EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32016L0680R(01)
Corrigendum to Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA (OJ L 119, 4.5.2016)
Popravek Direktive (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4.5.2016)
Popravek Direktive (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4.5.2016)
UL L 127, 23.5.2018, p. 8–8
(ES, CS, ET, RO)
UL L 127, 23.5.2018, p. 6–6
(BG, DA, EN, LV, LT, MT, PT, SK, FI)
UL L 127, 23.5.2018, p. 20–29
(SL)
UL L 127, 23.5.2018, p. 14–14
(NL)
UL L 127, 23.5.2018, p. 9–9
(DE)
UL L 127, 23.5.2018, p. 7–7
(EL, FR, HU)
UL L 127, 23.5.2018, p. 16–21
(SV)
UL L 127, 23.5.2018, p. 19–19
(IT)
UL L 127, 23.5.2018, p. 14–17
(HR)
UL L 127, 23.5.2018, p. 10–10
(PL)
ELI: http://data.europa.eu/eli/dir/2016/680/corrigendum/2018-05-23/oj
|
23.5.2018 |
SL |
Uradni list Evropske unije |
L 127/20 |
Popravek Direktive (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ
( Uradni list Evropske unije L 119 z dne 4. maja 2016 )
Izraz „kršitev varstva osebnih podatkov“ se nadomesti s „kršitev varnosti osebnih podatkov“ v celotnem besedilu Uredbe in stavki se temu primerno jezikovno prilagodijo.
Stran 92, uvodna izjava 23, prvi stavek:
besedilo:
|
„(23) |
Genetski podatki bi morali biti opredeljeni kot osebni podatki, povezani s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstveno informacijo o fiziologiji ali zdravju tega posameznika in izhajajo iz analize biološkega vzorca zadevnega posameznika, zlasti analize kromosomov, deoksiribonukleinske kisline (DNK) ali ribonukleinske kisline (RNK) ali analize drugega elementa, ki zagotavlja enakovredne informacije. […]“ |
se glasi:
|
„(23) |
Genski podatki bi morali biti opredeljeni kot osebni podatki, povezani s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstveno informacijo o fiziologiji ali zdravju tega posameznika in izhajajo iz analize biološkega vzorca zadevnega posameznika, zlasti analize kromosomov, deoksiribonukleinske kisline (DNK) ali ribonukleinske kisline (RNK) ali analize drugega elementa, ki zagotavlja enakovredne informacije. […]“. |
Stran 92, uvodna izjava 24, drugi stavek:
besedilo:
|
„(24) |
[…] To vključuje informacije o posamezniku, zbrane med registracijo za storitve zdravstvenega varstva ali njihovim zagotavljanjem posamezniku, kot je določeno v Direktivi 2011/24/EU Evropskega parlamenta in Sveta (1); številko, znak ali posebno oznako, dodeljeno posamezniku za njegovo edinstveno identifikacijo v zdravstvene namene; informacije, pridobljene s testiranjem ali preiskavo dela telesa ali telesne snovi, vključno z informacijami, pridobljenimi iz genetskih podatkov in bioloških vzorcev, in vse informacije o, na primer, bolezni, invalidnosti, tveganju za nastanek bolezni, zdravstveni anamnezi, kliničnem zdravljenju ali fiziološkem ali biomedicinskem stanju posameznika, na katerega se nanašajo osebni podatki, ne glede na vir teh podatkov, na primer zdravnik ali drug zdravstveni delavec, bolnišnica, medicinski pripomoček ali diagnostični preskus in vitro.“ |
se glasi:
|
„(24) |
[…] To vključuje informacije o posamezniku, zbrane med registracijo za storitve zdravstvenega varstva ali njihovim zagotavljanjem posamezniku, kot je določeno v Direktivi 2011/24/EU Evropskega parlamenta in Sveta (1); številko, znak ali posebno oznako, dodeljeno posamezniku za njegovo edinstveno identifikacijo v zdravstvene namene; informacije, pridobljene s testiranjem ali preiskavo dela telesa ali telesne snovi, vključno z informacijami, pridobljenimi iz genskih podatkov in bioloških vzorcev, in vse informacije o, na primer, bolezni, invalidnosti, tveganju za nastanek bolezni, zdravstveni anamnezi, kliničnem zdravljenju ali fiziološkem ali biomedicinskem stanju posameznika, na katerega se nanašajo osebni podatki, ne glede na vir teh podatkov, na primer zdravnik ali drug zdravstveni delavec, bolnišnica, medicinski pripomoček ali diagnostični preskus in vitro.“ |
