(1)

Zaštita fizičkih osoba pri obradi osobnih podataka temeljno je pravo. Člankom 8. stavkom 1. Povelje Europske unije o temeljnim pravima i člankom 16. stavkom 1. Ugovora o funkcioniranju Europske unije utvrđuje se da svaka osoba ima pravo na zaštitu osobnih podataka koji se tiču nje. Člankom 8. stavkom 2. Povelje utvrđuje se da se takvi podaci moraju obrađivati nepristrano za posebne svrhe i na temelju suglasnosti dotične osobe ili na nekoj drugoj zakonski utvrđenoj legitimnoj osnovi. [Am. 1]

(2)

Obrada osobnih podataka namijenjena je tome da služi čovjeku; načela i pravila o zaštiti pojedinaca pri obradi njihovih osobnih podataka trebala bi, bez obzira na državljanstvo ili boravište fizičkih osoba, uvažavati njihova temeljna prava i slobode, a posebno pravo na zaštitu osobnih podataka. Trebala bi pridonositi ostvarenju područja slobode, sigurnosti i pravde.

(3)

Brz tehnološki napredak i globalizacija stvorili su nove izazove za zaštitu osobnih podataka. Opseg prikupljanja i razmjene podataka drastično se povećava. Tehnologija nadležnim tijelima u provođenju njihovih aktivnosti omogućuje korištenje osobnih podataka u dosad nezapamćenim razmjerima.

(4)

To zahtijeva olakšanje slobodnog protoka podataka , kad je to nužno i razmjerno, među nadležnim tijelima unutar Unije i njihova prijenosa u treće zemlje i međunarodne organizacije uz istodobno osiguravanje visoke razine zaštite osobnih podataka. Ove Te promjene iziskuju izgradnju snažnoga i usklađenijeg okvira za zaštitu podataka u Uniji, koji bi podupirala dosljedna primjena. [Am. 2]

(5)

Direktiva 95/46/EZ Europskoga parlamenta i Vijeća (3) primjenjuje se na sve aktivnosti obrade osobnih podataka u državama članicama u javnom i privatnom sektoru. No Direktiva se ne primjenjuje na obrade osobnih podataka „tijekom aktivnosti koja je izvan područja primjene prava Zajednice”, kao što su aktivnosti na područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje.

(6)

Okvirna odluka Vijeća 2008/977/JHA (4) primjenjuje se na područja pravosudne suradnje u kaznenim stvarima i policijske suradnje. Područje primjene ove Okvirne odluke ograničeno je na obradu osobnih podataka koje države članice jedna drugoj prenose ili stavljaju na raspolaganje.

(7)

Osiguravanje usklađene dosljedne i visoke razine zaštite osobnih podataka pojedinaca i olakšavanje pojedinih osoba te ubrzavanje razmjene osobnih podataka među nadležnim tijelima vlastima država članica ključno je kako bi se zajamčila osigurala učinkovita pravosudna suradnja u kaznenim stvarima i policijska suradnja. policijskoj suradnji. Imajući u vidu taj cilj, razina zaštite prava i sloboda pojedinaca pri obradi osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija mora biti jednaka u svim državama članicama. U cijeloj Uniji trebalo bi osigurati dosljednu i ujednačenu primjenu pravila za zaštitu temeljnih prava i sloboda fizičkih osoba pri obradi osobnih podataka. Učinkovita zaštita osobnih podataka u cijeloj Uniji zahtijeva jačanje prava osoba čiji se podaci obrađuju i obveza onih koji osobne podatke obrađuju, ali i jednake ovlasti nadzora i jamčenja usklađenosti s pravilima za zaštitu osobnih podataka u državama članicama. [Am. 3]

(8)

Na temelju članka 16. stavka 2. Ugovora o funkcioniranju Europske unije Europski parlament i Vijeće trebali bi utvrditi pravila koja se odnose na zaštitu pojedinaca pri obradi osobnih podataka i pravila koja se odnose na slobodno kretanje slobodan protok njihovih osobnih podataka. [Am. 4]

(9)

Na temelju toga Uredba (EU) br. …/2014 Europskog parlamenta i Vijeća o zaštiti pojedinaca pri obradi osobnih podataka i slobodnom kretanju takvih podataka (Opća uredba o zaštiti podataka) utvrđuje općenita pravila za zaštitu pojedinaca pri obradi osobnih podataka i osiguranje slobodnog kretanja osobnih podataka unutar Unije.

(10)

U Izjavi 21 o zaštiti osobnih podataka na područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje, priloženoj završnom aktu međuvladine konferencije na kojoj je usvojen Ugovor iz Lisabona, konferencija je potvrdila da bi se određena pravila o zaštiti osobnih podataka i slobodnom kretanju takvih podataka na područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje na temelju članka 16. Ugovora o funkcioniranju Europske unije mogla pokazati neophodnima zbog specifične prirode tih područja.

(11)

Stoga bi posebnom direktivom trebalo odgovoriti na specifičnu prirodu tih područja i utvrditi pravila o zaštiti pojedinaca pri obradi osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija. [Am. 5]

(12)

Kako bi se pojedincima osigurala jednaka razina zaštite na temelju prava koja su zakonski ostvariva u cijeloj Uniji te se spriječila odstupanja koja ometaju razmjenu osobnih podataka među nadležnim tijelima, Direktiva bi trebala predvidjeti usklađena pravila za zaštitu i slobodno kretanje osobnih podataka na područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje.

(13)

Ovom se Direktivom omogućuje uzimanje u obzir načela javnog pristupa službenim dokumentima kod primjene odredaba koje su njome utvrđene.

(14)

Zaštita koju ova Direktiva pruža trebala bi se odnositi na fizičke osobe pri obradi osobnih podataka, bez obzira na njihovo državljanstvo ili mjesto boravišta.

(15)

Zaštita pojedinaca trebala bi biti tehnološki neutralna i ne ovisiti o tehnikama koje se koriste; u suprotnom, to bi izazvalo ozbiljan rizik od zaobilaženja propisa. Zaštita pojedinaca trebala bi se primjenjivati na obradu osobnih podataka automatiziranim sredstvima, ali i na ručnu obradu ako su podaci sadržani u sustavu podataka ili ih se u taj sustav namjerava unijeti. Dokumenti ili skupovi dokumenata kao i njihove naslovne stranice koje nisu strukturirane u skladu s posebnim kriterijima ne bi trebali pripadati području primjene ove Direktive. Ova se Direktiva ne bi trebala primjenjivati na obradu osobnih podataka u okviru aktivnosti koja nije u području primjene zakonodavstva Unije., osobito ako je riječ o nacionalnoj sigurnosti, ili na podatke koje obrađuju institucije, Uredbu (EZ) br. 45/2001 Europskog parlamenta i Vijeća  (5) i posebne pravne instrumente koji se primjenjuju na agencije , tijela ili uredi i agencije Unije, kao što su Europol ili Eurojust ili urede Unije trebalo bi uskladiti s ovom Direktivom i primijeniti u skladu s njom . [Am. 6]

(16)

Načela zaštite trebala bi se primjenjivati na bilo koju informaciju koja se odnosi na identificiranu fizičku osobu ili fizičku osobu čiji se identitet može utvrditi. Kako bi se odredilo može li se fizičku osobu identificirati, trebalo bi uzeti u obzir sva sredstva koja nadzornik ili bilo koja druga osoba može opravdano koristiti kako bi identificirala pojedinca o kojemu je riječ ili izdvojila tu osobu . Načela zaštite podataka ne bi trebalo primjenjivati na podatke koji su anonimni na način da se osobu čiji se podaci obrađuju više ne može identificirati. Ova se Direktiva ne bi trebala primjenjivati na anonimne podatke, odnosno sve podatke koji se izravno ili neizravno te samostalno ili u kombinaciji sa srodnim podacima ne mogu povezati s tom fizičkom osobom. Uzimajući u obzir važnost trenutačnih razvojnih trendova u informacijskom društvu koji se odnose na tehnike prikupljanja, prijenosa, obrade, bilježenja, pohranjivanja ili slanja podataka o lokaciji fizičkih osoba, koji se mogu koristiti u različite svrhe, uključujući nadziranje ili izradu profila, ova Direktiva trebala bi se primjenjivati na obradu takvih osobnih podataka. [Am. 7]

(16a)

Svaka obrada osobnih podataka mora biti zakonita, poštena i transparentna u odnosu na dotične pojedince. Posebne svrhe obrade podataka osobito bi trebale biti izričite i legitimne te utvrđene u trenutku prikupljanja osobnih podataka. Osobni podaci trebali bi biti prikladni, relevantni i ograničeni na nužno potrebne za svrhe radi kojih se obrađuju. To posebno zahtijeva ograničavanje prikupljenih podataka i razdoblja njihova pohranjivanja na najmanju moguću mjeru. Osobni podaci trebali bi se obrađivati samo ako se svrha obrade ne može postići drugim sredstvima. Trebalo bi poduzeti sve odgovarajuće korake kako bi se osiguralo da se osobni podaci koji nisu točni isprave ili izbrišu. Kako bi se osiguralo da se podaci ne pohranjuju duže nego što je potrebno, nadzornik bi trebao odrediti rokove za njihovo brisanje ili redovitu reviziju. [Am. 8]

(17)

Osobni podaci koji se odnose na zdravlje trebali bi posebno sadržavati sve podatke koji se tiču zdravstvenog statusa osobe čiji se podaci obrađuju, informacije o prijavi pojedinca za pružanje zdravstvenih usluga, informacije o plaćanjima ili o tome ostvaruje li pojedinac pravo na zdravstvenu zaštitu, broj, simbol ili posebnu oznaku dodijeljenu pojedincu radi njegova jedinstvenog identificiranja u zdravstvene svrhe, svaku informaciju koja je tijekom pružanja zdravstvenih usluga pojedincu o njemu prikupljena, informacije dobivene testiranjem ili obavljanjem pretrage dijela tijela ili tjelesnog sadržaja, uključujući i biološke uzorke, utvrđivanje identiteta osobe kao pružatelja zdravstvene zaštite pojedincu ili svaku informaciju o primjerice bolesti, invalidnosti, riziku od razvoja bolesti, anamnezi, kliničkom liječenju ili trenutačnom fiziološkom ili biomedicinskom stanju osobe čiji se podaci obrađuju neovisno o njegovom izvoru, npr. liječniku ili drugom zdravstvenom djelatniku, bolnici, medicinskom uređaju ili dijagnostičkoj pretrazi „in vitro”.

(18)

Svaka obrada osobnih podataka mora biti poštena i zakonita prema pojedincima o kojima je riječ. Posebne namjene za koje se podaci obrađuju osobito bi trebale biti eksplicitne. [Am. 9]

(19)

Radi sprečavanja, istrage i progona kaznenih djela nužno je da nadležna tijela zadrže i obrađuju osobne podatke prikupljene u kontekstu sprečavanja, istrage, otkrivanja ili progona posebnih kaznenih djela izvan tog konteksta kako bi razvila razumijevanje o kaznenim fenomenima i trendovima, prikupila podatke o mrežama organiziranog kriminala i uspostavila veze između različitih otkrivenih kaznenih djela. [Am. 10]

(20)

Osobne podatke ne bi trebalo obrađivati u svrhe koje nisu u skladu sa svrhom u koju su prikupljeni. Osobni podaci trebali bi biti odgovarajući, relevantni i ne preopsežni u odnosu na svrhe u koje ih se obrađuje. Trebalo bi poduzeti sve odgovarajuće korake kako bi se osiguralo da se osobni podaci koji nisu točni isprave ili izbrišu. [Am. 11]

(20a)

Činjenica da se obje svrhe odnose na sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija ne znači nužno da su one usklađene. Međutim postoje slučajevi u kojima bi daljnja obrada u neusklađene svrhe trebala biti moguća ako je to potrebno da bi se ispunila pravna obveza kojoj nadzornik podliježe kako bi se zaštitili vitalni interesi osobe čiji se podaci obrađuju ili druge osobe, ili spriječile izravne i ozbiljne prijetnje javnoj sigurnosti. Zbog toga bi države članice trebale moći donositi nacionalne zakone kojima se omogućuju takva odstupanja u nužnoj mjeri. Takvi nacionalni zakoni trebali bi sadržavati odgovarajuće zaštitne mehanizme. [Am. 12]

(21)

Trebalo bi primijeniti načelo točnosti podataka uzimajući u obzir prirodu i svrhu predmetne obrade. Izjave koje sadržavaju osobne podatke temelje se, osobito u sudskim postupcima, na subjektivnoj percepciji pojedinaca i u nekim se slučajevima ne mogu uvijek provjeriti. Stoga se zahtjev za točnošću ne bi trebao odnositi na točnost izjave, već samo na činjenicu da je određena izjava dana.

