02016L0680 — PL — 04.05.2016 — 000.001


Dokument ten służy wyłącznie do celów informacyjnych i nie ma mocy prawnej. Unijne instytucje nie ponoszą żadnej odpowiedzialności za jego treść. Autentyczne wersje odpowiednich aktów prawnych, włącznie z ich preambułami, zostały opublikowane w Dzienniku Urzędowym Unii Europejskiej i są dostępne na stronie EUR-Lex. Bezpośredni dostęp do tekstów urzędowych można uzyskać za pośrednictwem linków zawartych w dokumencie

►B

DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/680

z dnia 27 kwietnia 2016 r.

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW

(Dz.U. L 119 z 4.5.2016, s. 89)


sprostowana przez:

►C1

Sprostowanie, Dz.U. L 127, 23.5.2018, s.  10 (2016/680)




▼B

DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/680

z dnia 27 kwietnia 2016 r.

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW



ROZDZIAŁ I

Przepisy ogólne

Artykuł 1

Przedmiot i cele

1.  Niniejsza dyrektywa ustanawia przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

2.  Zgodnie z niniejszą dyrektywą państwa członkowskie:

a) chronią prawa podstawowe i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych; oraz

b) zapewniają, by wymiana danych osobowych przez właściwe organy w Unii, jeżeli wynika z prawa Unii lub prawa krajowego, nie była ograniczana ani zakazywana z powodów dotyczących ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.

3.  Niniejsza dyrektywa nie wyklucza ustanowienia przez państwa członkowskie zabezpieczeń wyższych niż zabezpieczenia przewidziane w niniejszej dyrektywie dla ochrony praw i wolności osoby, której dane dotyczą, w związku z przetwarzaniem danych osobowych przez właściwe organy.

Artykuł 2

Zakres zastosowania

1.  Niniejsza dyrektywa ma zastosowanie do przetwarzania danych osobowych przez właściwe organy do celów określonych w art. 1 ust. 1.

2.  Niniejsza dyrektywa ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany, oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.

3.  Niniejsza dyrektywa nie ma zastosowania do przetwarzania danych osobowych:

a) w ramach działalności nieobjętej zakresem prawa Unii;

b) przez instytucje, organy i jednostki organizacyjne Unii.

Artykuł 3

Definicje

Na użytek niniejszej dyrektywy:

1) „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy bądź jeden lub kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

3) „ograniczenie przetwarzania” oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

4) „profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

5) „pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

6) „zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

7) „właściwy organ” oznacza:

a) organ publiczny właściwy do zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom; lub

b) inny organ lub podmiot, któremu prawo państwa członkowskiego powierza sprawowanie władzy publicznej i wykonywanie uprawnień publicznych do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom;

8) „administrator” oznacza właściwy organ, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby przetwarzania są określone prawem Unii lub prawem państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

9) „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę organizacyjną lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

10) „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę organizacyjną lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

11) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;

12) „dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej;

13) „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby fizycznej, takie jak wizerunek twarzy lub dane daktyloskopijne;

14) „dane dotyczące zdrowia” oznaczają dane osobowe dotyczące zdrowia fizycznego lub psychicznego osoby fizycznej, w tym o korzystaniu z usług opieki zdrowotnej, ujawniające informacje o stanie jej zdrowia;

15) „organ nadzorczy” oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie na mocy art. 41;

16) „organizacja międzynarodowa” oznacza organizację i organy jej podlegające działające na podstawie prawa międzynarodowego publicznego lub inny organ powołany w drodze umowy między co najmniej dwoma państwami lub na podstawie takiej umowy.



ROZDZIAŁ II

Zasady

Artykuł 4

Zasady dotyczące przetwarzania danych osobowych

1.  Państwa członkowskie zapewniają, by dane osobowe były:

a) przetwarzane zgodnie z prawem i rzetelnie;

b) zbierane w konkretnych, wyraźnych i uzasadnionych celach i nieprzetwarzane w sposób niezgodny z tymi celami;

c) adekwatne, stosowne i nienadmierne do celów, dla których są przetwarzane;

d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe, w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;

e) przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów ich przetwarzania;

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

2.  Przetwarzanie przez tego samego lub innego administratora w jednym z celów określonych w art. 1 ust. 1 innym niż cel, w którym dane osobowe zostały zebrane, jest dozwolone, o ile:

a) administratorowi wolno przetwarzać takie dane osobowe w takim celu na mocy prawa Unii lub prawa państwa członkowskiego; oraz

b) przetwarzanie jest niezbędne i proporcjonalne w tym innym celu na mocy prawa Unii lub prawa państwa członkowskiego.

3.  Przetwarzanie przez tego samego lub innego administratora może obejmować archiwizację w interesie publicznym, wykorzystanie do celów naukowych, statystycznych lub historycznych, o których mowa w art. 1 ust. 1, o ile podlega ono odpowiednim zabezpieczeniom praw i wolności osób, których dane dotyczą.

4.  Za przestrzeganie przepisów ust. 1, 2 i 3 odpowiada administrator, który musi być w stanie wykazać fakt ich przestrzegania.

Artykuł 5

Terminy przechowywania i przeglądu

Państwa członkowskie zapewniają, by przyjęto odpowiednie terminy usuwania danych osobowych lub okresowego przeglądu konieczności przechowywania danych osobowych. Przestrzeganiu tych terminów służą odpowiednie środki proceduralne.

Artykuł 6

Rozróżnianie poszczególnych kategorii osób, których dane dotyczą

Państwa członkowskie zapewniają, by administrator – w stosownym przypadku i w miarę możliwości – wyraźnie rozróżniał dane osobowe poszczególnych kategorii osób, których dane dotyczą, takich jak:

a) osoby, w stosunku do których istnieją poważne podstawy, by przypuszczać, że popełniły lub zamierzają popełnić czyn zabroniony;

b) osoby skazane za czyn zabroniony;

c) pokrzywdzeni czynem zabronionym lub osoby, w przypadku których określone fakty wskazują, że mogą stać się ofiarą czynu zabronionego; oraz

d) osoby inne w stosunku do czynu zabronionego, takie jak osoby, które mogą zostać wezwane do złożenia zeznań w ramach postępowania przygotowawczego w sprawie czynu zabronionego lub na dalszych etapach postępowania karnego, osoby, które mogą dostarczyć informacji o czynach zabronionych, lub osoby, które mają kontakty lub powiązania z jedną z osób, o których mowa w lit. a) i b).

Artykuł 7

Rozróżnianie pomiędzy danymi osobowymi i weryfikacja jakości danych osobowych

1.  Państwa członkowskie zapewniają, by dane osobowe oparte na faktach były rozróżniane, tak dalece, jak to możliwe, z danymi osobowych opartymi na indywidualnych ocenach.

2.  Państwa członkowskie zapewniają, by właściwe organy podejmowały wszelkie rozsądne działania dla zagwarantowania, by nieprawidłowe, niekompletne lub nieaktualne dane osobowe nie były przesyłane lub udostępniane. W tym celu każdy właściwy organ weryfikuje tak dalece, jak to zasadne, jakość danych osobowych przed ich przesłaniem lub udostępnieniem. W miarę możliwości, we wszystkich przypadkach przesyłania danych osobowych, należy dodać niezbędne dodatkowe informacje pozwalające właściwemu organowi odbierającemu ocenić stopień prawidłowości, kompletności i wiarygodności danych osobowych oraz stopień ich aktualności.

3.  Jeżeli okaże się, że przesłano dane nieprawidłowe, lub że dane osobowe przesłano niezgodnie z prawem, należy o tym bezzwłocznie powiadomić odbiorcę. W takim przypadku dane osobowe należy sprostować, usunąć lub ograniczyć ich przetwarzanie zgodnie z art. 16.

Artykuł 8

Zgodność przetwarzania z prawem

1.  Państwa członkowskie zapewniają, by przetwarzanie było zgodne z prawem wyłącznie wówczas i w zakresie, w jakim jest ono niezbędne do wykonania zadania realizowanego przez właściwy organ w celach określonych w art. 1 ust. 1 oraz ma podstawę w prawie Unii lub prawie państwa członkowskiego.

2.  Prawo państwa członkowskiego regulujące przetwarzanie w zakresie stosowania niniejszej dyrektywy określa co najmniej powody przetwarzania, dane osobowe mające podlegać przetwarzaniu oraz cele przetwarzania.

Artykuł 9

Szczególne warunki przetwarzania

1.  Danych osobowych zebranych przez właściwe organy do celów określonych w art. 1 ust. 1 nie przetwarza się do celów innych niż określone w art. 1 ust. 1, chyba że takie przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego. Jeżeli przetwarzanie danych osobowych odbywa się w takich innych celach, zastosowanie ma rozporządzenie (UE) 2016/679, chyba że przetwarzanie odbywa się w toku działalności nieobjętej prawem Unii.

2.  Jeżeli prawo państwa członkowskiego powierza właściwym organom wykonywanie zadań innych niż zadania wykonywane w celach określonych w art. 1 ust. 1, to do przetwarzania w takich celach, w tym na potrzeby archiwizacji w interesie publicznym, wykorzystania do celów naukowych, statystycznych lub historycznych, ma zastosowanie rozporządzenie (UE) 2016/679, chyba że przetwarzanie odbywa się w toku działalności nieobjętej prawem Unii.

3.  Państwa członkowskie zapewniają, by wówczas, gdy prawo Unii lub państwa członkowskiego mające zastosowanie do właściwego organu przesyłającego przewiduje szczególne warunki przetwarzania, właściwy organ przesyłający informował odbiorcę takich danych osobowych o tych warunkach i o obowiązku ich przestrzegania.

4.  Państwa członkowskie zapewniają, by właściwy organ przesyłający nie stosował warunków wskazanych w ust. 3 do odbiorców w innych państwach członkowskich ani w organach i jednostkach organizacyjnych ustanowionych na mocy tytułu V rozdział 4 i 5 TFUE, innych niż mające zastosowanie do podobnego przesyłania danych w obrębie państwa członkowskiego właściwego organu przesyłającego.

Artykuł 10

Przetwarzanie szczególnych kategorii danych osobowych

Przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe lub przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia lub danych dotyczących seksualności i orientacji seksualnej osoby fizycznej jest dozwolone wyłącznie wtedy, jeżeli jest bezwzględnie niezbędne, podlega odpowiednim zabezpieczeniom dla praw i wolności osoby, której dane dotyczą, oraz:

a) jest dopuszczone prawem Unii lub prawem państwa członkowskiego;

b) jest niezbędne dla ochrony żywotnych interesów osoby fizycznej, której dane dotyczą, lub innej osoby; lub

c) takie przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą.