Stran 95, uvodna izjava 41:
besedilo:
|
„(41) |
Kadar upravljavec zahteva predložitev dodatnih informacij, potrebnih za potrditev identitete posameznika, na katerega se nanašajo osebni podatki, bi bilo treba te informacije obdelati samo za ta poseben namen in se jih ne bi smelo shranjevati dlje, kot je potrebno za navedeni namen.“ |
se glasi:
|
„(41) |
Kadar upravljavec zahteva predložitev dodatnih informacij, potrebnih za potrditev identitete posameznika, na katerega se nanašajo osebni podatki, bi bilo treba te informacije obdelati samo za ta poseben namen in se jih ne bi smelo hraniti dlje, kot je potrebno za navedeni namen.“ |
Stran 95, uvodna izjava 42, zadnji stavek:
besedilo:
|
„(42) |
[…] Poleg tega bi bilo treba posameznika, na katerega se nanašajo osebni podatki, v posebnih primerih in zaradi uresničevanja njegovih pravic seznaniti s pravno podlago za obdelavo in tem, kako dolgo bodo podatki shranjeni, v kolikor so take dodatne informacije potrebne, ob upoštevanju posebnih okoliščin, v katerih se podatki obdelujejo, za zagotovitev poštene obdelave v odnosu do posameznika, na katerega se nanašajo osebni podatki.“ |
se glasi:
|
„(42) |
[…] Poleg tega bi bilo treba posameznika, na katerega se nanašajo osebni podatki, v posebnih primerih in zaradi uresničevanja njegovih pravic seznaniti s pravno podlago za obdelavo in tem, kako dolgo bodo podatki hranjeni, kolikor so take dodatne informacije potrebne, ob upoštevanju posebnih okoliščin, v katerih se podatki obdelujejo, za zagotovitev poštene obdelave v odnosu do posameznika, na katerega se nanašajo osebni podatki.“ |
Stran 96, uvodna izjava 50, drugi stavek:
besedilo:
|
„(50) |
[…] Upravljavec bi moral zlasti izvajati ustrezne in učinkovite ukrepe ter biti zmožen dokazati, da so dejavnosti obdelave v skladu s to direktivo. […]“ |
se glasi:
|
„(50) |
[…] Upravljavec bi moral zlasti izvajati ustrezne in učinkovite ukrepe ter biti zmožen izkazati, da so dejavnosti obdelave v skladu s to direktivo. […]“. |
Stran 97, uvodna izjava 51:
besedilo:
|
„(51) |
[…] kadar se obdelujejo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politična stališča, veroizpoved ali filozofsko prepričanje ali članstvo v sindikatu, kadar se obdelujejo genetski ali biometrični podatki za edinstveno identifikacijo zadevnega posameznika ali kadar se obdelujejo podatki v zvezi z zdravjem ali podatki v zvezi s spolnim življenjem in spolno usmerjenostjo, […]“ |
se glasi:
|
„(51) |
[…] kadar se obdelujejo osebni podatki, ki razkrivajo rasno ali etnično poreklo, politična stališča, veroizpoved ali filozofsko prepričanje ali članstvo v sindikatu, kadar se obdelujejo genski ali biometrični podatki za edinstveno identifikacijo zadevnega posameznika ali kadar se obdelujejo podatki v zvezi z zdravjem ali podatki v zvezi s spolnim življenjem in spolno usmerjenostjo, […]“. |
Stran 97, uvodna izjava 53, tretji stavek:
besedilo:
|
„(53) |
[…] Da bi upravljavec lahko dokazal skladnost s to direktivo, bi moral sprejeti notranje politike in izvesti ukrepe, ki spoštujejo zlasti načeli vgrajenega in privzetega varstva podatkov. […]“ |
se glasi:
|
„(53) |
