Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 32016L0680

Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podatakate o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP

SL L 119, 4.5.2016, p. 89–131 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force: This act has been changed. Current consolidated version: 04/05/2016

ELI: http://data.europa.eu/eli/dir/2016/680/oj

4.5.2016   

HR

Službeni list Europske unije

L 119/89


DIREKTIVA (EU) 2016/680 EUROPSKOG PARLAMENTA I VIJEĆA

od 27. travnja 2016.

o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podatakate o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 16. stavak 2.,

uzimajući u obzir prijedlog Europske komisije,

nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,

uzimajući u obzir mišljenje Odbora regija (1),

u skladu s redovnim zakonodavnim postupkom (2),

budući da:

(1)

Zaštita pojedinaca s obzirom na obradu osobnih podataka temeljno je pravo. Člankom 8. stavkom 1. Povelje Europske unije o temeljnim pravima („Povelja”) te člankom 16. stavkom 1. Ugovora o funkcioniranju Europske unije (UFEU) utvrđuje se da svatko ima pravo na zaštitu svojih osobnih podataka.

(2)

Načela i pravila o zaštiti pojedinaca u vezi s obradom njihovih osobnih podataka trebala bi poštovati njihova temeljna prava i slobode, a posebno njihovo pravo na zaštitu osobnih podataka, bez obzira na nacionalnost ili boravište pojedinaca. Ovom Direktivom želi se doprinijeti uspostavi područja slobode, sigurnosti i pravde.

(3)

Zbog brzog tehnološkog razvoja i globalizacije pojavili su se novi izazovi u zaštiti osobnih podataka. Opseg prikupljanja i razmjene osobnih podataka značajno se povećava. Tehnologijom se omogućuje obrada osobnih podataka u dosada nedosegnutom opsegu u provođenju aktivnosti poput sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija.

(4)

Slobodni protok osobnih podataka među nadležnim tijelima u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje unutar Unije, te prijenosa takvih osobnih podataka u treće zemlje i međunarodne organizacije trebalo bi se olakšati uz istodobno osiguravanje visoke razine zaštite osobnih podataka. Te promjene zahtijevaju izgradnju čvrstog i usklađenijeg okvira za zaštitu osobnih podataka u Uniji koji bi podupirala dosljedna provedba.

(5)

Direktiva 95/46/EZ Europskog parlamenta i Vijeća (3) primjenjuje se na svaku obradu osobnih podataka u državama članicama u javnom i privatnom sektoru. No ona se ne primjenjuje na obradu osobnih podataka tijekom djelatnosti koja je izvan područja primjene prava Zajednice, kao što su djelatnosti u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje.

(6)

Okvirna odluka Vijeća 2008/977/PUP (4) primjenjuje se na područja pravosudne suradnje u kaznenim stvarima i policijske suradnje. Područje primjene te okvirne odluke ograničeno je na obradu osobnih podataka koje države članice jedna drugoj prenose ili stavljaju na raspolaganje.

(7)

Osiguravanje dosljedne i visoke razine zaštite osobnih podataka pojedinaca te olakšavanje razmjene osobnih podataka među nadležnim tijelima država članica ključno je kako bi se osigurala učinkovita pravosudna suradnja u kaznenim tvarima i policijska suradnja. U tu svrhu, razina zaštite prava i sloboda pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, trebala bi biti jednaka u svim državama članicama. Učinkovita zaštita osobnih podataka u cijeloj Uniji zahtijeva jačanje pravâ ispitanika i obveza onih koji osobne podatke obrađuju, kao i jednakovrijedne ovlasti praćenja i osiguravanja usklađenosti s pravilima za zaštitu osobnih podataka u državama članicama.

(8)

Člankom 16. stavkom 2. UFEU-a Europskom parlamentu i Vijeću nalaže se utvrđivanje pravila o zaštiti pojedinaca s obzirom na obradu osobnih podataka i pravila o slobodnom kretanju takvih podataka.

(9)

Na temelju toga, Uredbom (EU) 2016/679 Europskog parlamenta i Vijeća (5) utvrđuju se opća pravila za zaštitu pojedinaca u vezi s obradom osobnih podataka i za osiguravanje slobodnog kretanja osobnih podataka unutar Unije.

(10)

U Izjavi br. 21 o zaštiti osobnih podataka u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje, priloženoj završnom aktu međuvladine konferencije na kojoj je donesen Ugovor iz Lisabona, na konferenciji je potvrđeno da bi se određena pravila o zaštiti osobnih podataka i slobodnom kretanju osobnih podataka u područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje na temelju članka 16. UFEU-a mogla pokazati neophodnima zbog specifične prirode tih područja.

(11)

Stoga je primjereno da se ta područja urede posebnom direktivom kojom bi se utvrdila posebna pravila o zaštiti pojedinaca s obzirom na osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, poštujući posebnu prirodu tih aktivnosti. Takva nadležna tijela mogu obuhvaćati ne samo tijela javne vlasti poput pravosudnih tijela, policije ili drugih tijela za izvršavanje zakonodavstva, nego i svako drugo tijelo ili subjekt kojem je pravom države članice povjereno obavljanje javnih nadležnosti i javnih ovlasti za potrebe ove Direktive. Ako takvo tijelo ili subjekt obrađuje osobne podatke u svrhe koje nisu svrhe ove Direktive, primjenjuje se Uredba (EU) 2016/679. Uredba (EU) 2016/679 primjenjuje se stoga u slučajevima kad tijelo ili subjekt prikuplja osobne podatke za druge potrebe i dalje ih obrađuje radi poštovanja pravne obveze kojoj podliježe. Na primjer, za potrebe istrage, otkrivanja ili kaznenog progona kaznenih djela financijske institucije zadržavaju određene osobne podatke koje obrađuju te pružaju te osobne podatke samo nadležnim nacionalnim tijelima u posebnim slučajevima i u skladu s pravom države članice. Tijelo ili subjekt koji obrađuje osobne podatke u ime takvih tijela u području primjene ove Direktive trebao bi biti obvezan ugovorom ili drugim pravnim aktom i odredbama primjenjivima na izvršitelje obrade u skladu s ovom Direktivom, dok na primjenu Uredbe (EU) 2016/679 nema učinaka u kontekstu aktivnosti obrade osobnih podataka koju obavlja izvršitelj obrade izvan područja primjene ove Direktive.

(12)

Aktivnosti koje provodi policija ili druga tijela za izvršavanje zakonodavstva uglavnom su usmjerene na sprečavanje, istragu, otkrivanje ili progon kaznenih djela, među ostalim na policijske aktivnosti bez prethodnog znanja o tome je li incident kazneno djelo. Takve aktivnosti mogu obuhvaćati i izvršavanje ovlasti uporabom mjera prisile poput policijskih aktivnosti na prosvjedima, velikim sportskim događanjima ili neredima. One također uključuju održavanje zakona i reda, kao zadaće dodijeljene policiji ili drugim tijelima za izvršavanje zakonodavstva ako je potrebna zaštita od prijetnji javnoj sigurnosti i njihovo sprečavanje te prijetnji temeljnim interesima društva zaštićenima zakonom, što može dovesti do kaznenog djela. Države članice mogu nadležnim tijelima povjeriti druge zadaće koje se ne provode nužno za potrebe sprečavanja, istrage, otkrivanja ili progona kaznenih djela, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, tako da je obrada osobnih podataka za te druge potrebe, u mjeri u kojoj potpada pod područje primjene prava Unije, obuhvaćena područjem primjene Uredbe (EU) 2016/679.

(13)

Pojam kaznenog djela u smislu ove Direktive trebao bi biti autonoman pojam prava Unije kako ga tumači Sud Europske unije („Sud”).

(14)

Budući da se ova Direktiva ne bi trebala primjenjivati na obradu osobnih podataka u okviru djelatnosti koja nije obuhvaćena područjem primjene prava Unije, djelatnosti u vezi s nacionalnom sigurnosti, djelatnosti agencija ili službi zaduženih za pitanja nacionalne sigurnosti i obrada osobnih podataka u državama članicama pri obavljanju djelatnosti obuhvaćenih glavom V. poglavljem 2. Ugovora o Europskoj uniji (UEU) ne bi se smjele smatrati djelatnostima koje se obuhvaćene područjem primjene ove Direktive.

(15)

Kako bi se pojedincima osigurala jednaka razina zaštite putem prava koja su zakonito ostvariva u cijeloj Uniji te se spriječila odstupanja koja ometaju razmjenu osobnih podataka među nadležnim tijelima, ovom bi se Direktivom trebalo predvidjeti usklađena pravila za zaštitu i slobodno kretanje osobnih podataka obrađenih u svrhu sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje. Približavanje zakonodavstava država članica ne bi smjelo dovesti ni do kakvog smanjivanja zaštite osobnih podataka koju pružaju, već bi, upravo suprotno, trebalo težiti osiguravanju visoke razine zaštite unutar Unije. Države članice ne bi trebalo spriječiti u tome da osiguraju bolje zaštitne mjere za zaštitu prava i sloboda ispitanika u vezi s obradom osobnih podataka od strane nadležnih tijela od onih koje su utvrđene ovom Direktivom.

(16)

Ovom Direktivom ne dovodi se u pitanje načelo javnog pristupa službenim dokumentima. Na temelju Uredbe (EU) 2016/679 osobne podatke iz službenih dokumenata koje tijelo javne vlasti, javno ili privatno tijelo posjeduje u svrhu obavljanja zadaće u javnom interesu, to tijelo javne vlasti ili to javno ili privatno tijelo može otkriti u skladu s pravom Unije ili pravom države članice kojem to tijelo javne vlasti ili to javno ili privatno tijelo podliježe, kako bi se uskladio javni pristup službenim dokumentima s pravom na zaštitu osobnih podataka.

(17)

Zaštita koja se pruža ovom Direktivom u vezi s obradom osobnih podataka trebala bi se odnositi na pojedince bez obzira na njihovu nacionalnost ili boravište.

(18)

Radi sprečavanja stvaranja ozbiljnog rizika zaobilaženja propisa, zaštita pojedinaca trebala bi biti tehnološki neutralna i ne bi smjela ovisiti o upotrebljavanim tehnologijama. Zaštita pojedinaca trebala bi se primjenjivati na obradu osobnih podataka automatiziranim sredstvima, kao i na ručnu obradu, ako su osobni podaci pohranjeni ili ih se namjerava pohraniti u sustav pohrane. Dokumenti ili skupovi dokumenata, kao i njihove naslovne stranice, koji nisu strukturirani prema posebnim mjerilima ne bi trebali biti obuhvaćeni područjem primjene ove Direktive.

(19)

Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća (6) primjenjuje se na obradu osobnih podataka koju obavljaju institucije, tijela, uredi i agencije Unije. Uredba (EZ) br. 45/2001 i drugi pravni akti Unije primjenjivi na takvu obradu osobnih podataka trebali bi se prilagoditi načelima i pravilima utvrđenima u Uredbi (EU) 2016/679.

(20)

Ovom se Direktivom ne sprečava države članice da postupke i procedure obrade navedu u nacionalnim propisima o kaznenim postupcima u vezi s obradom osobnih podataka koju obavljaju sudovi i druga pravosudna tijela, posebno kad je riječ o osobnim podacima sadržanima u sudskoj odluci ili evidencijama povezanim s kaznenim postupcima.

(21)

Načela zaštite podataka trebala bi se primjenjivati na sve informacije koje se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi. Kako bi se odredilo može li se identitet pojedinca utvrditi, trebalo bi uzeti u obzir sva sredstva, poput primjerice selekcije, koja voditelj obrade ili bilo koja druga osoba mogu po svemu sudeći upotrijebiti u svrhu izravnog ili neizravnog utvrđivanja identiteta pojedinca. Kako bi se utvrdilo je li po svemu sudeći izgledno da se upotrebljavaju sredstva za utvrđivanje identiteta pojedinca, trebalo bi uzeti u obzir sve objektivne čimbenike, kao što su troškovi i vrijeme potrebno za utvrđivanje identiteta, uzimajući u obzir i tehnologiju dostupnu u vrijeme obrade i tehnološki razvoj. Načela zaštite podataka stoga se ne bi trebala primjenjivati na anonimne informacije, odnosno informacije koje se ne odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi ili na osobne podatke koji su učinjeni anonimnima na način da se identitet ispitanika više ne može utvrditi.

(22)

Tijela javne vlasti kojima se otkrivaju osobni podaci u skladu s pravnom obvezom izvršavanja njihovih službenih zadaća, poput poreznih i carinskih tijela, jedinica za financijsku istragu, neovisnih upravnih tijela ili tijela za financijska tržišta odgovorna za reguliranje i nadzor tržišta vrijednosnih papira, ne bi se smjela smatrati primateljima ako prime osobne podatke koji su potrebni za provedbu određene istrage u općem interesu, u skladu s pravom Unije ili pravom države članice. Zahtjevi za otkrivanje koje šalju tijela javne vlasti trebali bi uvijek biti u pisanom obliku, obrazloženi i povremeni i ne bi se trebali odnositi na čitav sustav pohrane ili dovesti do međupovezanosti sustavâ pohrane. Tijela javne vlasti trebala bi obrađivati takve osobne podatke u skladu s primjenjivim pravilima za zaštitu podataka ovisno o svrhama obrade.

(23)

Genetski podaci trebali bi se definirati kao osobni podaci u vezi s naslijeđenim ili stečenim genetskim obilježjima pojedinca koji proizlaze iz analize biološkog uzorka pojedinca o kojemu je riječ, osobito analize kromosoma, deoksiribonukleinske kiseline (DNK) ili ribonukleinske kiseline (RNK) ili analize drugog elementa koji omogućuje dobivanje jednakovrijedne informacije. S obzirom na složenost i osjetljivost genetskih informacija postoji veliki rizik da voditelj obrade u razne svrhe zlouporabi i ponovno uporabi te informacije. U načelu bi se trebalo zabraniti svaki oblik diskriminacije na temelju genetskih obilježja.

(24)

Osobni podaci koji se odnose na zdravlje trebali bi obuhvaćati sve podatke koji se odnose na zdravstveno stanje ispitanika, a koji otkrivaju informacije u vezi s prijašnjim, trenutačnim ili budućim fizičkim ili mentalnim zdravstvenim stanjem ispitanika. To uključuje informacije o pojedincu prikupljene tijekom registracije ili tijekom pružanja tom pojedincu zdravstvenih usluga pojedincu kako je navedeno u Direktivi 2011/24/EU Europskog parlamenta i Vijeća (7); broj, simbol ili oznaku koja je pojedincu dodijeljena u svrhu jedinstvene identifikacije za zdravstvene svrhe; informacije izvedene iz testiranja ili ispitivanja dijela tijela ili tjelesne tvari, među ostalim iz genetskih podataka i bioloških uzoraka; i bilo kakvu informaciju na primjer o bolesti, invalidnosti, riziku od bolesti, medicinskoj povijesti, kliničkom tretmanu ili fiziološkom ili biomedicinskom stanju ispitanika neovisno o njegovu izvoru, kao na primjer od liječnika ili drugog zdravstvenog djelatnika, bolnice, medicinskog uređaja ili dijagnostičkog testa in vitro.

(25)

Sve države članice učlanjene su u Međunarodnu organizaciju kriminalističke policije (Interpol). Kako bi ispunio svoju misiju, Interpol prima, pohranjuje i prosljeđuje osobne podatke radi pružanja pomoći nadležnim tijelima u sprečavanju i suzbijanju međunarodnog kriminala. Stoga je primjereno ojačati suradnju između Unije i Interpola poticanjem učinkovite razmjene osobnih podataka, osiguravajući pritom poštovanje temeljnih prava i sloboda u vezi s automatskom obradom osobnih podataka. Ako se osobni podaci prenose iz Unije Interpolu i zemljama koje imaju svoje predstavnike u Interpolu, trebala bi se primjenjivati ova Direktiva, a osobito odredbe o međunarodnim prijenosima. Ovom se Direktivom ne bi smjela dovoditi u pitanje posebna pravila utvrđena u Zajedničkom stajalištu Vijeća 2005/69/PUP (8) i Odluci Vijeća 2007/533/PUP (9).

(26)

Svaka obrada osobnih podataka mora biti zakonita, poštena i transparentna u odnosu na pojedince na koje se odnosi te provedena samo u posebne svrhe utvrđene zakonom. To samo po sebi ne sprečava tijela za izvršavanje zakonodavstva u obavljanju aktivnosti kao što su tajne istrage ili video nadzor. Takve aktivnosti mogu se provesti u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje pod uvjetom da su utvrđene zakonom i predstavljaju nužnu i razmjernu mjeru u demokratskom društvu uz dužno poštovanje legitimnih interesa dotičnog pojedinca. Načelo zaštite podataka u pogledu poštene obrade odvojeno je od pojma prava na pošteno suđenje, kako je utvrđeno u članku 47. Povelje i u članku 6. Europske konvencije za zaštitu ljudskih prava i temeljnih sloboda. Pojedince bi trebalo upoznati s rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom njihovih osobnih podataka i načinom ostvarivanja njihovih prava u vezi s obradom. Posebne svrhe obrade osobnih podataka osobito bi trebale biti izričite i legitimne te utvrđene u trenutku prikupljanja osobnih podataka. Osobni podaci trebali bi biti primjereni i bitni za potrebe za koje se obrađuju. Osobito bi trebalo osigurati da se ne prikupljaju suvišni osobni podaci i da se ne pohranjuju dulje nego što je nužno za potrebe za koje se obrađuju. Osobni podaci smjeli bi se obrađivati samo ako se svrha obrade opravdano ne može postići drugim sredstvima. Radi osiguravanja da se podaci ne drže dulje no što je potrebno, voditelj obrade trebao bi odrediti vremenske rokove za brisanje ili periodično preispitivanje. Države članice trebale bi utvrditi odgovarajuće zaštitne mjere za osobne podatke koji se pohranjuju na dulja razdoblja u svrhe arhiviranja u javnom interesu, u znanstvene, statističke ili povijesne svrhe.

(27)

Radi sprečavanja, istrage i progona kaznenih djela nužno je da nadležna tijela obrađuju osobne podatke prikupljene u kontekstu sprečavanja, istrage, otkrivanja ili progona posebnih kaznenih djela izvan tog konteksta kako bi stekla uvid u kriminalne aktivnosti te kako bi mogla povezati različita otkrivena kaznena djela.

(28)

Radi očuvanja sigurnosti u vezi s obradom i sprečavanja obrade kojom bi se kršila ova Direktiva, osobni podaci trebali bi se obrađivati na način da se osigura odgovarajuća razina sigurnosti i povjerljivosti, među ostalim sprečavanjem neovlaštenog pristupa osobnim podacima ili uporabe osobnih podataka i opreme koji se upotrebljavaju za obradu, te da se uzimaju u obzir najnovija raspoloživa dostignuća i tehnologija te troškovi provedbe u odnosu na rizike i vrstu osobnih podataka koji se trebaju zaštititi.

(29)

Osobni podaci trebali bi se prikupljati u posebne, izričite i zakonite svrhe u području primjene ove Direktive te ih se ne bi smjelo obrađivati u svrhe koje nisu u skladu sa svrhama sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje. Ako osobne podatke obrađuje isti ili drugi voditelj obrade u neku svrhu iz područja primjene ove Direktive koja je različita od one za koju su podaci prikupljeni, takva bi obrada trebala biti dopuštena pod uvjetima da je takva obrada odobrena u skladu s primjenjivim pravnim odredbama te da je nužna za tu drugu svrhu i razmjerna toj drugoj svrsi.

(30)

Trebalo bi primijeniti načelo točnosti podataka uzimajući u obzir prirodu i svrhu dotične obrade. Izjave koje sadržavaju osobne podatke temelje se, osobito u sudskim postupcima, na subjektivnoj percepciji pojedinaca i ne mogu uvijek provjeriti. Stoga se zahtjev za točnošću ne bi trebao odnositi na točnost izjave, već samo na činjenicu da je određena izjava dana.

(31)

Za obradu osobnih podataka na područjima pravosudne suradnje u kaznenim stvarima i policijske suradnje svojstveno je da se obrađuju osobni podaci koji se odnose na različite kategorije ispitanika. Stoga bi što je više moguće i ako je primjenjivo trebalo praviti jasnu razliku između osobnih podataka različitih kategorija ispitanika, primjerice: osumnjičenika; osoba osuđenih za kazneno djelo; žrtava i drugih strana, kao što su svjedoci; osobe koje posjeduju važne informacije ili kontakte; te pomagači osumnjičenika i osuđenih počinitelja kaznenih djela. Time se ne bi smjela spriječiti primjena prava pretpostavke nedužnosti kako je zajamčena Poveljom i Europskom konvencijom o ljudskim pravima, a kako se tumači u sudskoj praksi Suda i Europskog suda za ljudska prava.