Artykuł 11

Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach

1.  Państwa członkowskie zapewniają, by decyzje, które opierają się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i mają niekorzystne skutki prawne dla osoby, której dane dotyczą, lub poważnie na nią wpływają, były zakazane, chyba że dopuszcza je prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator i które przewiduje odpowiednie zabezpieczenia praw i wolności osoby, której dane dotyczą, a przynajmniej prawo do uzyskania interwencji ludzkiej ze strony administratora.

2.  Decyzje, o których mowa w ust. 1 niniejszego artykułu, nie mogą opierać się na danych osobowych szczególnych kategorii, o których mowa w art. 10, chyba że istnieją właściwe środki ochrony praw, wolności i uzasadnionych interesów osoby, której dane dotyczą.

3.  Profilowanie skutkujące dyskryminacją osób fizycznych na podstawie danych osobowych szczególnych kategorii, o których mowa w art. 10, jest zabronione zgodnie z prawem Unii.



ROZDZIAŁ III

Prawa osoby, której dane dotyczą

Artykuł 12

Komunikacja oraz ułatwienia w wykonywaniu praw osób, których dane dotyczą

1.  Państwa członkowskie zapewniają, by administrator podejmował wszelkie rozsądne działania, aby udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13, oraz aby prowadził z nią wszelką komunikację wskazaną w art. 11, 14–18 i 31 w sprawie przetwarzania w zwięzłej, zrozumiałej i łatwo dostępnej formie, przy użyciu jasnego i prostego języka. Informacji udziela się wszelkimi stosownymi sposobami, w tym elektronicznie. Co do zasady administrator udziela informacji w takiej samej formie, w jakiej wniesiono żądanie.

2.  Państwa członkowskie zapewniają, by administrator ułatwiał osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy art. 11 i 14–18.

3.  Państwa członkowskie zapewniają, by administrator bez zbędnej zwłoki informował pisemnie osobę, której dane dotyczą, o działaniach podjętych w związku z jej żądaniem.

4.  Państwa członkowskie zapewniają, by informacje przekazywane na mocy art. 13 oraz wszelka komunikacja i wszelkie działania podjęte na mocy art. 11, 14–18 i 31 były wolne od opłat. Jeżeli żądania osoby, której dane dotyczą, są w sposób oczywisty nieuzasadnione lub nadmierne, zwłaszcza ze względu na ich powtarzalność, administrator może:

a) pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; lub

b) odmówić podjęcia działań w związku z żądaniem.

Obowiązek wykazania, że żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, spoczywa na administratorze.

5.  Jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 14 i 16, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.

Artykuł 13

Informacje udostępniane lub przekazywane osobie, której dane dotyczą

1.  Państwa członkowskie zapewniają, by administrator udostępniał osobie, której dane dotyczą, przynajmniej następujące informacje:

a) tożsamość i dane kontaktowe administratora;

b) dane kontaktowe inspektora ochrony danych, w razie potrzeby;

c) cele przetwarzania, do których mają posłużyć dane osobowe;

d) informacje o prawie do wniesienia skargi do organu nadzorczego oraz dane kontaktowe organu nadzorczego;

e) informacje o prawie żądania od administratora dostępu do danych osobowych, sprostowania lub usunięcia danych osobowych lub ograniczenia przetwarzania danych osobowych odnoszącego się do osoby, której dane dotyczą.

2.  Państwa członkowskie zapewniają, by oprócz informacji, o których mowa w ust. 1, w konkretnych przypadkach administrator przekazywał osobie, której dane dotyczą, następujące dalsze informacje umożliwiające wykonywanie przysługujących jej praw:

a) podstawa prawna przetwarzania;

b) okres przechowywania danych osobowych lub, gdy nie jest to możliwe, kryteria służące określeniu tego okresu;

c) w stosownym przypadku kategorie odbiorców danych osobowych, w tym odbiorców w państwach trzecich lub organizacjach międzynarodowych;

d) w razie potrzeby dalsze informacje, zwłaszcza gdy dane osobowe są zbierane bez wiedzy osoby, której dotyczą.

3.  Państwa członkowskie mogą przyjąć akty prawne pozwalające opóźnić, ograniczyć lub pominąć informowanie osoby, której dane dotyczą, przewidziane w ust. 2 w takim zakresie i przez taki czas, w jakim odnośny środek jest działaniem koniecznym i proporcjonalnym w społeczeństwie demokratycznym, z należytym uwzględnieniem praw podstawowych i uzasadnionych interesów danej osoby fizycznej, aby:

a) uniemożliwić utrudnianie czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub procedur;

b) uniemożliwić zakłócanie zapobieganiu przestępczości, prowadzeniu postępowań przygotowawczych, wykrywaniu i ściganiu czynów zabronionych i wykonywaniu kar;

c) chronić bezpieczeństwo publiczne;

d) chronić bezpieczeństwo narodowe;

e) chronić prawa i wolności innych osób.

4.  Państwa członkowskie mogą przyjąć akty prawne dla określenia kategorii przetwarzania, które w całości lub części wchodzą w zakres stosowania środków wskazanych w którejkolwiek z liter ust. 3.

Artykuł 14

Prawo dostępu przysługujące osobie, której dane dotyczą

Z zastrzeżeniem art. 15 państwa członkowskie zapewniają osobie, której dane dotyczą, prawo do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli takie dane są przetwarzane, prawo dostępu do danych osobowych i do następujących informacji:

a) cele i podstawa prawna przetwarzania;

b) kategorie odnośnych danych osobowych;

c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

d) w miarę możliwości planowany okres przechowywania danych osobowych lub, gdy nie jest to możliwe, kryteria służące określeniu tego okresu;

e) informacje o prawie do żądania od administratora sprostowania lub usunięcia danych osobowych lub ograniczenia przetwarzania danych osobowych dotyczących tej osoby;

f) informacje o prawie wniesienia skargi do organu nadzorczego oraz dane kontaktowe organu nadzorczego;

g) wskazanie, jakie dane osobowe są przetwarzane, oraz wszelkie dostępne informacje o ich pochodzeniu.

Artykuł 15

Ograniczenia prawa dostępu

1.  Państwa członkowskie mogą przyjąć akty prawne pozwalające ograniczyć w całości lub w części prawo dostępu osoby, której dane dotyczą, w takim stopniu i przez taki okres, w jakim takie częściowe lub całkowite ograniczenie jest działaniem niezbędnym i proporcjonalnym w społeczeństwie demokratycznym, z należytym uwzględnieniem praw podstawowych i uzasadnionych interesów danej osoby fizycznej, aby:

a) uniemożliwić utrudnianie czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub procedur;

b) uniemożliwić zakłócanie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar;

c) chronić bezpieczeństwo publiczne;

d) chronić bezpieczeństwo narodowe;

e) chronić prawa i wolności innych osób.

2.  Państwa członkowskie mogą przyjąć akty prawne, aby ustalić kategorie przetwarzania, które w całości lub części wchodzą w zakres stosowania ust. 1 lit. a)–e).

3.  W przypadkach, o których mowa w ust. 1 i 2, państwa członkowskie zapewniają, by administrator bez zbędnej zwłoki informował pisemnie osobę, której dane dotyczą, o każdej odmowie lub o każdym ograniczeniu dostępu i o przyczynach tej odmowy lub tego ograniczenia. Informacje takie można pominąć, jeżeli ich udzielenie godziłoby w którykolwiek z celów, o których mowa w ust. 1. Państwa członkowskie zapewniają, by administrator informował osobę, której dane dotyczą, o możliwości wniesienia skargi do organu nadzorczego lub środka prawnego do sądu.

4.  Państwa członkowskie zapewniają, by administrator dokumentował faktyczne lub prawne powody, na jakich opiera się decyzja. Informacje te udostępnia się organom nadzorczym.

Artykuł 16

Prawo do sprostowania lub usunięcia danych osobowych oraz ograniczenia ich przetwarzania

1.  Państwa członkowskie zapewniają, by osoba, której dane dotyczą, miała prawo uzyskania od administratora sprostowania bez zbędnej zwłoki jej danych osobowych, jeżeli są nieprawidłowe. Mając na względzie cel przetwarzania, państwa członkowskie zapewniają, by osoba, której dane dotyczą, miała prawo uzyskania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

2.  Państwa członkowskie nakładają na administratora wymóg usunięcia bez zbędnej zwłoki danych osobowych i zapewniają, by osoba, której dane dotyczą, miała prawo uzyskać od administratora usunięcie bez zbędnej zwłoki jej danych osobowych, jeżeli przetwarzanie narusza przepisy przyjęte na podstawie art. 4, 8 i 10, lub jeżeli dane osobowe muszą zostać usunięte w celu wypełnienia obowiązku prawnego ciążącego na administratorze.

3.  Zamiast usunięcia, administrator ogranicza przetwarzanie, jeżeli:

a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych, a ich prawidłowości lub nieprawidłowości nie można stwierdzić; lub

b) dane osobowe muszą zostać zachowane do celów dowodowych.

Jeżeli przetwarzanie jest ograniczone na mocy akapitu pierwszego lit. a), przed zniesieniem tego ograniczenia administrator informuje o tym osobę, której dane dotyczą.

4.  Państwa członkowskie zapewniają, by administrator informował pisemnie osobę, której dane dotyczą, o każdej odmowie sprostowania lub usunięcia danych osobowych lub ograniczenia przetwarzania danych oraz o przyczynach tej odmowy. Państwa członkowskie mogą przyjąć akty prawne, które w całości lub w części ograniczają obowiązek udzielania takich informacji, jeżeli takie ograniczenie przetwarzania jest działaniem niezbędnym i proporcjonalnym w społeczeństwie demokratycznym, z należytym uwzględnieniem praw podstawowych i uzasadnionych interesów danej osoby fizycznej, aby:

a) uniemożliwić utrudnianie czynności postępowań urzędowych lub sądowych, postępowań przygotowawczych lub procedur;

b) uniemożliwić zakłócanie zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar;

c) chronić bezpieczeństwo publiczne;

d) chronić bezpieczeństwo narodowe;

e) chronić prawa i wolności innych osób.

Państwa członkowskie zapewniają, by administrator informował osobę, której dane dotyczą, o możliwości wniesienia skargi do organu nadzorczego lub środka prawnego do sądu.

5.  Państwa członkowskie zapewniają, by administrator informował o sprostowaniu nieprawidłowych danych osobowych właściwy organ, od którego nieprawidłowe dane pochodzą.

