali skupaj z drugimi.

2. Kadar Komisija sprejema zakonodajni predlog glede varstva pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov, se posvetuje z evropskim nadzornikom za varstvo podatkov.

Člen 29

Obveznost zagotoviti informacije

Institucije in organi Skupnosti obvestijo evropskega nadzornika za varstvo podatkov o ukrepih, sprejetih v skladu z njegovimi odločitvami ali dovoljenji iz člena 46(h).

Člen 30

Obveznost sodelovanja

Na zahtevo evropskega nadzornika za varstvo podatkov mu upravljavci pomagajo pri opravljanju njegovih dolžnosti, predvsem z zagotavljanjem informacij iz člena 47(2)(a) in z zagotavljanjem dostopa, kakor je določen v členu 47(2)(b).

Člen 31

Obveznost odgovora na navedbe

V odgovor na izvajanje pooblastil evropskega nadzornika za varstvo podatkov iz člena 47(1)(b) zadevni upravljavec v razumnem roku, ki ga določi nadzornik, obvesti nadzornika o svojih pogledih. V odgovor na pripombe evropskega nadzornika za varstvo podatkov odgovor vsebuje tudi opis sprejetih ukrepov, če je do njih prišlo.

POGLAVJE III

PRAVNA SREDSTVA

Člen 32

Pravna sredstva

1. Sodišče Evropskih skupnosti je pristojno za obravnavanje vseh sporov v zvezi z določbami te uredbe, vključno z odškodninskimi zahtevki.

2. Brez vpliva na kakršna koli pravna sredstva lahko vsak posameznik, na katerega se nanašajo osebni podatki, vloži pritožbo pri evropskem nadzorniku za varstvo podatkov, če meni, da so bile kršene njegove pravice iz člena 286 Pogodbe kot posledica obdelave njegovih osebnih podatkov v instituciji ali organu Skupnosti.

Če evropski nadzornik za varstvo podatkov ne odgovori v šestih mesecih, se pritožba šteje za zavrnjeno.

3. Tožbe proti odločitvam evropskega nadzornika za varstvo podatkov se vložijo na Sodišču Evropskih skupnosti.

4. Katera koli oseba, ki je utrpela škodo zaradi nezakonitega postopka obdelave ali katerega koli dejanja, ki je nezdružljivo s to uredbo, ima pravico do povračila škode skladno s členom 288 Pogodbe.

Člen 33

Pritožbe osebja Skupnosti

Katera koli oseba, ki je zaposlena pri instituciji ali organu Skupnosti, lahko vloži pritožbo pri evropskem nadzorniku za varstvo podatkov glede domnevne kršitve določb te uredbe, ki ureja obdelavo osebnih podatkov, brez ukrepanja po uradni poti. Zaradi pritožbe, vložene pri evropskem nadzorniku za varstvo podatkov, ki očita kršitev določb o urejanju obdelave osebnih podatkov, nihče ne sme utrpeti škode.

POGLAVJE IV

VARSTVO OSEBNIH PODATKOV IN ZASEBNOSTI V ZVEZI Z NOTRANJIMI TELEKOMUNIKACIJSKIMI OMREŽJI

Člen 34

Področje uporabe

Brez poseganja v druge določbe te uredbe se to poglavje uporablja za obdelavo osebnih podatkov v zvezi z uporabo telekomunikacijskih omrežij ali terminalske opreme, ki deluje pod vodstvom institucije ali organa Skupnosti.

V tem poglavju "uporabnik" pomeni vsako fizično osebo, ki uporablja telekomunikacijsko omrežje ali terminalsko opremo, ki deluje pod vodstvom institucije ali organa Skupnosti.

Člen 35

Zavarovanje

1. Institucije in organi Skupnosti sprejmejo ustrezne tehnične in organizacijske ukrepe za zaščito varne uporabe telekomunikacijskih omrežij in terminalske opreme, po potrebi skupaj s ponudniki javno dostopnih telekomunikacijskih storitev ali ponudniki javnih telekomunikacijskih omrežij. Ti ukrepi ob upoštevanju stanja tehnike in stroška njihovega izvajanja zagotovijo raven varnosti, primerno prisotnemu tveganju.

2. V primeru katerega koli posebnega tveganja kršitve varnosti mreže in terminalske opreme zadevna institucija ali organ Skupnosti obvesti uporabnike o obstoju tega tveganja in o vseh možnih pravnih sredstvih in alternativnih sredstvih komunikacije.

Člen 36

Zaupnost sporočanja

Institucije in organi Skupnosti zagotovijo zaupnost sporočanja prek telekomunikacijskih omrežij in terminalske opreme skladno s splošnimi načeli prava Skupnosti.