(32)

Nadležna tijela trebala bi osigurati da se osobni podaci koji su netočni, nepotpuni ili više nisu ažurni ne prenose i ne stavljaju na raspolaganje. Kako bi osigurala zaštitu pojedinaca, točnost, potpunost ili mjeru u kojoj su osobni podaci ažurni te pouzdanost osobnih podataka koji se prenose ili stavljaju na raspolaganje, nadležna tijela trebala bi, koliko god je to moguće, dodati potrebne informacije u sve prijenose osobnih podataka.

(33)

Ako se ovom Direktivom upućuje na pravo države članice, pravnu osnovu ili zakonodavnu mjeru, to ne znači nužno da parlament mora donijeti zakonodavni akt, ne dovodeći u pitanje zahtjeve u skladu s ustavnim poretkom dotične države članice. Međutim, takvo pravo države članice, pravna osnova ili zakonodavna mjera trebala bi biti jasna i precizna, a njezina primjena trebala bi biti predvidljiva osobama na koje se primjenjuje sukladno sudskoj praksi Suda i Europskog suda za ljudska prava. U pravu države članice kojim se uređuje obrada osobnih podataka unutar područja primjene ove Direktive trebali bi se navesti barem ciljevi, osobni podaci koji se obrađuju, svrhe obrade i postupci za očuvanje cjelovitosti i povjerljivosti osobnih podataka te postupci za njihovo uništenje, čime bi se zajamčila dostatna zaštita od rizika od zlouporabe i proizvoljnosti.

(34)

Obrada osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, trebala bi obuhvaćati svaki postupak ili skup postupaka koji se provode na osobnim podacima ili skupovima osobnih podataka u te svrhe, bilo automatiziranim putem ili na drugi način, kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, usklađivanje ili kombiniranje, ograničavanje obrade, brisanje ili uništavanje. Posebno, pravila ove Direktive trebala bi se primjenjivati na prijenos osobnih podataka za potrebe iz ove Direktive primatelju koji ne podliježe ovoj Direktivi. Takav primatelj trebao bi obuhvaćati fizičku ili pravnu osobu, tijelo javne vlasti, agenciju ili bilo koje drugo tijelo kojem nadležno tijelo zakonito otkriva osobne podatke. Ako je osobne podatke izvorno prikupilo nadležno tijelo za neku od svrha iz ove Direktive, na obradu tih podataka u svrhe koje su različite od onih iz ove Direktive, ako je takva obrada odobrena pravom Unije ili pravom države članice, trebala bi se primjenjivati Uredba (EU) 2016/679. Posebno, pravila iz Uredbe (EU) 2016/679 trebala bi se primjenjivati na prijenos osobnih podataka za svrhe koje su izvan područja primjene ove Direktive. Na obradu osobnih podataka od strane primatelja koji nije nadležno tijelo niti djeluje kao takvo u smislu ove Direktive i kojem nadležno tijelo zakonito otkriva osobne podatke trebala bi se primjenjivati Uredba (EU) 2016/679. Pri provedbi ove Direktive države članice trebale bi također imati mogućnost dodatno precizirati primjenu pravila iz Uredbe (EU) 2016/679, podložno uvjetima koji su u njoj utvrđeni.

(35)

Kako bi bila zakonita, obrada osobnih podataka na temelju ove Direktive trebala bi biti nužna za obavljanje nekog zadatka nadležnog tijela u interesu javnosti na temelju prava Unije ili prava države članice u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje. Tim bi se aktivnostima trebala obuhvatiti zaštita ključnih interesa ispitanika. Ako je obavljanje zadaća sprečavanja, istraživanja, otkrivanja ili kaznenog progona kaznenih djela institucionalno zakonom dodijeljeno nadležnim tijelima, ona od pojedinaca smiju zatražiti da ispune podnesene zahtjeve ili to im narediti. U takvom slučaju privola ispitanika, kako je definirana u Uredbi (EU) 2016/679 ne bi smjela biti pravna osnova za obradu osobnih podataka od strane nadležnih tijela. Ako ispitanik mora ispuniti pravnu obvezu, on nema pravi i slobodan izbor, stoga se reakcija ispitanika ne bi mogla smatrati dovoljno slobodnim izrazom njegovih želja. To ne bi smjelo spriječiti države članice da zakonski predvide da ispitanik može pristati na obradu svojih osobnih podataka za potrebe iz ove Direktive, poput DNK testiranja u kaznenim istragama ili praćenja svoje lokacije pomoću elektroničkih oznaka za izvršavanje kaznenih sankcija.

(36)

Ako se pravom Unije ili pravom države članice koje se primjenjuje na nadležno tijelo koje prenosi podatke propisuju posebni uvjeti primjenjivi na obradu osobnih podataka u posebnim okolnostima, primjerice u pogledu uporabe oznaka za postupanje s dokumentima, države članice trebale bi osigurati da nadležno tijelo koje prenosi podatke primatelja takvih osobnih podataka obavijesti o tim uvjetima i o zahtjevu za poštovanje tih uvjeta. Takvi bi uvjeti, primjerice mogli obuhvaćati zabranu u pogledu daljnjeg prijenosa osobnih podataka drugima ili njihove upotrebe u druge svrhe, osim onih za koje su preneseni primatelju ili u pogledu obavijesti ispitaniku u slučaju ograničenja prava na informaciju bez prethodnog odobrenja nadležnog tijela koje prenosi podatke. Te bi se obveze trebale primjenjivati i na prijenose primateljima u trećim zemljama ili međunarodnim organizacijama koje obavlja nadležno tijelo koje prenosi podatke. Države članice trebale bi osigurati da nadležno tijelo koje prenosi podatke takve uvjete ne primjenjuje na primatelje u drugim državama članicama ni na druge agencije, urede i tijela osnovana na temelju glave V. poglavlja 4. i 5. UFEU-a, osim onih koji su primjenjivi na slične prijenose podataka u državi članici u kojoj se nalazi to nadležno tijelo.

(37)

Osobni podaci koji su po svojoj naravi posebno osjetljive prirode u pogledu temeljnih prava i sloboda zaslužuju posebnu zaštitu jer bi u okviru njihove obrade moglo doći do značajnih rizika za temeljna prava i slobode. Ti bi osobni podaci trebali obuhvatiti osobne podatke koji otkrivaju rasno ili etničko podrijetlo, pri čemu upotreba termina „rasno podrijetlo” u ovoj Direktivi ne podrazumijeva da Unija prihvaća teorije koje pokušavaju odrediti postojanje odvojenih ljudskih rasa. Takvi se osobni podaci ne bi smjeli obrađivati, osim ako se na obradu primjenjuju odgovarajuće zaštitne mjere u pogledu prava i sloboda ispitanika utvrđene zakonom te ako je dopuštena u slučajevima dopuštenima zakonom; a ako već nije dopuštena takvim zakonom da je obrada nužna radi zaštite životno važnih interesa ispitanika ili druge osobe; ili se obrada odnosi na podatke za koje je očito da ih je objavio ispitanik. Odgovarajuće zaštitne mjere u pogledu prava i sloboda ispitanika mogle bi, primjerice, obuhvaćati i mogućnost da se ti podaci prikupljaju samo u vezi s ostalim podacima dotičnog pojedinca, mogućnost da se prikupljeni podaci primjereno osiguravaju te stroža pravila za pristup osoblja nadležnog tijela podacima i zabranu prijenosa tih podataka. Obradu takvih podataka trebalo bi zakonom također dopustiti ako je ispitanik izričito pristao na obradu koja je za njega osobito intruzivna. Sama privola ispitanika, međutim, ne bi smjela biti pravna osnova za obradu takvih osjetljivih osobnih podatka od strane nadležnih tijela.

(38)

Ispitanik bi trebao imati pravo da se na njega ne odnosi odluka kojom se procjenjuju osobni aspekti u vezi s njim koja se isključivo temelji na automatiziranoj obradi i koja proizvodi štetne pravne učinke koji se na njega odnose ili na njega znatno utječu. U svakom slučaju na takvu bi se obradu trebale primjenjivati odgovarajuće zaštitne mjere, uključujući pružanje posebnih informacija ispitaniku i pravo na izravnu ljudsku intervenciju, posebno pravo da izrazi svoje stajalište, da dobije objašnjenje odluke donesene nakon takve procjene ida ospori tu odluku. Izrada profila koja dovodi do diskriminacije pojedinaca na temelju osobnih podataka koji su prema svojoj prirodi posebno osjetljivi u odnosu na temeljna prava i slobode trebala bi biti zabranjena na temelju uvjeta utvrđenih u člancima 21. i 52. Povelje.

(39)

S ciljem omogućivanja ispitaniku da ostvari svoja prava, svaka bi informacija ispitaniku trebala biti lako dostupna, među ostalim na internetskoj stranici voditelja obrade, te lako razumljiva, uporabom jasnog i jednostavnog jezika. Takve informacije trebale bi biti prilagođene potrebama ranjivih osoba kao što su djeca.

(40)

Trebalo bi predvidjeti modalitete kojima se olakšava ostvarivanje prava ispitanika u okviru odredaba donesenih na temelju ove Direktive, uključujući mehanizme za podnošenje zahtjeva te, ako je primjenjivo, besplatno ostvarivanje, osobito zahtjeva za pristup osobnim podacima, njihovo ispravljanje ili brisanje i ograničavanje obrade. Voditelj obrade trebao bi biti dužan odgovoriti na zahtjev ispitanika bez nepotrebne odgode, osim ako voditelj obrade primjeni ograničenja na prava ispitanika u skladu s ovom Direktivom. Osim toga, ako su zahtjevi očigledno neutemeljeni ili pretjerani, primjerice ako ispitanik neopravdano i opetovano traži informacije ili ako ispitanik zlouporabi svoje pravo na informacije, primjerice davanjem lažnih ili obmanjujućih informacija prilikom podnošenja zahtjeva, voditelj obrade trebao bi imati mogućnost naplatiti razumnu naknadu ili odbiti postupiti po zahtjevu.

(41)

Ako voditelj obrade zatraži dodatne informacije koje su potrebne radi potvrde identiteta ispitanika, te bi se informacije trebale obrađivati samo u tu određenu svrhu i ne bi se smjele pohranjivati dulje nego što je potrebno za tu svrhu.

(42)

Ispitaniku bi trebalo staviti na raspolaganje najmanje sljedeće informacije: identitet voditelja obrade, postojanje postupka obrade, svrhe obrade, pravo na podnošenje pritužbe i postojanje prava da se od voditelja obrade zatraži pristup obradi te ispravak ili brisanje osobnih podataka ili ograničavanje obrade. To bi se moglo obaviti na internetskoj stranici nadležnog tijela. Usto, u određenim slučajevima i kako bi mu se omogućilo ostvarivanje njegovih prava, ispitanika bi se trebalo obavijestiti o pravnoj osnovi za obradu te o tome koliko dugo će se ti podaci pohranjivati, u mjeri u kojoj su takve dodatne informacije potrebne, uzimajući u obzir određene okolnosti pod kojima se podaci obrađuju kako bi se zajamčila poštena obrada u odnosu na ispitanika.

(43)

Pojedinac bi trebao imati pravo pristupa prikupljenim podacima koji se na njega odnose te ostvarivati to pravo lako i u razumnim intervalima kako bi bio svjestan obrade i provjerio njezinu zakonitost. Svaki bi ispitanik stoga trebao imati pravo znati za i primiti obavijest o tome u koje se svrhe i na koje razdoblje podaci obrađuju te o primateljima podataka, uključujući one u trećim zemljama. Ako takve obavijesti uključuju informacije o izvoru osobnih podataka, tim se informacijama ne bi smio otkrivati identitet fizičkih osoba, a posebno povjerljivih izvora. Kako bi se to pravo poštovalo, dovoljno je da ispitanik ima pun sažetak tih podataka u razumljivom obliku, to jest obliku koji omogućuje da ispitanik sazna te podatke i provjeri da su točni i obrađeni u skladu s ovom Direktivom, kako bi imao mogućnost ostvariti prava koje su mu dodijeljena ovom Direktivom. Takav sažetak trebao bi se dati u obliku preslike osobnih podataka koji su u postupku obrade.

(44)

Države članice trebale bi imati mogućnost donošenja zakonodavnih mjera za odgađanje, ograničavanje ili ispuštanje informacija ispitanicima ili ograničavanje, u potpunosti ili djelomično, pristupa njihovim osobnim podacima u mjeri i dokle god takva mjera predstavlja nužnu i proporcionalnu mjeru u demokratskom društvu uz dužno poštovanje temeljnih prava i legitimnih interesa dotičnog pojedinca kako bi se izbjegla ometanja službenih ili pravnih ispitivanja, istraga ili postupaka te dovođenje u pitanje sprečavanja, istrage,otkrivanja ili progona kaznenih djela ili kako bi se izvršavale kaznene sankcije, zaštitila javna ili nacionalna sigurnost ili zaštitila prava i slobode drugih. Voditelj obrade trebao bi konkretnim i pojedinačnim ispitivanjem svakog slučaja procijeniti je li potrebno primijeniti djelomično ili potpuno ograničavanje prava pristupa.

(45)

Svako odbijanje ili ograničavanje pristupa trebalo bi se u načelu pisanim putem priopćiti ispitaniku i trebalo bi uključivati činjenične ili pravne razloge na kojima se ta odluka temelji.

(46)

Svako ograničavanje prava ispitanika mora biti u skladu s Poveljom i Europskom konvencijom o zaštiti ljudskih prava, kako se tumače u sudskoj praksi Suda odnosno Europskog suda za ljudska prava, te se njime posebno mora poštovati bit tih prava i sloboda.

(47)

Pojedinac bi trebao imati pravo na ispravak netočnih osobnih podataka koji se na njega odnose, posebno ako se odnose na činjenice, kao i pravo na njihovo brisanje ako obrada takvih podataka krši ovu Direktivu. Međutim, pravo na ispravak podataka ne bi smio utjecati na primjerice sadržaj svjedočenja svjedoka. Pojedinac bi trebao imati i pravo na ograničavanje obrade ako osporava točnost osobnih podataka i ako točnost ili netočnost podataka nije moguće utvrditi ili ako se osobni podaci moraju zadržati kao dokaz. Obradu osobnih podataka posebno bi, umjesto da ih se briše, trebalo ograničiti ako u određenom slučaju postoje opravdani razlozi za pretpostavku da bi brisanje moglo utjecati na legitimne interese ispitanika. U takvom slučaju ograničeni podaci trebali bi se obrađivati samo u svrhu zbog koje nisu bili izbrisani. Metode ograničavanja obrade osobnih podataka mogle bi, među ostalim, uključivati premještanje odabranih podataka u drugi sustav obrade, primjerice u svrhe pohrane, ili onemogućavanje dostupnosti odabranih podataka. U automatiziranim sustavima pohrane ograničavanje obrade osobnih podataka u načelu bi se trebalo osigurati tehničkim sredstvima. Činjenicu da je obrada osobnih podataka ograničena trebalo bi navesti u sustavu tako da bude jasno da je obrada osobnih podataka ograničena. O takvom ispravku ili brisanju osobnih podatka ili ograničavanju obrade trebalo bi obavijestiti primatelje kojima su ti podaci otkriveni te nadležna tijela od kojih potječu netočni podaci. Voditelji obrade te podatke također ne bi smjeli širiti dalje.

(48)

Ako voditelj obrade ispitaniku uskraćuje pravo na informiranje, pristup, ispravak ili brisanje osobnih podataka ili ograničavanje obrade, ispitanik bi trebao imati pravo zatražiti od nacionalnog nadzornog tijela provjeru zakonitosti obrade. Ispitanik bi trebao biti obaviješten o tom pravu. Ako nadzorno tijelo djeluje u ime ispitanika, nadzorno tijelo trebalo bi obavijestiti ispitanika barem o tome da je nadzorno tijelo obavilo sve potrebne provjere ili preispitivanja. Nadzorno bi tijelo također trebalo obavijestiti ispitanika o njegovu pravu na pravni lijek.

(49)

Ako se osobni podaci obrađuju u okviru kaznene istrage i sudskih postupaka u kaznenim predmetima, države članice trebale bi imati mogućnost predvidjeti da se ostvarivanje prava na informiranje, pristup i ispravak ili brisanje osobnih podataka i ograničavanje obrade obavlja u skladu s nacionalnim pravilima o sudskom postupku.

(50)

Trebalo bi uspostaviti dužnost i odgovornost voditelja obrade za svaku obradu osobnih podataka koju provede sâm voditelj obrade ili netko drugi u ime voditelja obrade. Voditelj obrade posebno bi trebao imati obvezu provođenja odgovarajućih i djelotvornih mjera te biti u mogućnosti dokazati da su aktivnosti obrade usklađene s ovom Direktivom. Takvim bi se mjerama trebalo u obzir uzeti prirodu, opseg, kontekst i svrhe obrade te rizik za prava i slobode pojedinaca. Mjerama koje voditelj obrade poduzima trebalo bi obuhvatiti sastavljanje i provedbu posebnih zaštitnih mjera u vezi s obradom osobnih podataka ranjivih pojedinaca kao što su djeca.

(51)

Rizik za prava i slobode pojedinaca različitih vjerojatnosti i ozbiljnosti može proizaći iz obrade podataka koja bi mogla prouzročiti fizičku, materijalnu ili nematerijalnu štetu, osobito ako ta obrada može dovesti do diskriminacije, krađe identiteta ili prijevare, financijskog gubitka, štete za ugled, gubitka povjerljivosti podataka zaštićenih profesionalnom tajnom, neovlaštenog obrnutog postupka pseudonimizacije ili bilo koje druge značajne gospodarske ili društvene štete; ako ispitanici mogu biti uskraćeni za svoja prava i slobode ili za provođenje nadzora nad njihovim osobnim podacima; ako se obrađuju osobni podaci koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, vjerska ili filozofska uvjerenja ili članstva u sindikatu; ako je riječ o obradi genetskih podataka ili biometrijskih podataka u svrhu jedinstvene identifikacije osobe ili ako je riječ o obradi podataka u vezi sa zdravljem ili podataka u vezi sa spolnim životom i spolnim opredjeljenjem, ili kaznenim osudama i kaznenim djelima, ili povezanim sigurnosnim mjerama; ako se procjenjuju osobni aspekti, osobito analiza i predviđanje aspekata u vezi s učinkom na poslu, gospodarskom situacijom, zdravljem, osobnim preferencijama ili interesima, pouzdanošću ili ponašanjem, lokacijom ili kretanjem kako bi se izradili ili upotrebljavali osobni profili; ako se obrađuju osobni podaci ranjivih pojedinaca, osobito djece; ili ako obrada uključuje veliku količinu osobnih podataka i utječe na velik broj ispitanika.

(52)

Vjerojatnost i ozbiljnost rizika trebali bi se određivati s obzirom na prirodu, opseg, kontekst i svrhe obrade. Rizik bi se trebao procjenjivati na temelju objektivne procjene kojom se utvrđuje uključuju li postupci obrade podataka visok rizik. Visok rizik znači osobit rizik ugrožavanja prava i sloboda ispitanikâ.

(53)

Zaštita prava i sloboda pojedinaca u vezi s obradom osobnih podataka zahtijeva poduzimanje odgovarajućih tehničkih i organizacijskih mjera kako bi se osiguralo ispunjavanje zahtjeva ove Direktive. Provedba tih mjera ne bi smjela ovisiti isključivo o gospodarskim razlozima. Radi dokazivanja sukladnosti s ovom Direktivom voditelj obrade trebao bi donijeti interne politike i provesti mjere kojima se osobito poštuju načela tehničke zaštite podataka i integrirane zaštite podataka. Ako je voditelj obrade proveo procjenu učinka na zaštitu podataka u skladu s ovom Direktivom, rezultati bi se trebali uzeti u obzir pri razvoju tih mjera i postupaka. Te mjere bi se mogle, među ostalim, sastojati od primjene pseudonimizacije što je prije moguće. Primjena pseudonimizacije za potrebe ove Direktive može služiti kao sredstvo kojim bi se mogao olakšati slobodan protok osobnih podataka unutar područja slobode, sigurnosti i pravde.

