Ovaj je tekst namijenjen isključivo dokumentiranju i nema pravni učinak. Institucije Unije nisu odgovorne za njegov sadržaj. Vjerodostojne inačice relevantnih akata, uključujući njihove preambule, one su koje su objavljene u Službenom listu Europske unije i dostupne u EUR-Lexu. Tim službenim tekstovima može se izravno pristupiti putem poveznica sadržanih u ovom dokumentu.

o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP

1. Ovom se Direktivom utvrđuju pravila povezana sa zaštitom pojedinaca u pogledu obrade osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje.

(a) štite temeljna prava i slobode pojedinaca, a posebno njihovo pravo na zaštitu osobnih podataka; i

(b) osiguravaju da se razmjena osobnih podataka među nadležnim tijelima unutar Unije, kada se takva razmjena zahtijeva pravom Unije ili pravom države članice, ne ograniči niti zabrani iz razloga povezanih sa zaštitom pojedinaca u pogledu obrade osobnih podataka.

3. Ovom se Direktivom ne sprečava države članice da predvide snažnije zaštitne mjere za zaštitu prava i sloboda ispitanika u pogledu obrade osobnih podataka od strane nadležnih tijela, od onih koje su utvrđene u ovoj Direktivi.

1. Ova se Direktiva primjenjuje na obradu osobnih podataka od strane nadležnih tijela u svrhe utvrđene u članku 1. stavku 1.

2. Ova se Direktiva primjenjuje na obradu osobnih podataka koja se u cijelosti ili djelomično obavlja automatizirano te na neautomatiziranu obradu osobnih podataka koji čine dio sustava pohrane ili su namijenjeni biti dio sustava pohrane.

1. „osobni podaci” znači svi podaci koji se odnose na pojedinca čiji je identitet utvrđen ili se može utvrditi „ispitanik”; pojedinac čiji se identitet može utvrditi jest osoba koja se može identificirati izravno ili neizravno, osobito uz pomoć identifikatora kao što su ime, identifikacijski broj, podaci o lokaciji, mrežni identifikator ili uz pomoć jednog ili više čimbenika svojstvenih za fizički, fiziološki, genetski, mentalni, ekonomski, kulturni ili socijalni identitet tog pojedinca;

2. „obrada” znači svaki postupak ili skup postupaka koji se obavljaju na osobnim podacima ili skupovima osobnih podataka, bilo automatiziranim bilo neautomatiziranim sredstvima kao što su prikupljanje, bilježenje, organizacija, strukturiranje, pohrana, prilagodba ili izmjena, pronalaženje, obavljanje uvida, uporaba, otkrivanje prijenosom, širenjem ili stavljanjem na raspolaganje na drugi način, usklađivanje ili kombiniranje, ograničavanje, brisanje ili uništavanje;

3. „ograničavanje obrade” znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove obrade u budućnosti;

4. „izrada profila” znači svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca;

5. „pseudonimizacija” znači obrada osobnih podataka na način da se podaci više ne mogu pripisati određenom ispitaniku bez uporabe dodatnih informacija, pod uvjetom da se takve dodatne informacije drže odvojeno te podliježu tehničkim i organizacijskim mjerama kako bi se osiguralo da se osobni podaci ne mogu pripisati pojedincu čiji je identitet utvrđen ili se može utvrditi;

6. „sustav pohrane” znači svaki strukturirani skup osobnih podataka dostupnih prema posebnim kriterijima, bilo da su centralizirani, decentralizirani ili raspršeni na funkcionalnoj ili zemljopisnoj osnovi;

(a) svako tijelo javne vlasti nadležno za sprečavanje, istragu, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje; ili

(b) svako drugo tijelo ili subjekt kojem je pravom države članice povjereno obavljanje javnih dužnosti i izvršavanje javnih ovlasti u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija, uključujući zaštitu od prijetnji javnoj sigurnosti i njihovo sprečavanje;

8. „voditelj obrade” znači nadležno tijelo koje samo ili zajedno s drugima određuje svrhe i sredstva obrade osobnih podataka; kada su svrhe i sredstva obrade utvrđeni pravom Unije ili pravom države članice, voditelj obrade ili posebni kriteriji za njegovo imenovanje mogu se odrediti pravom Unije ili pravom države članice;

9. „izvršitelj obrade” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo koje obrađuje osobne podatke u ime voditelja obrade;

10. „primatelj” znači fizička ili pravna osoba, tijelo javne vlasti, agencija ili drugo tijelo kojem se otkrivaju osobni podaci, neovisno o tome je li on treća strana. Međutim, tijela javne vlasti koja mogu primiti osobne podatke u okviru određene istrage u skladu s pravom države članice ne smatraju se primateljima; obrada tih podataka koju obavljaju ta tijela javne vlasti mora biti u sladu s primjenjivim pravilima o zaštiti podataka prema svrhama obrade;

11. „povreda osobnih podataka” znači kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima koji su preneseni, pohranjeni ili na drugi način obrađivani;

12. „genetski podaci” znači svi osobni podaci koji se odnose na naslijeđena ili stečena genetska obilježja pojedinca koja daju jedinstvenu informaciju o fiziologiji ili zdravlju tog pojedinca, i koji su dobiveni osobito analizom biološkog uzorka dotičnog pojedinca;

13. „biometrijski podaci” znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci;

14. „podaci koji se odnose na zdravlje” znači osobni podaci povezani s fizičkim ili mentalnim zdravljem pojedinca, uključujući pružanje zdravstvenih usluga, kojima se daju informacije o njegovu zdravstvenom statusu;

15. „nadzorno tijelo” znači neovisno tijelo javne vlasti koje je osnovala država članica u skladu s člankom 41.;

16. „međunarodna organizacija” znači organizacija i njezina podređena tijela uređena međunarodnim javnim pravom ili bilo koje drugo tijelo koje su sporazumom ili na osnovi sporazuma osnovale dvije ili više zemalja.

(b) prikupljeni u posebne, izričite i zakonite svrhe te da ih se ne obrađuje na način koji nije u skladu s tim svrhama;

(d) točni i prema potrebi ažurni; mora se poduzeti svaka razumna mjera radi osiguravanja da se osobni podaci koji nisu točni, uzimajući u obzir svrhe u koje se obrađuju, bez odlaganja izbrišu ili isprave;

(e) čuvani u obliku koji omogućuje identifikaciju ispitanikâ samo onoliko dugo koliko je potrebno u svrhe radi kojih se osobni podaci obrađuju;

(f) obrađivani na način kojim se osigurava odgovarajuća sigurnost osobnih podataka, uključujući zaštitu od neovlaštene ili nezakonite obrade te od slučajnog gubitka, uništenja ili oštećenja primjenom odgovarajućih tehničkih ili organizacijskih mjera.

2. Obrada koju obavlja isti ili neki drugi voditelj obrade u svrhu iz članka 1. stavka 1. različitu od one za koju su osobni podaci prikupljeni dopuštena je:

(a) ako je voditelj obrade ovlašten za obradu takvih osobnih podataka u takvu svrhu u skladu s pravom Unije ili pravom države članice; te

(b) ako je obrada nužna i proporcionalna toj drugoj svrsi u skladu s pravom Unije ili pravom države članice.

3. Obrada koju obavlja isti ili neki drugi voditelj obrade može uključivati arhiviranje u javnom interesu, u znanstvene, statističke ili povijesne svrhe, za potrebe iz članka 1. stavka 1., podložno odgovarajućim zaštitnim mjerama u pogledu prava i sloboda ispitanikâ.

4. Voditelj obrade odgovoran je za usklađenost sa stavcima 1., 2. i 3. te je mora biti u mogućnosti dokazati.

Države članice osiguravaju da se za brisanje osobnih podataka ili za periodično preispitivanje potrebe za pohranom osobnih podataka predvide odgovarajući rokovi. Postupovnim mjerama osigurava se poštovanje tih rokova.

Države članice osiguravaju da voditelj obrade, prema potrebi i koliko je god to moguće, radi jasnu razliku između osobnih podataka različitih kategorija ispitanika, kao što su:

(a) osobe za koje postoje ozbiljni razlozi za vjerovati da su počinile ili će počiniti kazneno djelo;

(c) žrtve kaznenog djela ili osobe u pogledu kojih postoje određene činjenice koje daju razloge vjerovati da bi ta osoba mogla biti žrtva kaznenog djela; i

(d) druge strane u kaznenim djelima, kao što su osobe koje se može pozvati da svjedoče u istragama u vezi s kaznenim djelima ili naknadnom kaznenom postupku, osobe koje mogu dati informacije o kaznenim djelima ili osobe za kontakt ili suradnici jedne od osoba iz točaka (a) i (b).

1. Države članice osiguravaju da se osobni podaci utemeljeni na činjenicama razlikuju što je više moguće od osobnih podataka utemeljenih na osobnim procjenama.

2. Države članice osiguravaju da nadležna tijela poduzmu sve razumne mjere kako bi osigurala da se osobni podaci koji su netočni, nepotpuni ili više nisu ažurni ne prenose niti ne stavljaju na raspolaganje. U tu svrhu svako nadležno tijelo, koliko je to izvedivo, provjerava kvalitetu osobnih podataka prije njihova prenošenja ili stavljanja na raspolaganje. Što je više moguće, pri svim prenošenjima osobnih podataka dodaju se nužne informacije koje nadležnom tijelu koje je podatke dobilo omogućuju ocjenjivanje stupnja točnosti, potpunosti i pouzdanosti osobnih podataka, kao i u kojoj su mjeri ažurni.

3. Pokaže li se da su preneseni netočni osobni podaci ili da su osobni podaci preneseni nezakonito, primatelj mora biti obaviješten bez odlaganja. U takvom slučaju osobni podaci moraju se ispraviti ili brisati ili obradu ograničiti u skladu s člankom 16.

1. Države članice osiguravaju da je obrada zakonita samo ako je nužna i samo u onoj mjeri u kojoj je nužna kako bi nadležno tijelo obavilo zadaću u svrhe navedene u članku 1. stavku 1. te da se temelji na pravu Unije ili pravu države članice.

