4.5.2016   

SL

Uradni list Evropske unije

L 119/89

(1)

Varstvo posameznikov pri obdelavi osebnih podatkov je temeljna pravica. V členu 8(1) Listine Evropske unije o temeljnih pravicah (v nadaljnjem besedilu: Listina) in členu 16(1) Pogodbe o delovanju Evropske unije (PDEU) je določeno, da ima vsakdo pravico do varstva osebnih podatkov, ki se nanašajo nanj.

(2)

Načela in pravila o varstvu posameznikov pri obdelavi njihovih osebnih podatkov bi morali ne glede na njihovo državljanstvo ali prebivališče zagotavljati spoštovanje temeljnih pravic in svoboščin posameznikov, zlasti pravico do varstva osebnih podatkov. Ta direktiva naj bi prispevala k dokončnemu oblikovanju območja svobode, varnosti in pravice.

(3)

Hiter tehnološki razvoj in globalizacija sta prinesla nove izzive za varstvo osebnih podatkov. Obseg zbiranja in izmenjave osebnih podatkov se je bistveno povečal. Tehnologija še nikoli prej ni v takšnem obsegu omogočala obdelave osebnih podatkov za izvajanje dejavnosti, kot so preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij.

(4)

Omogočiti je treba lažji prost pretok osebnih podatkov med pristojnimi organi za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem v Uniji ter prenosom takšnih osebnih podatkov v tretje države in mednarodne organizacije, hkrati pa zagotoviti visoko raven varstva osebnih podatkov. Zaradi takšnega razvoja je potrebno oblikovati trden in skladnejši okvir za varstvo osebnih podatkov v Uniji, ki se ga dosledno izvaja.

(5)

Direktiva 95/46/ES Evropskega parlamenta in Sveta (3) se uporablja za vse obdelave osebnih podatkov v državah članicah, tako v javnem in zasebnem sektorju. Vendar se ne uporablja za obdelavo osebnih podatkov med dejavnostjo, ki ne sodi na področje uporabe prava Skupnosti, na primer med dejavnostmi na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja.

(6)

Okvirni sklep Sveta 2008/977/PNZ (4), se uporablja na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja. Področje uporabe navedenega okvirnega sklepa je omejeno na obdelavo osebnih podatkov, ki se posredujejo ali dajo na voljo med državami članicami.

(7)

Zagotavljanje dosledne in visoke ravni varstva osebnih podatkov posameznikov ter spodbujanje izmenjave osebnih podatkov med pristojnimi organi držav članic je bistvenega pomena za zagotovitev učinkovitega pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja. Zato bi morala biti raven varstva pravic in svoboščin posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, v vseh državah članicah enaka. Za učinkovito varstvo osebnih podatkov v celotni Uniji ni potrebna le krepitev pravic posameznikov, na katere se nanašajo osebni podatki, ter dolžnosti tistih, ki takšne podatke obdelujejo, temveč so potrebna tudi enakovredna pooblastila za spremljanje in zagotavljanje skladnosti s pravili o varstvu osebnih podatkov v državah članicah.

(8)

V členu 16(2) PDEU je navedeno, da Evropski parlament in Svet določati pravila o varstvu fizičnih oseb pri obdelavi osebnih podatkov ter pravila o prostem pretoku osebnih podatkov.

(9)

Na podlagi tega so v Uredbi (EU) 2016/679 Evropskega parlamenta in Sveta (5) določena splošna pravila o varstvu posameznikov pri obdelavi osebnih podatkov in o zagotovitvi prostega pretoka osebnih podatkov v Uniji.

(10)

V izjavi št. 21 o varstvu osebnih podatkov na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja, ki je priložena Sklepni listini medvladne konference, ki je sprejela Lizbonsko pogodbo, je konferenca potrdila, da bi lahko bili zaradi posebne narave pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja na teh področjih potrebni posebni predpisi o varstvu osebnih podatkov in o prostem pretoku osebnih podatkov na podlagi člena 16 PDEU.

(11)

Zato je primerno, da ta področja ureja direktiva, v kateri so določena posebna pravila o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ob upoštevanju posebnih lastnosti teh dejavnosti. Ti pristojni organi lahko vključujejo ne le javne organe, kot so pravosodni organi, policija ali drugi organi preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, temveč tudi vse druge organe ali subjekte, ki v skladu z zakonodajo države članice izvajajo javno oblast in javna pooblastila za namene te direktive. Kadar takšen organ ali subjekt obdeluje osebne podatke za namene, ki so drugačni od namenov iz te direktive, se uporablja Uredba (EU) 2016/679. Uredba (EU) 2016/679 se torej uporablja v primerih, ko organ ali subjekt zbira osebne podatke za druge namene in jih dodatno obdeluje, ker jih k temu zavezujejo pravne obveznosti. Na primer finančne institucije za namene preiskovanja, odkrivanja ali pregona kaznivih dejanj zadržijo nekatere osebne podatke, ki so jih obdelale, ter jih pristojnim nacionalnim organom posredujejo le v posebnih primerih in v skladu z zakonodajo države članice. Organ ali subjekt, ki v imenu navedenih organov obdeluje osebne podatke v okviru področja uporabe te direktive, bi morali zavezovati pogodba ali drug pravni akt in določbe, ki veljajo za obdelovalce v skladu s to direktivo, medtem ko bi morala uporaba Uredbe (EU) 2016/679 ostati nespremenjena za obdelavo osebnih podatkov, ki jih obdelovalec izvaja zunaj področja uporabe te direktive.

(12)

Pri dejavnostih, ki jih izvaja policija ali drug organ preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, je glavni poudarek na preprečevanju, preiskovanju, odkrivanju ali pregonu kaznivih dejanj, vključujejo pa tudi policijske dejavnosti v primerih, ko še ni jasno, ali gre za kaznivo dejanje ali ne. Takšne dejavnosti lahko vključujejo izvajanje pristojnosti s prisilnimi ukrepi, kot so policijske dejavnosti ob demonstracijah, na velikih športnih dogodkih in ob izgredih. Vključujejo tudi vzdrževanje javnega reda in miru, nalogo, za katero je pristojna policija ali drug organ preprečevanja, odkrivanja in preiskovanja kaznivih dejanj, kadar je to potrebno za varovanje pred grožnjami javni varnosti in pravno zaščitenim temeljnim interesom družbe ter preprečevanje teh groženj, ki bi lahko vodile v kazniva dejanja. Države članice lahko pristojnim organom zaupajo druge naloge, ki se ne izvajajo nujno za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, tako da obdelava osebnih podatkov za te druge namene, kolikor spada v področje uporabe prava Unije, spada v področje uporabe Uredbe (EU) 2016/679.

(13)

Kaznivo dejanje v smislu te direktive bi moral biti avtonomen pojem prava Unije, kot ga razlaga Sodišče Evropske unije (v nadaljnjem besedilu: Sodišče).

(14)

Te direktive ne bi smeli uporabljati za obdelavo osebnih podatkov pri dejavnostih, ki ne spadajo v področje uporabe prava Unije, zato se dejavnosti v zvezi z varnostjo države ter dejavnosti agencij ali enot, zadolženih za vprašanja varnosti države, in obdelava osebnih podatkov v državah članicah pri izvajanju dejavnosti, ki spadajo v področje uporabe poglavja 2 naslova V Pogodbe o Evropski uniji (PEU), ne bi smele šteti za dejavnosti, ki spadajo v področje uporabe te direktive.

(15)

Da bi s pravno izvršljivimi pravicami zagotovili enako raven varstva posameznikov v Uniji in preprečili razhajanja, ki ovirajo izmenjavo osebnih podatkov med pristojnimi organi, bi morala ta direktiva vsebovati harmonizirana pravila o varstvu in prostem pretoku osebnih podatkov, ki se obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem. Približevanje zakonodaj držav članic nikakor ne bi smelo znižati ravni varstva osebnih podatkov, ki jo te zagotavljajo; nasprotno, z njim bi si morali prizadevati za zagotavljanje visoke ravni varstva znotraj Unije. Državam članicam bi moralo biti omogočeno, da za varovanje pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, ki jih obdelujejo pristojni organi, sprejmejo višjo raven zaščitnih ukrepov od te, ki je določena v tej direktivi.

(16)

Ta direktiva ne posega v načelo dostopa javnosti do uradnih dokumentov. V skladu z Uredbo (EU) 2016/679 lahko javni organ oziroma javno ali zasebno telo v skladu s pravom Unije ali pravom države članice, ki velja za organ ali telo, razkrije osebne podatke iz uradnih dokumentov, s katerimi razpolaga zaradi opravljanja nalog v javnem interesu, da se dostop javnosti do uradnih dokumentov uskladi s pravico do varstva osebnih podatkov.

(17)

Varstvo, zagotovljeno s to direktivo, bi se moralo uporabljati za obdelavo osebnih podatkov posameznikov, ne glede na njihovo državljanstvo ali prebivališče.

(18)

Z namenom preprečiti ustvarjanje resnega tveganja izogibanja predpisom, bi moralo biti varstvo posameznikov tehnološko nevtralno in neodvisno od uporabljenih tehnik. Varstvo posameznikov bi se moralo uporabljati za obdelavo osebnih podatkov z avtomatiziranimi sredstvi in za ročno obdelavo, če so osebni podatki del zbirke ali so namenjeni, da postanejo del zbirke. Zapisi ali nizi zapisov – kot tudi njihove naslovnice -, ki niso strukturirani v skladu s posebnimi merili, ne bi smeli spadati na področje uporabe te direktive.

(19)

Uredba (ES) št. 45/2001 Evropskega parlamenta in Sveta (6) se uporablja za obdelavo osebnih podatkov s strani institucij, organov, uradov in agencij Unije. Uredbo (ES) št. 45/2001 in druge pravne akte Unije, ki se uporabljajo za takšno obdelavo osebnih podatkov, bi bilo treba prilagoditi načelom in pravilom, določenim v Uredbi (EU) 2016/679.

(20)

Ta direktiva državam članicam ne preprečuje, da v nacionalnih predpisih o kazenskih postopkih določijo dejanja in postopke obdelave v zvezi z obdelavo osebnih podatkov s strani sodišč in drugih pravosodnih organov, zlasti kar zadeva osebne podatke, vsebovane v sodnih odločbah ali v evidencah, povezanih s kazenskimi postopki.

(21)

Načela varstva podatkov bi se morala uporabljati za vse informacije v zvezi z določenim ali določljivim posameznikom. Pri ugotavljanju, ali je posameznik določljiv, bi bilo treba upoštevati vsa sredstva– kot je na primer izločitev – za katera se razumno pričakuje, da jih bo uporabil upravljavec ali druga oseba za neposredno ali posredno identifikacijo posameznika. Da bi ugotovili ali se za ta sredstva lahko razumno pričakuje, da bodo uporabljena za identifikacijo posameznika, bi bilo treba upoštevati vse objektivne dejavnike, kot so stroški identifikacije in čas, potreben zanjo, ter pri tem upoštevati razpoložljivo tehnologijo in tehnološki razvoj v času obdelave. Načel varstva podatkov zato ne bi smeli uporabljati za anonimizirane informacije, in sicer informacije, ki niso povezane z določenim ali določljivim posameznikom, ali osebne podatke, ki so bili anonimizirani na tak način, da posameznik, na katerega se nanašajo osebni podatki, ni več določljiv.

(22)

Javnih organov, ki so jim bili osebni podatki razkriti v skladu s pravno obveznostjo za izvajanje njihovih uradnih nalog, kot so davčni in carinski organi, finančne preiskovalne enote, neodvisni upravni organi ali organi finančnih trgov, pristojni za regulacijo in nadzor trgov vrednostnih papirjev, ne bi smeli šteti za uporabnike, če prejmejo osebne podatke, ki so potrebni za izvedbo določene preiskave v splošnem interesu, v skladu s pravom Unije ali države članice. Zahteve za razkritje, ki jih predložijo javni organi, bi morale biti vedno v pisni obliki, utemeljene in občasne ter ne bi smele zadevati celotne zbirke ali voditi k medsebojnemu povezovanju zbirk. Obdelava osebnih podatkov s strani teh javnih organov bi morala biti v skladu z veljavnimi predpisi o varstvu podatkov glede na namene obdelave.

(23)

Genetski podatki bi morali biti opredeljeni kot osebni podatki, povezani s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstveno informacijo o fiziologiji ali zdravju tega posameznika in izhajajo iz analize biološkega vzorca zadevnega posameznika, zlasti analize kromosomov, deoksiribonukleinske kisline (DNK) ali ribonukleinske kisline (RNK) ali analize drugega elementa, ki zagotavlja enakovredne informacije. Glede na kompleksnost in občutljivost genetskih informacij obstaja velika nevarnost zlorabe in ponovne uporabe za različne namene s strani upravljavca. Vsakršna diskriminacija na podlagi genetskih značilnosti bi načeloma morala biti prepovedana.

(24)

Osebni podatki v zvezi z zdravjem bi morali obsegati vse podatke o zdravstvenem stanju posameznika, na katerega se nanašajo osebni podatki, ki razkrivajo informacije o njegovem preteklem, sedanjem ali prihodnjem telesnem ali duševnem zdravstvenem stanju. To vključuje informacije o posamezniku, zbrane med registracijo za storitve zdravstvenega varstva ali njihovim zagotavljanjem posamezniku, kot je določeno v Direktivi 2011/24/EU Evropskega parlamenta in Sveta (7); številko, znak ali posebno oznako, dodeljeno posamezniku za njegovo edinstveno identifikacijo v zdravstvene namene; informacije, pridobljene s testiranjem ali preiskavo dela telesa ali telesne snovi, vključno z informacijami, pridobljenimi iz genetskih podatkov in bioloških vzorcev, in vse informacije o, na primer, bolezni, invalidnosti, tveganju za nastanek bolezni, zdravstveni anamnezi, kliničnem zdravljenju ali fiziološkem ali biomedicinskem stanju posameznika, na katerega se nanašajo osebni podatki, ne glede na vir teh podatkov, na primer zdravnik ali drug zdravstveni delavec, bolnišnica, medicinski pripomoček ali diagnostični preskus in vitro.

