16/Sv. 002

Službeni list Europske unije

118

32008F0977

L 350/60

SLUŽBENI LIST EUROPSKE UNIJE

27.11.2008.

OKVIRNA ODLUKA VIJEĆA 2008/977/PUP

od 27. studenoga 2008.

o zaštiti osobnih podataka obrađenih u okviru policijske i pravosudne suradnje u kaznenim stvarima

VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o Europskoj uniji, a posebno njegove članke 30., 31. i članak 34. stavak 2. točku (b),

uzimajući u obzir prijedlog Komisije,

uzimajući u obzir mišljenje Europskog parlamenta (1),

budući da:

(1)	Europska unija postavila si je cilj održavanja i razvijanja Unije kao područja slobode, sigurnosti i pravde u kojem se osigurava visoka razina sigurnosti zajedničkim djelovanjem među državama članicama na poljima policijske i pravosudne suradnje u kaznenim stvarima.

(2)

Zajedničko djelovanje u području policijske suradnje u smislu članka 30. stavka 1. točke (b) Ugovora o Europskoj uniji i zajedničko djelovanje u pravosudnoj suradnji u kaznenim stvarima u smislu članka 31. stavka 1. točke (a) Ugovora o Europskoj uniji podrazumijevaju potrebu za obradom relevantnih informacija koje moraju poštovati odgovarajuće odredbe o zaštiti osobnih podataka.

(3)

Zakonodavstvo obuhvaćeno glavom VI. Ugovora o Europskoj uniji trebalo bi poticati suradnju policije i pravosuđa u kaznenim stvarima u pogledu njezine učinkovitosti, kao i njezine legitimnosti i sukladnosti s temeljnim pravima, osobito s pravom na privatnost i na zaštitu osobnih podataka. Zajednički standardi koji se odnose na obradu i zaštitu osobnih podataka obrađenih radi sprečavanja i suzbijanja kriminala doprinose postizanju obaju ciljeva.

(4)

Haaški program jačanja slobode, sigurnosti i pravde u Europskoj uniji, koji je Europsko Vijeće usvojilo 4. studenoga 2004., naglasio je potrebu za inovativnim pristupom prekograničnoj razmjeni informacija o provedbi prava uz strogo poštovanje ključnih uvjeta u području zaštite podataka i pozvalo Komisiju da dostavi prijedloge u tom pogledu najkasnije do kraja 2005. godine. To se odražava u Planu djelovanja Vijeća i Komisije kojim se provodi Haaški program jačanja slobode, sigurnosti i pravde u Europskoj uniji (2).

(5)

Razmjena osobnih podataka u okviru policijske i pravosudne suradnje u kaznenim stvarima, posebno prema načelu dostupnosti informacija kako je utvrđeno u Haaškom programu, trebala bi biti podržana jasnim pravilima kojima se povećava uzajamno povjerenje između nadležnih tijela i osigurava takva zaštita relevantnih informacija koja isključuje bilo kakvu diskriminaciju vezanu uz takvu suradnju između država članica uz istodobno potpuno uvažavanje temeljnih prava pojedinaca. Postojeći instrumenti na europskoj razini nisu dostatni; Direktiva 95/46/EZ Europskog parlamenta i Vijeća od 24. listopada 1995. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom prijenosu takvih podataka (3) ne primjenjuje se na obradu osobnih podataka tijekom aktivnosti koje nisu obuhvaćene pravom Zajednice, kao što su one predviđene u glavi VI. Ugovora o Europskoj uniji niti, ni u jednom slučaju, na postupke obrade koji se odnose na javnu sigurnost, obranu, državnu sigurnost ili aktivnosti države u području kaznenog prava.

(6)

Ova se Okvirna odluka primjenjuje samo na podatke koje su nadležna tijela prikupila ili obradila u svrhu sprečavanja, istraživanja, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija. Ova bi Okvirna odluka trebala državama članicama prepustiti detaljnije utvrđivanje na nacionalnoj razini koje ostale svrhe treba smatrati nekompatibilnima u svrhu za koju su osobni podaci izvorno prikupljeni. Općenito, daljnja obrada za povijesne, statističke ili znanstvene svrhe ne bi se smjela smatrati nekompatibilnom s izvornom svrhom obrade.

(7)

Područje primjene ove Okvirne odluke ograničeno je na obradu osobnih podataka koji su preneseni ili stavljeni na raspolaganje između država članica. Iz ovog se ograničenja ne smiju izvlačiti nikakvi zaključci vezani za nadležnost Unije da usvaja akte koji se odnose na prikupljanje i obradu osobnih podataka na nacionalnoj razini ili za nadležnost Unije da to čini u budućnosti.

(8)

U svrhu omogućivanja razmjene podataka unutar Unije, države članice namjeravaju osigurati da standard zaštite podataka postignut u nacionalnoj obradi podataka bude jednak onome predviđenom u ovoj Okvirnoj odluci. U pogledu nacionalne obrade podataka, ova Okvirna odluka ne sprečava države članice da osiguraju jače zaštitne mjere za zaštitu osobnih podataka od onih uspostavljenih ovom Okvirnom odlukom.

(9)	Ova se Okvirna odluka ne bi se trebala primjenjivati na osobne podatke koje je država članica dobila u okviru područja primjene ove Okvirne odluke i koji potječu iz te države članice.

(10)	Usklađivanje zakonodavstava država članica ne bi smjelo dovesti ni do kakvog smanjivanja zaštite podataka koju pružaju, već bi, upravo suprotno, trebalo težiti osiguravanju visoke razine zaštite unutar Unije.

(11)

Potrebno je precizirati ciljeve zaštite podataka unutar okvira policijskih i pravosudnih aktivnosti te utvrditi pravila koja se odnose na zakonitost obrade osobnih podataka s ciljem osiguravanja da su informacije koje se mogu razmijeniti obrađene zakonito i u skladu s temeljnim načelima koja se odnose na kvalitetu podataka. Zakonite aktivnosti policijskih, carinskih, pravosudnih i ostalih nadležnih tijela ne bi istodobno ni na koji način smjele biti ugrožene.

(12)

Načelo točnosti podataka treba primjenjivati uz poštovanje prirode i svrhe predmetne obrade. Podaci se, na primjer, posebno u sudskim postupcima, temelje na subjektivnoj percepciji pojedinaca i u nekim se slučajevima u potpunosti ne mogu provjeriti. U skladu s tim, zahtjev točnosti ne može se odnositi na točnost izjave, već samo na činjenicu da je određena izjava dana.

(13)

Arhiviranje u zaseban skup podataka trebalo bi biti dopušteno samo kad se podaci više ne traže i ne koriste za sprečavanje, istraživanje, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija. Arhiviranje u zaseban skup podataka trebalo bi također biti dopušteno kad su arhivirani podaci pohranjeni u bazu podataka s ostalim podacima na takav način da se više ne mogu koristiti za sprečavanje, istraživanje, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija. Primjerenost razdoblja arhiviranja trebalo bi ovisiti o svrsi arhiviranja i zakonitim interesima subjekata podataka. U slučaju arhiviranja za povijesne svrhe može se predvidjeti iznimno dugo razdoblje.