2. Pravom države članice kojim se uređuje obrada unutar područja primjene ove Direktive navode se barem ciljevi obrade, osobni podaci za obradu i svrhe obrade.

1. Osobni podaci koje nadležna tijela prikupljaju za svrhe utvrđene u članku 1. stavku 1. ne smiju se obrađivati u svrhe koje su različite od onih utvrđenih u članku 1. stavku 1. osim ako je takva obrada odobrena pravom Unije ili pravom države članice. Ako se osobni podaci obrađuju u druge svrhe, primjenjuje se Uredba (EU) 2016/679, osim ako se obrada obavlja kao djelatnost koja je izvan područja primjene prava Unije.

2. Ako je pravom države članice nadležnim tijelima povjereno obavljanje zadaća drukčijih od onih koje se obavljaju u svrhe iz članka 1. stavka 1., Uredba (EU) 2016/679 primjenjuje se na obradu u takve svrhe, među ostalim i za arhiviranje u javnom interesu, ili u svrhe znanstvenog ili povijesnog istraživanja ili u statističke svrhe, osim ako se obrada provodi u okviru djelatnosti koja je izvan područja primjene prava Unije.

3. Države članice, ako pravo Unije ili pravo države članice kojemu podliježe nadležno tijelo koje prenosi podatke predviđa posebne uvjete za obradu, osiguravaju da nadležno tijelo koje prenosi takve osobne podatke primatelja kojemu ih prenosi obavješćuje o tim uvjetima i o zahtjevu za poštovanje tih uvjeta.

4. Države članice osiguravaju da nadležno tijelo koje prenosi podatke ne primjenjuje uvjete iz stavka 3.na primatelje u drugim državama članicama ili na agencije, urede i tijela osnovane u skladu s glavom V. poglavljima 4. i 5. UFEU-a, osim onih koji su primjenjivi na slične prijenose podataka u državi članici u kojoj se nalazi nadležno tijelo koje prenosi podatke.

Obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička mišljenja, religijska ili filozofska vjerovanja ili članstvo u sindikatu te obrada genetskih podataka, biometrijskih podataka u svrhu jedinstvene identifikacije pojedinca ili podataka koji se odnose na zdravlje ili podataka o spolnom životu ili seksualnoj orijentaciji pojedinca dopuštena je samo ako je to nužno, pridržavajući se odgovarajućih zaštitnih mjera u pogledu prava i sloboda ispitanika te samo:

1. Države članice osiguravaju da se zabrani odluka utemeljena samo na automatiziranoj obradi, među ostalim i na izradi profila, koja proizvodi negativne pravne učinke za ispitanika ili na njega znatno utječe, osim ako je odobrena pravom Unije ili pravom države članice kojem podliježe voditelj obrade te koje propisuje odgovarajuće zaštitne mjere za prava i slobode ispitanika, u najmanju ruku prava na ljudsku intervenciju voditelja obrade.

2. Odluke iz stavka 1. ovog članka ne smiju se temeljiti na posebnim kategorijama osobnih podataka iz članka 10., osim ako su uspostavljene odgovarajuće mjere zaštite prava i sloboda te legitimnih interesa ispitanika.

3. Zabranjuje se izrada profila koja dovodi do diskriminacije pojedinaca na temelju posebnih kategorija osobnih podataka iz članka 10., u skladu s pravom Unije.

1. Država članica osigurava da voditelj obrade poduzima sve razumne korake kako bi se ispitaniku pružile sve informacije iz članka 13. te daje ispitaniku sve obavijesti u pogledu članka 11., članaka od 14. do 18. i članka 31. u vezi s obradom u jezgrovitom, razumljivom i lako dostupnom obliku, upotrebljavajući jasan i jednostavan jezik. Informacije se pružaju bilo kojim odgovarajućim sredstvom, uključujući elektronička sredstva. U pravilu voditelj obrade pruža informacije u istom obliku u kojem je zahtjev.

2. Države članice osiguravaju da voditelj obrade olakšava ostvarivanje prava ispitanika iz članka 11. i članaka od 14. do 18.

3. Države članice osiguravaju da voditelj obrade ispitanika bez nepotrebnog odgađanja pisanim putem obavješćuje o mjerama koje su poduzete u vezi s njegovim zahtjevom.

4. Države članice osiguravaju da se informacije pružene na temelju članka 13. te sve obavijesti pružene ili mjere poduzete na temelju članka 11., članaka od 14. do 18. i članka 31. pružaju, odnosno poduzimaju, bez naknade. Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog njihova učestalog ponavljanja, voditelj obrade može:

(a) naplatiti razumnu naknadu, uzimajući u obzir administrativne troškove za pružanje informacija ili obavijesti ili za poduzimanje traženih mjera; ili

Teret dokaza očigledne neutemeljenosti ili pretjeranosti zahtjeva snosi voditelje obrade.

5. Ako voditelj obrade ima opravdane sumnje u pogledu identiteta pojedinca koji podnosi zahtjev iz članka 14. ili 16., voditelj obrade može tražiti pružanje dodatnih informacija potrebnih za potvrđivanje identiteta ispitanika.

1. Države članice osiguravaju da voditelj obrade ispitaniku stavlja na raspolaganje barem sljedeće informacije:

(e) postojanje prava da se od voditelja obrade zatraži pristup osobnim podacima, njihov ispravak ili brisanje, ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika.

2. Osim informacija iz stavka 1., države članice zakonom osiguravaju da u određenim slučajevima, kako bi se ispitaniku omogućilo ostvarivanje njegovih prava voditelj ispitaniku daje dodatne informacije o:

(b) razdoblju u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;

(d) prema potrebi, dodatne informacije, osobito ako se osobni podaci prikupljaju bez znanja ispitanika.

3. Države članice mogu donijeti zakonodavne mjere za odgađanje, ograničavanje ili uskraćivanje pružanja informacija ispitaniku na temelju stavka 2. u onoj mjeri i u onom trajanju u kojem takva mjera predstavlja potrebnu i proporcionalnu mjeru u demokratskom društvu uz dužno poštovanje temeljnih prava i legitimnih interesa dotičnog pojedinca, kako bi se:

(b) izbjeglo dovođenje u pitanje sprečavanja, otkrivanja, istrage ili progona kaznenih djela ili izvršavanja kaznenih sankcija;

4. Države članice mogu donijeti zakonodavne mjere radi određivanja kategorija obrade koje mogu u cijelosti ili djelomično biti obuhvaćene bilo kojom od točaka iz stavka 3.

Pridržavajući se članka 15. države članice ispitaniku osiguravaju pravo da od voditelja obrade ishodi potvrdu o tome obrađuju li se osobni podaci koji se odnose na njega te, ako se takvi osobni podaci obrađuju, pristup takvim osobnim podacima i sljedećim informacijama:

(c) primateljima ili kategorijama primatelja kojima su osobni podaci otkriveni, osobito primateljima u trećim zemljama ili međunarodnim organizacijama;

(d) ako je to moguće, predviđenom razdoblju u kojem će se osobni podaci pohranjivati ili, ako to nije moguće, kriterijima korištenima za utvrđivanje tog razdoblja;

(e) postojanju prava da se od voditelja obrade zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade osobnih podataka koji se odnose na ispitanika;

(g) obavješćivanju o osobnim podacima koji se obrađuju i o svim dostupnim informacijama o njihovu izvoru.

1. Države članice mogu donijeti zakonodavne mjere kojima se ispitaniku u cijelosti ili djelomično može ograničiti pravo pristupa u onoj mjeri i u onom trajanju u kojem takvo djelomično ili potpuno ograničavanje čini neophodnu i proporcionalnu mjeru u demokratskom društvu uz dužno poštovanje temeljnih prava i legitimnih interesa dotičnog pojedinca kako bi se:

(b) izbjeglo dovođenje u pitanje sprečavanja, otkrivanja, istrage ili progona kaznenih djela ili izvršavanja kaznenih sankcija;

2. Države članice mogu donijeti zakonodavne mjere radi određivanja kategorija obrade koje mogu u cijelosti ili djelomično biti obuhvaćene stavkom 1. točkama od (a) do (e).

3. U slučajevima iz stavaka 1. i 2. države članice osiguravaju da voditelj obrade bez nepotrebnog odgađanja pisanim putem obavješćuje ispitanika o svakom odbijanju ili ograničavanju pristupa te o razlozima odbijanja ili ograničavanja. To se ne primjenjuje ako bi pružanje takvih informacija dovelo u pitanje neku od svrha iz stavka 1. Države članice osiguravaju da voditelj obrade obavješćuje ispitanika o mogućnosti podnošenja pritužbe nadzornom tijelu ili traženja ►C1 sudskog pravnog lijeka ◄ .

4. Države članice osiguravaju da voditelj obrade bilježi činjenične ili pravne razloge na kojima se temelji odluka. Ti se podaci stavljaju na raspolaganje nadzornim tijelima.

1. Države članice ispitaniku osiguravaju pravo da od voditelja obrade, bez nepotrebnog odgađanja, ishodi ispravak netočnih osobnih podataka koji se na njega odnose. Uzimajući u obzir svrhe obrade podataka države članice osiguravaju da ispitanik ima pravo dopuniti nepotpune osobne podatke, među ostalim i davanjem dodatne izjave.

2. Države članice od voditelja obrade zahtijevaju da izbriše osobne podatke bez nepotrebnog odgađanja i predviđaju pravo ispitanika da od voditelja obrade ishodi brisanje osobnih podataka koji se na njega odnose bez nepotrebnog odgađanja ako se obradom krše odredbe donesene na temelju članaka 4., 8. ili 10., ili ako se osobni podaci moraju brisati radi poštovanja pravne obveze kojoj podliježe voditelj obrade.

(a) ispitanik osporava točnost osobnih podataka, a njihovu točnost ili netočnost nije moguće utvrditi; ili

Ako je obrada ograničena na temelju prvog podstavka točke (a), voditelj obrade obavješćuje ispitanika prije uklanjanja ograničenja obrade.