(54)

Zaštita prava i sloboda ispitanikâ, kao i odgovornost i obveze voditeljâ obrade i izvršiteljâ obrade, također u vezi s praćenjem i mjerama nadzornih tijela, zahtijevaju jasno utvrđivanje odgovornosti ovom Direktivom, među ostalim i u slučajevima u kojima voditelj obrade određuje svrhe i sredstva obrade zajedno s drugim voditeljima obrade ili kada se postupak obrade provodi u ime voditelja obrade.

(55)

Obrada koju provodi izvršitelj obrade trebala bi biti uređena pravnim aktom uključujući ugovor kojim se izvršitelj obrade obvezuje prema voditelju obrade te kojim se posebno utvrđuje da bi izvršitelj obrade trebao djelovati samo prema uputama voditelja obrade. Izvršitelj obrade trebao bi uzimati u obzir načelo tehničke i integrirane zaštite podataka.

(56)

Voditelj obrade ili izvršitelj obrade trebao bi voditi evidenciju o svim kategorijama aktivnosti obrade pod svojom odgovornošću radi dokazivanja sukladnosti s ovom Direktivom. Svaki voditelj obrade i izvršitelj obrade trebali bi biti obvezni surađivati s nadzornim tijelom i tu mu evidenciju na zahtjev staviti na raspolaganje kako bi ona poslužila za praćenje tih postupaka obrade. Voditelj obrade ili izvršitelj obrade koji obrađuje osobne podatke u neautomatiziranim sustavima obrade trebao bi imati učinkovite metode za dokazivanje zakonitosti obrade, omogućivanje samopraćenja i osiguravanje cjelovitosti i sigurnosti podataka, poput zapisa ili drugih oblika evidencije.

(57)

Zapise bi trebalo voditi barem za postupke u automatiziranim sustavima obrade kao što su prikupljanje, izmjene, obavljanje uvida, otkrivanje, uključujući prijenose, kombiniranje ili brisanje. Identitet osobe koja je obavila uvid u osobne podatke ili ih otkrila trebao bi se evidentirati i na temelju te identifikacije trebalo bi biti moguće naći opravdanje za postupke obrade. Zapise bi se trebalo upotrebljavati samo u svrhe provjere zakonitosti obrade podataka, samopraćenja i osiguravanja cjelovitosti i sigurnosti podataka te u kaznenim postupcima. Samopraćenje obuhvaća i unutarnje stegovne postupke nadležnih tijela.

(58)

Voditelj obrade trebao bi izvršiti procjenu učinka na zaštitu podataka ako je vjerojatno da postupci obrade zbog svoje prirode, opsega ili svrhe mogu dovesti do posebna rizika za prava i slobode ispitanika, a ta bi procjena posebno trebala uključivati mjere, zaštitne mjere i mehanizme predviđene za osiguravanje zaštite osobnih podataka i za dokazivanje usklađenosti s ovom Direktivom. Procjenama učinka trebali bi se obuhvatiti relevantni sustavi i procesi postupaka obrade, ali ne i pojedinačni slučajevi.

(59)

Kako bi se osigurala učinkovita zaštita prava i sloboda ispitanika, u određenim bi se slučajevima prije obrade voditelj obrade ili izvršitelj obrade trebao savjetovati s nadzornim tijelom.

(60)

Kako bi se očuvala sigurnost i spriječila obrada kojom se krši ova Direktiva, voditelj obrade ili izvršitelj obrade trebao bi procijeniti rizike povezane s obradom te bi trebao provesti mjere za njihovo ublažavanje, kao što je enkripcija. Takvim bi se mjerama trebala osigurati odgovarajuća razina zaštite, uključujući povjerljivost, te uzeti u obzir najnovija dostignuća i troškovi provedbe u odnosu na rizik i vrstu osobnih podataka koji se trebaju zaštititi. Prilikom procjene rizika za sigurnost podataka u obzir bi trebalo uzeti rizike koje predstavlja obrada podataka poput slučajnog ili nezakonitog uništenja, gubitka, izmjene ili neovlaštenog otkrivanja osobnih podataka ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani, a što osobito može dovesti do fizičke, materijalne ili nematerijalne štete. Voditelj obrade i izvršitelj obrade trebali bi osigurati da obradu osobnih podataka ne provode neovlaštene osobe.

(61)

Ako se povreda osobnih podataka ne rješava na odgovarajući način i pravodobno, ona može prouzročiti fizičku, materijalnu ili nematerijalnu štetu pojedincima, kao što su gubitak nadzora nad njihovim osobnim podacima ili ograničavanje njihovih prava, diskriminacija, krađa identiteta ili prijevara, financijski gubitak, neovlašteni obrnuti postupak pseudonimizacije, šteta za ugled, gubitak povjerljivosti osobnih podataka zaštićenih poslovnom tajnom ili bilo koju drugu značajnu gospodarsku ili društvenu štetu za dotičnog pojedinca. Stoga, čim voditelj obrade primijeti da je došlo do povrede osobnih podataka, trebao bi o tome izvijestiti nadležno nadzorno tijelo bez nepotrebnog odgađanja i to, ako je izvedivo, najkasnije 72 sata nakon saznanja o toj povredi osobnih podataka, osim ako voditelj obrade podataka može dokazati, u skladu s načelom odgovornosti, da povreda osobnih podataka vjerojatno neće prouzročiti rizik za prava i slobode pojedinaca. Ako se takvo obavješćivanje ne može postići u roku od 72 sata, obavijest bi trebala biti popraćena razlozima kašnjenja, a informacije se mogu pružiti u fazama bez nepotrebnog daljnjeg odgađanja.

(62)

Pojedince bi bez nepotrebnog odgađanja trebalo obavijestiti ako je vjerojatno da će povreda osobnih podataka dovesti do visokog rizika za prava i slobode pojedinaca, kako bi mogli poduzeti potrebne mjere opreza. U obavijesti bi trebalo opisati prirodu povrede osobnih podataka kao i preporuke kako bi dotični pojedinac mogao ublažiti potencijalne negativne učinke. Obavijesti bi se ispitanicima trebala pružiti što je prije, u razumnim granicama, izvedivo i u bliskoj suradnji s nadzornim tijelom te poštujući njegove upute ili upute drugih relevantnih tijela vlasti. Na primjer, o potrebi za umanjivanjem neposrednog rizika od štete bilo bi potrebno odmah obavijestiti ispitanike, dok potreba za provedbom odgovarajućih mjera protiv daljnje ili slične povrede osobnih podataka može opravdati duži rok za obavijest. Ako se izbjegavanje ometanja službenih ili pravnih ispitivanja, istragâ ili postupaka, izbjegavanje dovođenja u pitanje sprečavanja, otkrivanja, istrage ili progona kaznenih djela ili izvršavanja kaznenih sankcija, zaštita javne sigurnosti, zaštita nacionalne sigurnosti ili zaštita prava i sloboda drugih ne može postići odgodom ili ograničavanjem obavješćivanja dotičnog pojedinca o povredi osobnih podataka, takva bi se obavijest, u izuzetnim okolnostima, mogla uskratiti.

(63)

Voditelj obrade trebao bi imenovati osobu koja će mu pomagati u praćenju unutarnje usklađenosti s odredbama donesenima u skladu s ovom Direktivom, osim ako država članica odluči o izuzeću sudova i drugih neovisnih pravosudnih tijela kada djeluju u okviru svoje sudske nadležnosti. Ta bi osoba mogla biti jedan od zaposlenika voditelja obrade koji su prošli posebno osposobljavanje u vezi s pravom i praksama u području zaštite podataka kako bi stekli stručno znanje u tom području. Nužna razina stručnog znanja trebala bi se utvrditi posebno u odnosu na postupke obrade podataka koji se provode te na zaštitu koju za obrađene osobne podatke zahtijeva voditelj obrade. Njegova zadaća može se provoditi na pola radnog vremena ili na puno radno vrijeme. Službenika za zaštitu podataka može zajednički imenovati nekoliko voditelja obrade uzimajući u obzir svoju organizacijsku strukturu i veličinu, primjerice u slučaju zajedničkih resursa u središnjim odjelima. Ta se osoba može imenovati i na različita radna mjesta unutar strukture dotičnih voditelja obrade. Ta bi osoba trebala pomagati voditelju obrade i zaposlenicima u vezi s obradom osobnih podataka pružajući im informacije i savjete o usklađenosti s njihovim odgovarajućim obvezama u vezi sa zaštitom podataka. Takvi službenici za zaštitu podataka trebali bi biti u mogućnosti neovisno obavljati svoje dužnosti i zadaće u skladu s pravom države članice.

(64)

Države članice trebale bi osigurati da se prijenos podataka u treću zemlju ili međunarodnu organizaciju provodi samo ako je nužan za sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje te da je voditelj obrade u trećoj zemlji ili međunarodnoj organizaciji tijelo koje je nadležno u smislu ove Direktive. Prijenos podataka trebali bi obavljati samo nadležna tijela u svojstvu voditeljâ obrade, osim u slučaju da se od izvršiteljâ obrade izričito zatražilo da izvrše prijenos u ime voditeljâ obrade. Takav prijenos podataka može se provoditi u slučajevima kada je Komisija utvrdila da dotična treća zemlja ili međunarodna organizacija jamči odgovarajuću razinu zaštite, nakon što su pružene odgovarajuće zaštitne mjere ili kada se primjenjuju odstupanja za posebne situacije. Ako se osobni podaci prenose iz Unije voditeljima obrade, izvršiteljima obrade ili drugim primateljima u trećim zemljama ili međunarodnim organizacijama, ne bi smjela biti narušena razina zaštite pojedinaca predviđena ovom Direktivom u Uniji, među ostalim u slučajevima daljnjeg prijenosa osobnih podataka iz treće zemlje ili međunarodne organizacije voditeljima obrade, izvršiteljima obrade u istoj ili u nekoj drugoj trećoj zemlji ili međunarodnoj organizaciji.

(65)

Ako se osobni podaci prenose iz države članice u treće zemlje ili međunarodne organizacije takav bi se prijenos u načelu trebao odvijati tek nakon što ga odobri država članica od koje su ti podaci dobiveni. U slučajevima kada je prijetnja javnoj sigurnosti države članice ili treće zemlje ili neophodnim interesima država članica toliko neposredna da nije moguće pravodobno dobiti prethodno odobrenje, interesi učinkovite suradnje u izvršavanju zakonodavstva nalažu da bi nadležno tijelo trebalo imati mogućnost prijenosa relevantnih osobnih podataka dotičnoj trećoj zemlji ili međunarodnoj organizaciji bez takvog prethodnog odobrenja. Države članice trebale bi osigurati da se treće zemlje ili međunarodne organizacije obavijesti o svim posebnim uvjetima u vezi s prijenosom. Daljnji prijenosi osobnih podataka trebali bi ovisiti o prethodnom odobrenju nadležnog tijela koje je provelo prvotni prijenos podataka. Pri odlučivanju o zahtjevu za odobrenje daljnjeg prijenosa, nadležno tijelo koje je provelo prvotni prijenos trebalo bi uzeti u obzir sve relevantne čimbenike, uključujući ozbiljnost kaznenog djela, određene uvjete pod kojima i svrhu u koju su podaci prvotno preneseni, prirodu i uvjete izvršenja kaznene sankcije te razinu zaštite osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji kojoj su osobni podaci dalje preneseni. Nadležno tijelo koje je provelo prvotni prijenos podataka trebalo bi imati mogućnost zahtijevati i da se daljnji prijenos obavlja pod posebnim uvjetima. Takvi posebni uvjeti mogu se opisati primjerice u kodeksima postupanja.

(66)

Komisija bi trebala imati mogućnost odlučiti s učinkom na cijelu Uniju da određene treće zemlje, područje ili jedan ili više posebnih sektora u kojima se obavlja obrada u trećoj zemlji, ili međunarodna organizacija pružaju odgovarajuću razinu zaštite podataka te na taj način pružaju pravnu sigurnost i ujednačenost u cijeloj Uniji kad je riječ o trećim zemljama ili međunarodnim organizacijama za koje se smatra da pružaju takvu razinu zaštite. U takvim slučajevima, prijenose osobnih podataka tim zemljama trebalo bi biti moguće provesti bez odobrenja, osim ako druga država članica iz koje su podaci dobiveni mora dati svoje odobrenje za prijenos.

(67)

U skladu s temeljnim vrijednostima na kojima je Unija osnovana, osobito zaštitom ljudskih prava, pri svojoj procjeni treće zemlje ili područja ili posebnog sektora u trećoj zemlji Komisija bi trebala uzeti u obzir kako dotična treća zemlja poštuje vladavinu prava, pristup pravosuđu, kao i međunarodne norme i standarde ljudskih prava i njihove opće i sektorsko zakone, uključujući zakonodavstvo o javnoj sigurnosti, obrani i nacionalnoj sigurnosti kao i javni poredak i kazneno pravo. Pri donošenju odluke o primjerenosti u vezi s područjem ili posebnim sektorom u trećoj zemlji trebalo bi uzeti u obzir jasne i objektivne kriterije, kao što su specifične aktivnosti obrade i područje primjene mjerodavnih zakonskih standarda i zakonodavstva koji su na snaziu trećoj zemlji. Treća bi zemlja trebala ponuditi jamstva kojima se osigurava primjerena razina zaštite, u osnovi istovjetna onoj koja je osigurana u Uniji, osobito ako se podaci obrađuju u jednom ili više posebnih sektora. Konkretno, treća zemlja trebala bi osigurati učinkovit neovisan nadzor zaštite podataka te mehanizme suradnje s tijelima država članica za zaštitu podataka, dok bi ispitanici trebali imati učinkovita i ostvariva prava te učinkovitu upravnu i sudsku zaštitu.

(68)

Osim međunarodnih obveza koje su treća zemlja ili međunarodna organizacija preuzele, Komisija bi također trebala uzeti u obzir obveze koje proizlaze iz sudjelovanja treće zemlje ili međunarodne organizacije u multilateralnim ili regionalnim sustavima, posebno u odnosu na zaštitu osobnih podataka, kao i provedbu tih obveza. Posebno bi trebalo uzeti u obzir pristupanje treće zemlje Konvenciji Vijeća Europe od 28. siječnja 1981. o zaštiti pojedinaca vezanoj uz automatsku obradu osobnih podataka te njezin Dodatni protokol. Komisija bi se trebala posavjetovati s Europskim odborom za zaštitu podataka osnovanim u okviru Uredbe (EU) 2016/679 („Odbor”) kada ocjenjuje razinu zaštite u trećim zemljama ili međunarodnim organizacijama. Komisija bi također trebala uzeti u obzir svaku relevantnu odluku o primjerenosti Komisije donesenu u skladu s člankom 45. Uredbe (EU) 2016/679.

(69)

Komisija bi trebala pratiti djelovanje odluka o razini zaštite u trećoj zemlji, na području ili u posebnom sektoru u trećoj zemlji, ili u međunarodnoj organizaciji. U svojim odlukama o primjerenosti Komisija bi trebala predvidjeti mehanizam periodičnog preispitivanja njihovog funkcioniranja. To periodično preispitivanje trebalo bi provesti uz savjetovanje s dotičnom trećom zemljom ili međunarodnom organizacijom i uzeti u obzir sve relevantne događaje u trećoj zemlji ili međunarodnoj organizaciji.

(70)

Komisija bi također trebala imati mogućnost utvrditi da treća zemlja, područje, posebni sektor unutar treće zemlje ili međunarodna organizacija više ne osiguravaju primjereni stupanj zaštite podataka. Stoga bi se prijenos osobnih podataka u tu treću zemlju ili međunarodnu organizaciju trebao zabraniti, osim ako su ispunjeni uvjeti iz ove Direktive koji se odnose na prijenose koji podliježu odgovarajućim zaštitnim mjerama i odstupanjima za posebne situacije. Trebalo bi predvidjeti savjetovanje između Komisije i takvih trećih zemalja ili međunarodnih organizacija. Komisija bi trebala pravodobno obavijestiti treću zemlju ili međunarodnu organizaciju o razlozima i započeti savjetovanja s njom kako bi se riješila situacija.

(71)

Prijenose podataka koji se ne temelje na takvoj odluci o primjerenosti smjelo bi dopustiti samo ako su pravno obvezujućim instrumentom osigurane odgovarajuće zaštitne mjere kojima se jamči zaštita osobnih podataka ili ako je voditelj obrade procijenio sve okolnosti u vezi s postupkom prijenosa podataka i na temelju te procjene smatra da postoje odgovarajuće zaštitne mjere u vezi sa zaštitom osobnih podataka. Takvi pravno obvezujući instrumenti mogli bi na primjer biti pravno obvezujući bilateralni sporazumi koje su sklopile države članice i provele ih u svoj pravni poredak te bi ih mogli primjenjivati njihovi ispitanici, osiguravajući poštovanje zahtjevâ zaštite podataka i prava ispitanika, uključujući pravo dobivanja učinkovite upravne ili sudske zaštite. Voditelj obrade trebao bi imati mogućnost uzeti u obzir sporazume o suradnji sklopljene između Europola ili Eurojusta i trećih zemalja kojima se omogućuje razmjena osobnih podataka pri procjeni svih okolnosti u vezi s prijenosom podataka. Voditelj obrade trebao bi imati mogućnost uzeti u obzir i da će prijenos osobnih podataka podlijegati obvezama povjerljivosti i načelu specifičnosti, osiguravajući da se podaci neće obrađivati u druge svrhe osim za potrebe prijenosa. Uz to bi voditelj obrade trebao uzeti u obzir da se osobni podaci neće upotrebljavati za traženje, donošenje ili izvršenje smrtne kazne ili bilo kojeg oblika okrutnog i nečovječnog postupanja. Iako bi se ti uvjeti mogli smatrati odgovarajućim zaštitnim mjerama koje omogućuju prijenos podataka, voditelj obrade trebao bi imati mogućnost zahtijevati dodatne zaštitne mjere.

(72)

Ako ne postoji odluka o primjerenosti ili odgovarajuće zaštitne mjere, prijenos ili kategorija prijenosa mogla bi se dogoditi samo u posebnim situacijama, ako je potrebno kako bi se zaštitili ključni interesi ispitanika ili druge osobe ili kako bi se zaštitili legitimni interesi ispitanika ako je tako predviđeno pravom države članice koja obavlja prijenos osobnih podataka;radi sprečavanja neposredne i ozbiljne prijetnje javnoj sigurnosti države članice ili treće zemlje; u pojedinačnom slučaju u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje, ili u pojedinačnom slučaju radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva. Ta bi se odstupanja trebala tumačiti ograničeno i ne bi smjela omogućiti česte, opsežne i strukturne prijenose osobnih podataka ni masovne prijenose podataka, već bi se trebala ograničiti na podatke koji su nužni. Takvi prijenosi trebali bi se dokumentirati i dostaviti nadzornom tijelu na zahtjev kako bi se pratila zakonitost prijenosa.

(73)

Nadležna tijela država članica primjenjuju bilateralne ili multilateralne međunarodne sporazume na snazi, sklopljene s trećim zemljama u području pravosudne suradnje u kaznenim stvarima i policijske suradnje za razmjenu bitnih informacija kako bi mogla obavljati zadaće koje su im pravno dodijeljene. To se u načelu odvija putem suradnje tijela koja su nadležna u dotičnim trećim zemljama za potrebe ove Direktive, ili barem uz tu suradnju, a ponekad čak i ako bilateralni ili multilateralni međunarodni sporazum ne postoji. Međutim, u posebnim pojedinačnim slučajevima redovni postupci kojima se zahtjeva kontaktiranje takvog tijela u trećoj zemlji mogu biti neučinkoviti ili neprimjereni, osobito zato što se prijenos ne može provesti pravodobno ili zato što to tijelo u trećoj zemlji ne poštuje vladavinu prava ili međunarodne norme i standarde ljudskih prava, tako da nadležna tijela država članica mogu odlučiti prenijeti osobne podatke izravno primateljima s poslovnim nastanom u tim trećim zemljama. To se može dogoditi u slučaju da postoji hitna potreba za prijenosom osobnih podataka kako bi se spasio život osobe kojoj prijeti opasnost da postane žrtva kaznenog djela ili u interesu sprečavanja neposrednog počinjenja kaznenog djela, uključujući terorizam. Čak i ako se taj prijenos između nadležnih tijela i primatelja s poslovnim nastanom u trećim zemljama provodi samo u posebnim pojedinačnim slučajevima, ovom bi se Direktivom trebali predvidjeti uvjeti za reguliranje takvih slučajeva. Te se odredbe ne bi smjelo smatrati odstupanjima od bilo kojeg postojećeg bilateralnog ili multilateralnog međunarodnog sporazuma u području pravosudne suradnje u kaznenim stvarima i policijske suradnje. Ta bi se pravila trebala primjenjivati uz ostala pravila ove Direktive, posebno ona o zakonitosti obrade podataka i poglavlje V.