(22)

Kod tumačenja i primjene općenitih načela obrade osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršenja kaznenopravnih sankcija trebalo bi uzeti u obzir posebne značajke toga područja, uključujući posebne ciljeve kojima se teži. [Am. 13]

(23)

Za obradu osobnih podataka na područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje svojstveno je da se obrađuju osobni podaci koji se odnose na različite kategorije osoba čiji se podaci obrađuju. Stoga bi što je više moguće trebalo praviti jasnu razliku između osobnih podataka različitih kategorija osoba čiji se podaci obrađuju, primjerice osumnjičenika, osoba osuđenih za kazneno djelo, žrtava i trećih strana, kao što su svjedoci, osobe koje posjeduju važne informacije ili kontakte te pomagači osumnjičenika i osuđenih počinitelja kaznenih djela. Države članice trebale bi utvrditi posebna pravila o posljedicama te kategorizacije uzimajući u obzir različite svrhe u koje se podaci prikupljaju te osiguravajući posebne zaštitne mehanizme za osobe koje nisu osumnjičene za počinjenje kaznenog djela ili koje za njega nisu osuđene. [Am. 14]

(24)

Trebalo bi što je više moguće praviti razliku među osobnim podacima prema stupnju njihove točnosti i pouzdanosti. Trebalo bi praviti razliku između činjenica i osobnih procjena kako bi se osigurale zaštita pojedinaca te kvaliteta i pouzdanost informacija koje obrađuju nadležna tijela.

(25)

Kako bi bila zakonita, obrada osobnih podataka trebala bi biti neophodna dopuštena samo onda kad je nužna za ispunjavanje pravne obveze kojoj nadzornik podliježe, izvršavanje zadataka nekog zadatka u interesu javnosti od strane nadležnog tijela na temelju prava Unije ili za zaštitu vitalnih interesa osobe čiji se podaci obrađuju ili druge osobe, ili za sprečavanje izravne i ozbiljne prijetnje javnoj sigurnosti. države članice, koje bi trebalo sadržavati izričite i detaljne odredbe najmanje o ciljevima, osobnim podacima i posebnim svrhama i sredstvima te kojim bi trebalo odrediti ili omogućiti određivanje nadzornika, postupaka koje treba provoditi, upotrebe i ograničenja primjene diskrecijskog prava dodijeljenog nadležnim tijelima u pogledu postupaka obrade . [Am. 15]

(25a)

Osobne podatke ne bi trebalo obrađivati u svrhe koje nisu u skladu sa svrhom u koju su prikupljeni. Daljnja obrada od strane nadležnih tijela u svrhu koja je dio područja primjene ove Direktive, a koja nije u skladu s prvotnom svrhom trebala bi biti dopuštena samo u posebnim slučajevima kad je takva obrada nužna za ispunjavanje pravne obveze kojoj nadzornik podliježe na temelju prava Unije ili prava države članice ili za zaštitu vitalnih interesa osobe čiji se podaci obrađuju ili druge osobe, ili za sprečavanje izravne i ozbiljne prijetnje javnoj sigurnosti. Činjenica da se podaci obrađuju u svrhu provedbe zakona ne znači nužno da je ta svrha u skladu s prvotnom. Koncept usklađene primjene treba tumačiti ograničeno. [Am. 16]

(25b)

Osobne podatke koji su obrađivani uz kršenje nacionalnih odredbi donesenih u skladu s ovom Direktivom ne bi više trebalo obrađivati. [Am. 17]

(26)

Osobni podaci koji su po svojoj prirodi osobito osjetljivi i ranjivi u pogledu temeljnih prava ili privatnosti, uključujući genetičke podatke, zaslužuju posebnu zaštitu. Takve podatke ne bi trebalo obrađivati osim ako njihova obrada nije posebno odobrena pravom nužna za izvršavanje nekog zadatka u javnom interesu, na temelju prava Unije ili prava države članice kojim se predviđaju odgovarajuće mjere zaštite temeljnih prava i legitimnih interesa osobe čiji se podaci obrađuju; ili je obrada neophodna za zaštitu vitalnih interesa osobe čiji se podaci obrađuju ili druge osobe; ili se obrada odnosi na podatke koje je objavila osoba čiji se podaci obrađuju. Osjetljive osobne podatke trebalo bi obrađivati samo ako se njima dopunjuju drugi osobni podaci koji su već obrađeni za potrebe provedbe zakona. Svako odstupanje od zabrane obrade osjetljivih podataka trebalo bi tumačiti ograničeno i ono ne bi trebalo dovesti do česte, opsežne i strukturne obrade osjetljivih osobnih podataka. [Am. 18]

(26a)

Obrada genetskih podataka trebala bi biti dopuštena samo ako postoji genetska veza koja se pojavi tijekom kaznene istrage ili sudskog postupka. Genetske podatke trebalo bi pohranjivati samo u razdoblju nužnom za potrebe takvih istraga i postupaka, dok države članice mogu utvrditi dulje trajanje pohranjivanja pod uvjetima utvrđenima ovom Direktivom. [Am. 19]

(27)

Svaka fizička osoba trebala bi imati pravo ne podlijegati mjeri koja se temelji jedino na automatiziranoj obradi ako na djelomičnom ili potpunom profiliranju automatiziranom obradom. Takvu obradu kojom se stvara štetan pravni učinak na tu osobu ili koja na na nju znatno utječe trebalo bi zabraniti osim ako je zakonski odobrena pravom i podliježe odgovarajućim mjerama zaštite temeljnih prava i legitimnih interesa osobe čiji se podaci obrađuju , uključujući pravo na važne informacije o logici korištenoj tijekom profiliranja . Takva obrada ni pod kojim uvjetima ne bi trebala sadržavati posebne kategorije podataka, stvarati ih ili na temelju njih diskriminirati. [Am. 20]

(28)

Kako bi osoba čiji se podaci obrađuju mogla ostvariti svoja prava, svaka informacija namijenjena njoj trebala bi biti lako dostupna i razumljiva te sročena jasnim i jednostavnim jezikom. Ta bi informacija trebala biti prilagođena potrebama osobe čiji se podaci obrađuju, posebno kad se upućuje djetetu. [Am. 21]

(29)

Trebalo bi osigurati modalitete kojima se osobi čiji se podaci obrađuju olakšava ostvarivanje njezinih prava u okviru ove Direktive, uključujući mehanizme za besplatan zahtjev, osobito za pristup podacima, njihovo ispravljanje i brisanje. Nadzornik bi trebao imati obvezu odgovoriti na zahtjeve osobe čiji se podaci obrađuju bez neopravdane odgode i u roku od jednoga mjeseca od primitka zahtjeva . Ako se osobni podaci obrađuju automatizirano, nadzornik bi trebao osigurati sredstva za podnošenje zahtjeva elektroničkim putem. [Am. 22]

(30)

Načelo poštene i transparentne obrade podataka zahtijeva da bi su osobe čiji se podaci obrađuju trebale biti posebno osobito obaviještene o postupku obrade i njezinim svrhama, duljini njezinoj svrsi, pravnoj osnovi, trajanju pohrane podataka, mogućnosti postojanju prava pristupa, ispravljanja ispravka ili brisanja podataka te o pravu na podnošenje žalbe. Osim toga, osoba čiji se podaci obrađuju trebala bi biti obaviještena ako se obavlja profiliranje te o njegovim planiranim učincima. Kada se podaci prikupljaju od osobe čiji se podaci obrađuju, osobu bi također trebalo obavijestiti o tome je li obvezna pružiti te podatke te o posljedicama njihova nepružanja. [Am. 23]

(31)

Osobi čiji se podaci obrađuju trebalo bi pružiti informacije vezane uz obradu osobnih podataka koji se odnose na osobu čiji se podaci obrađuju u vrijeme prikupljanja podataka ili, kada se podaci ne prikupljaju od osobe, u vrijeme bilježenja ili u razumnome roku nakon njihova prikupljanja uzimajući u obzir posebne okolnosti u kojima se podaci obrađuju.

(32)

Svaka bi osoba trebala imati pravo na pristup podacima koji se o njoj prikupljaju i ostvarivanje toga prava na jednostavan način kako bi znala da je obrada zakonita i to mogla potvrditi. Svaka osoba čiji se podaci obrađuju trebala bi stoga imati pravo znati i primiti obavijest biti obaviještena posebno o tome u koje se svrhe podaci obrađuju, koja je pravna osnova, na koje razdoblje podaci se obrađuju te tko su primatelji podataka, također uključujući primatelje u trećim zemljama, koje se razumljive informacije o logici korištenoj u svakoj automatskoj obradi podataka i po potrebi predviđeni učinci takve obrade te bi trebala imati pravo uložiti žalbu nadzornom tijelu i znati njegove kontaktne podatke . Osobe čiji se podaci obrađuju trebale bi imati mogućnost dobiti primiti kopiju svojih osobnih podataka koji se obrađuju. [Am. 24]

(33)

Državama članicama trebalo bi omogućiti donošenje zakonodavnih mjera za odgađanje ili ograničavanje ili ispuštanje informacija o osobama čiji se podaci obrađuju ili pristupa njihovim osobnim podacima u takvoj mjeri da i sve dok takvo djelomično ili potpuno ograničavanje čini neophodnu i proporcionalnu mjeru u demokratskom društvu uz dužno poštovanje temeljnih prava i legitimnih interesa dotične osobe radi sprečavanja ometanja službenih ili sudskih istraga, istraga ili postupaka, izbjegavanja dovođenja u pitanje sprečavanja, otkrivanja, istrage i progona kaznenih djela ili radi izvršavanja kaznenopravnih sankcija, zaštite javne ili nacionalne sigurnosti ili zaštite osobe čiji se podaci obrađuju zaštite prava i sloboda ostalih. Nadzornik bi konkretnim i pojedinačnim ispitivanjem svakog slučaja trebao procijeniti treba li primijeniti djelomično ili potpuno ograničavanje prava pristupa. [Am. 25]

(34)

Svako odbijanje ili ograničavanje pristupa, uključujući činjenične ili zakonske razloge na kojima se ta odluka temelji, pismenim bi se putem trebalo priopćiti osobi čiji se podaci obrađuju.