4. Države članice osiguravaju da voditelj obrade pisanim putem obavješćuje ispitanika o svakom odbijanju ispravka ili brisanja osobnih podataka ili ograničavanja obrade te o razlozima odbijanja. Države članice mogu donijeti zakonodavne mjere kojima se u cijelosti ili djelomično ograničava obveza pružanja takvih informacija u onoj mjeri u kojoj takvo ograničavanje čini nužnu i proporcionalnu mjeru u demokratskom društvu uz dužno poštovanje temeljnih prava i legitimnih interesa dotičnog pojedinca, kako bi se:

(b) izbjeglo dovođenje u pitanje sprečavanja, otkrivanja, istrage ili progona kaznenih djela ili izvršavanja kaznenih sankcija;

Države članice osiguravaju da voditelj obrade obavješćuje ispitanika o mogućnosti podnošenja pritužbe nadzornom tijelu ili traženja ►C1 sudskog pravnog lijeka ◄ .

5. Država članica osigurava da voditelj obrade o ispravku netočnih osobnih podataka obavješćuje nadležno tijelo od kojeg potječu netočni podaci.

6. Države članice osiguravaju da, ako su osobni podaci bili ispravljeni ili brisani, ili je obrada bila ograničena na temelju stavaka 1., 2. i 3., voditelj obrade obavješćuje primatelje i da primatelji isprave ili brišu osobne podatke ili ograniče obradu osobnih podataka u okviru svoje odgovornosti.

1. U slučajevima iz članka 13. stavka 3, članka 15. stavka 3. i članka 16. stavka 4. države članice usvajaju mjere kojima se osigurava da se prava ispitanika mogu ostvariti i putem nadležnih nadzornih tijela.

2. Države članice osiguravaju da voditelj obrade obavješćuje ispitanika o mogućnosti ostvarivanja njegovih prava putem nadzornog tijela na temelju stavka 1.

3. Kada se ostvaruje pravo iz stavka 1., nadzorno tijelo obavješćuje ispitanika najmanje o tome da je ono provelo sve potrebne provjere ili preispitivanje. Nadzorno tijelo također obavješćuje ispitanika o njegovu pravu na ►C1 sudski pravni lijek ◄ .

Države članice osiguravaju da se ostvarivanje prava iz članaka 13., 14. i 16. provodi u skladu s pravom države članice ako su osobni podaci sadržani u sudskoj odluci ili evidenciji ili u spisu predmeta obrađenom tijekom kaznenih istraga i postupaka.

1. Države članice osiguravaju da voditelj obrade, uzimajući u obzir prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, provodi odgovarajuće tehničke i organizacijske mjere kako bi osigurao i mogao dokazati da se obrada provodi u skladu s ovom Direktivom. Te se mjere prema potrebi preispituju i ažuriraju.

2. Ako su razmjerne u odnosu na aktivnosti obrade, mjere iz stavka 1. uključuju provedbu odgovarajućih politika zaštite podataka od strane voditelja obrade.

1. Države članice osiguravaju da voditelj obrade, uzimajući u obzir najnovija postignuća i trošak provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizike različitih razina vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca koji proizlaze iz obrade podataka, i u vrijeme određivanja sredstava obrade i u vrijeme same obrade, provodi odgovarajuće tehničke i organizacijske mjere, poput pseudonimizacije, za omogućivanje učinkovite primjene načela zaštite podataka, kao što je smanjenje količine podataka, i uključenje zaštitnih mjera u obradu, kako bi se ispunili zahtjevi iz ove Direktive i zaštitila prava ispitanika.

2. Države članice osiguravaju da voditelj obrade provodi odgovarajuće tehničke i organizacijske mjere kako bi se osiguralo da integriranim načinom budu obrađeni samo osobni podaci koji su nužni za svaku posebnu svrhu obrade. Ta se obveza primjenjuje na količinu prikupljenih osobnih podataka, opseg njihove obrade, razdoblje pohrane i njihovu dostupnost. Točnije, takvim se mjerama osigurava da osobni podaci nisu automatski, bez intervencije pojedinca, dostupni neograničenom broju pojedinca.

1. Države članice osiguravaju da su dvoje ili više voditelja obrade, ako zajednički odrede svrhe i načine obrade, zajednički voditelji obrade. Oni na transparentan način određuju svoje odgovornosti za poštovanje ove Direktive, osobito u pogledu ostvarivanja prava ispitanika i svojih dužnosti pružanja informacija iz članka 13., te to čine međusobnim dogovorom osim ako su odgovornosti voditeljâ obrade utvrđene pravom Unije ili pravom države članice kojem voditelji obrade podliježu te u mjeri u kojoj su one utvrđene. Dogovorom se određuje kontaktna točka za ispitanike. Države članice mogu odrediti koji od zajedničkih voditelja obrade može djelovati kao jedinstvena kontaktna točka za ostvarivanje prava ispitanikâ.

2. Ne dovodeći u pitanje uvjete dogovora iz stavka 1., države članice mogu osigurati da ispitanik može ostvarivati svoja prava u skladu s odredbama donesenima na temelju ove Direktive u vezi sa svakim voditeljem obrade, kao i protiv njega.

1. Države članice osiguravaju da, ako se obrada provodi u ime voditelja obrade, voditelj obrade upotrebljava samo usluge izvršitelja obrade koji mogu u dovoljnoj mjeri jamčiti provedbu odgovarajućih tehničkih i organizacijskih mjera na takav način da je obrada u skladu sa zahtjevima iz ove Direktive i osigurava zaštitu prava ispitanika.

2. Države članice osiguravaju da izvršitelj obrade ne angažira drugog izvršitelja obrade bez prethodnog posebnog ili općeg pisanog odobrenja voditelja obrade. U slučaju općeg pisanog odobrenja izvršitelj obrade dužan je obavijestiti voditelja obrade o svim planiranim izmjenama u vezi s dodavanjem ili zamjenom drugih izvršitelja obrade kako bi time voditelju obrade omogućio da podnese prigovor na takve izmjene.

3. Države članice osiguravaju da je obrada od strane izvršitelja obrade uređena ugovorom ili drugim pravnim aktom u skladu s pravom Unije ili pravom države članice, koji je obvezujući za izvršitelja obrade u odnosu na voditelja obrade, u kojemu su navedeni predmet i trajanje obrade, priroda i svrha obrade, vrsta osobnih podataka te kategorije ispitanika te obveze i prava voditelja obrade. Tim se ugovorom ili pravnim aktom osobito uređuje da izvršitelj obrade:

(b) osigurava da su se osobe ovlaštene za obradu osobnih podataka obvezale na poštovanje povjerljivosti ili da podliježu zakonskim odredbama o povjerljivosti;

(d) prema izboru voditelja obrade, briše ili vraća voditelju obrade sve osobne podatke nakon dovršetka pružanja usluge obrade podataka te briše postojeće kopije osim ako sukladno pravu Unije ili pravu države članice postoji obveza pohrane osobnih podataka;

(e) voditelju obrade stavlja na raspolaganje sve informacije potrebne za dokazivanje poštovanja ovog članka;

4. Ugovor ili drugi pravni akt iz stavka 3. mora biti u pisanom obliku, što uključuje elektronički oblik.

5. Ako izvršitelj obrade,utvrđuje svrhe i načine obrade, kršeći ovu Direktivu, taj se izvršitelj obrade smatra voditeljem obrade u pogledu te obrade.

Države članice osiguravaju da izvršitelj obrade i bilo koja osoba koja djeluje pod vodstvom voditelja obrade ili izvršitelja obrade, a koja ima pristup osobnim podacima, ne obrađuje te podatke ako to ne zatraži voditelj obrade, osim ako to nalaže pravo Unije ili pravo države članice.

1. Države članice osiguravaju da voditelji obrade vode evidenciju svih kategorija aktivnosti obrade za koje su oni odgovorni. Ta evidencija sadržava sve sljedeće informacije:

(a) ime i kontaktne podatke voditelja obrade i bilo kojeg zajedničkog voditelja obrade te službenika za zaštitu podataka;

(c) kategorije primateljâ kojima su osobni podaci otkriveni ili će im biti otkriveni, uključujući primatelje u trećim zemljama ili međunarodne organizacije;

(f) ako je primjenjivo, kategorije prijenosâ osobnih podataka u treću zemlju ili međunarodnu organizaciju;

(i) ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 29. stavka 1.

2. Države članice osiguravaju da svaki izvršitelj obrade vodi evidenciju svih kategorija aktivnosti obrade koje se obavljaju u ime voditelja obrade, a koja sadržava:

(a) ime i kontaktne podatke jednog ili više izvršitelja obrade i svakog voditelja obrade u čije ime izvršitelj obrade djeluje te, kada je to primjenjivo, službenika za zaštitu podataka;

(c) ako je primjenjivo, podatke o prijenosu osobnih podataka u treću zemlju ili međunarodnu organizaciju, ako za to postoji izričita uputa voditelja obrade, uključujući identificiranje te treće zemlje ili međunarodne organizacije,

(d) ako je moguće, opći opis tehničkih i organizacijskih sigurnosnih mjera iz članka 29. stavka 1.

3. Evidencija iz stavaka 1. i 2.mora biti u pisanom obliku, što uključuje elektronički oblik.

Voditelj obrade i izvršitelj obrade na zahtjev stavljaju evidenciju na raspolaganje nadzornom tijelu.

1. Države članice osiguravaju da se bilježe zapisi barem za sljedeće postupke obrade u automatiziranim sustavima obrade: prikupljanje, izmjene, obavljanje uvida, otkrivanje, uključujući prijenose, kombiniranje i brisanje. Zapisi o obavljanju uvida i otkrivanju omogućuju da se ustanovi obrazloženje, datum i vrijeme takvih postupaka te, ako je to moguće, identitet osobe koja je obavila uvid ili otkrila osobne podatke i identitet primatelja takvih osobnih podataka.