(25)

Vse države članice so pridružene Mednarodni organizaciji kriminalistične policije (Interpol). Interpol za izpolnjevanje svojih nalog prejema, shranjuje in razpošilja osebne podatke, s čimer pristojnim organom pomaga pri preprečevanju mednarodnega kriminala in boju proti njemu. Zato je treba izboljšati sodelovanje med Unijo in Interpolom, in sicer s spodbujanjem učinkovite izmenjave osebnih podatkov, hkrati pa zagotavljati spoštovanje temeljnih pravic in svoboščin v zvezi z avtomatsko obdelavo osebnih podatkov. Pri prenosu osebnih podatkov iz Unije v Interpol in v države, ki imajo svoje predstavnike v Interpolu, bi se morala uporabljati ta direktiva, zlasti določbe o mednarodnih prenosih. Ta direktiva ne bi smela posegati v posebna pravila, določena v Skupnem stališču Sveta 2005/69/PNZ (8) in Sklepu Sveta 2007/533/PNZ (9).

(26)

Vsaka obdelava osebnih podatkov mora biti zakonita, poštena in pregledna za zadevne posameznike ter opravljena le za posebne namene, določene z zakonom. To samo po sebi organom kazenskega pregona ne preprečuje izvajanja dejavnosti, kot so tajne preiskave ali video nadzor. Te dejavnosti se lahko izvajajo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali za izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, pod pogojem, da so določene z zakonom, so nujen in sorazmeren ukrep v demokratični družbi ter upoštevajo zakonite interese zadevne ga posameznika. Načelo poštene obdelave v okviru varstva podatkov je pojem, ki je jasno ločen od pravice do poštenega sojenja, ki je opredeljena v členu 47 Listine in členu 6 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin (EKČP). Posameznike bi bilo treba opozoriti na tveganja, pravila, zaščitne ukrepe in pravice v zvezi z obdelavo njihovih osebnih podatkov ter na to, kako lahko uresničujejo njihove pravice v zvezi s tako obdelavo. Zlasti posebni nameni, za katere se osebni podatki obdelujejo, bi morali biti izrecni, zakoniti in določeni v času zbiranja osebnih podatkov. Osebni podatki bi morali biti ustrezni in relevantni za namene, za katere se obdelujejo. Zlasti bi bilo treba zagotoviti, da zbrani osebni podatki niso prekomerni in se hranijo le toliko časa, kolikor je potrebno za namene, za katere se obdelujejo. Osebne podatke bi lahko obdelovali samo, če namena obdelave v razumnih okvirih ni bilo mogoče doseči z drugimi sredstvi. Da bi zagotovili, da se podatki hranijo le toliko časa, kolikor je potrebno, bi moral upravljavec določiti roke za izbris ali reden pregled. Države članice bi morale določiti ustrezne zaščitne ukrepe za osebne podatke, ki se zaradi arhiviranja v javnem interesu ali v znanstvene, statistične ali zgodovinske namene shranjujejo za daljše obdobje.

(27)

Zaradi preprečevanja, preiskovanja in pregona kaznivih dejanj morajo pristojni organi osebne podatke, zbrane v okviru preprečevanja, preiskovanja, odkrivanja ali pregona posebnih kaznivih dejanj, obdelovati zunaj tega okvira, da bi lahko pridobili vpogled v kriminalne dejavnosti ter odkrivali povezave med različnimi odkritimi kaznivimi dejanji.

(28)

Da bi ohranili varnost glede obdelave in preprečili obdelave, ki bi pomenile kršitve te direktive, bi morali biti osebni podatki obdelani na način, ki zagotavlja ustrezno raven varnosti in zaupnosti, vključno s preprečevanjem nedovoljenega dostopa do osebnih podatkov in opreme za obdelavo ali njihove uporabe, in ki upošteva razpoložljive tehnološke ravni in tehnologije, stroške izvajanja glede na tveganja in na naravo osebnih podatkov, ki jih je treba varovati.

(29)

Osebne podatke bi bilo treba zbirati za določene, izrecne in zakonite namene v okviru področja uporabe te direktive ter jih ne bi smeli obdelovati za namene, ki so nezdružljivi z nameni preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem. Če osebne podatke obdeluje isti ali drugi upravljavec za namene v okviru področja uporabe te direktive, ki so drugačni od namenov, za katere so bili zbrani, bi morala taka obdelava biti dovoljena, pod pogojem, da je ta obdelava v skladu z veljavnimi pravnimi določbami ter je za zadevni drugi namen potrebna in z njim sorazmerna.

(30)

Ob upoštevanju narave in namena zadevne obdelave, bi bilo treba uporabljati načelo točnosti podatkov. Zlasti izjave, podane v sodnih postopkih, ki vsebujejo osebne podatke, temeljijo na subjektivnem dojemanju posameznikov in niso vedno preverljive. Zato se zahteva po točnosti ne bi smela nanašati na točnost izjave, ampak zgolj na dejstvo, da je bila določena izjava podana.

(31)

Z obdelavo osebnih podatkov na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja je neločljivo povezano dejstvo, da se obdelujejo osebni podatki v zvezi z različnimi kategorijami posameznikov, na katere se nanašajo osebni podatki. Zato bi bilo treba, kadar je to ustrezno in v največji možni meri, jasno razlikovati med osebnimi podatki različnih kategorij posameznikov, na katere se nanašajo osebni podatki, kot so osumljenci, osebe, obsojene za kaznivo dejanje, žrtve in druge osebe, kot so priče, osebe, ki imajo pomembne informacije ali stike, ter udeleženci pri kaznivem dejanju, povezani z osumljenci in obsojenimi storilci kaznivih dejanj. To ne bi smelo preprečevati uresničevanja pravice do domneve nedolžnosti, ki jo zagotavljata Listina in EKČP, kot ju razlaga sodna praksa Sodišča in Evropskega sodišča za človekove pravice.

(32)

Pristojni organi bi morali zagotoviti, da se osebni podatki, ki so netočni, nepopolni ali neposodobljeni, ne posredujejo ali dajo na voljo. Da bi zagotovili varstvo posameznikov, točnost, popolnost oziroma stopnjo posodobljenosti osebnih podatkov in zanesljivost osebnih podatkov, ki se posredujejo ali dajejo na voljo, bi morali pristojni organi v vsak prenos osebnih podatkov, kolikor je to mogoče, vključiti potrebne informacije.

(33)

Kadar se ta direktiva sklicuje na pravo države članice, pravno podlago ali zakonodajni ukrep, to, brez poseganja v ustavne zahteve zadevne države članice, ne pomeni nujno, da mora zakonodajni akt sprejeti parlament., Takšno pravo države članice, pravna podlaga ali zakonodajni ukrep pa bi morali biti za osebe, na katere se nanašajo, jasni in natančni, njihova uporaba pa predvidljiva, v skladu s sodno prakso Sodišča in Evropskega sodišča za človekove pravice. Pravo države članice, ki ureja obdelavo osebnih podatkov v okviru področja uporabe te direktive, bi moralo določiti vsaj cilje, osebne podatke, ki se obdelujejo, namene obdelave ter postopke za ohranjanje celovitosti in zaupnosti osebnih podatkov ter postopke za njihovo uničenje, s čimer se zagotovijo zadostna jamstva pred nevarnostjo zlorabe in samovoljnosti.

(34)

Obdelava osebnih podatkov s strani pristojnih organov za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, bi morala zajemati vsa dejanja ali niz dejanj, ki se za navedene namene izvajajo v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali kako drugače, kot so zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, iskanje, vpogled, uporaba, prilagajanje ali kombiniranje, omejevanje obdelave, izbris ali uničenje. Pravila iz te direktive bi bilo treba uporabljati zlasti za posredovanje osebnih podatkov za namene iz te direktive uporabnikom, za katere se ta direktiva ne uporablja. Za takega uporabnika bi morala šteti vsaka fizična ali pravna oseba, javni organ, agencija ali kateri koli drug organ, ki mu je pristojni organ zakonito razkril osebne podatke. V primerih, ko je pristojni organ osebne podatke prvotno zbral za katerega od namenov iz te direktive, bi bilo treba za obdelavo teh podatkov za namene, ki jih ne zajema ta direktiva, uporabiti Uredbo (EU) 2016/679, če je takšna obdelava dovoljena v pravu Unije ali države članice. Pravila iz Uredbe (EU) 2016/679 bi bilo treba uporabljati zlasti za posredovanje osebnih podatkov za namene, ki ne sodijo v področje uporabe te direktive. Za obdelavo osebnih podatkov s strani uporabnika, ki ni pristojni organ oziroma ne deluje kot pristojni organ v smislu te direktive in mu je pristojni organ osebne podatke zakonito razkril, bi bilo treba uporabljati Uredbo (EU) 2016/679. Države članice bi morale imeti možnost, da pri izvajanju te direktive še podrobneje določijo uporabo pravil iz Uredbe (EU) 2016/679 ob upoštevanju pogojev iz navedene uredbe.

(35)

Da bi bila obdelava osebnih podatkov v skladu s to direktivo zakonita, bi morala biti nujna za opravljanje naloge, ki jo pristojni organ izvaja v javnem interesu na podlagi prava Unije ali države članice za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem. Te dejavnosti bi morale zajemati zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki. Opravljanje nalog preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj je institucionalno preneseno na pristojne organe z zakonom, kar jim omogoča, da lahko od posameznikov zahtevajo ali jim odredijo da izvršijo dane zahteve. V takšnem primeru privolitev posameznika, na katerega se nanašajo osebni podatki, kot je določeno v Uredbi (EU) 2016/679, ne bi smela predstavljati pravne podlage za obdelavo osebnih podatkov s strani pristojnih organov. Kadar mora posameznik, na katerega se nanašajo osebni podatki, ravnati v skladu z zakonsko obvezo, ne more dejansko in svobodno izbirati, zato odziva tega posameznika ne bi smeli obravnavati kot prostovoljni izraz njegove volje. To državam članicam ne bi smelo preprečevati, da z zakonom določijo, da lahko posameznik, na katerega se nanašajo osebni podatki, izrazi soglasje za obdelavo svojih osebnih podatkov za namene te direktive, kot je test DNK v kazenskih preiskavah ali spremljanje njegove lokacije z elektronskimi zapestnicami pri izvrševanju kazenskih sankcij.

(36)

Države članice bi morale določiti, da v primeru, ko so v pravu Unije ali države članice za pristojni organ, ki posreduje podatke, določeni posebni pogoji za obdelavo osebnih podatkov v posebnih okoliščinah, na primer uporaba kode za ravnanje s podatki, bi moral pristojni organ, ki posreduje podatke, obvestiti uporabnika teh osebnih podatkov o takšnih pogojih in zahtevati, da jih upošteva. Ti pogoji bi lahko na primer obsegali prepoved posredovanja osebnih podatkov naprej ali prepoved njihove uporabe za druge namene kot so nameni, za katere so bili posredovani uporabniku, ali prepoved obvestitve posameznika, na katerega se podatki nanašajo, o omejitvi pravice do obveščenosti, brez predhodnega dovoljenja pristojnega organa, ki je podatke posredoval. Te obveznosti bi se morale uporabljati tudi za prenose pristojnega organa, ki posreduje podatke, uporabnikom v tretjih državah ali mednarodnih organizacijah. Države članice bi morale zagotoviti, da pristojni organ, ki je podatke posredoval, takšnih pogojev ne bo uporabljal za uporabnike v drugih državah članicah ali za agencije, urade in organe, ustanovljene v skladu s poglavji 4 in 5 naslova V PDEU, razen tistih, ki se uporabljajo za podobne prenose podatkov v državi članici tega pristojnega organa.

(37)

Posebno varstvo si zaslužijo osebni podatki, ki so po svoji naravi posebej občutljivi z vidika temeljnih pravic in svoboščin, saj bi okoliščine njihove obdelave lahko povzročile resno tveganje za temeljne pravice in svoboščine. Ti osebni podatki bi morali vključevati tudi osebne podatke, ki razkrivajo rasno ali etnično poreklo, pri čemer uporaba pojma „rasno poreklo“ v tej direktivi ne pomeni, da Unija priznava teorije, ki poskušajo dokazati obstoj različnih človeških ras. Takšnih osebnih podatkov ne bi smeli obdelovati, razen če je pri obdelavi z zakonom zagotovljena ustrezna zaščita pravic in svoboščin posameznika, na katerega se nanašajo osebni podatki, in je obdelava dovoljena v zakonsko določenih primerih; kadar to po zadevnem zakonu še ni dovoljeno in je obdelava potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe; ali če se obdelujejo podatki, ki jih je posameznik, na katerega se nanašajo, sam objavil. Ustrezna zaščita pravic in svoboščin posameznika, na katerega se osebni podatki nanašajo, bi lahko vključevala možnost, da se ti podatki zbirajo samo v povezavi z drugimi podatki v zvezi z zadevnim posameznikom, možnost da se zbrane podatke ustrezno zavaruje, strožja pravila o dostopu osebja pristojnega organa do podatkov in prepoved prenosa takšnih podatkov. Obdelava takšnih podatkov bi morala biti zakonsko dovoljena, kadar posameznik, na katerega se nanašajo osebni podatki, izrecno privoli v obdelavo, ki je zanj posebej intruzivna. Vendar pa soglasje posameznika, na katerega se nanašajo osebni podatki, samo po sebi ne bi smelo zagotavljati pravne podlage za obdelavo takšnih občutljivih osebnih podatkov s strani pristojnih organov.