(14)	Podaci se također mogu brisati uništavanjem nosača podataka.

(15)

U vezi s netočnim i nepotpunim podacima ili podacima koji više nisu ažurni a preneseni su ili stavljeni na raspolaganje nekoj drugoj državi članici i dostavljeni na daljnju obradu tijelima koja donose odluke kao i pravosudna tijela, treba ih ispraviti, izbrisati ili blokirati u skladu s nacionalnim pravom.

(16)	Osiguravanje visoke razine zaštite osobnih podataka pojedinaca zahtijeva zajedničke odredbe za utvrđivanje zakonitosti i kvalitete podataka koje su obradila nadležna tijela u drugim državama članicama.

(17)

Primjereno je na europskoj razini utvrditi uvjete uz koje nadležnim tijelima država članica treba omogućiti prenošenje i stavljanje na raspolaganje osobnih podataka koje su primile od ostalih država članica tijelima i privatnim osobama u državama članicama. U mnogim je slučajevima potrebno prenošenje osobnih podataka od pravosuđa, policije i carine privatnim osobama radi progona kaznenih djela ili sprečavanja neposredne i ozbiljne prijetnje javnoj sigurnosti ili sprečavanja nanošenja ozbiljne štete pravima pojedinca, na primjer, izdavanjem upozorenja bankama i kreditnim ustanovama koja se odnose na krivotvorenje vrijednosnica ili, u području kaznenih djela povezanih s vozilima, slanjem osobnih podataka osiguravajućim društvima s ciljem sprečavanja nedopuštene trgovine ukradenim motornim vozilima ili poboljšavanja uvjeta za povrat ukradenog motornog vozila iz inozemstva. Ovo nije ekvivalent prijenosu policijskih ili pravosudnih zadaća na privatne osobe.

(18)	Pravila u ovoj Okvirnoj odluci koja se odnose na prenošenje osobnih podataka od pravosudnih tijela, policije ili carine privatnim osobama ne primjenjuju se na otkrivanje podataka privatnim osobama (kao što su odvjetnici i žrtve) u okviru kaznenog postupka.

(19)	Dodatna obrada osobnih podataka koje je poslalo ili stavilo na raspolaganje nadležno tijelo neke druge države članice, posebno dodatno prenošenje ili stavljanje na raspolaganje takvih podataka, trebalo bi biti podložno zajedničkim pravilima na europskoj razini.

(20)

U slučaju kada osobni podaci mogu biti dodatno obrađeni nakon što je država članica od koje su ti podaci bili dobiveni dala svoje odobrenje, svaka država članica trebala bi imati mogućnost utvrđivanja modaliteta takvog odobrenja, uključujući, na primjer, opću suglasnost za vrste podataka ili za vrste dodatnih obrada.

(21)	U slučajevima kad bi se osobni podaci mogli dalje obrađivati za upravne postupke, ti postupci također uključuju aktivnosti regulatornih i nadzornih tijela.

(22)	Zakonite aktivnosti policije, carine, pravosuđa i ostalih nadležnih tijela mogu zahtijevati slanje podataka tijelima u trećim državama ili međunarodnim tijelima čija je obaveza sprečavanje, istraživanje, otkrivanje ili progon kaznenih djela ili izvršenja kaznenopravnih sankcija.

(23)	U slučajevima kad države članice prenose osobne podatke trećim zemljama ili međunarodnim tijelima, ti bi podaci u načelu trebali uživati odgovarajuću razinu zaštite.

(24)

U slučajevima kad države članice prenose osobne podatke trećim zemljama ili međunarodnim tijelima, takva bi se prenošenja u načelu trebala odvijati tek nakon što država članica od koje su ti podaci bili dobiveni da svoje odobrenje za to prenošenje. Svaka država članica trebala bi imati mogućnost utvrđivanja modaliteta takvog odobrenja, uključujući, na primjer, opće odobrenje za kategorije informacija ili za navedene treće države.

(25)

Interesi učinkovite suradnje na provođenju zakona zahtijevaju da u slučajevima kad je prijetnja javnoj sigurnosti neke države članice ili treće zemlje toliko neposredna da onemogućuje pravodobno dobivanje prethodnog odobrenja, nadležno tijelo trebalo bi imati mogućnost prenijeti relevantne osobne podatke predmetnoj trećoj zemlji bez takvog prethodnog odobrenja. Isto se može primjenjivati u slučajevima u kojima su dovedeni u pitanje osnovni interesi države članice jednake važnosti, na primjer u slučajevima kad bi infrastrukturni objekti od kritičnog značaja države članice mogli biti metom neposredne i ozbiljne prijetnje ili kad bi financijski sustav države članice mogao biti ozbiljno poremećen.

(26)	Može biti potrebno informirati subjekte podataka o obradi njihovih podataka, posebno u slučajevima kad postoji posebno ozbiljno zadiranje u njihova prava koje je posljedica mjera tajnog prikupljanja podataka, s ciljem osiguravanja da subjekt podataka može dobiti učinkovitu pravnu zaštitu.

(27)

Države članice trebale bi osigurati da subjekt podataka bude informiran da bi se osobni podaci mogli prikupljati ili da se prikupljaju, obrađuju ili prenose nekoj drugoj državi članici u svrhu sprečavanja, istraživanja, otkrivanja i progona kaznenih djela ili izvršavanja kaznenopravnih sankcija. Modaliteti prava subjekta podataka na informiranost i iznimke od ovog trebali bi biti utvrđeni nacionalnim pravom. To može poprimiti uobičajeni oblik, na primjer putem prava ili objavljivanjem popisa postupaka obrade.

(28)	S ciljem osiguravanja zaštite osobnih podataka bez dovođenja u opasnost interesa kaznenopravnih istraga, potrebno je definirati prava subjekta podataka.

(29)

Neke su države članice predvidjele pravo pristupa podacima subjekta podataka, u kaznenim stvarima putem sustava unutar kojeg nacionalno nadzorno tijelo, umjesto subjekta podataka, ima pristup svim osobnim podacima vezanim za njega bez ikakvih ograničenja te također može ispraviti, brisati ili ažurirati netočne podatke. U takvom slučaju neizravnog pristupa nacionalno pravo tih država članica može predvidjeti da nacionalno nadzorno tijelo informira subjekt podataka samo o tome da su provedene sve potrebne provjere. Međutim, te države članice također predviđaju mogućnosti izravnog pristupa subjekta podataka u specifičnim slučajevima, kao što je pristup sudskim spisima, s ciljem dobivanja preslika dokumenata iz vlastite kaznene evidencije ili dokumenata koji se odnose na vlastita saslušanja od strane policijskih službi.

(30)

Primjereno je uspostaviti zajednička pravila o tajnosti i sigurnosti obrade, o odgovornosti i kaznama za nezakonito korištenje od strane nadležnih tijela te o pravnim sredstvima dostupnima subjektu podataka. Međutim, svaka država članica treba utvrditi prirodu svojih pravila o deliktima i kazni primjerenih za kršenje domaćih odredaba o zaštiti podataka.