2. Zapisi se upotrebljavaju samo u svrhe provjere zakonitosti obrade, samopraćenja i osiguravanja cjelovitosti i sigurnosti osobnih podataka te za kaznene postupke.

3. Voditelj obrade i izvršitelj obrade na zahtjev stavljaju zapise na raspolaganje nadzornom tijelu.

Države članice osiguravaju da voditelj obrade i izvršitelj obrade, na zahtjev, surađuju s nadzornim tijelom pri izvršavanju svojih zadaća.

1. Ako je vjerojatno da će neka vrsta obrade, osobito putem novih tehnologija i uzimajući u obzir prirodu, opseg, kontekst i svrhe te obrade, prouzročiti visoki rizik za prava i slobode pojedinaca, države članice osiguravaju da voditelj obrade prije obrade provede procjenu učinka predviđenih postupaka obrade na zaštitu osobnih podataka.

2. Procjena iz stavka 1. mora sadržavati barem općenit opis predviđenih postupaka obrade, procjenu rizika za prava i slobode ispitanika, predviđene mjere za rizike, zaštitne i sigurnosne mjere i mehanizme kako bi se osigurala zaštita osobnih podataka i dokazala usklađenost s ovom Direktivom, uzimajući u obzir prava i legitimne interese ispitanika i drugih uključenih osoba.

1. Države članice osiguravaju da se voditelj obrade ili izvršitelj obrade savjetuje s nadzornim tijelom prije obrade osobnih podataka koji će biti uključeni u novi sustav pohrane koji se treba uspostaviti, ako:

(a) procjena učinka na zaštitu podataka kako je predviđeno člankom 27. upućuje na to da bi obrada mogla rezultirati visokim rizikom ako voditelj obrade ne poduzme mjere kako bi umanjio rizik; ili

(b) vrsta obrade, posebno ako se upotrebljavaju nove tehnologije, mehanizmi ili postupci, predstavlja visok rizik za prava i slobode ispitanikâ.

2. Države članice osiguravaju savjetovanje s nadzornim tijelom tijekom izrade prijedloga zakonodavne mjere koju donosi nacionalni parlament ili regulatorne mjere koja se temelji na takvoj zakonodavnoj mjeri, a koja se odnosi na obradu.

3. Države članice osiguravaju da nadzorno tijelo može uspostaviti popis postupaka obrade za koje je potrebno obaviti prethodno savjetovanje u skladu sa stavkom 1.

4. Države članice osiguravaju da voditelj obrade nadzornom tijelu dostavlja procjenu učinka na zaštitu podataka na temelju članka 27. i, na zahtjev, pruža sve ostale informacije pomoću kojih će nadzorno tijelo moći procijeniti usklađenost obrade te posebno rizike za zaštitu osobnih podataka ispitanika i povezane zaštitne mjere.

5. Države članice osiguravaju da nadzorno tijelo, ako smatra da bi se namjeravanom obradom iz stavka 1. ovog članka kršile odredbe donesene na temelju ove Direktive, osobito ako voditelj obrade nije u dovoljnoj mjeri utvrdio ili umanjio rizik, nadzorno tijelo u roku od najviše šest tjedana od zaprimanja zahtjeva za savjetovanje pisanim putem savjetuje voditelja obrade,i prema potrebi, izvršitelja obrade te može iskoristiti bilo koju od svojih ovlasti iz članka 47. Taj se rok može prema potrebi produljiti za mjesec dana, uzimajući u obzir složenost namjeravane obrade. Nadzorno tijelo u roku od mjesec dana od zaprimanja zahtjeva obavješćuje voditelja obrade i, prema potrebi, izvršitelja obrade o svakom takvom produljenju i o razlozima odgode.

1. Države članice osiguravaju da voditelj obrade i izvršitelj obrade, uzimajući u obzir najnovija dostignuća i troškove provedbe te prirodu, opseg, kontekst i svrhe obrade, kao i rizik različite vjerojatnosti i ozbiljnosti za prava i slobode pojedinaca, provode odgovarajuće tehničke i organizacijske mjere kako bi osigurali odgovarajuću razinu sigurnosti s obzirom na rizik, osobito u pogledu obrade posebnih kategorija osobnih podataka iz članka 10.

2. U pogledu automatizirane obrade svaka država članica osigurava da voditelj obrade ili izvršitelj obrade nakon procjene rizikâ provede mjere čija je svrha sljedeće:

(a) neovlaštenim osobama zabraniti pristup opremi za obradu koja se upotrebljava za obradu („nadzor pristupa opremi”);

(b) spriječiti neovlašteno čitanje, kopiranje, mijenjanje ili uklanjanje nosača podataka („nadzor nosača podataka”);

(c) spriječiti neovlašteno unošenje osobnih podataka te neovlašteno pregledavanje, mijenjanje ili brisanje pohranjenih osobnih podataka („nadzor pohrane”);

(d) spriječiti upotrebu sustava automatizirane obrade neovlaštenim osobama koje se koriste opremom za podatkovnu komunikaciju „(nadzor korisnika”);

(e) osigurati da osobe koje su ovlaštene za upotrebu sustava automatizirane obrade imaju pristup samo osobnim podacima koji su predviđeni njihovim odobrenjem za pristup („nadzor pristupa podacima”);

(f) osigurati mogućnost da se provjeri i utvrdi kojim tijelima su osobni podaci preneseni ili bi mogli biti preneseni ili stavljeni na raspolaganje upotrebom opreme za podatkovnu komunikaciju („nadzor komunikacije”);

(g) osigurati mogućnost da se naknadno provjeri i utvrdi koji su osobni podaci uneseni u sustave automatizirane obrade te tko ih je i kada unio („nadzor unosa”);

(h) spriječiti neovlašteno čitanje, kopiranje, mijenjanje ili brisanje osobnih podataka tijekom prijenosa osobnih podataka ili prijenosa nosača podataka („nadzor prijenosa”);

(i) osigurati mogućnost ponovne uspostave instaliranih sustava u slučaju prekida („ponovna uspostava”);

(j) osigurati da sustav dobro funkcionira, da se pojava grešaka u funkcioniranju sustava prijavi („pouzdanost”) i da se pohranjeni osobni podaci ne mogu ugroziti zbog nedostataka u funkcioniranju sustava („cjelovitost”).

1. Države članice osiguravaju da u slučaju povrede osobnih podataka, voditelj obrade, bez nepotrebnog odgađanja i, ako je izvedivo, najkasnije 72 sata od saznanja za tu povredu, izvijesti nadzorno tijelo o povredi osobnih podataka, osim ako povreda osobnih podataka vjerojatno neće rezultirati rizikom za prava i slobode pojedinaca. Ako izvješćivanje nadzornog tijela nije učinjeno u roku 72 sata, mora biti popraćeno navođenjem razloga kašnjenja. Izvješćivanje nadzornog tijela mora biti popraćeno utemeljenim obrazloženjem u slučajevima kada ono nije učinjeno unutar 72 sata.

2. Izvršitelj obrade dužan je bez nepotrebnog odgađanja obavijestiti voditelja obrade nakon što sazna za povredu osobnih podataka.

(a) opisati priroda povrede osobnih podataka, uključujući, ako je moguće, kategorije i približan broj ispitanika te kategorije i približan broj evidencija osobnih podataka o kojima je riječ;

(b) navesti ime i kontaktne podatke službenika za zaštitu podataka ili druge kontaktne točke od koje se može dobiti još informacija;

(d) opisati mjere koje je voditelj obrade poduzeo ili predložio poduzeti za rješavanje problema povrede osobnih podataka, uključujući prema potrebi mjere umanjivanja njezinih mogućih štetnih posljedica.

4. Ako i u onoj mjeri u kojoj nije moguće istodobno pružiti informacije, informacije se mogu pružati postupno, bez nepotrebnog daljnjeg odgađanja.

5. Države članice osiguravaju da voditelj obrade bilježi svaku povredu osobnih podataka iz stavka 1., uključujući činjenice povezane s povredom osobnih podataka, njezine posljedice i mjere poduzete za ispravljanje situacije. Ta dokumentacija nadzornom tijelu mora omogućiti provjeru poštovanja ovog članka.

6. Države članice osiguravaju da se u slučaju povrede osobnih podataka koja uključuje osobne podatke koje je prenio voditelj obrade druge države članice ili koji su preneseni njemu, informacije iz stavka 3. prenose voditelju obrade te države članice bez nepotrebnog odgađanja.

1. Države članice osiguravaju da, ako je vjerojatno da će povreda osobnih podataka prouzročiti visok rizik za prava i slobode pojedinaca, voditelj obrade bez nepotrebnog odgađanja obavijesti ispitanika o povredi osobnih podataka.

2. U obavijesti ispitaniku iz stavka 1. ovog članka mora se jasnim i jednostavnim jezikom opisati priroda povrede osobnih podataka i navesti barem informacije i mjere iz članka 30. stavka 3. točaka (b), (c) i (d).

3. Obavješćivanje ispitanika iz stavka 1. nije obvezno ako je ispunjen bilo koji od sljedećih uvjeta:

(a) voditelj obrade proveo je odgovarajuće tehnološke i organizacijske mjere zaštite i te su mjere primijenjene na osobne podatke pogođene povredom osobnih podataka, posebno one koje osobne podatke čine nerazumljivima bilo kojoj osobi koja im nije ovlaštena pristupiti, kao što je enkripcija;

(b) voditelj obrade poduzeo je naknadne mjere kojima se osigurava da pojava visokog rizika za prava i slobode ispitanika iz stavka 1. više nije vjerojatna;

(c) on bi uključivao nerazmjeran napor. U takvom slučaju, umjesto toga mora postojati javno obavješćivanje ili slična mjera kojom se ispitanici izvješćuju na jednako djelotvoran način.

4. Ako voditelj obrade nije već obavijestio ispitanika o povredi osobnih podataka, nadzorno tijelo, nakon razmatranja vjerojatnosti da će povreda osobnih podataka prouzročiti visok rizik, može od njega zahtijevati da to učini ili može zaključiti da je ispunjen neki od uvjeta iz stavka 3.