(74)

Kada se osobni podaci kreću preko granica, može se povećati rizik koji prijeti sposobnosti pojedinaca da ostvare svoja prava zaštite podataka, osobito da se zaštite od nezakonite uporabe ili otkrivanja tih podataka. Nadzorna tijela mogu istodobno otkriti da nisu u stanju rješavati pritužbe ili voditi istrage u vezi s aktivnostima izvan svojih granica. Njihove napore da rade zajedno u prekograničnom kontekstu također mogu omesti nedovoljne ovlasti za sprečavanje ili ispravljanje i nedosljedni pravni režimi. Stoga postoji potreba za promicanjem bliskije suradnje među nadzornim tijelima za zaštitu podataka, što bi im pomoglo u razmjeni informacija s nadzornim tijelima za zaštitu podataka u inozemstvu.

(75)

Uspostava nadzornih tijela u državama članicama koja mogu potpuno samostalno izvršavati svoje dužnosti ključna je sastavnica zaštite pojedinaca u vezi s obradom njihovih osobnih podataka. Nadzorna tijela trebala bi pratiti primjenu odredaba donesenih na temelju ove Direktive i doprinositi njihovoj dosljednoj primjeni u cijeloj Uniji kako bi zaštitila pojedince u vezi s obradom njihovih osobnih podataka. U tu bi svrhu nadzorna tijela trebala surađivati jedna s drugima te s Komisijom.

(76)

Nadzornom tijelu koje je već uspostavljeno u okviru Uredbe (EU) 2016/679 države članice mogu povjeriti odgovornost za zadaće koje trebaju provoditi nacionalna nadzorna tijela koja se trebaju uspostaviti u skladu s ovom Direktivom.

(77)

Državama članicama trebalo bi dopustiti uspostavljanje više od jednog nadzornog tijela kako bi se odrazila njihova ustavna, organizacijska i administrativna struktura. Svako nadzorno tijelo trebalo bi imati na raspolaganju financijske i ljudske resurse, prostorije i infrastrukturu, koji su potrebni za djelotvorno izvršavanje njihovih zadaća, uključujući zadaće povezane s uzajamnom pomoći i suradnjom s drugim nadzornim tijelima u cijeloj Uniji. Svako nadzorno tijelo trebalo bi imati odvojeni, javni godišnji proračun koji može biti dio ukupnog državnog ili nacionalnog proračuna.

(78)

Nadzorna tijela trebalo bi podvrgnuti neovisnim mehanizmima kontrole ili praćenja u vezi s njihovim financijskim izdacima, pod uvjetom da ta financijska kontrola ne utječe na njihovu neovisnost.

(79)

Opći uvjeti za člana ili članove nadzornog tijela trebali bi biti propisani pravom države članice i posebno bi trebali osiguravati da te članove imenuju parlament, vlada ili šef države dotične države članice na temelju prijedloga vlade, člana vlade, parlamenta ili doma parlamenta, ili neovisno tijelo kojem je pravom države članice povjereno imenovanje putem transparentnog postupka. Radi osiguravanja neovisnosti nadzornog tijela član ili članovi trebali bi se ponašati pošteno, suzdržavati od svake radnje koja nije u skladu s njihovim dužnostima i ne bi se smjeli tijekom obavljanja mandata baviti bilo kakvom djelatnošću koja nije sukladna s tom funkcijom, bez obzira na to je li ona plaćena ili ne. Kako bi se osigurala neovisnost nadzornog tijela, nadzorno tijelo trebalo bi odabrati osoblje, što može uključivati intervenciju neovisnog tijela kojemu je taj zadatak povjeren pravom države članice.

(80)

Iako se ova Direktiva također primjenjuje na aktivnosti nacionalnih sudova i drugih pravosudnih tijela, nadležnost nadzornih tijela ne bi smjela obuhvaćati obradu osobnih podataka kada sudovi djeluju u okviru svoje sudske nadležnosti kako bi se zaštitila neovisnost sudaca u provođenju njihovih sudskih zadaća. To bi izuzeće trebalo ograničiti na pravosudne aktivnosti u sudskim postupcima i ne primjenjivati ga na ostale aktivnosti u koje bi se suci u skladu s pravom države članice mogli uključiti. Države članice također bi trebale imati mogućnost osigurati da nadležnost nadzornog tijela ne obuhvaća obradu osobnih podataka drugih neovisnih pravosudnih tijela kada djeluju u okviru svoje sudske nadležnosti, primjerice ureda javnog tužitelja. U svakom slučaju, usklađenost sudova i drugih neovisnih pravosudnih tijela s pravilima ove Direktive uvijek podliježe neovisnom nadzoru u skladu s člankom 8. stavkom 3. Povelje.

(81)

Svako nadzorno tijelo trebalo bi rješavati pritužbe koje podnese bilo koji ispitanik te bi trebalo istražiti slučaj ili ga proslijediti nadležnom nadzornom tijelu. Nakon pritužbe trebalo bi provesti istragu, koja podliježe sudskom preispitivanju, u onoj mjeri koja je u određenom slučaju prikladna. Nadzorno tijelo trebalo bi u razumnom roku izvijestiti ispitanika o napretku i ishodu pritužbe. Ako slučaj zahtijeva dodatnu istragu ili koordinaciju s drugim nadzornim tijelom, ispitaniku bi trebalo pružiti privremene informacije.

(82)

Kako bi se osigurao učinkovit, pouzdan i dosljedan nadzor sukladnosti s ovom Direktivom i njezine provedbe u cijeloj Uniji na temelju UFEU-a, kako ga tumači Sud, nadzorna tijela trebala bi u svakoj državi članici imati iste zadaće i stvarne ovlasti, među ostalim istražne, korektivne i savjetodavne ovlasti koje su im potrebne za obavljanje njihovih zadaća. Međutim, njihovim ovlastima ne bi se smjela ometati posebna pravila za kazneni postupak, uključujući istragu i progon kaznenih dijela, ili neovisnost pravosuđa. Ne dovodeći u pitanje ovlasti tijelâ kaznenog progona na temelju prava države članice, nadzorna tijela također bi trebala imati ovlast za obavješćivanje pravosudnih tijela o kršenjima ove Direktive ili za vođenje pravnih postupaka. Ovlasti nadzornih tijela trebale bi se izvršavati u skladu s primjerenim postupovnim zaštitnim mjerama utvrđenima u pravu Unije i pravu države članice nepristrano, pošteno i u razumnom roku. Posebno bi svaka mjera trebala biti primjerena, potrebna i proporcionalna cilju osiguravanja sukladnosti s ovom Direktivom, uzimajući u obzir okolnosti svakog pojedinačnog slučaja, poštovanje prava svake osobe da se sasluša prije poduzimanja bilo koje pojedinačne mjere koja bi štetno utjecala na nju te izbjegavanje suvišnih troškova i prekomjernih neugodnosti za dotičnu osobu. Istražne ovlasti u pogledu pristupa objektima trebale bi se izvršavati u skladu s posebnim zahtjevima prava države članice, poput zahtjeva za dobivanje prethodnog sudskog ovlaštenja. Donošenje pravno obvezujuće odluke trebalo bi podlijegati sudskom preispitivanju u državi članici nadzornog tijela koje je donijelo odluku.

(83)

Nadzorna tijela trebala bi jedna drugima pomagati u obavljanju zadaća i pružati si uzajamnu pomoć kako bi zajamčila dosljednu primjenu i provedbu odredaba donesenih na temelju ove Direktive.

(84)

Odbor bi trebao doprinositi dosljednoj primjeni ove Direktive u cijeloj Uniji, što uključuje savjetovanje Komisije i promicanje suradnje među nadzornim tijelima u cijeloj Uniji.

(85)

Svaki bi ispitanik trebao imati pravo podnijeti pritužbu jednom nadzornom tijelu i imati pravo na učinkovit pravni lijek u skladu s člankom 47. Povelje o temeljnim pravima ako ispitanik smatra da su prekršena njegova prava prema odredbama donesenima na temelju ove Direktive ili ako nadzorno tijelo ne postupi po pritužbi, odbaci ili odbije,u cijelosti ili djelomično, ili ne postupi kada je takvo postupanje potrebno u svrhu zaštite prava ispitanika. Slijedom pritužbe, trebalo bi provesti istragu, koja podliježe sudskom preispitivanju, u onoj mjeri koja je u određenom slučaju prikladna. Nadležno nadzorno tijelo trebalo bi u razumnom roku izvijestiti ispitanika o napretku i ishodu pritužbe. Ako slučaj zahtijeva dodatnu istragu ili koordinaciju s drugim nadzornim tijelom, ispitaniku bi trebalo pružiti privremene informacije. Kako bi se olakšalo podnošenje pritužbi, svako nadzorno tijelo trebalo bi poduzeti mjere poput osiguranja obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući ostala sredstva komunikacije.

(86)

Svaka fizička ili pravna osoba trebala bi imati pravo na učinkovit pravni lijek pred nadležnim nacionalnim sudom protiv odluke nadzornog tijela kojom se proizvode pravni učinci u vezi s tom osobom. Takva se odluka posebno odnosi na provedbu istražnih, korektivnih i autorizacijskih ovlasti nadzornog tijela ili odbacivanje ili odbijanje pritužaba. To pravo međutim ne obuhvaća druge mjere nadzornih tijela koje nisu pravno obvezujuće poput mišljenja ili savjeta koja je dalo nadzorno tijelo. Postupci protiv nadzornog tijela trebali bi se pokrenuti pred sudovima države članice u kojoj nadzorno tijelo ima poslovni nastan te bi se trebali voditi u skladu s pravom te države članice. Ti sudovi trebali bi imati punu nadležnost koja bi trebala obuhvaćati nadležnost za ispitivanje svih činjeničnih i pravnih pitanja bitnih za spor.

(87)

Ako ispitanik smatra da su prekršena njegova prava iz ove Direktive, trebao bi imati pravo ovlastiti tijelo, čiji je cilj zaštititi prava i interese ispitanikâ u vezi sa zaštitom njihovih osobnih podataka i koje je osnovano u skladu s pravom države članice, da podnese pritužbu u njegovo ime nadzornom tijelu i da ostvari pravo na pravni lijek. Pravo na zastupanje ispitanika ne bi trebalo dovesti u pitanje postupovno pravo države članice kojim se može zahtijevati da ispitanike pred nacionalnim sudovima obavezno zastupa odvjetnik, kako je definirano u Direktivi Vijeća77/249/EEZ (10).

(88)

Svaku štetu koju osoba može pretrpjeti uslijed obrade kojom se krše odredbe donesene na temelju ove Direktive trebao bi nadoknaditi voditelj obrade ili bilo koje drugo tijelo nadležno u skladu s pravom države članice. Pojam štete trebalo bi široko tumačiti s obzirom na sudsku praksu Suda tako da se u potpunosti odražavaju ciljevi ove Direktive. Time se ne dovode u pitanje zahtjevi za naknadu štete koji proizlaze iz kršenja drugih pravila Unije ili prava države članice. Pri upućivanju na obradu koja je nezakonita ili krši odredbe donesene na temelju ove Direktive, to upućivanje također obuhvaća obradu kojom se krše provedbeni akti doneseni na temelju ove Direktive. Ispitanici bi trebali dobiti punu i djelotvornu naknadu za štetu koju su pretrpjeli.

(89)

Svakoj fizičkoj ili pravnoj osobi koja krši ovu Direktivu, neovisno o tome podliježe li privatnom ili javnom pravu, trebalo bi izreći sankcije. Države članice trebale bi osigurati da su sankcije učinkovite, proporcionalne i odvraćajuće te bi trebale poduzeti sve mjere za njihovu provedbu.

(90)

Radi osiguranja jedinstvenih uvjeta za provedbu ove Direktive, Komisiji bi se trebale dodijeliti provedbene ovlasti za: primjerenu razinu zaštite koju pruža treća zemlja, područje ili posebni sektor unutar treće zemlje ili međunarodna organizacija i format i postupke za uzajamnu pomoć i aranžmane za razmjenu informacija elektroničkim putem između nadzornih tijela te između nadzornih tijela i Odbora. Te bi ovlasti trebalo izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća (11).

(91)

Za donošenje provedbenih akata o odgovarajućoj razini zaštite koju pruža treća zemlja ili područje ili posebni sektor unutar te treće zemlje ili međunarodna organizacija; format i postupke za uzajamnu pomoć i sustave razmjene informacija elektroničkim putem između nadzornih tijela te između nadzornih tijela i Odbora trebalo bi primjenjivati postupak ispitivanja, s obzirom na to da ti akti imaju opće područje primjene.

(92)

Komisija bi trebala donijeti provedbene akte koji se odmah primjenjuju kada,u opravdanim slučajevima povezanima s trećom zemljom, područjem ili posebnim sektorom unutar treće zemlje ili međunarodnom organizacijom koji više ne osiguravaju odgovarajuću razinu zaštite, to zahtijevaju krajnje hitni razlozi.

(93)

S obzirom na to da ciljeve ove Direktive, a to su zaštita temeljnih prava i sloboda pojedinaca, posebno njihova prava na zaštitu osobnih podataka i osiguravanje slobodne razmjene osobnih podataka među nadležnim tijelima unutar Unije, ne mogu dostatno ostvariti države članice, nego se zbog opsega ili učinka djelovanja oni na bolji način mogu ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. UEU-a. U skladu s načelom proporcionalnosti utvrđenim tom članku, ova Direktiva ne prelazi ono što je potrebno za ostvarivanje tih ciljeva.

(94)

Posebne odredbe akata Unije donesenih u području pravosudne suradnje u kaznenim stvarima i policijske suradnje koje su donesene prije datuma donošenja ove Direktive, kojima se uređuje obrada osobnih podataka između država članica ili pristup imenovanih tijela država članica informacijskim sustavima uspostavljenima u skladu s Ugovorima, trebale bi ostati nepromijenjene, kao što su, na primjer, posebne odredbe o zaštiti osobnih podataka koje se primjenjuju u skladu s Odlukom Vijeća 2008/615/PUP (12) ili članak 23. Konvencije o uzajamnoj pravnoj pomoći u kaznenim stvarima među državama članicama Europske unije. (13) Budući da se člankom 8. Povelje i člankom 16. UFEU-a zahtijeva da se temeljno pravo na zaštitu osobnih podataka treba osigurati na dosljedan način širom Unije, Komisija bi trebala ocijeniti situaciju u pogledu odnosa između ove Direktive i akata donesenih prije datuma donošenja ove Direktive kojima se uređuje obrada osobnih podataka između država članica ili pristup imenovanih tijela država članica informacijskim sustavima uspostavljenima u skladu s Ugovorima kako bi procijenila potrebu za usklađivanjem tih posebnih odredaba s ovom Direktivom. Komisija bi prema potrebi trebala izraditi prijedloge s ciljem osiguravanja dosljednih pravnih pravila koja se odnose na obradu osobnih podataka.

(95)

Kako bi se osigurala sveobuhvatna i dosljedna zaštita osobnih podataka u Uniji, međunarodni sporazumi koje su države članice sklopile prije datuma stupanja na snagu ove Direktive, a koji su u skladu s odgovarajućim pravom Unije primjenjivim prije tog datuma, trebali bi ostati na snazi dok ih se ne izmijeni, zamijeni ili stavi izvan snage.

(96)

Za prenošenje ove Direktive državama članicama trebalo bi se dati razdoblje od najviše dvije godine od datuma njezina stupanja na snagu. Obrade koje su već u tijeku na taj datum trebalo bi uskladiti s ovom Direktivom u roku od dvije godine nakon što ova Direktiva stupi na snagu. Međutim, ako je takva obrada u skladu s pravom Unije koje se primjenjuje prije datuma stupanja na snagu ove Direktive, zahtjevi ove Direktive u pogledu prethodnog savjetovanja s nadzornim tijelom ne bi se trebali primjenjivati na postupke obrade koji su već u tijeku na taj datum, s obzirom da te zahtjeve, zbog same njihove prirode, treba ispuniti prije obrade. Ako se države članice koriste duljim razdobljem provedbe koje istječe sedam godina od stupanja na snagu ove Direktive kako bi ispunile obveze zapisivanja za automatizirane sustave obrade uspostavljene prije datuma tog datuma, voditelj obrade ili izvršitelj obrade trebali bi imati učinkovite metode za dokazivanje zakonitosti obrade podataka, za omogućivanje samopraćenja i za osiguravanje integriteta podataka i sigurnosti podataka, poput zapisa ili drugih oblika evidencije.

(97)

Ovom Direktivom ne dovode se u pitanje pravila o suzbijanju seksualnog zlostavljanja i seksualnog iskorištavanja djece i dječje pornografije kako je utvrđeno Direktivom 2011/93/EU Europskog parlamenta i Vijeća (14).

(98)

Okvirnu odluku 2008/977/PUP stoga bi trebalo staviti izvan snage.

(99)

U skladu s člankom 6.a Protokola br. 21 o stajalištu Ujedinjene Kraljevine i Irske s obzirom na područja slobode, sigurnosti i pravde, priloženog UEU-u i UFEU-u, Ujedinjenu Kraljevinu i Irsku ne obvezuju pravila utvrđena ovom Direktivom koja se odnose na obradu osobnih podataka od strane država članica pri obavljanju djelatnosti koje su obuhvaćene dijelom trećim glavom V. poglavljem 4. ili poglavljem 5. UFEU-a ako Ujedinjenu Kraljevinu i Irsku ne obvezuju pravila koja uređuju oblike pravosudne suradnje u kaznenim stvarima ili policijske suradnje za koja se traži usklađenost s odredbama utvrđenima na temelju članka 16. UFEU-a.

(100)

U skladu s člancima 2. i 2.a Protokola br. 22 o stajalištu Danske, priloženog UEU-u i UFEU-u, Dansku ne obvezuju pravila utvrđena ovom Direktivom niti ona podliježe primjeni tih pravila koja se odnose na obradu osobnih podataka od strane država članica pri obavljanju djelatnosti koje su obuhvaćene dijelom trećim glavom V. poglavljem 4. ili poglavljem 5. UFEU-a. S obzirom na to da se ova Direktiva temelji na schengenskoj pravnoj stečevini u skladu s dijelom trećim glavom V. UFEU-a, Danska u skladu s člankom 4. tog protokola u roku od šest mjeseci nakon donošenja ove Direktive odlučuje hoće li je provesti u svojem nacionalnom pravu.

(101)

U pogledu Islanda i Norveške ova Direktiva predstavlja razvoj odredaba schengenske pravne stečevine, u smislu Sporazuma između Vijeća Europske Unije i Republike Islanda i Kraljevine Norveške o pridruživanju tih dviju država provedbi, primjeni i razvoju schengenske pravne stečevine (15).

(102)

U pogledu Švicarske ova Direktiva predstavlja razvoj odredaba schengenske pravne stečevine, u smislu Sporazuma između Europske Unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju schengenske pravne stečevine (16).

(103)

U pogledu Lihtenštajna ova Direktiva predstavlja razvoj odredaba schengenske pravne stečevine, u smislu Protokola između Europske unije, Europske zajednice, Švicarske Konfederacije i Kneževine Lihtenštajna o pristupanju Kneževine Lihtenštajna Sporazumu između Europske unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju schengenske pravne stečevine (17).

(104)

Ovom Direktivom poštuju se temeljna prava i uvažavaju načela priznata Poveljom, kako je utvrđeno u UFEU-u, a posebno pravo na poštovanje privatnog i obiteljskog života, pravo na zaštitu osobnih podataka, pravo na učinkoviti pravni lijek i na pošteno suđenje. Ograničenja tih prava u skladu su s člankom 52. stavkom 1. Povelje jer su potrebna za ostvarivanje ciljeva od općeg interesa koje priznaje Unija ili potrebe za zaštitom prava i sloboda drugih.

(105)

U skladu sa Zajedničkom političkom izjavom država članica i Komisije od 28. rujna 2011. o dokumentima s objašnjenjima, države članice obvezale su se da će u opravdanim slučajevima uz obavijest o svojim mjerama za prenošenje priložiti jedan ili više dokumenata u kojima se objašnjava veza između sastavnih dijelova direktive i odgovarajućih dijelova nacionalnih mjera za prenošenje. U pogledu ove Direktive zakonodavac smatra da je prijenos takvih dokumenata opravdan.

(106)

Izvršeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 28. stavkom 2. Uredbe (EZ) br. 45/2001 te je dao mišljenje 7. ožujka 2012. (18).