(31)	Ova Okvirna odluka dopušta načelo javnog pristupa službenim dokumentima koje treba poštovati prilikom provedbe načela navedenih u ovoj Okvirnoj odluci.

(32)

U slučajevima kad je osobne podatke potrebno zaštititi u odnosu na obradu koja svojim razmjerima ili vrstom nosi specifične rizike za temeljna prava i slobode, na primjer obrada sredstvima novih tehnologija, mehanizmima ili postupcima, primjereno je prije uspostavljanja sustava arhiviranja usmjerenoga na obradu tih podataka osigurati konzultiranje s ovlaštenim nacionalnim nadzornim tijelima.

(33)	Uspostavljanje nadzornih tijela u državama članicama, koja potpuno samostalno izvršavaju svoje funkcije, prijeko je potrebna sastavnica zaštite osobnih podataka obrađenih u okviru policijske i pravosudne suradnje između država članica.

(34)	Nadzorna tijela već uspostavljena u državama članicama prema Direktivi 95/46/EZ također bi trebala imati mogućnost preuzimanja odgovornosti za zadatke koje će obaviti nacionalna nadzorna tijela koja će biti uspostavljena prema ovoj Okvirnoj odluci.

(35)

Takva nadzorna tijela trebala bi imati potrebna sredstva za obavljanje svojih dužnosti, uključujući ovlasti istraživanja i interveniranja, posebno u slučajevima pritužbi pojedinaca ili ovlasti uključivanja u pravni postupak. Ta bi nadzorna tijela trebala pomoći osigurati transparentnost obrade u državama članicama čijoj nadležnosti pripadaju. Međutim, njihove ovlasti ne bi smjele ometati posebna pravila donesena za kazneni postupak ili neovisnost pravosuđa.

(36)

Članak 47. Ugovora o Europskoj uniji određuje da ništa u njemu ne može utjecati na Ugovore o osnivanju Europske zajednice ili naknadne ugovore i akte kojima ih se mijenja. Shodno tome, ova Okvirna odluka ne utječe na zaštitu osobnih podataka prema pravu Zajednice, osobito kako je predviđena u Direktivi 95/46/EZ, u Uredbi (EZ) br. 45/2001 Europskog parlamenta i Vijeća od 18. prosinca 2000. o zaštiti osoba u vezi s obradom osobnih podataka u institucijama i tijelima Zajednice i o slobodnom kretanju takvih podataka (4) i u Direktivi 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (5).

(37)	Ova Okvirna odluka ne dovodi u pitanje pravila koja se odnose na nedopušteni pristup podacima utvrđenim Okvirnom odlukom Vijeća 2005/222/PUP od 24. veljače 2005. o napadima na informacijske sustave (6).

(38)	Ova Okvirna odluka ne dovodi u pitanje postojeće obaveze i opredijeljenosti koje države članice ili Uniju obvezuju na temelju bilateralnih i/ili multilateralnih sporazuma s trećim zemljama. Budući sporazumi trebali bi biti sukladni pravilima o razmjeni podataka s trećim zemljama.

(39)

Nekoliko akata koji su usvojeni na temelju glave VI. Ugovora o Europskoj uniji sadrže posebne odredbe o zaštiti osobnih podataka koji su razmijenjeni ili na drugačiji način obrađeni na temelju tih akata. U nekim slučajevima te odredbe predstavljaju potpun i koherentan skup pravila koji pokriva sve relevantne aspekte zaštite podataka (načela kvalitete podataka, pravila o sigurnosti podataka, reguliranje prava i mjera zaštite subjekata podataka, organizacija nadzora i odgovornosti) i reguliraju ta pitanja detaljnije nego ova Okvirna odluka. Ova Okvirna odluka ne bi smjela utjecati na mjerodavni skup propisa o zaštiti podataka tih akata, osobito onih koji uređuju funkcioniranje Europola, Eurojusta, Schengenskog informacijskog sustava (SIS) i Carinskog informacijskog sustava (CIS), kao i onih kojima se tijelima država članica omogućuje izravan pristup određenim podatkovnim sustavima ostalih država članica. Isto se primjenjuje u odnosu na odredbe o zaštiti podataka koje uređuju automatizirano prenošenje DNK profila, daktiloskopskih podataka i podataka o nacionalnoj registraciji vozila između država članica na temelju Odluke Vijeća 2008/615/PUP od 23. lipnja 2008. o produbljivanju prekogranične suradnje, osobito na suzbijanju terorizma i prekograničnog kriminala (7).

(40)

Odredbe o zaštiti podataka u aktima koji su usvojeni na temelju glave VI. Ugovora o Europskoj uniji u ostalim slučajevima imaju ograničeniji opseg. Često donose posebne uvjete za državu članicu koja od ostalih država članica prima informacije o osobnim podacima u pogledu svrha u koje se ona može koristiti tim podacima, ali za ostale aspekte zaštite podataka upućuju na Konvenciju Vijeća Europe za zaštitu osoba s obzirom na automatiziranu obradu osobnih podataka od 28. siječnja 1981. ili na nacionalno pravo. U mjeri u kojoj odredbe tih akata državama članicama primateljicama u pogledu korištenja ili daljnjeg prenošenja osobnih podataka nameću restriktivnije uvjete od onih koji su sadržane u odgovarajućim odredbama ove Okvirne odluke, prethodne odredbe trebale bi ostati nepromijenjene. Međutim, u svim ostalim aspektima trebalo bi primijeniti pravila navedena u ovoj Okvirnoj odluci.

(41)	Ova Okvirna odluka ne utječe na Konvenciju Vijeća Europe za zaštitu osoba s obzirom na automatiziranu obradu osobnih podataka, Dodatni protokol uz tu Konvenciju od 8. studenoga 2001. ni na konvencije Vijeća Europe o pravosudnoj suradnji u kaznenim stvarima.

(42)

Budući da države članice ne mogu dostatno ostvariti cilj ove Okvirne odluke, osobito utvrđivanje zajedničkih pravila za zaštitu osobnih podataka obrađenih u okviru policijske i pravosudne suradnje u kaznenim stvarima, i da se stoga on, zbog opsega i učinaka djelovanja, može na bolji način ostvariti na razini Unije, Unija može usvojiti mjere u skladu s načelom supsidijarnosti kako je navedeno u članku 5. Ugovora o osnivanju Europske zajednice i u članku 2. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti, kako je navedeno u članku 5. Ugovora o osnivanju Europske zajednice, ova Okvirna odluka ne prelazi ono što je potrebno za ostvarivanje tog cilja.