5. Obavješćivanje ispitanika iz stavka 1. ovog članka može se odgoditi, ograničiti ili uskratiti podložno uvjetima i na temelju razloga iz članka 13. stavka 3.

1. Države članice osiguravaju da voditelj obrade imenuje službenika za zaštitu podataka. Države članice mogu od te obveze izuzeti sudove i druga neovisna pravosudna tijela kada djeluju u okviru svoje sudske nadležnosti.

2. Službenik za zaštitu podataka imenuje se na temelju njegovih stručnih kvaliteta, a posebno njegovog stručnog znanja o pravu i praksi u području zaštite podataka te sposobnosti izvršavanja zadaća iz članka 34.

3. Može se imenovati jedan službenik za zaštitu podataka za nekoliko nadležnih tijela, uzimajući u obzir njihovu organizacijsku strukturu i veličinu.

4. Države članice osiguravaju da voditelj obrade objavljuje kontaktne podatke službenika za zaštitu podataka i priopćuje ih nadzornom tijelu.

1. Države članice osiguravaju da voditelj obrade osigura da je službenik za zaštitu podataka primjereno i pravodobno uključen u sva pitanja povezana sa zaštitom osobnih podataka.

2. Voditelj obrade podupire službenika za zaštitu podataka u izvršavanju zadaća iz članka 34. pružajući mu potrebna sredstva za izvršavanje tih zadaća i pristup osobnim podacima i postupcima obrade te za održavanje njegova stručnog znanja.

Države članice osiguravaju da voditelj obrade službeniku za zaštitu podataka povjerava najmanje sljedeće zadaće:

(a) informiranje i savjetovanje voditelja obrade te zaposlenika koji obavljaju obradu o njihovim obvezama na temelju ove Direktive te drugih odredaba prava Unije ili prava države članice o zaštiti podataka;

(b) praćenje poštovanja ove Direktive, drugih odredaba prava Unije ili prava države članice o zaštiti podataka i politika voditelja obrade ili izvršitelja obrade u odnosu na zaštitu osobnih podataka, uključujući i raspodjelu odgovornosti, podizanje svijesti i osposobljavanje osoblja koje sudjeluje u postupcima obrade i povezanim revizijama;

(c) pružanje savjeta, kada je to zatraženo, po pitanju procjene učinka na zaštitu podataka i praćenje njezina izvršavanja na temelju članka 27.;

(e) djelovanje kao kontaktna točka za nadzorno tijelo o pitanjima povezanima s obradom, što uključuje i prethodno savjetovanje iz članka 28. te savjetovanje, prema potrebi, u pogledu svih drugih pitanja.

1. Države članice osiguravaju da nadležna tijela svaki prijenos osobnih podataka koji se obrađuju ili su namijenjeni za obradu nakon prijenosa trećoj zemlji ili međunarodnoj organizaciji, uključujući daljnje prijenose još jednoj trećoj zemlji ili međunarodnoj organizaciji, obavljaju pridržavajući se nacionalnih odredaba donesenih na temelju odredaba ove Direktive, samo ako su ispunjeni uvjeti iz ovog poglavlja, i to:

(b) osobni podaci prenose se voditelju obrade u trećoj zemlji ili međunarodnoj organizaciji koji predstavlja javno tijelo nadležno za potrebe iz članka 1. stavka 1.;

(c) ako su osobni podaci preneseni ili stavljeni na raspolaganje iz druge države članice, ta je država članica dala prethodno odobrenje za prijenos u skladu sa svojim nacionalnim pravom;

(d) Komisija je donijela odluku o primjerenosti na temelju članka 36. ili, u nedostatku takve odluke,odgovarajuće zaštitne mjere predviđene su ili postoje na temelju članka 37. ili se, u nedostatku odluke o primjerenosti na temelju članka 36. i odgovarajućih zaštitnih mjera u skladu s člankom 37. primjenjuju odstupanja za posebne situacije na temelju članka 38.; i

(e) u slučaju daljnjeg prijenosa u još jednu treću zemlju ili međunarodnu organizaciju, nadležno tijelo koje je izvršilo prvotni prijenos ili drugo nadležno tijelo iste države članice, nakon što je uzelo u obzir sve relevantne čimbenike, uključujući ozbiljnost kaznenog djela, svrhu s kojom su osobni podaci prvotno preneseni i razinu zaštite osobnih podataka u trećoj zemlji ili međunarodnoj organizaciji kojoj su dalje preneseni osobni podaci, odobrava daljnji prijenos.

2. Države članice osiguravaju da su prijenosi bez prethodnog odobrenja druge države članice u skladu s točkom (c) stavka 1. dopušteni samo ako je prijenos osobnih podataka potreban za sprečavanje neposredne i ozbiljne prijetnje javnoj sigurnosti države članice ili treće zemlje ili bitnim interesima države članice, a prethodno se odobrenje ne može pravodobno dobiti. Tijelo odgovorno za izdavanje prethodnog odobrenja obavješćuje se bez odlaganja.

3. Sve odredbe iz ovog poglavlja primjenjuju se kako bi se osiguralo da se ne ugrozi razina zaštite pojedinaca osigurana ovom Direktivom.

1. Države članice osiguravaju da je prijenos osobnih podataka trećoj zemlji ili međunarodnoj organizaciji moguć kada Komisija odluči da treća zemlja, područje ili jedan ili više određenih sektora unutar te treće zemlje, ili međunarodna organizacija o kojoj je riječ osigurava primjerenu razinu zaštite. Takav prijenos ne zahtijeva posebno odobrenje.

2. Prilikom procjene primjerenosti stupnja zaštite Komisija osobito uzima u obzir sljedeće elemente:

(a) vladavinu prava, poštovanje ljudskih prava i temeljnih sloboda, mjerodavno zakonodavstvo, i opće i sektorsko, što uključuje zakonodavstvo o javnoj sigurnosti, obrani, nacionalnoj sigurnosti, kaznenom pravu i pristupu tijela javne vlasti osobnim podacima, kao i provedbu takvog zakonodavstva, pravila o zaštiti podataka, pravila struke i mjere sigurnosti, što uključuje pravila za daljnji prijenos osobnih podataka još jednoj trećoj zemlji ili međunarodnoj organizaciji, koja se poštuju u toj zemlji ili međunarodnoj organizaciji, sudsku praksu te postojanje djelotvornih i provedivih prava ispitanika te djelotvorne upravne i sudske zaštite ispitanika čiji se osobni podaci prenose;

(b) postojanje i djelotvorno funkcioniranje jednog neovisnog nadzornog tijela ili više njih u trećoj zemlji, ili tijela kojem podliježe međunarodna organizacija, odgovornih za osiguravanje i provođenje poštovanja pravila o zaštiti podataka, uključujući primjerene ovlasti izvršavanja zakonodavstva, za pružanje pomoći ispitanicima i njihovo savjetovanje u ostvarivanju njihovih prava te za suradnju s nadzornim tijelima država članica; i

(c) međunarodne obveze koje je dotična treća zemlja ili međunarodna organizacija preuzela ili druge obveze koje proizlaze iz pravno obvezujućih konvencija ili instrumenata, kao i iz njezina sudjelovanja u multilateralnim ili regionalnim sustavima, osobito u vezi sa zaštitom osobnih podataka.

3. Komisija nakon procjene primjerenosti stupnja zaštite može, putem provedbenog akta, odlučiti da treća zemlja, područje, ili jedan ili više određenih sektora unutar treće zemlje, ili međunarodna organizacija osigurava primjeren stupanj zaštite u smislu stavka 2. ovog članka. U provedbenom aktu predviđa se mehanizam za periodično preispitivanje, najmanje svake četiri godine, kojim će se uzeti u obzir svi relevantni događaji u toj trećoj zemlji ili međunarodnoj organizaciji. U provedbenom aktu određuje se teritorijalna i sektorska primjena, a ako je primjenjivo, utvrđuje se i nadzorno tijelo ili nadzorna tijela iz stavka 2. točke (b) ovog članka. Provedbeni akt donosi se u skladu s postupkom ispitivanja iz članka 58. stavka 2.

4. Komisija kontinuirano prati razvoj događaja u trećim zemljama i međunarodnim organizacijama koji bi mogli utjecati na djelovanje odluka donesenih u skladu sa stavkom 3.

5. Ako dostupne informacije otkrivaju, a osobito nakon preispitivanja iz stavka 3. ovog članka, da treća zemlja, područje ili jedan ili više određenih sektora unutar treće zemlje ili međunarodna organizacija više ne osigurava primjerenu razinu zaštite u smislu stavka 2. ovog članka u mjeri u kojoj je to potrebno,Komisija stavlja izvan snage,mijenja ili suspendira odluku iz stavka 3. ovog članka putem provedbenog akta bez retroaktivnog učinka. Taj provedbeni akt donosi se u skladu s postupkom ispitivanja iz članka 58. stavka 2.

Zbog opravdanih krajnje hitnih razloga, Komisija u skladu s postupkom iz članka 58. stavka 3. donosi provedbene akte koji se odmah primjenjuju

6. Komisija započinje savjetovanje s trećom zemljom ili međunarodnom organizacijom radi popravljanja stanja koje je dovelo do odluke donesene u skladu sa stavkom 5.

7. Države članice osiguravaju da se odlukom na temelju stavka 5. ne dovode u pitanje prijenosi osobnih podataka u treću zemlju, na područje ili u određeni sektor unutar te treće zemlje ili međunarodnu organizaciju o kojoj je riječ na temelju članaka 37. i 38.

8. U Službenom listu Europske unije i na svojoj internetskoj stranici Komisija objavljuje popis trećih zemalja, područja i posebnih sektora unutar treće zemlje i međunarodnih organizacija u pogledu kojih je donijela odluku da ne osiguravaju primjerenu razinu zaštite ili da je više ne osiguravaju.