[…] Da bi upravljavec lahko izkazal skladnost s to direktivo, bi moral sprejeti notranje politike in izvesti ukrepe, ki spoštujejo zlasti načeli vgrajenega in privzetega varstva podatkov. […]“ |
Stran 97, uvodna izjava 56:
besedilo:
|
„(56) |
Za dokaz skladnosti s to direktivo bi moral upravljavec ali obdelovalec hraniti evidence o vseh vrstah dejavnosti obdelave osebnih podatkov, za katere je odgovoren. Vsak upravljavec in obdelovalec bi moral sodelovati z nadzornim organom in mu na zahtevo omogočiti dostop do teh evidenc, ki jih ima na voljo, da bi se lahko uporabile za spremljanje teh dejanj obdelave. Upravljavec ali obdelovalec, ki obdeluje osebne podatke v neavtomatiziranih sistemih obdelave, bi moral vzpostaviti učinkovite metode za dokazovanje zakonitosti obdelave, notranje spremljanje ter zagotavljanje neoporečnosti in varnosti podatkov, kot so dnevniki ali druge oblike evidentiranja.“ |
se glasi:
|
„(56) |
Za izkazovanje skladnosti s to direktivo bi moral upravljavec ali obdelovalec hraniti evidence o vseh vrstah dejavnosti obdelave osebnih podatkov, za katere je odgovoren. Vsak upravljavec in obdelovalec bi moral sodelovati z nadzornim organom in mu na zahtevo omogočiti dostop do teh evidenc, ki jih ima na voljo, da bi se lahko uporabile za spremljanje teh dejanj obdelave. Upravljavec ali obdelovalec, ki obdeluje osebne podatke v neavtomatiziranih sistemih obdelave, bi moral vzpostaviti učinkovite metode za izkazovanje zakonitosti obdelave, notranje spremljanje ter zagotavljanje celovitosti in varnosti podatkov, kot so dnevniki ali druge oblike evidentiranja.“ |
Stran 97, uvodna izjava 57, tretji stavek:
besedilo:
|
„(57) |
[…] Dnevnike bi bilo treba uporabljati zgolj za preverjanje zakonitosti obdelave, notranje spremljanje ter zagotavljanje neoporečnosti in varnosti podatkov in kazenskih postopkov. […]“ |
se glasi:
|
„(57) |
[…] Dnevnike bi bilo treba uporabljati zgolj za preverjanje zakonitosti obdelave, notranje spremljanje ter zagotavljanje celovitosti in varnosti podatkov in kazenskih postopkov. […]“. |
Stran 97, uvodna izjava 58, prvi stavek:
besedilo:
|
„(58) |
Upravljavec bi moral opraviti oceno učinka v zvezi z varstvom podatkov, če je verjetno, da bodo dejanja obdelave povzročila znatno tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zaradi svoje narave, obsega ali namena, kar bi zlasti moralo vključevati ukrepe, zaščitne ukrepe in mehanizme, predvidene za zagotavljanje varstva osebnih podatkov in dokazovanje skladnosti s to direktivo. […]“ |
se glasi:
|
„(58) |
Upravljavec bi moral opraviti oceno učinka v zvezi z varstvom podatkov, če je verjetno, da bodo dejanja obdelave povzročila znatno tveganje za pravice in svoboščine posameznikov, na katere se nanašajo osebni podatki, zaradi svoje narave, obsega ali namena, kar bi zlasti moralo vključevati ukrepe, zaščitne ukrepe in mehanizme, predvidene za zagotavljanje varstva osebnih podatkov in izkazovanje skladnosti s to direktivo. […]“. |
Stran 98, uvodna izjava 61, drugi in tretji stavek:
besedilo:
|
„(61) |
[…] Zato bi moral upravljavec, takoj, ko se seznani s kršitvijo varstva osebnih podatkov, o njej uradno obvestiti pristojni nadzorni organ brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, razen če lahko upravljavec v skladu z načelom odgovornosti dokaže, da ni verjetno, da bi kršitev varstva osebnih podatkov povzročila tveganje za pravice in svoboščine posameznikov. Kadar ni mogoče uradno obvestiti v 72 urah, bi bilo treba uradnemu obvestilu priložiti razloge za zamudo, informacije pa se lahko zagotovijo postopoma in brez dodatnega nepotrebnega odlašanja.“ |
se glasi:
|
„(61) |
[…] Zato bi moral upravljavec, takoj, ko se seznani s kršitvijo varnosti osebnih podatkov, o njej obvestiti pristojni nadzorni organ brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo, razen če lahko upravljavec v skladu z načelom odgovornosti izkaže, da ni verjetno, da bi kršitev varnosti osebnih podatkov povzročila tveganje za pravice in svoboščine posameznikov. Kadar ni mogoče obvestiti v 72 urah, bi bilo treba obvestilu priložiti razloge za zamudo, informacije pa se lahko zagotovijo postopoma in brez dodatnega nepotrebnega odlašanja.“ |
Stran 100, uvodna izjava 73, drugi, tretji, četrti in peti stavek:
besedilo:
|
„(73) |
[…] To načeloma poteka prek organov, ki so za namene te Direktive pristojni v zadevnih tretjih državah ali vsaj v sodelovanju z njim, včasih tudi v primeru neobstoja dvo- ali večstranskega mednarodnega sporazuma. Vendar je lahko v specifičnih posameznih primerih redni postopek, v okviru katerih se zahteva vzpostavitev stika s takšnim organom v tretji državi, neučinkovit ali neprimeren, zlasti ker prenosa ne bi bilo mogoče opraviti pravočasno ali ker navedeni organ v tretji državi ne spoštuje načela pravne države ali mednarodnih pravil in standardov na področju človekovih pravic, tako da bi se pristojni organi držav članic lahko odločili, da osebne podatke prenesejo neposredno uporabnikom s sedežem v teh tretjih državah. To se lahko zgodi, kadar je nujno posredovati osebne podatke, da bi rešili življenje osebi, ki je v nevarnosti, da postane žrtev kaznivega dejanja, ali zaradi preprečitve neposredne storitve kaznivega dejanja, vključno s terorizmom. Čeprav bi ta prenos med pristojnimi organi ter uporabniki s sedežem v tretjih državah moral potekati le v specifičnih posameznih primerih, bi v tej direktivi morali zagotoviti pogoje za urejanje takih primerov. […]“. |
se glasi:
|
„(73) |
[…] To načeloma poteka prek organov, ki so za namene te direktive pristojni v zadevnih tretjih državah ali vsaj v sodelovanju z njimi, včasih tudi v primeru neobstoja dvo- ali večstranskega mednarodnega sporazuma. Vendar je lahko v specifičnih posameznih primerih, v okviru katerih se zahteva vzpostavitev stika s takšnim organom v tretji državi, redni postopek neučinkovit ali neprimeren, zlasti ker prenosa ne bi bilo mogoče opraviti pravočasno ali ker navedeni organ v tretji državi ne spoštuje načela pravne države ali mednarodnih pravil in standardov na področju človekovih pravic, tako da bi se pristojni organi držav članic lahko odločili, da osebne podatke prenesejo neposredno uporabnikom, ustanovljenim v teh tretjih državah. To se lahko zgodi, kadar je nujno posredovati osebne podatke, da bi rešili življenje osebi, ki je v nevarnosti, da postane žrtev kaznivega dejanja, ali zaradi preprečitve neposredne storitve kaznivega dejanja, vključno s terorizmom. Čeprav bi ta prenos med pristojnimi organi ter uporabniki, ustanovljenimi v tretjih državah, moral potekati le v specifičnih posameznih primerih, bi v tej direktivi morali zagotoviti pogoje za urejanje takih primerov. […]“. |
Stran 102, uvodna izjava 82, četrti stavek:
besedilo:
|
„(82) |
[…] Pooblastila nadzornih organov bi bilo treba izvajati nepristransko, pravično in v razumnem roku v skladu z ustreznimi postopkovnimi zaščitnimi ukrepi, določenimi s pravom Unije in države članice. […]“ |
se glasi:
|
„(82) |
[…] Pooblastila nadzornih organov bi bilo treba izvajati nepristransko, pošteno in v razumnem roku v skladu z ustreznimi postopkovnimi zaščitnimi ukrepi, določenimi s pravom Unije in države članice. […]“. |