Člen 37

Podatki o prometu in zaračunavanju storitev

1. Brez poseganja v določbe odstavkov 2, 3 in 4 se podatki o prometu v zvezi z uporabniki, ki se obdelujejo in shranjujejo za vzpostavitev klicev in drugih povezav prek telekomunikacijskega omrežja, izbrišejo ali spremenijo v anonimne ob zaključku klica ali druge zveze.

2. Po potrebi se podatki o prometu, kakor so prikazani na seznamu, ki ga odobri evropski nadzornik za varstvo podatkov, lahko obdelujejo za namene telekomunikacijskega proračuna in vodenja prometa, vključno s preverjanjem pooblaščene uporabe telekomunikacijskih sistemov. Ti podatki se izbrišejo ali spremenijo v anonimne kakor hitro je mogoče, vendar najpozneje v šestih mesecih po zbiranju, razen če jih je treba hraniti dalj časa zaradi pridobitve, izvajanja ali obrambe pravice v pravnem zahtevku, ki je v teku na sodišču.

3. Obdelavo podatkov o prometu in zaračunavanju storitev izvajajo samo osebe, ki se ukvarjajo z zaračunavanjem storitev, s prometom ali vodenjem proračuna.

4. Uporabniki telekomunikacijskih mrež imajo pravico do prejema nerazčlenjenih računov ali drugih zapisov o opravljenih klicih.

Člen 38

Imeniki uporabnikov

1. Osebni podatki, ki jih vsebujejo natisnjeni ali elektronski imeniki uporabnikov, ter dostop do takih imenikov se omejijo na tisto, kar je nujno potrebno za določene namene imenika.

2. Institucije in organi Skupnosti sprejmejo vse potrebne ukrepe, da preprečijo uporabo osebnih podatkov, ki jih taki imeniki vsebujejo, za neposredne namene trženja ne glede na to, ali so javnosti dostopni ali ne.

Člen 39

Prikaz in omejitev identitete kličočega in klicanega

1. Če je na voljo prikaz identitete kličočega, mora imeti kličoči uporabnik možnost, da na preprost način brezplačno odstrani prikaz identitete kličočega.

2. Če je na voljo prikaz identitete kličočega, mora imeti klicani uporabnik možnost, da na preprost način brezplačno prepreči prikaz identitete kličočega na sprejetem klicu.

3. Če je na voljo prikaz identitete klicanega, mora imeti klicani uporabnik možnost, da na preprost način brezplačno odstrani prikaz identitete klicanega kličočemu uporabniku.

4. Če je na voljo prikaz identitete kličočega ali klicanega, morajo institucije in organi Skupnosti o tem in o možnostih, ki jih določajo odstavki 1, 2 in 3, obvestiti uporabnike.

Člen 40

Izjeme

Institucije in organi Skupnosti zagotovijo obstoj preglednih postopkov, ki urejajo način, po katerem lahko razveljavijo odstranitev prikaza identitete kličočega:

(a) na začasni podlagi na zahtevo uporabnika, ki zahteva sledenje zlonamernih ali nadležnih klicev;

(b) na podlagi posamezne povezave za organizacijske subjekte, ki se ukvarjajo s klici v sili, zaradi odgovarjanja na take klice.

POGLAVJE V

NEODVISNI NADZORNI ORGAN: EVROPSKI NADZORNIK ZA VARSTVO PODATKOV

Člen 41

Evropski nadzornik za varstvo podatkov

1. Ustanovi se neodvisni nadzorni organ, imenovan evropski nadzornik za varstvo podatkov.

2. Evropski nadzornik za varstvo podatkov je v zvezi z obdelavo osebnih podatkov odgovoren za zagotovitev, da institucije in organi Skupnosti spoštujejo temeljne pravice in svoboščine fizičnih oseb ter predvsem njihovo pravico do zasebnosti.

Evropski nadzornik za varstvo podatkov je odgovoren za spremljanje in zagotavljanje uporabe določb te uredbe in vseh drugih aktov Skupnosti v zvezi z varstvom temeljnih pravic in svoboščin fizičnih oseb glede obdelave osebnih podatkov v institucijah ali organih Skupnosti ter za svetovanje institucijam in organom Skupnosti ter posameznikom, na katere se nanašajo osebni podatki, o vseh zadevah v zvezi z obdelavo osebnih podatkov. Za dosego teh ciljev izpolnjuje dolžnosti, ki so določene v členu 46, in izvaja pooblastila, podeljena v členu 47.