(107)

Ovom se Direktivom ne bi smjelo sprečavati države članice da u nacionalna pravila o kaznenom postupku uvedu ostvarivanje prava ispitanikâ na informacije, pristup i ispravak ili brisanje osobnih podataka te ograničavanje obrade tijekom kaznenog postupka, kao i moguća ograničenja tih prava,

DONIJELI SU OVU DIREKTIVU:

POGLAVLJE I.

Opće odredbe

Članak 1.

Predmet i ciljevi

1.   Ovom se Direktivom utvrđuju pravila povezana sa zaštitom pojedinaca u pogledu obrade osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje.

2.   U skladu s ovom Direktivom države članice:

(a)

štite temeljna prava i slobode pojedinaca, a posebno njihovo pravo na zaštitu osobnih podataka; i

(b)

osiguravaju da se razmjena osobnih podataka među nadležnim tijelima unutar Unije, kada se takva razmjena zahtijeva pravom Unije ili pravom države članice, ne ograniči niti zabrani iz razloga povezanih sa zaštitom pojedinaca u pogledu obrade osobnih podataka.

3.   Ovom se Direktivom ne sprečava države članice da predvide snažnije zaštitne mjere za zaštitu prava i sloboda ispitanika u pogledu obrade osobnih podataka od strane nadležnih tijela, od onih koje su utvrđene u ovoj Direktivi.

Članak 2.

Područje primjene

1.   Ova se Direktiva primjenjuje na obradu osobnih podataka od strane nadležnih tijela u svrhe utvrđene u članku 1. stavku 1.

2.   Ova se Direktiva primjenjuje na obradu osobnih podataka koja se u cijelosti ili djelomično obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.

3.   Ova se Direktiva ne primjenjuje na obradu osobnih podataka:

(a)

tijekom djelatnosti koja nije obuhvaćena opsegom prava Unije;

(b)

koju obavljaju institucije, tijela, uredi i agencije Unije.

Članak 3.

Definicije

Za potrebe ove Direktive:

1.

„osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi „ispitanik”; pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

2.

„obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

3.

„ograničavanje obrade” znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti;

4.

„izrada profila” znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;

5.

„pseudonimizacija” znači obrada osobnih podataka na način da se podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;

6.

„sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

7.

„nadležno tijelo” znači:

(a)

svako tijelo javne vlasti nadležno za sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje; ili

(b)

svako drugo tijelo ili subjekt kojem je pravom države članice povjereno obavljanje javnih dužnosti i izvršavanje javnih ovlasti u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje;

8.

„voditelj obrade” znači nadležno tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se odrediti pravom Unije ili pravom države članice;

9.

„izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;

10.

„primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u sladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade;

11.

„povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;

12.

„genetski podaci” znači svi osobni podaci koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca;

13.

„biometrijski podaci” znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci;

14.

„podaci koji se odnose na zdravlje” znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu;

15.

„nadzorno tijelo” znači neovisno tijelo javne vlasti koje je osnovala država članica u skladu s člankom 41.;

16.

„međunarodna organizacija” znači organizacija i njezina podređena tijela uređena međunarodnim javnim pravom ili bilo koje drugo tijelo koje su sporazumom ili na osnovi sporazuma osnovale dvije ili više zemalja.

POGLAVLJE II.

Načela

Članak 4.

Načela obrade osobnih podataka

1.   Države članice osiguravaju da su osobni podaci:

(a)

obrađivani zakonito i pošteno;

(b)

prikupljeni u posebne, izričite i zakonite svrhe te da ih se ne obrađuje na način koji nije u skladu s tim svrhama;

(c)

primjereni i relevantni te da ne nisu pretjerani u odnosu na svrhe u koje se obrađuju;

(d)

točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave;

(e)

čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju;

(f)

obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera.

2.   Obrada koju obavlja isti ili neki drugi voditelj obrade u svrhu iz članka 1. stavka 1. različitu od one za koju su osobni podaci prikupljeni dopuštena je:

(a)

ako je voditelj obrade ovlašten za obradu takvih osobnih podataka u takvu svrhu u skladu s pravom Unije ili pravom države članice; te

(b)

ako je obrada nužna i proporcionalna toj drugoj svrsi u skladu s pravom Unije ili pravom države članice.

3.   Obrada koju obavlja isti ili neki drugi voditelj obrade može uključivati arhiviranje u javnom interesu, u znanstvene, statističke ili povijesne svrhe, za potrebe iz članka 1. stavka 1., podložno odgovarajućim zaštitnim mjerama u pogledu prava i sloboda ispitanikâ.

4.   Voditelj obrade odgovoran je za usklađenost sa stavcima 1., 2. i 3. te je mora biti u mogućnosti dokazati.

Članak 5.

Rokovi za pohranu i preispitivanje

Države članice osiguravaju da se za brisanje osobnih podataka ili za periodično preispitivanje potrebe za pohranom osobnih podataka predvide odgovarajući rokovi. Postupovnim mjerama osigurava se poštovanje tih rokova.

Članak 6.

Razlika između različitih kategorija ispitanika

Države članice osiguravaju da voditelj obrade, prema potrebi i koliko je god to moguće, radi jasnu razliku između osobnih podataka različitih kategorija ispitanika, kao što su:

(a)

osobe za koje postoje ozbiljni razlozi za vjerovati da su počinile ili će počiniti kazneno djelo;

(b)

osobe osuđene za kazneno djelo;

(c)

žrtve kaznenog djela ili osobe u pogledu kojih postoje određene činjenice koje daju razloge vjerovati da bi ta osoba mogla biti žrtva kaznenog djela; i

(d)

druge strane u kaznenim djelima, kao što su osobe koje se može pozvati da svjedoče u istragama u vezi s kaznenim djelima ili naknadnom kaznenom postupku, osobe koje mogu dati informacije o kaznenim djelima ili osobe za kontakt ili suradnici jedne od osoba iz točaka (a) i (b).

Članak 7.

Razlika između osobnih podataka i provjera kvalitete osobnih podataka

1.   Države članice osiguravaju da se osobni podaci utemeljeni na činjenicama razlikuju što je više moguće od osobnih podataka utemeljenih na osobnim procjenama.

2.   Države članice osiguravaju da nadležna tijela poduzmu sve razumne mjere kako bi osigurala da se osobni podaci koji su netočni, nepotpuni ili više nisu ažurni ne prenose niti ne stavljaju na raspolaganje. U tu svrhu svako nadležno tijelo, koliko je to izvedivo, provjerava kvalitetu osobnih podataka prije njihova prenošenja ili stavljanja na raspolaganje. Što je više moguće, pri svim prenošenjima osobnih podataka dodaju se nužne informacije koje nadležnom tijelu koje je podatke dobilo omogućuju ocjenjivanje stupnja točnosti, potpunosti i pouzdanosti osobnih podataka, kao i u kojoj su mjeri ažurni.

3.   Pokaže li se da su preneseni netočni osobni podaci ili da su osobni podaci preneseni nezakonito, primatelj mora biti obaviješten bez odlaganja. U takvom slučaju osobni podaci moraju se ispraviti ili brisati ili obradu ograničiti u skladu s člankom 16.

Članak 8.

Zakonitost obrade

1.   Države članice osiguravaju da je obrada zakonita samo ako je nužna i samo u onoj mjeri u kojoj je nužna kako bi nadležno tijelo obavilo zadaću u svrhe navedene u članku 1. stavku 1. te da se temelji na pravu Unije ili pravu države članice.

2.   Pravom države članice kojim se uređuje obrada unutar područja primjene ove Direktive navode se barem ciljevi obrade, osobni podaci za obradu i svrhe obrade.

Članak 9.

Posebni uvjeti obrade

1.   Osobni podaci koje nadležna tijela prikupljaju za svrhe utvrđene u članku 1. stavku 1. ne smiju se obrađivati u svrhe koje su različite od onih utvrđenih u članku 1. stavku 1. osim ako je takva obrada odobrena pravom Unije ili pravom države članice. Ako se osobni podaci obrađuju u druge svrhe, primjenjuje se Uredba (EU) 2016/679, osim ako se obrada obavlja kao djelatnost koja je izvan područja primjene prava Unije.

2.   Ako je pravom države članice nadležnim tijelima povjereno obavljanje zadaća drukčijih od onih koje se obavljaju u svrhe iz članka 1. stavka 1., Uredba (EU) 2016/679 primjenjuje se na obradu u takve svrhe, među ostalim i za arhiviranje u javnom interesu, ili u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, osim ako se obrada provodi u okviru djelatnosti koja je izvan područja primjene prava Unije.

3.   Države članice, ako pravo Unije ili pravo države članice kojemu podliježe nadležno tijelo koje prenosi podatke predviđa posebne uvjete za obradu, osiguravaju da nadležno tijelo koje prenosi takve osobne podatke primatelja kojemu ih prenosi obavješćuje o tim uvjetima i o zahtjevu za poštovanje tih uvjeta.

4.   Države članice osiguravaju da nadležno tijelo koje prenosi podatke ne primjenjuje uvjete iz stavka 3.na primatelje u drugim državama članicama ili na agencije, urede i tijela osnovane u skladu s glavom V. poglavljima 4. i 5. UFEU-a, osim onih koji su primjenjivi na slične prijenose podataka u državi članici u kojoj se nalazi nadležno tijelo koje prenosi podatke.

Članak 10.

Obrada posebnih kategorija osobnih podataka

Obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, religijska ili filozofska vjerovanja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca ili podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentacijo pojedinca dopuštena je samo ako je to nužno, pridržavajući se odgovarajućih zaštitnih mjera u pogledu prava i sloboda ispitanika te samo:

(a)

ako je dopušteno pravom Unije ili pravom države članice;

(b)

radi zaštite vitalnih interesa ispitanika ili drugog pojedinca; ili

(c)

ako se takva obrada odnosi na podatke za koje je očito da ih je objavio ispitanik.

Članak 11.

Automatizirano pojedinačno donošenje odluka

1.   Države članice osiguravaju da se zabrani odluka utemeljena samo na automatiziranoj obradi, među ostalim i na izradi profila, koja proizvodi negativne pravne učinke za ispitanika ili na njega znatno utječe, osim ako je odobrena pravom Unije ili pravom države članice kojem podliježe voditelj obrade te koje propisuje odgovarajuće zaštitne mjere za prava i slobode ispitanika, u najmanju ruku prava na ljudsku intervenciju voditelja obrade.

2.   Odluke iz stavka 1. ovog članka ne smiju se temeljiti na posebnim kategorijama osobnih podataka iz članka 10., osim ako su uspostavljene odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika.

3.   Zabranjuje se izrada profila koja dovodi do diskriminacije pojedinaca na temelju posebnih kategorija osobnih podataka iz članka 10., u skladu s pravom Unije.

POGLAVLJE III.

Prava ispitanika

Članak 12.

Obavješćivanje i modaliteti ostvarivanja prava ispitanika

1.   Država članica osigurava da voditelj obrade poduzima sve razumne korake kako bi se ispitaniku pružile sve informacije iz članka 13. te daje ispitaniku sve obavijesti u pogledu članka 11., članaka od 14. do 18. i članka 31. u vezi s obradom u jezgrovitom, razumljivom i lako dostupnom obliku, upotrebljavajući jasan i jednostavan jezik. Informacije se pružaju bilo kojim odgovarajućim sredstvom, uključujući elektronička sredstva. U pravilu voditelj obrade pruža informacije u istom obliku u kojem je zahtjev.

2.   Države članice osiguravaju da voditelj obrade olakšava ostvarivanje prava ispitanika iz članka 11. i članaka od 14. do 18.

3.   Države članice osiguravaju da voditelj obrade ispitanika bez nepotrebnog odgađanja pisanim putem obavješćuje o mjerama koje su poduzete u vezi s njegovim zahtjevom.

4.   Države članice osiguravaju da se informacije pružene na temelju članka 13. te sve obavijesti pružene ili mjere poduzete na temelju članka 11., članaka od 14. do 18. i članka 31. pružaju, odnosno poduzimaju, bez naknade. Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog njihova učestalog ponavljanja, voditelj obrade može:

(a)

naplatiti razumnu naknadu, uzimajući u obzir administrativne troškove za pružanje informacija ili obavijesti ili za poduzimanje traženih mjera; ili

(b)

odbiti postupiti po zahtjevu.

Teret dokaza očigledne neutemeljenosti ili pretjeranosti zahtjeva snosi voditelje obrade.

5.   Ako voditelj obrade ima opravdane sumnje u pogledu identiteta pojedinca koji podnosi zahtjev iz članka 14. ili 16., voditelj obrade može tražiti pružanje dodatnih informacija potrebnih za potvrđivanje identiteta ispitanika.

Članak 13.

Informacije koje se stavljaju na raspolaganje ili daju ispitaniku

1.   Države članice osiguravaju da voditelj obrade ispitaniku stavlja na raspolaganje barem sljedeće informacije:

(a)

identitet i kontaktne podatke voditelja obrade;

(b)

kontaktne podatke službenika za zaštitu podataka, ako je primjenjivo;

(c)

svrhe obrade za koje su ti osobni podaci namijenjeni;

(d)

pravo na podnošenje pritužbe nadzornom tijelu i kontaktne podatke nadzornog tijela;

(e)

postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima, njihov ispravak ili brisanje, ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika.

2.   Osim informacija iz stavka 1., države članice zakonom osiguravaju da u određenim slučajevima, kako bi se ispitaniku omogućilo ostvarivanje njegovih prava voditelj ispitaniku daje dodatne informacije o:

(a)

pravnoj osnovi obrade;

(b)

razdoblju u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;

(c)

ako je primjenjivo, kategorijama primatelja osobnih podataka, uključujući treće zemlje ili međunarodne organizacije;

(d)

prema potrebi, dodatne informacije, osobito ako se osobni podaci prikupljaju bez znanja ispitanika.

3.   Države članice mogu donijeti zakonodavne mjere za odgađanje, ograničavanje ili uskraćivanje pružanja informacija ispitaniku na temelju stavka 2. u onoj mjeri i u onom trajanju u kojem takva mjera predstavlja potrebnu i proporcionalnu mjeru u demokratskom društvu uz dužno poštovanje temeljnih prava i legitimnih interesa dotičnog pojedinca, kako bi se:

(a)

izbjeglo ometanje službenih ili pravnih ispitivanja, istraga ili postupaka;

(b)

izbjeglo dovođenje u pitanje sprečavanja, otkrivanja, istrage ili progona kaznenih djela ili izvršavanja kaznenih sankcija;

(c)

zaštitila javna sigurnost;

(d)

zaštitila nacionalna sigurnost;

(e)

zaštitila prava i slobode drugih.

4.   Države članice mogu donijeti zakonodavne mjere radi određivanja kategorija obrade koje mogu u cijelosti ili djelomično biti obuhvaćene bilo kojom od točaka iz stavka 3.

Članak 14.

Pravo ispitanika na pristup

Pridržavajući se članka 15. države članice ispitaniku osiguravaju pravo da od voditelja obrade ishodi potvrdu o tome obrađuju li se osobni podaci koji se odnose na njega te, ako se takvi osobni podaci obrađuju, pristup takvim osobnim podacima i sljedećim informacijama:

(a)

svrhama obrade i pravnoj osnovi obrade;

(b)

kategorijama osobnih podataka o kojima je riječ;

(c)

primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama;

(d)

ako je to moguće, predviđenom razdoblju u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;

(e)

postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika;

(f)

o pravu na podnošenje pritužbe nadzornom tijelu i kontaktne podatke nadzornog tijela;

(g)

obavješćivanju o osobnim podacima koji se obrađuju i o svim dostupnim informacijama o njihovu izvoru.

Članak 15.

Ograničenja prava pristupa

1.   Države članice mogu donijeti zakonodavne mjere kojima se ispitaniku u cijelosti ili djelomično može ograničiti pravo pristupa u onoj mjeri i u onom trajanju u kojem takvo djelomično ili potpuno ograničavanje čini neophodnu i proporcionalnu mjeru u demokratskom društvu uz dužno poštovanje temeljnih prava i legitimnih interesa dotičnog pojedinca kako bi se:

(a)

izbjeglo ometanje službenih ili pravnih ispitivanja, istraga ili postupaka;

(b)

izbjeglo dovođenje u pitanje sprečavanja, otkrivanja, istrage ili progona kaznenih djela ili izvršavanja kaznenih sankcija;

(c)

zaštitila javna sigurnost;

(d)

zaštitila nacionalna sigurnost;

(e)

zaštitila prava i slobode drugih.

2.   Države članice mogu donijeti zakonodavne mjere radi određivanja kategorija obrade koje mogu u cijelosti ili djelomično biti obuhvaćene stavkom 1. točkama od (a) do (e).

3.   U slučajevima iz stavaka 1. i 2. države članice osiguravaju da voditelj obrade bez nepotrebnog odgađanja pisanim putem obavješćuje ispitanika o svakom odbijanju ili ograničavanju pristupa te o razlozima odbijanja ili ograničavanja. To se ne primjenjuje ako bi pružanje takvih informacija dovelo u pitanje neku od svrha iz stavka 1. Države članice osiguravaju da voditelj obrade obavješćuje ispitanika o mogućnosti podnošenja pritužbe nadzornom tijelu ili traženja pravnog lijeka.

4.   Države članice osiguravaju da voditelj obrade bilježi činjenične ili pravne razloge na kojima se temelji odluka. Ti se podaci stavljaju na raspolaganje nadzornim tijelima.

Članak 16.

Pravo na ispravak ili brisanje osobnih podataka i ograničenje obrade

1.   Države članice ispitaniku osiguravaju pravo da od voditelja obrade, bez nepotrebnog odgađanja, ishodi ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade podataka države članice osiguravaju da ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.

2.   Države članice od voditelja obrade zahtijevaju da izbriše osobne podatke bez nepotrebnog odgađanja i predviđaju pravo ispitanika da od voditelja obrade ishodi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja ako se obradom krše odredbe donesene na temelju članaka 4., 8. ili 10., ili ako se osobni podaci moraju brisati radi poštovanja pravne obveze kojoj podliježe voditelj obrade.

3.   Voditelj obrade dužan je ograničiti obradu ako:

(a)

ispitanik osporava točnost osobnih podataka, a njihovu točnost ili netočnost nije moguće utvrditi; ili

(b)

osobni podaci moraju biti sačuvani kao dokaz.

Ako je obrada ograničena na temelju prvog podstavka točke (a), voditelj obrade obavješćuje ispitanika prije uklanjanja ograničenja obrade.

4.   Države članice osiguravaju da voditelj obrade pisanim putem obavješćuje ispitanika o svakom odbijanju ispravka ili brisanja osobnih podataka ili ograničavanja obrade te o razlozima odbijanja. Države članice mogu donijeti zakonodavne mjere kojima se u cijelosti ili djelomično ograničava obveza pružanja takvih informacija u onoj mjeri u kojoj takvo ograničavanje čini nužnu i proporcionalnu mjeru u demokratskom društvu uz dužno poštovanje temeljnih prava i legitimnih interesa dotičnog pojedinca, kako bi se:

(a)

izbjeglo ometanje službenih ili pravnih ispitivanja, istraga ili postupaka;

(b)

izbjeglo dovođenje u pitanje sprečavanja, otkrivanja, istrage ili progona kaznenih djela ili izvršavanja kaznenih sankcija;

(c)

zaštitila javna sigurnost;

(d)

zaštitila nacionalna sigurnost;

(e)

zaštitila prava i slobode drugih.

Države članice osiguravaju da voditelj obrade obavješćuje ispitanika o mogućnosti podnošenja pritužbe nadzornom tijelu ili traženja pravnog lijeka.

5.   Država članica osigurava da voditelj obrade o ispravku netočnih osobnih podataka obavješćuje nadležno tijelo od kojeg potječu netočni podaci.

6.   Države članice osiguravaju da, ako su osobni podaci bili ispravljeni ili brisani, ili je obrada bila ograničena na temelju stavaka 1., 2. i 3., voditelj obrade obavješćuje primatelje i da primatelji isprave ili brišu osobne podatke ili ograniče obradu osobnih podataka u okviru svoje odgovornosti.

Članak 17.

Ostvarivanje prava ispitanika i provjera nadzornog tijela

1.   U slučajevima iz članka 13. stavka 3, članka 15. stavka 3. i članka 16. stavka 4. države članice usvajaju mjere kojima se osigurava da se prava ispitanika mogu ostvariti i putem nadležnih nadzornih tijela.

2.   Države članice osiguravaju da voditelj obrade obavješćuje ispitanika o mogućnosti ostvarivanja njegovih prava ostvari putem nadzornog tijela na temelju stavka 1.