6.  Państwa członkowskie zapewniają, by w przypadkach sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania, na podstawie ust. 1, 2 i 3, administrator miał obowiązek powiadomienia o tym odbiorców, a odbiorcy mieli obowiązek sprostowania lub usunięcia danych osobowych lub ograniczenia przetwarzania danych osobowych.

Artykuł 17

Wykonywanie praw osoby, której dane dotyczą, oraz weryfikacja dokonywana przez organ nadzorczy

1.  W odniesieniu do przypadków, o których mowa w art. 13 ust. 3, art. 15 ust. 3 i art. 16 ust. 4, państwa członkowskie przyjmują środki przewidujące, że osoba, której dane dotyczą, może wykonywać swoje prawa także za pośrednictwem właściwego organu nadzorczego.

2.  Państwa członkowskie zapewniają, by administrator informował osobę, której dane dotyczą, o możliwości wykonywania przysługujących jej praw za pośrednictwem organu nadzorczego na mocy ust. 1.

3.  W razie wykonywania prawa, o którym mowa w ust. 1, organ nadzorczy informuje osobę, której dane dotyczą, przynajmniej o fakcie przeprowadzenia wszelkich niezbędnych weryfikacji lub przeglądów. Organ nadzorczy informuje osobę, której dane dotyczą, także o przysługującym jej prawie do wniesienia środka prawnego do sądu.

Artykuł 18

Prawa osoby, której dane dotyczą, w postępowaniu przygotowawczym i sądowym w sprawie karnej

Państwa członkowskie mogą zapewnić, by wykonywanie praw, o których mowa w art. 13, 14 i 16, odbywało się zgodnie z prawem państwa członkowskiego, jeżeli dane osobowe znajdują się w orzeczeniu sądu, protokole lub aktach sprawy przetwarzanych w toku postępowania przygotowawczego lub sądowego w sprawie karnej.



ROZDZIAŁ IV

Administrator i podmiot przetwarzający



Sekcja 1

Obowiązki ogólne

Artykuł 19

Obowiązki administratora

1.  Państwa członkowskie zapewniają, by administrator wdrażał – uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia – odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszą dyrektywą i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

2.  Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.

Artykuł 20

Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych

1.  Państwa członkowskie zapewniają, by – uwzględniając stan wiedzy technicznej, koszt wdrożenia i charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia wynikające z przetwarzania – administrator zarówno w czasie określania sposobów przetwarzania, jak i w czasie samego przetwarzania, miał obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, takich jak pseudonimizacja, które zostały zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszej dyrektywy oraz chronić prawa osób, których dane dotyczą.

2.  Państwa członkowskie zapewniają, by administrator wdrażał odpowiednie środki techniczne i organizacyjne w celu zapewnienia, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla każdego konkretnego celu przetwarzania. Obowiązek ten ma zastosowanie do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji osoby fizycznej nieokreślonej liczbie osób fizycznych.

Artykuł 21

Współadministratorzy

1.  Państwa członkowskie zapewniają, by w przypadku gdy co najmniej dwaj administratorzy wspólnie ustalają cele i sposoby przetwarzania, byli oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają podział swych obowiązków w zakresie wypełnienia niniejszej dyrektywy, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz podział obowiązków w zakresie udzielania informacji, o których mowa w art. 13, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach wskazuje się punkt kontaktowy dla osób, których dane dotyczą. Państwa członkowskie mogą wskazać, który ze współadministratorów może pełnić funkcję pojedynczego punktu kontaktowego wobec osób, których dane dotyczą, w celu wykonywania ich praw.

2.  Niezależnie od uzgodnień, o których mowa w ust. 1, państwa członkowskie mogą ustanowić, że osoba, której dane dotyczą, może wykonywać prawa przysługujące jej na mocy przepisów przyjętych na podstawie niniejszej dyrektywy w odniesieniu do każdego z administratorów i przeciwko każdemu z nich.

Artykuł 22

Podmiot przetwarzający

1.  Państwa członkowskie zapewniają, by – jeżeli przetwarzanie ma być dokonywane w imieniu administratora – administrator miał obowiązek korzystania z usług wyłącznie takich podmiotów przetwarzających, które dają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, oraz zapewniał, by przetwarzanie odpowiadało wymogom niniejszej dyrektywy i chroniło prawa osoby, której dane dotyczą.

2.  Państwa członkowskie zapewniają, by podmiot przetwarzający nie korzystał z usług innego podmiotu przetwarzającego bez wcześniejszej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

3.  Państwa członkowskie zapewniają, by przetwarzanie przez podmiot przetwarzający było regulowane umową lub innym instrumentem prawnym prawa Unii lub prawa państwa członkowskiego, które wiąże podmiot przetwarzający z administratorem oraz określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych i kategorie osób, których dane dotyczą, oraz prawa i obowiązki administratora. Taka umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

a) działa wyłącznie zgodnie z poleceniami administratora;

b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania poufności lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

c) wszelkimi odpowiednimi sposobami pomaga administratorowi w przestrzeganiu przepisów o prawach osoby, której dane dotyczą;

d) po zakończeniu świadczenia usługi przetwarzania danych, w zależności od decyzji administratora, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego wymaga przechowywanie danych osobowych;

e) udostępnia administratorowi wszelkie informacje niezbędne do wykazania zgodności z niniejszym artykułem;

f) przestrzega warunków zaangażowania innego podmiotu przetwarzającego, o których mowa w ust. 2 i 3.

4.  Umowa lub inny akt prawny, o których mowa w ust. 3, mają formę pisemną, w tym formę elektroniczną.

5.  Jeżeli podmiot przetwarzający określi, z naruszeniem niniejszej dyrektywy, cele i sposoby przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.

Artykuł 23

Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego

Państwa członkowskie zapewniają, by podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzała je wyłącznie zgodnie z poleceniami administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Artykuł 24

Wykazy czynności przetwarzania

1.  Państwa członkowskie zapewniają, by administratorzy prowadzili wykaz wszystkich kategorii czynności przetwarzania, za które odpowiadają. W wykazie tym zamieszcza się wszystkie następujące informacje:

a) imię i nazwisko lub nazwa oraz dane kontaktowe administratora i, w razie potrzeby, współadministratora oraz inspektora ochrony danych;

b) cele przetwarzania;

c) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub organizacjach międzynarodowych;

d) opis kategorii osób, których dane osobowe dotyczą, oraz kategorii danych osobowych;

e) w stosownym przypadku informacje o stosowaniu profilowania;

f) w stosownym przypadku kategorie przekazań danych osobowych do państwa trzeciego lub organizacji międzynarodowej;

g) wskazanie podstawy prawnej operacji przetwarzania, w tym przekazań, do których dane osobowe są przeznaczone;

h) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

i) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 29 ust. 1.

2.  Państwa członkowskie zapewniają, by podmioty przetwarzające prowadziły wykaz wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, w którym znajdują się:

a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających, każdego administratora, w imieniu którego działa podmiot przetwarzający, oraz, w razie potrzeby, inspektora ochrony danych;

b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

c) w stosownym przypadku przypadki przekazania danych osobowych do państw trzecich lub organizacji międzynarodowej, w razie jednoznacznego polecenia administratora, łącznie z nazwą tego państwa trzeciego lub organizacji międzynarodowej;

d) w miarę możliwości ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 29 ust. 1.

3.  Wykazy, o których mowa w ust. 1 i 2, mają formę pisemną, w tym formę elektroniczną.

Administrator i podmiot przetwarzający udostępniają wskazane wykazy organowi nadzorczemu na jego żądanie.

Artykuł 25

Ewidencja czynności

1.  Państwa członkowskie zapewniają, by ewidencjonowano przynajmniej następujące operacje przetwarzania prowadzone w zautomatyzowanych systemach przetwarzania: zbieranie, modyfikowanie, przeglądanie, ujawnianie wraz z przekazywaniem, łączenie i usuwanie. Ewidencja przeglądania i ujawniania pozwala ustalić zasadność, datę i godzinę takich operacji oraz w miarę możliwości tożsamość osoby, która przeglądała lub ujawniła dane osobowe, oraz tożsamość odbiorców takich danych osobowych.

2.  Ewidencja jest używana wyłącznie do weryfikacji zgodności przetwarzania z prawem, do monitorowania własnej działalności, zapewnienia integralności i bezpieczeństwa danych osobowych oraz na potrzeby postępowania karnego.

3.  Administrator i podmiot przetwarzający na żądanie udostępniają ewidencję organowi nadzorczemu.

Artykuł 26

Współpraca z organem nadzorczym

Państwa członkowskie zapewniają, by administrator i podmiot przetwarzający współpracowali z organem nadzorczym, na jego żądanie, w ramach wykonywania jego zadań.

Artykuł 27

Ocena skutków dla ochrony danych

1.  Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele może skutkować powstaniem wysokiego ryzyka naruszenia praw i wolności osób fizycznych, państwa członkowskie zapewniają, by administrator przed przetworzeniem dokonał oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

2.  Ocena, o której mowa w ust. 1, zawiera co najmniej ogólny opis planowanych operacji przetwarzania, ocenę ryzyka naruszenia praw i wolności osób, których dane dotyczą, środki planowane w celu rozwiązania takiego ryzyka, zabezpieczenia, środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazanie zgodności z niniejszą dyrektywą, z uwzględnieniem praw i uzasadnionych interesów osób, których dane dotyczą, i innych zainteresowanych osób.

Artykuł 28

Uprzednie konsultacje z organem nadzorczym

1.  Państwa członkowskie zapewniają, by administrator lub podmiot przetwarzający przed przetwarzaniem danych osobowych, które będzie częścią mającego powstać nowego zbioru danych, skonsultowali się z organem nadzorczym, jeżeli:

a) ocena skutków dla ochrony danych, o której mowa w art. 27, wykaże, że przetwarzanie powodowałoby wysokie ryzyko naruszenia w razie niepodjęcia przez administratora środków w celu zminimalizowania tego ryzyka; lub

b) odnośny rodzaj przetwarzania – zwłaszcza z użyciem nowych technologii, mechanizmów lub procedur – stwarza poważne ryzyko naruszenia praw i wolności osób, których dane dotyczą.

2.  Państwa członkowskie zapewniają przeprowadzenie konsultacji z organem nadzorczym w toku przygotowywania projektu aktu prawnego przyjmowanego przez parlament narodowy lub aktu wykonawczego opartego na takim akcie prawnym, jeżeli projekt dotyczy przetwarzania.