Stran 102, uvodna izjava 86, četrti stavek:
besedilo:
|
„(86) |
[…] Za postopke zoper nadzorni organ bi morala biti pristojna sodišča države članice, v kateri ima nadzorni organ sedež, izvajati pa bi jih bilo treba v skladu s pravom države članice. […]“ |
se glasi:
|
„(86) |
[…] Za postopke zoper nadzorni organ bi morala biti pristojna sodišča države članice, v kateri je nadzorni organ ustanovljen, izvajati pa bi jih bilo treba v skladu s pravom države članice. […]“. |
Stran 104, uvodna izjava 96, zadnji stavek:
besedilo:
|
„(96) |
[…] Kadar države članice uporabijo daljše obdobje za izvajanje, ki se izteče sedem let po dnevu začetka veljavnosti te direktive, za uskladitev z obveznostmi vodenja dnevnikov za avtomatizirane sisteme obdelave, vzpostavljene pred tem dnevom, bi moral upravljavec ali obdelovalec vzpostaviti učinkovite metode za dokazovanje zakonitosti obdelave podatkov, notranje spremljanje ter zagotavljanje neoporečnosti in varnosti podatkov, kot so dnevniki ali druge oblike evidentiranja.“ |
se glasi:
|
„(96) |
[…] Kadar države članice uporabijo daljše obdobje za izvajanje, ki se izteče sedem let po dnevu začetka veljavnosti te direktive, za uskladitev z obveznostmi vodenja dnevnikov za avtomatizirane sisteme obdelave, vzpostavljene pred tem dnevom, bi moral upravljavec ali obdelovalec vzpostaviti učinkovite metode za izkazovanje zakonitosti obdelave podatkov, notranje spremljanje ter zagotavljanje celovitosti in varnosti podatkov, kot so dnevniki ali druge oblike evidentiranja.“ |
Stran 106, člen 2(2):
besedilo:
„2. Ta direktiva se uporablja za obdelavo osebnih podatkov v celoti ali delno z avtomatiziranimi sredstvi in za drugačno obdelavo kakor z avtomatiziranimi sredstvi za osebne podatke, ki so del zbirke ali so namenjeni oblikovanju dela zbirke.“
se glasi:
„2. Ta direktiva se uporablja za obdelavo osebnih podatkov, ki se v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se ne izvaja z avtomatiziranimi sredstvi.“
Stran 107, člen 3, točka 12:
besedilo:
|
„(12) |
‚genetski podatki‘ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;“ |
se glasi:
|
„(12) |
‚genski podatki‘ pomeni osebne podatke v zvezi s podedovanimi ali pridobljenimi genetskimi značilnostmi posameznika, ki dajejo edinstvene informacije o fiziologiji ali zdravju tega posameznika in so zlasti rezultat analize biološkega vzorca zadevnega posameznika;“. |
Stran 108, člen 4(4):
besedilo:
„4. Upravljavec je odgovoren za skladnost z odstavki 1,2 in 3 in je to skladnost tudi zmožen dokazati.“
se glasi:
„4. Upravljavec je odgovoren za skladnost z odstavki 1, 2 in 3 in je to skladnost tudi zmožen izkazati.“
Stran 109, člen 10, uvodno besedilo:
besedilo:
„Obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, vero ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genetskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravstvenim ali spolnim življenjem in spolno usmerjenostjo je dovoljena le, če je nujno potrebna, če je zagotovljena ustrezna zaščita pravic in svoboščin posameznika, na katerega se podatki nanašajo, in le če:“
se glasi:
„Obdelava osebnih podatkov, ki razkrivajo rasno ali etnično poreklo, politično mnenje, vero ali filozofsko prepričanje ali članstvo v sindikatu, in obdelava genskih podatkov, biometričnih podatkov za namene edinstvene identifikacije posameznika, podatkov v zvezi z zdravstvenim ali spolnim življenjem in spolno usmerjenostjo je dovoljena le, če je nujno potrebna, če je zagotovljena ustrezna zaščita pravic in svoboščin posameznika, na katerega se podatki nanašajo, in le če:“.