(38)

Posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da zanj ne bi veljala odločitev o ocenjevanju osebnih vidikov v zvezi z njim, ki temelji zgolj na avtomatizirani obdelavi in ima škodljive pravne učinke v zvezi z njim ali znatno vpliva nanj. V vsakem primeru bi morali za tako obdelavo veljati ustrezni zaščitni ukrepi, vključno s konkretno seznanitvijo posameznika, na katerega se nanašajo osebni podatki, s pravico, da dobi osebno posredovanje, kar bi mu zlasti omogočilo, da izrazi svoje stališče ali dobi pojasnilo o odločitvi po takem ocenjevanju, ali pravico do izpodbijanja odločitve. Oblikovanje profilov, ki ima za posledico diskriminacijo posameznikov na podlagi osebnih podatkov, ki so po svoji naravi posebej občutljivi z vidika temeljnih pravic in svoboščin, bi moralo biti prepovedano pod pogoji, določenimi v členih 21 in 52 Listine.

(39)

Da bi lahko posameznik, na katerega se nanašajo osebni podatki, uresničeval svoje pravice, bi mu morale biti vse informacije lahko dostopne, tudi na spletni strani upravljavca, in bi morale biti z uporabo jasnega in preprostega jezika enostavno razumljive. Takšne informacije bi bilo treba prilagoditi potrebam ranljivih posameznikov, kot so otroci.

(40)

Da bi lahko posameznik, na katerega se nanašajo osebni podatki, lažje uresničeval svoje pravice na podlagi določb, sprejetih na podlagi te direktive, bi bilo treba določiti ureditve, tudi mehanizme, s katerimi lahko zahteva in, če je ustrezno, mu je zagotovljen, zlasti brezplačen dostop do osebnih podatkov ter popravek ali izbris osebnih podatkov in omejitev obdelave. Upravljavec bi moral biti zavezan, da na zahtevo posameznika, na katerega se nanašajo osebni podatki, odgovori brez nepotrebnega odlašanja, razen če upravljavec uporablja omejitve pravic posameznikov, na katere se nanašajo osebni podatki, v skladu s to direktivo. Če so poleg tega zahteve očitno neutemeljene ali pretirane, kot v primeru, ko posameznik, na katerega se nanašajo osebni podatki, nerazumno in neprestano zahteva informacije ali zlorabi svojo pravico do informacij, na primer z navajanjem napačnih ali zavajajočih informacij pri oddaji zahteve, bi moral upravljavec imeti možnost zaračunati razumno pristojbino ali pa zavrniti ukrepanje v zvezi s to zahtevo.

(41)

Kadar upravljavec zahteva predložitev dodatnih informacij, potrebnih za potrditev identitete posameznika, na katerega se nanašajo osebni podatki, bi bilo treba te informacije obdelati samo za ta poseben namen in se jih ne bi smelo shranjevati dlje, kot je potrebno za navedeni namen.

(42)

Posamezniku, na katerega se nanašajo osebni podatki, bi bilo treba zagotoviti najmanj naslednje informacije: identiteto upravljavca, obstoj dejanj obdelave, namen obdelave, pravica do vložitve pritožbe in obstoj pravice, da se od upravljavca zahtevajo dostop do in popravek ali izbris osebnih podatkov ali omejitev obdelave. Te informacije bi lahko bile zagotovljene na spletnem mestu pristojnega organa. Poleg tega bi bilo treba posameznika, na katerega se nanašajo osebni podatki, v posebnih primerih in zaradi uresničevanja njegovih pravic seznaniti s pravno podlago za obdelavo in tem, kako dolgo bodo podatki shranjeni, v kolikor so take dodatne informacije potrebne, ob upoštevanju posebnih okoliščin, v katerih se podatki obdelujejo, za zagotovitev poštene obdelave v odnosu do posameznika, na katerega se nanašajo osebni podatki.

(43)

Posameznik bi moral imeti pravico dostopa do podatkov, ki so bili zbrani v zvezi z njim, in do enostavnega uresničevanja te pravice v razumnih časovnih presledkih, da bi se seznanil z obdelavo in preveril njeno zakonitost. Zato bi moral imeti vsak posameznik, na katerega se nanašajo osebni podatki, pravico, da je seznanjen s sporočilom in da prejme sporočilo o namenih, za katere se obdelujejo podatki, v kakšnem obdobju se ti podatki obdelujejo in kdo so uporabniki podatkov, tudi v tretjih državah. Kadar takšna sporočila vsebujejo informacije o izvoru osebnih podatkov, te informacije ne bi smele razkriti identitete posameznikov, zlasti zaupnih virov. Da bi se ta pravica spoštovala, zadošča, da posameznik, na katerega se nanašajo osebni podatki, poseduje celoten povzetek teh podatkov v razumljivi obliki, to pomeni obliki, ki mu omogoča, da se zaveda obstoja teh podatkov ter da preveri, ali so podatki točni in se obdelujejo v skladu s to direktivo, da bi lahko uresničeval pravice, ki so mu podeljene s to direktivo. Ta povzetek je lahko v obliki kopije osebnih podatkov, ki se obdelujejo.

(44)

Državam članicam bi moralo biti omogočeno, da sprejmejo zakonodajne ukrepe za zadržanje, omejitev ali izpustitev informacij za posameznike, na katere se nanašajo osebni podatki, ali celotno ali delno omejitev dostopa do njihovih osebnih podatkov, v kolikor je tak ukrep ob upoštevanju temeljnih pravic in zakonitih interesov zadevnega posameznika v demokratični družbi nujen in sorazmeren ukrep za preprečitev oviranja uradnih ali drugih zakonitih preiskav, poizvedb ali postopkov ter vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, pa tudi zaščito javne varnosti ali varnosti države ali pravic in svoboščin drugih. Upravljavec bi moral na podlagi konkretne in posamične preučitve vsakega primera presoditi, ali bi bilo treba pravico do dostopa delno ali v celoti omejiti.

(45)

Posameznika, na katerega se nanašajo osebni podatki, bi bilo treba o morebitni zavrnitvi ali omejitvi dostopa načeloma pisno obvestiti, tudi o dejanskem stanju ali pravni podlagi, na katerih temelji odločitev.

(46)

Vsaka omejitev pravic posameznika, na katerega se nanašajo osebni podatki, mora biti skladna z Listino in EKČP, kot ju razlaga sodna praksa Sodišča in Evropskega sodišča za človekove pravice, zlasti glede vsebine teh pravic in svoboščin.

(47)

Posameznik bi moral imeti pravico do popravka netočnih osebnih podatkov, ki se nanašajo nanj, zlasti v zvezi z dejstvi, in pravico do izbrisa, kadar obdelava takih podatkov krši določbe iz te direktive. Vendar pravica do popravka ne bi smela vplivati na primer na vsebino izjave priče. Posameznik bi moral imeti tudi pravico do omejitve obdelave, kadar izpodbija točnost osebnih podatkov, pri čemer njihove točnosti ali netočnosti ni mogoče preveriti, ali kadar je treba osebne podatke ohraniti za namene dokazovanja. Namesto da se izbriše osebne podatke, bi bilo treba zlasti omejiti njihovo obdelavo, če v specifičnem primeru obstajajo utemeljeni razlogi za sum, da bi izbris lahko vplival na zakonite interese posameznika, na katerega se nanašajo osebni podatki. V takšnem primeru bi bilo treba omejene podatke obdelovati le za namen, ki je preprečil njihov izbris. Metode za omejitev obdelave osebnih podatkov bi lahko med drugim zajemale prenos izbranih podatkov v drug sistem za obdelavo, na primer za namene arhiviranja, ali onemogočenje dostopnosti izbranih podatkov. Pri avtomatiziranih zbirkah bi bilo treba omejitev obdelave načeloma zagotoviti s tehničnimi sredstvi. V zbirki bi moralo biti jasno navedeno dejstvo, da je obdelava osebnih podatkov omejena. O popravku ali izbrisu osebnih podatkov ali omejitvi obdelave bi bilo treba obvestiti uporabnike, ki so jim bili podatki razkriti, in pristojne organe, ki so netočne podatke posredovali. Upravljavci bi morali prav tako prenehati širiti te podatke.

(48)

Kadar upravljavec posamezniku, na katerega se nanašajo osebni podatki, zavrne pravico do informacij, dostopa, popravka ali izbrisa osebnih podatkov ali omejitve obdelave, bi moral imeti ta posameznik pravico, da od nacionalnega nadzornega organa zahteva pregled zakonitosti obdelave. Posameznika, na katerega se nanašajo osebni podatki, bi bilo treba o tej pravici obvestiti. Kadar nadzorni organ deluje v imenu posameznika, na katerega se nanašajo osebni podatki, bi moral nadzorni organ tega posameznika obvestiti vsaj o tem, da je opravil vsa potrebna preverjanja ali preglede. Nadzorni organ posameznika, na katerega se nanašajo osebni podatki, obvesti tudi o pravici do uporabe pravnega sredstva.

(49)

Kadar se osebni podatki obdelujejo med kazensko preiskavo in v sodnem kazenskem postopku, bi moralo biti državam članicam omogočeno, da zagotovijo, da se uresničevanje pravic do informacij, dostopa in popravka ali izbrisa osebnih podatkov in omejitve obdelave izvajajo v skladu z nacionalnimi predpisi o sodnih postopkih.

(50)

Uvesti bi bilo treba pristojnost in odgovornost upravljavca glede vsake obdelave osebnih podatkov, ki jo izvede upravljavec ali je izvedena v njegovem imenu. Upravljavec bi moral zlasti izvajati ustrezne in učinkovite ukrepe ter biti zmožen dokazati, da so dejavnosti obdelave v skladu s to direktivo. Pri takšnih ukrepih bi moral upoštevati naravo, obseg, okoliščine in namene obdelave ter tveganje za pravice in svoboščine posameznikov. Ukrepi, ki jih sprejme upravljavec, bi morali vključevati oblikovanje in izvajanje posebnih zaščitnih ukrepov v zvezi z ravnanjem z osebnimi podatki ranljivih posameznikov, kot so otroci.

(51)

Tveganja za posameznikove pravice in svoboščine, ki se razlikujejo po verjetnosti in resnosti, so lahko posledica obdelave podatkov, ki bi lahko povzročila fizično, premoženjsko ali nepremoženjsko škodo, zlasti kadar obdelava lahko privede do diskriminacije, kraje ali zlorabe identitete, finančne izgube, okrnitve ugleda, izgube zaupnosti podatkov, zaščitenih s poklicno skrivnostjo, neodobrene reverzije psevdonimizacije ali katere koli druge večje gospodarske ali socialne škode ali kadar bi bile posameznikom, na katere se nanašajo osebni podatki, lahko odvzete pravice in svoboščine ali možnost nadzora nad njihovimi osebnimi podatki; kadar se obdelujejo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politična stališča, veroizpoved ali filozofsko prepričanje ali članstvo v sindikatu, kadar se obdelujejo genetski ali biometrični podatki za edinstveno identifikacijo zadevnega posameznika ali kadar se obdelujejo podatki v zvezi z zdravjem ali podatki v zvezi s spolnim življenjem in spolno usmerjenostjo, kazenskimi obsodbami in prekrški ali s tem povezanimi varnostnimi ukrepi; kadar se vrednotijo osebni vidiki, zlasti analiziranje in predvidevanje vidikov, ki zadevajo uspešnost pri delu, ekonomski položaj, zdravje, osebni okus ali interese, zanesljivost ali vedenje, lokacijo ali gibanje, da bi se ustvarili ali uporabljali osebni profili; kadar se obdelujejo osebni podatki ranljivih posameznikov, zlasti otrok, ter kadar obdelava vključuje veliko število osebnih podatkov in zadeva veliko število posameznikov, na katere se nanašajo osebni podatki.

(52)

Verjetnost in resnost tveganja bi bilo treba ugotoviti glede na vrsto, obseg, okoliščine in namene obdelave. Tveganje bi bilo treba oceniti na podlagi objektivne ocene, s katero bi ugotovili, ali dejanja obdelave podatkov pomenijo veliko tveganje. Veliko tveganje pomeni znatno tveganje poseganja v pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

(53)

Zaradi varstva pravic in svoboščin posameznikov v zvezi z obdelavo osebnih podatkov je treba sprejeti primerne tehnične in organizacijske ukrepe, s čimer se zagotovi izpolnitev zahtev iz te direktive. Izvajanje takih ukrepov ne bi smelo biti odvisno zgolj od gospodarskih vidikov. Da bi upravljavec lahko dokazal skladnost s to direktivo, bi moral sprejeti notranje politike in izvesti ukrepe, ki spoštujejo zlasti načeli vgrajenega in privzetega varstva podatkov. Če je upravljavec izvedel oceno učinka v zvezi z varstvom podatkov v skladu s to direktivo, bi bilo treba rezultate te ocene upoštevati pri oblikovanju navedenih ukrepov in postopkov. Ti ukrepi bi med drugim lahko vključevali ukrep čim zgodnejše uporabe psevdonimizacije. Uporaba psevdonimizacije za namene te direktive bi lahko služila kot orodje, ki bi lahko olajšalo zlasti prost pretok osebnih podatkov znotraj območja svobode, varnosti in pravice.

(54)

Varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, pa tudi pristojnost in odgovornost upravljavcev in obdelovalcev, tudi v povezavi s spremljanjem in ukrepi nadzornih organov, zahtevajo jasno razdelitev odgovornosti iz te direktive, tudi kadar upravljavec namene in sredstva obdelave določi skupaj z drugimi upravljavci ali kadar je dejanje obdelave izvedeno v imenu upravljavca.

(55)

Obdelavo s strani obdelovalca bi moral urejati pravni akt, vključno s pogodbo, v kateri bi bile določene obveznosti obdelovalca do upravljavca, predvsem pa navedeno, da bi obdelovalec moral delovati samo po navodilih upravljavca. Obdelovalec bi moral upoštevati načelo vgrajenega in privzetega varstva podatkov.