3.  Państwa członkowskie zapewniają, by organ nadzorczy mógł sporządzać wykaz operacji przetwarzania, które wymagają uprzednich konsultacji zgodnie z ust. 1.

4.  Państwa członkowskie zapewniają, by administrator przedstawiał organowi nadzorczemu ocenę wpływu na ochronę danych, o której mowa w art. 27, oraz na żądanie wszelkie inne informacje umożliwiające organowi nadzorczemu ocenę zgodności przetwarzania z przepisami, a w szczególności ocenę ryzyka w sferze ochrony danych osobowych osoby, której dane dotyczą, oraz powiązanych zabezpieczeń.

5.  Państwa członkowskie zapewniają, by – jeżeli organ nadzorczy jest zdania, że zamierzone przetwarzanie, o którym mowa w ust. 1 niniejszego artykułu, stanowiłoby naruszenie przepisów przyjętych na podstawie niniejszej dyrektywy, w szczególności jeżeli administrator niedostatecznie zidentyfikował lub zminimalizował ryzyko – organ nadzorczy, w terminie do sześciu tygodni po otrzymaniu wniosku o konsultacje, przedstawił administratorowi, a w stosownym przypadku podmiotowi przetwarzającemu, pisemne zalecenia i mógł skorzystać z uprawnień, o których mowa w art. 47. Termin ten można przedłużyć o kolejny miesiąc ze względu na złożony charakter zamierzonego przetwarzania. Organ nadzorczy informuje administratora oraz, w stosownym przypadku, podmiot przetwarzający o takim przedłużeniu w terminie jednego miesiąca od otrzymania wniosku w sprawie konsultacji, z podaniem przyczyn tego opóźnienia.



Sekcja 2

Bezpieczeństwo danych osobowych

Artykuł 29

Bezpieczeństwo przetwarzania

1.  Państwa członkowskie zapewniają, by – uwzględniając stan wiedzy technicznej i koszt wdrożenia i charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia – administrator i podmiot przetwarzający mieli obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych dla zagwarantowania poziomu bezpieczeństwa odpowiadającego zagrożeniu, zwłaszcza jeżeli chodzi o przetwarzanie szczególnych kategorii danych osobowych, o których mowa w art. 10.

2.  W odniesieniu do zautomatyzowanego przetwarzania każde państwo członkowskie zapewnia, by po ocenie ryzyka administrator lub podmiot przetwarzający wdrożyli środki, które:

a) uniemożliwią osobom nieuprawnionym dostęp do sprzętu używanego do przetwarzania (kontrola dostępu do sprzętu);

b) zapobiegną nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników danych (kontrola nośników danych);

c) zapobiegną nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych (kontrola przechowywania);

d) zapobiegną korzystaniu z systemów zautomatyzowanego przetwarzania przez osoby nieuprawnione, używające sprzętu do przesyłu danych (kontrola użytkowników);

e) zapewniają, że osoby uprawnione do korzystania z systemu zautomatyzowanego przetwarzania będą mieć dostęp wyłącznie do danych osobowych objętych posiadanym przez siebie uprawnieniem (kontrola dostępu do danych);

f) pozwolą zweryfikować i ustalić podmioty, którym dane osobowe zostały lub mogą zostać przesłane lub udostępnione za pomocą sprzętu do przesyłu danych (kontrola przesyłu danych);

g) pozwolą następczo zweryfikować i stwierdzić, które dane osobowe zostały wprowadzone do systemów zautomatyzowanego przetwarzania, kiedy i przez kogo (kontrola wprowadzania danych);

h) zapobiegną nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu danych osobowych podczas ich przekazywania lub podczas przenoszenia nośników danych (kontrola transportu);

i) zapewniają, że w razie awarii można będzie przywrócić zainstalowane systemy (odzyskiwanie);

j) zapewniają działanie funkcji systemu, zgłaszanie występujących w nich błędów (niezawodność) oraz odporność przechowywanych danych na uszkodzenia powodowane błędnym działaniem systemu (integralność).

Artykuł 30

Zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu

1.  Państwa członkowskie zapewniają, by w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki, w miarę możliwości nie później niż 72 godzin po stwierdzeniu naruszenia, zgłosił naruszenie organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to stwarzało ryzyko naruszenia praw i wolności osób fizycznych. W przypadku gdy zgłoszenie naruszenia organowi nadzorczemu nie następuje w terminie 72 godzin, towarzyszy mu uzasadnienie opóźnienia.

2.  Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.

3.  Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:

a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wykazów danych osobowych, których dotyczy naruszenie;

b) zawierać imię i nazwisko lub nazwę oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

d) opisywać środki zastosowane lub proponowane przez administratora w celu naprawy naruszenia ochrony danych osobowych, w tym w stosownym przypadku zminimalizowania jego ewentualnych negatywnych skutków.

4.  Jeżeli – i w takim zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki.

5.  Państwa członkowskie zapewniają, by administrator dokumentował wszelkie naruszenia ochrony danych osobowych, o których mowa w ust. 1, wraz z okolicznościami naruszenia danych osobowych, jego skutkami oraz podjętymi działaniami naprawczymi. Dokumentacja ta pozwala organowi nadzorczemu na weryfikację przestrzegania niniejszego artykułu.

6.  Państwa członkowskie zapewniają, by w przypadku gdy naruszenie ochrony danych osobowych dotyczy danych osobowych przesłanych przez lub do administratora innego państwa członkowskiego, informacje, o których mowa w ust. 3, zostały dostarczone bez zbędnej zwłoki administratorowi tego państwa członkowskiego.

Artykuł 31

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

1.  Państwa członkowskie zapewniają, by w przypadku gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadomił osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych.

2.  Skierowane do osoby, której dane dotyczą, zawiadomienie wskazane w ust. 1 niniejszego artykułu, opisuje jasnym i prostym językiem charakter naruszenia ochrony danych osobowych i zawiera co najmniej informacje i środki, o których mowa w art. 30 ust. 3 lit. b), c) i d).

3.  Skierowane do osoby, której dane dotyczą, zawiadomienie wskazane w ust. 1 niniejszego artykułu nie jest wymagane, jeżeli spełniony został którykolwiek z następujących warunków:

a) administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, zwłaszcza środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;

b) administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą, wskazanych w ust. 1; lub

c) wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

4.  Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może zażądać wystosowania przez administratora zawiadomienia, lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3.

5.  Skierowane do osoby, której dane dotyczą, zawiadomienie wskazane w ust. 1 niniejszego artykułu można opóźnić, ograniczyć lub pominąć, z zastrzeżeniem warunków i z powodów wskazanych w art. 13 ust. 3.



Sekcja 3

Inspektor ochrony danych

Artykuł 32

Wyznaczenie inspektora ochrony danych

1.  Państwa członkowskie zapewniają, by administrator wyznaczył inspektora ochrony danych. Państwa członkowskie mogą zwolnić z tego obowiązku sądy i inne niezawisłe organy sądowe w ramach sprawowania przez te organy wymiaru sprawiedliwości.

2.  Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyki w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 34.

3.  Można wyznaczyć jednego inspektora ochrony danych dla kilku właściwych organów, uwzględniając ich strukturę organizacyjną i wielkość.

4.  Państwa członkowskie zapewniają, by administrator opublikował dane kontaktowe inspektora ochrony danych i zawiadomił o nich organ nadzorczy.

Artykuł 33

Status inspektora ochrony danych

1.  Państwa członkowskie zapewniają, by administrator gwarantował odpowiednie i niezwłoczne włączenie inspektora ochrony danych we wszystkie sprawach dotyczących ochrony danych osobowych.

2.  Administrator wspiera inspektora ochrony danych w wypełnianiu zadań, o których mowa w art. 34, zapewniając zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania oraz zasoby niezbędne do podtrzymania jego wiedzy fachowej.

Artykuł 34

Zadania inspektora ochrony danych

Państwa członkowskie zapewniają, by administrator powierzył inspektorowi ochrony danych co najmniej następujące zadania:

a) informowanie administratora oraz pracowników zajmujących się przetwarzaniem o obowiązkach spoczywających na nich na mocy niniejszej dyrektywy oraz na mocy innych przepisów prawa Unii lub państwa członkowskiego dotyczących ochrony danych;

b) monitorowanie przestrzegania niniejszej dyrektywy, innych przepisów prawa Unii lub państwa członkowskiego dotyczących ochrony danych oraz realizowanie polityk administratora w dziedzinie ochrony danych osobowych, w tym przydział obowiązków, działania podnoszące świadomość i szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

c) przedstawianie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie ich wykonania na mocy art. 27;

d) współpraca z organem nadzorczym;

e) pełnienie funkcji punktu kontaktowego wobec organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 28, oraz w stosownym przypadku prowadzenie konsultacji we wszelkich innych sprawach.



ROZDZIAŁ V

Przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych

Artykuł 35

Ogólne zasady przekazywania danych osobowych

1.  Państwa członkowskie zapewniają, by przekazanie przez właściwe organy danych osobowych, które są przetwarzane lub mają być przetwarzane po przekazaniu do państwa trzeciego lub organizacji międzynarodowej, w tym dalsze przekazane do innego państwa trzeciego lub innej organizacji międzynarodowej, mogło nastąpić pod warunkiem zgodności z przepisami krajowymi przyjętymi na podstawie innych przepisów niniejszej dyrektywy, jedynie jeżeli spełnione zostały warunki ustanowione w niniejszym rozdziale, a mianowicie:

a) przekazanie jest niezbędne do celów, o których mowa w art. 1 ust. 1;

b) dane osobowe są przekazywane administratorowi w państwie trzecim lub organizacji międzynarodowej, który jest organem właściwym do realizacji celów, o których mowa w art. 1 ust. 1;

c) w przypadku przesyłania lub udostępniana danych od innego państwa członkowskiego to inne państwo członkowskie wyraziło na przekazanie uprzednią zgodę zgodnie ze swoim prawem krajowym;

d) Komisja wydała decyzję w przedmiocie zgodności na podstawie art. 36, lub w razie braku takiej decyzji zapewnione zostały lub istnieją odpowiednie zabezpieczenia zgodnie z art. 37, lub w razie braku decyzji w przedmiocie zgodności wydanej na podstawie art. 36 lub zabezpieczeń zgodnie z art. 37, zastosowanie mają wyjątki w szczególnych sytuacjach zgodnie z art. 38; oraz

e) w przypadku dalszego przekazania do innego państwa trzeciego lub organizacji międzynarodowej właściwy organ, który dokonał pierwotnego przekazania, lub inny właściwy organ tego samego państwa członkowskiego zezwala na dalsze przekazanie po należytym uwzględnieniu wszystkich istotnych czynników, w tym powagi czynu zabronionego, celu, w którym dane osobowe zostały pierwotnie przekazane, oraz stopnia ochrony danych osobowych w państwie trzecim lub organizacji międzynarodowej, do których dane osobowe są dalej przekazywane.