(34a)

Svako ograničavanje prava osobe čiji se podaci obrađuju mora biti u skladu s Poveljom Europske unije o temeljnim pravima i Europskom konvencijom o zaštiti ljudskih prava, pojašnjenima sudskom praksom Suda Europske unije i Europskog suda za ljudska prava, a njime se posebno mora poštovati bit prava i sloboda. [Am. 26]

(35)

Ako su države članice usvojile zakonodavne mjere kojima potpuno ili djelomično ograničavaju pravo na pristup, osoba čiji se podaci obrađuju trebala bi imati pravo zatražiti od nadležnog nacionalnog nadzornog tijela da provjeri zakonitost obrade. Osoba čiji se podaci obrađuju trebala bi biti obaviještena o tome pravu. Kada nadzorno tijelo ostvaruje pristup u ime osobe čiji se podaci obrađuju, trebalo bi obavijestiti osobu čiji se podaci obrađuju barem o tome da je poduzelo sve neophodne provjere te joj priopćiti ishod glede zakonitosti predmetne obrade. Nadzorno bi tijelo također trebalo obavijestiti osobu čiji se podaci obrađuju o njezinu pravu na pravni lijek. [Am. 27]

(36)

Svaka osoba trebala bi imati pravo na ispravak netočnih ili nezakonito obrađenih osobnih podataka o sebi i pravo na njihovo brisanje kada obrada takvih podataka nije u skladu s temeljnim načelima odredbama utvrđenima ovom Direktivom. O ispravku, dopunjavanju ili brisanju trebalo bi obavijestiti primatelje kojima su ti podaci otkriveni te treće strane od kojih potječu netočni podaci. Nadzornici te podatke također ne bi trebali prenositi dalje. Kada se osobne podatke obrađuje u okviru kaznene istrage i postupaka, ispravljanje, pravo na informiranje, pristup, brisanje i ograničavanje obrade mogu se provoditi primjenjivati u skladu s nacionalnim pravilima o sudskom postupanju o sudskim postupcima . [Am. 28]

(37)

Trebalo bi utvrditi sveobuhvatnu odgovornost nadzornika za svaku obradu osobnih podataka koju provodi nadzornik ili za obradu koja se provodi u njegovo ime. Nadzornik bi posebno trebao osigurati i biti obvezan moći dokazati usklađenost svakog postupka obrade s pravilima usvojenima u skladu s ovom Direktivom. [Am. 29]

(38)

Zaštita prava i sloboda osoba čiji se podaci obrađuju pri obradi osobnih podataka zahtijeva poduzimanje odgovarajućih tehničkih i organizacijskih mjera kako bi se osiguralo ispunjavanje zahtjeva ove Direktive. Kako bi se osigurala usklađenost s odredbama usvojenima u skladu s ovom Direktivom, nadzornik bi trebao usvojiti politike i provoditi odgovarajuće mjere koje posebno ispunjavaju načela zaštite podataka pomoću tehnike i integrirane zaštite.

(39)

Zaštita prava i sloboda osoba čiji se podaci obrađuju kao i odgovornost nadzornika i obrađivača zahtijevaju jasnu raspodjelu odgovornosti u okviru ove Direktive skladu s ovom Direktivom , uključujući i slučaj kada nadzornik utvrđuje svrhe, uvjete i sredstva obrade zajedno s ostalim nadzornicima ili kada se postupak obrade provodi u ime nadzornika. Osoba čiji se podaci obrađuju trebala bi imati pravo ostvariti svoja prava iz ove Direktive u odnosu na svakog zajedničkog nadzornika i protiv njega. [Am. 30]

(40)

Aktivnosti obrade trebao bi dokumentirati nadzornik ili obrađivač kako bi se nadzirala usklađenost postupka s ovom Direktivom. Svaki nadzornik i obrađivač trebali bi biti obvezni surađivati s nadzornim tijelom i na zahtjev dostaviti ovu dokumentaciju kako bi mogla poslužiti za nadzor postupaka obrade.

(40a)

Svaki postupak obrade osobnih podataka trebalo bi evidentirati kako bi se omogućili provjera zakonitosti obrade i samonadzor te osigurala odgovarajuća cjelovitost i sigurnost podataka. Tu bi evidenciju na zahtjev trebalo staviti na raspolaganje nadzornom tijelu radi praćenja usklađenosti s pravilima utvrđenima ovom Direktivom. [Am. 31]

(40b)

Nadzornik ili obrađivač trebao bi izvršiti procjenu učinka zaštite podataka ako je vjerojatno da postupci obrade zbog svoje prirode, opsega ili svrhe predstavljaju poseban rizik za prava i slobode osoba čiji se podaci obrađuju, a ta bi procjena posebno trebala uključivati predviđene mjere, jamstva i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje usklađenosti s ovom Direktivom. Procjene učinka trebale bi se odnositi na relevantne sustave i procese obrade osobnih podataka, ali ne na pojedinačne slučajeve. [Am. 32]

(41)

Kako bi se preventivnim mjerama osigurala učinkovita zaštita prava i sloboda osoba čiji se podaci obrađuju, u određenim bi se slučajevima nadzornik ili obrađivač trebao prije postupka obrade konzultirati s nadzornim tijelom. Osim toga, kad procjena učinka zaštite podataka pokazuje da postupci obrade mogu predstavljati visok stupanj određenih rizika za prava i slobode osoba čiji se podaci obrađuju, nadzorno tijelo trebalo bi prije početka postupka moći spriječiti riskantnu obradu koja nije u skladu s ovom Direktivom te dati prijedloge za rješavanje takve situacije. Takvo savjetovanje može se provesti tijekom pripreme zakonodavne mjere nacionalnog parlamenta ili mjere koja se temelji na takvoj zakonodavnoj mjeri i kojom se utvrđuje priroda obrade te predviđaju odgovarajuće mjere zaštite. [Am. 33]

(41a)

Kako bi se očuvala sigurnost i spriječila obrada kojom se krši ova Direktiva, nadzornik ili obrađivač trebali bi procijeniti rizike povezane s obradom i provesti mjere za njihovo ublažavanje. Tim bi se mjerama trebala osigurati odgovarajuća razina sigurnosti, uzimajući u obzir razvoj tehnologije i troškove njihove provedbe u odnosu na rizike i vrstu osobnih podataka koji se trebaju zaštititi. Pri utvrđivanju tehničkih standarda i organizacijskih mjera za osiguravanje sigurnosti obrade trebalo bi promicati tehnološku neutralnost. [Am. 34]

(42)

Povreda osobnih podataka može, ako se ne rješava pravovremeno i na odgovarajući način, rezultirati štetom te također povredom ugleda dotičnog pojedinca. dotičnom pojedincu prouzročiti znatan gospodarski gubitak i društvenu štetu, uključujući i zlouporabu identiteta . Stoga, čim nadzornik uoči da je takva povreda nastala, trebao bi je prijaviti nadležnom nacionalnom tijelu. Pojedince čije osobne podatke ili privatnost takva povreda može ugroziti trebalo bi bez nepotrebnog odgađanja obavijestiti kako bi im se omogućilo poduzimanje neophodnih mjera opreza. Povredu bi trebalo smatrati štetnom za osobne podatke ili privatnost pojedinca u slučajevima kada primjerice može rezultirati krađom identiteta ili prijevarom, fizičkom povredom, velikim poniženjem ili povredom ugleda u vezi s obradom osobnih podataka. Obavijest bi trebala sadržavati informacije o mjerama koje poduzima pružatelj radi rješavanja pitanja povrede te preporuke za dotičnog pretplatnika ili pojedinca. Osobu čiji se podaci obrađuju trebalo bi obavijestiti što je prije moguće, u tijesnoj suradnji s nadzornim tijelom i pridržavajući se smjernica koje je ono izdalo. [Am. 35]

(43)

Pri uspostavljanju detaljnih pravila o formatu i postupcima primjenjivima na prijave povreda osobnih podataka, dužnu pozornost trebalo bi pridati okolnostima povrede te također tome jesu li osobni podaci bili zaštićeni odgovarajućim mjerama tehničke zaštite kojima se učinkovito ograničava vjerojatnost zlouporabe. Povrh toga, takva pravila i postupci trebali bi uzeti u obzir legitimne interese nadležnih tijela u slučajevima kada rano otkrivanje može nepotrebno ometati istragu o okolnostima povrede.

(44)

Nadzornik ili obrađivač trebao bi odrediti osobu koja će pomagati nadzorniku ili obrađivaču pri nadziranju i dokazivanju usklađenosti s odredbama donesenima u skladu s ovom Direktivom. Ako nekoliko nadležnih tijela djeluje pod nadzorom središnjeg tijela, službenika za zaštitu podataka može zajednički trebalo bi imenovati barem to središnje tijelo. nekoliko subjekata nadležnog tijela. Službenici za zaštitu podataka moraju biti u stanju položaju obavljati svoje dužnosti i zadatke neovisno i učinkovito , posebno uspostavom pravila kojima se izbjegava sukob interesa u odnosu na druge zadatke koje obavlja službenik za zaštitu podataka . [Am. 36]

(45)

Države članice trebale bi osigurati da se prijenos podataka u treće zemlje neku treću zemlju provodi samo ako je taj konkretni prijenos neophodan za sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija te da ako je nadzornik u toj trećoj zemlji ili međunarodnoj organizaciji javno tijelo koje je nadležno u smislu ove Direktive. Prijenos podataka može se provoditi u slučajevima kada je Komisija utvrdila da dotična treća zemlja ili međunarodna organizacija jamči odgovarajuću razinu zaštite ili nakon što su pružene odgovarajuće mjere zaštite ili ako su pravno obvezujućim instrumentom osigurane odgovarajuće mjere zaštite . Podatke prenesene nadležnim javnim tijelima u trećim zemljama ne bi trebalo dalje obrađivati u svrhu drugačiju od one u koju su preneseni. [Am. 37]

(45a)

Daljnji prijenos od nadležnih tijela u trećim zemljama ili međunarodnih organizacija kojima su osobni podaci preneseni trebao bi biti dopušten samo ako je nužan za istu određenu svrhu kao i prvotni prijenos te ako je drugi primatelj također nadležno javno tijelo. Daljnji prijenos ne bi trebao biti dopušten za potrebe opće provedbe zakona. Nadležno tijelo koje je obavilo izvorni prijenos trebalo bi pristati na daljnji prijenos. [Am. 38]

(46)

Komisija može odlučiti s učinkom na cijelu Uniju da određene treće zemlje ili teritorij ili područje na kojemu se provodi obrada u trećoj zemlji, ili međunarodna organizacija pruži odgovarajuću razinu zaštite podataka a time i pravnu sigurnost te ujednačenost u cijeloj Uniji kad je riječ o trećim zemljama ili međunarodnim organizacijama za koje se smatra da pružaju takvu razinu zaštite. U takvim se slučajevima prijenosi osobnih podataka u ove zemlje mogu provesti bez prethodnog ishođenja bilo kakvog dodatnog odobrenja.

(47)

U skladu s temeljnim vrijednostima na kojima počiva Unija, posebno zaštitom ljudskih prava, Komisija bi trebala uzimati u obzir na kakav se način se u toj trećoj zemlji poštuju vladavina prava, pristup pravosuđu te međunarodne norme i standardi o ljudskim pravima.

(48)

Komisija bi isto tako trebala moći prepoznati kada treća zemlja ili teritorij ili područje na kojem se provodi obrada u toj trećoj zemlji ili međunarodna organizacija ne pruža odgovarajuću razinu zaštite podataka. Prijenos osobnih podataka u tu treću zemlju tada bi trebalo zabraniti osim kada se temelji na međunarodnom sporazumu, odgovarajućim mjerama zaštite ili odstupanju. Trebalo bi predvidjeti postupke savjetovanja između Komisije i takvih trećih zemalja ili međunarodnih organizacija. No takva odluka Komisije ne dovodi u pitanje mogućnost obavljanja prijenosa pravno obvezujućim instrumentima na temelju odgovarajućih mjera zaštite ili na temelju odstupanja utvrđenoga ovom Direktivom. [Am. 39]

(49)

Prijenose koji se ne temelje na takvoj odluci o primjerenosti trebalo bi odobriti samo u slučajevima kada su pravno obvezujućim instrumentom osigurane odgovarajuće mjere zaštite koje jamče zaštitu osobnih podataka ili u slučajevima kada je nadzornik ili obrađivač procijenio sve okolnosti vezane uz postupak prijenosa podataka ili postupke prijenosa skupa podataka i na temelju ove procjene smatra da postoje odgovarajuće mjere zaštite u vezi sa zaštitom kojima se jamči zaštita osobnih podataka. U slučajevima kada ne postoje razlozi za odobravanje prijenosa, trebalo bi prema potrebi omogućiti odstupanja kako bi se zaštitili vitalni interesi osobe čiji se podaci obrađuju ili druge osobe, ili kako bi se zaštitili legitimni interesi osobe čiji se podaci obrađuju kada je pravom države članice koja obavlja prijenos osobnih podataka tako predviđeno, ili kada je to neophodno za sprečavanje neposredne i ozbiljne prijetnje javnoj sigurnosti države članice ili treće zemlje, ili u pojedinim slučajevima u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija, ili u pojedinim slučajevima radi uspostavljanja, izvršavanja ili obrane pravnih zahtjeva. [Am. 40]