Člen 42

Imenovanje

1. Evropski parlament in Svet s skupnim soglasjem imenujeta evropskega nadzornika za varstvo podatkov za petletni mandat na podlagi seznama, ki ga sestavi Komisija po javnem razpisu za kandidate.

V skladu z istim postopkom in za isti mandat je imenovan pomočnik nadzornika, ki pomaga nadzorniku pri vseh njegovih dolžnostih in ga nadomešča, kadar je nadzornik odsoten ali če ne more poskrbeti zanje.

2. Evropski nadzornik za varstvo podatkov se izbere izmed oseb, katerih neodvisnost je zunaj vsakega dvoma in ki imajo priznane izkušnje in strokovnost, potrebne za opravljanje dolžnosti evropskega nadzornika za varstvo podatkov, na primer zato, ker spadajo ali so spadali k nadzornim organom iz člena 28 Direktive 95/46/ES.

3. Evropski nadzornik za varstvo podatkov se lahko imenuje ponovno.

4. Razen v primeru normalne zamenjave ali smrti lahko dolžnosti evropskega nadzornika za varstvo podatkov prenehajo v primeru odstopa ali prisilne razrešitve skladno z odstavkom 5.

5. Sodišče Evropskih skupnosti lahko na zahtevo Evropskega parlamenta, Sveta ali Komisije razreši evropskega nadzornika za varstvo podatkov ali mu odvzame pravico do pokojnine ali do drugih ugodnosti na njegovem položaju, če ne izpolnjuje več pogojev, ki se zahtevajo za opravljanje njegovih dolžnosti, ali če je kriv resnega neustreznega ravnanja.

6. V primeru normalne zamenjave ali prostovoljnega odstopa ostane evropski nadzornik za varstvo podatkov na svojem položaju vse do zamenjave.

7. Členi 12 do 15 in 18 Protokola o privilegijih in imunitetah Evropskih skupnosti se uporabljajo tudi za evropskega nadzornika za varstvo podatkov.

8. Odstavki 2 do 7 se uporabljajo za pomočnika nadzornika.

Člen 43

Predpisi in splošni pogoji, ki urejajo izvajanje dolžnosti evropskega nadzornika za varstvo podatkov, osebje in finančne vire

1. Evropski parlament, Svet in Komisija s skupnim soglasjem določijo pravila in splošne pogoje, ki urejajo izvajanje dolžnosti evropskega nadzornika za varstvo podatkov in predvsem njegovo plačo, dodatke in vse druge ugodnosti namesto nagrade.

2. Organ za izvajanje proračuna zagotovi, da je evropski nadzornik za varstvo podatkov preskrbljen s človeškimi in finančnimi viri, potrebnimi za izvajanje njegovih nalog.

3. Proračun evropskega nadzornika za varstvo podatkov se prikaže v posebni proračunski rubriki v razdelku VIII splošnega proračuna Evropske unije.

4. Evropskemu nadzorniku za varstvo podatkov pomaga sekretariat. Uradnike in druge člane osebja sekretariata imenuje evropski nadzornik za varstvo podatkov, njihov nadrejeni je evropski nadzornik za varstvo podatkov, podrejeni pa so zgolj njegovemu vodstvu. Njihovo število se kot del proračunskega postopka določi vsako leto.

5. Za uradnike in druge člane osebja sekretariata evropskega nadzornika za varstvo podatkov veljajo poslovniki in pravila, ki se uporabljajo za uradnike in druge uslužbence Evropskih skupnosti.

6. V zadevah v zvezi z osebjem sekretariata ima evropski nadzornik za varstvo podatkov enak pravni položaj kot institucije v smislu člena 1 Kadrovskih predpisov za uradnike Evropskih skupnosti.

Člen 44

Neodvisnost

1. Evropski nadzornik za varstvo podatkov ravna pri izvajanju svojih nalog popolnoma neodvisno.

2. Evropski nadzornik za varstvo podatkov pri izvajanju svojih nalog pri nikomer ne išče in od nikogar ne prevzema navodil.

3. Evropski nadzornik za varstvo podatkov se vzdrži vsakega delovanja, ki je nezdružljivo z njegovimi dolžnostmi, in se v času svojega mandata ne ukvarja z nobenim drugim delom, bodisi profitnim ali neprofitnim.

4. Evropski nadzornik za varstvo podatkov po svojem mandatu ravna celovito in preudarno glede sprejemanja imenovanj in ugodnosti.