2.  Państwa członkowskie zapewniają, by przekazanie danych osobowych bez uprzedniej zgody innego państwa członkowskiego, o której mowa w ust. 1 lit. c), było dozwolone wyłącznie wtedy, gdy odnośne przekazanie jest niezbędne do zapobieżenia bezpośredniemu, poważnemu zagrożeniu dla bezpieczeństwa publicznego w państwie członkowskim lub państwie trzecim bądź dla ważnych interesów państwa członkowskiego, a uprzedniej zgody nie da się uzyskać w odpowiednim terminie. Organ odpowiadający za wydanie uprzedniej zgody zostaje powiadomiony bez zbędnej zwłoki.

3.  Wszystkie przepisy niniejszego rozdziału stosuje się w celu zapewnienia, by stopień ochrony osób fizycznych zapewniony niniejszą dyrektywą nie został obniżony.

Artykuł 36

Przekazywanie na podstawie decyzji stwierdzającej odpowiedni stopień ochrony

1.  Państwa członkowskie zapewniają, by przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej mogło nastąpić wtedy, gdy Komisja stwierdzi, że to państwo trzecie, terytorium lub przynajmniej jeden sektor w tym państwie trzecim, lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.

2.  Oceniając, czy stopień ochrony jest odpowiedni, Komisja uwzględnia w szczególności następujące elementy:

a) praworządność, poszanowanie praw człowieka i podstawowych wolności, odpowiednie prawodawstwo – zarówno ogólne, jak i sektorowe – w tym w dziedzinie bezpieczeństwa publicznego, obrony, bezpieczeństwa narodowego i prawa karnego oraz dostępu organów publicznych do danych osobowych, a także wdrażanie takiego prawodawstwa, zasady ochrony danych osobowych, zasady dotyczące wykonywania zawodu, środki bezpieczeństwa, w tym zasady dalszego przekazywania danych osobowych do kolejnego państwa trzeciego lub innej organizacji międzynarodowej, których przestrzega się w tym państwie trzecim lub w organizacji międzynarodowej, orzecznictwo, a także skuteczne i wykonalne prawa osób, których dane dotyczą, oraz prawa osób, których dane osobowe są przekazywane, do skutecznych administracyjnych i sądowych środków zaskarżenia;

b) istnienie i skuteczne funkcjonowanie co najmniej jednego niezależnego organu nadzorczego w państwie trzecim lub organu nadzorującego organizację międzynarodową, mającego obowiązek zapewniać i egzekwować przestrzeganie przepisów o ochronie danych – w tym posiadające odpowiednie uprawnienia do egzekwowania przestrzegania przepisów – pomagać i doradzać osobom, których dane dotyczą, w toku wykonywania przysługujących im praw, a także współpracować z organami nadzorczymi państw członkowskich; oraz

c) międzynarodowe zobowiązania państwa trzeciego lub organizacji międzynarodowej lub inne obowiązki wynikające z prawnie wiążących konwencji lub aktów prawnych oraz z udziału w systemach wielostronnych lub regionalnych, w szczególności w dziedzinie ochrony danych osobowych.

3.  Po dokonaniu oceny, czy stopień ochrony jest odpowiedni, w drodze aktu wykonawczego Komisja może zdecydować, że państwo trzecie, terytorium lub przynajmniej jeden określony sektor w państwie trzecim, lub organizacja międzynarodowa zapewniają odpowiedni stopień ochrony w rozumieniu ust. 2 niniejszego artykułu. W akcie wykonawczym przewiduje się mechanizm okresowego przeglądu – przynajmniej raz na cztery lata – podczas którego uwzględnia się wszelkie mające znaczenie zmiany w państwie trzecim lub organizacji międzynarodowej. W akcie wykonawczym zostaje określony terytorialny i sektorowy zakres jego zastosowania, a w stosownym przypadku wskazany zostaje organ nadzorczy lub organy nadzorcze, o których mowa w ust. 2 lit. b) niniejszego artykułu. Akt wykonawczy zostaje przyjęty zgodnie z procedurą sprawdzającą, o której mowa w art. 58 ust. 2.

4.  Komisja na bieżąco monitoruje zmiany w państwach trzecich i organizacjach międzynarodowych mogące wpłynąć na obowiązywanie decyzji przyjętych na mocy ust. 3.

5.  Jeżeli dostępne informacje tak wskazują, zwłaszcza po przeglądzie, o którym mowa w ust. 3 niniejszego artykułu, Komisja przyjmuje decyzję stwierdzającą, że państwo trzecie, terytorium lub przynajmniej jeden określony sektor w państwie trzecim, lub organizacja międzynarodowa przestały zapewniać odpowiedni stopień ochrony w rozumieniu ust. 2 niniejszego artykułu, i w niezbędnym zakresie uchyla, zmienia lub zawiesza decyzję, o której mowa w ust. 3 niniejszego artykułu, w drodze aktów wykonawczych bez mocy wstecznej. Takie akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 58 ust. 2, lub w przypadkach wyjątkowo pilnych zgodnie z procedurą, o której mowa w art. 58 ust. 2.

W należycie uzasadnionych, szczególnie pilnych przypadkach Komisja przyjmuje zgodnie z procedurą, o której mowa w art. 58 ust. 3, akty wykonawcze mające natychmiastowe zastosowanie.

6.  Komisja podejmuje konsultacje z państwem trzecim lub organizacją międzynarodową w celu naprawy sytuacji będącej przyczyną decyzji przyjętej na mocy ust. 5.

7.  Państwa członkowskie zapewniają, by decyzja wydana na mocy ust. 5 nie wpływała na przekazywanie danych osobowych do danego państwa trzeciego, terytorium lub jednego lub więcej określonych sektorów w tym państwie trzecim, lub do danej organizacji międzynarodowej na mocy art. 37 i 38.

8.  Komisja publikuje w Dzienniku Urzędowym Unii Europejskiej i na swojej stronie internetowej wykaz tych państw trzecich, terytoriów i określonych sektorów w państwie trzecim, oraz organizacji międzynarodowych, co do których przyjęła decyzję stwierdzającą odpowiedni stopień ochrony lub jego brak.

Artykuł 37

Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń

1.  W razie braku decyzji na mocy art. 36 ust. 3 państwa członkowskie zapewniają, by dane osobowe mogły być przekazane do państwa trzeciego lub organizacji międzynarodowej, jeżeli:

a) w prawnie wiążącym akcie wprowadzono odpowiednie zabezpieczenia ochrony danych osobowych; lub

b) administrator ocenił wszystkie okoliczności związane z przekazaniem danych osobowych i stwierdził, że istnieją odpowiednie zabezpieczenia ochrony danych osobowych.

2.  Administrator informuje organ nadzorczy o kategoriach przekazań, o których mowa w ust. 1 lit. b).

3.  Jeżeli przekazanie odbywa się na podstawie ust. 1 lit. b), musi być udokumentowane, a dokumentacja, w tym data i godzina przekazania, informacje o właściwym organie odbierającym, uzasadnienie przekazania oraz przekazane dane osobowe, musi zostać udostępniona na żądanie organowi nadzorczemu.

Artykuł 38

Wyjątki w szczególnych sytuacjach

1.  W razie braku decyzji stwierdzającej odpowiedni stopień ochrony na mocy art. 36 lub braku odpowiednich zabezpieczeń określonych w art. 37 państwa członkowskie zapewniają, by przekazanie lub określona kategoria przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej mogły nastąpić wyłącznie pod warunkiem że przekazanie jest niezbędne:

a) w celu ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby;

b) w celu zabezpieczenia uzasadnionych interesów osoby, której dane dotyczą, jeżeli prawo państwa członkowskiego przekazującego dane osobowe tak stanowi;

c) dla zapobieżenia bezpośredniemu, poważnemu ryzyku naruszenia bezpieczeństwa publicznego państwa członkowskiego lub państwa trzeciego;

d) w indywidualnym przypadku do celów, o których mowa w art. 1 ust. 1; lub

e) w indywidualnym przypadku, dla ustalenia, dochodzenia lub obrony roszczeń w związku z celami określonymi w art. 1 ust. 1.

2.  Danych osobowych nie przekazuje się, jeżeli właściwy organ przekazujący stwierdzi, że podstawowe prawa i wolności konkretnej osoby, której dane dotyczą, są nadrzędne wobec interesu publicznego przemawiającego za przekazaniem, o którym mowa w ust. 1 lit. d) i e).

3.  Jeżeli przekazanie odbywa się na podstawie ust. 1, musi być udokumentowane, a dokumentacja, w tym data i godzina przekazania, informacje o właściwym organie odbierającym, uzasadnienie przekazania oraz przekazane dane osobowe, musi zostać udostępniona na żądanie organowi nadzorczemu.

Artykuł 39

Przekazywanie danych osobowych odbiorcom mającym siedzibę w państwach trzecich

1.  Na zasadzie wyjątku od art. 35 ust. 1 lit. b) i z zastrzeżeniem umów międzynarodowych, o których mowa w ust. 2 niniejszego artykułu, prawo Unii lub prawo państwa członkowskiego mogą zapewniać, by właściwe organy, o których mowa w art. 3 pkt 7 lit. a), w indywidualnych, konkretnych przypadkach przekazywały dane osobowe bezpośrednio odbiorcom mającym siedzibę w państwach trzecich jedynie wówczas, gdy zachowane są pozostałe przepisy niniejszej dyrektywy i spełnione zostały wszystkie następujące warunki:

a) przekazanie jest ściśle niezbędne do wykonania zadania właściwego organu przekazującego zgodnie z prawem Unii lub prawem państwa członkowskiego do celów, o których mowa w art. 1 ust. 1;

b) właściwy organ przekazujący stwierdza, że podstawowe prawa i wolności danej osoby, której dane dotyczą, nie są nadrzędne wobec interesu publicznego przemawiającego za przedmiotowym przekazaniem;

c) właściwy organ przekazujący uznaje, że przekazanie organowi właściwemu do celów, o których mowa w art. 1 ust. 1, w państwie trzecim byłoby nieskuteczne lub niewłaściwe, w szczególności dlatego, że przekazanie nie może nastąpić w odpowiednim terminie;

d) organ, który jest właściwy dla celów wskazanych w art. 1 ust. 1 w państwie trzecim, zostaje poinformowany bez zbędnej zwłoki, chyba że byłoby to nieskuteczne lub niewłaściwe; oraz

e) właściwy organ przekazujący informuje odbiorcę o konkretnym celu lub konkretnych celach, w których dane osobowe mają być wyłączenie przetwarzane przez odbiorcę, pod warunkiem że takie przetwarzanie jest niezbędne.