(43)

Ujedinjena Kraljevina sudjeluje u ovoj Okvirnoj odluci u skladu s člankom 5. Protokola kojim je schengenska pravna stečevina integrirana u okvir Europske unije, priloženoga Ugovoru o Europskoj uniji i Ugovoru o osnivanju Europske zajednice, i člankom 8. stavkom 2. Odluke Vijeća 2000/365/EZ od 29. svibnja 2000. o zahtjevu Ujedinjene Kraljevine Velike Britanije i Sjeverne Irske za sudjelovanje u nekim odredbama schengenske pravne stečevine (8).

(44)

Irska sudjeluje u ovoj Okvirnoj odluci u skladu s člankom 5. Protokola kojim je schengenska pravna stečevina integriran u okvir Europske unije, priloženoga Ugovoru o Europskoj uniji i Ugovoru o osnivanju Europske zajednice, i člankom 6. stavkom 2. Odluke Vijeća 2002/192/EZ od 28. veljače 2002. o zahtjevu Irske za sudjelovanje u nekim odredbama schengenske pravne stečevine (9).

(45)

Što se tiče Islanda i Norveške, ova Okvirna odluka predstavlja razvoj odredaba schengenske pravne stečevine u smislu Sporazuma Vijeća Europske unije s Republikom Island i Kraljevinom Norveškom o pridruživanju tih država provedbi, primjeni i razvoju schengenske pravne stečevine (10), u području na koje upućuje članak 1., točke H i I Odluke Vijeća 1999/437/EZ (11) o određenim rješenjima za primjenu tog Sporazuma.

(46)

Što se tiče Švicarske, ova Okvirna odluka predstavlja razvoj odredaba schengenske pravne stečevine u smislu Sporazuma između Europske unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju schengenske pravne stečevine (12) u području na koje upućuje članak 1., točke H i I Odluke 1999/437/EZ koja se čita u vezi s člankom 3. Odluke Vijeća 2008/149/PUP (13) o sklapanju tog Sporazuma u ime Europske unije.

(47)

Što se tiče Lihtenštajna, ova Okvirna odluka predstavlja razvoj odredaba schengenske pravne stečevine u smislu Protokola kojeg su potpisale Europska unija, Europska zajednica, Švicarska Konfederacija i Kneževina Lihtenštajn o pristupanju Kneževine Lihtenštajn Sporazumu između Europske unije, Europske zajednice i Švicarske Konfederacije o pridruživanju Švicarske Konfederacije provedbi, primjeni i razvoju schengenske pravne stečevine, u području na koje upućuje članak 1., točke H i I Odluke 1999/437/EZ koja se čita u vezi s člankom 3. Odluke Vijeća 2008/149/PUP (14) o sklapanju tog Sporazuma u ime Europske unije.

(48)	Ova Okvirna odluka uvažava temeljna prava i poštuje načela priznata osobito Poveljom Europske unije o temeljnim pravima (15). Ova Okvirna odluka teži osiguravanju potpunog uvažavanja prava na privatnost i zaštitu osobnih podataka koja se odražavaju u člancima 7. i 8. Povelje,

DONIJELO JE OVU OKVIRNU ODLUKU:

Članak 1.

Svrha i područje primjene

1. Svrha je ove Okvirne odluke osigurati visoku razinu zaštite temeljnih prava i sloboda fizičkih osoba, a osobito njihova prava na privatnost, u pogledu obrade osobnih podataka u okviru policijske i pravosudne suradnje u kaznenim stvarima predviđene glavom VI. Ugovora o Europskoj uniji, uz istodobno jamčenje visoke razine javne sigurnosti.

2. U skladu s ovom Okvirnom odlukom države članice štite temeljna prava i slobode fizičkih osoba, a posebno njihovo pravo na privatnost u slučajevima u kojima se u svrhu sprečavanja, istraživanja, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenopravnih sankcija osobni podaci:

(a)	prenose ili su preneseni ili stavljeni na raspolaganje između država članica;

(b)	prenose ili su preneseni ili stavljeni na raspolaganje od strane država članica tijelima ili informacijskim sustavima uspostavljenim na temelju glave VI. Ugovora o Europskoj uniji; ili

(c)	prenose ili su preneseni ili stavljeni na raspolaganje nadležnim tijelima država članica od strane tijela ili informacijskih sustava uspostavljenih na temelju Ugovora o Europskoj uniji ili Ugovora o osnivanju Europske zajednice.

3. Ova se Okvirna odluka primjenjuje na obradu osobnih podataka u cijelosti ili djelomično automatiziranim sredstvima i na obradu, osim automatiziranim sredstvima, osobnih podataka koji su dio sustava arhiviranja ili namijenjenih tome da čine dio sustava arhiviranja.

4. Ova Okvirna odluka ne dovodi u pitanje osnovne interese nacionalne sigurnosti i specifičnih obavještajnih aktivnosti u području nacionalne sigurnosti.

5. Ova Okvirna odluka ne sprečava države članice da za zaštitu osobnih podataka koji su prikupljeni ili obrađeni na nacionalnoj razini osiguraju više mjere zaštite od onih uspostavljenih u ovoj Okvirnoj odluci.

Članak 2.

Definicije

Za potrebe ove Okvirne odluke:

(a)

„osobni podaci” znači bilo koja informacija koja se odnosi na identificiranu fizičku osobu ili fizičku osobu koja se može identificirati („osoba čiji se podaci obrađuju”); osoba koja se može identificirati jest ona čiji se identitet, izravno ili neizravno, može utvrditi osobito navođenjem identifikacijskog broja ili jednog ili više obilježja specifičnih za njezin fizički, fiziološki, mentalni, gospodarski, kulturni ili socijalni identitet;

(b)

„obrada osobnih podataka” i „obrada” znači bilo koja radnja ili skup radnji izvršenih na osobnim podacima, bilo automatiziranim sredstvima ili ne, kao što su prikupljanje, snimanje, organiziranje, pohranjivanje, prilagođivanje ili mijenjanje, dohvat, uvid, korištenje, otkrivanje prenošenjem, širenje ili stavljanje na raspolaganje na drukčiji način, usklađivanje ili kombiniranje, blokiranje, brisanje ili uništavanje;

(c)	„blokiranje” znači označivanje pohranjenih osobnih podataka s ciljem ograničavanja njihove buduće obrade;

(d)	„sustav arhiviranja osobnih podataka” i „sustav arhiviranja” znači bilo koji strukturirani skup osobnih podataka kojima se može pristupiti prema specifičnim kriterijima, bez obzira na to je li centraliziran, decentraliziran ili raspršen na funkcionalnoj ili zemljopisnoj osnovi;

(e)	„obrađivač” znači svako tijelo koje obrađuje osobne podatke u ime nadzornika;

(f)	„primatelj” znači svako tijelo kojem se podaci otkrivaju;

(g)	„privola osobe čiji se podaci obrađuju” znači svako slobodno dano, posebno i informirano očitovanje volje kojom osoba čiji se podaci obrađuju izražava svoju suglasnost s obradom osobnih podataka koji se na nju odnose;

(h)

„nadležna tijela” znači agencije ili tijela uspostavljeni pravnim aktima koje je Vijeće usvojilo na temelju glave VI. Ugovora o Europskoj uniji, kao i policijska, carinska, pravosudna i ostala nadležna tijela država članica koja su nacionalnim pravom ovlaštena za obrađivanje osobnih podataka u okviru opsega ove Okvirne odluke;

(i)	„nadzornik” znači fizička ili pravna osoba, javno tijelo, agencija ili bilo koje drugo tijelo koje samo ili zajedno s drugima utvrđuje svrhe i način obrade osobnih podataka;

(j)	„upućivanje” znači označivanje pohranjenih osobnih podataka bez cilja ograničavanja njihove obrade buduće;

(k)

„učiniti anonimnima” znači promijeniti osobne podatke na takav način da se pojedinosti o osobnim ili materijalnim okolnostima više ne mogu pripisati nekoj identificiranoj fizičkoj osobi ili fizičkoj osobi koja se može identificirati, ili se to može učiniti samo nerazmjernim ulaganjem vremena, troškova i rada.