(56)

Za dokaz skladnosti s to direktivo bi moral upravljavec ali obdelovalec hraniti evidence o vseh vrstah dejavnosti obdelave osebnih podatkov, za katere je odgovoren. Vsak upravljavec in obdelovalec bi moral sodelovati z nadzornim organom in mu na zahtevo omogočiti dostop do teh evidenc, ki jih ima na voljo, da bi se lahko uporabile za spremljanje teh dejanj obdelave. Upravljavec ali obdelovalec, ki obdeluje osebne podatke v neavtomatiziranih sistemih obdelave, bi moral vzpostaviti učinkovite metode za dokazovanje zakonitosti obdelave, notranje spremljanje ter zagotavljanje neoporečnosti in varnosti podatkov, kot so dnevniki ali druge oblike evidentiranja.

(57)

Dnevnike bi bilo treba hraniti vsaj za dejanja v avtomatiziranih sistemih obdelave, kot so zbiranje, predelava, vpogled, razkritje, vključno s prenosi, kombiniranje ali izbris. Identifikacija osebe, ki je vpogledala v osebne podatke ali jih razkrila, bi morala biti zabeležena v dnevniku, na podlagi tega pa bi moralo biti možno utemeljiti dejanja obdelave. Dnevnike bi bilo treba uporabljati zgolj za preverjanje zakonitosti obdelave, notranje spremljanje ter zagotavljanje neoporečnosti in varnosti podatkov in kazenskih postopkov. Notranje spremljanje vključuje tudi notranji disciplinski postopek pristojnih organov.

(58)

Upravljavec bi moral opraviti oceno učinka v zvezi z varstvom podatkov, če je verjetno, da bodo dejanja obdelave povzročila znatno tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zaradi svoje narave, obsega ali namena, kar bi zlasti moralo vključevati ukrepe, zaščitne ukrepe in mehanizme, predvidene za zagotavljanje varstva osebnih podatkov in dokazovanje skladnosti s to direktivo. Ocene učinka bi morale zajemati ustrezne sisteme in dejanja obdelave, ne pa tudi posameznih primerov.

(59)

Upravljavec ali obdelovalec bi se moral v nekaterih primerih pred obdelavo posvetovati z nadzornim organom, da bi bilo zagotovljeno učinkovito varstvo pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki.

(60)

Za ohranitev varnosti in preprečitev obdelave, ki bi pomenila kršitev te direktive, bi moral upravljavec ali obdelovalec oceniti tveganje, povezano z obdelavo, in izvesti ukrepe za ublažitev tega tveganja, na primer šifriranje. Takšni ukrepi bi morali zagotoviti ustrezno raven varnosti, vključno z zaupnostjo, in bi morali upoštevati najsodobnejše tehnologije, stroške izvajanja glede na tveganje in naravo osebnih podatkov, ki jih je treba varovati. Pri oceni tveganj v zvezi z varstvom podatkov bi bilo treba pozornost posvetiti tveganjem, ki jih pomeni obdelava podatkov, kot so nenamerno ali nezakonito uničenje, izguba, sprememba ali nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani, kar lahko zlasti povzroči fizično, premoženjsko ali nepremoženjsko škodo. Upravljavec in obdelovalec bi morala zagotoviti, da obdelave osebnih podatkov ne izvajajo nepooblaščene osebe.

(61)

Kršitev varstva osebnih podatkov lahko, če se ne obravnava ustrezno in pravočasno, zadevnim posameznikom povzroči fizično, premoženjsko ali nepremoženjsko škodo, kot so izguba nadzora nad njihovimi osebnimi podatki ali omejitev njihovih pravic, diskriminacija, kraja ali zloraba identitete, finančna izguba, neodobrena reverzija psevdonimizacije, okrnitev ugleda, izguba zaupnosti osebnih podatkov, zaščitenih s poklicno skrivnostjo, ali katera koli druga znatna gospodarska ali socialna škoda. Zato bi moral upravljavec, takoj, ko se seznani s kršitvijo varstva osebnih podatkov, o njej uradno obvestiti pristojni nadzorni organ brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, razen če lahko upravljavec v skladu z načelom odgovornosti dokaže, da ni verjetno, da bi kršitev varstva osebnih podatkov povzročila tveganje za pravice in svoboščine posameznikov. Kadar ni mogoče uradno obvestiti v 72 urah, bi bilo treba uradnemu obvestilu priložiti razloge za zamudo, informacije pa se lahko zagotovijo postopoma in brez dodatnega nepotrebnega odlašanja.

(62)

Posameznike bi bilo treba brez nepotrebnega odlašanja obvestiti, kadar bi kršitev varstva osebnih podatkov lahko povzročila znatno tveganje za pravice in svoboščine posameznikov, da bi se ti lahko ustrezno zavarovali. Obvestitev bi morala vsebovati opis narave kršitve varstva osebnih podatkov in vključevati priporočila za zadevnega posameznika v zvezi z ublažitvijo morebitnih škodljivih učinkov. Posamezniki, na katere se nanašajo osebni podatki, bi morali biti obveščeni, kakor hitro je to razumno mogoče, v tesnem sodelovanju z nadzornim organom in ob upoštevanju smernic nadzornega organa ali drugih ustreznih organov. Potreba po ublažitvi neposrednega tveganja nastanka škode bi na primer terjala takojšnjo obvestitev posameznikov, na katere se nanašajo osebni podatki, potreba po izvajanju ustreznih ukrepov zoper nadaljnje ali podobne kršitve varstva podatkov pa bi lahko upravičila daljši rok obvestitve. Kadar z odložitvijo ali omejitvijo obvestitve zadevnega posameznika o kršitvi varstva osebnih podatkov ni mogoče doseči preprečevanja oviranja uradnih ali zakonitih preiskav, poizvedb ali postopkov, izogibanja vplivu na preprečevanje, odkrivanje, preiskovanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, zaščite javne varnosti in varnosti države ali zaščite pravic in svoboščin drugih, se ta obvestitev v izjemnih okoliščinah lahko opusti.

(63)

Upravljavec bi moral določiti osebo, ki bi mu pomagala pri spremljanju notranje skladnosti s predpisi, sprejetimi na podlagi te direktive, razen če se država članica odloči, da izvzame sodišča in druge neodvisne pravosodne organe, kadar delujejo kot sodni organ. Ta oseba je lahko član obstoječega osebja upravljavca, ki se je udeležilo posebnega usposabljanja o zakonodaji in praksah s področja varstva podatkov z namenom pridobiti strokovno znanje na tem področju. Določiti bi bilo treba stopnjo potrebnega strokovnega znanja, zlasti glede na izvedeno obdelavo podatkov in varstvo, ki je potrebno pri osebnih podatkih, obdelanih s strani upravljavca. Ta oseba lahko svoje naloge opravlja v okviru krajšega ali polnega delovnega časa. Več upravljavcev lahko ob upoštevanju svoje organizacijske strukture in velikosti, na primer v primeru skupnih virov v centralnih enotah, skupaj imenuje pooblaščeno osebo za varstvo podatkov. Ta oseba je lahko prav tako imenovana na različne položaje v okviru strukture zadevnih upravljavcev. Upravljavcu in zaposlenim, ki obdelujejo osebne podatke, bi morala pomagati tako, da bi jih obveščala in jim svetovala o izpolnjevanju njihovih obveznosti v zvezi z varstvom podatkov. Takšnim pooblaščenim osebam za varstvo podatkov bi moralo biti omogočeno, da svoje dolžnosti in naloge opravljajo neodvisno in v skladu s pravom držav članic.

(64)

Države članice bi morale zagotoviti, da se prenos v tretjo državo ali mednarodno organizacijo izvede samo, če je potreben za preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ter če je upravljavec v tretji državi ali mednarodni organizaciji organ, pristojen v smislu te direktive. Prenos bi smeli izvesti le pristojni organi, ki delujejo kot upravljavci, razen ko je obdelovalcem izrecno naročen prenos v imenu upravljavcev. Tak prenos se lahko izvede v primerih, v katerih je Komisija sklenila, da zadevna tretja država ali mednarodna organizacija zagotavlja ustrezno raven varstva, po zagotovitvi ustreznih zaščitnih ukrepov ali v posebnih primerih, v katerih se uporabljajo odstopanja. Kadar se osebni podatki prenašajo iz Unije upravljavcem, obdelovalcem ali drugim uporabnikom v tretjih državah ali mednarodnim organizacijam, raven varstva posameznikov, ki jo v Uniji zagotavlja ta direktiva, ne bi smela biti ogrožena, vključno v primeru nadaljnjih prenosov osebnih podatkov iz tretje države ali mednarodne organizacije upravljavcem ali obdelovalcem v isti ali drugi tretji državi ali mednarodni organizaciji.

(65)

Kadar se osebni podatki posredujejo iz države članice v tretje države ali mednarodne organizacije, bi moral biti tak prenos načeloma možen šele po pridobitvi soglasja države članice, ki je posredovala podatke. Kadar so javna varnost v državi članici ali tretji državi oziroma osnovni interesi države članice tako neposredno ogroženi, da predhodnega soglasja ni mogoče pravočasno pridobiti, bi pristojni organ zaradi učinkovitega sodelovanja na področju preprečevanja, odkrivanja in preiskovanja kaznivih dejanj moral imeti možnost, da zadevni tretji državi ali mednarodni organizaciji posreduje ustrezne osebne podatke brez takšnega predhodnega soglasja. Države članice bi morale določiti, da so tretje države ali mednarodne organizacije obveščene o vseh specifičnih okoliščinah prenosa. Za nadaljnje prenose osebnih podatkov bi moral dati predhodno soglasje pristojni organ, ki je izvedel prvotni prenos. Pri odločanju o zahtevi za soglasje z nadaljnjim prenosom bi moral pristojni organ, ki je izvedel prvotni prenos, ustrezno upoštevati vse bistvene dejavnike, vključno z resnostjo kaznivega dejanja, posebnimi okoliščinami in namenom, za katerega so bili podatki prvotno preneseni, naravo in pogoji izvrševanja kazenske sankcije ter ravnjo varstva osebnih podatkov v tretji državi ali mednarodni organizaciji, v katero so osebni podatki preneseni v okviru nadaljnjega prenosa. Pristojni organ, ki je izvedel prvotni prenos, bi moral imeti možnost, da posebne pogoje predpiše tudi za nadaljnji prenos. Take posebne pogoje je mogoče opisati na primer v kodeksih ravnanja s podatki.

(66)

Komisija bi morala imeti možnost, da sklene – z učinkom za celotno Unijo –, da nekatere tretje države ali ozemlja ali eden ali več določenih sektorjev v tretji državi ali mednarodna organizacija nudi ustrezno raven varstva podatkov, s čimer zagotavlja pravno varnost in enotnost po vsej Uniji v zvezi s tretjimi državami ali mednarodnimi organizacijami, za katere velja, da zagotavljajo takšno raven varstva. V takšnih primerih bi moralo biti možno, da se prenosi osebnih podatkov v te države opravijo brez posebnega soglasja, razen če mora druga država članica, ki je posredovala podatke, podati svoje soglasje za prenos.

(67)

Komisija bi morala v skladu s temeljnimi vrednotami, na katerih temelji Unija, zlasti z varstvom človekovih pravic, v svoji oceni tretje države ali ozemlja ali določenega sektorja v tretji državi upoštevati, v kolikšni meri posamezna tretja država spoštuje načelo pravne države, dostop do pravnega varstva, pa tudi mednarodna pravila in standarde na področju človekovih pravic ter svojo splošno in področno zakonodajo, med drugim zakonodajo na področju javne varnosti, obrambe, varnosti države ter javnega reda in kazenskega prava. Pri sprejetju sklepa o ustreznosti glede ozemlja ali določenega sektorja v tretji državi bi bilo treba upoštevati jasna in objektivna merila, kot so posebne dejavnosti obdelave ter področje uporabe veljavnih pravnih standardov in veljavne zakonodaje v tretji državi. Tretja država bi morala nuditi jamstva, ki zagotavljajo ustrezno raven varstva, ki je v osnovi enakovredna tisti, zagotovljeni v Uniji, zlasti kadar se osebni podatki obdelujejo v enem ali več določenih sektorjih. Zlasti bi morala tretja država zagotavljati učinkovit in neodvisen nadzor varstva podatkov ter mehanizme sodelovanja z organi za varstvo podatkov držav članic, posamezniki, na katere se nanašajo osebni podatki, pa bi morali imeti učinkovite in izvršljive pravice ter dostop do učinkovitega upravnega in sodnega varstva.

(68)

Poleg mednarodnih zavez, ki jih sprejme tretja država ali mednarodna organizacija, bi morala Komisija upoštevati tudi obveznosti, ki izhajajo iz sodelovanja tretje države ali mednarodne organizacije pri večstranskih ali regionalnih sistemih, zlasti v povezavi z varstvom osebnih podatkov, ter izvajanje takih obveznosti. Upoštevati bi bilo treba zlasti pristop tretje države h Konvenciji Sveta Evrope z dne 28. januarja 1981 o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov in Dodatnemu protokolu h Konvenciji. Pri oceni ravni varstva v tretjih državah ali mednarodnih organizacijah bi se Komisija morala posvetovati z Evropskim odborom za varstvo podatkov, ustanovljenim z Uredbo (EU) 2016/679 (v nadaljnjem besedilu: odbor). Komisija bi morala upoštevati tudi vse relevantne sklepe Komisije o ustreznosti, sprejete v skladu s členom 45 Uredbe (EU) 2016/679.

(69)

Komisija bi morala spremljati izvajanje sklepov v zvezi z ravnjo varstva v tretji državi, na ozemlju ali v določenem sektorju v tretji državi ali v mednarodni organizaciji. V svojih sklepih o ustreznosti bi morala Komisija zagotoviti mehanizem za redno pregledovanje njihovega izvajanja. Te redne preglede bi bilo treba izvajati v posvetovanju z zadevno tretjo državo ali mednarodno organizacijo ter bi morali upoštevati vsa ustrezna dogajanja v tretji državi ali mednarodni organizaciji.