2.  Umowa międzynarodowa, o której mowa w ust. 1, oznacza jakąkolwiek dwustronną lub wielostronną umowę międzynarodową obowiązującą między państwami członkowskimi a państwami trzecimi dotyczącą współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej.

3.  Właściwy organ przekazujący informuje organ nadzorczy o przekazaniach na mocy niniejszego artykułu.

4.  Jeżeli przekazanie odbywa się na podstawie ust. 1, musi być udokumentowane.

Artykuł 40

Międzynarodowa współpraca na rzecz ochrony danych osobowych

Komisja i państwa członkowskie podejmują wobec państw trzecich i organizacji międzynarodowych odpowiednie działania na rzecz:

a) wypracowania mechanizmów współpracy międzynarodowej ułatwiających skuteczne egzekwowanie przepisów o ochronie danych osobowych;

b) zapewnienia wzajemnej pomocy międzynarodowej w egzekwowaniu przepisów o ochronie danych osobowych, w tym poprzez powiadomienia, przekazywanie skarg, pomoc w prowadzeniu postępowań wyjaśniających oraz wymianę informacji, z zastrzeżeniem odpowiednich zabezpieczeń ochrony danych osobowych i innych podstawowych praw i wolności;

c) włączenia stosownych zainteresowanych podmiotów, których sprawa dotyczy, w dyskusję i działalność mające na celu upowszechnianie międzynarodowej współpracy w dziedzinie egzekwowania przepisów o ochronie danych osobowych;

d) upowszechnienia wymiany i dokumentowania przepisów i praktyk w dziedzinie ochrony danych osobowych, w tym dotyczących kolizji jurysdykcyjnych z państwami trzecimi.



ROZDZIAŁ VI

Niezależne organy nadzorcze



Sekcja 1

Niezależny status

Artykuł 41

Organ nadzorczy

1.  Państwo członkowskie zapewnia, by za monitorowanie stosowania niniejszej dyrektywy odpowiadał co najmniej jeden niezależny organ publiczny, dla ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w Unii (organ nadzorczy).

2.  Każdy organ nadzorczy przyczynia się do spójnego stosowania niniejszej dyrektywy w całej Unii. W tym celu organy nadzorcze współpracują ze sobą i z Komisją zgodnie z rozdziałem VII.

3.  Państwa członkowskie mogą zapewnić, by organem nadzorczym, o którym mowa w niniejszej dyrektywie i na którym spoczywa obowiązek realizacji zadań organu nadzorczego mającego powstać na mocy ust. 1, mógł zostać organ nadzorczy ustanowiony na mocy rozporządzenia (UE) 2016/679.

4.  Jeżeli w państwie członkowskim ustanowiono więcej niż jeden organ nadzorczy, państwo to wyznacza organ nadzorczy, który ma reprezentować te organy w Europejskiej Radzie Ochrony Danych, o której mowa w art. 51.

Artykuł 42

Niezależność

1.  Państwa członkowskie zapewniają, by każdy organ nadzorczy podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszą dyrektywą działał w sposób w pełni niezależny.

2.  Państwa członkowskie zapewniają, by członek lub członkowie ich organów nadzorczych podczas wypełniania swoich zadań i wykonywania swoich uprawnień zgodnie z niniejszą dyrektywą pozostawali wolni od bezpośrednich i pośrednich wpływów zewnętrznych, nie zwracali się do nikogo o instrukcje ani ich od nikogo nie przyjmowali.

3.  Członkowie organów nadzorczych państw członkowskich powstrzymują się od wszelkich czynności sprzecznych ze swoimi obowiązkami i podczas swojej kadencji nie podejmują żadnego zajęcia zarobkowego ani niezarobkowego sprzecznego z tymi obowiązkami.

4.  Państwa członkowskie zapewniają, by każdy organ nadzorczy dysponował zasobami kadrowymi, technicznymi i finansowymi, pomieszczeniami i infrastrukturą niezbędną do skutecznego wypełniania swoich zadań i wykonywania swoich uprawnień, w tym w kontekście wzajemnej pomocy, współpracy i uczestnictwa w pracach Europejskiej Rady Ochrony Danych.

5.  Państwa członkowskie zapewniają, by każdy organ nadzorczy wybierał i posiadał własny personel, działający pod wyłącznym kierownictwem członka lub członków danego organu nadzorczego.

6.  Państwa członkowskie zapewniają, by ich organy nadzorcze podlegały kontroli finansowej w sposób nienaruszający ich niezależności, oraz by dysponowały odrębnym, publicznym budżetem rocznym, który może być częścią ogólnego budżetu państwowego lub krajowego.

Artykuł 43

Ogólne warunki dotyczące członków organu nadzorczego

1.  Państwa członkowskie zapewniają, by każdy członek organu nadzorczego był powołany na drodze przejrzystej procedurze przez

 parlament,

 rząd,

 głowę państwa lub

 niezależny organ uprawniony do powoływania członków organu nadzorczego na podstawie prawa państwa członkowskiego.

2.  Każdy członek musi posiadać kwalifikacje, doświadczenie i umiejętności, w szczególności w dziedzinie ochrony danych osobowych, potrzebne do wypełniania swoich obowiązków i wykonywania swoich uprawnień.

3.  W razie upływu kadencji, rezygnacji lub przymusowego pozbawienia funkcji członek organu przestaje pełnić swoje obowiązki zgodnie z prawem danego państwa członkowskiego.

4.  Członek zostaje odwołany ze stanowiska tylko w przypadku, gdy dopuścił się poważnego uchybienia lub przestał spełniać warunki potrzebne do wypełniania obowiązków.

Artykuł 44

Zasady ustanawiania organu nadzorczego

1.  Każde państwo członkowskie określa w swoich przepisach prawnych wszystkie poniższe kwestie:

a) ustanowienie każdego z organów nadzorczych;

b) kwalifikacje i warunki wyboru wymagane do powołania na stanowisko członka swych organów nadzorczych;

c) zasady i procedury powołania członka lub członków każdego z organów nadzorczych;

d) długość kadencji członka lub członków każdego z organów nadzorczych, nie krótszy niż cztery lata, z wyjątkiem pierwszej kadencji po dniu 6 maja 2016 r., która to kadencja może częściowo trwać krócej, jeżeli jest to niezbędne dla ochrony niezależności organu nadzorczego w drodze procedury stopniowej wymiany członków;

e) możliwość ponownego powołania członka lub członków każdego z organów nadzorczych, oraz liczbę kadencji;

f) zasady regulujące obowiązki członka lub członków oraz personelu każdego z organów nadzorczych, zakaz podejmowania sprzecznych z nimi działań, zajęć i czerpania korzyści, w trakcie kadencji oraz po jej zakończeniu, a także przepisy regulujące ustanie stosunku pracy.

2.  Członek lub członkowie oraz personel każdego z organów nadzorczych podlegają zgodnie z prawem Unii lub prawem państwa członkowskiego obowiązkowi dochowania tajemnicy służbowej – w trakcie kadencji oraz po jej zakończeniu – w odniesieniu do wszelkich poufnych informacji, które uzyskali w toku wypełniania zadań lub wykonywania swoich uprawnień. Obowiązek dochowania tajemnicy służbowej w trakcie kadencji dotyczy zwłaszcza sytuacji, w których osoby fizyczne zgłaszają naruszenia niniejszej dyrektywy.



Sekcja 2

Właściwość, zadania i uprawnienia

Artykuł 45

Właściwość

1.  Państwa członkowskie zapewniają, by każdy organ nadzorczy był właściwy do wypełniania przeznaczonych mu zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszą dyrektywą na terytorium swego państwa członkowskiego.

2.  Państwa członkowskie zapewniają, by żaden organ nadzorczy nie był właściwy do nadzorowania operacji przetwarzania dokonywanych przez sądy w toku sprawowania przez nie wymiaru sprawiedliwości. Państwa członkowskie mogą postanowić, że organ nadzorczy nie jest właściwy do nadzorowania operacji przetwarzania dokonywanych przez inne niezależne organy wymiaru sprawiedliwości w ramach sprawowania przez nie wymiaru sprawiedliwości.

Artykuł 46

Zadania

1.  Państwa członkowskie zapewniają, by na ich terytorium każdy organ nadzorczy:

a) monitorował i egzekwował stosowanie przepisów przyjętych na podstawie niniejszej dyrektywy oraz jej aktów wykonawczych;

b) upowszechniał w społeczeństwie wiedzę o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem oraz rozumienie tych zjawisk;

c) doradzał, zgodnie z prawem państwa członkowskiego, parlamentowi narodowemu, rządowi oraz innym instytucjom i organom w sprawie ustawowych i administracyjnych środków ochrony praw i wolności osób fizycznych w związku z przetwarzaniem;

d) upowszechniał wśród administratorów i podmiotów przetwarzających wiedzę o obowiązkach spoczywających na nich na mocy niniejszej dyrektywy;

e) udzielał osobie, której dane dotyczą, na jej żądanie informacji o wykonywaniu praw przysługujących jej na mocy niniejszej dyrektywy, a w stosownym przypadku współpracował w tym celu z organami nadzorczymi innych państw członkowskich;

f) rozpatrywał skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenia zgodnie z art. 55, w odpowiednim zakresie prowadził postępowanie w przedmiocie tych skarg i w rozsądnym terminie informował skarżącego o postępach i wynikach takiego postępowania, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowania lub koordynacja działań z innym organem nadzorczym;

g) sprawdzał zgodność przetwarzania z prawem na mocy art. 17 oraz informował osobę, której dane dotyczą, w rozsądnym terminie o wynikach tej kontroli zgodnie z ust. 3 tego artykułu lub o powodach jej nieprzeprowadzenia;

h) współpracował z innymi organami nadzorczymi, w tym dzielił się informacjami oraz świadczył wzajemną pomoc w celu zapewnienia spójnego stosowania i egzekwowania niniejszej dyrektywy;

i) prowadził postępowania w sprawie stosowania niniejszej dyrektywy, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego;

j) monitorował zmiany w stosownych dziedzinach, o ile zmiany te mają wpływ na ochronę danych osobowych, w szczególności rozwój technologii informacyjno-komunikacyjnych;

k) pełnił funkcje konsultacyjne, o których mowa w art. 28, co do operacji przetwarzania; oraz

l) brał udział w pracach Europejskiej Rady Ochrony Danych.