Članak 3.

Načela zakonitosti, proporcionalnosti i svrhe

1. Osobne podatke nadležna tijela mogu prikupljati samo u određene, jasne i zakonite svrhe u okviru svojih zadataka i mogu ih obrađivati samo u onu svrhu za koju su podaci prikupljeni. Obrada podataka mora biti zakonita, odgovarajuća i relevantna te ne smije biti pretjerana u odnosu na svrhe u koje su podaci prikupljeni.

2. Daljnja obrada u neku drugu svrhu dopuštena je ako:

(a)	nije nekompatibilna sa svrhama u koje su podaci prikupljeni;

(b)	su nadležna tijela ovlaštena obrađivati takve podatke u takvu drugu svrhu u skladu s primjenjivim pravnim odredbama; i

(c)	je obrada potrebna i razmjerna toj drugoj svrsi.

Nadležna tijela također mogu dalje obrađivati prenesene osobne podatke za povijesne, statističke ili znanstvene svrhe, uz uvjet da države članice osiguraju primjerene mjere zaštite, kao što je učiniti podatke anonimnima.

Članak 4.

Ispravljanje, brisanje i blokiranje

1. Ako su osobni podaci netočni, ispravljaju se i, u slučajevima kad je to moguće i potrebno, upotpunjavaju ili ažuriraju.

2. Osobni se podaci brišu ili ih se učini anonimnima kad se više ne zahtijevaju u svrhe u koje su bili zakonito prikupljeni ili zakonito dalje obrađeni. Ova odredba ne utječe na arhiviranje tih podataka u zasebni skup podataka na primjereno razdoblje u skladu s nacionalnim pravom.

3. Osobni se podaci blokiraju umjesto da se brišu ako postoje opravdani razlozi za vjerovanje da bi brisanje moglo utjecati na zakonite interese osoba čiji se podaci obrađuju. Blokirani podaci obrađuju se samo u svrhu zbog koje je njihovo brisanje bilo spriječeno.

4. U slučaju kad su osobni podaci sadržani u sudskoj odluci ili zapisu vezanom za donošenje sudske odluke, ispravljanje, brisanje ili blokiranje provode se u skladu s nacionalnim pravilima o sudskom postupanju.

Članak 5.

Određivanje rokova za brisanje i provjeru

Odgovarajući rok određuje se za brisanje osobnih podataka ili za periodičnu provjeru potrebe za pohranjivanjem podataka. Postupovne mjere osiguravaju poštovanje tih rokova.

Članak 6.

Obrada posebnih kategorija podataka

Obrada osobnih podataka koji otkrivaju rasno ili etničko podrijetlo, politička uvjerenja, vjerska ili filozofska uvjerenja ili članstvo u sindikatima te obrada podataka koji se odnose na zdravlje ili seksualni život dopuštena je samo u slučajevima u kojima je to prijeko potrebno i kad nacionalno pravo osigurava odgovarajuće mjere zaštite.

Članak 7.

Automatizirane pojedinačne odluke

Odluka koja ima štetni pravni učinak za osobu čiji se podaci obrađuju ili znatno utječe na nju i koja se temelji isključivo na automatiziranoj obradi podataka čija je namjena ocijeniti određene osobne aspekte koji se odnose na osobu čiji se podaci obrađuju, dopuštena je samo ako je dopušta zakon u kojem se također predviđaju mjere za zaštitu zakonitih interesa osobe čiji se podaci obrađuju.

Članak 8.

Provjeravanje kvalitete podataka koji se prenose ili stavljaju na raspolaganje

1. Nadležna tijela poduzimaju sve razumne korake za osiguravanje da se osobni podaci koji su netočni, nepotpuni ili više nisu ažurni ne prenose ni ne stavljaju na raspolaganje.

U tu svrhu, nadležna tijela, koliko je to izvedivo, provjeravaju kvalitetu osobnih podataka prije njihova prenošenja ili stavljanja na raspolaganje. Što je više moguće, pri svim prenošenjima podataka dodaju se dostupne informacije koje državi članici primateljici omogućuju ocjenjivanje stupnja točnosti, potpunosti, ažurnosti i pouzdanosti. Ako su osobni podaci preneseni bez zahtjeva, tijelo koje ih je primilo bez odlaganja provjerava jesu li ti podaci potrebni u svrhu u koju su preneseni.

2. Pokaže li se da su preneseni podaci netočni ili da su podaci preneseni nezakonito, primatelj mora biti obaviješten bez odlaganja. Podaci se moraju ispraviti, obrisati ili blokirati bez odlaganja u skladu s člankom 4.

Članak 9.

Rokovi

1. Nakon prenošenja podataka ili njihova stavljanja na raspolaganje, tijelo koje ih je prenijelo može u skladu s nacionalnim pravom i u skladu s člancima 4. i 5. navesti rokove za čuvanje podataka, nakon isteka kojih primatelj mora obrisati ili blokirati podatke ili provjeriti jesu li oni još uvijek potrebni ili nisu. Ova se obaveza ne primjenjuje ako se u trenutku isteka tih rokova podaci zahtijevaju za trenutačno istraživanje, progon kaznenih djela ili izvršavanje kaznenopravnih sankcija.

2. U slučajevima u kojima tijelo koje prenosi podatke nije navelo rok iz stavka 1., primjenjuje se rok iz članaka 4. i 5. za čuvanje podataka predviđen nacionalnim pravom države članice primateljice.

Članak 10.

Evidentiranje i dokumentacija

1. Sva prenošenja osobnih podataka trebaju se evidentirati ili dokumentirati u svrhu provjeravanja zakonitosti obrade podataka, unutarnjeg nadzora i osiguravanja ispravne nepovredivosti i sigurnosti podataka.

2. Evidencija ili dokumentacija pripremljena prema stavku 1. na zahtjev se dostavlja ovlaštenom nadzornom tijelu za kontrolu zaštite podataka. Nadzornik se koristi ovim informacijama samo za kontrolu zaštite podataka i za osiguravanje ispravne obrade podataka, kao i nepovredivosti i sigurnosti podataka.

Članak 11.