Stran 110, člen 12(4):
besedilo:
„4. Države članice določijo, da so informacije iz člena 13 ter morebitna sporočila in ukrepi, sprejeti na podlagi členov 11, 14 do 18 in 31, brezplačni. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko upravljavec:
|
(a) |
zaračuna razumno pristojbino, pri čemer upošteva upravne stroške posredovanja informacij ali sporočila oziroma izvajanja zahtevanega ukrepa, ali |
|
(b) |
zavrne ukrepanje v zvezi z zahtevo. |
Upravljavec nosi dokazno breme očitne neutemeljenosti ali pretiranosti zahteve.“
se glasi:
„4. Države članice določijo, da so informacije iz člena 13 ter morebitna sporočila in ukrepi, sprejeti na podlagi členov 11, 14 do 18 in 31, brezplačni. Kadar so zahteve posameznika, na katerega se nanašajo osebni podatki, očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko upravljavec:
|
(a) |
zaračuna razumno pristojbino, pri čemer upošteva administrativne stroške posredovanja informacij ali sporočila oziroma izvajanja zahtevanega ukrepa, ali |
|
(b) |
zavrne ukrepanje v zvezi z zahtevo. |
Upravljavec nosi breme izkazovanja očitne neutemeljenosti ali pretiranosti zahteve.“
Stran 113, člen 19(1), prvi stavek:
besedilo:
„1. Države članice določijo, da upravljavec ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to direktivo. […]“
se glasi:
„1. Države članice določijo, da upravljavec ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen izkazati, da obdelava poteka v skladu s to direktivo. […]“.
Stran 115, člen 22(3) točka (e):
besedilo:
|
„(e) |
da upravljavcu na voljo vse informacije, potrebne za dokazovanje skladnosti s tem členom;“ |
se glasi:
|
„(e) |
da upravljavcu na voljo vse informacije, potrebne za izkazovanje skladnosti s tem členom;“. |
Stran 115, člen 24(2), točka (c):
besedilo:
|
„(c) |
kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo in identifikacijo te tretje države ali mednarodne organizacije, kadar to izrecno naroči upravljavec;“ |
se glasi:
|
„(c) |
kadar je ustrezno, prenose osebnih podatkov v tretjo državo ali mednarodno organizacijo, vključno z navedbo te tretje države ali mednarodne organizacije, kadar to izrecno naroči upravljavec;“. |
Stran 116, člen 25(2):
besedilo:
„2. Dnevniki se uporabljajo zgolj za preverjanje zakonitosti obdelave, notranje spremljanje, zagotavljanje neoporečnosti in varnosti osebnih podatkov ter v kazenskih postopkih.“
se glasi:
„2. Dnevniki se uporabljajo zgolj za preverjanje zakonitosti obdelave, notranje spremljanje, zagotavljanje celovitosti in varnosti osebnih podatkov ter v kazenskih postopkih.“
Stran 117, člen 29(2), točka (j):
besedilo:
|
„(j) |
zagotoviti, da funkcije sistema delujejo, da se pojavljanje napak v funkcijah sporoči (zanesljivost) in da shranjeni osebni podatki ne morejo postati neuporabni zaradi okvare sistema (neoporečnost).“ |
se glasi:
|
„(j) |
zagotoviti, da funkcije sistema delujejo, da se pojavljanje napak v funkcijah sporoči (zanesljivost) in da shranjeni osebni podatki ne morejo postati okvarjeni zaradi napačnega delovanja sistema (celovitost).“ |
Stran 118, člen 30:
besedilo:
„Člen 30
Uradno obvestilo nadzornemu organu o kršitvi varstva osebnih podatkov
1. Države članice določijo, da upravljavec v primeru kršitve varstva osebnih podatkov brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo o njej uradno obvesti nadzorni organ, razen če ni verjetno, da bi bilo s kršitvijo varstva osebnih podatkov povzročeno tveganje za pravice in svoboščine posameznikov. Kadar uradno obvestilo nadzornemu organu ni podano v 72 urah, se mu priloži razloge za zamudo.