3.   Kada se ostvaruje pravo iz stavka 1., nadzorno tijelo obavješćuje ispitanika najmanje o tome da je ono provelo sve potrebne provjere ili preispitivanje. Nadzorno tijelo također obavješćuje ispitanika o njegovu pravu na pravni lijek.

Članak 18.

Prava ispitanika u kaznenim istragama i postupcima

Države članice osiguravaju da se ostvarivanje prava iz članaka 13., 14. i 16. provodi u skladu s pravom države članice ako su osobni podaci sadržani u sudskoj odluci ili evidenciji ili u spisu predmeta obrađenom tijekom kaznenih istraga i postupaka.

POGLAVLJE IV.

Voditelj obrade i izvršitelj obrade

Odjeljak 1.

Opće obveze

Članak 19.

Obveze voditelja obrade

1.   Države članice osiguravaju da voditelj obrade, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Direktivom. Te se mjere prema potrebi preispituju i ažuriraju.

2.   Ako su razmjerne u odnosu na aktivnosti obrade, mjere iz stavka 1. uključuju provedbu odgovarajućih politika zaštite podataka od strane voditelja obrade.

Članak 20.

Tehnička i integrirana zaštita podataka

1.   Države članice osiguravaju da voditelj obrade, uzimajući u obzir najnovija postignuća i trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, za omogućivanje učinkovite primjene načela zaštite podataka, kao što je smanjenje količine podataka, i uključenje zaštitnih mjera u obradu, kako bi se ispunili zahtjevi iz ove Direktive i zaštitila prava ispitanika.

2.   Države članice osiguravaju da voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi se osiguralo da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.

Članak 21.

Zajednički voditelji obrade

1.   Države članice osiguravaju da su dvoje ili više voditelja obrade, ako zajednički odrede svrhe i načine obrade, zajednički voditelji obrade. Oni na transparentan način određuju svoje odgovornosti za poštovanje ove Direktive, osobito u pogledu ostvarivanja prava ispitanika i svojih dužnosti pružanja informacija iz članka 13., te to čine međusobnim dogovorom osim ako su odgovornosti voditeljâ obrade utvrđene pravom Unije ili pravom države članice kojem voditelji obrade podliježu te u mjeri u kojoj su one utvrđene. Dogovorom se određuje kontaktna točka za ispitanike. Države članice mogu odrediti koji od zajedničkih voditelja obrade može djelovati kao jedinstvena kontaktna točka za ostvarivanje prava ispitanikâ.

2.   Ne dovodeći u pitanje uvjete dogovora iz stavka 1., države članice mogu osigurati da ispitanik može ostvarivati svoja prava u skladu s odredbama donesenima na temelju ove Direktive u vezi sa svakim voditeljem obrade, kao i protiv njega.

Članak 22.

Izvršitelj obrade

1.   Države članice osiguravaju da, ako se obrada provodi u ime voditelja obrade, voditelj obrade upotrebljava samo usluge izvršitelja obrade koji mogu u dovoljnoj mjeri jamčiti provedbu odgovarajućih tehničkih i organizacijskih mjera na takav način da je obrada u skladu sa zahtjevima iz ove Direktive i osigurava zaštitu prava ispitanika.

2.   Države članice osiguravaju da izvršitelj obrade ne angažira drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja izvršitelj obrade dužan je obavijestiti voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da podnese prigovor na takve izmjene.

3.   Države članice osiguravaju da je obrada od strane izvršitelja obrade uređena ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji je obvezujući za izvršitelja obrade u odnosu na voditelja obrade, u kojemu su navedeni predmet i trajanje obrade, priroda i svrha obrade, vrsta osobnih podataka te kategorije ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili pravnim aktom osobito uređuje da izvršitelj obrade:

(a)

djeluje samo prema uputama voditelja obrade;

(b)

osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim odredbama o povjerljivosti;

(c)

bilo kojim odgovarajućim sredstvom pomaže voditelju obrade osigurati usklađenost s odredbama o pravima ispitanika;

(d)

prema izboru voditelja obrade, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluge obrade podataka te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka;

(e)

voditelju obrade stavlja na raspolaganje sve informacije potrebne za dokazivanje poštovanja ovog članka;

(f)

poštuje uvjete iz stavaka 2 i 3. za angažiranje drugog izvršitelja obrade.

4.   Ugovor ili drugi pravni akt iz stavka 3. mora biti u pisanom obliku je obliku, što uključuje elektronički oblik.

5.   Ako izvršitelj obrade,utvrđuje svrhe i načine obrade, kršeći ovu Direktivu, taj se izvršitelj obrade smatra voditeljem obrade u pogledu te obrade.

Članak 23.

Obrada pod vodstvom voditelja obrade ili izvršitelja obrade

Države članice osiguravaju da izvršitelj obrade i bilo koja osoba koja djeluje pod vodstvom voditelja obrade ili izvršitelja obrade, a koja ima pristup osobnim podacima, ne obrađuje te podatke ako to ne zatraži voditelj obrade, osim ako to nalaže pravo Unije ili pravo države članice.

Članak 24.

Evidencija aktivnosti obrade

1.   Države članice osiguravaju da voditelji obrade vode evidenciju svih kategorija aktivnosti obrade za koje su oni odgovorni. Ta evidencija sadržava sve sljedeće informacije:

(a)

ime i kontaktne podatke voditelja obrade i bilo kojeg zajedničkog voditelja obrade te službenika za zaštitu podataka;

(b)

svrhe obrade;

(c)

kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;

(d)

opis kategorija ispitanika i kategorija osobnih podataka;

(e)

ako je primjenjivo, upotreba izrade profila;

(f)

ako je primjenjivo, kategorije prijenosâ osobnih podataka u treću zemlju ili međunarodnu organizaciju;

(g)

pravnu osnovu za postupak obrade, uključujući prijenose, kojem su osobni podaci namijenjeni;

(h)

ako je moguće, predviđene rokove za brisanje različitih kategorija osobnih podataka;

i.

ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 29. stavka 1.

2.   Države članice osiguravaju da svaki izvršitelj obrade vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju u ime voditelja obrade, a koja sadržava:

(a)

ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te, kada je to primjenjivo, službenika za zaštitu podataka;

(b)

kategorije obrade koje se provode za svakog voditelja obrade;

(c)

ako je primjenjivo, podatke o prijenosu osobnih podataka u treću zemlju ili međunarodnu organizaciju, ako za to postoji izričita uputa voditelja obrade, uključujući identificiranje te treće zemlje ili međunarodne organizacije,

(d)

ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 29. stavka 1.

3.   Evidencija iz stavaka 1. i 2.mora biti u pisanom obliku, što uključuje elektronički oblik.

Voditelj obrade i izvršitelj obrade na zahtjev stavljaju evidenciju na raspolaganje nadzornom tijelu.

Članak 25.

Zapisivanje

1.   Države članice osiguravaju da se bilježe zapisi barem za sljedeće postupke obrade u automatiziranim sustavima obrade: prikupljanje, izmjene, obavljanje uvida, otkrivanje, uključujući prijenose, kombiniranje i brisanje. Zapisi o obavljanju uvida i otkrivanju omogućuju da se ustanovi obrazloženje, datum i vrijeme takvih postupaka te, ako je to moguće, identitet osobe koja je obavila uvid ili otkrila osobne podatke i identitet primatelja takvih osobnih podataka.

2.   Zapisi se upotrebljavaju samo u svrhe provjere zakonitosti obrade, samopraćenja i osiguravanja cjelovitosti i sigurnosti osobnih podataka te za kaznene postupke.

3.   Voditelj obrade i izvršitelj obrade na zahtjev stavljaju zapise na raspolaganje nadzornom tijelu.

Članak 26.

Suradnja s nadzornim tijelom

Države članice osiguravaju da voditelj obrade i izvršitelj obrade, na zahtjev, surađuju s nadzornim tijelom pri izvršavanju svojih zadaća.

Članak 27.

Procjena učinka na zaštitu podataka

1.   Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe te obrade, prouzročiti visoki rizik za prava i slobode pojedinaca, države članice osiguravaju da voditelj obrade prije obrade provede procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka.

2.   Procjena iz stavka 1. mora sadržavati barem općenit opis predviđenih postupaka obrade, procjenu rizika za prava i slobode ispitanika, predviđene mjere za rizike, zaštitne i sigurnosne mjere i mehanizme kako bi se osigurala zaštita osobnih podataka i dokazala usklađenost s ovom Direktivom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.

Članak 28.

Prethodno savjetovanje s nadzornim tijelom

1.   Države članice osiguravaju da se voditelj obrade ili izvršitelj obrade savjetuje s nadzornim tijelom prije obrade osobnih podataka koji će biti uključeni u novi sustav pohrane koji se treba uspostaviti, ako:

(a)

procjena učinka na zaštitu podataka kako je predviđeno člankom 27. upućuje na to da bi obrada mogla rezultirati visokim rizikom ako voditelj obrade ne poduzme mjere kako bi umanjio rizik; ili

(b)

vrsta obrade, posebno ako se upotrebljavaju nove tehnologije, mehanizmi ili postupci, predstavlja visok rizik za prava i slobode ispitanikâ.

2.   Države članice osiguravaju savjetovanje s nadzornim tijelom tijekom izrade prijedloga zakonodavne mjere koju donosi nacionalni parlament ili regulatorne mjere koja se temelji na takvoj zakonodavnoj mjeri, a koja se odnosi na obradu.

3.   Države članice osiguravaju da nadzorno tijelo može uspostaviti popis postupaka obrade za koje je potrebno obaviti prethodno savjetovanje u skladu sa stavkom 1.

4.   Države članice osiguravaju da voditelj obrade nadzornom tijelu dostavlja procjenu učinka na zaštitu podataka na temelju članka 27. i, na zahtjev, pruža sve ostale informacije pomoću kojih će nadzorno tijelo moći procijeniti usklađenost obrade te posebno rizike za zaštitu osobnih podataka ispitanika i povezane zaštitne mjere.

5.   Države članice osiguravaju da nadzorno tijelo, ako smatra da bi se namjeravanom obradom iz stavka 1. ovog članka kršile odredbe donesene na temelju ove Direktive, osobito ako voditelj obrade nije u dovoljnoj mjeri utvrdio ili umanjio rizik, nadzorno tijelo u roku od najviše šest tjedana od zaprimanja zahtjeva za savjetovanje pisanim putem savjetuje voditelja obrade,i prema potrebi, izvršitelja obrade te može iskoristiti bilo koju od svojih ovlasti iz članka 47. Taj se rok može prema potrebi produljiti za mjesec dana, uzimajući u obzir složenost namjeravane obrade. Nadzorno tijelo u roku od mjesec dana od zaprimanja zahtjeva obavješćuje voditelja obrade i, prema potrebi, izvršitelja obrade o svakom takvom produljenju i o razlozima odgode.

Odjeljak 2.

Sigurnost osobnih podataka

Članak 29.

Sigurnost obrade

1.   Države članice osiguravaju da voditelj obrade i izvršitelj obrade, uzimajući u obzir najnovija dostignuća i troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različite vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, osobito u pogledu obrade posebnih kategorija osobnih podataka iz članka 10.

2.   U pogledu automatizirane obrade svaka država članice osigurava da voditelj obrade ili izvršitelj obrade nakon procjene rizikâ provede mjere čija je svrha sljedeće:

(a)

neovlaštenim osobama zabraniti pristup opremi za obradu koja se upotrebljava za obradu („nadzor pristupa opremi”);

(b)

spriječiti neovlašteno čitanje, kopiranje, mijenjanje ili uklanjanje nosača podataka („nadzor nosača podataka”);

(c)

spriječiti neovlašteno unošenje osobnih podataka te neovlašteno pregledavanje, mijenjanje ili brisanje pohranjenih osobnih podataka („nadzor pohrane”);

(d)

spriječiti upotrebu sustava automatizirane obrade neovlaštenim osobama koje se koriste opremom za podatkovnu komunikaciju „(nadzor korisnika”);

(e)

osigurati da osobe koje su ovlaštene za upotrebu sustava automatizirane obrade imaju pristup samo osobnim podacima koji su predviđeni njihovim odobrenjem za pristup („nadzor pristupa podacima”);

(f)

osigurati mogućnost da se provjeri i utvrdi kojim tijelima su osobni podaci preneseni ili bi mogli biti preneseni ili stavljeni na raspolaganje upotrebom opreme za podatkovnu komunikaciju („nadzor komunikacije”);

(g)

osigurati mogućnost da se naknadno provjeri i utvrdi koji su osobni podaci uneseni u sustave automatizirane obrade te tko ih je i kada unio („nadzor unosa”);

(h)

spriječiti neovlašteno čitanje, kopiranje, mijenjanje ili brisanje osobnih podataka tijekom prijenosa osobnih podataka ili prijenosa nosača podataka („nadzor prijenosa”);

i.

osigurati mogućnost ponovne uspostave instaliranih sustava u slučaju prekida („ponovna uspostava”);

(j)

osigurati da sustav dobro funkcionira, da se pojava grešaka u funkcioniranju sustava prijavi („pouzdanost”) i da se pohranjeni osobni podaci ne mogu ugroziti zbog nedostataka u funkcioniranju sustava („cjelovitost”).

Članak 30.

Izvješćivanje nadzornog tijela o povredi osobnih podataka

1.   Države članice osiguravaju da u slučaju povrede osobnih podataka, voditelj obrade, bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata od saznanja za tu povredu, izvijesti nadzorno tijelo o povredi osobnih podataka, osim ako povreda osobnih podataka vjerojatno neće rezultirati rizikom za prava i slobode pojedinaca. Ako izvješćivanje nadzornog tijela nije učinjeno u roku 72 sata, mora biti popraćeno navođenjem razloga kašnjenja. Izvješćivanje nadzornog tijela mora biti popraćeno utemeljenim obrazloženjem u slučajevima kada ono nije učinjeno unutar 72 sata.

2.   Izvršitelj obrade dužan je bez nepotrebnog odgađanja obavijestiti voditelja obrade nakon što sazna za povredu osobnih podataka.

3.   Izvješćivanjem iz stavka 1. mora se najmanje:

(a)

opisati priroda povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj ispitanika te kategorije i približan broj evidencija osobnih podataka o kojima je riječ;

(b)

navesti ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još informacija;

(c)

opisati vjerojatne posljedice povrede osobnih podataka;

(d)

opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica.

4.   Ako i u onoj mjeri u kojoj nije moguće istodobno pružiti informacije, informacije se mogu pružati postupno, bez nepotrebnog daljnjeg odgađanja.

5.   Države članice osiguravaju da voditelj obrade bilježi svaku povredu osobnih podataka iz stavka 1., uključujući činjenice povezane s povredom osobnih podataka, njezine posljedice i mjere poduzete za ispravljanje situacije. Ta dokumentacija nadzornom tijelu mora omogućiti provjeru poštovanja ovog članka.

6.   Države članice osiguravaju da se u slučaju povrede osobnih podataka koja uključuje osobne podatke koje je prenio voditelj obrade druge države članice ili koji su preneseni njemu, informacije iz stavka 3. prenose voditelju obrade te države članice bez nepotrebnog odgađanja.

Članak 31.

Obavješćivanje ispitanika o povredi osobnih podataka

1.   Države članice osiguravaju da, ako je vjerojatno da će povreda osobnih podataka prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade bez nepotrebnog odgađanja obavijesti ispitanika o povredi osobnih podataka.

2.   U obavijesti ispitaniku iz stavka 1. ovog članka mora se jasnim i jednostavnim jezikom opisati priroda povrede osobnih podataka i navesti barem informacije i mjere iz članka 30. stavka 3. točaka (b), (c) i (d).

3.   Obavješćivanje ispitanika iz stavka 1. nije obvezno ako je ispunjen bilo koji od sljedećih uvjeta:

(a)

voditelj obrade proveo je odgovarajuće tehnološke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom osobnih podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija;

(b)

voditelj obrade poduzeo je naknadne mjere kojima se osigurava da pojava visokog rizika za prava i slobode ispitanika iz stavka 1. više nije vjerojatna;

(c)

on bi uključivao nerazmjeran napor. U takvom slučaju, umjesto toga mora postojati javno obavješćivanje ili slična mjera kojom se ispitanici izvješćuju na jednako djelotvoran način.

4.   Ako voditelj obrade nije već obavijestio ispitanika o povredi osobnih podataka, nadzorno tijelo, nakon razmatranja vjerojatnosti da će povreda osobnih podataka prouzročiti visok rizik, može od njega zahtijevati da to učini ili može zaključiti da je ispunjen neki od uvjeta iz stavka 3.

5.   Obavješćivanje ispitanika iz stavka 1. ovog članka može se odgoditi, ograničiti ili uskratiti podložno uvjetima i na temelju razloga iz članka 13. stavka 3.

Odjeljak 3.

Službenik za zaštitu podataka

Članak 32.

Imenovanje službenika za zaštitu podataka

1.   Države članice osiguravaju da voditelj obrade imenuje službenika za zaštitu podataka. Države članice mogu od te obveze izuzeti sudove i druga neovisna pravosudna tijela kada djeluju u okviru svoje sudske nadležnosti.

2.   Službenik za zaštitu podataka imenuje se na temelju njegovih stručnih kvaliteta, a posebno njegovog stručnog znanja o pravu i praksi u području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 34.

3.   Može se imenovati jedan službenik za zaštitu podataka za nekoliko nadležnih tijela, uzimajući u obzir njihovu organizacijsku strukturu i veličinu.

4.   Države članice osiguravaju da voditelj obrade objavljuje kontaktne podatke službenika za zaštitu podataka i priopćuje ih nadzornom tijelu.

Članak 33.

Radno mjesto službenika za zaštitu podataka

1.   Države članice osiguravaju da voditelj obrade osigura da je službenik za zaštitu podataka primjereno i pravodobno uključen u sva pitanja povezana sa zaštitom osobnih podataka.

2.   Voditelj obrade podupire službenika za zaštitu podataka u izvršavanju zadaća iz članka 34. pružajući mu potrebna sredstva za izvršavanje tih zadaća i pristup osobnim podacima i postupcima obrade te za održavanje njegova stručnog znanja.

Članak 34.

Zadaće službenika za zaštitu podataka

Države članice osiguravaju da voditelj obrade službeniku za zaštitu podataka povjerava najmanje sljedeće zadaće:

(a)

informiranje i savjetovanje voditelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama na temelju ove Direktive te drugih odredaba prava Unije ili prava države članice o zaštiti podataka;

(b)

praćenje poštovanja ove Direktive, drugih odredaba prava Unije ili prava države članice o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući i raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade i povezanim revizijama;

(c)

pružanje savjeta, kada je to zatraženo, po pitanju procjene učinka na zaštitu podataka i praćenje njezina izvršavanja na temelju članka 27.;

(d)

suradnja s nadzornim tijelom;

(e)

djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima povezanima s obradom, što uključuje i prethodno savjetovanje iz članka 28. te savjetovanje, prema potrebi, u pogledu svih drugih pitanja.

POGLAVLJE V.

Prijenosi osobnih podataka trećim zemljama ili međunarodnim organizacijama

Članak 35.

Opća načela za prijenose osobnih podataka

1.   Države članice osiguravaju da nadležna tijela svaki prijenos osobnih podataka koji se obrađuju ili su namijenjeni za obradu nakon prijenosa trećoj zemlji ili međunarodnoj organizaciji, uključujući daljnje prijenose još jednoj trećoj zemlji ili međunarodnoj organizaciji, obavljaju pridržavajući se nacionalnih odredaba donesenih na temelju odredaba ove Direktive, samo ako su ispunjeni uvjeti iz ovog poglavlja, i to:

(a)

prijenos je nužan u svrhe utvrđene u članku 1. stavku 1.;

(b)

osobni podaci prenose se voditelju obrade u trećoj zemlji ili međunarodnoj organizaciji koji predstavlja javno tijelo nadležno za potrebe iz članka 1. stavka 1.;

(c)

ako su osobni podaci preneseni ili stavljeni na raspolaganje iz druge države članice, ta je država članica dala prethodno odobrenje za prijenos u skladu sa svojim nacionalnim pravom;

(d)

Komisija je donijela odluku o primjerenosti na temelju članka 36. ili, u nedostatku takve odluke,odgovarajuće zaštitne mjere predviđene su ili postoje na temelju članka 37. ili se, u nedostatku odluke o primjerenosti na temelju članka 36. i odgovarajućih zaštitnih mjera u skladu s člankom 37. primjenjuju odstupanja za posebne situacije na temelju članka 38.; i

(e)

u slučaju daljnjeg prijenosa u još jednu treću zemlju ili međunarodnu organizaciju, nadležno tijelo koje je izvršilo prvotni prijenos ili drugo nadležno tijelo iste države članice, nakon što je uzelo u obzir sve relevantne čimbenike, uključujući ozbiljnost kaznenog djela, svrhu s kojom su osobni podaci prvotno preneseni i razinu zaštite osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji kojoj su dalje preneseni osobni podaci, odobrava daljnji prijenos.