Obrada osobnih podataka primljenih ili dobivenih na raspolaganje od neke druge države članice

Osobni podaci primljeni ili dobiveni na raspolaganje od nadležnih tijela neke druge države članice mogu se, u skladu sa zahtjevima članka 3. stavka 2., osim u svrhe u koje su bili preneseni ili stavljeni na raspolaganje, dalje obrađivati samo u sljedeće svrhe:

(a)	sprečavanje, istraživanje, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija, osim onih zbog kojih su preneseni ili stavljeni na raspolaganje;

(b)	ostali sudski i upravni postupci direktno vezani za sprečavanje, istraživanje, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija;

(c)	sprečavanje neposredne i ozbiljne prijetnje javnoj sigurnosti; ili

(d)	u bilo koju drugu svrhu samo uz prethodno odobrenje države članice koja ih prenosi ili uz privolu osobe čiji se podaci obrađuju danu u skladu s nacionalnim pravom.

Nadležna tijela mogu također dalje obrađivati prenesene osobne podatke za povijesne, statističke ili znanstvene svrhe, uz uvjet da države članice osiguraju primjerene mjere zaštite, na primjer, da podatke učine anonimnima.

Članak 12.

Sukladnost s nacionalnim ograničenjima obrade

1. U slučajevima u kojima se, prema pravu države članice koja prenosi podatke, specifična ograničenja obrade u specifičnim okolnostima primjenjuju na razmjenu podataka između nadležnih tijela unutar te države članice, tijelo koje prenosi podatke informira primatelja o takvim ograničenjima. Primatelj osigurava da se poštuju ta ograničenja obrade.

2. Prilikom primjene stavka 1. države članice ne primjenjuju ograničenja koja se odnose na prenošenje podataka ostalim državama članicama ili agencijama ili tijelima uspostavljenim na temelju glave VI. Ugovora o Europskoj uniji, osim onih koja su primjerena sličnim nacionalnim prenošenjima podataka.

Članak 13.

Prenošenje nadležnim tijelima u trećim zemljama ili međunarodnim tijelima

1. Države članice osiguravaju da osobni podaci koje su prenijela ili stavila na raspolaganje nadležna tijela neke druge države članice mogu biti preneseni trećim zemljama ili međunarodnim tijelima samo ako:

(a)	je to potrebno za sprečavanje, istraživanje, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija;

(b)	je tijelo koje je primatelj u trećoj zemlji, ili međunarodno tijelo koje je primatelj, odgovorno za sprečavanje, istraživanje, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija;

(c)	je država članica iz koje su podaci dobiveni dala svoje odobrenje za prenošenje u skladu sa svojim nacionalnim pravom; i

(d)	treća zemlja ili dotično međunarodno tijelo osigurava odgovarajuću razinu zaštite za namjeravanu obradu podataka.

2. Prenošenje bez prethodnog odobrenja u skladu sa stavkom 1. točkom (c) dopušteno je samo ako je prenošenje podataka neophodno za sprečavanje neposredne i ozbiljne prijetnje javnoj sigurnosti države članice ili treće zemlje ili bitnim interesima države članice i prethodno odobrenje ne može se dobiti pravodobno. Tijelo odgovorno za izdavanje odobrenja o tome treba biti obaviješteno bez odlaganja.

3. Iznimno od stavka 1. točke (d), osobni podaci mogu se prenositi ako:

(a)

nacionalno pravo države članice koja prenosi podatke to predvidi zbog:

i.	zakonitih posebnih interesa osobe čiji se podaci obrađuju; ili

ii.	zakonitih prevladavajućih interesa, posebno važnih javnih interesa; ili

(b)	treća zemlja ili međunarodno tijelo koje prima podatke predvidi mjere zaštite koje predmetna država članica smatra odgovarajućima u skladu sa svojim nacionalnim pravom.

4. Prikladnost razine zaštite iz stavka 1. točke (d) ocjenjuje se s obzirom na sve okolnosti oko postupka prenošenja podataka ili na postupak prenošenja skupa podataka. Osobito bi trebalo razmotriti vrstu podataka, svrhu i trajanje predloženog postupka ili predloženih postupaka obrade, državu podrijetla i državu ili međunarodno tijelo koje je krajnje odredište podataka, pravne propise, kako opće tako i sektorske, koji su na snazi u određenoj trećoj zemlji ili međunarodnom tijelu, te važeća pravila struke i mjere sigurnosti.

Članak 14.

Prenošenje privatnim strankama u državama članicama

1. Države članice osiguravaju da se osobni podaci dobiveni ili stavljeni na raspolaganje od strane nadležnog tijela neke druge države članice mogu se prenositi privatnim strankama samo ako:

(a)	je nadležno tijelo države članice od koje su podaci dobiveni odobrilo to prenošenje u skladu sa svojim nacionalnim pravom;

(b)	nikakvi zakoniti posebni interesi osobe čiji se podaci obrađuju ne sprečavaju prenošenje; i

(c)

je u osobitim slučajevima prenošenje od osnovne važnosti za nadležno tijelo koje prenosi podatke privatnoj stranci za:

i.	obavljanje zadatka koji mu je zakonito dodijeljen;

ii.	sprečavanje, istraživanje, otkrivanje ili progon kaznenih djela ili izvršavanje kaznenopravnih sankcija;

iii.	sprečavanje neposredne i ozbiljne prijetnje javnoj sigurnosti; ili

iv.	sprečavanje ozbiljne štete pravima pojedinaca.

2. Nadležno tijelo koje prenosi podatke privatnoj stranci informira potonju o isključivoj svrsi u koju se podaci mogu koristiti.

Članak 15.

Informacije na zahtjev nadležnog tijela

Primatelj, na zahtjev, obavješćuje nadležno tijelo koje je prenijelo osobne podatke ili ih stavilo na raspolaganje o njihovoj obradi.

Članak 16.

Informacije za osobu čiji se podaci obrađuju

1. Države članice osiguravaju obavješćivanje osobe čiji se podaci objavljuju o tome da njihova nadležna tijela prikupljaju ili obrađuju osobne podatke u skladu s nacionalnim pravom.

2. U slučajevima u kojima se osobni podaci prenose ili stavljaju na raspolaganje između država članica, svaka država članica može, u skladu s odredbama svojega nacionalnog prava iz stavka 1., zatražiti da druga država članica ne obavijesti osobu čije se podaci obrađuju. U takvom slučaju potonja država članica ne obavješćuje osobu čiji se podaci obrađuju bez prethodnog odobrenja druge države članice.

Članak 17.

Pravo pristupa

1. Svaka osoba čiji se podaci obrađuju ima pravo dobiti, na temelju zahtjeva koji se dostavljaju u razumnim razmacima, bez ograničenja i bez pretjeranog odlaganja ili troška:

(a)

najmanje potvrdu od osoba nadležne za obradu podataka ili od nacionalnog nadzornika o tome jesu li podaci koji se odnose na nju preneseni ili stavljeni na raspolaganje ili nisu i informacije o primateljima ili kategorijama primatelja kojima su podaci otkriveni te priopćenje o podacima koji se obrađuju; ili

(b)	najmanje potvrdu od nacionalnog nadzornika da su sve potrebne provjere obavljene.