(49a)

U slučajevima kada ne postoje razlozi za odobravanje prijenosa, trebalo bi prema potrebi omogućiti odstupanja kako bi se zaštitili vitalni interesi osobe čiji se podaci obrađuju ili druge osobe, ili kako bi se zaštitili legitimni interesi osobe čiji se podaci obrađuju kada je pravom države članice koja obavlja prijenos osobnih podataka tako predviđeno, ili kada je to neophodno za sprečavanje neposredne i ozbiljne prijetnje javnoj sigurnosti države članice ili treće zemlje, ili u pojedinim slučajevima u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija, ili u pojedinim slučajevima radi uspostavljanja, izvršavanja ili obrane pravnih zahtjeva. Ta bi se odstupanja trebala tumačiti ograničeno i ne bi trebala omogućiti česte, opsežne i strukturne prijenose osobnih podataka ni masovne prijenose podataka koji bi trebali biti ograničeni na podatke koji su nužno potrebni. Osim toga, odluku o prijenosu trebala bi donijeti propisno ovlaštena osoba i taj se prijenos mora dokumentirati te bi na zahtjev trebao biti stavljen na raspolaganje nadzornom tijelu radi praćenja zakonitosti prijenosa. [Am. 41]

(50)

Prekogranično kretanje osobnih podataka može dodatno ugroziti sposobnost pojedinaca da ostvaruju prava na zaštitu podataka kako bi se zaštitili od nezakonitog korištenja ili otkrivanja tih podataka. Nadzorne vlasti istodobno mogu ustanoviti da nisu u mogućnosti obrađivati žalbe ili provoditi istrage vezane uz aktivnosti izvan svojih granica. Nedovoljne ovlasti za sprečavanje i preinaku i neusklađeni pravni režimi mogu također otežati njihova nastojanja ostvarivanja suradnje u prekograničnom kontekstu. Stoga postoji potreba za promicanjem bliskije suradnje među nadzornim tijelima za zaštitu podataka, što bi im pomoglo u razmjeni informacija s nadzornim tijelima za zaštitu podataka u inozemstvu.

(51)

Uspostava nadzornih tijela u državama članicama koja potpuno samostalno provode svoje funkcije ključna je sastavnica zaštite pojedinaca pri obradi njihovih osobnih podataka. Nadzorna bi tijela trebala nadzirati primjenu odredaba u skladu s ovom Direktivom i pridonositi njezinoj dosljednoj primjeni u cijeloj Uniji kako bi zaštitila fizičke osobe pri obradi njihovih osobnih podataka. U tu bi svrhu nadzorna tijela trebala surađivati jedna s drugimai s Komisijom. [Am. 42]

(52)

Nadzornome tijelu koje je u okviru Uredbe (EU)…/2012 već uspostavljeno u državama članicama, države članice mogu povjeriti nadležnost za zadatke koje trebaju provoditi nacionalna nadzorna tijela koja treba uspostaviti u skladu s ovom Direktivom.

(53)

Državama članicama trebalo bi odobriti uspostavljanje više od jednoga nadzornoga tijela, što bi odražavalo njihovu ustavnu, organizacijsku i administrativnu strukturu. Svakom nadzornom tijelu trebalo bi omogućiti odgovarajuće financijske i ljudske resurse, prostor i infrastrukturu , uključujući tehničke mogućnosti, iskustvo i vještine, koji su neophodni za učinkovito obavljanje njihovih zadataka, uključujući i zadatke vezane uz međusobnu pomoć i suradnju s ostalim nadzornim tijelima u cijeloj Uniji. [Am. 43]

(54)

Opći uvjeti za članove nadzornoga tijela trebali bi biti utvrđeni pravom u svakoj državi članici i njima bi posebno trebalo predvidjeti da te članove imenuje ili parlament ili , na temelju savjetovanja s parlamentom, vlada dotične države članice te bi trebali obuhvaćati pravila o osobnim kvalifikacijama članova i njihovu položaju. [Am. 44]

(55)

Premda se ova Direktiva također primjenjuje na aktivnosti nacionalnih sudova, nadležnost nadzornih tijela ne bi trebala pokrivati obradu osobnih podataka kada sudovi djeluju u okviru svoje sudske nadležnosti kako bi se zaštitila neovisnost sudaca u provođenju njihovih pravosudnih zadataka. No ovo izuzeće trebalo bi ograničiti na izvorne pravosudne aktivnosti u sudskim postupcima i ne primjenjivati ga na ostale aktivnosti u koje bi se suci u skladu s nacionalnim pravom mogli uključiti.

(56)

Kako bi osigurala usklađeno praćenje i provedbu ove Direktive u cijeloj Uniji, nadzorna bi tijela trebala imati iste dužnosti i učinkovite ovlasti u svakoj državi članici, uključujući učinkovite istražne ovlasti, ovlast za pristup svim osobnim podacima i svim informacijama potrebnima za obavljanje svake nadzorne funkcije, ovlast za pristup svim prostorijama nadzornika ili obrađivača podataka, uključujući ovlast za obradu podataka, ovlast obavljanja pravno obvezujuće intervencije , donošenja odluka i sankcija, posebno u slučaju žalbi pojedinaca, te ovlasti uključivanja u pravne postupke. [Am. 45]

(57)

Svako nadzorno tijelo trebalo bi razmotriti žalbe koje uloži bilo koja osoba čiji se podaci obrađuju i istražiti slučaj. Istragu pokrenutu na temelju žalbe, koja podliježe sudskom preispitivanju, trebalo bi provesti u mjeri koja je za određeni slučaj primjerena. Nadzorno tijelo trebalo bi obavijestiti osobu čiji se podaci obrađuju o tijeku i ishodu žalbe u razumnome roku. Ako slučaj zahtijeva daljnju istragu ili usklađivanje s drugim nadzornim tijelom, osobi čiji se podaci obrađuju trebalo bi pružiti informacije o trenutačnom stanju.

(58)

Nadzorna tijela trebala bi si međusobno pomagati u obavljanju svojih dužnosti i pružati si međusobnu pomoć kako bi zajamčila usklađenu primjenu i provedbu odredaba usvojenih u skladu s ovom Direktivom. Svako nadzorno tijelo trebalo bi biti spremno sudjelovati u zajedničkim operacijama. Nadzorno tijelo kojemu je upućen zahtjev trebalo bi biti dužno odgovoriti na njega u utvrđenom roku. [Am. 46]

(59)

Europski odbor za zaštitu podataka uspostavljen Uredbom (EU)…/2012 2014 trebao bi pridonositi usklađenoj primjeni ove Direktive u cijeloj Uniji, a usto i savjetovati Komusiju i institucije Unije, promicati suradnju među nadzornim tijelima u cijeloj Uniji te davati mišljenje Komisiji prilikom pripreme delegiranih i provedbenih akata koji se temelje na ovoj Direktivi . [Am. 47]

(60)

Svaka osoba čiji se podaci obrađuju trebala bi imati pravo uložiti žalbu nadzornome tijelu u bilo kojoj državi članici te pravo na pravni lijek ako smatra da su joj prava prema ovoj Direktivi povrijeđena ili u slučaju kada nadzorno tijelo ne reagira na žalbu ili ne djeluje kada je takvo djelovanje neophodno za zaštitu prava osobe čiji se podaci obrađuju.

(61)

Svako tijelo, organizacija ili udruga kojoj je cilj zaštiti prava i interese osoba čiji se podaci obrađuju s obzirom na zaštitu njihovih podataka te je osnovana Sva tijela, organizacije ili udruge koji djeluju u javnom interesu te su osnovani u skladu s pravom države članice trebali bi imati pravo uložiti žalbu ili ostvariti pravo na pravni lijek u ime osoba čiji se podaci obrađuju ako su ih te osobe propisno ovlastile, ili bi trebali imati pravo, neovisno o žalbi osobe čiji se podaci obrađuju, uložiti vlastitu žalbu ako smatraju da je došlo do povrede osobnih podataka. [Am. 48]

(62)

Svaka fizička ili pravna osoba trebala bi imati pravo na pravni lijek protiv odluka nadzornoga tijela koje se na nju odnose. Postupke protiv nadzornoga tijela trebalo bi pokretati pred sudovima država članica u kojima je to nadzorno tijelo uspostavljeno.

(63)

Države članice trebale bi osigurati da sudski postupci, kako bi bili učinkoviti, omoguće brzo donošenje mjera za otklanjanje ili sprečavanje povrede ove Direktive.

(64)

Svaku štetu , uključujući nenovčanu štetu, koju osoba može pretrpjeti kao rezultat nezakonite obrade trebao bi nadoknaditi nadzornik ili obrađivač, kojega se može izuzeti od odgovornosti ako dokaže da nije odgovoran za štetu, a posebno ako utvrdi pogrešku osobe čiji se podaci obrađuju ili u slučaju više sile. [Am. 49]

(65)

Sankcije bi trebalo nametnuti svakoj fizičkoj ili pravnoj osobi, neovisno o tome podliježe li privatnom ili javnom pravu, koja se ne pridržava ove Direktive. Države članice trebale bi zajamčiti učinkovite, proporcionalne i destimulirajuće sankcije i moraju poduzeti sve mjere za njihovu provedbu.

(65a)

Prijenos osobnih podataka drugim tijelima ili privatnim stranama u Uniji je zabranjen osim ako je u skladu sa zakonom, ako primatelj ima poslovni nastan u nekoj državi članici, ako ga ni jedan legitimni posebni interes osobe čiji se podaci obrađuju ne sprečava te ako je u određenom slučaju taj prijenos nužno potreban nadzorniku koji prenosi podatke radi obavljanja zadatka koji mu je zakonom dodijeljen ili sprečavanja neposredne i ozbiljne prijetnje javnoj sigurnosti ili sprečavanja ozbiljne povrede prava pojedinaca. Nadzornik bi trebao obavijestiti primatelja o svrsi obrade, a nadzorno tijelo o prijenosu. Primatelj bi također trebao biti obaviješten o ograničenjima pri obradi te osigurati da se ona poštuju. [Am. 50]

(66)

Kako bi se ostvarili ciljevi iz ove Direktive, odnosno zaštitila temeljna ljudska prava i slobode fizičkih osoba, posebno njihovo pravo na zaštitu osobnih podataka, te kako bi se osigurala slobodna razmjena osobnih podataka među nadležnim tijelima unutar Unije, trebalo bi na Komisiju prenijeti ovlast donošenja akata u skladu s člankom 290. Ugovora o funkcioniranju Europske unije. Delegirane akte ponajprije bi trebalo donositi na temelju obavijesti nadzornome tijelu o povredi osobnih podataka. trebalo bi donijeti osobito kako bi se dodatno definirali kriteriji i uvjeti postupaka obrade za koje je potrebna procjena učinka zaštite podataka, kriteriji i uvjeti povrede podataka te oni koji se odnose na odgovarajuću razinu zaštite koju osigurava treća zemlja ili teritorij ili sektor na kojemu se vrši obrada u toj trećoj zemlji ili međunarodna organizacija. Posebno je Osobito važno da Komisija tijekom svog pripremnog pripremnoga rada provede odgovarajuća savjetovanja, također uključujući i ona na stručnoj razini, naročito s Europskim odborom za zaštitu podataka . . Kod pripremanja i sastavljanja delegiranih akata Komisija bi trebala osigurati istodobnu, pravovremenu i primjerenu dostavu relevantnih dokumenata Europskom parlamentu i Vijeću. [Am. 51]

(67)