2.   Države članice osiguravaju da su prijenosi bez prethodnog odobrenja druge države članice u skladu s točkom (c) stavka 1. dopušteni samo ako je prijenos osobnih podataka potreban za sprečavanje neposredne i ozbiljne prijetnje javnoj sigurnosti države članice ili treće zemlje ili bitnim interesima države članice, a prethodno se odobrenje ne može pravodobno dobiti. Tijelo odgovorno za izdavanje prethodnog odobrenja obavješćuje se bez odlaganja.

3.   Sve odredbe iz ovog poglavlja primjenjuju se kako bi se osiguralo da se ne ugrozi razina zaštite pojedinaca osigurana ovom Direktivom.

Članak 36.

Prijenosi na temelju odluke o primjerenosti

1.   Države članice osiguravaju da je prijenos osobnih podataka trećoj zemlji ili međunarodnoj organizaciji moguć kada Komisija odluči da treća zemlja, područje ili jedan ili više određenih sektora unutar te treće zemlje, ili međunarodna organizacija o kojoj je riječ osigurava primjerenu razinu zaštite. Takav prijenos ne zahtijeva posebno odobrenje.

2.   Prilikom procjene primjerenosti stupnja zaštite Komisija osobito uzima u obzir sljedeće elemente:

(a)

vladavinu prava, poštovanje ljudskih prava i temeljnih sloboda, mjerodavno zakonodavstvo, i opće i sektorsko, što uključuje zakonodavstvo o javnoj sigurnosti, obrani, nacionalnoj sigurnosti, kaznenom pravu i pristupu tijela javne vlasti osobnim podacima, kao i provedbu takvog zakonodavstva, pravila o zaštiti podataka, pravila struke i mjere sigurnosti, što uključuje pravila za daljnji prijenos osobnih podataka još jednoj trećoj zemlji ili međunarodnoj organizaciji, koja se poštuju u toj zemlji ili međunarodnoj organizaciji, sudsku praksu te postojanje djelotvornih i provedivih prava ispitanika te djelotvorne upravne i sudske zaštite ispitanika čiji se osobni podaci prenose;

(b)

postojanje i djelotvorno funkcioniranje jednog neovisnog nadzornog tijela ili više njih u trećoj zemlji, ili tijela kojem podliježe međunarodna organizacija, odgovornih za osiguravanje i provođenje poštovanja pravila o zaštiti podataka, uključujući primjerene ovlasti izvršavanja zakonodavstva, za pružanje pomoći ispitanicima i njihovo savjetovanje u ostvarivanju njihovih prava te za suradnju s nadzornim tijelima država članica; i

(c)

međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela ili druge obveze koje proizlaze iz pravno obvezujućih konvencija ili instrumenata, kao i iz njezina sudjelovanja u multilateralnim ili regionalnim sustavima, osobito u vezi sa zaštitom osobnih podataka.

3.   Komisija nakon procjene primjerenosti stupnja zaštite može, putem provedbenog akta, odlučiti da treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija osigurava primjeren stupanj zaštite u smislu stavka 2. ovog članka. U provedbenom aktu predviđa se mehanizam za periodično preispitivanje, najmanje svake četiri godine, kojim će se uzeti u obzir svi relevantni događaji u toj trećoj zemlji ili međunarodnoj organizaciji. U provedbenom aktu određuje se teritorijalna i sektorska primjena, a ako je primjenjivo, utvrđuje se i nadzorno tijelo ili nadzorna tijela iz stavka 2. točke (b) ovog članka. Provedbeni akt donosi se u skladu s postupkom ispitivanja iz članka 58. stavka 2.

4.   Komisija kontinuirano prati razvoj događaja u trećim zemljama i međunarodnim organizacijama koji bi mogli utjecati na djelovanje odluka donesenih u skladu sa stavkom 3.

5.   Ako dostupne informacije otkrivaju, a osobito nakon preispitivanja iz stavka 3. ovog članka, da treća zemlja, područje ili jedan ili više određenih sektora unutar treće zemlje ili međunarodna organizacija više ne osigurava primjerenu razinu zaštite u smislu stavka 2. ovog članka u mjeri u kojoj je to potrebno,Komisija stavlja izvan snage,mijenja ili suspendira odluku iz stavka 3. ovog članka putem provedbenog akta bez retroaktivnog učinka. Taj provedbeni akt donosi se u skladu s postupkom ispitivanja iz članka 58. stavka 2.

Zbog opravdanih krajnje hitnih razloga, Komisija u skladu s postupkom iz članka 58. stavka 3. donosi provedbene akte koji se odmah primjenjuju

6.   Komisija započinje savjetovanje s trećom zemljom ili međunarodnom organizacijom radi popravljanja stanja koje je dovelo do odluke donesene u skladu sa stavkom 5.

7.   Države članice osiguravaju da se odlukom na temelju stavka 5. ne dovode u pitanje prijenosi osobnih podataka u treću zemlju, na područje ili u određeni sektor unutar te treće zemlje ili međunarodnu organizaciju o kojoj je riječ na temelju članaka 37. i 38.

8.   U Službenom listu Europske unije i na svojoj internetskoj stranici Komisija objavljuje popis trećih zemalja, područja i posebnih sektora unutar treće zemlje i međunarodnih organizacija u pogledu kojih je donijela odluku da ne osiguravaju primjerenu razinu zaštite ili da je više ne osiguravaju.

Članak 37.

Prijenosi koji podliježu odgovarajućim zaštitnim mjerama

1.   U nedostatku odluke na temelju članka 36. stavka 3., države članice osiguravaju da se prijenos osobnih podataka trećoj zemlji ili međunarodnoj organizaciji može ostvariti:

(a)

ako su odgovarajuće zaštitne mjere u pogledu zaštite osobnih podataka predviđene u pravno obvezujućem instrumentu; ili

(b)

ako je voditelj obrade procijenio sve okolnosti u vezi s prijenosom osobnih podataka i zaključio da postoje odgovarajuće zaštitne mjere u pogledu zaštite osobnih podataka.

2.   Voditelj obrade obavješćuje nadzorno tijelo o kategorijama prijenosâ u skladu sa stavkom 1. točkom (b).

3.   Kada se prijenos temelji na stavku 1. točki (b), takav se prijenos dokumentira, a dokumentacija se na zahtjev stavlja na raspolaganje nadzornom tijelu, uključujući datum i vrijeme prijenosa, informacije o nadležnom tijelu koje dobiva podatke, obrazloženje prijenosa i prenesene osobne podatke.

Članak 38.

Odstupanja za posebne situacije

1.   U nedostatku odluke o primjerenosti na temelju članka 36. ili odgovarajućih zaštitnih mjera na temelju članka 37., države članice osiguravaju da se prijenos ili kategorija prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju može ostvariti samo pod uvjetom da je prijenos nužan:

(a)

kako bi se zaštitili vitalni interesi ispitanika ili druge osobe;

(b)

kako bi se zaštitili legitimni interesi ispitanika, ako je tako predviđeno pravom države članice koja obavlja prijenos osobnih podataka;

(c)

kako bi se spriječila neposredna i ozbiljna prijetnja javnoj sigurnosti države članice ili treće zemlje;

(d)

u pojedinačnim slučajevima u svrhe navedene u članku 1. stavku 1.; ili

(e)

u pojedinačnom slučaju radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva u vezi sa svrhama navedenima u članku 1. stavku 1.

2.   Osobni podaci ne smiju se prenositi ako nadležno tijelo koje obavlja prijenos utvrdi da temeljna prava i slobode dotičnog ispitanika imaju prednost pred javnim interesom u pogledu prijenosa iz stavka 1. točaka (d) i (e).

3.   Ako se prijenos temelji na stavku 1., takav prijenos mora se dokumentirati, a dokumentacija se na zahtjev mora staviti na raspolaganju nadzornom tijelu, uključujući datum i vrijeme prijenosa, informacije o nadležnom tijelu koje je podatke dobilo, obrazloženje prijenosa i prenesene osobne podatke.

Članak 39.

Prijenosi osobnih podataka primateljima s poslovnim nastanom u trećim zemljama

1.   Odstupajući od članka 35. stavka 1. točke (b) i ne dovodeći u pitanje nijedan međunarodni sporazum iz stavka 2. ovog članka, pravom Unije ili pravom države članice može se osigurati da nadležna tijela iz članka 3. točke 7. podtočke (a) mogu, u pojedinačnim i posebnim slučajevima, prenijeti osobne podatke izravno primateljima s poslovnim nastanom u trećim zemljama samo ako se poštuju druge odredbe ove Direktive i ako su ispunjeni svi sljedeći uvjeti:

(a)

prijenos je nužan za obavljanje zadaće nadležnog tijela koje obavlja prijenos kako je predviđeno pravom Unije ili pravom države članice u svrhe navedene u članku 1. stavku 1.;

(b)

nadležno tijelo koje obavlja prijenos utvrdi da temeljna prava i slobode dotičnog ispitanika nemaju prednost nad javnim interesom koji iziskuje prijenos u dotičnom slučaju;

(c)

nadležno tijelo koje obavlja prijenos smatra da je prijenos tijelu nadležnom u svrhe iz članka 1. stavka 1. u trećoj zemlji neučinkovit ili neprimjeren, posebno zato što se prijenos ne može pravodobno ostvariti;

(d)

tijelo koje je u trećoj zemlji nadležno u svrhe iz članka 1. stavka 1.obaviješteno je bez nepotrebnog odgađanja, osim ako je to neučinkovito ili neprimjereno;

(e)

nadležno tijelo koje obavlja prijenos obavijesti primatelja o određenoj svrsi ili svrhama u koje potonji može obrađivati osobne podatke samo ako je takva obrada nužna.

2.   Međunarodni sporazum iz stavka 1. svaki je bilateralni ili multilateralni međunarodni sporazum na snazi između država članica i trećih zemalja u području pravosudne suradnje u kaznenim stvarima i policijske suradnje.

3.   Nadležno tijelo koje obavlja prijenos obavješćuje nadzorno tijelo o prijenosima u skladu s ovim člankom.

4.   Ako se prijenos temelji na stavku 1., takav se prijenos mora dokumentirati.

Članak 40.

Međunarodna suradnja s ciljem zaštite osobnih podataka

Komisija i države članice u odnosu na treće zemlje i međunarodne organizacije poduzimaju odgovarajuće mjere kako bi:

(a)

razvile mehanizme međunarodne suradnje za olakšavanje djelotvornijeg izvršavanja zakonodavstva o zaštiti osobnih podataka;

(b)

osigurale međunarodnu uzajamnu pomoć u izvršavanju zakonodavstva o zaštiti osobnih podataka, uključujući obavješćivanjem, upućivanjem pritužbi, pomoći u istragama i razmjenom informacija, pridržavajući se zaštitnih mjera za zaštitu osobnih podataka i drugih temeljnih prava i sloboda;

c)

uključile relevantne dionike u raspravu i aktivnosti čiji je cilj produbiti međunarodnu suradnju u izvršavanju zakonodavstva o zaštiti osobnih podataka;

d)

promicale razmjenu i dokumentiranje zakonodavstva i prakse u vezi sa zaštitom osobnih podataka, među ostalim u vezi sa sukobima nadležnosti s trećim zemljama.

POGLAVLJE VI.

Neovisna nadzorna tijela

Odjeljak 1.

Neovisni status

Članak 41.

Nadzorno tijelo

1.   Svaka država članica osigurava da je jedno ili više neovisnih tijela javne vlasti odgovorno za praćenje primjene ove Direktive kako bi se zaštitila temeljna prava i slobode pojedinaca u vezi s obradom i olakšao slobodan protok osobnih podataka unutar Unije („nadzorno tijelo”).

2.   Svako nadzorno tijelo doprinosi dosljednoj primjeni ove Direktive u cijeloj Uniji. U tu svrhu nadzorna tijela surađuju međusobno i s Komisijom u skladu s poglavljem VII.

3.   Države članice mogu predvidjeti da nadzorno tijelo osnovano na temelju Uredbe (EU) 2016/679 bude nadzorno tijelo iz ove Direktive i da preuzme odgovornost za zadaće nadzornog tijela koje treba osnovati na temelju stavka 1. ovog članka.

4.   Ako je u jednoj državi članici osnovano više od jednog nadzornog tijela, ta država članica određuje nadzorno tijelo koje predstavlja ta tijela u Odboru iz članka 51.

Članak 42.

Neovisnost

1.   Svaka država članica osigurava da svako nadzorno tijelo djeluje potpuno neovisno pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti u skladu s ovom Direktivom.

2.   Države članice osiguravaju da član ili članovi njihovih nadzornih tijela pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti u skladu s ovom Direktivom nisu podložni vanjskom utjecaju, bilo izravnom ili neizravnom, te da ne traže ni ne primaju upute ni od koga.

3.   Članovi nadzornih tijela država članica moraju se suzdržavati od svih radnji koje nisu u skladu s njihovim dužnostima te se tijekom svojeg mandata ne smiju baviti nikakvom neusklađenom djelatnošću, bez obzira na to je li ona plaćena ili ne.

4.   Svaka država članica osigurava da svako nadzorno tijelo ima ljudske, tehničke i financijske resurse, prostorije i infrastrukturu potrebne za djelotvorno obavljanje svojih zadaća i izvršavanje svojih ovlasti, uključujući one koje treba izvršavati u kontekstu uzajamne pomoći, suradnje i sudjelovanja u Odboru.

5.   Svaka država članica osigurava da svako nadzorno tijelo odabire i ima vlastito osoblje kojim isključivo rukovodi član ili članovi predmetnog nadzornog tijela.

6.   Svaka država članica osigurava da svako nadzorno tijelo podliježe financijskoj kontroli koja ne utječe na njegovu neovisnost te da ima zasebne, javne, godišnje proračune koji mogu biti dio cjelokupnog državnog ili nacionalnog proračuna.

Članak 43.

Opći uvjeti za članove nadzornog tijela

1.   Države članice osiguravaju da svakog člana njihovih nadzornih tijela u okviru transparentnog postupka imenuje:

njihov parlament;

njihova vlada;

njihov šef države; ili

neovisno tijelo kojem je pravom države članice povjereno to imenovanje.

2.   Svaki član mora imati kvalifikacije, iskustvo i vještine, posebno u području zaštite osobnih podataka, potrebne za obavljanje svojih dužnosti i izvršavanje svojih ovlasti.

3.   Dužnosti člana završavaju u slučaju isteka mandata, ostavke ili razrješenja dužnosti u skladu s pravom dotične države članice.

4.   Član smije biti otpušten samo u slučajevima teške povrede dužnosti ili ako član više ne ispunjava uvjete potrebne za izvršavanje dužnosti.

Članak 44.

Pravila za osnivanje nadzornog tijela

1.   Svaka država članica zakonom predviđa sve od navedenog:

(a)

osnivanje svakog nadzornog tijela;

(b)

kvalifikacije i uvjete prihvatljivosti potrebne za imenovanje članom svakog nadzornog tijela;

(c)

pravila i postupke za imenovanje člana ili članova svakog nadzornog tijela;

(d)

trajanje mandata člana ili članova svakog nadzornog tijela ne kraćeg od četiri godine, osim za prvo imenovanje nakon 6. svibnja 2016., a čiji dio može trajati kraće ako je to potrebno kako bi se zaštitila neovisnost nadzornog tijela putem postupka postupnog imenovanja;

(e)

jesu li član ili članovi svakog nadzornog tijela prihvatljivi da budu ponovo izabrani i, ako jesu, na koliko mandata;

(f)

uvjete kojima se uređuju obveze člana ili članova osoblja svakog nadzornog tijela, zabrane djelovanja, poslova i pogodnosti koji nisu u skladu s tim tijekom i nakon mandata te pravila kojima se uređuje prestanak radnog odnosa.

2.   Član ili članovi i osoblje svakog nadzornog tijela podliježu, u skladu s pravom Unije ili pravom države članice, obvezi čuvanja profesionalne tajne i za vrijeme i nakon njegova završetka, s obzirom na sve povjerljive informacije koje doznaju tijekom obavljanja svojih dužnosti ili izvršavanja svojih ovlasti. Tijekom svojeg mandata ta se dužnost čuvanja profesionalne tajne posebno primjenjuje na izvješćivanje pojedinaca o kršenjima ove Direktive.

Odjeljak 2.

Nadležnost, zadaće i ovlasti

Članak 45.

Nadležnost

1.   Svaka država članica osigurava da je svako nadzorno tijelo nadležno za obavljanje zadaća koje su mu povjerene i izvršavanje ovlasti koje su mu dodijeljene u skladu s ovom Direktivom na državnom području vlastite države članice.

2.   Svaka država članica osigurava da je svako nadzorno tijelo nadležno za nadzor postupaka obrade koju provode sudovi kada djeluju u okviru svoje sudbene nadležnosti. Države članice mogu osigurati da njihovo nadzorno tijelo ne bude nadležno za nadzor postupaka obrade koje provode druga neovisna pravosudna tijela kada djeluju u okviru svoje sudbene nadležnosti.

Članak 46.

Zadaće

1.   Svaka država članica osigurava da svako nadzorno tijelo na njezinom području:

(a)

prati i provodi primjenu odredaba donesenih na temelju ove Direktive i njezinih provedbenih mjera;

(b)

promiče javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom te njihovo razumijevanje;

(c)

savjetuje, u skladu s pravom države članice, nacionalni parlament, vladu i druge institucije i tijela o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca u pogledu obrade;

(d)

promiče osviještenost voditeljâ obrade i izvršitelja obrade o njihovim obvezama na temelju ove Direktive;

(e)

na zahtjev pruža informacije bilo kojem ispitaniku u vezi s ostvarivanjem njihovih prava na temelju ove Direktive, a prema potrebi, u tu svrhu surađuje s nadzornim tijelima u drugim državama članicama;

(f)

rješava pritužbe koje podnesu ispitanik ili tijelo, organizacija ili udruženje u skladu s člankom 55. i istražuje u odgovarajućoj mjeri predmet pritužbe te izvješćuje u razumnom roku podnositelja pritužbe o napretku i ishodu istrage, posebno ako je potrebna daljnja istraga ili koordinacija s drugim nadzornim tijelom;

(g)

provjerava zakonitost obrade u skladu s člankom 17. i u razumnom roku obavješćuje ispitanika o ishodu provjere na temelju stavka 3. tog članka ili razlozima zbog kojih provjera nije obavljena;

(h)

surađuje s drugim nadzornim tijelima, među ostalim dijeljenjem informacija, te pruža uzajamnu pomoć drugim nadzornim tijelima s ciljem osiguravanja dosljednosti primjene i provedbe ove Direktive;

(i)

provodi istrage o primjeni ove Direktive, među ostalim na temelju informacija primljenih od drugog nadzornog ili drugog tijela javne vlasti;

(j)

prati relevantni razvoj događaja ako oni imaju utjecaj na zaštitu osobnih podataka, posebno razvoj informacijskih i komunikacijskih tehnologija;

(k)

pruža savjete o postupcima obrade iz članka 28.; i

(l)

doprinosi aktivnostima Odbora.

2.   Svako nadzorno tijelo olakšava podnošenje pritužbi iz stavka 1. točke (f) mjerama poput osiguravanja obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući ostala sredstva komunikacije.

3.   Izvršavanje zadaća svakog nadzornog tijela besplatno je za ispitanika i službenika za zaštitu podataka.

4.   Ako je zahtjev ispitanika očito neutemeljen ili pretjeran, osobito zbog učestalog ponavljanja, nadzorno tijelo može naplatiti razumnu naknadu na temelju administrativnih troškova ili odbiti postupiti po zahtjevu. U tom je slučaju teret dokaza da je zahtjev očito neutemeljen ili pretjeran na nadzornom tijelu.

Članak 47.

Ovlasti

1.   Svaka država članica zakonom osigurava da svako nadzorno tijelo ima učinkovite istražne ovlasti. Te ovlasti uključuju barem ovlast da od voditelja obrade i izvršitelja obrade ishodi pristup svim osobnim podacima koji se obrađuju te svim informacijama potrebnim za obavljanje svojih zadaća.