1. U nedostatku odluke na temelju članka 36. stavka 3., države članice osiguravaju da se prijenos osobnih podataka trećoj zemlji ili međunarodnoj organizaciji može ostvariti:

(a) ako su odgovarajuće zaštitne mjere u pogledu zaštite osobnih podataka predviđene u pravno obvezujućem instrumentu; ili

(b) ako je voditelj obrade procijenio sve okolnosti u vezi s prijenosom osobnih podataka i zaključio da postoje odgovarajuće zaštitne mjere u pogledu zaštite osobnih podataka.

2. Voditelj obrade obavješćuje nadzorno tijelo o kategorijama prijenosâ u skladu sa stavkom 1. točkom (b).

3. Kada se prijenos temelji na stavku 1. točki (b), takav se prijenos dokumentira, a dokumentacija se na zahtjev stavlja na raspolaganje nadzornom tijelu, uključujući datum i vrijeme prijenosa, informacije o nadležnom tijelu koje dobiva podatke, obrazloženje prijenosa i prenesene osobne podatke.

1. U nedostatku odluke o primjerenosti na temelju članka 36. ili odgovarajućih zaštitnih mjera na temelju članka 37., države članice osiguravaju da se prijenos ili kategorija prijenosa osobnih podataka u treću zemlju ili međunarodnu organizaciju može ostvariti samo pod uvjetom da je prijenos nužan:

(b) kako bi se zaštitili legitimni interesi ispitanika, ako je tako predviđeno pravom države članice koja obavlja prijenos osobnih podataka;

(e) u pojedinačnom slučaju radi postavljanja, ostvarivanja ili obrane pravnih zahtjeva u vezi sa svrhama navedenima u članku 1. stavku 1.

2. Osobni podaci ne smiju se prenositi ako nadležno tijelo koje obavlja prijenos utvrdi da temeljna prava i slobode dotičnog ispitanika imaju prednost pred javnim interesom u pogledu prijenosa iz stavka 1. točaka (d) i (e).

3. Ako se prijenos temelji na stavku 1., takav prijenos mora se dokumentirati, a dokumentacija se na zahtjev mora staviti na raspolaganje nadzornom tijelu, uključujući datum i vrijeme prijenosa, informacije o nadležnom tijelu koje je podatke dobilo, obrazloženje prijenosa i prenesene osobne podatke.

1. Odstupajući od članka 35. stavka 1. točke (b) i ne dovodeći u pitanje nijedan međunarodni sporazum iz stavka 2. ovog članka, pravom Unije ili pravom države članice može se osigurati da nadležna tijela iz članka 3. točke 7. podtočke (a) mogu, u pojedinačnim i posebnim slučajevima, prenijeti osobne podatke izravno primateljima s poslovnim nastanom u trećim zemljama samo ako se poštuju druge odredbe ove Direktive i ako su ispunjeni svi sljedeći uvjeti:

(a) prijenos je nužan za obavljanje zadaće nadležnog tijela koje obavlja prijenos kako je predviđeno pravom Unije ili pravom države članice u svrhe navedene u članku 1. stavku 1.;

(b) nadležno tijelo koje obavlja prijenos utvrdi da temeljna prava i slobode dotičnog ispitanika nemaju prednost nad javnim interesom koji iziskuje prijenos u dotičnom slučaju;

(c) nadležno tijelo koje obavlja prijenos smatra da je prijenos tijelu nadležnom u svrhe iz članka 1. stavka 1. u trećoj zemlji neučinkovit ili neprimjeren, posebno zato što se prijenos ne može pravodobno ostvariti;

(d) tijelo koje je u trećoj zemlji nadležno u svrhe iz članka 1. stavka 1.obaviješteno je bez nepotrebnog odgađanja, osim ako je to neučinkovito ili neprimjereno;

(e) nadležno tijelo koje obavlja prijenos obavijesti primatelja o određenoj svrsi ili svrhama u koje potonji može obrađivati osobne podatke samo ako je takva obrada nužna.

2. Međunarodni sporazum iz stavka 1. svaki je bilateralni ili multilateralni međunarodni sporazum na snazi između država članica i trećih zemalja u području pravosudne suradnje u kaznenim stvarima i policijske suradnje.

3. Nadležno tijelo koje obavlja prijenos obavješćuje nadzorno tijelo o prijenosima u skladu s ovim člankom.

Komisija i države članice u odnosu na treće zemlje i međunarodne organizacije poduzimaju odgovarajuće mjere kako bi:

(a) razvile mehanizme međunarodne suradnje za olakšavanje djelotvornijeg izvršavanja zakonodavstva o zaštiti osobnih podataka;

(b) osigurale međunarodnu uzajamnu pomoć u izvršavanju zakonodavstva o zaštiti osobnih podataka, uključujući obavješćivanjem, upućivanjem pritužbi, pomoći u istragama i razmjenom informacija, pridržavajući se zaštitnih mjera za zaštitu osobnih podataka i drugih temeljnih prava i sloboda;

c) uključile relevantne dionike u raspravu i aktivnosti čiji je cilj produbiti međunarodnu suradnju u izvršavanju zakonodavstva o zaštiti osobnih podataka;

d) promicale razmjenu i dokumentiranje zakonodavstva i prakse u vezi sa zaštitom osobnih podataka, među ostalim u vezi sa sukobima nadležnosti s trećim zemljama.

1. Svaka država članica osigurava da je jedno ili više neovisnih tijela javne vlasti odgovorno za praćenje primjene ove Direktive kako bi se zaštitila temeljna prava i slobode pojedinaca u vezi s obradom i olakšao slobodan protok osobnih podataka unutar Unije („nadzorno tijelo”).

2. Svako nadzorno tijelo doprinosi dosljednoj primjeni ove Direktive u cijeloj Uniji. U tu svrhu nadzorna tijela surađuju međusobno i s Komisijom u skladu s poglavljem VII.

3. Države članice mogu predvidjeti da nadzorno tijelo osnovano na temelju Uredbe (EU) 2016/679 bude nadzorno tijelo iz ove Direktive i da preuzme odgovornost za zadaće nadzornog tijela koje treba osnovati na temelju stavka 1. ovog članka.

4. Ako je u jednoj državi članici osnovano više od jednog nadzornog tijela, ta država članica određuje nadzorno tijelo koje predstavlja ta tijela u Odboru iz članka 51.

1. Svaka država članica osigurava da svako nadzorno tijelo djeluje potpuno neovisno pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti u skladu s ovom Direktivom.

2. Države članice osiguravaju da član ili članovi njihovih nadzornih tijela pri obavljanju svojih dužnosti i izvršavanju svojih ovlasti u skladu s ovom Direktivom nisu podložni vanjskom utjecaju, bilo izravnom ili neizravnom, te da ne traže ni ne primaju upute ni od koga.

3. Članovi nadzornih tijela država članica moraju se suzdržavati od svih radnji koje nisu u skladu s njihovim dužnostima te se tijekom svojeg mandata ne smiju baviti nikakvom neusklađenom djelatnošću, bez obzira na to je li ona plaćena ili ne.

4. Svaka država članica osigurava da svako nadzorno tijelo ima ljudske, tehničke i financijske resurse, prostorije i infrastrukturu potrebne za djelotvorno obavljanje svojih zadaća i izvršavanje svojih ovlasti, uključujući one koje treba izvršavati u kontekstu uzajamne pomoći, suradnje i sudjelovanja u Odboru.

5. Svaka država članica osigurava da svako nadzorno tijelo odabire i ima vlastito osoblje kojim isključivo rukovodi član ili članovi predmetnog nadzornog tijela.

6. Svaka država članica osigurava da svako nadzorno tijelo podliježe financijskoj kontroli koja ne utječe na njegovu neovisnost te da ima zasebne, javne, godišnje proračune koji mogu biti dio cjelokupnog državnog ili nacionalnog proračuna.

1. Države članice osiguravaju da svakog člana njihovih nadzornih tijela u okviru transparentnog postupka imenuje:

2. Svaki član mora imati kvalifikacije, iskustvo i vještine, posebno u području zaštite osobnih podataka, potrebne za obavljanje svojih dužnosti i izvršavanje svojih ovlasti.

3. Dužnosti člana završavaju u slučaju isteka mandata, ostavke ili razrješenja dužnosti u skladu s pravom dotične države članice.

4. Član smije biti otpušten samo u slučajevima teške povrede dužnosti ili ako član više ne ispunjava uvjete potrebne za izvršavanje dužnosti.

(d) trajanje mandata člana ili članova svakog nadzornog tijela ne kraćeg od četiri godine, osim za prvo imenovanje nakon 6. svibnja 2016., a čiji dio može trajati kraće ako je to potrebno kako bi se zaštitila neovisnost nadzornog tijela putem postupka postupnog imenovanja;

(e) jesu li član ili članovi svakog nadzornog tijela prihvatljivi da budu ponovo izabrani i, ako jesu, na koliko mandata;

(f) uvjete kojima se uređuju obveze člana ili članova osoblja svakog nadzornog tijela, zabrane djelovanja, poslova i pogodnosti koji nisu u skladu s tim tijekom i nakon mandata te pravila kojima se uređuje prestanak radnog odnosa.

2. Član ili članovi i osoblje svakog nadzornog tijela podliježu, u skladu s pravom Unije ili pravom države članice, obvezi čuvanja profesionalne tajne i za vrijeme i nakon njegova završetka, s obzirom na sve povjerljive informacije koje doznaju tijekom obavljanja svojih dužnosti ili izvršavanja svojih ovlasti. Tijekom svojeg mandata ta se dužnost čuvanja profesionalne tajne posebno primjenjuje na izvješćivanje pojedinaca o kršenjima ove Direktive.

1. Svaka država članica osigurava da je svako nadzorno tijelo nadležno za obavljanje zadaća koje su mu povjerene i izvršavanje ovlasti koje su mu dodijeljene u skladu s ovom Direktivom na državnom području vlastite države članice.