2. Države članice mogu usvojiti zakonodavne mjere kojima se ograničava pristup informacijama na temelju stavka 1. točke (a) u slučajevima u kojima je takvo ograničenje, s dužnom pažnjom prema zakonitim interesima dotične osobe, potrebno i razmjerno:

(a)	za sprečavanje ometanja službenih ili sudskih istraga, istraživanja ili postupaka;

(b)	za izbjegavanje dovođenja u pitanje sprečavanja, otkrivanja, istraživanja i progona kaznenih djela ili za izvršavanje kaznenopravnih sankcija;

(c)	za zaštitu javne sigurnosti;

(d)	za zaštitu nacionalne sigurnosti;

(e)	za zaštitu osobe čiji se podaci obrađuju ili prava i sloboda ostalih.

3. Svako odbijanje ili ograničavanje pristupa sastavlja se u pisanom obliku za osobu čiji se podaci obrađuju. Istodobno joj se dostavljaju i činjenični ili zakonski razlozi na kojima se odluka temelji. Potonje priopćenje može se izostaviti u slučajevima u kojima postoji razlog prema stavku 2. točkama (a) do (e). U svim tim slučajevima osobu čiji se podaci obrađuju obavješćuje se da se može žaliti nadležnom nacionalnom nadzornom tijelu, pravosudnom tijelu ili sudu.

Članak 18.

Pravo na ispravljanje, brisanje ili blokiranje

1. Osoba čiji se podaci obrađuju od nadzornika ima pravo očekivati da ispuni svoje dužnosti u skladu s člancima 4., 8. i 9. koji se odnose na ispravljanje, brisanje ili blokiranje osobnih podataka koji proizlaze iz ove Okvirne odluke. Države članice utvrđuju može li osoba čiji se podaci obrađuju uputiti ovaj zahtjev izravno nadzorniku ili putem posrednika, nadležnog nacionalnog nadzornog tijela. Ako nadzornik odbije ispravljanje, brisanje ili blokiranje, odbijenica u pisanom obliku mora biti dostavljena osobi čiji se podaci objavljuju koji mora biti obaviješten o mogućnostima predviđenima u nacionalnom pravu za ulaganje žalbe ili traženje pravnog lijeka. Nakon razmatranja žalbe ili pravnog lijeka, osobu čiji se podaci obrađuju obavješćuje se o tome je li nadzornik postupao ispravno ili nije. Države članice također mogu predvidjeti da nadležno nacionalno nadzorno tijelo informira osobu čiji se podaci obrađuju o tome da je provjera izvršena.

2. Ako osoba čiji se podaci obrađuju osporava točnost neke pojedinosti u osobnim podacima, a njezina točnost ili netočnost se ne može utvrditi, ta se pojedinost može označiti u podacima.

Članak 19.

Pravo na naknadu štete

1. Svaka osoba koja je pretrpjela štetu kao posljedicu postupka nezakonite obrade ili bilo koje radnje suprotne nacionalnim odredbama donesenima na temelju ove Okvirne odluke ima pravo na naknadu štete za štetu pretrpljenu od nadzornika ili drugoga tijela nadležnog prema nacionalnom pravu.

2. Ako nadležno tijelo države članice prenese osobne podatke, primatelj se ne može, u kontekstu svoje odgovornosti prema oštećenoj stranci u skladu s nacionalnim pravom, u svojoj obrani pozivati na to da su preneseni podaci bili netočni. Ako primatelj plati naknadu štete za štetu uzrokovanu korištenjem netočno prenesenih podataka, nadležna tijela koja su prenijela podatke naknađuju primatelju plaćeni iznos odštete, uzimajući u obzir bilo koju moguću krivnju primatelja.

Članak 20.

Pravni lijekovi

Ne dovodeći u pitanje bilo kakav upravni pravni lijek koji može biti predviđen za slučaj prije obraćanja pravosudnom tijelu, osoba čiji se podaci obrađuju ima pravo na pravni lijek za svako kršenje njegovih prava koja mu jamči važeće nacionalno pravo.

Članak 21.

Tajnost obrade

1. Osoba s pristupom osobnim podacima koji potpadaju pod područje primjene ove Okvirne odluke smije takve podatke obrađivati samo ako je ako je ta osoba član nadležnog tijela ili postupa po njegovom nalogu, osim ako je za to ovlašćuje propis.

2. Osobe koje rade za neko nadležno tijelo države članice obvezne su pridržavati se svih pravila o zaštiti podataka koja se primjenjuju na dotično nadležno tijelo.

Članak 22.

Sigurnost obrade

1. Države članice predviđaju da nadležna tijela moraju provoditi primjerene tehničke i organizacijske mjere za zaštitu osobnih podataka od slučajnog ili nezakonitog uništenja ili slučajnoga gubitka, mijenjanja, neovlaštenog otkrivanja ili pristupanja, osobito u slučajevima u kojima obrada uključuje prenošenje mrežom ili stavljanje na raspolaganje odobravanjem izravnog automatiziranog pristupanja, kao i od svih drugih nezakonitih oblika obrade, posebno uzimajući u obzir rizike koje predstavljaju obrada i priroda podataka koje treba zaštititi. Uzimajući u obzir posljednja dostignuća i trošak njihove provedbe, takve mjere osiguravaju razinu sigurnosti primjerenu rizicima koje predstavljaju obrada i priroda podataka koje treba zaštiti.

2. Što se tiče automatizirane obrade podataka, svaka država članica provodi mjere čija je svrha:

(a)	neovlaštenim osobama uskratiti pristup opremi za obradu podataka koja se koristi za obradu osobnih podataka (kontrola pristupa opremi);

(b)	sprečavanje neovlaštenog čitanja, umnožavanja, mijenjanja ili uklanjanja nosača podataka (kontrola nosača podataka);

(c)	sprečavanje neovlaštenog unošenja podataka i neovlaštenog pregledavanja, mijenjanja ili brisanja pohranjenih osobnih podataka (kontrola pohrane);

(d)	sprečavanje korištenja automatiziranih sustava za obradu podataka od strane neovlaštenih osoba koje koriste podatkovnu komunikacijsku opremu (kontrola korisnika);

(e)	osigurati da osobe ovlaštene za korištenje automatiziranog sustava za obradu podataka imaju pristup samo podacima obuhvaćenim njihovim ovlaštenjem pristupa (kontrola pristupa podacima);

(f)	osigurati mogućnost provjeravanja i utvrđivanja kojim su tijelima podaci preneseni ili stavljeni na raspolaganje ili su to mogli biti korištenjem podatkovne komunikacijske opreme (kontrola komunikacije);

(g)	osigurati mogućnost naknadnog provjeravanja i utvrđivanja koji su osobni podaci uneseni u automatizirani sustav obrade podataka te kada i tko je podatke unio (kontrola unosa);

(h)	sprečavanje neovlaštenog čitanja, umnožavanja, mijenjanja ili brisanja osobnih podataka tijekom prenošenja osobnih podataka ili tijekom prenošenja nosača podataka (kontrola prenošenja);

(i)	osigurati mogućnost obnavljanja instaliranih sustava u slučaju prekida rada (obnova);

(j)	osigurati da funkcije sustava djeluju, da se izvještava o pojavljivanju grešaka u funkcijama (pouzdanost) i da se pohranjeni podaci ne mogu oštetiti zbog pogrešnog funkcioniranja sustava (nepovredivost).