2.  Każdy organ nadzorczy ułatwia wnoszenie skarg, o których mowa w ust. 1 lit. f), za pomocą takich środków jak gotowy formularz skargi, który można również wypełnić elektronicznie, co nie wyklucza innych sposobów komunikacji.

3.  Każdy organ nadzorczy bezpłatnie wypełnia zadania na rzecz osoby, której dane dotyczą, i inspektora ochrony danych.

4.  Jeżeli żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, zwłaszcza ze względu na swą powtarzalność, organ nadzorczy może pobrać rozsądną opłatę wynikającą z kosztów administracyjnych lub może odmówić podjęcia działań w związku z żądaniem. Obowiązek wykazania, że żądanie jest w sposób oczywisty nieuzasadnione lub nadmierne, spoczywa na organie nadzorczym.

Artykuł 47

Uprawnienia

1.  Państwa członkowskie zapewniają, by każdy organ nadzorczy posiadał skuteczne uprawnienia w zakresie prowadzenia postępowań. Uprawnienia te obejmują co najmniej uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich przetwarzanych danych osobowych i wszelkich informacji niezbędnych do wypełnienia jego zadań.

2.  Państwa członkowskie zapewniają, by każdy organ nadzorczy posiadał skuteczne uprawnienia naprawcze, przykładowo takie jak:

a) wydawanie ostrzeżeń administratorowi lub podmiotowi przetwarzającemu, zgodnie z którymi planowane operacje przetwarzania mogą skutkować naruszeniem przepisów przyjętych na podstawie niniejszej dyrektywy;

b) nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji do przepisów przyjętych na podstawie niniejszej dyrektywy, w razie potrzeby w konkretny sposób i w konkretnym terminie, zwłaszcza poprzez nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania zgodnie z art. 16;

c) wprowadzenie czasowych lub stałych ograniczeń przetwarzania, w tym zakazu przetwarzania.

3.  Państwa członkowskie zapewniają, by każdy organ nadzorczy posiadał skuteczne uprawnienia doradcze pozwalające przedstawić administratorowi zalecenia zgodnie z procedurą uprzednich konsultacji, o której mowa w art. 28, oraz by z własnej inicjatywy lub na wniosek mógł wydawać opinie skierowane do parlamentu narodowego, rządu lub, zgodnie z jego prawem krajowym, innych instytucji i organów oraz do społeczeństwa we wszelkich sprawach związanych z ochroną danych osobowych.

4.  Wykonywanie uprawnień powierzonych organowi nadzorczemu na mocy niniejszego artykułu podlega odpowiednim gwarancjom, w tym prawu do skutecznego środka prawnego przed sądem i rzetelnego procesu, określonym w prawie Unii i prawie państwa członkowskiego zgodnie z Kartą.

5.  Państwa członkowskie zapewniają, by każdy organ nadzorczy miał uprawnienie do wniesienia do organów sądowych sprawy dotyczącej naruszenia przepisów przyjętych na podstawie niniejszej dyrektywy oraz, w stosownym przypadku, do wszczęcia lub udziału w inny sposób w postępowaniu sądowym mającym na celu egzekwowanie przepisów przyjętych na podstawie niniejszej dyrektywy.

Artykuł 48

Zgłaszanie naruszeń

Państwa członkowskie zapewniają, by właściwe organy wprowadziły skuteczne mechanizmy zachęcania do poufnego zgłaszania naruszeń niniejszej dyrektywy.

Artykuł 49

Sprawozdania z działalności

Każdy organ nadzorczy sporządza roczne sprawozdanie ze swojej działalności, w którym może wyszczególnić rodzaje zgłoszonych mu naruszeń i rodzaje nałożonych kar. Sprawozdania są przekazywane parlamentowi narodowemu, rządowi i innym organom wskazanym prawem krajowym. Są one udostępniane opinii publicznej, Komisji oraz Europejskiej Radzie Ochrony Danych.



ROZDZIAŁ VII

Współpraca

Artykuł 50

Wzajemna pomoc

1.  Państwa członkowskie zapewniają, by ich organy nadzorcze przekazywały sobie stosowne informacje i świadczyły sobie wzajemną pomoc w celu spójnego wdrażania i stosowania niniejszej dyrektywy oraz wprowadziły środki na rzecz skutecznej wzajemnej współpracy. Wzajemna pomoc obejmuje w szczególności wnioski o udzielenie informacji oraz środki nadzorcze, takie jak wnioski o przeprowadzenie konsultacji, kontroli i postępowań.

2.  Państwa członkowskie zapewniają, by każdy organ nadzorczy podjął wszelkie odpowiednie środki, by odpowiedzi na wniosek innego organu nadzorczego udzielić bez zbędnej zwłoki, nie później niż w terminie jednego miesiąca po otrzymaniu wniosku. Środki takie mogą obejmować w szczególności przekazanie odpowiednich informacji o przebiegu postępowania.

3.  Wnioski o pomoc zawierają wszelkie niezbędne informacje, w tym cel i uzasadnienie wniosku. Uzyskane informacje są wykorzystywane wyłącznie do celu, w którym o nie wystąpiono.

4.  Organ nadzorczy, do którego skierowano wniosek o pomoc, nie może odmówić jego wykonania, chyba że:

a) nie jest organem właściwym w zakresie przedmiotu wniosku lub środków, o których wykonanie wystąpiono; lub

b) wykonanie wniosku naruszyłoby niniejszą dyrektywę lub prawo Unii lub prawo państwa członkowskiego, któremu podlega organ nadzorczy, który otrzymał wniosek.

5.  Organ nadzorczy, do którego skierowano wniosek, informuje organ nadzorczy, od którego wniosek pochodzi, o wynikach lub, w razie potrzeby, o postępach lub środkach podjętych w celu udzielenia odpowiedzi na ten wniosek. Organ nadzorczy, do którego skierowano wniosek o pomoc, przedstawia powody odmowy nieuwzględnienia wniosku zgodnie z ust. 4.

6.  Informacje, o które zwróciły się inne organy nadzorcze, organ nadzorczy, do którego skierowano wniosek o pomoc, co do zasady przekazuje drogą elektroniczną w standardowym formacie.

7.  Organy nadzorcze, do których skierowano wniosek o pomoc, nie pobierają opłaty za działania podejmowane w związku z wnioskiem o wzajemną pomoc. Organy nadzorcze mogą uzgodnić zasady wzajemnej rekompensaty wydatków poniesionych w wyniku świadczenia wzajemnej pomocy w wyjątkowych okolicznościach.

8.  Komisja może określić w drodze aktów wykonawczych formułę i procedury wzajemnej pomocy, o których mowa w niniejszym artykule, oraz zasady wymiany informacji drogą elektroniczną między organami nadzorczymi oraz między organami nadzorczymi a Europejską Radą Ochrony Danych. Akty wykonawcze są przyjmowane zgodnie z procedurą sprawdzającą, o której mowa w art. 58 ust. 2.

Artykuł 51

Zadania Europejskiej Rady Ochrony Danych

1.  Europejska Rada Ochrony Danych ustanowiona rozporządzeniem (UE) 2016/679 wypełnia następujące zadania w odniesieniu do przetwarzania wchodzącego w zakres zastosowania niniejszej dyrektywy:

a) doradza Komisji w każdej sprawie związanej z ochroną danych osobowych w Unii, w tym w sprawie wszelkich proponowanych zmian do niniejszej dyrektywy;

b) z własnej inicjatywy, na wniosek jednego ze swoich członków lub na wniosek Komisji bada wszelkie kwestie dotyczące stosowania niniejszej dyrektywy i opracowuje wytyczne, zalecenia i najlepsze praktyki w celu wspierania spójnego stosowania niniejszej dyrektywy;

c) opracowuje wytyczne dla organów nadzorczych w sprawie stosowania środków, o których mowa w art. 47 ust. 1 i 3;

d) opracowuje wytyczne, zalecenia i najlepsze praktyki, o których mowa w lit. b) niniejszego akapitu, określające naruszenia ochrony danych osobowych i zbędną zwłokę w rozumieniu art. 30 ust. 1 i 2 oraz poszczególne okoliczności, w jakich administrator lub podmiot przetwarzający mają obowiązek zgłosić naruszenie ochrony danych osobowych;

e) opracowuje wytyczne, zalecenia i najlepsze praktyki zgodnie z lit. b) niniejszego akapitu, określające okoliczności, w jakich naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, o których mowa w art. 31 ust. 1;

▼C1

f) dokonuje przeglądu praktycznego stosowania wytycznych, zaleceń i najlepszych praktyk;

▼B

g) przedstawia Komisji opinię na potrzeby oceny, czy stopień ochrony w państwie trzecim, na terytorium lub w jednym lub więcej określonym sektorze państwa trzeciego lub w organizacji międzynarodowej jest odpowiedni, w tym na potrzeby oceny, czy takie państwo trzecie, terytorium, określony sektor lub organizacja międzynarodowa nie przestały zapewniać odpowiedniego stopnia ochrony.

h) wspiera współpracę oraz skuteczną dwustronną i wielostronną wymianę informacji i najlepszych praktyk między organami nadzorczymi;

i) wspiera wspólne programy szkoleń oraz ułatwia wymianę personelu między organami nadzorczymi, a w stosownym przypadku z organami nadzorczymi państw trzecich lub organizacji międzynarodowych;

j) wspiera wymianę wiedzy i dokumentów na temat prawa i praktyki w dziedzinie ochrony danych z organami nadzorczymi odpowiedzialnymi za ochronę danych na świecie.

W odniesieniu do akapitu pierwszego lit. g) Komisja udostępnia Europejskiej Radzie Ochrony Danych wszelką niezbędną dokumentację, w tym korespondencję z rządem państwa trzeciego, terytorium lub określonym sektorem w tym państwie trzecim lub organizacją międzynarodową.

2.  Jeżeli Komisja zwraca się do Europejskiej Rady Ochrony Danych z wnioskiem o opinię, może wskazać termin udzielenia odpowiedzi uwzględniając pilność sprawy.

3.  Europejska Rada Ochrony Danych przekazuje swoje opinie, wytyczne, zalecenia i najlepsze praktyki Komisji i komitetowi, o którym mowa w art. 58 ust. 1, oraz podaje je do wiadomości publicznej.