Kako bi se osigurali jedinstveni uvjeti provedbe ove Direktive kad je riječ o dokumentaciji od strane nadzornika i obrađivača, u pogledu sigurnosti obrade, osobito vezane uz standarde u pogledu standarda šifriranja, obavještavanju i obavještavanja nadzornog tijela o povredi osobnih podataka nadzornome tijelu i odgovarajućoj razini zaštite osiguranoj od strane treće zemlje ili teritorija ili područja na kojemu se obrada unutar te treće zemlje provodi, ili međunarodne organizacije, , provedbene ovlasti provedbe trebalo bi povjeriti dodijeliti Komisiji. Te bi se ovlasti trebalo bi provoditi trebale izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. kojom se utvrđuju pravila i opća načela vezana uz mehanizme kojima države članice nadziru provedbu izvršnih ovlasti od strane Komisije  (6). [Am. 52]

(68)

Postupak ispitivanja trebalo bi primjenjivati za donošenje mjera u pogledu sigurnosti obrade i obavještavanja vezanih uz dokumentaciju nadzornika i obrađivača, sigurnost obrade, obavještavanje nadzornog tijela o povredi osobnih podataka , pod uvjetom da nadzornome tijelu, odgovarajuću razinu zaštite osiguranu od strane treće zemlje ili teritorija ili područja na kojemu se obrada unutar te treće zemlje provodi, ili međunarodne organizacije ako su ti akti općeg opsega imaju opće područje primjene . [Am. 53]

(69)

Komisija bi trebala prihvatiti provedbene akte koji se mogu odmah primijeniti ako za to postoje hitni razlozi, kada u propisno opravdanim slučajevima treća zemlja ili teritorij ili područje na kojemu se u toj trećoj zemlji provodi obrada, ili međunarodna organizacija ne jamči odgovarajuću razinu zaštite. [Am. 54]

(70)

Budući da države članice ne mogu u dostatnoj mjeri ostvariti ciljeve ove Direktive, a to su zaštita temeljnih prava i sloboda fizičkih osoba, posebno njihova prava na zaštitu osobnih podataka i osiguranje slobodne razmjene osobnih podataka među nadležnim tijelima unutar Unije , nego se zbog opsega i učinka djelovanja mogu bolje ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti kao što je utvrđeno člankom 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti iz navedenoga članka kao što je utvrđeno tim člankom, ova Direktiva ne prelazi okvire onog granice onoga što je neophodno kako bi ostvarila taj cilj potrebno za ostvarivanje tih ciljeva . Države članice mogu osigurati više standarde od onih koji su utvrđeni ovom Direktivom. [Am. 55]

(71)

Okvirnu bi se odluku 2008/977/JHA ovom Direktivom trebalo staviti izvan snage.

(72)

Posebne odredbe u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija u aktima Unije usvojenima prije datuma donošenja ove Direktive, kojima se uređuje obrada osobnih podataka među državama članicama ili pristup imenovanih tijela država članica informacijskim sustavima uspostavljenima u skladu s Ugovorima, trebale bi ostati nepromijenjene. Budući da se člankom 8. Povelje i člankom 16. UFEU-a predviđa da bi temeljno pravo na zaštitu osobnih podataka trebalo osigurati na dosljedan i homogen način diljem Unije, Komisija bi u roku od dvije godine nakon stupanja na snagu ove Direktive trebala procijeniti situaciju na području odnosa između ove Direktive i akata donesenih prije datuma njezina donošenja kojima se uređuje obrada osobnih podataka među državama članicama ili pristup imenovanih tijela država članica informacijskim sustavima uspostavljenima u skladu s Ugovorima te bi trebala dati odgovarajuće prijedloge u cilju osiguravanja dosljednih i homogenih pravnih propisa koji se odnose na obradu osobnih podataka u nadležnim tijelima ili pristup imenovanih tijela država članica informacijskim sustavima uspostavljenima u skladu s Ugovorima te obradu osobnih podataka od strane institucija, tijela, ureda i agencija Unije za potrebe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija u okviru područja primjene ove Direktive . kako bi ocijenila potrebu za usklađivanjem tih posebnih odredaba s ovom Direktivom. [Am. 56]

(73)

Kako bi se osigurala sveobuhvatna i usklađena zaštita osobnih podataka u Uniji, međunarodne sporazume koje su Unija ili države članice sklopile prije stupanja na snagu ove Direktive trebalo bi izmijeniti u skladu s ovom Direktivom. [Am. 57]

(74)

Ova Direktiva ne dovodi u pitanje pravila o suzbijanju seksualnog zlostavljanja i iskorištavanja djece te dječje pornografije, kao što je utvrđeno Direktivom 2011/93/EU Europskog parlamenta i Vijeća (7).

(75)

U skladu s člankom 6.a Protokola br.21 o stajalištu Ujedinjene Kraljevine i Irske s obzirom na područje slobode, sigurnosti i pravde, priloženog uz Ugovor o Europskoj uniji i Ugovor o funkcioniranju Europske unije, Ujedinjenu Kraljevinu i Irsku ne obvezuju pravila utvrđena ovom Direktivom ako Ujedinjenu Kraljevinu i Irsku ne obvezuju pravila koja uređuju oblike pravosudne suradnje u kaznenim stvarima ili policijske suradnje za koje se traži usklađenost s odredbama utvrđenima na temelju članka 16. Ugovora o funkcioniranju Europske unije.

(76)

U skladu s člancima 2. i 2.a Protokola br. 22 o stajalištu Danske, priloženog Ugovoru o Europskoj uniji i Ugovoru o funkcioniranju Europske unije, za Dansku ova Direktiva nije obvezujuća niti se ona na nju primjenjuje. S obzirom na to da ova Direktiva predstavlja daljnji razvoj šengenske pravne stečevine, u skladu s glavom V. trećeg dijela Ugovora o funkcioniranju Europske unije, Danska, u skladu s člankom 4. toga Protokola, u roku od šest mjeseci nakon donošenja ove Direktive odlučuje hoće li je prenijeti u svoje nacionalno pravo. [Am. 58]

(77)

Kad je u riječ o Islandu i Norveškoj, ova Direktiva predstavlja razvoj odredaba šengenske pravne stečevine u smislu Sporazuma između Vijeća Europske Unije te Republike Islanda i Kraljevine Norveške o njihovom pridruživanju provedbi, primjeni i razvoju šengenske pravne stečevine (8).

(78)

Kad je u riječ o Švicarskoj, ova Direktiva predstavlja razvoj odredaba šengenske pravne stečevine u smislu Sporazuma između Europske Unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju šengenske pravne stečevine (9).

(79)

Kad je riječ o Lihtenštajnu, ova Direktiva predstavlja razvoj odredaba šengenske pravne stečevine u smislu Protokola koji je sklopljen između Europske unije, Europske zajednice, Švicarske Konfederacije i Kneževine Lihtenštajn o priključivanju Kneževine Lihtenštajna Sporazumu između Europske unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju šengenske pravne stečevine (10).

(80)

Ova Direktiva poštuje temeljna prava i uvažava načela priznata Poveljom, kao što je navedeno u Ugovoru, a riječ je o pravu na poštovanje privatnog i obiteljskog života, pravu na zaštitu osobnih podataka, učinkovit pravni lijek i pravično suđenje. Ograničenja ovih prava u skladu su s člankom 52. stavkom 1. Povelje jer su nužna za ostvarivanje ciljeva od općeg interesa priznatih od strane Unije ili potrebe za zaštitom prava i sloboda drugih.

(81)

U skladu sa Zajedničkom političkom deklaracijom od 28. rujna 2011. država članica i Komisije o obrazloženjima (11) u opravdanim se slučajevima države članice pridružuju obavještavanju o svojim mjerama za prijenos s pomoću jednoga ili više dokumenata, kojima se objašnjava odnos između sastavnih dijelova Direktive i odgovarajućih dijelova nacionalnih instrumenata za prijenos. Uzimajući u obzir ovu Direktivu zakonodavac drži da je prijenos takvih dokumenata opravdan.

(82)

Ova Direktiva ne bi trebala sprečavati države članice da u nacionalne propise o kaznenom postupku uvode ostvarivanje prava osoba čiji se podaci obrađuju na informacije, pristup, ispravljanje, brisanje i ograničavanje svojih osobnih podataka obrađivanih tijekom kaznenih postupaka, kao i moguća ograničenja tih prava,

(a)

štite temeljna prava i slobode fizičkih osoba, a posebno njihovo pravo na zaštitu osobnih podataka i privatnosti ; te

(b)

osiguravaju da se razmjena osobnih podataka među nadležnim tijelima unutar Unije ne ograniči niti zabrani iz razloga povezanih sa zaštitom pojedinaca pri obradi osobnih podataka.

(a)

u okviru aktivnosti koja je izvan područja primjene zakonodavstva Unije, a posebno u vezi s nacionalnom sigurnošću;

(b)

od strane institucija, tijela, ureda i agencija Unije. [Am. 60]

(1)

„osoba čiji se podaci obrađuju” znači identificirana fizička osoba ili fizička osoba koju se može izravno ili neizravno identificirati sredstvima koja bi mogao koristiti nadzornik ili bilo koja druga fizička ili pravna osoba, posebno navođenjem identifikacijskog broja, podataka o lokaciji, mrežnih identifikatora ili jednog ili više čimbenika značajnih za tjelesni, fiziološki, genetski, mentalni, ekonomski, kulturni ili društveni identitet te osobe;

(2)

„osobni podaci” znači bilo koji podaci koji se odnose na fizičku osobu koja je identificirana ili ju je moguće identificirati („osoba čiji se podaci obrađuju”); osoba koju je moguće identificirati je osoba koju je moguće izravno ili neizravno identificirati, osobito pozivanjem na identifikator poput imena, identifikacijskog broja, podataka o lokaciji, jedinstvenog identifikatora ili na jedan ili više činitelja specifičnih za fizički, fiziološki, genetski, mentalni, gospodarski, kulturni, društveni ili rodni identitet te osobe;

(2a)

„pseudonimni podaci” znači osobni podaci koji se ne mogu povezati s određenom osobom čiji se podaci obrađuju bez korištenja dodatnih informacija dok god se takve dodatne informacije čuvaju odvojeno i dok su podložne tehničkim i organizacijskim mjerama za osiguravanje nepovezivanja;

(3)

„obrada” znači bilo koji postupak ili skup postupaka koji se provode nad osobnim podacima ili skupom osobnih podataka, bilo automatskim putem ili ne, kao što je prikupljanje, bilježenje, organiziranje, strukturiranje, pohrana, prilagođavanje ili mijenjanje, vraćanje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenje ili stavljanje na raspolaganje na drugi način, poravnavanje ili kombiniranje, zatim ograničavanje, brisanje ili uništavanje;

(3a)

„profiliranje” znači bilo koji oblik automatizirane obrade osobnih podataka radi procjene određenih osobnih karakteristika fizičke osobe ili radi analize ili predviđanja posebice u vezi s radnim učinkom te fizičke osobe, financijskom situacijom, lokacijom, zdravljem, osobnim sklonostima, pouzdanošću ili ponašanjem;

(4)

„ograničavanje obrade” znači obilježavanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti;

(5)

„sustav podataka” znači bilo koji strukturirani skup osobnih podataka koji su dostupni prema posebnim mjerilima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

(6)

„nadzornik” znači nadležno javno tijelo koje samo ili zajedno s drugima utvrđuje svrhu, uvjete i načine obrade osobnih podataka; ako su svrha, uvjeti i načini obrade utvrđeni zakonodavstvom Unije ili zakonodavstvom države članice, imenovanje nadzornika ili posebna mjerila za njegovo imenovanje mogu se utvrditi zakonodavstvom Unije ili zakonodavstvom države članice;

(7)

„obrađivač” znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo koje obrađuje osobne podatke u ime nadzornika;

(8)

„primatelj” znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo kojem se otkrivaju osobni podaci;

(9)

„povreda osobnih podataka” znači slučajno ili nezakonito uništavanje, gubitak, izmjena, neovlašteno otkrivanje kršenje sigurnosti uslijed kojeg dolazi do slučajnog ili nezakonitog uništavanja, gubitka, izmjene, neovlaštenog otkrivanja podataka ili dopuštenje pristupa osobnim podacima koji se prenose, pohranjuju ili obrađuju na bilo koji način;

(10)