(70)

Komisija bi morala biti tudi zmožna ugotoviti, da tretja država, ozemlje ali določeni sektor v tretji državi ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva podatkov. Posledično bi bilo treba prenos osebnih podatkov v to tretjo državo ali mednarodno organizacijo prepovedati, razen če so izpolnjene zahteve iz te direktive o prenosih podatkov v skladu s ustreznimi zaščitnimi ukrepi in odstopanji za posebne primere. Določiti bi bilo treba postopke za posvetovanje med Komisijo in takimi tretjimi državami ali mednarodnimi organizacijami. Komisija bi morala tretjo državo ali mednarodno organizacijo pravočasno obvestiti o zadevnih razlogih in z njo začeti posvetovanja za izboljšanje stanja.

(71)

Prenosi, ki ne temeljijo na takem sklepu o ustreznosti, bi morali biti dovoljeni samo, če so bili v pravno zavezujočem instrumentu določeni ustrezni zaščitni ukrepi, ki zagotavljajo varstvo osebnih podatkov, ali če je upravljavec ocenil vse okoliščine pri prenosu podatkov in na podlagi te ocene meni, da obstajajo ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov. Takšni pravno zavezujoči instrumenti bi na primer lahko bili pravno zavezujoči dvostranski sporazumi, ki so jih sklenile države članice in se izvajajo v okviru njihovega pravnega reda ter bi jih lahko uveljavljali posamezniki, na katere se nanašajo osebni podatki, iz zadevnih držav in ki zagotavljajo skladnost z zahtevami glede varstva podatkov in pravicami posameznikov, na katere se nanašajo osebni podatki, tudi pravico do učinkovitega upravnega ali sodnega varstva. Upravljavec bi moral imeti možnost upoštevati sporazume o sodelovanju, ki so jih sklenili Europol ali Eurojust in tretje države ter omogočajo izmenjavo osebnih podatkov pri ocenjevanju vseh okoliščin pri prenosu podatkov. Prav tako bi moral imeti možnost upoštevati dejstvo, da bodo za prenos osebnih podatkov veljale obveznosti glede zaupnosti in načelo specifičnosti, ki zagotavljajo, da se podatki ne obdelujejo za druge namene kot za namen prenosa. Poleg tega pa bi moral tudi upoštevati, da se osebni podatki ne bodo uporabljali pri pozivu k smrtni kazni, njenemu izreku in njeni uresničitvi ali kakršni koli obliki krutega in nečloveškega ravnanja. Čeprav bi se ti pogoji lahko šteli za ustrezne zaščitne ukrepe za prenos podatkov, bi upravljavec moral imeti možnost zahtevati dodatne zaščitne ukrepe.

(72)

V primerih, ko ni sklepa o ustreznosti ali ustreznih zaščitnih ukrepov, bi se prenos ali skupina prenosov lahko izvedla le v specifičnih okoliščinah, če je to potrebno za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe ali zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki, kadar je to določeno v pravu države članice, ki prenaša osebne podatke, za preprečevanje neposredne in resne ogroženosti javne varnosti države članice ali tretje države, v posameznem primeru za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, vključno z varovanjem pred grožnjami javni varnosti in njihovim preprečevanjem, ali v posameznem primeru zaradi uveljavitve, izvajanja ali obrambe pravnih zahtevkov. Ta odstopanja bi bilo treba razlagati restriktivno in ne bi smela omogočati pogostih, množičnih in strukturnih prenosov osebnih podatkov, niti obsežnih prenosov podatkov, ampak bi morala biti omejena na podatke, ki so nujno potrebni. Take prenose bi bilo treba dokumentirati ter jih na zahtevo dati na voljo nadzornemu organu, da bi lahko spremljal zakonitost prenosa.

(73)

Pristojni organi držav članic uporabljajo veljavne dvo- ali večstranske mednarodne sporazume, sklenjene s tretjimi državami, na področjih pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja, in sicer za izmenjavo ustreznih informacij, ki jim omogočajo izvajanje njihovih zakonsko dodeljenih nalog. To načeloma poteka prek organov, ki so za namene te Direktive pristojni v zadevnih tretjih državah ali vsaj v sodelovanju z njim, včasih tudi v primeru neobstoja dvo- ali večstranskega mednarodnega sporazuma. Vendar je lahko v specifičnih posameznih primerih redni postopek, v okviru katerih se zahteva vzpostavitev stika s takšnim organom v tretji državi, neučinkovit ali neprimeren, zlasti ker prenosa ne bi bilo mogoče opraviti pravočasno ali ker navedeni organ v tretji državi ne spoštuje načela pravne države ali mednarodnih pravil in standardov na področju človekovih pravic, tako da bi se pristojni organi držav članic lahko odločili, da osebne podatke prenesejo neposredno uporabnikom s sedežem v teh tretjih državah. To se lahko zgodi, kadar je nujno posredovati osebne podatke, da bi rešili življenje osebi, ki je v nevarnosti, da postane žrtev kaznivega dejanja, ali zaradi preprečitve neposredne storitve kaznivega dejanja, vključno s terorizmom. Čeprav bi ta prenos med pristojnimi organi ter uporabniki s sedežem v tretjih državah moral potekati le v specifičnih posameznih primerih, bi v tej direktivi morali zagotoviti pogoje za urejanje takih primerov. Te določbe ne smejo šteti za odstopanja od obstoječih dvo- ali večstranskih mednarodnih sporazumov na področjih pravosodnega sodelovanja v pri kazenskih zadevah in policijskega sodelovanja. Ti predpisi bi se morali uporabljati poleg drugih predpisov iz te direktive, zlasti predpisov o zakonitosti obdelave in predpisov iz Poglavja V.

(74)

Pri čezmejnem prenosu osebnih podatkov se lahko poveča tveganje v zvezi z zmožnostjo posameznikov pri uresničevanju pravic do varstva podatkov, da se zaščitijo pred nezakonito uporabo ali razkritjem navedenih podatkov. Hkrati lahko nadzorni organi ugotovijo, da ne morejo obravnavati pritožb ali izvesti preiskav v zvezi z dejavnostmi zunaj svojih meja. Tudi nezadostna pooblastila za preprečevanje kršitev ali njihovo odpravo in neskladne pravne ureditve lahko ovirajo njihova prizadevanja za čezmejno sodelovanje. Zato je treba spodbujati tesnejše sodelovanje med nadzornimi organi za varstvo podatkov zaradi zagotavljanja pomoči pri izmenjavi informacij s tujimi nadzornimi organi za varstvo podatkov.

(75)

Ustanovitev nadzornih organov v državah članicah, ki so zmožni opravljati svoje naloge popolnoma neodvisno, je bistveni del varstva posameznikov pri obdelavi njihovih osebnih podatkov. Nadzorni organi bi morali spremljati uporabo predpisov, sprejetih na podlagi te direktive in bi morali prispevati k njihovi dosledni uporabi v Uniji zaradi zaščite posameznikov v zvezi z obdelavo njihovih osebnih podatkov. V ta namen je potrebno medsebojno sodelovanje nadzornih organov in njihovo sodelovanje s Komisijo.

(76)

Države članice lahko nadzornemu organu, že ustanovljenemu na podlagi Uredbe (EU) 2016/679, podelijo pristojnost za naloge, ki jih izvajajo nacionalni nadzorni organi, ustanovljeni na podlagi te direktive.

(77)

Države članice bi morale imeti možnost, da v skladu s svojo ustavno, organizacijsko in upravno strukturo ustanovijo več kot en nadzorni organ. Vsak nadzorni organ bi moral imeti finančne in človeške vire, prostore in infrastrukturo, ki jih potrebuje za učinkovito opravljanje svojih nalog, tudi tistih, ki se nanašajo na medsebojno pomoč in sodelovanje z drugimi nadzornimi organi v Uniji. Vsak nadzorni organ bi moral imeti ločen, javni letni proračun, ki je lahko del splošnega državnega ali nacionalnega proračuna.

(78)

Finančni odhodki nadzornih organov bi morali biti predmet neodvisnih nadzornih ali spremljevalnih mehanizmov, pod pogojem, da tak finančni nadzor ne vpliva na neodvisnost teh nadzornih organov.

(79)

Splošni pogoji za člana ali člane nadzornega organa bi morali biti določeni s pravom države članice in bi morali zlasti določati, da te člane imenuje bodisi parlament bodisi vlada ali voditelj zadevne države članice na podlagi predloga vlade ali člana vlade ali parlamenta ali njegovega dela ali pa neodvisen organ, ki je v skladu s pravom države članice in po preglednem postopku pooblaščen za imenovanja. Da bi zagotovili neodvisnost nadzornega organa, bi moral član ali člani delovati neoporečno, se vzdržati vsakega delovanja, ki ni združljivo z njihovimi nalogami, in se v času svojega mandata ne ukvarjati z nobenim nezdružljivim delom, bodisi profitnim bodisi neprofitnim. Da bi zagotovili neodvisnost nadzornega organa, bi moral nadzorni organ izbrati osebje, kar lahko vključuje posredovanje neodvisnega organa, pooblaščenega v skladu s pravom države članice.

(80)

Čeprav se ta direktiva uporablja tudi za dejavnosti nacionalnih sodišč in drugih pravosodnih organov, pa pristojnost nadzornih organov ne bi smela obsegati obdelave osebnih podatkov, kadar sodišča delujejo kot sodni organ, da se zaščiti neodvisnost sodnikov pri opravljanju njihovih sodnih nalog. Ta izjema bi morala biti omejena na sodna opravila v sodnih postopkih in se ne bi smela uporabljati za druge dejavnosti, v katere bi lahko bili vključeni sodniki v skladu s pravom države članice. Države članice bi morale imeti možnost določiti, da nadzorni organ ni pristojen za obdelavo osebnih podatkov drugih neodvisnih pravosodnih organov, kadar delujejo kot sodni organ, na primer urada državnega tožilca. V vsakem primeru bi se moral nad upoštevanjem pravil iz te direktive s strani sodišč in drugih neodvisnih pravosodnih organov vedno opravljati neodvisen nadzor v skladu s členom 8(3) Listine.

(81)

Vsak nadzorni organ bi moral obravnavati pritožbe, ki jih vloži kateri koli posameznik, na katerega se nanašajo osebni podatki, in preiskati zadevo ali jo predložiti pristojnemu nadzornemu organu. Preiskavo na podlagi pritožbe, ki je lahko predmet sodne presoje, bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen. Nadzorni organ bi moral posameznika, na katerega se nanašajo osebni podatki, v primernem roku obvestiti o stanju zadeve in odločitvi o pritožbi. Če mora nadzorni organ zadevo podrobneje preiskati ali se uskladiti z drugim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo osebni podatki, posredovati informacije o stanju zadeve med postopkom.

(82)

Da bi zagotovili učinkovito, zanesljivo in dosledno spremljanje skladnosti s to direktivo in njeno uveljavljanje v vsej Uniji v skladu s PDEU, kot jo razlaga Sodišče, bi morali imeti nadzorni organi v vsaki državi članici enake naloge in učinkovita pooblastila, vključno s pooblastili za preiskovanje, pooblastili za sprejemanje popravljalnih ukrepov in svetovalnimi pooblastili, ki pomenijo potrebna sredstva za opravljanje njihovih nalog. Vendar pa njihova pooblastila ne bi smela posegati v posebna pravila za kazenske postopke, vključno s preiskovanjem in pregonom kaznivih dejanj, ali v neodvisnost sodstva. Brez poseganja v pooblastila organov pregona, ki jih imajo v skladu s pravom države članice, bi morali biti nadzorni organi pooblaščeni tudi za obveščanje pravosodnih organov o kršitvah te direktive ali sodelovanje v sodnih postopkih. Pooblastila nadzornih organov bi bilo treba izvajati nepristransko, pravično in v razumnem roku v skladu z ustreznimi postopkovnimi zaščitnimi ukrepi, določenimi s pravom Unije in države članice. Zlasti bi morali biti vsi ukrepi ustrezni, nujni in sorazmerni, da bi zagotovili skladnost s to direktivo, pri čemer bi bilo treba upoštevati okoliščine vsakega posameznega primera, spoštovati pravico vsake osebe, da pred sprejetjem posameznega ukrepa, ki bi lahko imel negativne posledice za zadevno osebo, izrazi svoje mnenje, ter preprečiti nepotrebne stroške in pretirane nevšečnosti za zadevno osebo. Preiskovalna pooblastila glede dostopa v prostore bi bilo treba izvajati v skladu s posebnimi zahtevami prava države članice, kot je na primer zahteva glede predhodne sodne odobritve. Za vsako sprejetje pravno zavezujoče odločitve bi bilo treba v državi članici nadzornega organa, ki jo je sprejel, opraviti sodno presojo.

(83)

Nadzorni organi bi si morali medsebojno pomagati pri opravljanju svojih nalog in zagotoviti medsebojno pomoč, da se zagotovita dosledna uporaba in izvajanje predpisov, sprejetih na podlagi te direktive.

(84)

Odbor bi moral prispevati k dosledni uporabi te direktive v vsej Uniji, vključno s svetovanjem Komisiji in spodbujanjem sodelovanja nadzornih organov v vsej Uniji.