2.   Svaka država članica zakonom osigurava da svako nadzorno tijelo ima učinkovite korektivne ovlasti kao što su na primjer:

(a)

izdavati upozorenja voditelju obrade ili izvršitelju obrade da bi namjeravani postupci obrade mogli prouzročiti kršenje odredaba donesenih na temelju ove Direktive;

(b)

narediti voditelju obrade ili izvršitelju obrade da, prema potrebi, postupke obrade uskladi s odredbama donesenima na temelju ove Direktive, na određeni način i u određenom roku, posebno na način da zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade na temelju članka 16.;

(c)

privremeno ili konačno ograničiti, među ostalim zabraniti, obradu.

3.   Svaka država članica zakonom osigurava da svako nadzorno tijelo ima stvarne savjetodavne ovlasti savjetovati voditelja obrade u skladu s prethodnim postupkom savjetovanja iz članka 28. i dati, na vlastitu inicijativu ili na zahtjev, nacionalnom parlamentu, vladi države članice ili, u skladu sa svojim nacionalnim pravom, drugim institucijama i tijelima, kao i javnosti, mišljenje o svakom pitanju u vezi sa zaštitom osobnih podataka.

4.   Izvršavanje ovlasti dodijeljenih nadzornom tijelu u skladu s ovim člankom podliježe odgovarajućim zaštitnim mjerama, među ostalim učinkovitom pravnom lijeku i odgovarajućem postupku, kako je utvrđeno pravom Unije i pravom države članice u skladu s Poveljom.

5.   Svaka država članica zakonom osigurava da je njezino nadzorno tijelo ovlašteno obavijestiti pravosudna tijela o kršenjima odredaba donesenih na temelju ove Direktive i prema potrebi započeti ili na drugi način sudjelovati u pravnim postupcima s ciljem provođenja odredaba donesenih na temelju ove Direktive.

Članak 48.

Izvješćivanje o kršenjima

Države članice osiguravaju da nadležna tijela uspostave učinkovite mehanizme za poticanje povjerljivog izvješćivanja o kršenjima ove Direktive.

Članak 49.

Izvješća o aktivnostima

Svako nadzorno tijelo sastavlja godišnje izvješće o svojim aktivnostima kojima može biti obuhvaćen popis vrsta kršenja o kojima je izviješteno i vrsta izrečenih sankcija. Ta se izvješća prosljeđuju nacionalnom parlamentu, vladi i drugim tijelima kako je utvrđeno pravom države članice. Ona moraju biti dostupna javnosti, Komisiji i Odboru.

POGLAVLJE VII.

Suradnja

Članak 50.

Uzajamna pomoć

1.   Države članice osiguravaju da si njihova nadzorna tijela međusobno pružaju bitne informacije i uzajamnu pomoć kako bi konzistentno provela i primijenila ovu Direktivu te uspostavljaju mjere za djelotvornu uzajamnu suradnju. Uzajamna pomoć obuhvaća osobito zahtjeve za informacijama i mjerama nadzora, kao što su zahtjevi za provedbu savjetovanja, inspekcija i istraga.

2.   Države članice osiguravaju da svako nadzorno tijelo poduzima sve prikladne mjere potrebne da odgovori na zahtjev drugog nadzornog tijela bez nepotrebnog odgađanja i najkasnije u roku od jednog mjeseca nakon što je zaprimilo zahtjev. Takve mjere mogu posebno obuhvaćati prijenos bitnih informacija o vođenju istrage.

3.   Zahtjevi za pomoć moraju sadržavati sve potrebne informacije, uključujući svrhu i razloge za zahtjev. Razmijenjene informacije smiju se upotrebljavati samo u zatraženu svrhu.

4.   Nadzorno tijelo kojem je upućen zahtjev za ne smije odbiti udovoljiti zahtjevu osim u slučaju da:

(a)

nije nadležno za predmet zahtjeva ili za mjere koje se od njega traže da ih provede; ili

(b)

poštovanje zahtjeva kršilo bi ovu Direktivu ili pravo Unije ili pravo države članice kojem podliježe nadzorno tijelo koje zaprimi zahtjev.

5.   Nadzorno tijelo koje zaprimi zahtjev izvješćuje nadzorno tijelo koje je podnijelo zahtjev o rezultatima ili, ovisno o slučaju, o napretku ili mjerama poduzetim da se ispuni zahtjev. Nadzorno tijelo kojem je upućen zahtjev obrazlaže razloge za svako odbijanje zahtjeva na temelju stavka 4.

6.   Nadzorna tijela kojima je upućen zahtjevu pravilu pružaju informacije koje druga nadzorna tijela zatraže elektroničkim putem, koristeći se standardiziranim formatom.

7.   Za bilo koju radnju poduzetu na temelju zahtjeva za uzajamnu pomoć ne naplaćuje se naknada. Nadzorna tijela mogu dogovoriti pravila za uzajamne naknade posebnih izdatka koji proizlaze iz pružanja uzajamne pomoći u izvanrednim okolnostima.

8.   Komisija može putem provedbenih akata odrediti format i postupke za uzajamnu pomoć iz ovog članka i aranžmane za razmjenu informacija elektroničkim putem između nadzornih tijela te između nadzornih tijela i Odbora. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 58. stavka 2.

Članak 51.

Zadaće Odbora

1.   Odbor osnovan Uredbom (EU) 2016/679 obavlja sljedeće zadaće u vezi s obradom u okviru područja primjene ove Direktive:

(a)

savjetuje Komisiju o svim pitanjima u vezi sa zaštitom osobnih podataka u Uniji kao i o svakoj predloženoj izmjeni ove Direktive;

(b)

ispituje na vlastitu inicijativu, na zahtjev jednog od svojih članova ili na zahtjev Komisije sva pitanja koja obuhvaćaju primjenu ove Direktive i izdaje smjernice, preporuke i primjere najbolje prakse kako bi poticao dosljednu primjenu ove Direktive;

(c)

izrađuje smjernice za nadzorna tijela u pogledu primjene mjera iz članka 47. stavaka 1. i 3.;

(d)

izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog podstavka za utvrđivanje povrede osobnih podataka te određivanje nepotrebnog odgađanja iz članka 30. stavaka 1. i 2. te za posebne okolnosti u kojima se od voditelja obrade ili izvršitelja obrade zahtijeva obavješćivanje o povredi osobnih podataka;

(e)

izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog podstavka u pogledu okolnosti u kojima će povreda osobnih podataka vjerojatno dovesti do visokog rizika u pogledu pravâ i sloboda pojedinaca kako je navedeno u članku 31. stavku 1.;

(f)

preispituje praktičnu primjenu smjernica, preporuka i primjera najbolje prakse iz točaka (b) i (c);

(g)

daje mišljenje Komisiji o procjeni primjerenosti razine zaštite koja postoji u trećoj zemlji, području ili jednom ili više određenih sektora u trećoj zemlji, ili međunarodnoj organizaciji, uključujući procjenu o tome jesu li takva treća zemlja, područje, određeni sektor ili međunarodna organizacija prestali osiguravati primjerenu razinu zaštite;

(h)

promiče suradnju i djelotvornu bilateralnu i multilateralnu razmjenu informacija i primjera najbolje prakse među nadzornim tijelima;

(i)

promiče zajedničke programe osposobljavanja i potpomaže razmjenu osoblja među nadzornim tijelima, te prema potrebi, s nadzornim tijelima trećih zemalja ili međunarodnih organizacija;

(j)

promiče razmjenu znanja i dokumentacije o zakonima i praksi u vezi sa zaštitom podataka s nadzornim tijelima za zaštitu podataka širom svijeta.

U pogledu prvog stavka točke (g), Komisija dostavlja Odboru svu potrebnu dokumentaciju, uključujući korespondenciju s vladom treće zemlje, s područjem ili određenim sektorom u toj trećoj zemlji, ili s međunarodnom organizacijom.

2.   Ako Komisija zatraži savjet Odbora, ona može navesti rok, uzimajući u obzir hitnost predmeta.

3.   Odbor svoja mišljenja, smjernice, preporuke i primjere najbolje prakse šalje Komisiji i odboru iz članka 58. stavka 1. te ih objavljuje.

4.   Komisija obavješćuje Odbor o mjerama koje je poduzela nakon što je Odbor izdao mišljenja, smjernice, preporuke i primjere najbolje prakse.

POGLAVLJE VIII.

Pravni lijekovi, odgovornost i sankcije

Članak 52.

Pravo na podnošenje pritužbe nadzornom tijelu

1.   Ne dovodeći u pitanje druge upravne ili pravne lijekove države članice osiguravaju da svaki ispitanik ima pravo podnijeti pritužbu jednom nadzornom tijelu, ako ispitanik smatra da obrada osobnih podataka koji se odnose na njega krši odredbe donesene na temelju ove Direktive.

2.   Države članice osiguravaju da pritužbu koja nije podnesena nadzornom tijelu koje je nadležno na temelju članka 45. stavka 1., nadzorno tijelo kojem je pritužba podnesena prenosi nadležnomu nadzornom tijelu, bez nepotrebnog odgađanja. Ispitanik mora biti obaviješten o tome prijenosu.

3.   Države članice osiguravaju da nadzorno tijelo kojem je pritužba podnesena pruža dodatnu pomoć na zahtjev ispitanika.

4.   Nadležno nadzorno tijelo obavješćuje ispitanika o napretku i ishodu pritužbe, među ostalim o mogućnosti pravnog lijeka na temelju članka 53.

Članak 53.

Pravo na učinkoviti pravni lijek protiv nadzornog tijela

1.   Ne dovodeći u pitanje nijedan drugi upravni ili izvansudski pravni lijek, države članice osiguravaju pravo fizičke ili pravne osobe na učinkoviti pravni lijek protiv pravno obvezujuće odluke nadzornog tijela koja se na nju odnosi.

2.   Ne dovodeći u pitanje nijedan drugi upravni ili izvansudski pravni lijek svaki ispitanik ima pravo na učinkoviti pravni lijek ako nadzorno tijelo koje je nadležno na temelju članka 45. stavka 1. ne riješi pritužbu ili ne izvijesti ispitanika u roku od tri mjeseca o napretku ili ishodu pritužbe podnesene na temelju članka 52.

3.   Države članice osiguravaju da se postupci protiv nadzornog tijela pokreću pred sudovima države članice u kojoj nadzorno tijelo ima poslovni nastan.

Članak 54.

Pravo na učinkoviti pravni lijek protiv voditelja obrade ili izvršitelja obrade

Ne dovodeći u pitanje nijedan dostupan upravni ili izvansudski pravni lijek, uključujući pravo na podnošenje pritužbe nadzornom tijelu u skladu s člankom 52., države članice ispitaniku osiguravaju pravo na učinkovit pravni lijek ako on smatra da su mu prekršena njegova prava utvrđena odredbama donesenima na temelju ove Direktive uslijed obrade njegovih osobnih podataka koja nije u skladu s tim odredbama.

Članak 55.

Zastupanje ispitanika

U skladu s postupovnim pravom države članice osiguravaju da ispitanik ima pravo ovlastiti neprofitno tijelo, organizaciju ili udruženje, koje je pravilno osnovano u skladu sa pravom države članice, u čijem se statutu navode ciljevi od javnog interesa te koje je aktivno u području zaštite prava i sloboda ispitanika s obzirom na zaštitu njegovih osobnih podataka, da podnesu pritužbu u njegovo ime i da ostvaruju prava iz članaka 52., 53. i 54. u njegovo ime.

Članak 56.

Pravo na naknadu štete

Države članice osiguravaju da svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog postupka nezakonite obrade ili bilo koje radnje kojim se krše nacionalne odredbe donesene na temelju ove Direktive za pretrpljenu štetu ima pravo na naknadu štete od voditelja obrade ili bilo kojeg drugoga tijela nadležnog prema pravu države članice.

Članak 57.

Sankcije

Države članice utvrđuju pravila o sankcijama koje se primjenjuju na kršenja odredaba donesenih na temelju ove Direktive te poduzimaju sve potrebne mjere kako bi se osigurala njihova provedba. Predviđene sankcije moraju biti učinkovite, proporcionalne i odvraćajuće.

POGLAVLJE IX.

Provedbeni akti

Članak 58.

Postupak odbora

1.   Komisiji pomaže Odbor osnovan člankom 93. Uredbe (EU) 2016/679. Navedeni odbor je odbor u smislu Uredbe (EU) br. 182/2011.

2.   Pri upućivanju na ovaj stavak primjenjuje se članak 5. Uredbe (EU) br. 182/2011.

3.   Pri upućivanju na ovaj stavak primjenjuje se članak 8. Uredbe (EU) br. 182/2011 u vezi s njezinim člankom 5.

POGLAVLJE X.

Završne odredbe

Članak 59.

Stavljanje izvan snage Okvirne odluke 2008/977/PUP

1.   Okvirna odluka 2008/977/PUP stavlja se izvan snage s učinkom od 6. svibnja 2018.

2.   Upućivanja na odluku stavljenu izvan snage iz stavka 1. smatraju se upućivanjima na ovu Direktivu.

Članak 60.

Pravni akti Unije koji su već na snazi

Posebne odredbe za zaštitu osobnih podataka u pravnim aktima Unije koji su stupili na snagu u području pravosudne suradnje u kaznenim stvarima i policijske suradnje koji su doneseni na dan ili prije 6. svibnja 2016. kojima se uređuje obrada među državama članicama i pristup imenovanih tijela država članica informacijskim sustavima uspostavljenima na temelju Ugovorâ unutar područja primjene ove Direktive ostaju nepromijenjene.

Članak 61.

Odnos s prethodno sklopljenim međunarodnim sporazumima u području pravosudne suradnje u kaznenim stvarima i policijske suradnje

Međunarodni sporazumi koji uključuju prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama koje su države članice sklopile prije 6. svibnja 2016., a koji su u skladu s pravom Unije primjenjivim prije tog datuma, ostaju na snazi dok ih se ne izmijeni, zamijeni ili stavi izvan snage.

Članak 62.

Izvješća Komisije

1.   Do 6. svibnja 2022., i svake četiri godine nakon toga, Komisija podnosi izvješće Europskom parlamentu i Vijeću o ocjeni i preispitivanju ove Direktive. Izvješća se javno objavljuju.

2.   U okviru ocjena i preispitivanjâ iz stavka 1., Komisija osobito preispituje primjenu i funkcioniranje poglavlja V. o prijenosu osobnih podataka trećim zemljama ili međunarodnim organizacijama, osobito u pogledu odluka donesenih na temelju članka 36. stavka 3. i članka 39.

3.   Za potrebe stavaka 1. i 2. Komisija može zatražiti informacije od država članica i nadzornih tijela.

4.   Pri obavljanju ocjena i preispitivanjâ iz stavaka 1. i 2. Komisija uzima u obzir stajališta i nalaze Europskog parlamenta, Vijeća te drugih relevantnih tijela ili izvora.

5.   Komisija prema potrebi podnosi odgovarajuće prijedloge s ciljem izmjene ove Direktive, posebno uzimajući u obzir razvoj informacijske tehnologije te s obzirom na napredak informacijskog društva.

6.   Do 6. svibnja 2019. Komisija preispituje druge pravne akte koje je donijela Unija kojima se uređuje obrada od strane nadležnih tijela u svrhe iz članka 1. stavka 1., uključujući one akte iz članka 60. koje je Unija donijela kako bi se procijenila potreba da se usklade s ovom Direktivom i kako bi se, prema potrebi, dali potrebni prijedlozi za izmjenu tih akata s ciljem osiguravanja dosljednog pristupa zaštiti osobnih podataka unutar područja primjene ove Direktive.

Članak 63.

Prenošenje

1.   Države članice stavljaju na snagu zakone i druge propise koji su potrebni radi usklađivanja s ovom Direktivom do 6. svibnja 2018. One Komisiji odmah dostavljaju tekst tih odredaba. One primjenjuju te odredbe od 6. svibnja 2018.

Kada države članice donose te odredbe, one sadržavaju upućivanje na ovu Direktivu ili se na nju upućuje prilikom njihove službene objave. Države članice određuju načine tog upućivanja.

2.   Odstupajući od stavka 1., država članica može predvidjeti da se, iznimno, ako to zahtijeva nerazmjeran napor, automatizirani sustavi obrade uspostavljeni prije 6. svibnja 2016. moraju uskladiti s člankom 25. stavkom 1. do 6. svibnja 2023.

3.   Odstupajući od stavaka 1. i 2. ovog članka, država članica može, u iznimnim okolnostima, automatizirani sustav obrade kako je navedeno u stavku 2. ovog članka uskladiti s člankom 25. stavkom 1. unutar određenog roka nakon roka iz stavka 2. ovog članka, ako bi to u suprotnom uzrokovalo ozbiljne poteškoće u radu tog automatiziranog sustava obrade. Dotična država članica obavješćuje Komisiju o razlozima tih ozbiljnih poteškoća te razlozima određenog roka unutar kojeg se taj konkretni automatizirani sustav obrade usklađuje s člankom 25. stavkom 1. Određeni rok u svakom slučaju ne smije biti kasnije od do 6. svibnja 2026.

4.   Države članice Komisiji šalju tekst glavnih odredaba nacionalnog prava koje donesu u području na koje se odnosi ova Direktiva.

Članak 64.

Stupanje na snagu

Ova Direktiva stupa na snagu sljedećeg dana od dana objave u Službenom listu Europske unije.

Članak 65.

Adresati

Ova je Direktiva upućena državama članicama.

Sastavljeno u Bruxellesu 27. travnja 2016.

Za Europski parlament

Predsjednik

M. SCHULZ

Za Vijeće

Predsjednica

J.A. HENNIS-PLASSCHAERT


(1)  SL C 391, 18.12.2012., str. 127.

(2)  Stajalište Europskog parlamenta od 12. ožujka 2014. (još nije objavljeno u Službenom listu) i stajalište Vijeća u prvom čitanju od 8. travnja 2016. (još nije objavljeno u Službenom listu). Stajalište Europskog parlamenta od 14. travnja 2016.

(3)  Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom protoku takvih podataka (SL L 281, 23.11.1995., str. 31.).

(4)  Okvirna odluka Vijeća 2008/977/PUP od 27. studenoga 2008. o zaštiti osobnih podataka obrađenih u okviru policijske i pravosudne suradnje u kaznenim stvarima (SL L 350, 30.12.2008., str. 60.).

(5)  Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (vidjeti stranicu 1. ovoga Službenog lista).

(6)  Uredba (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (SL L 8, 12.1.2001., str. 1.).

(7)  Direktiva 2011/24/EU Europskog parlamenta i Vijeća od 9. ožujka 2011. o primjeni prava pacijenata u prekograničnoj zdravstvenoj skrbi (SL L 88, 4.4.2011., str. 45.).

(8)  Zajedničko stajalište Vijeća 2005/69/PUP od 24. siječnja 2005. o razmjeni određenih podataka s Interpolom (SL L 27, 29.1.2005., str. 61.).

(9)  Odluka Vijeća 2007/533/PUP od 12. lipnja 2007. o osnivanju, radu i korištenju druge generacije Schengenskog informacijskog sustava (SIS II) (SL L 205, 7.8.2007., str. 63.).

(10)  Direktiva Vijeća 77/249/EEZ od 22. ožujka 1977. o olakšavanju učinkovitog ostvarivanja slobode pružanja odvjetničkih usluga (SL L 78, 26.3.1977., str. 17.).

(11)  Uredba (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).

(12)  Odluka Vijeća 2008/615/PUP od 23. lipnja 2008. o produbljivanju prekogranične suradnje, posebno u suzbijanju terorizma i prekograničnog kriminala (SL L 210, 6.8.2008., str. 1.).

(13)  Akt Vijeća od 29. svibnja 2000. kojim se u skladu s člankom 34. Ugovora o Europskoj uniji donosi Konvencija o uzajamnoj pravnoj pomoći u kaznenim stvarima među državama članicama Europske unije(SL C 197, 12.7.2000., str. 1.).

(14)  Direktiva 2011/93/EU Europskog parlamenta i Vijeća od 13. prosinca 2011. o suzbijanju seksualnog zlostavljanja i seksualnog iskorištavanja djece i dječje pornografije, te o zamjeni Okvirne odluke Vijeća 2004/68/PUP (SL L 335, 17.12.2011., str. 1.).

(15)  SL L 176, 10.7.1999., str. 36.

(16)  SL L 53, 27.2.2008., str. 52.

(17)  SL L 160, 18.6.2011., str. 21.

(18)  SL C 192, 30.6.2012., str. 7.


Top