2. Obdelovalec ob seznanitvi s kršitvijo varstva osebnih podatkov brez nepotrebnega odlašanja uradno obvesti upravljavca.
3. Uradno obvestilo iz odstavka 1 vsebuje vsaj:
|
(a) |
opis vrste kršitve varstva osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov; |
|
(b) |
sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij; |
|
(c) |
opis verjetnih posledic kršitve varstva osebnih podatkov; |
|
(d) |
opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varstva osebnih podatkov, vključno z če je to primerno, ukrepi za ublažitev morebitnih škodljivih učinkov kršitve. |
4. Kadar in kolikor informacij ni mogoče zagotoviti istočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.
5. Države članice določijo, da upravljavec dokumentira vsako kršitev varstva osebnih podatkov iz odstavka 1, vključno z dejstvi v zvezi s kršitvijo varstva osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da preveri skladnost s tem členom.
6. Države članice v primeru, kadar kršitev varstva osebnih podatkov vključuje osebne podatke, ki jih je upravljavec druge države članice poslal ali so mu bili poslani, določijo, da se informacije iz odstavka 3 upravljavcu navedene države članice sporočijo brez nepotrebnega odlašanja.“
se glasi:
„Člen 30
Obvestilo nadzornemu organu o kršitvi varnosti osebnih podatkov
1. Države članice določijo, da upravljavec v primeru kršitve varnosti osebnih podatkov brez nepotrebnega odlašanja in po možnosti najpozneje v 72 urah po seznanitvi s kršitvijo o njej obvesti nadzorni organ, razen če ni verjetno, da bi bilo s kršitvijo varnosti osebnih podatkov povzročeno tveganje za pravice in svoboščine posameznikov. Kadar obvestilo nadzornemu organu ni podano v 72 urah, se mu priloži razloge za zamudo.
2. Obdelovalec ob seznanitvi s kršitvijo varnosti osebnih podatkov brez nepotrebnega odlašanja obvesti upravljavca.
3. Obvestilo iz odstavka 1 vsebuje vsaj:
|
(a) |
opis vrste kršitve varnosti osebnih podatkov, po možnosti tudi kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, ter vrste in približno število zadevnih evidenc osebnih podatkov; |
|
(b) |
sporočilo o imenu in kontaktnih podatkih pooblaščene osebe za varstvo podatkov ali druge kontaktne točke, pri kateri je mogoče pridobiti več informacij; |
|
(c) |
opis verjetnih posledic kršitve varnosti osebnih podatkov; |
|
(d) |
opis ukrepov, ki jih upravljavec sprejme ali katerih sprejetje predlaga za obravnavanje kršitve varnosti osebnih podatkov, vključno z če je to primerno, ukrepi za ublažitev morebitnih škodljivih učinkov kršitve. |
4. Kadar in kolikor informacij ni mogoče zagotoviti istočasno, se informacije lahko zagotovijo postopoma brez nepotrebnega dodatnega odlašanja.
5. Države članice določijo, da upravljavec dokumentira vsako kršitev varnosti osebnih podatkov iz odstavka 1, vključno z dejstvi v zvezi s kršitvijo varnosti osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da preveri skladnost s tem členom.
6. Države članice v primeru, kadar kršitev varnosti osebnih podatkov vključuje osebne podatke, ki jih je upravljavec druge države članice poslal ali so mu bili poslani, določijo, da se informacije iz odstavka 3 upravljavcu navedene države članice sporočijo brez nepotrebnega odlašanja.“
Stran 122, člen 39, naslov in uvodno besedilo odstavka 1:
besedilo:
„Člen 39
Prenosi osebnih podatkov uporabnikom s sedežem v tretjih državah
1. V pravu Unije ali države članice se lahko z odstopanjem od točke (b) člena 35(1) in brez poseganja v kateri koli mednarodni sporazum iz odstavka 2 tega člena določi, da pristojni organi iz točke (7)(a) člena 3 v posameznih in posebnih primerih prenesejo osebne podatke neposredno uporabnikom s sedežem v tretjih državah le, če so izpolnjene zahteve iz drugih določb te direktive in vsi naslednji pogoji: […]“
se glasi:
„Člen 39
Prenosi osebnih podatkov uporabnikom, ustanovljenim v tretjih državah
1. V pravu Unije ali države članice se lahko z odstopanjem od točke (b) člena 35(1) in brez poseganja v kateri koli mednarodni sporazum iz odstavka 2 tega člena določi, da pristojni organi iz točke (7)(a) člena 3 v posameznih in posebnih primerih prenesejo osebne podatke neposredno uporabnikom, ustanovljenim v tretjih državah, le, če so izpolnjene zahteve iz drugih določb te direktive in vsi naslednji pogoji: […]“.