(85)

Vsak posameznik, na katerega se nanašajo osebni podatki, bi moral imeti pravico, da vloži pritožbo pri enem nadzornem organu in pravico do učinkovitega pravnega sredstva v skladu s členom 47 Listine, kadar meni, da so kršene njegove pravice iz predpisov, sprejetih na podlagi te direktive, ali kadar nadzorni organ ne obravnava pritožbe, jo deloma ali v celoti zavrže ali zavrne ali ne ukrepa, kadar je tak ukrep potreben za zaščito pravic posameznika, na katerega se nanašajo osebni podatki. Preiskavo na podlagi pritožbe, ki je lahko predmet sodne presoje, bi bilo treba izvesti v obsegu, ki je v posamezni zadevi ustrezen. Pristojni nadzorni organ bi moral posameznika, na katerega se nanašajo osebni podatki, v primernem roku obvestiti o stanju zadeve in odločitvi o pritožbi. Če mora nadzorni organ zadevo podrobneje preučiti ali se uskladiti z drugim nadzornim organom, bi bilo treba posamezniku, na katerega se nanašajo osebni podatki, posredovati informacije o stanju zadeve med postopkom. Za poenostavitev postopka vložitve pritožbe bi moral vsak nadzorni organ sprejeti ukrepe, na primer za zagotovitev obrazca za vložitev pritožbe, ki se lahko izpolni tudi elektronsko, pri čemer niso izključena druga komunikacijska sredstva.

(86)

Vsaka fizična ali pravna oseba bi morala imeti pravico do učinkovitega pravnega sredstva pred pristojnim nacionalnim sodiščem zoper odločitev nadzornega organa, ki ima pravne učinke za to osebo. Taka odločitev se nanaša zlasti na izvajanje preiskovalnih pooblastil nadzornega organa, njegovih pooblastil za sprejemanje popravljalnih ukrepov in pooblastil v zvezi z odobritvami ali na zavržene ali zavrnjene pritožbe. Vendar pa ta pravica ne zajema drugih ukrepov nadzornih organov, ki niso pravno zavezujoči, kot so mnenja, ki jih izdajo nadzorni organi, ali njihovi nasveti. Za postopke zoper nadzorni organ bi morala biti pristojna sodišča države članice, v kateri ima nadzorni organ sedež, izvajati pa bi jih bilo treba v skladu s pravom države članice. Ta sodišča bi morala izvajati polno pristojnost, ki bi morala vključevati pristojnost za preučitev vseh vprašanj, ki se nanašajo na dejstva in zakonodajo v zvezi z zadevnim sporom.

(87)

Če posameznik, na katerega se nanašajo osebni podatki, meni, da so bile kršene njegove pravice iz te direktive, bi moral imeti pravico, da pooblasti organ, katerega cilj je zaščititi pravice in interese posameznikov, na katere se nanašajo osebni podatki, v zvezi z varstvom njihovih osebnih podatkov in ki je ustanovljen v skladu s pravom države članice, da v njegovem imenu vloži pritožbo pri nadzornem organu in uresničuje pravico do pravnega sredstva. Pravica posameznika, na katerega se nanašajo osebni podatki, do zastopnika ne bi smela posegati v postopkovno pravo države članice, v katerem je lahko določeno, da morajo posameznike, na katere se nanašajo osebni podatki, pred nacionalnimi sodišči obvezno zastopati odvetniki, kot je opredeljeno v Direktivi Sveta 77/249/EGS (10).

(88)

Vso škodo, ki jo oseba lahko utrpi zaradi obdelave, ki je posledica kršitve predpisa, sprejetega na podlagi te direktive, bi moral povrniti upravljavec ali kateri koli drug organ, pristojen na podlagi prava države članice. Pojem škode bi bilo treba razlagati široko, ob upoštevanju sodne prakse Sodišča, in sicer na način, ki v celoti odraža cilje te direktive. To ne posega v morebitne odškodninske zahtevke na podlagi kršitev drugih pravil prava Unije ali države članice. Sklicevanje na obdelavo, ki je nezakonita ali krši predpis, sprejet na podlagi te direktive, zajema tudi obdelavo, ki krši izvedbene akte, sprejete na podlagi te direktive. Posamezniki, na katere se nanašajo osebni podatki, bi morali prejeti celotno in učinkovito odškodnino za škodo, ki so jo utrpeli.

(89)

Predvideti bi bilo treba kazni za vsako fizično ali pravno osebo, za katero velja zasebno ali javno pravo, ki krši to direktivo. Države članice bi morale zagotoviti, da so kazni učinkovite, sorazmerne in odvračilne, ter sprejeti vse ukrepe za njihovo izvršitev.

(90)

Za zagotovitev enotnih pogojev izvajanja te direktive bi bilo treba na Komisijo prenesti izvedbena pooblastila glede ustrezne ravni varstva, ki ga zagotovi tretja država, ozemlje ali določeni sektor za obdelavo v tej tretji državi ali mednarodna organizacija ter glede oblike in postopkov za medsebojno pomoč ter ureditev za elektronsko izmenjavo informacij med nadzornimi organi, pa tudi med nadzornimi organi in odborom. Ta pooblastila bi bilo treba izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta (11).

(91)

Za sprejetje izvedbenih aktov o ustrezni ravni varstva, ki ga zagotovi tretja država, ozemlje ali določeni sektor za obdelavo v tej tretji državi ali mednarodna organizacija, o obliki in postopkih za medsebojno pomoč ter ureditvah za elektronsko izmenjavo informacij med nadzornimi organi, pa tudi med nadzornimi organi in odborom, bi bilo treba uporabiti postopek pregleda, ker so ti akti splošni.

(92)

Komisija bi morala sprejeti izvedbene akte, ki se začnejo uporabljati takoj, kadar je to potrebno iz izredno nujnih razlogov v ustrezno utemeljenih primerih, ko tretja država, ozemlje ali določeni sektor za obdelavo v tej tretji državi ali mednarodna organizacija ne bi več zagotavljala ustrezne ravni varstva.

(93)

Ker ciljev te direktive,in sicer zaščititi temeljne pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, in zlasti njihove pravice do varstva osebnih podatkov ter zagotoviti svobodne izmenjave osebnih podatkov s strani pristojnih organov v Uniji, države članice ne morejo zadovoljivo doseči, temveč se zaradi obsega ali učinkov ukrepov lažje dosežejo na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 PEU. V skladu z načelom sorazmernosti iz navedenega člena ta direktiva ne presega tistega, kar je potrebno za doseganje navedenih ciljev

(94)

Posebni predpisi iz aktov Unije, ki so bili pred sprejetjem te direktive sprejeti na področju pravosodnega sodelovanja v kazenskih zadevah in policijskega sodelovanja in urejajo obdelavo osebnih podatkov med državami članicami oziroma dostop določenih organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi Pogodb, bi morali ostati nespremenjeni, kot so na primer posebni predpisi o varstvu osebnih podatkov, ki se uporabljajo v skladu s Sklepom Sveta 2008/615/PNZ (12), ali člen 23 Konvencije o medsebojni pravni pomoči v kazenskih zadevah med državami članicami Evropske unije (13). Ker člen 8 Listine in člen 16 PDEU določata, da bi morala biti temeljna pravica do varstva osebnih podatkov v vsej Uniji zagotovljena na dosleden način, bi morala Komisija presoditi, v kakšnem razmerju so ta direktiva in akti, ki so bili sprejeti pred sprejetjem te direktive in urejajo obdelavo osebnih podatkov v državah članicah oziroma dostop določenih organov držav članic do informacijskih sistemov, vzpostavljenih na podlagi Pogodb, da se oceni potreba po prilagoditvi teh posebnih določb tej direktivi. Kadar je to ustrezno, bi morala Komisija pripraviti predloge z namenom zagotovitve doslednih pravnih predpisov v zvezi z obdelavo osebnih podatkov.

(95)

Da bi zagotovili celovito in dosledno varstvo osebnih podatkov v Uniji, bi morali mednarodni sporazumi, ki so jih države članice sklenile pred dnem začetka veljavnosti te direktive in ki so skladni z ustreznim pravom Unije, ki je veljalo pred navedenim dnem, ostati v veljavi, dokler ne bodo spremenjeni, nadomeščeni ali razveljavljeni.

(96)

Državam članicam bi bilo treba dovoliti, da to direktivo prenesejo v največ dveh letih od dneva začetka njene veljavnosti. Obdelavo, ki se že izvaja na navedeni dan, bi bilo treba uskladiti s to direktivo v roku dveh let po začetku veljavnosti te direktive. Kadar pa je takšna obdelava v skladu s pravom Unije, veljavnim pred dnevom začetka veljavnosti te direktive, se zahteve te direktive glede predhodnega posvetovanja z nadzornim organom ne bi smele uporabljati za dejanja obdelave, ki so se začela že pred tem dnevom, saj je treba te zahteve glede na njihovo naravo izpolniti pred obdelavo. Kadar države članice uporabijo daljše obdobje za izvajanje, ki se izteče sedem let po dnevu začetka veljavnosti te direktive, za uskladitev z obveznostmi vodenja dnevnikov za avtomatizirane sisteme obdelave, vzpostavljene pred tem dnevom, bi moral upravljavec ali obdelovalec vzpostaviti učinkovite metode za dokazovanje zakonitosti obdelave podatkov, notranje spremljanje ter zagotavljanje neoporečnosti in varnosti podatkov, kot so dnevniki ali druge oblike evidentiranja.

(97)

Ta direktiva ne posega v pravila o boju proti spolni zlorabi in spolnemu izkoriščanju otrok ter otroški pornografiji, kot so določena v Direktivi 2011/93/EU Evropskega parlamenta in Sveta (14).

(98)

Okvirni sklep 2008/977/PNZ bi bilo zato treba razveljaviti.

(99)

V skladu s členom 6a Protokola št. 21 o stališču Združenega kraljestva in Irske v zvezi z območjem svobode, varnosti in pravice, ki je priložen k PEU in k PDEU, pravila iz te direktive, ki se nanašajo na obdelavo osebnih podatkov s strani držav članic, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU, ne zavezujejo Združenega kraljestva in Irske, če ju ne zavezujejo pravila, ki urejajo oblike pravosodnega sodelovanja v kazenskih zadevah ali policijskega sodelovanja, v okviru katerih je treba upoštevati določbe predpisov, sprejetih na podlagi člena 16 PDEU.

(100)

V skladu s členoma 2 in 2a Protokola št. 22 o stališču Danske, ki je priložen PEU in PDEU, Danske ne zavezujejo in se zanjo ne uporabljajo pravila, ki so določena v tej direktivi in se nanašajo na obdelavo osebnih podatkov s strani držav članic, kadar izvajajo dejavnosti, ki spadajo na področje uporabe poglavja 4 ali poglavja 5 naslova V tretjega dela PDEU. Ker ta direktiva nadgrajuje schengenski pravni red na podlagi naslova V tretjega dela PDEU, se Danska v skladu s členom 4 navedenega protokola šestih mesecih po sprejetju te direktive odloči, ali jo bo prenesla v svoje nacionalno pravo.

(101)

Ta direktiva za Islandijo in Norveško predstavlja razvoj določb schengenskega pravnega reda v smislu Sporazuma, sklenjenega med Svetom Evropske unije ter Republiko Islandijo in Kraljevino Norveško, o pridružitvi teh dveh držav k izvajanju, uporabi in razvoju schengenskega pravnega reda (15).

(102)

Ta direktiva za Švico predstavlja razvoj določb schengenskega pravnega reda v smislu Sporazuma med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda (16).

(103)

Ta direktiva za Lihtenštajn predstavlja razvoj določb schengenskega pravnega reda v smislu Protokola med Evropsko unijo, Evropsko skupnostjo, Švicarsko konfederacijo in Kneževino Lihtenštajn o pristopu Kneževine Lihtenštajn k Sporazumu med Evropsko unijo, Evropsko skupnostjo in Švicarsko konfederacijo o pridružitvi Švicarske konfederacije k izvajanju, uporabi in razvoju schengenskega pravnega reda (17).

(104)

Ta direktiva spoštuje temeljne pravice in upošteva načela, ki jih priznava Listina, kakor so vsebovani v PDEU, zlasti pravico do spoštovanja zasebnega in družinskega življenja, pravico do varstva osebnih podatkov, pravico do učinkovitega pravnega sredstva in do nepristranskega sojenja. Omejitve teh pravic so v skladu s členom 52(1) Listine, ker so potrebne za izpolnjevanje ciljev splošnega interesa, ki jih priznava Unija, ali zadovoljevanje potrebe po zaščiti pravic in svoboščin drugih.

(105)

V skladu s Skupno politično izjavo z dne 28. septembra 2011 držav članic in Komisije o obrazložitvenih dokumentih so države članice zavezujejo, da bodo v upravičenih primerih obvestilu o ukrepih za prenos priložile en ali več dokumentov, v katerih se pojasni razmerje med sestavnimi elementi direktive in ustrezajočimi deli nacionalnih instrumentov za prenos. Zakonodajalec meni, da je posredovanje takih dokumentov v primeru te direktive upravičeno.

(106)

Opravljeno je bilo posvetovanje z Evropskim nadzornikom za varstvo podatkov v skladu s členom 28(2) Uredbe (ES) št. 45/2001, ki je mnenje podal 7. marca 2012 (18).

(107)

Ta direktiva državam članicam ne bi smela preprečevati, da v nacionalnih predpisih o kazenskem postopku izvajajo uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki, do informacij, do dostopa, popravka ali izbrisa osebnih podatkov in do omejitve obdelave v kazenskem postopku, in možnih omejitvah v zvezi s tem –

(a)

varujejo temeljne pravice in svoboščine posameznikov ter zlasti njihovo pravico do varstva osebnih podatkov, in

(b)

zagotovijo, da izmenjava osebnih podatkov med pristojnimi organi v Uniji, kadar je takšna izmenjava določena v pravu Unije ali držav članic, ni niti omejena niti prepovedana iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov.

(a)

v okviru dejavnosti zunaj področja uporabe prava Unije;

(b)

ki jo izvajajo institucije, organi, uradi in agencije Unije.