2. Svaka država članica osigurava da ni jedno nadzorno tijelo nije nadležno za nadzor postupaka obrade koju provode sudovi kada djeluju u okviru svoje sudbene nadležnosti. Države članice mogu osigurati da njihovo nadzorno tijelo nije nadležno za nadzor postupaka obrade koje provode druga neovisna pravosudna tijela kada djeluju u okviru svoje sudbene nadležnosti.

1. Svaka država članica osigurava da svako nadzorno tijelo na njezinom području:

(a) prati i provodi primjenu odredaba donesenih na temelju ove Direktive i njezinih provedbenih mjera;

(b) promiče javnu svijest o rizicima, pravilima, zaštitnim mjerama i pravima u vezi s obradom te njihovo razumijevanje;

(c) savjetuje, u skladu s pravom države članice, nacionalni parlament, vladu i druge institucije i tijela o zakonodavnim i administrativnim mjerama u vezi sa zaštitom prava i sloboda pojedinaca u pogledu obrade;

(d) promiče osviještenost voditeljâ obrade i izvršitelja obrade o njihovim obvezama na temelju ove Direktive;

(e) na zahtjev pruža informacije bilo kojem ispitaniku u vezi s ostvarivanjem njihovih prava na temelju ove Direktive, a prema potrebi, u tu svrhu surađuje s nadzornim tijelima u drugim državama članicama;

(f) rješava pritužbe koje podnesu ispitanik ili tijelo, organizacija ili udruženje u skladu s člankom 55. i istražuje u odgovarajućoj mjeri predmet pritužbe te izvješćuje u razumnom roku podnositelja pritužbe o napretku i ishodu istrage, posebno ako je potrebna daljnja istraga ili koordinacija s drugim nadzornim tijelom;

(g) provjerava zakonitost obrade u skladu s člankom 17. i u razumnom roku obavješćuje ispitanika o ishodu provjere na temelju stavka 3. tog članka ili razlozima zbog kojih provjera nije obavljena;

(h) surađuje s drugim nadzornim tijelima, među ostalim dijeljenjem informacija, te pruža uzajamnu pomoć drugim nadzornim tijelima s ciljem osiguravanja dosljednosti primjene i provedbe ove Direktive;

(i) provodi istrage o primjeni ove Direktive, među ostalim na temelju informacija primljenih od drugog nadzornog ili drugog tijela javne vlasti;

(j) prati relevantni razvoj događaja ako oni imaju utjecaj na zaštitu osobnih podataka, posebno razvoj informacijskih i komunikacijskih tehnologija;

2. Svako nadzorno tijelo olakšava podnošenje pritužbi iz stavka 1. točke (f) mjerama poput osiguravanja obrasca za podnošenje pritužbe koji se može ispuniti i elektroničkim putem, ne isključujući ostala sredstva komunikacije.

3. Izvršavanje zadaća svakog nadzornog tijela besplatno je za ispitanika i službenika za zaštitu podataka.

4. Ako je zahtjev ispitanika očito neutemeljen ili pretjeran, osobito zbog učestalog ponavljanja, nadzorno tijelo može naplatiti razumnu naknadu na temelju administrativnih troškova ili odbiti postupiti po zahtjevu. U tom je slučaju teret dokaza da je zahtjev očito neutemeljen ili pretjeran na nadzornom tijelu.

1. Svaka država članica zakonom osigurava da svako nadzorno tijelo ima učinkovite istražne ovlasti. Te ovlasti uključuju barem ovlast da od voditelja obrade i izvršitelja obrade ishodi pristup svim osobnim podacima koji se obrađuju te svim informacijama potrebnim za obavljanje svojih zadaća.

2. Svaka država članica zakonom osigurava da svako nadzorno tijelo ima učinkovite korektivne ovlasti kao što su na primjer:

(a) izdavati upozorenja voditelju obrade ili izvršitelju obrade da bi namjeravani postupci obrade mogli prouzročiti kršenje odredaba donesenih na temelju ove Direktive;

(b) narediti voditelju obrade ili izvršitelju obrade da, prema potrebi, postupke obrade uskladi s odredbama donesenima na temelju ove Direktive, na određeni način i u određenom roku, posebno na način da zatraži ispravak ili brisanje osobnih podataka ili ograničavanje obrade na temelju članka 16.;

3. Svaka država članica zakonom osigurava da svako nadzorno tijelo ima stvarne savjetodavne ovlasti savjetovati voditelja obrade u skladu s prethodnim postupkom savjetovanja iz članka 28. i dati, na vlastitu inicijativu ili na zahtjev, nacionalnom parlamentu, vladi države članice ili, u skladu sa svojim nacionalnim pravom, drugim institucijama i tijelima, kao i javnosti, mišljenje o svakom pitanju u vezi sa zaštitom osobnih podataka.

4. Izvršavanje ovlasti dodijeljenih nadzornom tijelu u skladu s ovim člankom podliježe odgovarajućim zaštitnim mjerama, među ostalim učinkovitom ►C1 sudskom pravnom lijeku ◄ i odgovarajućem postupku, kako je utvrđeno pravom Unije i pravom države članice u skladu s Poveljom.

5. Svaka država članica zakonom osigurava da je njezino nadzorno tijelo ovlašteno obavijestiti pravosudna tijela o kršenjima odredaba donesenih na temelju ove Direktive i prema potrebi započeti ili na drugi način sudjelovati u pravnim postupcima s ciljem provođenja odredaba donesenih na temelju ove Direktive.

Države članice osiguravaju da nadležna tijela uspostave učinkovite mehanizme za poticanje povjerljivog izvješćivanja o kršenjima ove Direktive.

Svako nadzorno tijelo sastavlja godišnje izvješće o svojim aktivnostima kojima može biti obuhvaćen popis vrsta kršenja o kojima je izviješteno i vrsta izrečenih sankcija. Ta se izvješća prosljeđuju nacionalnom parlamentu, vladi i drugim tijelima kako je utvrđeno pravom države članice. Ona moraju biti dostupna javnosti, Komisiji i Odboru.

1. Države članice osiguravaju da si njihova nadzorna tijela međusobno pružaju bitne informacije i uzajamnu pomoć kako bi konzistentno provela i primijenila ovu Direktivu te uspostavljaju mjere za djelotvornu uzajamnu suradnju. Uzajamna pomoć obuhvaća osobito zahtjeve za informacijama i mjerama nadzora, kao što su zahtjevi za provedbu savjetovanja, inspekcija i istraga.

2. Države članice osiguravaju da svako nadzorno tijelo poduzima sve prikladne mjere potrebne da odgovori na zahtjev drugog nadzornog tijela bez nepotrebnog odgađanja i najkasnije u roku od jednog mjeseca nakon što je zaprimilo zahtjev. Takve mjere mogu posebno obuhvaćati prijenos bitnih informacija o vođenju istrage.

3. Zahtjevi za pomoć moraju sadržavati sve potrebne informacije, uključujući svrhu i razloge za zahtjev. Razmijenjene informacije smiju se upotrebljavati samo u zatraženu svrhu.

4. Nadzorno tijelo kojem je upućen zahtjev za ne smije odbiti udovoljiti zahtjevu osim u slučaju da:

(b) poštovanje zahtjeva kršilo bi ovu Direktivu ili pravo Unije ili pravo države članice kojem podliježe nadzorno tijelo koje zaprimi zahtjev.

5. Nadzorno tijelo koje zaprimi zahtjev izvješćuje nadzorno tijelo koje je podnijelo zahtjev o rezultatima ili, ovisno o slučaju, o napretku mjera poduzetih s ciljem ispunjenja zahtjeva. Nadzorno tijelo kojem je upućen zahtjev obrazlaže razloge za svako odbijanje zahtjeva na temelju stavka 4.

6. Nadzorna tijela kojima je upućen zahtjev u pravilu pružaju informacije koje druga nadzorna tijela zatraže elektroničkim putem, koristeći se standardiziranim formatom.

7. Za bilo koju radnju poduzetu na temelju zahtjeva za uzajamnu pomoć ne naplaćuje se naknada. Nadzorna tijela mogu dogovoriti pravila za uzajamne naknade posebnih izdataka koji proizlaze iz pružanja uzajamne pomoći u izvanrednim okolnostima.

8. Komisija može putem provedbenih akata odrediti format i postupke za uzajamnu pomoć iz ovog članka i aranžmane za razmjenu informacija elektroničkim putem između nadzornih tijela te između nadzornih tijela i Odbora. Ti provedbeni akti donose se u skladu s postupkom ispitivanja iz članka 58. stavka 2.

1. Odbor osnovan Uredbom (EU) 2016/679 obavlja sljedeće zadaće u vezi s obradom u okviru područja primjene ove Direktive:

(a) savjetuje Komisiju o svim pitanjima u vezi sa zaštitom osobnih podataka u Uniji kao i o svakoj predloženoj izmjeni ove Direktive;

(b) ispituje na vlastitu inicijativu, na zahtjev jednog od svojih članova ili na zahtjev Komisije sva pitanja koja obuhvaćaju primjenu ove Direktive i izdaje smjernice, preporuke i primjere najbolje prakse kako bi poticao dosljednu primjenu ove Direktive;

(d) izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog podstavka za utvrđivanje povrede osobnih podataka te određivanje nepotrebnog odgađanja iz članka 30. stavaka 1. i 2. te za posebne okolnosti u kojima se od voditelja obrade ili izvršitelja obrade zahtijeva obavješćivanje o povredi osobnih podataka;

(e) izdaje smjernice, preporuke i primjere najbolje prakse u skladu s točkom (b) ovog podstavka u pogledu okolnosti u kojima će povreda osobnih podataka vjerojatno dovesti do visokog rizika u pogledu pravâ i sloboda pojedinaca kako je navedeno u članku 31. stavku 1.;

(g) daje mišljenje Komisiji o procjeni primjerenosti razine zaštite koja postoji u trećoj zemlji, području ili jednom ili više određenih sektora u trećoj zemlji, ili međunarodnoj organizaciji, uključujući procjenu o tome jesu li takva treća zemlja, područje, određeni sektor ili međunarodna organizacija prestali osiguravati primjerenu razinu zaštite;

(h) promiče suradnju i djelotvornu bilateralnu i multilateralnu razmjenu informacija i primjera najbolje prakse među nadzornim tijelima;

(i) promiče zajedničke programe osposobljavanja i potpomaže razmjenu osoblja među nadzornim tijelima, te prema potrebi, s nadzornim tijelima trećih zemalja ili međunarodnih organizacija;

(j) promiče razmjenu znanja i dokumentacije o zakonima i praksi u vezi sa zaštitom podataka s nadzornim tijelima za zaštitu podataka širom svijeta.