„genetski podaci” znači svi podaci bilo koje vrste koji se odnose na osobine pojedinca koje se nasljeđuju ili stječu tijekom ranog prenatalnog razvoja;

(11)

„biometrijski podaci” znači bilo koji osobni podaci koji se odnose na tjelesne ili fiziološke osobine pojedinca ili na osobine vezane uz ponašanje, a koje omogućuju jedinstvenu identifikaciju, poput slika lica ili daktiloskopskih podataka;

(12)

„podaci o zdravstvenom stanju” znači bilo koji osobni podatak koji se odnosi na tjelesno ili duševno zdravlje pojedinca ili na pružanje zdravstvenih usluga pojedincu;

(13)

„dijete” znači svaka osoba mlađa od 18 godina;

(14)

„nadležna tijela” znači svako javno tijelo nadležno za sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija;

(15)

„nadzorno tijelo” znači javno tijelo koje je osnovala država članica u skladu s člankom 39. [Am. 61]

(a)

biti obrađeni pošteno i u skladu sa zakonom , pošteno, transparentno i na provjerljiv način u odnosu na osobu čiji se podaci obrađuju ;

(b)

biti prikupljeni u posebne, izričite i zakonite svrhe te da ih se dalje ne obrađuje na način koji bi bio nespojiv s tim svrhama;

(c)

biti primjereni relevantni te ne smiju biti pretjerani , relevantni i ograničeni na nužni minimum u odnosu na svrhu radi koje se obrađuju biti obrađeni samo i dok god se ta svrha ne može ispuniti obradom informacija koje ne uključuju osobne podatke;

(d)

biti točni i, po potrebi, ažurirani; potrebno je poduzeti sve razumne mjere kako bi se osobni podaci koji su netočni bez odgode izbrisali ili ispravili, uzimajući u obzir svrhu radi koje se obrađuju;

(e)

se čuvati u obliku koji omogućuje identifikaciju osoba čiji se podaci obrađuju, ne duže nego što je nužno u svrhe radi kojih se osobni podaci obrađuju;

(f)

se obrađivati uz odgovornost nadzornika koji mora osigurati osigurava i u stanju je dokazati postupanje u skladu s odredbama donesenima u skladu s ovom Direktivom.

(fa)

se obrađivati na način kojim se učinkovito omogućava osobi čiji se podaci obrađuju ostvarivanje njezinih prava opisanih u člancima od 10. do 17.;

(fb)

se obrađivati na način kojim se štite od neovlaštene i nezakonite obrade te od slučajnog gubitka, uništavanja ili oštećivanja primjenom odgovarajućih tehničkih ili organizacijskih mjera;

(fc)

ih obrađivati samo propisno ovlašteno osoblje nadležnih tijela kojemu su potrebni za obavljanje svojih zadataka. [Am. 62]

(a)

da je pristup dopušten samo propisno ovlaštenom osoblju nadležnih tijela pri obavljanju njihovih zadataka ako u određenom slučaju postoje opravdani razlozi vjerovati da će obrada osobnih podataka znatno doprinijeti sprečavanju, otkrivanju, istrazi i progonu kaznenih djela ili izvršavanju kaznenopravnih sankcija;

(b)

da zahtjev za pristup mora biti u pisanom obliku i da se mora pozivati na pravnu osnovu za zahtjev;

(c)

da pisani zahtjev mora biti dokumentiran te

(d)

da su primijenjeni zaštitni mehanizmi kako bi se osigurala zaštita temeljnih prava i sloboda u pogledu obrade osobnih podataka. Tim zaštitnim mehanizmima ne dovode se u pitanje posebni uvjeti pristupa osobnim podacima, kao što je sudsko ovlaštenje u skladu sa zakonodavstvom države članice, te se tim mehanizmima ti uvjeti dopunjuju.

(a)

osobe za koje postoje ozbiljni razumni razlozi vjerovati da su počinile ili će počiniti kazneno djelo;

(b)

osobe osuđene za kazneno djelo;

(c)

žrtve kaznenog djela ili osobe za koje određene činjenice daju razlog vjerovati da bi ta mogle biti žrtva kaznenog djela te

(d)

treće strane u kaznenim djelima, kao što su osobe koje se može pozvati da svjedoče u istragama vezanima uz kaznena djela ili naknadnom kaznenom postupku, osoba koja može dati informacije o kaznenim djelima ili kontakt osoba ili suradnik osobe iz stavaka (a) i (b); i

(e)

osobe koje se ne ubrajaju ni u jednu od gore spomenutih kategorija.

(a)

dok je to nužno za istragu ili progon određenog kaznenog djela radi procjene relevantnosti podataka za jednu od kategorija navedenih u stavku 1. ili

(b)

ako je takva obrada prijeko potrebna u ciljane preventivne svrhe ili u svrhu kaznene analize, ako i sve dok je ta svrha zakonita, propisno definirana i specifična, a obrada strogo ograničena na procjenu relevantnosti podataka za jednu od kategorija navedenih u stavku 1. To podliježe redovitoj reviziji najmanje svakih šest mjeseci. Svaka druga upotreba je zabranjena.

(a)

za izvršavanje zadaće od strane obavljanje zadatka nadležnog tijela na temelju zakona u svrhe navedene u članku 1. stavku 1; ili

(b)

radi poštovanja zakonske obveze kojoj nadzornik podliježe; ili

(c)

radi zaštite vitalnih interesa osobe čiji se podaci obrađuju ili druge osobe; ili

(d)

za sprečavanje izravne i ozbiljne prijetnje javnoj sigurnosti.

(a)

ciljevi obrade;

(b)

osobni podaci koji se obrađuju;

(c)

posebne svrhe i načini obrade;

(d)

imenovanje nadzornika ili posebni kriteriji za imenovanje nadzornika;

(e)

kategorije propisno ovlaštenog osoblja nadležnih tijela za obradu osobnih podataka;

(f)

postupak koji se primjenjuje u obradi podataka;

(g)

moguća upotreba dobivenih osobnih podataka;

(h)

ograničenja razmjera diskrecije dodijeljene nadležnim tijelima u odnosu na aktivnosti obrade. [Am. 67]

(a)

je ta svrha nužna i razmjerna u demokratskom društvu te u skladu sa zakonodavstvom Unije ili države članice potrebna u zakonitu, propisno definiranu i specifičnu svrhu;

(b)

je obrada strogo ograničena na razdoblje koje nije duže od razdoblja potrebnog za određeni postupak obrade podataka;

(c)

je daljnja upotreba u druge svrhe zabranjena.

(a)

posebne svrhe i načini te konkretne obrade;

(b)

da je pristup dopušten samo propisno ovlaštenom osoblju nadležnih tijela pri obavljanju njihovih zadataka ako u određenom slučaju postoje opravdani razlozi vjerovati da će obrada osobnih podataka znatno doprinijeti sprečavanju, otkrivanju, istrazi i progonu kaznenih djela ili izvršavanju kaznenopravnih sankcija te

(c)

da su uspostavljeni zaštitni mehanizmi kako bi se osigurala zaštita temeljnih prava i sloboda u pogledu obrade osobnih podataka.

(a)

je obrada dopuštena zakonom koji predviđa odgovarajuće nužna i razmjerna za obavljanje zadatka nadležnih tijela u svrhe iz članka 1. stavka 1. na temelju zakonodavstva Unije ili zakonodavstva države članice kojim se osiguravaju posebne i primjerene mjere zaštite legitimnih interesa osobe čiji se podaci obrađuju, uključujući posebno odobrenje sudskog tijela ako je potrebno u skladu s nacionalnim zakonodavstvom ; ili

(b)

je obrada nužna da bi se zaštitili vitalni interesi osobe čiji se podaci obrađuju ili druge osobe; ili

(c)

se obrada odnosi na podatke koje je objavila osoba čiji se podaci obrađuju , pod uvjetom da su relevantni i nužni u svrhu kojoj se teži u određenom slučaju . [Am. 69]

(a)

identitetu i kontaktnim podacima nadzornika i službenika za zaštitu podataka;

(b)

pravnoj osnovi i svrhama obrade kojoj su ti osobni podaci namijenjeni;

(c)

razdoblju u kojem će osobni podaci biti pohranjeni;

(d)

postojanju prava da se od nadzornika zatraži pristup osobnim podacima koji se tiču osobe čiji se podaci obrađuju, njihov ispravak, brisanje ili ograničavanje obrade;

(e)

pravu na žalbu nadzornom tijelu iz članka 39. i kontaktnim podacima nadzornog tijela;

(f)

primateljima ili kategorijama primatelja osobnih podataka, uključujući i primatelje u trećim zemljama ili međunarodnim organizacijama i o tome tko je ovlašten imati pristup tim podacima na temelju zakona dotične treće zemlje ili pravila dotične međunarodne organizacije, postojanju ili nepostojanju odluke Komisije o odgovarajućoj razini zaštite ili, u slučaju prijenosa iz članka 35. ili 36., sredstvima za dobivanje kopije odgovarajuće mjere zaštite za prijenos ;;

(fa)

ako nadzornik obrađuje osobne podatke kako je opisano u članku 9. stavku 1., informacijama o postojanju obrade za mjeru tipa na koji se upućuje u članku 9. stavku 1. i željenim učincima te obrade na osobu čiji se podaci obrađuju, informacije o logici korištenoj za profiliranje i pravu na dobivanje ljudske ocjene;

(fb)

informacijama o sigurnosnim mjerama poduzetim za zaštitu osobnih podataka;

(g)

sve dodatne informacije potrebne kako bi se osigurala poštena obrada u odnosu na osobu čiji se podaci obrađuju, uzimajući u obzir posebne okolnosti u kojima se obrađuju osobni podaci.

(a)

u trenutku kada se osobni podaci prikupe od osobe čiji se podaci obrađuju, ili

(b)

ako se osobni podaci ne prikupljaju od osobe čiji se podaci obrađuju, u trenutku bilježenja ili u razumnom vremenskom roku nakon prikupljanja, uzimajući u obzir posebne okolnosti u kojima se podaci obrađuju.

(a)

kako bi se izbjeglo ometanje službenih, sudskih ili drugih istraga ili postupaka;

(b)

kako bi se izbjeglo dovođenje u pitanje sprečavanja, otkrivanja, istraživanja i progona kaznenih djela ili za izvršavanje kaznenopravnih sankcija;

(c)

kako bi se zaštitila javna sigurnost;

(d)

kako bi se zaštitila nacionalna sigurnost;

(e)

kako bi se zaštitila prava i slobode drugih.

(- a)

obavijesti o osobnim podacima koji se obrađuju i svim drugim dostupnim informacijama u pogledu njihova izvora i, po potrebi, razumljivim informacijama o logici korištenoj u svakoj automatskoj obradi podataka;

(- aa)

važnosti i predviđenim posljedicama takve obrade, barem u slučaju mjera navedenih u članku 9.

(a)

svrsi obrade i pravnoj osnovi obrade ;

(b)

kategorijama dotičnih osobnih podataka;

(c)

primateljima ili kategorijama primatelja kojima su otkriveni osobni podaci, a posebno primateljima u trećim zemljama;

(d)

razdoblju u kojem će osobni podaci biti pohranjeni;

(e)

postojanju prava da se od nadzornika zatraži ispravak, brisanje ili ograničavanje obrade osobnih podataka koji se tiču osobe čiji se podaci obrađuju;

(f)

pravu na žalbu nadzornom tijelu i kontaktnim podacima nadzornog tijela;

(g)

osobnim podacima koji se obrađuju i o svim dostupnim informacijama o njihovom izvoru.

(a)

kako bi se izbjeglo ometanje službenih, sudskih ili drugih istraga ili postupaka;

(b)

kako bi se izbjeglo dovođenje u pitanje sprečavanja, otkrivanja, istrage i progona kaznenih djela ili izvršavanja kaznenopravnih sankcija;

(c)

kako bi se zaštitila javna sigurnost;

(d)

kako bi se zaštitila nacionalna sigurnost;

(e)

kako bi se zaštitila prava i slobode drugih.