(1)

„osebni podatki“ pomeni katero koli informacijo v zvezi z določenim ali določljivim posameznikom (v nadaljnjem besedilu: posameznik, na katerega se nanašajo osebni podatki); določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji ali spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika;

(2)

„obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

(3)

„omejitev obdelave“ pomeni označevanje shranjenih osebnih podatkov zaradi omejevanja njihove obdelave v prihodnosti;

(4)

„oblikovanje profilov“ pomeni vsako obliko avtomatizirane obdelave osebnih podatkov, ki vključuje uporabo osebnih podatkov za ocenjevanje nekaterih osebnih vidikov v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa, interesov, zanesljivosti, vedenja, lokacije ali gibanja tega posameznika;

(5)

„psevdonimizacija“ pomeni obdelavo osebnih podatkov na tak način, da osebnih podatkov brez dodatnih informacij ni več mogoče pripisati specifičnemu posamezniku, na katerega se nanašajo osebni podatki, če se take dodatne informacije hranijo ločeno ter zanje veljajo tehnični in organizacijski ukrepi za zagotavljanje, da se osebni podatki ne pripišejo določenemu ali določljivemu posamezniku;

(6)

„zbirka“ pomeni vsak strukturiran niz osebnih podatkov, ki so dostopni v skladu s posebnimi merili, niz pa je lahko centraliziran, decentraliziran ali razpršen na funkcionalni ali geografski podlagi;

(7)

„pristojni organ“ pomeni:

(8)

„upravljavec“ pomeni pristojni organ, ki sam ali skupaj z drugimi določa namene in sredstva obdelave osebnih podatkov; kadar namene in sredstva takšne obdelave določa pravo Unije ali države članice, se lahko upravljavec ali posebna merila za njegovo imenovanje določijo s pravom Unije ali države članice;

(9)

„obdelovalec“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca;

(10)

„uporabnik“ pomeni fizično ali pravno osebo, javni organ, agencijo ali drugo telo, ki so mu bili osebni podatki razkriti, ne glede na to, ali je tretja oseba ali ne. Vendar pa javni organi, ki lahko prejmejo osebne podatke v okviru posamezne poizvedbe v skladu s pravom države članice, ne veljajo za uporabnike; obdelava teh podatkov s strani teh javnih organov poteka v skladu z veljavnimi pravili o varstvu podatkov glede na namene obdelave;

(11)

„kršitev varstva osebnih podatkov“ pomeni kršitev varnosti, ki povzroči nenamerno ali nezakonito uničenje, izgubo, spremembo, nepooblaščeno razkritje ali dostop do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani;

(12)

„genetski podatki“ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;

(13)

„biometrični podatki“ pomeni osebne podatke, ki so rezultat posebne tehnične obdelave v zvezi s fizičnimi, fiziološkimi ali vedenjskimi značilnostmi posameznika, ki omogočajo ali potrjujejo edinstveno identifikacijo tega posameznika, kot so podobe obraza ali daktiloskopski podatki;

(14)

„podatki o zdravstvenem stanju“ pomeni osebne podatke, ki se nanašajo na telesno ali duševno zdravje posameznika, vključno z zagotavljanjem zdravstvenih storitev, in razkrivajo informacije o njegovem zdravstvenem stanju;

(15)

„nadzorni organ“ pomeni neodvisen javni organ, ki ga v skladu s členom 41 ustanovi država članica;

(16)

„mednarodna organizacija“ pomeni organizacijo in njena podrejena telesa, ki jih ureja mednarodno javno pravo, ali katera koli druga telesa, ustanovljene s sporazumom med dvema ali več državami ali na podlagi takega sporazuma.

(a)

obdelujejo zakonito in pošteno;

(b)

so zbrani za določene, izrecne in zakonite namene ter da se ne obdelujejo na način, ki je nezdružljiv s temi nameni;

(c)

so ustrezni, relevantni in ne prekomerni glede na namene, za katere se obdelujejo;

(d)

so točni in se po potrebi posodabljajo; sprejeti je treba vse razumne ukrepe za zagotovitev, da se netočni osebni podatki brez odlašanja izbrišejo ali popravijo, ob upoštevanju namenov, za katere se obdelujejo;

(e)

se hranijo v obliki, ki dopušča identifikacijo posameznikov, na katere se osebni podatki nanašajo, in le toliko časa, kolikor je potrebno za namene, za katere se obdelujejo;

(f)

se obdelujejo na način, ki zagotavlja ustrezno varnost osebnih podatkov, vključno z zaščito pred nedovoljeno ali nezakonito obdelavo ter pred nenamerno izgubo, uničenjem ali poškodbo, in sicer z ustreznimi tehničnimi ali organizacijskimi ukrepi.

(a)

je upravljavec pooblaščen za obdelavo teh osebnih podatkov za takšen namen v skladu s pravom Unije ali države članice in

(b)

je obdelava potrebna in sorazmerna s takšnim drugim namenom v skladu s pravom Unije ali države članice.

(a)

osebe, v zvezi s katerimi obstaja utemeljen sum, da so storile kaznivo dejanje ali ga nameravajo storiti;

(b)

osebe, ki so bile obsojene za kaznivo dejanje;

(c)

žrtve kaznivega dejanja ali osebe, v zvezi s katerimi zaradi nekaterih dejstev obstajajo razlogi za domnevo, da bi lahko postale žrtve kaznivega dejanja, in

(d)

druge osebe, povezane s kaznivim dejanjem, kot so osebe, od katerih bi se lahko zahtevalo pričanje v preiskavah v zvezi s kaznivimi dejanji ali poznejšimi kazenskimi postopki, osebe, ki lahko zagotovijo informacije o kaznivih dejanjih, ali stiki ali sodelavci ene od oseb iz točk (a) in (b).

(a)

to dovoljuje pravo Unije ali države članice

(b)

je to potrebno zaradi zaščite življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali drugega posameznika ali

(c)

je takšna obdelava povezana s podatki, ki jih posameznik, na katerega se nanašajo osebni podatki, sam objavi.

(a)

zaračuna razumno pristojbino, pri čemer upošteva upravne stroške posredovanja informacij ali sporočila oziroma izvajanja zahtevanega ukrepa, ali

(b)

zavrne ukrepanje v zvezi z zahtevo.

(a)

identiteto in kontaktne podatke upravljavca;

(b)

kontaktne podatke pooblaščene osebe za varstvo podatkov, kadar ta obstaja;

(c)

namene obdelave osebnih podatkov;

(d)

o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;

(e)

o pravici, da se od upravljavca zahtevajo dostop do osebnih podatkov in popravek ali izbris osebnih podatkov in omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se ti podatki nanašajo.

(a)

pravno podlago za obdelavo;

(b)

obdobje hrambe osebnih podatkov ali, kadar to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(c)

kadar je to ustrezno kategorije uporabnikov osebnih podatkov, tudi v tretjih državah ali mednarodnih organizacijah;

(d)

po potrebi dodatne informacije, zlasti kadar se osebni podatki zbirajo brez vednosti posameznika, na katerega se nanašajo osebni podatki.

(a)

preprečitev oviranja uradnih ali zakonitih preiskav, poizvedb ali postopkov;

(b)

preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(c)

zaščito javne varnosti;

(d)

zaščito varnosti države;

(e)

zaščito pravic in svoboščin drugih.

(a)

namene in pravno podlago za obdelavo;

(b)

vrste zadevnih osebnih podatkov;

(c)

uporabnike ali kategorije uporabnikov, ki so jim bili razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah;

(d)

kadar je to mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se uporabijo za določitev tega obdobja;

(e)

o pravici, da od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave osebnih podatkov v zvezi s posameznikom, na katerega se ti podatki nanašajo;

(f)

o pravici do vložitve pritožbe pri nadzornem organu in njegove kontaktne podatke;

(g)

sporočilo o osebnih podatkih, ki se obdelujejo, in o vseh dostopnih informacijah v zvezi z njihovim virom.

(a)

preprečitev oviranja uradnih ali zakonitih preiskav, poizvedb ali postopkov;

(b)

preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(c)

zaščito javne varnosti;

(d)

zaščito varnosti države;

(e)

zaščito pravic in svoboščin drugih.

(a)

posameznik, na katerega se nanašajo osebni podatki, izpodbija njihovo točnost in ni mogoče preveriti, ali so podatki točni ali ne, ali

(b)

je treba osebne podatke ohraniti za namene dokazovanja.

(a)

preprečitev oviranja uradnih in zakonitih preiskav, poizvedb ali postopkov;

(b)

preprečitev vplivanja na preprečevanje, preiskovanje, odkrivanje ali pregon kaznivih dejanj ali izvrševanje kazenskih sankcij;

(c)

zaščito javne varnosti;

(d)

zaščito varnosti države;

(e)

zaščito pravic in svoboščin drugih.

(a)

deluje samo po navodilih upravljavca;

(b)

zagotovi, da so osebe, ki so pooblaščene za obdelavo osebnih podatkov, zavezane k zaupnosti ali jih k zaupnosti zavezuje ustrezen zakon;

(c)

pomaga upravljavcu na kakršen koli primeren način, da se zagotovi skladnost z določbami o pravicah posameznika, na katerega se nanašajo osebni podatki;

(d)

v skladu z odločitvijo upravljavca izbriše ali vrne vse osebne podatke upravljavcu po zaključku storitev obdelave podatkov ter uniči obstoječe kopije, razen če pravo Unije ali države članice predpisuje shranjevanje osebnih podatkov;

(e)

da upravljavcu na voljo vse informacije, potrebne za dokazovanje skladnosti s tem členom;

(f)

izpolnjuje pogoje iz odstavkov 2 in 3 za zaposlitev drugega obdelovalca.

(a)

ime in kontaktne podatke upravljavca, in kadar obstajata skupnega upravljavca in pooblaščene osebe za varstvo podatkov;

(b)

namene obdelave;

(c)

kategorije uporabnikov, ki so jim bili ali jim bodo razkriti osebni podatki, vključno z uporabniki v tretjih državah ali mednarodnih organizacijah;

(d)

opis kategorij posameznikov, na katere se nanašajo osebni podatki, in vrst osebnih podatkov;

(e)

kadar je ustrezno, oblikovanje profilov;

(f)

kadar je ustrezno, kategorije prenosov osebnih podatkov v tretjo državo ali mednarodno organizacijo;

(g)

navedbo pravne podlage za dejanja obdelave, vključno s prenosi, za katere so osebni podatki namenjeni;

(h)

kadar je mogoče, predvidene roke za izbris različnih vrst osebnih podatkov;

(i)

kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 29(1).

(a)

ime in kontaktne podatke obdelovalca ali obdelovalcev, posameznih upravljavcev, v imenu katerih deluje obdelovalec, in kadar obstaja pooblaščene osebe za varstvo podatkov;

(b)

vrste obdelave, ki se izvaja v imenu posameznega upravljavca;

(c)

kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo in identifikacijo te tretje države ali mednarodne organizacije, kadar to izrecno naroči upravljavec;

(d)

kadar je mogoče, splošni opis tehničnih in organizacijskih varnostnih ukrepov iz člena 29(1).

(a)

ocena učinka na varstvo podatkov iz člena 27 kaže, da bi obdelava povzročila veliko tveganje, če upravljavec ne bi sprejel ukrepov za ublažitev tveganja, ali

(b)

vrsta obdelave, zlasti v primeru uporabe novih tehnologij, mehanizmov ali postopkov, pomeni veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki.

(a)

onemogočiti dostop nepooblaščenih oseb do opreme, ki se uporablja za obdelavo (nadzor dostopa do opreme);

(b)

preprečiti nepooblaščeno branje, prepisovanje, spreminjanje ali odnašanje nosilcev podatkov (nadzor nosilcev podatkov);

(c)

preprečiti nepooblaščeno vnašanje osebnih podatkov v podatkovne zbirke in nepooblaščeno pregledovanje, spreminjanje ali brisanje shranjenih osebnih podatkov (nadzor shranjevanja);

(d)

nepooblaščenim osebam, ki uporabljajo opremo za prenos podatkov, preprečiti uporabo sistemov za avtomatizirano obdelavo (nadzor uporabnikov);

(e)

zagotoviti, da imajo osebe, pooblaščene za uporabo sistema za avtomatizirano obdelavo, dostop samo do podatkov, ki jih zajema njihovo pooblastilo za dostop (nadzor dostopa do podatkov);

(f)

zagotoviti, da je mogoče preveriti in ugotoviti, katerim telesom so osebni podatki bili ali bi lahko bili poslani oziroma jim je bil ali bi jim lahko bil omogočen dostop do njih prek opreme za prenos podatkov (nadzor prenosa);

(g)

zagotoviti, da je mogoče naknadno preveriti in ugotoviti, kateri osebni podatki so bili vneseni v sisteme za avtomatizirano obdelavo ter kdaj in kdo jih je vnesel (nadzor vnosa);

(h)

preprečiti nepooblaščeno branje, prepisovanje, spreminjanje ali izbris osebnih podatkov med pošiljanjem osebnih podatkov ali med premeščanjem nosilcev podatkov (nadzor premeščanja);

(i)

zagotoviti, da je mogoče nameščene sisteme v primeru prekinitve ponovno vzpostaviti (obnova);

(j)

zagotoviti, da funkcije sistema delujejo, da se pojavljanje napak v funkcijah sporoči (zanesljivost) in da shranjeni osebni podatki ne morejo postati neuporabni zaradi okvare sistema (neoporečnost).

(a)

opis vrste kršitve varstva osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov;

(b)

sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij;

(c)

opis verjetnih posledic kršitve varstva osebnih podatkov;

(d)

opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, vključno z če je to primerno, ukrepi za ublažitev morebitnih škodljivih učinkov kršitve.