Člen 45

Poklicna tajnost

Evropski nadzornik za varstvo podatkov in njegovo osebje so dolžni varovati poklicno tajnost v zvezi z vsemi zaupnimi informacijami, s katerimi so se seznanili v času izvajanja svojih uradnih dolžnosti, tako med svojim mandatom kot po njem.

Člen 46

Dolžnosti

Evropski nadzornik za varstvo podatkov:

(a) obravnava in preiskuje pritožbe ter o izidu v razumnem roku obvesti posameznika, na katerega se nanašajo osebni podatki;

b) opravlja poizvedbe na lastno pobudo ali na podlagi pritožbe in o izidu v razumnem roku obvesti posameznike, na katere se nanašajo osebni podatki;

(c) spremlja in zagotavlja uporabo določb te uredbe in vseh drugih aktov Skupnosti v zvezi z varstvom fizičnih oseb pri obdelavi osebnih podatkov v institucijah ali organih Skupnosti, razen Sodišča Evropskih skupnosti v vlogi sodnika;

(d) bodisi na lastno pobudo ali v odgovor na posvetovanje svetuje vsem institucijam in organom Skupnosti o vseh zadevah v zvezi z obdelavo osebnih podatkov, predvsem preden sestavijo notranje pravilnike o varstvu temeljnih pravic in svoboščin pri obdelavi osebnih podatkov;

(e) spremlja pomembne razvoje, kolikor vplivajo na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij;

(f) (i) sodeluje z nacionalnimi nadzornimi organi iz člena 28 Direktive 95/46/ES v državah, v katerih se ta direktiva uporablja, v obsegu, potrebnem za opravljanje njegovih dolžnosti, predvsem z izmenjavo vseh koristnih informacij, pri čemer zahteva od takega organa ali telesa, da izvaja svoja pooblastila, ali pa odgovori na zahtevo takega organa ali telesa;

(ii) sodeluje tudi z nadzornimi organi za varstvo podatkov, ustanovljenimi na podlagi naslova VI Pogodbe o Evropski uniji, predvsem zato, da bi izboljšali doslednost pri uporabi pravil in postopkov, s katerimi so odgovorni za zagotavljanje skladnosti;

(g) sodeluje pri dejavnostih Delovne skupine o varstvu posameznikov pri obdelavi osebnih podatkov, ustanovljeni s členom 29 Direktive 95/46/ES;

(h) določa, utemeljuje in objavlja izjeme, zaščitne ukrepe, dovoljenja in pogoje iz člena 10(2)(b), (4), (5) in (6), člena 12(2), člena 19 in iz člena 37(2);

(i) vodi katalog postopkov obdelave, o katerih je uradno obveščen na podlagi člena 27(2) in ki so vpisani skladno s členom 27(5), ter zagotavlja sredstva dostopa do katalogov, ki jih vodijo uradne osebe za varstvo podatkov skladno s členom 26;

(j) izvaja predhodno preverjanje obdelave, o kateri je uradno obveščen;

(k) sestavi svoj poslovnik.

Člen 47

Pooblastila

1. Evropski nadzornik za varstvo podatkov lahko:

(a) posameznikom, na katere se nanašajo osebni podatki, svetuje pri uveljavljanju njihovih pravic;

(b) obvesti o zadevi upravljavca v primeru domnevne kršitve določb, ki urejajo obdelavo osebnih podatkov, in kjer je to ustrezno, poda predloge za odstranitev te kršitve in za izboljšanje varstva posameznikov, na katere se nanašajo osebni podatki;

(c) odredi, da se zahtevkom po izvajanju določenih pravic v zvezi s podatki ugodi, kadar so bili taki zahtevki zavrnjeni kot kršitev členov 13 do 19;

(d) opozarja ali opominja upravljavca;

(e) odredi popravo, blokiranje, izbris ali uničenje vseh podatkov, kadar so bili obdelani s kršitvijo določb, ki urejajo obdelavo osebnih podatkov, in uradno obvestilo o takih dejanjih tretjim strankam, ki so jim bili posredovani podatki;

(f) naloži začasno ali dokončno prepoved obdelave;

(g) obvesti o zadevi zadevno institucijo ali organ Skupnosti in po potrebi Evropski parlament, Svet in Komisijo;

(h) obvesti o zadevi Sodišče Evropskih skupnosti pod pogoji, predvidenimi v Pogodbi;

(i) posreduje v tožbah, vloženih na Sodišču Evropskih skupnosti.

2. Evropski nadzornik za varstvo podatkov je pooblaščen:

(a) da pridobi od upravljavca ali institucije oziroma organa Skupnosti dostop do vseh osebnih podatkov in do vseh informacij, potrebnih za njegove poizvedbe;

(b) da pridobi dostop do vseh prostorov, v katerih upravljavec ali institucija oziroma organ Skupnosti izvaja svoje dejavnosti, če obstajajo utemeljeni razlogi za sum, da se tam opravlja dejavnost, ki jo zajema ta uredba.

Člen 48

Poročilo o dejavnostih

1. Evropski nadzornik za varstvo podatkov predloži letno poročilo o svojih dejavnostih Evropskemu parlamentu, Svetu in Komisiji in ga sočasno objavi.

2. Evropski nadzornik za varstvo podatkov pošlje poročilo o dejavnostih drugim institucijam in organom Skupnosti, ki lahko predložijo pripombe glede možne preučitve poročila v Evropskem parlamentu, zlasti v zvezi z opisom ukrepov, sprejetih v odgovor na pripombe evropskega nadzornika za varstvo podatkov na podlagi člena 31.

POGLAVJE VI

KONČNE DOLOČBE

Člen 49

Sankcije

Za vsako neizpolnjevanje obveznosti v skladu s to uredbo, bodisi namerno ali iz malomarnosti, je uradnik ali drugi uslužbenec Evropskih skupnosti disciplinsko odgovoren skladno s pravili in postopki, določenimi v Kadrovskih predpisih za uradnike Evropskih skupnosti ali v pogojih za zaposlitev, ki se uporabljajo za druge uslužbence.

Člen 50

Prehodno obdobje

Institucije in organi Skupnosti zagotovijo, da se postopki obdelave, ki že potekajo na dan, ko ta uredba stopi v veljavo, uskladijo s to uredbo v roku enega leta od tega dne.

Člen 51

Začetek veljavnosti

Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropskih skupnosti.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju, 18. decembra 2000

Za Evropski parlament

Predsednica

N. Fontaine

Za Svet

Predsednik

D. Voynet

[1] UL C 376E, 28.12.1999, str. 24.

[2] UL C 51, 23.2.2000, str. 48.

[3] Mnenje Evropskega parlamenta z dne 14. novembra 2000 in Sklep Sveta z dne 30. novembra 2000.

[4] UL L 281, 23.11.1995, str. 31.

[5] UL L 24, 30.1.1998, str. 1.

[6] UL L 52, 22.2.1997, str. 1.

[7] UL L 318, 27.11.1998, str. 8.

[8] UL L 151, 15.6.1990, str. 1. Uredba, kakor je bila spremenjena z Uredbo (ES) št. 322/97 (UL L 52, 22.2.1997, str. 1).

--------------------------------------------------

PRILOGA

1. Uradna oseba za varstvo podatkov lahko instituciji ali organu Skupnosti, ki jo je imenovala, izdaja priporočila za praktično izboljšanje varstva podatkov in svetuje njim in zadevnemu upravljavcu o zadevah v zvezi z uporabo določb za varstvo osebnih podatkov. Nadalje lahko na lastno pobudo ali na zahtevo institucije ali organa Skupnosti, ki jo je imenovala, upravljavca, zadevnega kadrovskega odbora ali katerega koli posameznika preiskuje zadeve in dogodke, ki se neposredno nanašajo na njene naloge in za katere izve, ter poroča osebi, ki je naročila preiskavo, ali upravljavcu.

2. Z uradno osebo za varstvo podatkov se lahko posvetuje institucija ali organ Skupnosti, ki jo je imenovala, zadevni upravljavec, zadevni kadrovski odbor in katerikoli posameznik brez zatekanja k uradnim potem o vsaki zadevi v zvezi z razlago ali uporabo te uredbe.

3. Zaradi zadeve, predložene pristojni uradni osebi za varstvo podatkov z navedbo, da je prišlo do kršitve določb te uredbe, nihče ne sme trpeti škode.

4. Od vsakega upravljavca se zahteva, da pomaga uradni osebi za varstvo podatkov pri opravljanju njenih dolžnosti in da posreduje informacije v odgovor na vprašanja. Pri opravljanju svojih dolžnosti ima uradna oseba za varstvo podatkov ves čas dostop do podatkov, ki sestavljajo predmet postopkov obdelave in do vseh pisarn, namestitev za obdelavo podatkov in prenosnikov podatkov.

5. Uradna oseba za varstvo podatkov je v potrebni meri razbremenjena vseh drugih dejavnosti. Od uradne osebe za varstvo podatkov in njenega osebja, za katero velja člen 287 Pogodbe, se zahteva, da ne objavljajo informacij ali dokumentov, ki jih pridobijo v času svojih dolžnosti.

--------------------------------------------------