3. Države članice osiguravaju da obrađivači mogu biti imenovani samo ako jamče da poštuju potrebne tehničke i organizacijske mjere prema stavku 1. i da djeluju u skladu s uputama prema članku 21. Nadležno tijelo nadzire obrađivače u vezi s time.

4. Osobne podatke obrađivač može obrađivati samo na temelju zakona ili pisanog ugovora.

Članak 23.

Prethodno savjetovanje

Države članice osiguravaju provedbu savjetovanja s nadležnim nacionalnim nadzornim tijelima prije obrade osobnih podataka što će biti dijelom novog sustava arhiviranja koje će se uspostaviti u slučaju kad:

(a)	treba obraditi specijalne kategorije podataka iz članka 6.; ili

(b)	vrsta obrade, posebno korištenje novih tehnologija, mehanizama ili postupaka, nosi na drukčiji način posebne rizike za temeljna prava i slobode, a posebno za privatnost osobe čiji se podaci obrađuju.

Članak 24.

Sankcije

Države članice donose primjerene mjere za osiguravanje potpune provedbe odredaba ove Okvirne odluke a osobito utvrđuju učinkovite, proporcionalne i odvraćajuće sankcije koje se izriču u slučaju povrede odredaba koje su donesene na temelju ove Okvirne odluke.

Članak 25.

Nacionalna nadzorna tijela

1. Svaka država članica osigurava da je jedno ili više javnih tijela odgovorno za savjetovanje i praćenje primjene unutar svojeg državnog područja odredaba koje su države članice donijele na temelju ove Okvirne odluke. Ta tijela djeluju potpuno neovisno u izvršavanju funkcija koje su im povjerene.

2. Svako tijelo osobito dobiva:

(a)	istražne ovlasti, kao što su ovlast pristupa podacima koji su predmet postupaka obrade i ovlast prikupljanja svih informacija potrebnih za izvršavanje svojih nadzornih dužnosti;

(b)

učinkovite ovlasti interveniranja, kao što su, na primjer, davanje mišljenja prije provođenja postupaka obrade te osiguravanje primjerenog objavljivanja takvog mišljenja, nalaganje blokiranja, brisanja ili uništavanja podataka, izricanja privremene ili trajne zabrane obrade, upozoravanja ili opominjanja nadzornika, ili upućivanja predmeta nacionalnim parlamentima ili ostalim političkim institucijama;

(c)	ovlast sudjelovanja u pravnom postupku u slučajevima kad su povrijeđene nacionalne odredbe donesene na temelju ove Okvirne odluke ili ukazivanja pravosudnim tijelima na takvu povredu. Protiv odluka nadzornog tijela povodom kojih su podnesene pritužbe, može se uložiti žalba putem sudova.

3. Svako nadzorno tijelo saslušava pritužbe koje uloži bilo koja osoba a koje se odnose na zaštitu njezinih prava i sloboda u vezi s obradom osobnih podataka. Dotičnu osobu obavješćuje se o ishodu pritužbe.

4. Države članice osiguravaju da su članovi i osoblje nadzornog tijela vezani odredbama o zaštiti podataka koje se primjenjuju na dotično nadležno tijelo i, čak i nakon što im je prestao radni odnos, moraju biti obvezani poslovnom tajnom u pogledu povjerljivih informacija kojima imaju pristup.

Članak 26.

Odnos sa sporazumima s trećim zemljama

Ova Okvirna odluka ne dovodi u pitanje nijednu obavezu ni opredijeljenost koje države članice ili Uniju obvezuju na temelju bilateralnih i/ili multilateralnih sporazuma s trećim zemljama koje postoje u trenutku donošenja ove Okvirne odluke.

U primjeni tih sporazuma, prenošenje osobnih podataka dobivenih od neke druge države članice nekoj trećoj zemlji provodi se uz poštovanje članka 13. stavka 1. točke (c), odnosno stavka 2.

Članak 27.

Ocjenjivanje

1. Države članice izvješćuju Komisiju do 27. studenoga 2013. o nacionalnim mjerama koje su poduzele za osiguravanje potpune sukladnosti s ovom Okvirnom odlukom, a osobito u pogledu onih odredbi koje već treba poštovati prilikom prikupljanja podataka. Komisija osobito ispituje implikacije tih odredbi za područje primjene ove Okvirne odluke kako je utvrđeno člankom 1. stavkom 2.

2. Komisija u roku jedne godine izvješćuje Europski parlament i Vijeće o ishodu ocjenjivanja iz stavka 1., a izvješću prilaže primjerene prijedloge za izmjene ove Okvirne odluke.

Članak 28.

Odnos s prethodno usvojenim aktima Unije

U slučajevima u kojima su aktima, koji su usvojeni na temelju glave VI. Ugovora o Europskoj uniji prije datuma stupanja na snagu ove Okvirne odluke i koji uređuju razmjenu osobnih podataka između država članica ili pristup imenovanih tijela država članica informacijskim sustavima uspostavljenima na temelju Ugovora o osnivanju Europske zajednice, uvedeni posebni uvjeti u pogledu korištenja takvih podataka od strane države članice primateljice, ti uvjeti imaju prvenstvo pred odredbama ove Okvirne odluke o korištenju podataka koji su dobiveni ili stavljeni na raspolaganje od neke druge države članice.

Članak 29.

Provedba

1. Države članice poduzimaju mjere potrebne za usklađivanje s odredbama ove Okvirne odluke do 27. studenoga 2010.

2. Do istog datuma države članice Glavnom tajništvu Vijeća i Komisiji dostavljaju tekst odredaba kojima se u njihovo nacionalno pravo prenose obaveze koje su im utvrđene na temelju ove Okvirne odluke, kao i informacije o nadzornim tijelima iz članka 25. Na temelju izvješća koje je Komisija sastavila koristeći se tim informacijama, Vijeće do 27. studenoga 2011. ocjenjuje u kojem su se opsegu države članice uskladile s odredbama ove Okvirne odluke.

Članak 30.

Stupanje na snagu

Ova Okvirna odluka stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Sastavljeno u Bruxellesu 27. studenoga 2008.

Za Vijeće

Predsjednik

M. ALLIOT-MARIE

(1) SL C 125 E, 22.5.2008., str. 154.

(2) SL C 198, 12.8.2005., str. 1.

(3) SL L 281, 23.11.1995., str. 31.

(4) SL L 8, 12.1.2001., str. 1.

(5) SL L 201, 31.7.2002., str. 37.