(a)

upravljavec je izvedel ustrezne tehnološke in organizacijske zaščitne ukrepe in so bili ti ukrepi uporabljeni za osebne podatke, v zvezi s katerimi je bila storjena kršitev varstva, zlasti ukrepe, na podlagi katerih postanejo osebni podatki nerazumljivi vsem, ki niso pooblaščeni za dostop do njih, kot je šifriranje,

(b)

upravljavec je sprejel naknadne ukrepe za zagotovitev, da se veliko tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, iz odstavka 1 verjetno ne bo več udejanjilo,

(c)

bi to zahtevalo nesorazmeren napor. V takšnem primeru se namesto tega objavi javno sporočilo ali izvede podoben ukrep, s katerim so posamezniki, na katere se nanašajo osebni podatki, enako učinkovito obveščeni.

(a)

obveščanje upravljavca in zaposlenih, ki izvajajo obdelavo, ter svetovanje navedenim o njihovih obveznostih v skladu s to direktivo in drugimi določbami Unije ali držav članic o varstvu podatkov;

(b)

spremljanje skladnosti s to direktivo, drugimi določbami Unije ali držav članic o varstvu podatkov in politikami upravljavca v zvezi z varstvom osebnih podatkov, vključno z dodeljevanjem nalog, ozaveščanjem in usposabljanjem osebja, vključenega v dejanja obdelave, ter s tem povezanimi revizijami;

(c)

svetovanje, kadar se to zahteva, glede ocene učinka v zvezi z na varstvom podatkov in spremljanje njenega izvajanja v skladu s členom 27;

(d)

sodelovanje z nadzornim organom;

(e)

delovanje kot kontaktna točka za nadzorni organ pri vprašanjih v zvezi z obdelavo, vključno s predhodnim posvetovanjem iz člena 28, in, kjer je ustrezno, posvetovanje o kateri koli drugi zadevi.

(a)

prenos je potreben za namene iz člena 1(1)

(b)

osebni podatki se prenesejo upravljavcu v tretji državi ali mednarodni organizaciji, ki je organ, pristojen za namene iz člena 1(1),

(c)

v primeru prenosa ali omogočanja dostopa do osebnih podatkov iz druge države članice je zadevna država članica dala predhodno soglasje za prenos v skladu s svojim nacionalnim pravom

(d)

Komisija je sprejela sklep o ustreznosti na podlagi člena 36 ali – v primeru, da Komisija ni sprejela tega sklepa – so predvideni ali obstajajo ustrezni zaščitni ukrepi v skladu s členom 37 ali – v primeru, da Komisija ni sprejela sklepa o ustreznosti na podlagi člena 36 ali ustreznih zaščitnih ukrepov na podlagi člena 37– se uporabljajo odstopanja za posebne primere v skladu s členom 38; in

(e)

v primeru nadaljnjega prenosa v drugo tretjo državo ali mednarodno organizacijo pristojni organ, ki je izvedel prvotni prenos, ali drug pristojni organ v isti državi članici dovoli nadaljnji prenos, potem ko ustrezno upošteva vse zadevne dejavnike, tudi resnost kaznivega dejanja, namen, za katerega so bili osebni podatki prvotno preneseni, in raven varstva osebnih podatkov v tretji državi ali mednarodni organizaciji, v katero se osebni podatki prenašajo v okviru nadaljnjega prenosa.

(a)

načelo pravne države, spoštovanje človekovih pravic in temeljnih svoboščin, ustrezno splošno in področno zakonodajo, tudi na področju javne varnosti, obrambe, varnosti države in kazenskega prava ter dostopa javnih organov do osebnih podatkov, pa tudi izvajanje take zakonodaje, pravila o varstvu podatkov, strokovna pravila ter varnostne ukrepe, vključno s pravili za nadaljnji prenos osebnih podatkov v drugo tretjo državo ali mednarodno organizacijo, ki se spoštujejo v navedeni tretji državi ali mednarodni organizaciji, sodno prakso, pa tudi dejanske in izvršljive pravice ter učinkovito upravno in sodno varstvo posameznikov, na katere se nanašajo osebni podatki, ki se prenašajo;

(b)

obstoj enega ali več učinkovito delujočih neodvisnih nadzornih organov v tretji državi članici ali pristojnih za mednarodno organizacijo, ki so odgovorni za zagotavljanje in izvrševanje predpisov o varstvu podatkov, kar vključuje tudi ustrezna pooblastila za izvrševanje, za pomoč in svetovanje posameznikom, na katere se nanašajo osebni podatki, pri uresničevanju njihovih pravic ter za sodelovanje z nadzornimi organi držav članic in

(c)

mednarodne zaveze, ki jih je sprejela zadevna tretja država ali mednarodna organizacija, ali druge obveznosti, ki izhajajo iz pravno zavezujočih konvencij ali instrumentov, pa tudi iz sodelovanja tretje države ali mednarodne organizacije v večstranskih ali regionalnih sistemih, zlasti glede varstva osebnih podatkov.

(a)

so ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov določeni v pravno zavezujočem aktu ali

(b)

je upravljavec ocenil vse okoliščine v zvezi s prenosom osebnih podatkov in ugotovil, da obstajajo ustrezni zaščitni ukrepi v zvezi z varstvom osebnih podatkov.

(a)

za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge osebe;

(b)

za zaščito zakonitih interesov posameznika, na katerega se nanašajo osebni podatki in je to določeno v zakonodaji države članice, ki prenaša osebne podatke;

(c)

za preprečitev neposredne in resne grožnje javni varnosti v državi članici ali tretji državi;

(d)

v posameznih primerih za namene iz člena 1(1); ali

(e)

v posameznem primeru zaradi uveljavitve, izvajanja ali obrambe pravnih zahtevkov v zvezi z nameni iz člena 1(1).

(a)

prenos je nujno potreben za izvajanje naloge pristojnega organa, ki podatke prenese, kot je določeno s pravom Unije ali države članice za namene iz člena 1(1);

(b)

pristojni organ, ki podatke prenese, ugotovi, da nobena temeljna pravica in svoboščina zadevnega posameznika, na katerega se nanašajo osebni podatki, ne prevlada nad javnim interesom, zaradi katerega je v konkretnem primeru potreben prenos;

(c)

pristojni organ, ki podatke prenese, meni, da prenos organu v tretji državi, pristojnemu za namene iz člena 1(1), ni učinkovit ali primeren, zlasti ker prenosa ni mogoče pravočasno izvesti;

(d)

organ, ki je v tretji državi pristojen za namene iz člena 1(1), je obveščen brez nepotrebnega odlašanja, razen če to ni učinkovito ali primerno;

(e)

pristojni organ, ki podatke prenese, obvesti uporabnika o določenem namenu ali namenih, za katere naj bi uporabnik izključno obdelal osebne podatke, pod pogojem, da je takšna obdelava potrebna.

(a)

oblikujejo mehanizme mednarodnega sodelovanja za spodbujanje učinkovitega izvrševanja zakonodaje o varstvu osebnih podatkov;

(b)

zagotovijo mednarodno medsebojno pomoč pri izvrševanju zakonodaje o varstvu osebnih podatkov, vključno z uradnim obveščanjem, posredovanjem pritožb, pomočjo pri preiskavah in izmenjavo informacij, pri čemer se uporabljajo ustrezni zaščitni ukrepi za varstvo osebnih podatkov ter drugih temeljnih pravic in svoboščin;

(c)

ustrezne deležnike vključijo v razpravo in dejavnosti, katerih namen je pospeševanje mednarodnega sodelovanja pri izvrševanju zakonodaje o varstvu osebnih podatkov;

(d)

spodbujajo izmenjavo in dokumentiranje zakonodaje in prakse s področja varstva osebnih podatkov, vključno s spori glede sodne pristojnosti s tretjimi državami.

—

njihov parlament,

—

njihova vlada,

—

njihov voditelj ali

—

neodvisen organ, ki je na podlagi prava države članice pooblaščen za imenovanja.

(a)

ustanovitev posameznega nadzornega organa;

(b)

kvalifikacije in pogoje za upravičenost, ki se zahtevajo za imenovanje na mesto člana posameznega nadzornega organa;

(c)

pravila in postopke za imenovanje člana ali članov posameznega nadzornega organa;

(d)

trajanje mandata člana oziroma članov posameznega nadzornega organa, ki ni krajši od štirih let, razen pri prvem imenovanju po 6. maju 2016, del katerega je lahko krajši, če je to potrebno zaradi zaščite neodvisnosti nadzornega organa s postopkom postopnega imenovanja;

(e)

ali se lahko član oziroma člani posameznega nadzornega organa ponovno imenujejo in če je tako, za koliko mandatov;

(f)

pogoje, ki urejajo obveznosti člana oziroma članov in osebja posameznega nadzornega organa, prepovedi ukrepanja, delovanja in ugodnosti, ki so nezdružljivi s temi pogoji, med mandatom in po njem, ter pravila o prenehanju zaposlitve.

(a)

spremlja in zagotavlja uporabo predpisov, sprejetih v skladu s to direktivo, in njenih izvedbenih ukrepov;

(b)

spodbuja ozaveščenost in razumevanje javnosti o tveganjih, pravilih, zaščitnih ukrepih in pravicah v zvezi z obdelavo;

(c)

v skladu s pravom države članice svetuje nacionalnemu parlamentu, vladi ter drugim institucijam in organom o zakonodajnih in upravnih ukrepih v zvezi z varstvom pravic in svoboščin posameznikov pri obdelavi;

(d)

spodbuja ozaveščenost upravljavcev in obdelovalcev o njihovih obveznostih na podlagi te direktive;

(e)

vsakemu posamezniku, na katerega se nanašajo osebni podatki, na zahtevo zagotovi informacije o uresničevanju njegovih pravic na podlagi te direktive in v ta namen, če je ustrezno, sodeluje z nadzornimi organi v drugih državah članicah;

(f)

obravnava pritožbe, ki jih vloži posameznik, na katerega se nanašajo osebni podatki, oziroma v skladu s členom 55 organ, organizacija ali združenje, in v ustreznem obsegu preuči vsebino pritožbe in v razumnem roku obvesti pritožnika o poteku in rezultatu preiskave, zlasti če je potrebna nadaljnja preiskava ali usklajevanje z drugim nadzornim organom;

(g)

preverja zakonitost obdelave v skladu s členom 17 ter posameznika, na katerega se nanašajo osebni podatki, v primernem roku obvesti o izidu pregleda v skladu z odstavkom 3 navedenega člena ali o razlogih, zaradi katerih pregled ni bil izveden;

(h)

sodeluje z drugimi nadzornimi organi, med drugim z izmenjavo informacij, in jim zagotavlja medsebojno pomoč, da bi zagotovili doslednost pri uporabi in izvajanju te direktive;

(i)

izvaja preiskave o uporabi te direktive, tudi na podlagi informacij, ki jih prejme od drugega nadzornega organa ali drugega javnega organa;

(j)

spremlja razvoj na zadevnem področju, kolikor vpliva na varstvo osebnih podatkov, predvsem razvoj informacijskih in komunikacijskih tehnologij;

(k)

svetuje glede dejanj obdelave iz člena 28; in

(l)

prispeva k dejavnostim odbora.

(a)

da upravljavca ali obdelovalca opozori, da bi predvidena dejanja obdelave verjetno kršila predpise, sprejete na podlagi te direktive;

(b)

da upravljavcu ali obdelovalcu odredi, naj dejanja obdelave, če je to ustrezno, na določen način in v določenem roku uskladi s predpisi, sprejetimi na podlagi te direktive, zlasti tako, da v skladu s členom 16 odredi popravek ali izbris osebnih podatkov ali omejitev obdelave;

(c)

da uvede začasno ali dokončno omejitev obdelave, vključno s prepovedjo obdelave.

(a)

ni pristojen za vsebino zahteve ali za izvršitev zahtevanih ukrepov, ali

(b)

bi izpolnitev zahteve kršila to direktivo ali pravo Unije ali države članice, ki velja za nadzorni organ, ki je prejel zahtevo.

(a)

Komisiji svetuje o vseh vprašanjih v zvezi z varstvom osebnih podatkov v Uniji, pa tudi o vseh predlogih sprememb te direktive;

(b)

na lastno pobudo, na zahtevo katerega od svojih članov ali na zahtevo Komisije preuči vsako vprašanje v zvezi z uporabo te direktive ter izda smernice, priporočila in najboljše prakse, s čimer spodbuja dosledno uporabo te direktive;

(c)

za nadzorne organe pripravi smernice glede uporabe ukrepov iz člena 47(1) in (3);

(d)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (b) tega pododstavka za ugotavljanje kršitev varstva osebnih podatkov in opredelitev nepotrebnega odlašanja iz člena 30(1) in (2) ter za posebne okoliščine, v katerih se od upravljavca ali obdelovalca zahteva, da predloži uradno obvestilo o kršitvi varstva osebnih podatkov;

(e)

izdaja smernice, priporočila in najboljše prakse v skladu s točko (b) tega pododstavka glede okoliščin, v katerih je verjetno, da bi kršitev varstva osebnih podatkov povzročila znatno tveganje za pravice in svoboščine posameznikov iz člena 31(1);

(f)

pregleda praktično uporabo smernic, priporočil in najboljših praks iz točk (b) in (c);

(g)

Komisiji predloži mnenje glede ocene ustreznosti ravni varstva v tretji državi, na ozemlju ali v enem ali več določenih sektorjev v tretji državi, ali mednarodni organizaciji, vključno glede ocene o tem, ali tretja država, ozemlje, določen sektor ali mednarodna organizacija ne zagotavlja več ustrezne ravni varstva.

(h)

spodbuja sodelovanje ter učinkovito dvostransko in večstransko izmenjavo informacij in najboljših praks med nadzornimi organi;

(i)

spodbuja skupne programe usposabljanja ter pospešuje izmenjave osebja med nadzornimi organi in po potrebi z nadzornimi organi tretjih držav ali z mednarodnimi organizacijami;

(j)

spodbuja izmenjavo znanja in dokumentacije o zakonodaji in praksi s področja varstva osebnih podatkov z nadzornimi organi za varstvo podatkov po svetu.