U pogledu točke (g) prvog podstavka, Komisija dostavlja Odboru svu potrebnu dokumentaciju, uključujući korespondenciju s vladom treće zemlje, s područjem ili određenim sektorom u toj trećoj zemlji, ili s međunarodnom organizacijom.

2. Ako Komisija zatraži savjet Odbora, ona može navesti rok, uzimajući u obzir hitnost predmeta.

3. Odbor svoja mišljenja, smjernice, preporuke i primjere najbolje prakse šalje Komisiji i odboru iz članka 58. stavka 1. te ih objavljuje.

4. Komisija obavješćuje Odbor o mjerama koje je poduzela nakon što je Odbor izdao mišljenja, smjernice, preporuke i primjere najbolje prakse.

1. Ne dovodeći u pitanje nijedan drugi upravni ili sudski pravni lijek, države članice osiguravaju da svaki ispitanik ima pravo podnijeti pritužbu jednom nadzornom tijelu, ako ispitanik smatra da obrada osobnih podataka koji se odnose na njega krši odredbe donesene na temelju ove Direktive.

2. Države članice osiguravaju da pritužbu koja nije podnesena nadzornom tijelu koje je nadležno na temelju članka 45. stavka 1., nadzorno tijelo kojem je pritužba podnesena prenosi nadležnomu nadzornom tijelu, bez nepotrebnog odgađanja. Ispitanik mora biti obaviješten o tome prijenosu.

3. Države članice osiguravaju da nadzorno tijelo kojem je pritužba podnesena pruža dodatnu pomoć na zahtjev ispitanika.

4. Nadležno nadzorno tijelo obavješćuje ispitanika o napretku i ishodu pritužbe, među ostalim o mogućnosti ►C1 sudskog pravnog lijeka ◄ na temelju članka 53.

1. Ne dovodeći u pitanje nijedan drugi upravni ili izvansudski pravni lijek, države članice osiguravaju pravo fizičke ili pravne osobe na učinkoviti ►C1 sudski pravni lijek ◄ protiv pravno obvezujuće odluke nadzornog tijela koja se na nju odnosi.

2. Ne dovodeći u pitanje nijedan drugi upravni ili izvansudski pravni lijek svaki ispitanik ima pravo na učinkoviti ►C1 sudski pravni lijek ◄ ako nadzorno tijelo koje je nadležno na temelju članka 45. stavka 1. ne riješi pritužbu ili ne izvijesti ispitanika u roku od tri mjeseca o napretku ili ishodu pritužbe podnesene na temelju članka 52.

3. Države članice osiguravaju da se postupci protiv nadzornog tijela pokreću pred sudovima države članice u kojoj nadzorno tijelo ima poslovni nastan.

Pravo na učinkoviti ►C1 sudski pravni lijek ◄ protiv voditelja obrade ili izvršitelja obrade

Ne dovodeći u pitanje nijedan dostupan upravni ili izvansudski pravni lijek, uključujući pravo na podnošenje pritužbe nadzornom tijelu u skladu s člankom 52., države članice ispitaniku osiguravaju pravo na učinkovit ►C1 sudski pravni lijek ◄ ako on smatra da su mu prekršena njegova prava utvrđena odredbama donesenima na temelju ove Direktive uslijed obrade njegovih osobnih podataka koja nije u skladu s tim odredbama.

U skladu s postupovnim pravom države članice osiguravaju da ispitanik ima pravo ovlastiti neprofitno tijelo, organizaciju ili udruženje, koje je pravilno osnovano u skladu sa pravom države članice, u čijem se statutu navode ciljevi od javnog interesa te koje je aktivno u području zaštite prava i sloboda ispitanika s obzirom na zaštitu njegovih osobnih podataka, da podnesu pritužbu u njegovo ime i da ostvaruju prava iz članaka 52., 53. i 54. u njegovo ime.

Države članice osiguravaju da svaka osoba koja je pretrpjela materijalnu ili nematerijalnu štetu zbog postupka nezakonite obrade ili bilo koje radnje kojim se krše nacionalne odredbe donesene na temelju ove Direktive za pretrpljenu štetu ima pravo na naknadu štete od voditelja obrade ili bilo kojeg drugoga tijela nadležnog prema pravu države članice.

Države članice utvrđuju pravila o sankcijama koje se primjenjuju na kršenja odredaba donesenih na temelju ove Direktive te poduzimaju sve potrebne mjere kako bi se osigurala njihova provedba. Predviđene sankcije moraju biti učinkovite, proporcionalne i odvraćajuće.

1. Komisiji pomaže Odbor osnovan člankom 93. Uredbe (EU) 2016/679. Navedeni odbor je odbor u smislu Uredbe (EU) br. 182/2011.

2. Pri upućivanju na ovaj stavak primjenjuje se članak 5. Uredbe (EU) br. 182/2011.

3. Pri upućivanju na ovaj stavak primjenjuje se članak 8. Uredbe (EU) br. 182/2011 u vezi s njezinim člankom 5.

1. Okvirna odluka 2008/977/PUP stavlja se izvan snage s učinkom od 6. svibnja 2018.

2. Upućivanja na odluku stavljenu izvan snage iz stavka 1. smatraju se upućivanjima na ovu Direktivu.

Posebne odredbe za zaštitu osobnih podataka u pravnim aktima Unije koji su stupili na snagu u području pravosudne suradnje u kaznenim stvarima i policijske suradnje koji su doneseni na dan ili prije 6. svibnja 2016. kojima se uređuje obrada među državama članicama i pristup imenovanih tijela država članica informacijskim sustavima uspostavljenima na temelju Ugovorâ unutar područja primjene ove Direktive ostaju nepromijenjene.

Odnos s prethodno sklopljenim međunarodnim sporazumima u području pravosudne suradnje u kaznenim stvarima i policijske suradnje

Međunarodni sporazumi koji uključuju prijenos osobnih podataka trećim zemljama ili međunarodnim organizacijama koje su države članice sklopile prije 6. svibnja 2016., a koji su u skladu s pravom Unije primjenjivim prije tog datuma, ostaju na snazi dok ih se ne izmijeni, zamijeni ili stavi izvan snage.

1. Do 6. svibnja 2022., i svake četiri godine nakon toga, Komisija podnosi izvješće Europskom parlamentu i Vijeću o ocjeni i preispitivanju ove Direktive. Izvješća se javno objavljuju.

2. U okviru ocjena i preispitivanjâ iz stavka 1., Komisija osobito preispituje primjenu i funkcioniranje poglavlja V. o prijenosu osobnih podataka trećim zemljama ili međunarodnim organizacijama, osobito u pogledu odluka donesenih na temelju članka 36. stavka 3. i članka 39.

3. Za potrebe stavaka 1. i 2. Komisija može zatražiti informacije od država članica i nadzornih tijela.

4. Pri obavljanju ocjena i preispitivanjâ iz stavaka 1. i 2. Komisija uzima u obzir stajališta i nalaze Europskog parlamenta, Vijeća te drugih relevantnih tijela ili izvora.

5. Komisija prema potrebi podnosi odgovarajuće prijedloge s ciljem izmjene ove Direktive, posebno uzimajući u obzir razvoj informacijske tehnologije te s obzirom na napredak informacijskog društva.

6. Do 6. svibnja 2019. Komisija preispituje druge pravne akte koje je donijela Unija kojima se uređuje obrada od strane nadležnih tijela u svrhe iz članka 1. stavka 1., uključujući one akte iz članka 60. koje je Unija donijela kako bi se procijenila potreba da se usklade s ovom Direktivom i kako bi se, prema potrebi, dali potrebni prijedlozi za izmjenu tih akata s ciljem osiguravanja dosljednog pristupa zaštiti osobnih podataka unutar područja primjene ove Direktive.

1. Države članice stavljaju na snagu zakone i druge propise koji su potrebni radi usklađivanja s ovom Direktivom do 6. svibnja 2018. One Komisiji odmah dostavljaju tekst tih odredaba. One primjenjuju te odredbe od 6. svibnja 2018.

Kada države članice donose te odredbe, one sadržavaju upućivanje na ovu Direktivu ili se na nju upućuje prilikom njihove službene objave. Države članice određuju načine tog upućivanja.

2. Odstupajući od stavka 1., država članica može predvidjeti da se, iznimno, ako to zahtijeva nerazmjeran napor, automatizirani sustavi obrade uspostavljeni prije 6. svibnja 2016. moraju uskladiti s člankom 25. stavkom 1. do 6. svibnja 2023.

3. Odstupajući od stavaka 1. i 2. ovog članka, država članica može, u iznimnim okolnostima, automatizirani sustav obrade kako je navedeno u stavku 2. ovog članka uskladiti s člankom 25. stavkom 1. unutar određenog roka nakon roka iz stavka 2. ovog članka, ako bi to u suprotnom uzrokovalo ozbiljne poteškoće u radu tog automatiziranog sustava obrade. Dotična država članica obavješćuje Komisiju o razlozima tih ozbiljnih poteškoća te razlozima određenog roka unutar kojeg se taj konkretni automatizirani sustav obrade usklađuje s člankom 25. stavkom 1. Određeni rok u svakom slučaju ne smije biti kasnije od do 6. svibnja 2026.

4. Države članice Komisiji šalju tekst glavnih odredaba nacionalnog prava koje donesu u području na koje se odnosi ova Direktiva.

Ova Direktiva stupa na snagu sljedećeg dana od dana objave u Službenom listu Europske unije.