4.  Komisja informuje Europejską Radę Ochrony Danych o swoich działaniach w odniesieniu do opinii, wytycznych, zaleceń i najlepszych praktyk opracowanych przez Europejską Radę Ochrony Danych.



ROZDZIAŁ VIII

Środki ochrony prawnej, odpowiedzialność prawna i sankcje

Artykuł 52

Prawo do wniesienia skargi do organu nadzorczego

1.  Z zastrzeżeniem innych środków administracyjnych lub środków prawnych przed sądem, państwa członkowskie zapewniają, by każda osoba, której dane dotyczą, miała prawo wnieść skargę do jednego organu nadzorczego, jeżeli sądzi, że dotyczące jej przetwarzanie danych osobowych narusza przepisy przyjęte na podstawie niniejszej dyrektywy.

2.  Państwa członkowskie zapewniają, by – jeżeli skarga nie zostaje wniesiona do organu nadzorczego właściwego zgodnie z art. 45 ust. 1 – organ nadzorczy, do którego wniesiono skargę, miał obowiązek przekazania jej bez zbędnej zwłoki właściwemu organowi nadzorczemu. O przekazaniu skargi poinformowana zostaje osoba, której dane dotyczą.

3.  Państwa członkowskie zapewniają, by organ nadzorczy, do którego wniesiono skargę, udzielił osobie, której dane dotyczą, dalszej pomocy na jej wniosek.

4.  Właściwy organ nadzorczy informuje osobę, której dane dotyczą, o postępach i wyniku skargi, w tym o możliwości wniesienia sądowego środka ochrony prawnej na mocy art. 53.

Artykuł 53

Prawo do skutecznego środka prawnego przed sądem od decyzji organu nadzorczego

1.  Z zastrzeżeniem innych środków administracyjnych lub pozasądowych środków ochrony prawnej państwa członkowskie stanowią prawem, że każda osoba fizyczna lub prawna ma prawo do skutecznego środka prawnego przed sądem od prawnie wiążącej decyzji organu nadzorczego, która jej dotyczy.

2.  Z zastrzeżeniem innych środków administracyjnych lub pozasądowych środków ochrony prawnej każda osoba, której dane dotyczą, ma prawo do skutecznego środka prawnego przed sądem, jeżeli organ nadzorczy właściwy zgodnie z art. 45 ust. 1 nie rozpatrzył skargi lub nie poinformował osoby, której dane dotyczą, w terminie trzech miesięcy o postępach lub wyniku rozpatrzenia skargi wniesionej na mocy art. 52.

3.  Państwa członkowskie zapewniają, by postępowanie przeciwko organowi nadzorczemu zostało wszczęte przed sądem państwa członkowskiego, w którym organ nadzorczy ma siedzibę.

Artykuł 54

Prawo do skutecznego środka prawnego przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu

Z zastrzeżeniem dostępnych środków administracyjnych lub pozasądowych środków ochrony prawnej, w tym prawa do wniesienia skargi do organu nadzorczego na mocy art. 52, państwa członkowskie zapewniają osobie, której dane dotyczą, prawo do skutecznego środka prawnego przed sądem, jeżeli osoba ta uważa, iż jej prawa ustanowione w przepisach przyjętych na podstawie niniejszej dyrektywy zostały naruszone w skutek przetwarzania jej danych osobowych w sposób niezgodny z tymi przepisami.

Artykuł 55

Reprezentowanie osób, których dane dotyczą

Państwa członkowskie, zgodnie z prawem procesowym państwa członkowskiego, zapewniają osobie, której dane dotyczą, prawo do umocowania organu, organizacji lub zrzeszenia o charakterze niezarobkowym, które zostały należycie ustanowione zgodnie z prawem państwa członkowskiego, mają statutowo na celu interes publiczny i działają w dziedzinie ochrony praw i wolności osób, których dane dotyczą, w związku z ochroną ich danych osobowych, do wniesienia w jej imieniu skargi oraz do wykonywania w jej imieniu praw, o których mowa w art. 52, 53 i 54.

Artykuł 56

Prawo do odszkodowania

Państwa członkowskie zapewniają każdej osobie, która poniosła szkodę majątkową lub niemajątkową w wyniku operacji przetwarzania niezgodnej z prawem lub w wyniku czynności naruszającej przepisy przyjęte na podstawie niniejszej dyrektywy, prawo otrzymania od administratora lub innego organu właściwego w świetle prawa państwa członkowskiego odszkodowania za poniesioną szkodę.

Artykuł 57

Sankcje

Państwa członkowskie przyjmują przepisy określające sankcje za naruszenie przepisów przyjętych na podstawie niniejszej dyrektywy i podejmują wszelkie środki niezbędne do ich wykonania. Sankcje te muszą być skuteczne, proporcjonalne i odstraszające.



ROZDZIAŁ IX

Akty wykonawcze

Artykuł 58

Procedura komitetowa

1.  Komisję wspomaga komitet ustanowiony na mocy art. 93 rozporządzenia (UE) 2016/679. Komitet ten jest komitetem w rozumieniu rozporządzenia (UE) nr 182/2011.

2.  W przypadku odesłania do niniejszego ustępu zastosowanie ma art. 5 rozporządzenia (UE) nr 182/2011.

3.  W przypadku odesłania do niniejszego ustępu zastosowanie ma art. 8 rozporządzenia (UE) nr 182/2011 w związku z jego art. 5.



ROZDZIAŁ X

Przepisy końcowe

Artykuł 59

Uchylenie decyzji ramowej 2008/977/WSiSW

1.  Uchyla się decyzję ramową Rady 2008/977/WSiSW ze skutkiem od dnia 6 maja 2018 r.

2.  Odesłania do uchylonej decyzji, o której mowa w ust. 1, należy interpretować jako odesłania do niniejszej dyrektywy.

Artykuł 60

Uprzednio przyjęte akty prawne Unii

Dyrektywa nie wpływa na szczegółowe przepisy o ochronie danych osobowych w aktach prawnych Unii, które weszły w życie do dnia 6 maja 2016 r. w dziedzinie współpracy wymiarów sprawiedliwości w sprawach karnych i współpracy policyjnej, które regulują przetwarzanie między państwami członkowskimi oraz dostęp wyznaczonych organów państw członkowskich do systemów informacyjnych ustanowionych na mocy traktatów w ramach zakresu zastosowania niniejszej dyrektywy.

Artykuł 61

Stosunek do uprzednio zawartych umów międzynarodowych o współpracy wymiarów sprawiedliwości w sprawach karnych oraz o współpracy policyjnej

Umowy międzynarodowe, które przewidują przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych i które zostały zawarte przez państwa członkowskie przed dniem 6 maja 2016 r. i które są zgodne z prawem Unii mającym zastosowanie przed tą datą, pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia.

Artykuł 62

Sprawozdanie Komisji

1.  Do dnia 6 maja 2022 r., a następnie co cztery lata Komisja przedkłada Parlamentowi Europejskiemu i Radzie sprawozdanie z oceny i przeglądu niniejszej dyrektywy. Sprawozdania te są publikowane.

2.  W ramach tych ocen i przeglądów, o których mowa w ust. 1, Komisja analizuje w szczególności stosowanie i funkcjonowanie rozdziału V w sprawie przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych, ze szczególnym uwzględnieniem decyzji przyjętych na mocy art. 36 ust. 3 i art. 39.

3.  Na potrzeby ust. 1 i 2, Komisja może wystąpić do państw członkowskich i organów nadzorczych o udzielenie informacji.

4.  Dokonując ocen i przeglądów, o których mowa w ust. 1 i 2, Komisja uwzględnia stanowiska i ustalenia Parlamentu Europejskiego, Rady oraz do innych właściwych podmiotów lub źródeł.

5.  Komisja może przedkładać, w razie konieczności, odpowiednie wnioski w celu zmiany niniejszej dyrektywy, w szczególności z uwzględnieniem rozwoju wiedzy informatycznej oraz rozwoju społeczeństwa informacyjnego.

6.  Do dnia 6 maja 2019 r. Komisja dokonuje przeglądu innych przyjętych przez Unię aktów regulujących przetwarzanie przez właściwe organy do celów określonych w art. 1 ust. 1, w tym aktów, o których mowa w art. 60, w celu oceny konieczności dostosowania ich do niniejszej dyrektywy, i w razie potrzeby przedstawia niezbędne propozycje zmiany takich aktów dla zapewnienia spójnego podejścia do ochrony danych osobowych wchodzących w zakres zastosowania niniejszej dyrektywy.

Artykuł 63

Transpozycja

1.  Państwa członkowskie przyjmują i publikują do dnia 6 maja 2018 r. przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania niniejszej dyrektywy. Tekst tych przepisów niezwłocznie przekazują Komisji. Państwa członkowskie stosują te przepisy od dnia 6 maja 2018 r.

Przepisy przyjęte przez państwa członkowskie zawierają odniesienie do niniejszej dyrektywy lub odniesienie takie towarzyszy ich urzędowej publikacji. Metody dokonywania takiego odniesienia określane są przez państwa członkowskie.

2.  W drodze wyjątku od ust. 1 państwo członkowskie może postanowić, że wyjątkowo, jeżeli wymaga to niewspółmiernie dużego wysiłku, zautomatyzowane systemy przetwarzania utworzone przed dniem 6 maja 2016 r. zostają dostosowane do art. 25 ust. 1 do dnia 6 maja 2023 r.

3.  W drodze wyjątku od ust. 1 i 2 niniejszego artykułu, w wyjątkowych okolicznościach państwo członkowskie może dostosować do art. 25 ust. 1 dany zautomatyzowany system przetwarzania, o którym mowa w ust. 2 niniejszego artykułu, w konkretnym terminie dłuższym niż termin, o którym mowa w ust. 2 niniejszego artykułu, jeżeli inaczej nastąpiłyby poważne problemy w funkcjonowaniu tego systemu. Dane państwo członkowskie informuje Komisję o przyczynach tych poważnych problemów i uzasadnia konkretny termin, w którym ma dostosować dany zautomatyzowany system przetwarzania do art. 25 ust. 1. Ten konkretny termin w żadnym wypadku nie upływa później niż dnia 6 maja 2026 r.

4.  Państwa członkowskie przekazują Komisji tekst podstawowych przepisów prawa krajowego przyjętych w dziedzinie objętej niniejszą dyrektywą.

Artykuł 64

Wejście w życie

Niniejsza dyrektywa wchodzi w życie pierwszego dnia po opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Artykuł 65

Adresaci

Niniejsza dyrektywa jest skierowana do państw członkowskich.