Stran 126, člen 46(4):
besedilo:
„4. Kadar so zahteve očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko nadzorni organ zaračuna razumno pristojbino glede na upravne stroške ali zavrne ukrepanje v zvezi z zahtevo. Nadzorni organ nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.“
se glasi:
„4. Kadar so zahteve očitno neutemeljene ali pretirane, zlasti ker se ponavljajo, lahko nadzorni organ zaračuna razumno pristojbino glede na administrativne stroške ali zavrne ukrepanje v zvezi z zahtevo. Nadzorni organ nosi dokazno breme, da je zahteva očitno neutemeljena ali pretirana.“.
Stran 127, člen 51(1), točka (d):
besedilo:
|
„(d) |
izdaja smernice, priporočila in najboljše prakse v skladu s točko (b) tega pododstavka za ugotavljanje kršitev varstva osebnih podatkov in opredelitev nepotrebnega odlašanja iz člena 30(1) in (2) ter za posebne okoliščine, v katerih se od upravljavca ali obdelovalca zahteva, da predloži uradno obvestilo o kršitvi varstva osebnih podatkov;“ |
se glasi:
|
„(d) |
izdaja smernice, priporočila in najboljše prakse v skladu s točko (b) tega pododstavka za ugotavljanje kršitev varnosti osebnih podatkov in opredelitev nepotrebnega odlašanja iz člena 30(1) in (2) ter za posebne okoliščine, v katerih se od upravljavca ali obdelovalca zahteva, da predloži obvestilo o kršitvi varnosti osebnih podatkov;“ |
Stran 128, člen 51(1), točka (f):
besedilo:
|
„(f) |
pregleda praktično uporabo smernic, priporočil in najboljših praks iz točk (b) in (c);“ |
se glasi:
|
„(f) |
pregleda praktično uporabo smernic, priporočil in najboljših praks;“. |
Stran 129, člen 53(3):
besedilo:
„3. Države članice določijo, da so za postopke zoper nadzorni organ pristojna sodišča države članice, v kateri ima nadzorni organ sedež.“
se glasi:
„3. Države članice določijo, da so za postopke zoper nadzorni organ pristojna sodišča države članice, v kateri je nadzorni organ ustanovljen.“.
Stran 129, člen 55:
besedilo:
„Država članica v skladu s svojim postopkovnim pravom določi, da ima posameznik, na katerega se nanašajo osebni podatki, pravico pooblastiti neprofitno telo, organizacijo ali združenje, ki je ustrezno ustanovljeno v skladu s pravom države članice in katerega statutarno določeni cilji so v javnem interesu ter je dejavno na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov, da vloži pritožbo v njegovem imenu in da v njegovem imenu uresničuje pravice iz členov 52, 53 in 54.“
se glasi:
„Država članica v skladu s svojim postopkovnim pravom določi, da ima posameznik, na katerega se nanašajo osebni podatki, pravico pooblastiti neprofitno telo, organizacijo ali združenje, ki je ustrezno ustanovljeno v skladu s pravom države članice in katerega s pravnimi akti določeni cilji so v javnem interesu ter je dejavno na področju varstva pravic in svoboščin posameznikov, na katere se nanašajo osebni podatki, kar zadeva varstvo njihovih osebnih podatkov, da vloži pritožbo v njegovem imenu in da v njegovem imenu uresničuje pravice iz členov 52, 53 in 54.“.