(a)

osoba čiji se podaci obrađuju osporava njihovu točnost, na razdoblje u kojem nadzornik može provjeriti točnost tih podataka;

(b)

osobni podaci moraju biti sačuvani kao dokaz ili za zaštitu vitalnih interesa osobe čiji se podaci obrađuju ili druge osobe.

(c)

se osoba čiji se podaci obrađuju protivi njihovu brisanju i umjesto toga traži njihovo ograničeno korištenje.

(a)

vođenje dokumentacije kako je navedeno u članku 23.;

(aa)

provođenje procjene učinka zaštite podataka u skladu s člankom 25.a;

(b)

poštovanje zahtjeva za prethodno savjetovanje u skladu s člankom 26.;

(c)

provedbu zahtjeva za sigurnost podataka koji su određeni člankom 27.;

(d)

imenovanje službenika za zaštitu podataka u skladu s člankom 30.

(da)

po potrebi, sastavljanje i provedbu posebnih mjera zaštite u vezi s obradom osobnih podataka djece.

(a)

djeluje samo prema uputama nadzornika;

(b)

zapošljava osoblje koje se složilo da podliježe obvezi povjerljivosti ili zakonski podliježe obvezi povjerljivosti;

(c)

poduzima sve potrebne mjere u skladu s člankom 27.;

(d)

angažira drugog obrađivača samo uz dozvolu nadzornika i stoga na vrijeme obavještava nadzornika o namjeri da angažira drugog obrađivača kako bi ovaj imao vremena uložiti prigovor;

(e)

ako je moguće, s obzirom na prirodu obrade, u dogovoru s nadzornikom određuje nužne tehničke i organizacijske preduvjete za ispunjenje nadzornikove obveze da odgovori na zahtjeve za korištenje prava osobe čiji se podaci obrađuju utvrđenih u poglavlju III.;

(f)

pomaže nadzorniku kako bi se osigurala usklađenost s obvezama u skladu s člancima 25.a do 29.;

(g)

vraća sve rezultate nadzorniku na kraju obrade, ne obrađuje osobne podatke na drugi način i briše postojeće kopije osim ako pravo Unije ili države članice ne propisuje pohranjivanje podataka;

(h)

nadzorniku i nadzornom tijelu ustupa sve informacije potrebne za provjeru usklađenosti s obvezama utvrđenim ovim člankom;

(i)

uzima u obzir načelo tehničke i integrirane zaštite podataka.

(a)

ime i kontaktne podatke nadzornika ili svakog zajedničkog nadzornika ili obrađivača;

(aa)

pravno obvezujući sporazum u slučaju zajedničkih obrađivača; popis obrađivača i aktivnosti koje provode obrađivači;

(b)

svrhu obrade;

(ba)

indikaciju dijelova organizacije nadzornika ili obrađivača kojima je povjerena obrada osobnih podataka za pojedinu svrhu;

(bb)

opis kategorije ili kategorija subjekata podataka i podataka ili kategorija podataka koji se na njih odnose;

(c)

primatelje ili kategorije primatelja osobnih podataka;

(ca)

prema potrebi, informacije o postojanju profiliranja, mjerama koje se temelje na oblikovanju profila i mehanizmima za prigovor na profiliranje;

(cb)

lako razumljive informacije o logici svake automatizirane obrade;

(d)

podatke o prijenosu podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije i pravnu osnovu za prijenos podataka; podrobno objašnjenje daje se kad se prijenos vrši na temelju članaka 35 . ili 36. ove Direktive;

(da)

rokove za brisanje raznih kategorija podataka;

(db)

rezultate provjere mjera iz članka 18. stavka 1.;

(dc)

pravnu osnovu za postupak obrade kojem su podaci namijenjeni.

(a)

obrada osobnih podataka u opsežnim sustavima podataka za potrebe sprečavanja, otkrivanja, istrage ili kaznenog progona kaznenih djela i izvršavanja kaznenopravnih sankcija;

(b)

obrada posebnih kategorija osobnih podataka na koje se upućuje u članku 8., osobnih podataka djece i biometrijskih podataka i podataka o lokaciji za potrebe sprečavanja, otkrivanja, istrage ili kaznenog progona kaznenih djela i izvršavanja kaznenopravnih sankcija;

(c)

ocjena osobnih aspekata koji se odnose na fizičku osobu ili služe za analizu, a posebno za predviđanje ponašanja fizičke osobe, što se temelji na automatskoj obradi i vjerojatno može dovesti do mjera koje proizvode pravne učinke za pojedinca ili na njega znatno utječu;

(d)

nadzor javno dostupnih područja, posebno ako se koriste optičko-elektronički uređaji (video-nadzor); ili

(e)

drugi postupci obrade za koje je potrebno savjetovanje s nadzornim tijelom u skladu s člankom 26. stavkom 1.

(a)

sustavni opis predviđenih postupaka obrade;

(b)

procjenu neophodnosti i proporcionalnosti postupaka obrade u odnosu prema svrsi;

(c)

procjenu rizika za prava i slobode osoba čiji se podaci obrađuju i mjere predviđene za rješavanje tih rizika i što je moguće veće smanjenje količine osobnih podataka koji se obrađuju;

(d)

sigurnosne mjere i mehanizme za osiguravanje zaštite osobnih podataka i dokazivanje sukladnosti s odredbama utvrđenim ovom Direktivom uzimajući u obzir prava i legitimne interese osoba čiji se podaci obrađuju i drugih uključenih osoba;

(e)

opću naznaku vremenskog roka za brisanje različitih kategorija podataka;

(f)

ako je potrebno, popis predviđenih prijenosa podataka u treću zemlju ili međunarodnu organizaciju, uključujući identificiranje te treće zemlje ili međunarodne organizacije te, u slučaju prijenosa iz članka 36. stavka 2., dokumentaciju o odgovarajućoj zaštiti;

(a)

se obrađuju posebne kategorije procjena učinka zaštite podataka u skladu s člankom 25 . a upućuje na to da postupci obrade zbog svoje prirode, opsega i/ili svrhe vjerojatno predstavljaju visoku razinu specifičnih rizika ; ili navedene u članku 8.;

(b)

vrsta nadzorno tijelo smatra da je nužno provesti prethodno savjetovanje o specifičnim postupcima obrade, koji bi vjerojatno mogli predstavljati specifičan rizik za posebno zbog korištenja novih tehnologija, mehanizama ili postupaka, predstavlja posebne opasnosti za temeljna prava i slobode osoba čiji se podaci obrađuju zbog svoje prirode , opsega ili svrhe a posebno za zaštitu njihovih osobnih podataka.

(a)

neovlaštenim osobama zabraniti pristup opremi za obradu koja se koristi za obradu osobnih podataka (nadzor pristupa opremi);

(b)

spriječiti neovlašteno čitanje, kopiranje, mijenjanje ili uklanjanje nosača podataka (nadzor nosača podataka);

(c)

spriječiti neovlašteno unošenje podataka te neovlašteno pregledavanje, mijenjanje ili brisanje pohranjenih osobnih podataka (nadzor pohrane);

(d)

onemogućiti korištenje sustava automatizirane obrade podataka neovlaštenim osobama koje se koriste opremom za prijenos podataka (nadzor korisnika);

(e)

osigurati da osobe koje su ovlaštene za korištenje sustava automatizirane obrade podataka imaju pristup samo podacima koji su predviđeni njihovim odobrenjem za pristup (nadzor pristupa podacima);

(f)

osigurati mogućnost da se provjeri i utvrdi kojim tijelima su osobni podaci preneseni ili bi mogli biti preneseni ili stavljeni na raspolaganje korištenjem opreme za prijenos podataka (nadzor prijenosa);

(g)

osigurati mogućnost da se naknadno provjeri i utvrdi koji su osobni podaci uneseni u sustave automatizirane obrade podataka te tko ih je i kada unio (nadzor unosa);

(h)

spriječiti neovlašteno čitanje, kopiranje, mijenjanje ili brisanje osobnih podataka tijekom prijenosa osobnih podataka ili prijenosa nosača podataka (nadzor prijenosa);

(i)

osigurati mogućnost ponovne uspostave instaliranih sustava u slučaju prekida (spašavanje);

(j)

osigurati da sustav dobro funkcionira, da se pojave grešaka u funkcioniranju sustava prijave (pouzdanost) i da se pohranjeni osobni podaci ne mogu ugroziti zbog lošeg funkcioniranju sustava (cjelovitost).

(ja)

osigurati da u slučaju osjetljive obrade osobnih podataka u skladu s člankom 8. postoje dodatne mjere sigurnosti radi osiguravanja svijesti o situaciji u pogledu rizika i sposobnosti poduzimanja preventivnih, korektivnih i ublažavajućih mjera u gotovo stvarnom vremenu protiv slabih točaka ili zamijećenih incidenata koji bi mogli predstavljati rizik za podatke;

(a)

opisati priroda povrede osobnih podataka uključujući kategorije i broj dotičnih osoba čiji se podaci obrađuju te kategorije i broj dotičnih podataka;

(b)

navesti identitet i kontaktne podatke službenika za zaštitu podataka iz članka 30. ili drugu kontaktnu točku na kojoj se mogu dobiti dodatne informacije;

(c)

predložiti mjere kojima bi se ublažili mogući štetni učinci povrede osobnih podataka;

(d)

opisati moguće posljedice povrede osobnih podataka;

(e)

opisati mjere koje je nadzornik predložio ili poduzeo kao odgovor na povredu osobnih podataka i ublažavanje njezinih učinaka .

(a)

podizanje svijesti, izvještavanje i savjetovanje nadzornika ili obrađivača o njihovim obvezama u skladu s odredbama donesenima u skladu s ovom Direktivom , osobito glede tehničkih i organizacijskih mjera i postupaka, te dokumentiranje te aktivnosti i primljenih odgovora;

(b)

nadziranje provedbe i primjene politika u vezi sa zaštitom osobnih podataka, uključujući određivanje odgovornosti, izobrazbu osoblja uključenog u postupke obrade i povezane revizije;

(c)

nadziranje provedbe i primjene odredbi donesenih u skladu s ovom Direktivom, posebice u vezi sa zahtjevima za integriranu strategiju zaštite podataka, tehničku zaštitu podataka i sigurnost podataka te u vezi s informiranjem osoba čiji se podaci obrađuju i njihovim zahtjevima za ostvarivanje vlastitih prava u skladu s odredbama donesenima u skladu s ovom Direktivom;

(d)

osiguranje vođenja dokumentacije kako je navedeno u članku 23.;

(e)

nadziranje dokumentiranja i obavještavanja o slučajevima povrede osobnih podataka u skladu s člancima 28. i 29.;

(f)

nadziranje provođenja procjene učinka zaštite podataka od strane nadzornika ili obrađivača te prijave za prethodno savjetovanje s nadzornim tijelom ako je to potrebno u skladu s člankom 26. stavkom 1. ;

(g)

nadziranje odgovaranja na zahtjeve nadzornog tijela te, u okviru nadležnosti službenika za zaštitu podataka, suradnja s nadzornim tijelom na njegov zahtjev ili na vlastitu inicijativu;

(h)

djelovanje kao kontaktna točka za nadzorno tijelo za pitanja u vezi s obradom te, ako je potrebno, savjetovanje s nadzornim tijelom na vlastitu inicijativu. [Am. 95]

(a)

je taj specifičan prijenos nužan radi sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija; i

(aa)

se podaci daju nadzorniku u trećoj zemlji ili međunarodnoj organizaciji koji predstavlja javno tijelo nadležno za potrebe utvrđene u članku 1. stavku 1.; i

(ab)

uvjete utvrđene u ovom poglavlju ispunjavaju i nadzornik i obrađivač, a to podrazumijeva i daljnji prijenos osobnih podataka iz treće zemlje ili međunarodne organizacije drugoj trećoj zemlji ili drugoj međunarodnoj organizaciji; te da

(b)

nadzornik i obrađivač djeluju u skladu s uvjetima utvrđenima ovim poglavljem. ostalim odredbama donesenim na temelju ove Direktive; i

(ba)

razina zaštite osobnih podataka pojedinaca zajamčena u Uniji ovom Direktivom nije ugrožena; te da

(bb)

je Komisija na temelju uvjeta i postupka iz članka 34. odlučila da predmetna treća zemlja ili međunarodna organizacija osiguravaju odgovarajuću razinu zaštite; ili

(bc)

su pravno obvezujućim instrumentom kako se upućuje u članku 35. osigurane odgovarajuće mjere zaštite u pogledu zaštite osobnih podataka;

(a)

daljnji prijenos neophodan je za istu specifičnu svrhu kao i izvorni transfer; i

(b)

nadležno tijelo koje je obavilo izvorni prijenos odobrava daljnji prijenos. [Am. 96]

(a)

vladavinu prava, relevantno važeće zakonodavstvo, kako opće tako i sektorsko, uključujući ono o javnoj sigurnosti, obrani, nacionalnoj sigurnosti i kaznenom pravu te provedbu tog zakonodavstva i sigurnosne mjere koje se poštuju u toj zemlji ili međunarodnoj organizaciji, presedane iz sudske prakse kao i djelotvorna i ostvariva prava, uključujući djelotvornu upravnu i sudsku zaštitu osobe čiji se podaci obrađuju, naročito za one koje imaju boravište u Uniji i čiji se osobni podaci prenose;

(b)

postojanje i učinkovito djelovanje jednog ili više neovisnih nadzornih tijela u dotičnoj trećoj zemlji ili međunarodnoj organizaciji čija je odgovornost osigurati poštovanje propisa o zaštiti podataka, uključujući dovoljne ovlasti sankcioniranja, pružiti pomoć osobi čiji se podaci obrađuju i savjetovati je o ostvarivanju njezinih prava te surađivati s nadzornim tijelima Unije i država članica; te

(c)

međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela , posebice sve pravno obvezujuće konvencije ili instrumente u vezi sa zaštitom osobnih podataka .

(a)

su pravno obvezujućim instrumentom osigurane odgovarajuće mjere zaštite u pogledu zaštite osobnih podataka; ili

(b)

je nadzornik ili obrađivač procijenio sve okolnosti u vezi s prijenosom osobnih podataka i zaključio da postoje odgovarajuće mjere zaštite u pogledu zaštite osobnih podataka.

(a)

prijenos nužan da bi se zaštitili vitalni interesi osobe čiji se podaci obrađuju ili druge osobe; ili

(b)

prijenos nužan da bi se zaštitili legitimni interesi osobe čiji se podaci obrađuju kada je zakonodavstvom države članice koja obavlja prijenos osobnih podataka tako predviđeno; ili

(c)

prijenos podataka ključan da bi se spriječila neposredna i ozbiljna prijetnja javnoj sigurnosti države članice ili treće zemlje; ili

(d)

prijenos nužan u pojedinačnim slučajevima radi sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija; ili

(e)

prijenos nužan u pojedinačnim slučajevima radi uspostave, izvršenje ili obrane zakonskog prava u vezi sa sprečavanjem, istragom, otkrivanjem ili progonom posebnog kaznenog djela ili izvršavanjem posebne kaznenopravne sankcije.

(a)

razvile djelotvorne mehanizme međunarodne suradnje kako bi se olakšalo osiguralo provođenje zakonodavstva za zaštitu osobnih podataka; [Am. 101]

(b)

osigurale međunarodnu uzajamnu pomoć u primjeni zakonodavstva o zaštiti osobnih podataka, uključujući obavještavanjem, upućivanjem žalbi, pomoći u istragama i razmjenom informacija, u skladu s odgovarajućim mjerama zaštite osobnih podataka i drugim temeljnim pravima i slobodama;

(c)

uključile relevantne dionike u rasprave i aktivnosti čiji je cilj produbiti međunarodnu suradnju u primjeni zakonodavstva o zaštiti osobnih podataka;

(d)

promicale razmjenu i dokumentaciju zakonodavstva i prakse u vezi sa zaštitom osobnih podataka.

(da)

razjasnilo i savjetovalo o sukobima nadležnosti s trećim zemljama. [Am. 102]

6.

Svaka država članica osigurava da nadzorno tijelo obavezno raspolaže vlastitim osobljem koje imenuje i kojim upravlja voditelj nadzornog tijela.

(a)

osnivanje i status nadzornog tijela u skladu s člancima 39. i 40.;

(b)

kvalifikacije, iskustvo i vještine koji su potrebni za izvršavanje dužnosti članova nadzornog tijela;

(c)

pravila i postupke za imenovanje članova nadzornog tijela te pravila o radnjama ili djelatnostima koje su nespojive sa službenim dužnostima;

(d)

trajanje mandata članova nadzornog tijela u razdoblju od najmanje četiri godine, osim za prvo imenovanje nakon stupanja na snagu ove Direktive kada to razdoblje može biti kraće;

(e)

mogu li se članovi nadzornog tijela ponovno imenovati;

(f)

pravila i opće uvjete kojima se uređuju dužnosti članova i osoblja nadzornog tijela;

(g)

pravila i postupke o isteku dužnosti članova nadzornog tijela uključujući i situaciju u kojoj oni više ne ispunjavaju uvjete koji su potrebni za vršenje dužnosti ili su počinili ozbiljnu povredu radne dužnosti.

(a)

nadzire i osigurava primjenu odredbi donesenih u skladu s ovom Direktivom i njezinih provedbenih mjera;

(b)

razmotri žalbe koje uloži svaka osoba čiji se podaci obrađuju ili udruga koja predstavlja osobu čiji se podaci obrađuju i koju je ta osoba propisno ovlastila u skladu s člankom 50., da istraži to pitanje u primjerenoj mjeri i u razumnom roku obavijesti osobu čiji se podaci obrađuju ili udrugu o tijeku i ishodu žalbe, posebno ako je nužna daljnja istraga ili koordinacija s drugim nadzornim tijelom;

(c)

provjeri zakonitost obrade podataka u skladu s člankom 14. i osobu čiji se podaci obrađuju u razumnom roku obavijesti o ishodu provjere ili razlozima zbog kojih provjera nije provedena;

(d)

drugim nadzornim tijelima pruži uzajamnu pomoć i osigura usklađenu primjenu i provođenje odredbi donesenih u skladu s ovom Direktivom;

(e)

provodi istrage , preglede i revizije bilo na vlastitu inicijativu, na temelju žalbe ili na zahtjev drugog nadzornog tijela te da dotičnu osobu čiji se podaci obrađuju, ako je osoba čiji se podaci obrađuju uložila žalbu, u razumnom roku obavijesti o ishodu istrage;

(f)

nadzire razvoj važnih događaja ako oni imaju utjecaj na zaštitu osobnih podataka, posebno razvoj informacijskih i telekomunikacijskih tehnologija;

(g)

daje savjete institucijama i tijelima država članica o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca pri obradi osobnih podataka;

(h)

daje savjete o postupcima obrade u skladu s člankom 26.;

(i)

sudjeluje u aktivnostima Europskog odbora za zaštitu podataka.

(a)

istražne ovlasti, kao što su ovlasti da pristupi podacima koji su predmet postupka obrade i ovlasti da prikupi sve informacije koje su potrebne za izvršavanje njegovih nadzornih zadaća; da obavijesti nadzornika ili obrađivača o navodnom kršenju odredbi kojima se uređuje obrada osobnih podataka i po potrebi nadzorniku ili obrađivaču naloži da na određen način ukloni to kršenje kako bi se poboljšala zaštita osobe čiji se podaci obrađuju.

(b)

djelotvorne ovlasti za posredovanje, kao što su izdavanje mišljenja prije provođenja obrade te osiguravanje prikladnog objavljivanja takvih mišljenja, nalaganje ograničenja, brisanja ili uništavanja podataka, uvođenje privremene ili potpune zabrane obrade, upozoravanje ili izricanje opomena nadzorniku ili upućivanje predmeta nacionalnim parlamentima ili drugim političkim institucijama; da naloži nadzorniku da postupi u skladu sa zahtjevom osobe čiji se podaci obrađuju da ostvari svoja prava iz ove Direktive, uključujući prava dana člancima 12. do 17. ako su ti zahtjevi odbijeni zbog kršenja tih odredbi ;

(c)

ovlast da sudjeluje u pravnim postupcima u slučaju povrede odredbi donesenih u skladu s ovom Direktivom ili da o toj povredi obavijesti sudske vlasti. da naloži nadzorniku ili obrađivaču da pruži informacije na temelju članka 10 . stavaka 1. i 2. te članaka 11., 28. i 29.;

(d)

da osigura postupanje u skladu s mišljenjem o prethodnim savjetovanjima na koja se upućuje u članku 26.;

(e)

upozori ili opomene nadzornika ili obrađivača;

(f)

naredi ispravljanje, brisanje ili uništenje svih podataka koji su bili obrađeni uz kršenje odredbi usvojenih na temelju ove Direktive te da o takvim mjerama obavijesti treće strane kojima su podaci bili otkriveni;

(g)

privremeno ili konačno zabrani obradu;

(h)

prekine prijenose podataka primatelju u trećoj zemlji ili međunarodnoj organizaciji;

(i)

da o tome obavijesti nacionalne parlamente, vlade i ostale javne institucije te javnost.

(a)

pristup svim osobnim podacima i svim informacijama potrebnim za obavljanje svojih dužnosti nadzora;

(b)

pristup svim prostorijama, uključujući svoj opremi i uređajima za obradu podataka, u skladu s nacionalnim zakonodavstvom, ako postoje razumne osnove za sumnju da se tamo obavljaju radnje koje predstavljaju kršenje odredbi usvojenih na temelju ove Direktive, ne dovodeći u pitanje sudsko odobrenje ako to iziskuje nacionalno zakonodavstvo.

(a)

ako nije nadležno za rješavanje zahtjeva; ili

(b)

ako bi poštovanje zahtjeva bilo nespojivo s odredbama usvojenim na temelju ove Uredbe.

(a)

savjetuje Komisiju institucije Unije o svim pitanjima vezanima uz zaštitu osobnih podataka u Uniji kao i o svakoj predloženoj izmjeni ove Direktive;

(b)

na zahtjev Komisije, Europskog parlamenta ili Vijeća ili na vlastitu inicijativu ili inicijativu jednog od svojih članova razmatra svako pitanje u vezi s primjenom odredbi donesenih u skladu s ovom Direktivom te izdaje smjernice, preporuke i primjere najbolje prakse upućene nadzornim tijelima kako bi se potakla dosljedna primjena tih odredbi , uključujući i primjenu ovlasti prisile ;

(c)

provjerava primjenu smjernica, preporuka i primjera najbolje prakse iz točke (b) i o tome redovito izvještava Komisiju;

(d)

Komisiji daje mišljenje o razini zaštite u trećim zemljama ili međunarodnim organizacijama;

(e)

promiče suradnju i djelotvornu bilateralnu i multilateralnu razmjenu informacija i prakse među nadzornim tijelima , uključujući koordinaciju zajedničkog djelovanja i ostalih zajedničkih aktivnosti, ako tako odluči slijedom zahtjeva jednog ili više nadzornih tijela ;

(f)

promiče zajedničke programe izobrazbe i olakšava razmjenu osoblja među nadzornim tijelima te po potrebi s nadzornim tijelima trećih zemalja ili međunarodnih organizacija;

(g)

promiče razmjenu znanja i dokumentacije s nadzornim tijelima za zaštitu podataka u cijelom svijetu, uključujući i zakonodavstvo i praksu u vezi sa zaštitom podataka.

(ga)

daje mišljenje Komisiji prilikom pripreme delegiranih i provedbenih akata koji se temelje na ovoj Direktivi;

(a)

prijenos je u skladu sa zakonodavstvom Unije ili sa zakonodavstvom država članica; i

(b)

primatelj ima boravište ili poslovni nastan u državi članici Europske unije; te

(c)

nikakvi zakoniti posebni interesi osobe čiji se podaci obrađuju ne sprečavaju prenošenje; i

(d)

prijenos je u konkretnom slučaju neophodan nadzorniku koji prenosi osobne podatke zbog: